Consulta con el equipo de Windows

Windows Server, Directorio Activo y Redes

¿Cómo "esconder" tus Controladores de Dominio?

¿Cómo "esconder" tus Controladores de Dominio?

  • Comments 3
  • Likes

Hola, soy Yolanda Muñoz, del equipo de Directorio Activo. En algunas ocasiones, nos hemos encontrado con la necesidad de disminuir la carga de logon en determinados DCs o bien por ser el de menor recursos hardware del Site o porque se encuentre destinado a otro tipo de operaciones/aplicaciones. En estos casos sugerimos implementar las siguientes recomendaciones:

  • Quitar la opción de GC.
  • Ajustar el “weight” (peso) y la “priority” (prioridad) de los registros SRV en DNS para minimizar el número de peticiones de logon recibidas por los DCs.
    • Si lo que queremos conseguir es reducir proporcionalmente el número de peticiones clientes recibidas, ajustaremos el “weight”.
    • Sin embargo, si lo que queremos es minimizar al máximo el número de peticiones recibidas,ajustaremos la “priority”.

En esta ocasión nos detendremos a explicar la segunda de las recomendaciones:

  • El Directorio Activo asigna por defecto el valor de 100 para el “weight”. Si queremos reducir a la mitad el número de peticiones atendidas por el DC, crearemos la clave del registro que controla dicho valor y lo estableceremos a 50.

Como cambiar el “weight” de los registros SRV en DNS:

1. In the Run dialog box, type regedit, and then press ENTER.
2. In the registry editor, navigate to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Click Edit, click New, and then click DWORD value.
4. For the new entry name, type LdapSrvWeight, and then press ENTER. (The value
name is not case sensitive.)
5. Double-click the entry name you just typed.
6. In the Edit DWORD Value dialog box, select Decimal as the Base option.
7. Enter a value between 0 and 65535 (the recommended value is 10), and then click OK.
8. Click File, and then click Exit to close the registry editor.

  • El Directorio Activo asigna por defecto el valor de 0 para la “priority” . Así, si creamos la clave del registro que controla dicho valor y lo establecemos a 200, las peticiones de autenticación de los clientes serán atendidas por los DCs cuya “priority” sea menor. De esta manera, el equipo configurado con mayor valor de “priority” no atenderá ninguna petición siempre que existan DCs disponibles con un valor de “priority” menor.

Cuando el valor de “priority” es el mismo para varios DCs, el valor especificado en “weight” determinará el orden en que los servidores van a ser contactados por los clientes.

Como cambiar la “priority” de los registros SRV en DNS:

1. In the Run dialog box, type regedit, and then press ENTER.
2. In the registry editor, navigate to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Click Edit, click New, and then click DWORD value.
4. For the new entry name, type LdapSrvPriority
, and then press ENTER.
5. Double-click the entry name that you just typed.
6. In the Edit DWORD Value dialog box, select Decimal as the Base option.
7. Enter a value between 0 and 65535 (the recommended value is 500), and then click OK.
8. Click File, and then click Exit to close the registry editor.

Para que los valores mencionados anteriormente sean efectivos, es necesario reiniciar el servicio de Netlogon (net stop netlogon && net start netlogon). El servicio al iniciar leerá la nueva configuración y actualizará los registros en DNS con los nuevos valores, siempre que las actualizaciones dinámicas estén permitidas en la zona.

Los nuevos valores quedan reflejados tanto en el archivo netlogon.dns (%Systemroot%\System32\config), como en el netlogon.log (%Systemroot%\debug) si el valor DBFlag está establecido a 0x2080FFFF.

- Yolanda Muñoz Muñoz

Comments
  • Estimada Yolanda,

    recomiendas estas opciones para el DC que aloja el FSMO de PDC?

    Saludos

    fsilvest@gmail.com

  • Estas configuraciones se recomiendan para minimizar carga de trabajo ya que el PDC tiene una serie de funciones especificas (administración de gpos, bloqueo de usuarios, etc)

    Un saludo.

    Yolanda

  • Hola Yolanda . Muy bueno y clara tu articulo. Esto tratando de solucionar problemas con maquinas , que dan error de confiando cuando se estan identificando en el dominio y que se rompe el canal seguro. Me podría sugerir alguna KB para que lea e interprete sin problemas lo que se escribe dentro del archivo netlogon.log , muchas gracias

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment