secure channel password

Bilgisayar hesaplarının Active Directory üzerinde kendini doğrulamak için kullandığı şifrelerdir. Bu şifre bir bilgisayarın domain' e alınması ile beraber oluşur ve hem active directory üzerinde hemde sunucu ( istemci ) kayıt defterinde tutulmaktadır. Varsayılan olarak 30 günde bir bu şifre değiştirilmektedir.
Bu şifrenin değişim süresini uzatabilir, veya değiştirilmesini sunucu tarafından ya da istemci tarafından engelleyebilirsiniz.
Sunucu tarafından engellemek için aşağıdaki linki inceleyebilirsiniz
 
Link
 
bu konu ile ilgili diğer linkler aşağıdaki gibidir
 
http://technet.microsoft.com/en-us/library/cc785826(WS.10).aspx
 
http://technet.microsoft.com/en-us/library/cc781050(WS.10).aspx
 
 
 

Active Directory yapısındaki makine hesapları NT zamanında 7 gün, windows server 2000 den beri ise 30 günde bir şifrelerini resetlerler. Bu şifreleri sistem kendisi tanımlar ve bu resetleme periyodunu normalde değiştirmeyiz. Yani pek çok sistem yöneticisinin haberi bile olmaz böyle bir sürecin olduğundan. Çünkü kullanıcı şifreleri kullanıcılar tarafından kullanılıyor veya expire olduğu zaman birileri tarafından değiştiriliyor. Oysaki makine şifreleri için bu işlem otomatik gerçekleşmektedir. Bu güzel bir özelliktir ki zaten sistemden uzaklaşan eski bilgisayar hesaplarını silmek için kullandığınız tüm araçlar bu şifrenin en son ne zaman set edildiğine bakıp buna göre rapor verir. Yani siz 90 günden eski makine hesapları derseniz aslında 90 gündür secure channel password ünü resetlemeyen makineleri istiyorsunuz demektir.
Peki gelelim bunun negatif yönlerine . Eğer siz bir bilgisayarın imajını alıp başka bir site üzerinde açarsanız , farklı ip lerde olduğu için çakışma olmayacaktır. Makine isimleri de aynı olabilir ancak buradaki sıkıntı siz bu makineyi farklı bir AD site yapısında ayağa kaldırırsanız ayağa kalkan makine gidip secure channel password ünü değiştirirse bu durumda production olan yani merkez site içerisindeki asıl makineniz domainden düşecektir. Bunun çözümü olarak kaynak makine workgroup alınmalı ve tekrar domain e eklenmelidir. Buna çözüm olarak diğer site eğer bir disaster site ise tek yönlü replikasyon ile bu sorun giderilebilir.
tek yönlü replikasyon için aşağıdaki komutu kullanabilirsiniz
Repadmin /options drcdc DISABLE_OUTBOUND_REPLICATION
buradaki drcdc uzak site da bulunan dc nizin ismidir.
Eğer disaster site içerisinde canlı sistemleriniz var ise bu durumda tek yönlü replikasyon yapma şansınız yoktur. o zaman ya bu özelliği kapatmalı veya 30 günlük süreyi uzatmalısınız.
bunun için aşağıdaki configleri yapabilirsiniz
kapatmak için
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
RefusePasswordChange
REG_DWORD
1
süresini uzatmak için
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
MaximumPasswordAge
REG_DWORD
#days up to 1,000,000
Veya istemciler ile uğraşmak istemiyorum sunucu tarafından yaparım diyorsanız

Link