secure channel password

Bilgisayar hesaplarının Active Directory üzerinde kendini doğrulamak için kullandığı şifrelerdir. Bu şifre bir bilgisayarın domain' e alınması ile beraber oluşur ve hem active directory üzerinde hemde sunucu ( istemci ) kayıt defterinde tutulmaktadır. Varsayılan olarak 30 günde bir bu şifre değiştirilmektedir.

Bu şifrenin değişim süresini uzatabilir, veya değiştirilmesini sunucu tarafından ya da istemci tarafından engelleyebilirsiniz.

Sunucu tarafından engellemek için aşağıdaki linki inceleyebilirsiniz

 

http://www.cozumpark.com/forums/thread/253920.aspx

 

bu konu ile ilgili diğer linkler aşağıdaki gibidir

 

http://technet.microsoft.com/en-us/library/cc785826(WS.10).aspx

 

http://technet.microsoft.com/en-us/library/cc781050(WS.10).aspx

 

 

 


Active Directory yapısındaki makine hesapları NT zamanında 7 gün, windows server 2000 den beri ise 30 günde bir şifrelerini resetlerler. Bu şifreleri sistem kendisi tanımlar ve bu resetleme periyodunu normalde değiştirmeyiz. Yani pek çok sistem yöneticisinin haberi bile olmaz böyle bir sürecin olduğundan. Çünkü kullanıcı şifreleri kullanıcılar tarafından kullanılıyor veya expire olduğu zaman birileri tarafından değiştiriliyor. Oysaki makine şifreleri için bu işlem otomatik gerçekleşmektedir. Bu güzel bir özelliktir ki zaten sistemden uzaklaşan eski bilgisayar hesaplarını silmek için kullandığınız tüm araçlar bu şifrenin en son ne zaman set edildiğine bakıp buna göre rapor verir. Yani siz 90 günden eski makine hesapları derseniz aslında 90 gündür secure channel password ünü resetlemeyen makineleri istiyorsunuz demektir.

Peki gelelim bunun negatif yönlerine . Eğer siz bir bilgisayarın imajını alıp başka bir site üzerinde açarsanız , farklı ip lerde olduğu için çakışma olmayacaktır. Makine isimleri de aynı olabilir ancak buradaki sıkıntı siz bu makineyi farklı bir AD site yapısında ayağa kaldırırsanız ayağa kalkan makine gidip secure channel password ünü değiştirirse bu durumda production olan yani merkez site içerisindeki asıl makineniz domainden düşecektir. Bunun çözümü olarak kaynak makine workgroup alınmalı ve tekrar domain e eklenmelidir. Buna çözüm olarak diğer site eğer bir disaster site ise tek yönlü replikasyon ile bu sorun giderilebilir.

tek yönlü replikasyon için aşağıdaki komutu kullanabilirsiniz

Repadmin /options drcdc +DISABLE_OUTBOUND_REPLICATION

buradaki drcdc uzak site da bulunan dc nizin ismidir.

Eğer disaster site içerisinde canlı sistemleriniz var ise bu durumda tek yönlü replikasyon yapma şansınız yoktur. o zaman ya bu özelliği kapatmalı veya 30 günlük süreyi uzatmalısınız.

bunun için aşağıdaki configleri yapabilirsiniz

kapatmak için

HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
RefusePasswordChange
REG_DWORD
1

süresini uzatmak için
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
MaximumPasswordAge
REG_DWORD
#days up to 1,000,000

Veya istemciler ile uğraşmak istemiyorum sunucu tarafından yaparım diyorsanız

http://www.cozumpark.com/forums/thread/253920.aspx