Blog Arksoft
  • Arksoft Bilisim
  • Scripts
    • SCCM (ConfigMgr)
    • Hyper-V
    • WSUS
    • Exchange Scripts
      • Exchange Virtual Directory Config
      • Virtual Directory Script
      • LogPath Config
  • NİSAN 2025
    • Exchange Server 2019 CU15 Apr25HU
    • Nisan 2025:Microsoft Güvenlik Güncellemeleri
    • Power BI Gateway ile On-Prem Verilerin Gücünü Keşfedin!
    • IT Personelleri Neden Adli Bilişim Farkındalık Eğitimi Almalıdır?
    • ''SCCM 2503'' Sürüm Yükseltme Rehberi
  • Mart 2025
    • SCCM Üzerinden Kritere Göre Uygulama ve Deployment’ları Otomatik Silmek
    • Mart 2025: Microsoft Güvenlik Güncellemeleri
  • ŞUBAT 2025
    • SPN Nedir, Kerberos Nasıl Çalışır ve Duplicate SPN Neden Sorun Yaratır?
    • Şubat 2025: Microsoft'un Güvenlik Güncellemeleriyle Sistemlerinizi Güçlendirin!
    • Exchange Server CU15 Güncellemesi
    • log_reuse_wait_desc Nedir ve Ne Anlatır?
  • OCAK 2025
    • Azure SQL Nedir? Temel Bilgiler ve Avantajlar
    • Live Migration için Ağ Kartı Seçerken Dikkat Edilmesi Gerekenler
    • Protected Attribute Nedir? Nasıl Oluşturulur?
    • Ocak 2025 Microsoft Güvenlik Güncellemeleri: Sistemlerinizi Güvende Tutun!
    • CLIUSR Hesabı Neden Önemlidir? CLIUSR sertifikası nedir, neden süresi doldu uyarısı alıyorum?
  • ARALIK 2024
    • TLS 1.2 Öncesi Protokollerin Güvenlik Açıkları ve TLS 1.2/1.3 Önemi
  • Kasım 2023
    • Microsoft Exchange Server Kasım Ayı Güvenlik Güncellemesi
  • Temmuz 2023
    • Microsoft Office Zero-Day Zafiyeti CVE-2023-36884
  • Mayis 2023
    • Hashing ve Salting Kavramları Nedir? Azure AD Parola Güvenliği Nasıl Sağlanır?
  • Nisan 2023
    • DDOS Saldırıları Nedir ve Korunma Yolları Nelerdir?
    • Fidye Yazılımları Nedir ve Korunma Yöntemleri Nelerdir?
    • Ransomwares And Defence Strategies
    • PowerShell Modülleri: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Fonksiyonları: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Cmdlet'ler: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Değişkenleri: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Nedir?
    • Oltalama E-Postalarından Korunma
    • CVE-2023-2033
    • Cloud Computing and Its Advantages
    • Bulut Bilişim Nedir ve Bulut Bilişimin Avantajları Nelerdir?
    • Bilgi ve İletişim Güvenliği Rehberi Nedir ve Rehbere Uyumlu Olmak Neden Önemlidir?
  • Mart 2023
    • Sık Kullanılan Portlar ve Üzerinde Çalışan Protokoller
    • Siber Güvenlik ve İnternet Dünyasında Güvende Kalmanın Yolları
    • Outlook Kullanıcılarına Uyarı: CVE-2023-23397 Güvenlik Açığına Karşı Önlem Alın
  • Şubat 2023
    • Üçüncü Parti Uygulamaların Güncellenmesinin Önemi
  • Aralık 2022
    • Siber Tehdit
    • FRS to DFSR Migration
  • Kasım 2022
    • Domain Controller 2022 Kasım Ayı Bug'ı
  • Mart 2022
    • OWA ve ECP erişim sorunu: Microsoft Exchange Server Auth Certificate is expired
    • MIM 2016 SSPR Türkçe Karakter Problemi
  • Haziran 2021
    • KMS (Key Management Service)
  • Ağustos 2020
    • Microsoft Teams Konuk (Guest) Erişimi ve Dış (External) Erişim- Sizin için hangisi uygun?1
    • SCCM 2006 Güncellemesi
    • Skype For Business 2019 Kurulumu- Hata Kodu 1603 (Server.msi(Feature_Server, Feature_HealthyAgent))
    • Skype for Business 2019 “Centralized Logging” Servisinin Başlatılamaması Problemi ve Çözümü
  • Temmuz 2020
    • Clean Inactive Agents from Operations Manager
  • Haziran 2020
    • Microsoft Teams Katılımcı Raporu İndirme
    • Microsoft Teams Toplantı ve Grup Sohbet Sınırı 300'e çıkarıldı
  • Mayıs 2020
    • MIM 2016 Service and Portal Kurulumundaki Bug
    • Telegram ve Powershell ile Sistem İzleme-Part 1
  • Ekim 2019
    • Windows Server 2019 Active Directory Domain Services Kurulumu
  • Nisan 2019
    • Huawei FusionCompute Kurulumu
  • Mart 2019
    • Password Reveal Düğmesi
  • Ocak 2019
    • ReportServer Veri Tabanı içerisinden RDL Dosyalarının Çıkartılması
  • Temmuz 2018
    • Active Directory Certificate Services - SHA1’ den SHA2’ ye Yükseltme
    • Local Administrator Password Solution
Powered by GitBook
On this page
  • Active Directory Ortamında SPN Nedir?
  • SPN Neden Önemlidir?
  • SPN ve Kerberos Protokolü
  • Kerberos Ticket ile Kimlik Doğrulama Süreci
  • Duplicate SPN Nedir ve Nasıl Oluşur?
  • Duplicate SPN Kayıtlarının Zararları
  • SPN Nerelerde Kullanılır?
  • SPN’leri Yönetmek ve Yapılandırmak
  1. ŞUBAT 2025

SPN Nedir, Kerberos Nasıl Çalışır ve Duplicate SPN Neden Sorun Yaratır?

Elif Kartal

Active Directory Ortamında SPN Nedir?

SPN, belirli bir formata uygun olarak tanımlanan ve bir hizmeti benzersiz şekilde tanımlayan bir özniteliktir. Active Directory’de aynı etki alanı (domain) içinde her SPN benzersiz olacak şekilde yapılandırılmalıdır.SPN’ler; MSSQL, IIS, EXCHANGE, SAP gibi popüler uygulamaların yönetimi ve Kerberos protokolü çerçevesinde Service Ticket (Servis Bileti) oluşturma ve doğrulama işlemleri için kullanılır.SPN'ler genellikle bilgisayar objeleri, servis hesapları (gmsa) veya kullanıcılar tarafından alınabilir. Ancak dikkat edilmesi gereken bir husus, bu hesapların genellikle gereğinden fazla yetkiyle donatılmasıdır. Örneğin, bu hesaplar sık sık yetkili gruplara (Administrators veya Domain Admins gibi) dahil edilir ve bu durum güvenlik risklerini artırır.

SPN Neden Önemlidir?

Active Directory (AD) ortamlarında, Service Principal Name (SPN) kayıtları, hizmetlerin kimlik doğrulama süreçlerinde kritik bir rol oynar. SPN’ler, istemcilerin doğru hizmete erişimini sağlayan benzersiz tanımlayıcılardır ve bu tanımlayıcılar, Kerberos protokolü tarafından kimlik doğrulama için kullanılır. Ancak, SPN’lerin doğru yapılandırılmadığı veya çakışmaların olduğu durumlarda, kimlik doğrulama sistemlerinde ciddi problemler yaşanabilir. Peki, SPN tam olarak nedir ve nasıl kullanılır?

SPN ve Kerberos Protokolü

Kerberos, güvenli bir kimlik doğrulama protokolüdür ve büyük, dağıtık sistemlerde kullanılır. MIT tarafından geliştirilmiştir. Kerberos'un temeli, merkezi bir Kimlik Doğrulama Sunucusu (KDC) üzerinden çalışır. KDC'nin iki ana bileşeni vardır:

  1. Authentication Server (AS): Kullanıcı kimlik doğrulamasını yapar.

  2. Ticket Granting Server (TGS): Kullanıcıya erişmek istediği servise ait "bilet" (ticket) verir.

Öne Çıkan Özellikler

  • Güvenli Şifreleme: Tüm iletişim şifreli olup güçlü şifreleme algoritmaları kullanılır.

  • Bilet Tabanlı Sistem: Kullanıcı bir kez doğrulandıktan sonra tekrar kimlik doğrulama yapmaz.

  • Karşılıklı Kimlik Doğrulama: Hem istemci hem de sunucu birbirini doğrular.

Avantajları

  • Ağ üzerinden şifre gönderimini engeller.

  • Dağıtık sistemlerde ölçeklenebilir çözüm sunar.

Dezavantajları

  • Zaman Senkronizasyonu: Sunucuların ve istemcilerin saatlerinin uyumlu olması gerekir.

  • Kritik Rol: KDC’nin çalışmaması, tüm kimlik doğrulama sürecini engeller.

Kerberos Ticket ile Kimlik Doğrulama Süreci

Kerberos kimlik doğrulama süreci aşağıdaki adımlarla gerçekleşir:

  1. İstemci, KDC'den kimlik doğrulama bileti (TGT) talep eder.

  2. KDC, doğrulama yapar ve şifreli TGT ile birlikte bir oturum anahtarı gönderir.

  3. İstemci, TGT'yi saklar ve süresi dolarsa yeni bir TGT talep eder.

  4. İstemci, bir hizmete erişmek için TGT'yi TGS'ye iletir.

  5. TGS, kullanıcının hizmete erişim yetkisini kontrol eder ve bir oturum anahtarı gönderir.

  6. İstemci, bu oturum anahtarını hizmete ileterek kimliğini doğrular ve erişim sağlanır.

Duplicate SPN Nedir ve Nasıl Oluşur?

