Logon Server Gewichtung

Zuweisung Logon Server

Welcher Anmeldeserver ist zuständig

Wie findet ein Client einer Domäne seinen Logon Server?

Wenn ein Client gerade Mitglied einer Domäne geworden ist, fragt dieser während des Startvorgangs seinen primären DNS-Server an, welche Domain-Controller es gibt. Sein Standort ist bereits bekannt.

Die erste Abfrage dazu lautet:

_ldap._tcp.ESSEN._sites.dc._msdcs.XXXX.LOCAL*

Welcher Anmeldeserver ist zuständig

Die Antwort des DNS-Server beinhaltet einer Liste aller Domänen-Controller, die seiner Site zugewiesen sind.

Der Client klopft die Domain-Controller seiner Site der Reihe nach ab. Meldet sich ein DC zurück, dann wird das sein primärer Anmeldeserver.

Bekommt der Client aus seiner Site keine Antwort, dann muss er davon ausgehen, dass diese Offline sind.

Der Client fragt nun die Domäne nach einem DC.

Die zweite Abfrage lautet:

_ldap._tcp.dc._msdcs.XXXX.LOCAL

Präferierter Logon Server

Aktuell gibt es eine Schwachstelle im Aushandlungs-Algorithmus von Netlogon AES-CFB8:

Unauthenticated domain controller compromise by subverting Netlogon cryptography (CVE-2020-1472)

Netlogon Remote Protocol:

[MS-NRPC] CVE-2020-1472

https://www.der-windows-papst.de/2020/09/06/browser-security-check/