Active Directory (AD) ortamlarında istemcilerin etki alanı denetleyicilerini (Domain Controller) keşfetmesi, kimlik doğrulama, politika uygulama ve diğer kritik işlemler için temel bir gerekliliktir. Bu süreçte en yaygın ve standart yöntem, DNS sorguları ve SRV kayıtları kullanarak etki alanı denetleyicilerinin konumunu belirlemektir. Bu yazıda, bu yöntemin nasıl çalıştığı, neden tercih edildiği ve diğer alternatif yöntemlerden farkını detaylıca inceleyeceğiz
DNS ve SRV Kayıtları Nedir?
Active Directory, DNS hizmetine dayalı olarak kurulur. Etki alanı denetleyicileri, kendilerini DNS sunucularında özel SRV (Service) kayıtları olarak kaydeder. Bu kayıtlar, istemcilerin ağdaki DC’leri otomatik olarak bulmasını sağlar.
Active Directory için tipik SRV kayıtları şunlardır:
- _ldap._tcp.dc._msdcs.<etki_alani_adi>
- Örnek:
_ldap._tcp.dc._msdcs.example.com
- Örnek:
- _kerberos._tcp.<etki_alani_adi>
- Kerberos kimlik doğrulama için kullanılır.
Bu kayıtlar, DC’nin IP adresini, port numarasını ve öncelik/ağırlık bilgilerini içerir.
İstemcinin DC Keşif Süreci
Bir istemci, etki alanı denetleyicisini bulmak için aşağıdaki adımları izler:
DNS Sorgusu
- İstemci,
_ldap._tcp.dc._msdcs.<DomainName>gibi SRV kayıtlarını sorgular. - DNS sunucusu, bu kayıtlara karşılık gelen DC’lerin listesini döndürür.
SRV Kayıt Detayı
Her SRV kaydı şu bilgileri içerir:
- Hedef (Target): DC’nin FQDN (Tam Nitelikli Alan Adı).
- Port: LDAP (389) veya Global Catalog (3268) gibi hizmetin çalıştığı port.
- Öncelik (Priority): Daha düşük değer önce tercih edilir.
- Ağırlık (Weight): Aynı öncelikteki DC’ler arasında yük dengeleme için kullanılır.
En Uygun DC’yi Seçme
İstemci, SRV kayıtlarındaki öncelik ve ağırlık bilgilerine göre en uygun DC’yi seçer. Örneğin:
- Öncelik 0 olan DC’ye öncelik verilir.
- Aynı öncelikteki DC’ler arasında ağırlık oranında dağıtım yapılır.
Bağlantı Kurma
İstemci, seçilen DC’nin IP adresine bağlantı kurar ve kimlik doğrulama veya diğer işlemleri başlatır.
Bu Yöntem Neden Standarttır?
DNS ve SRV kayıtları üzerinden DC keşfi, aşağıdaki avantajlarla standart bir yöntemdir:
Otomatik Keşif
- İstemciler, manuel yapılandırma gerektirmeden DC’leri otomatik olarak bulur.
- Bu, büyük ağlarda yönetim maliyetini azaltır.
Ölçeklenebilirlik ve Esneklik
- Yeni DC eklediğinizde otomatik olarak DNS’e kaydolur ve istemciler tarafından görülür.
- Ağ büyüdükçe SRV kayıtları dinamik olarak güncellenir.
Yük Dengeleme ve Yedeklilik
- Öncelik ve ağırlık ayarları ile trafiği dengeler.
- Bir DC devre dışı kaldığında istemciler diğer DC’lere yönlendirilir.
Microsoft Tarafından Resmi Destek
- Active Directory mimarisi doğrudan DNS’e bağımlıdır.
- SRV kayıtları, Microsoft tarafından belgelenmiş ve tercih edilen yöntemdir.
Alternatif Yöntemler ve Sınırlılıkları
Diğer yöntemler DC keşfi için kullanılsa da, standart değildir ve bazı dezavantajlara sahiptir:
