Windows'ta parola değişikliği işleme ve çakışma çözme işlevselliği

  • Makale

Bu makalede, yöneticilerin birincil etki alanı denetleyicisiyle (PDC) ne zaman iletişim kurulduğunu denetlemek için kullanabileceği ve siteler arasındaki iletişim maliyetlerini azaltmaya ve PDC'deki yükü azaltmaya yardımcı olabilecek bir kayıt defteri değeri açıklanmaktadır.

Önemli

Bu makale, kayıt defterini değiştirme hakkında bilgiler içerir. Kayıt defterini değiştirmeden önce yedeklediğinizden ve bir sorun oluşursa kayıt defterinin nasıl geri yüklendiğini anladığınızdan emin olun. Kayıt defterini yedekleme, geri yükleme ve düzenleme hakkında daha fazla bilgi için bkz. İleri düzey kullanıcılar için Windows kayıt defteri bilgileri.

Şunlar için geçerlidir: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Özgün KB numarası: 225511

Özet

Varsayılan olarak, bir kullanıcı parolası sıfırlandığında veya değiştirildiğinde ya da bir etki alanı denetleyicisi yanlış parola kullanarak bir istemci kimlik doğrulama isteği aldığında, Windows etki alanı için PDC Esnek Tek Ana İşlem (FSMO) rol sahibi olarak davranan Windows etki alanı denetleyicisine başvurılır. Bu makalede, yöneticilerin PDC ile ne zaman iletişim kurulduğunu denetlemek için kullanabileceği bir kayıt defteri değeri açıklanır. Bu, siteler arasındaki iletişim maliyetlerini azaltmaya ve PDC'deki yükü azaltmaya yardımcı olabilir.

PDC ile bu iletişim bilgisayar hesapları için yapılmaz. Bilgisayarlar, kimlik doğrulaması başarısız olduğunda kimlik doğrulamasını önceki en son parolayla yeniden dener. Aynı satır boyunca, bilgisayarlar aldıkları bir Kerberos hizmet biletinin şifresini çözerken önceki en son parolayı dener.

Daha fazla bilgi

Uyarı

Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı sonucunda ortaya çıkan sorunları çözebileceğiniz konusunda garanti vermez. Kayıt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluğunuzdadır.

Aşağıdaki kayıt defteri değeri, aşağıda açıklandığı gibi Parola Değiştirme Bildirimi ve Parola ÇakışmaSı Çözümlemesini denetlemek için değiştirilebilir:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

  • Kayıt defteri değeri: AvoidPdcOnWan
  • Kayıt defteri türü: REG_DWORD
  • Kayıt defteri değer verileri: 0 (veya değer mevcut değil) veya 1
    • 0 veya değer yok = YANLIŞ (devre dışı bırakmak için)
    • 1 = DOĞRU (etkinleştirmek için)
  • Varsayılan: (değer yok)

Parola değiştirme bildirimi

Windows yazılabilir etki alanı denetleyicisi, kullanıcı parolası değişikliği veya sıfırlama isteğini alır. Parola değişikliği yerel olarak yapılır ve ardından Netlogon hizmetini Uzaktan Yordam Çağrısı (RPC) olarak kullanarak HEMEN PDC FSMO rol sahibine gönderilir. Parola değişikliği, hem PDC hem de etki alanı denetleyicisi (DC) tarafından Active Directory çoğaltma işlemi kullanılarak iş ortaklarına çoğaltılır. Windows Read-Only etki alanı denetleyicisi (RODC) parola değiştirme isteğini alırsa, isteği hub DC'sine ileten bir kimlik doğrulama ara sunucusu gibi çalışır ve bu da isteği alan ilk DC gibi davranır.

AvoidPdcOnWan değeri TRUE olarak ayarlanmışsa ve PDC FSMO başka bir sitede bulunuyorsa, parola değişikliği hemen PDC'ye gönderilmez. Ancak, normal Active Directory çoğaltması aracılığıyla yapılan değişiklikle güncelleştirilir. PDC FSMO aynı sitedeyse, AvoidPdcOnWan değeri kullanılmaz ve parola değişikliği PDC'ye hemen iletilir.

İsteği PDC'ye gönderirken sorun varsa (örneğin Ağ kesintisi) AvoidPdcOnWan YANLIŞ olsa veya ayarlanmasa bile güncelleştirilmiş parola PDC öykünücüsine gönderilmeyebilir. Bu durumda günlüğe kaydedilen bir hata yok. Güncelleştirme daha sonra normal AD çoğaltması kullanılarak dağıtılır.

Parola çakışması çözümlemesi

Varsayılan olarak, bir kullanıcı yerel veritabanına göre yanlış bir parola kullanarak kimlik doğrulaması yapmaya çalışırsa Windows etki alanı denetleyicileri PDC FSMO rol sahibini sorgular. Kullanıcı tarafından istemciden gönderilen parola PDC'de doğruysa, istemciye erişim izni verilir ve etki alanı denetleyicisi parola değişikliğini çoğaltır.

AvoidPdcOnWan değeri, Active Directory etki alanı denetleyicilerinin parola çakışmalarını çözmek için PDC FSMO rol sahibini ne zaman kullanmayı deneeceğini denetlemek için yöneticiler tarafından kullanılabilir. PDC oturum açmayı tamamlar ve kimlik doğrulaması doğrulayan kullanıcı için başarılıdır.

AvoidPdcOnWan değeri TRUE olarak ayarlanmışsa ve PDC FSMO rol sahibi başka bir sitede bulunuyorsa, etki alanı denetleyicisi PDC FSMO'da depolanan parola bilgilerine karşı istemcinin kimliğini doğrulamayı denemez. Ancak, bunun kullanıcıya erişimin reddedilmesiyle sonuçlandığını unutmayın. Bu, birçok kullanıcı kimlik doğrulaması için önceki parolayı denemeyebileceği için üretkenliği etkileyebilir. Bazı senaryolarda, önceki parolayı bilmiyor olabilirler.

İstek PDC'ye gönderilirken sorun varsa(örneğin Ağ kesintisi) AvoidPdcOnWan YANLIŞ olsa veya ayarlanmasa bile PDC öykünücüsnde yanlış parola denenmeyebilir. Bu durumda günlüğe kaydedilen bir hata yok. Bu durumda oturum açma girişimi reddedilir.

Bir RODC söz konusu olduğunda senaryo farklıdır. RODC'deki bir kimlik doğrulama isteği hatalı parolayla başarısız olursa, RODC isteği hub DC'ye gönderir ve hub DC de bunu PDC'ye gönderir. PDC'de başarılı olursa, kullanıcı kimlik doğrulaması başarılı olur. RODC'nin kullanıcı parolasını önbelleğe alma izni varsa, kullanıcı parolasının hub DC'sinden çoğaltılması istenir. Ancak hub DC'sinde de yalnızca eski parola vardır. RODC yalnızca normal çoğaltma döngüsü aracılığıyla yeni parolayı alır. Yeni parola çoğaltılana kadar hub'a veya PDC'ye ihtiyaç duymaya devam eder.

Parola çoğaltma işleme

Yazılabilir DC parola değişikliğini PDC'ye ilettiğinde, kullanıcı parolası her iki DC'de de ayarlanır. Her iki DC de bu yeni parolayı giden çoğaltmalarına dahil eder.

Bu iki değişiklik bir DC'ye ulaşırsa, normal AD çakışması çözümlemesi gerçekleştirilir. Özniteliklerin AD sürümü aynı olacaktır, ancak PDC'nin zaman damgası biraz daha eski olur ve ilk DC'nin parolası kullanılır.

Her iki DC de aynı yeni parola değerini yazdığından veri yükü aynı olduğundan fark etmez.

Dizin Hizmetleri olay günlüğünde günlüğe kaydetme

Windows Server 2022, parola güncelleştirme bildirimleriyle ilgili PDC öykünücüsü ile etkileşimlerin etkinliğini izlemek için olaylar eklemiştir.

Olay Kimliği 3035

Olay Kimliği 3035, PDC'de aşağıdaki kayıt defteri girdisindeki "27 PDC Parola Güncelleştirme Bildirimleri" kategorisinin dördüncü düzeyinde günlüğe kaydedilir:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3035
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>

Olay Kimliği 3036

PDC'yi yedekleme etki alanı denetleyicisinden (İVB) yapılan bir çağrıdaki güncelleştirmelerle güncelleştirirken hata oluşursa Olay Kimliği 3036 günlüğe kaydedilir:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3036
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

Olay Kimliği 3037

Olay Kimliği 3037, aşağıdaki kayıt defteri girdisindeki "27 PDC Parola Güncelleştirme Bildirimleri" kategorisinin dördüncü düzeyinde BDC'de günlüğe kaydedilir:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3037
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
 User:      <User Name>
 User RID:  <RID>

Olay Kimliği 3038

PDC'yi bir İVB'den yapılan bir çağrıdaki güncelleştirmelerle güncelleştirirken bir hata oluşursa Olay Kimliği 3038 günlüğe kaydedilir:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3038
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

Exmaple için c0000225 hata kodu STATUS_NOT_FOUND eşler. Bu hata, kullanıcı yerel etki alanı denetleyicisinde yeni oluşturulduğunda ve kullanıcının parolası PDC'nin çoğaltma gecikme süresi içinde ayarlandığında beklenir.

Olay Kimliği 3038'de ağ veya RPC ile ilgili hatalar da görebilirsiniz. Örneğin, bir güvenlik duvarı İVB ile PDC arasındaki iletişimi engellediğinde bu olayı alabilirsiniz.

Başvurular

Active Directory ve LDS tanılama olay günlüğünü yapılandırma