¿Cómo "esconder" tus Controladores de Dominio?

Hola, soy Yolanda Muñoz, del equipo de Directorio Activo. En algunas ocasiones, nos hemos encontrado con la necesidad de disminuir la carga de logon en determinados DCs o bien por ser el de menor recursos hardware del Site o porque se encuentre destinado a otro tipo de operaciones/aplicaciones. En estos casos sugerimos implementar las siguientes recomendaciones:

  • Quitar la opción de GC.
  • Ajustar el “weight” (peso) y la “priority” (prioridad) de los registros SRV en DNS para minimizar el número de peticiones de logon recibidas por los DCs.
    • Si lo que queremos conseguir es reducir proporcionalmente el número de peticiones clientes recibidas, ajustaremos el “weight”.
    • Sin embargo, si lo que queremos es minimizar al máximo el número de peticiones recibidas,ajustaremos la “priority”.

En esta ocasión nos detendremos a explicar la segunda de las recomendaciones:

  • El Directorio Activo asigna por defecto el valor de 100 para el “weight”. Si queremos reducir a la mitad el número de peticiones atendidas por el DC, crearemos la clave del registro que controla dicho valor y lo estableceremos a 50.

Como cambiar el “weight” de los registros SRV en DNS:

1. In the Run dialog box, type regedit, and then press ENTER.
2. In the registry editor, navigate to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 3. Click Edit, click New, and then click DWORD value.
4. For the new entry name, type LdapSrvWeight, and then press ENTER. (The value
name is not case sensitive.)
5. Double-click the entry name you just typed.
6. In the Edit DWORD Value dialog box, select Decimal as the Base option.
7. Enter a value between 0 and 65535 (the recommended value is 10), and then click OK.
8. Click File, and then click Exit to close the registry editor.

  • El Directorio Activo asigna por defecto el valor de 0 para la “priority” . Así, si creamos la clave del registro que controla dicho valor y lo establecemos a 200, las peticiones de autenticación de los clientes serán atendidas por los DCs cuya “priority” sea menor. De esta manera, el equipo configurado con mayor valor de “priority” no atenderá ninguna petición siempre que existan DCs disponibles con un valor de “priority” menor.

Cuando el valor de “priority” es el mismo para varios DCs, el valor especificado en “weight” determinará el orden en que los servidores van a ser contactados por los clientes.

Como cambiar la “priority” de los registros SRV en DNS:

1. In the Run dialog box, type regedit, and then press ENTER.
2. In the registry editor, navigate to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 3. Click Edit, click New, and then click DWORD value.
4. For the new entry name, type LdapSrvPriority
, and then press ENTER.
5. Double-click the entry name that you just typed.
6. In the Edit DWORD Value dialog box, select Decimal as the Base option.
7. Enter a value between 0 and 65535 (the recommended value is 500), and then click OK.
8. Click File, and then click Exit to close the registry editor.

Para que los valores mencionados anteriormente sean efectivos, es necesario reiniciar el servicio de Netlogon (net stop netlogon && net start netlogon). El servicio al iniciar leerá la nueva configuración y actualizará los registros en DNS con los nuevos valores, siempre que las actualizaciones dinámicas estén permitidas en la zona.

Los nuevos valores quedan reflejados tanto en el archivo netlogon.dns ( %Systemroot%\System32\config), como en el netlogon.log (%Systemroot%\debug) si el valor DBFlag está establecido a 0x2080FFFF.

- Yolanda Muñoz Muñoz