Name suffix routing

Temel olarak trust yapısında kimlik doğrulama isteklerini yönlendirme için kullanılan bir sistemdir. Bu sistemi daha iyi anlamak için örnekleme yapmak istiyorum.

 

Temelde aşağıdaki gibi 3 forest ve 4 domainden oluşan bir yapımız olsun.

 

 

 

image005

 

 

 

Görüldüğü gibi Forest1 içerisinde “cozumpark.com” domaini, Forest2 içerisinde “sozluk.cozumpark.com” domaini, forest3 içerisinde ise “ik.cozumpark.com” domaini ve onun child domaini olan “kurumsal.ik.cozumpark.com” domaini yer almaktadır.

 

Bu yapıda Forest1 ile Forest2 arasında bir çift yönlü forest trust bulunmaktadır. Forest2 ile Forst3 içerisindeki child domain arasında ise bir tek yönlü bir external trust bulunmaktadır. Bu yapıda yine makalemizin önceki bölümlerinde okuduğunuz gibi Forest2 içerisindeki kullanıcılar Forest3 ve Forest1 içerisindeki kaynaklara rahatlıkla ( izinleri çerçevesinde ) ulaşabilmektedir. Bunun temel sebebi ise name suffix routing yani hedef domain yapısına ulaşmak için hangi yolu kullanacağımızı bize öğreten alt yapıdır. Malum makalemizin birinci bölümünü hatırlarsak eğer aşağıdaki gibi User1 kullanıcısı FileServer1 sunucusuna ulaşmak için izlediği yolu Global Catalog yardımı ile bulmuştu. İşte burada aslında bu bilginin temelinde yatan konuya da değinmiş oluyoruz.

 

 

image006

 

 

 

Buraya kadar sorunsuz çalışan yapımızda aşağıdaki gibi bir değişiklik yapıyoruz.

 

 

 

image007

 

 

Baktığınız zaman yaptığımız değişiklik; Forest1 ile Forest3 arasına yeni bir çift yönlü forest trust atmamız olmuştur. Ancak bu değişiklikten sonra bir takım kimlik doğrulama sorunlarını aşağıdaki gibi loğlardan tespit edebiliriz.

 

 

Event Type:      Warning 
Event Source:    LSASRV 
Event Category:  SPNEGO (Negotiator) 
Event ID:        40960

 

Bunun temel sebebi bir yeni bir trust oluşturduğumuz zaman otomatik olarak eklenen name suffix routing’ dir.

 

İlk durumdaki route’ larımız aşağıdaki gibidir.

 

 

image008

 

 

Yani Forest2 içerisindeki bir kişi cozumpark.com’ a erişmek için Forest Trust’ ı kullanması gerektiğini biliyordu. İkinci trust’ ı ekleyince ise name suffix routing aşağıdaki gibi oluşmuştur.

 

 

image009

 

 

Şekilde görüldüğü gibi ik.cozumpark.com domain yapısı, sozluk.cozumpark.com’ a erişmek için kimlik doğrulama sürecini cozumpark.com forest’ ına gönderir. Ancak dikkat ederseniz isim benzerliği olmasına karşın farklı forest’ lardan bahsediyoruz. Bu nedenle sozluk.cozumpark.com için gönderilen kimlik doğrulama süreci cozumpark.com domaininden başarısız olarak geri dönecektir.

 

Bunun çözmek için ise name suffix route yapımıza Exclusions eklemek olacaktır.

 

Forest2 içerisindeki trust özelliklerine gelecek *.cozumpark.com name suffix route için “ik.cozumpark.com” domain’ i harici tutuyoruz.

 

Benzer şekilde Forest3 içerisinde de yine *.cozumpark.com name suffix route üzerinde “sozluk.cozumpark.com” domain’ i hariç tutarak sorunu çözmüş oluyoruz.

 

Özetle bu ve benzeri kimlik doğrulama sorunları veya sorun olmasa bile iyileştirmelerini name suffix route ile yönetebiliyoruz.