Windows Server 2019 Domain Controller Makinesi Network Profili Private Olarak Kalıyor

Windows işletim sistemlerinde ağ bağlantıları için farklı profil türleri mevcuttur: public, private ve domain.

  • Public (Halka Açık): Bu profil tipi, ağ bağlantısının genel bir ağa bağlı olduğu ve güvenlik risklerinin yüksek olduğu durumlarda kullanılır. Bu profilde, diğer cihazlar tarafından erişilebilir hale getirilen ayarlar kapatılır ve ağa bağlı cihazların özellikleri sınırlanır.
  • Private (Özel): Bu profil tipi, ağ bağlantısının genel bir ağ yerine güvenli bir özel ağa bağlı olduğu durumlarda kullanılır. Bu profilde, diğer cihazlar tarafından erişilebilir hale getirilen ayarlar açık kalır ve ağa bağlı cihazlar daha geniş bir özellik yelpazesine sahip olabilir.
  • Domain: Bu profil tipi, bir kuruluşun etki alanına (domain) bağlı olan bilgisayarlar için kullanılır. Bu profil, etki alanı denetleyicisi tarafından yönetilir ve yöneticiler tarafından ağ ayarları merkezi bir şekilde yapılandırılabilir.

Her profil, ağ güvenliği, erişim kontrolü ve diğer ağ özellikleri açısından farklı ayarlar içerir. Profil tipi, ağınızın türüne ve güvenlik ihtiyaçlarına bağlı olarak seçilir.

Buraya kadar her şey güzel veya bildiğiniz şeyler, ancak sorun bir domain controller makineniz var ve network profili Domain olmasını bekliyorken Private olarak kaldığını görüyorsunuz. Hatta Network Location Awareness (NLA) yeniden başlattığınız zaman önce düzeliyor ancak bir süre sonra tekrar eski haline geldiğini görebilirsiniz.

Peki bu neden oluyor? Bunu da anlamak için önce NLA nasıl çalışıyor ona bir bakalım?

NLA, ağ konumunu belirlemek için çalışmaya başladığında, makine, port 389 üzerinden bir etki alanı denetleyicisine bağlanır. Bu algılama başarılı olursa, etki alanı firewall profili (doğru portlara izin verir) alınır ve network location profilini değiştiremeyiz. Ancak, eğer etki alanı bulunamaz veya işlem başarısız olursa, NLA size hangi firewall profili (private veya public) kullanılacağına karar verme imkanı sunar.

Network Location Awareness (NLA) hizmeti, bağlantı için doğru network profilini seçebilmek adına etki alanının içerisinde bulunduğu Forest ismini çözümlemek ister. Bu işi yapan servise “DsGetDcName” denmektedir. Bu servis domain controller üzerinden UDP port 389 ile bir LDAP sorgusu gönderir. Bu sayede aşağıdaki bilgiyi doldurabilir veya güncelleyebilir.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\IntranetForests

DNS adı çözümlemesini veya DC’ye bağlanma denemesini engelleyen bir şey varsa, NLA bağlantıda uygun ağ profili ayarlayamaz.

Bunuda öğrendik ama hala sorunumuz devam ediyor, o zaman çözüm için aşağıdaki yöntemi deneyebilirsiniz.

Not: Bu sorun genelde tek DC olan ortamlarda gözlemleniyor.

Aşağıdaki adımları takip edin

  1. Go to the registery (start > type regedit )
  2. Go to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc
  3. Find the REG_MULTI_SZ key DependOnService
  4. Edit this registry string.
  5. Add Netlogon to the list which is already there.

Özetle ilgili servisin başlaması için bağlantılı olduğu servis listesine NetLogon servisini de ekliyosunuz.

Ardından sunucuyu yeniden başlatmanız yeterli.