SPN’ler, Active Directory veri tabanında objelere ait öznitelikler olarak saklanır ve benzersiz olmalıdır. Eğer birden fazla hesapta aynı SPN tanımlanırsa (duplicate SPN), kimlik doğrulama sorunları ortaya çıkar. Bu nedenle duplicate SPN’lerin tespiti ve çözümü oldukça önemlidir.

Bu durumun başlıca sebepleri şunlardır:

  • Hizmet hesapları veya sunucular oluşturulurken aynı SPN’nin birden fazla hesap veya bilgisayar nesnesine atanması.

  • Bir hizmetin yeni bir sunucuya taşınması, ancak eski sunucudaki SPN’nin kaldırılmaması.

  • Hizmetlerin kopyalanması veya yedeklenmesi sırasında aynı SPN’nin tekrar tanımlanması.

  • SPN’lerin yanlışlıkla birden fazla hesap veya sunucuya elle atanması.

Duplicate SPN Kayıtlarının Zararları

Duplicate SPN’ler, Active Directory ortamında çeşitli problemlere yol açabilir. Özellikle Kerberos kimlik doğrulama süreçlerini etkileyerek sistem güvenliğini ve performansını olumsuz yönde etkileyebilir.

Kerberos protokolü, her SPN’nin yalnızca bir hesapta tanımlı olmasını bekler. Ancak duplicate SPN söz konusu olduğunda, istemciler doğru sunucuyu bulmakta zorlanır ve bu da oturum açma hatalarına ve hizmet kesintilerine neden olabilir.

Duplicate SPN’ler, istemcilerin yanlış sunuculara yönlendirilmesine sebep olabilir. Bu durum, kimlik bilgisi hırsızlığına yol açabilecek güvenlik açıkları yaratır. Özellikle "man-in-the-middle" (MITM) saldırılarına karşı sistem savunmasız hale gelebilir.

Duplicate SPN’ler, kimlik doğrulama gerektiren veritabanı veya web sunucusu gibi hizmetlere erişimde problemlere yol açabilir. Sonuç olarak, performans düşebilir veya hizmet tamamen erişilemez hale gelebilir.

Duplicate SPN hataları, Active Directory ve Kerberos günlüklerinde sıkça kimlik doğrulama hatalarına ve çakışma kayıtlarına neden olur.

SPN Nerelerde Kullanılır?

SPN’ler, birçok farklı senaryoda kritik bir rol oynar.

IIS (Internet Information Services)

IIS sunucuları, SPN’leri kullanarak web uygulamalarında güvenli bir şekilde Kerberos tabanlı kimlik doğrulama yapar. Özellikle intranet ortamlarında SPN’lerin doğru yapılandırılması hayati öneme sahiptir.

Microsoft SQL Server

SQL Server’da SPN kayıtları, veritabanı bağlantılarında kimlik doğrulama için kullanılır. SPN’ler yanlış yapılandırıldığında Kerberos kimlik doğrulaması başarısız olabilir ve daha az güvenli protokoller (örneğin NTLM) devreye girebilir.

Exchange Server

Exchange Server’daki hizmetler (örneğin Outlook Web App veya EWS), kullanıcıların güvenli kimlik doğrulaması için SPN kullanır.

Azure Active Directory

Hibrit kimlik doğrulama senaryolarında, SPN’ler Azure AD ile on-premise sistemler arasında Kerberos’un sorunsuz çalışmasını sağlar.

SharePoint

SPN’ler, SharePoint hizmetlerinde kullanıcıların kimlik bilgilerinin güvenli bir şekilde doğrulanmasını destekler ve Kerberos tabanlı yetkilendirme mekanizmasını mümkün kılar.

SPN’leri Yönetmek ve Yapılandırmak

SPN’ler, Active Directory ortamında setspn aracı kullanılarak yönetilir.

Yeni SPN Kaydı Ekleme

setspn -A MSSQLSvc/sunucuadi.domainadi.com:1433 domain\servisadi

Duplicate SPN Kontrolü

setspn -X

SPN Silme

setspn -x hizmet_hesabi /sunucuadi.domainadi.com

Mevcut SPN’leri Listeleme

setspn -L domain\hizmet_hesabi

Tüm SPN’leri Listeleme (PowerShell):

Get-ADObject -Filter {servicePrincipalName -like "*"} -Properties servicePrincipalName | Select-Object Name, servicePrincipalName

Active Directory ortamında SPN’ler, güvenli ve verimli kimlik doğrulama süreçleri için hayati bir role sahiptir. Ancak yanlış yapılandırılmış SPN’ler, güvenlik açıklarına ve operasyonel sorunlara neden olabilir. Bu nedenle, SPN’lerin doğru bir şekilde yönetilmesi, duplicate kayıtların tespiti ve kaldırılması gibi işlemler düzenli olarak gerçekleştirilmelidir.

Siz de SPN’lerinizi doğru yapılandırarak, Active Directory ortamınızın güvenliğini ve işleyişini optimize edebilirsiniz.

PreviousMart 2025: Microsoft Güvenlik GüncellemeleriNextŞubat 2025: Microsoft'un Güvenlik Güncellemeleriyle Sistemlerinizi Güçlendirin!

Last updated 2 months ago