Active Directory Secure Channel’e Dair

• İster sanal ister gerçek olsun domainde olan her sunucu kendi makine şifresini domain’de ve kendi registry’sinde belirlenen ayarlar doğrultusunda default 30 gün olmak
üzere düzenli resetler. Bu ayar domain bazında GPO’lardan veya sunucu bazında registry’den değiştirilebilir.
• Bir sunucunun disaster recovery ortamında fiziksel veya sanal aktif clone’u oluşturulduğunda, bu clone sunucu normal şartlar altında zamanı geldiğinde orijinal
sunucudan bağımsız olarak kendi şifresini konuşabildiği herhangi bir DC ile resetlemeye çalışır. Bu clone ana sunucudan bağımsız olarak şifresini resetlediği zaman bu
bilgi o ortamdaki DC’ye de kaydolunur ve eğer o DC ortamdaki diğer DC’ler replicate oluyorsa, original sunucunun şifresi farklı olduğu için secure channel kırılır. Kaynak
olarak aşağıdaki İngilizce “Typical Symptoms when secure channel is broken” paragrafını inceleyebilirsiniz.
• Tek yönlü Active Directory replication yapılmasını disaster recovery için kurulan ortamlarda önerebiliyoruz. Ancak tek yönlü replication’dan dolayı disaster recovery
ortamında tutarsız bir DC olacağı için disaster sonrası geri dönüş senaryosunda bu DC’den bozuk datalar yayılabilme riski olduğundan geri dönüş operasyonunun
dikkatli yapılması ve test edilmiş olması gerekmektedir.
• Eğer disaster recovery ortamındaki AD ile çift yönlü replication aktif edilirse disaster recovery ortamındaki tüm client ve serverların computer şifrelerini otomatik 30
günde bir şifre değiştirmelerini engellemek gerekiyor. Bunun yöntemi ise disaster recover ortamındaki her sunucu için DisablePasswordChange ayarını registry’den
düzenli ve otomatik olarak her yeni clonelama veya işletim sistemi restore işlemi biter bitmez yapmak ve registry değişikliğini müteakiben NetLogon servisini restart
etmektir. Kaynak olarak “How to disable automatic machine account password changes”, http://support.microsoft.com/kb/154501 makalesi incelenebilir.

Typical Symptoms when secure channel is broken
The secure channel is used to validate the member servers or workstations membership in the domain, based upon its hashed password. This discrete communication channel helps provide a more secure communication path between the domain controller and the member servers or workstations. It can also be used to change the accounts password, and to retrieve domain-specific information, handling NTLM authentication pass-through to the domain controller, or from DC to DC for the same.

When you join a computer to a domain, a computer account is created, and a password is shared between the computer and the domain. By default, this password is changed every 30 days. The secure channel’s password is stored together with the computer account on the domain controllers. Upon starting, Netlogon attempts to discover a DC for the domain in which its machine account exists. After locating the appropriate DC, the machine account password from the workstation is authenticated against