Domain Controller Locator Process yazımızda detaylı olarak Locator Process’inde bahsedeceğiz. Group Policy tarafında Gizli DC’ler oluşturmayı , Nltest komutları ile DNS Generic Records’larının yenilenmesi göstereceğiz. İlk olarak Locator Process’inden bahsedelim
DC locator prosessi bizlere domain ortamında clientların ve sunucuların en yakın domain controller’ı bulmamızı sağlamaktadır. Client bu işlemi netlogon servisi üzerinden yapmaktadır. Clientlar netlogon servisi üzerinden en yakın DC ye ulaşmak için locator processini kullanılır. Locator processi bizlere network trafiğinin azalmasını , gereksiz trafiklerin oluşmasını engellemek gibi yararları vardır.
Peki bu süreç nasıl işlemektedir. Bunu aşağıda anlatalım.
Peki Client DC1 Seçimi yanlış ise DC farklı Site’da ise neler olur ?
- O zaman DC1 Client’a ben senin site’ında değilim en yakın site yönlendirir. En önemlisi client’a hangi site da olduğunu söyler.
- Client tekrardan DNS’E Site’a göre soru sorar _ldap._tcp.siteadı._msdcs.domainadı ile kayıtları ister ve yukarıdaki süreç tekrardan başlar.
Bu Kayıtlara Nereden Ulaşabiliriz ?
DNS üzerinde bu kayıtları görebilirsiniz. _MSDCS üzerinden kontrol edebilirsiniz.
Ayrıca nslookup ile sonuçları listeleyebilirsiniz.
Locator procesinin tanımını ve özetini burada tamamlıyoruz ve diğer detaylara
Peki bu kayıtlar ne zaman güncellenir yada eksik olduğu zaman neler yapılabilir bunlara bakalım ?
Group Policy tarafında Computer Configuration > Policies > Administrative Templates > System > Net logon > DC Locator DNS record ayarlanır. Eğer Not configured olarak bırakılırsa DC local ayarlarını kullanmaktadır.
Eğer Specify Dynamic registration of the DC Locator DNS Records policy’isini disable ederseniz dinamik update olmaz .Birazdan gizli DC oluşturken bunu göstereceğiz.
Gelelim bu kayıtlardan herhangi bir silinme veya eksik durum olursak 2 şekilde tamamlayabilirsiniz.
- İlki powershell nltest /dsregdns komutu ile tamamlanır.
- İkinci yol ise netlogon servisine restart atmaktadır. Fakat netlogon servisinin durması DC üzerinde diğer durumlarıda etkileyeceği için ilk her zaman daha güvenlidir.
Gizli Domain Controller Oluşturma 🙂
Test ortamları için gizli domain controller nasıl oluşturulmaktadır. Herhangi bir test site oluşturdunuz ve bu site’a bir Domain Controller eklediniz. Fakat bu DC nin bu site dışında görünmesini istemiyorsun. Yani Locator process kısmında ilk kısımda sorulan _ldap._tcp.dc._msdcs.domainadı komutunda gözükmesini istemiyoruz. Yani kendi site’ı haricinde kimse bu dc ye site’ını öğrenmek ve diğer durumlar için query atmayacaksa gizli dc oluşturabiliyoruz. Ayrıca Uygulama geliştiricileri güvenlik ayarlarını artık yazılımlarını daha sıkı güvenlik ayarlarına sahip yeni gizli Etki Alanı Denetleyicisine karşı test edebilir.
Group Policy’de Computer Configuration > Policies > Administrative Templates > System > Net logon > DC Locator DNS record da “Specify DC Locator DNS Records not registered by the DC’S “ kısmında istenilen mnemonics kayıtlarının silinerek bir daha register olmasının önüne geçebilirsiniz. Bu kayıtların detaylarını linkten ulaşabilirsiniz. Ayrıca system32\config altından netlogon.dns dosyasından öğrenebilirsiniz.
Bu policy ek olarak yukarıda belirttiğim dynamic registration gpo’sunuda ekleyebilirsiniz.
Dikkat : Tüm DC lere uyguladığınızda ortamınızı tamamen karıştırabilir. O Yüzden Policyde delegation kullanın ve sadece gizli site’nızdaki DC nize uygulayın.
Bu yazımızda sizlere Domain Controller Locator Process ‘nin detaylarını anlatmış olduk. Diğer yazılarımızı aşağıdaki kategorilerden takip edebilirsiniz.