Net Logon (Hálózati bejelentkezés)
A szerviz rövid neve: Netlogon
Az alkalmazás neve: lsass.exe
Függés: Workstation
Függesztés: -
Porthasználat: TCP: 139, 888; UDP: 137, 138
Alapértelmezett indítás: kézi, leállítva (ám tartományi tagság esetén automatikusan indul)
Ez szerviz szintén kritikus jelentőségű, hiszen elsősorban a tartományvezérlő és a kliens közötti biztonságos csatornák létrehozásáért és fenntartásáért felel. Ez a speciális csatorna ahhoz szükséges, hogy megfelelő körülmények között hitelesíthesse magát a kliensről a felhasználó (amely folyamat során vissza is kapja a DC-től az azonosítóit és a jogosultságait > pass-through) illetve a szolgáltatások is. A számítógépek hitelesítésénél is fontos szerepe van, hiszen mindegyik tartományi fiókkal rendelkező gépnek szüksége van erre a biztonságos csatornára. És hogyan jön létre? Egyszerűsítve: a gép az LSA segítségével helyileg tárolt jelszava plusz az AD-ben tárolt jelszava összehasonlítása után, az adott jelszóval a Netlogon szerviz megteremti ezt a biztonságos csatornát. Persze, ha valamilyen okból már nem passzol a két jelszó (pl. a Csoportházirendben megadott változási kényszer hatása csak az egyik oldalon érvényesült azaz nem szinkronizálódik a jelszó), akkor a gép nem képes arra, hogy hitelesítse magát. Eme biztonságos csatorna létezését tesztelhetjük az
nltest /sc_query:tartomanynev
paranccsal és ha minden OK, akkor valami hasonló eredmény kapunk:
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name a_DC_neve
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
Ha valami bibi van, akkor meg ezt:
Flags: 0
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully
Az nltest.exe a Support Tools csomag része, amelyet külön, a telepítő CD-ről kell felrakni (vagy létező SP esetén le kell tölteni, pl. XP SP2 esetén innen.
Ezen kívül a Windows 2000 Server-től kezdve a Netlogon szolgáltatás egy másik fontos műveletet is elvégez: a DDNS-t felhasználva a különlegesen fontos, sokat emlegett SRV (erőforrás-rekord) rekordokat publikálja a DNS zónákba. Ezért hangzik el sűrűn DNS hibák megoldására csodaszerként a "net stop netlogon" ill. "net start netlogon" parancs (azaz egy NetLogon szerviz újraindítás), amely egy helyes TCP/IP konfiguráció esetén hatásos gyógyszer. Azért az, mert így könnyedén újraépíthető egy hosszú nevű és rejtélyesnek tűnő bejegyzésektől (a DC-k szolgáltatásainak, pl. Kerberos, GC, LDAP nevét, IP címét, súlyát eláruló rekordok) hemzsegő tartományi zóna a DNS szerverben. Hogy honnan szedi az adatokat, amellyel feltölti a zónát? A \%Systemroot%system32configetlogon.dns file-ból, amelyben szépen összerendezett formában megtalálható minden egyes SRV rekord (ezért pl. ha nem lehet DDNS-t használni ezt az állományt kell ide-oda másolgatni).
De meg kell említeni még azt is, hogy a Net Logon szerviz felölel pár kiszolgáló generációt, hiszen ennek segítségével valósul meg az RPC alapú szinkronizáció az egy NT4-es PDC és a BDC-k között.
Ha netalántán leállítjuk vagy letiltjuk ezt a szolgáltatást, akkor ennek a lépésnek valóban kellemetlen következményei lesznek, hiszen nem működik tovább a felhasználók/szolgáltatások hitelesítése, és a DC-k nem tudnak rekordokat regisztrálni a DNS zónákba. Emellett az adott gépről a tartományhoz csatlakozás további problémákat okoz majd, valamint minden további NTLM alapú hitelesítés is megtagadásra kerül, a kiszolgáló pedig láthatatlanná válik a kliensek felől. Szóval ne kísértsük az ördögöt.
Folytatjuk...
Gál Tamás
gtamas@tjszki.hu