0%

İçindekiler

    Yazıyı Dinle

    Hazır
    Tarayıcınızın yerleşik ses sentezi özelliğini kullanır.

    Yazı Boyutu

    Küçük Aa
    Normal Aa
    Büyük Aa
    Çok Büyük Aa

    Kaydet

    📑

    Bu makaleyi daha sonra okumak için kaydedin

    Etki Alanı Denetleyicisi Keşfi DNS ve SRV Kayıtları

    Önder AKÖZ
    Önder AKÖZ
    Sistem Mayıs 01, 2025 4 dk okuma 203 görüntülenme
    Etki Alanı Denetleyicisi Keşfi DNS ve SRV Kayıtları
    Yazıyı dinlemek için oynat butonuna tıklayın
    Active Directory (AD) ortamlarında istemcilerin etki alanı denetleyicilerini (Domain Controller) keşfetmesi, kimlik doğrulama, politika uygulama ve diğer kritik işlemler için temel bir gerekliliktir. Bu süreçte en yaygın ve standart yöntem, DNS sorguları ve SRV kayıtları kullanarak etki alanı denetleyicilerinin konumunu belirlemektir. Bu yazıda, bu yöntemin nasıl çalıştığı, neden tercih edildiği ve diğer alternatif yöntemlerden farkını detaylıca inceleyeceğiz

    DNS ve SRV Kayıtları Nedir?

    Active Directory, DNS hizmetine dayalı olarak kurulur. Etki alanı denetleyicileri, kendilerini DNS sunucularında özel SRV (Service) kayıtları olarak kaydeder. Bu kayıtlar, istemcilerin ağdaki DC'leri otomatik olarak bulmasını sağlar.

    Active Directory için tipik SRV kayıtları şunlardır:
    • _ldap._tcp.dc._msdcs.<etki_alani_adi>
      • Örnek: _ldap._tcp.dc._msdcs.example.com
    • _kerberos._tcp.<etki_alani_adi>
      • Kerberos kimlik doğrulama için kullanılır.

    Bu kayıtlar, DC'nin IP adresini, port numarasını ve öncelik/ağırlık bilgilerini içerir.

    İstemcinin DC Keşif Süreci

    Bir istemci, etki alanı denetleyicisini bulmak için aşağıdaki adımları izler:

     DNS Sorgusu

    1. İstemci, _ldap._tcp.dc._msdcs.<DomainName> gibi SRV kayıtlarını sorgular.
    2. DNS sunucusu, bu kayıtlara karşılık gelen DC'lerin listesini döndürür.

    SRV Kayıt Detayı

    Her SRV kaydı şu bilgileri içerir:
    • Hedef (Target): DC'nin FQDN (Tam Nitelikli Alan Adı).
    • Port: LDAP (389) veya Global Catalog (3268) gibi hizmetin çalıştığı port.
    • Öncelik (Priority): Daha düşük değer önce tercih edilir.
    • Ağırlık (Weight): Aynı öncelikteki DC'ler arasında yük dengeleme için kullanılır.

    En Uygun DC'yi Seçme

    İstemci, SRV kayıtlarındaki öncelik ve ağırlık bilgilerine göre en uygun DC'yi seçer. Örneğin:
    • Öncelik 0 olan DC'ye öncelik verilir.
    • Aynı öncelikteki DC'ler arasında ağırlık oranında dağıtım yapılır.

    Bağlantı Kurma

    İstemci, seçilen DC'nin IP adresine bağlantı kurar ve kimlik doğrulama veya diğer işlemleri başlatır.

    Bu Yöntem Neden Standarttır?

    DNS ve SRV kayıtları üzerinden DC keşfi, aşağıdaki avantajlarla standart bir yöntemdir:

     Otomatik Keşif

    • İstemciler, manuel yapılandırma gerektirmeden DC'leri otomatik olarak bulur.
    • Bu, büyük ağlarda yönetim maliyetini azaltır.

     Ölçeklenebilirlik ve Esneklik

    • Yeni DC eklediğinizde otomatik olarak DNS'e kaydolur ve istemciler tarafından görülür.
    • Ağ büyüdükçe SRV kayıtları dinamik olarak güncellenir.

     Yük Dengeleme ve Yedeklilik

    • Öncelik ve ağırlık ayarları ile trafiği dengeler.
    • Bir DC devre dışı kaldığında istemciler diğer DC'lere yönlendirilir.

     Microsoft Tarafından Resmi Destek

    • Active Directory mimarisi doğrudan DNS'e bağımlıdır.
    • SRV kayıtları, Microsoft tarafından belgelenmiş ve tercih edilen yöntemdir.

    Alternatif Yöntemler ve Sınırlılıkları

    Diğer yöntemler DC keşfi için kullanılsa da, standart değildir ve bazı dezavantajlara sahiptir:

    Yöntem
    Nasıl Çalışır?
    Dezavantajlar
    GPO ile Manuel Ayar
    GPO ile DC IP'si sabit olarak atanır
    Esnek değil, ölçeklenemez
    DHCP Üzerinden
    DHCP sunucusu DC bilgisi sağlar
    DHCP bağımlılığı, sınırlı destek
    Ağda Yayın (Broadcast)
    NetBIOS gibi eski protokollerle yayın yapılır
    Yavaş, güvenli değil, modern ağlarda devre dışı
    Statik IP Yapılandırması
    İstemciye manuel olarak DC IP'si girilir
    Yönetimi zor, esneklik yok

    SRV Kayıtlarını Görüntüleme ve Sorun Giderme

    DNS Sorgusu Yapmak İçin Araçlar

    nslookup: 
    nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com
    PowerShell: 
    Resolve-DnsName -Name "_ldap._tcp.dc._msdcs.example.com" -Type SRV

    Hatalar ve Çözümler

    Hata
    Nedeni
    Çözüm
    DC Bulunamıyor
    DNS yapılandırması eksik
    DC'nin SRV kayıtlarınıdcdiag /test:dns /vile kontrol edin
    Yanlış DC'ye Bağlantı
    Öncelik/ağırlık ayarları hatalı
    DNS SRV kayıtlarını yeniden yapılandırın
    DNS Yanıtı Yok
    DNS sunucusu erişilemez
    ipconfig /flushdnsveipconfig /registerdnskomutlarını çalıştırın
    Troubleshooting / Sorun giderme:
    • DNS Sağlığını İzleyin:
      • DC'lerin DNS'e doğru şekilde kayıt yaptığını kontrol edin.
      • dcdiag ve repadmin gibi araçları kullanın.
    • Statik IP Kullanımı:
      • DC'lerin statik IP adresleri olmalıdır.
    • Zon Güncellemeleri:
      • DNS zonlarının dinamik güncellemelere izin verdiğinden emin olun.
    • Yedekleme ve Kurtarma:
      • DNS yapılandırmasını düzenli olarak yedekleyin.

    Etiketler

    #Active Directory #dns
    Önceki Yazı Active Directory'de Güvenlik Ayarlarını Merkezi Olarak Uygulamak
    Active Directory'de Güvenlik Ayarlarını Merkezi Olarak Uygulamak

    Büyük organizasyonlarda tüm bilgisayarlara merkezi ve tutarlı güvenlik ayar...
    Sonraki Yazı Azure Key Vault Nedir?
    Azure Key Vault Nedir?

    Bulut bilişimde hassas verilerin güvenli bir şekilde saklanması ve yönetilm...