特定のドメインコントローラーに接続するように構成されているアプリケーションを特定する
私は多くのドメインコントローラー(DC)を持つ Windowsドメイン で作業しています。これらの一部を削除したいと思っていますが、認証に特定のドメインコントローラーを使用するようにハードコードされているアプリケーションがいくつかあることは知っています。しかし、これらのアプリケーションが何であるかはわかりません。 DCがオフラインになったときに停止を防ぐことができるように、単一のドメインドメインコントローラーを使用するように設定できるアプリケーションを特定するにはどうすればよいですか?
数日間、各DC=をシャットダウンし、悲鳴を待つ。
真剣に、それが唯一の方法です。
Active Directoryと通信したい人は誰でも、 適切なプロセス を使用してドメインコントローラーを見つけることができるはずです。しかし、一部のアプリケーション開発者は、静的に定義されたDCを必要とするほど愚かです。まあ、それは彼らの責任であり、彼らはそれを支払うべきです。
しかし、あなたは、AD管理者として、アプリケーションが特定のDCと実際にそれを調べたため、または誰かが静的に構成したため、アプリケーションが話しているかどうかを知る方法がまったくありません。
悲しいことに、各DCをシャットダウンし、何かが機能しなくなるかどうかを確認することが唯一の方法です。
これらのサーバーを識別しようとするもう1つの方法は、ドメインコントローラーでネットワークモニターなどを実行し、認証トラフィックをフィルターにかけてキャプチャーを実行することです。次に、サーバーのIPアドレスでさらにフィルタリングして、表示される結果を絞り込むことができます。重要なのは、どの認証トラフィックがアプリケーションに関連しているかを判別することです。探す AS Request Cname以下のスクリーンショットのように、ユーザー名を含むトラフィックを調査します。確かに、私はこれを行う必要はありませんでしたが、これは確かに私が試みる1つの方法です。
できることの1つは、Aレコードと他のDNSニーモニックを削除することです。これにより、DCの通常のDNSレコードが登録されず、通常の認証またはグループポリシー接続では返されません。次に、パケットキャプチャを実行して、トラフィックの発信元を特定します。
クライアントのサイトの外部にあるドメインコントローラーまたはグローバルカタログの場所を最適化する方法
http://support.Microsoft.com/kb/306602
これは通常、ハブアンドスポークトポロジで行われることです。スポークサイトの場合、DCにDNSレコードを登録して、そのサイトのクライアントのみが接続するようにしたくないでしょう。これを構成した後、通常の認証トラフィックを最小限に抑える必要があります。ドメインコントローラー。
- ご使用の環境に新しいドメインコントローラーを追加します(アプリケーションの互換性に自信がある場合は、同じOSバージョンまたは新しいOSバージョン)。
- DNSで古いドメインコントローラーをマスクします。これは、NetLogonサービスによって登録されたすべてを削除することを意味します(すべてではありません。GUIDレコードはレプリケーションに使用されるため、これを保持する必要があります)。
- クライアントのキャッシュが期限切れになるまで待ち、TADA!マスクされたDCに到達するすべてのLDAPクエリ、すべての認証要求は、DCLocatorを利用せず、最終的にハードコードされた構成を持つアプリケーションとサーバーからのものです。非表示のドメインコントローラーは引き続き実行および複製されているため、ハードコードされたアプリケーションがそれらを使用しても影響はありません。