Active Directory Troubleshooting
Aşağıda Active Directory ile ilgili sorunlar ve çözümleri anlatılmıştır.
SYSVOL ve Netlogon Paylaşım Sorunu
Active Directory altyapısı, günümüz kurumsal bilişim ortamlarında kritik öneme sahip bir yapıdır. Kurumlar, kullanıcı yönetimi, grup politikaları ve merkezi kaynak erişimi gibi temel hizmetlerin kesintisiz ve güvenli bir şekilde yürütülmesini sağlamak için çok sayıda Domain Controller (DC) kullanarak yedekli bir yapı oluştururlar. Bu yedekli yapı, sadece yüksek erişilebilirlik sağlamakla kalmaz, aynı zamanda sistem bütünlüğü ve veri güvenliği açısından da önemli bir rol oynar.
Ancak, bazı durumlarda özellikle yeni bir DC eklendiğinde veya beklenmedik sistem kesintileri meydana geldiğinde, SYSVOL ve Netlogon paylaşımlarının bazı DC’lerde görünmediği veya replike olmadığı gözlemlenebilir. Bu durum, ilgili DC’nin SYSVOL klasörünü doğru şekilde replikasyon yapamadığını ve dolayısıyla Group Policy Object (GPO) ile logon script’lerinin sağlıklı bir biçimde uygulanamadığını gösterir. Başka bir deyişle, teorik olarak sistemde mevcut olan bu DC, pratikte pasif ve işlevsiz bir duruma düşmüş demektir.
Bu makalede, DFS Replication (DFSR) mimarisi üzerinden Authoritative Synchronization yöntemi kullanarak bu kritik sorunun nasıl kalıcı bir şekilde çözüleceğini detaylarıyla inceleyeceğiz.
Sorunun Belirtileri
Bu sorunu yaşıyor olabileceğinizi gösteren bazı işaretler şunlardır:
- \\DCName\SYSVOL veya \\DCName\Netlogon paylaşımı açıldığında klasör içeriği görünmüyor.
- Group Policy ayarları kullanıcılara veya bilgisayarlara uygulanmıyor.
- Event Viewer üzerinde DFSR ya da File Replication Service (FRS) hataları bulunuyor.
- repadmin /replsummary çıktısında replikasyon hatası görünmüyor ancak SYSVOL klasörleri tutarsız.
- NETLOGON klasöründe dosya oluşturduğunuz zaman diğer domain controllerde oluşmaması.
Bu belirtilerden herhangi biri gözlemlendiğinde, SYSVOL replikasyonunun ya çalışmadığı ya da eksik gerçekleştiği sonucuna varmak mümkündür. Bu sorunun kalıcı olarak giderilebilmesi için, öncelikle bir Domain Controller’ın —tercihen PDC Emulator rolüne sahip olanın— ana kaynak (authoritative source) olarak belirlenmesi gerekir. Ardından, diğer Domain Controller’ların bu kaynağa göre yeniden senkronize edilmesi sağlanmalıdır.
DFSR (Distributed File System Replication) Microsoft’un FRS yerine sunduğu daha modern, güvenilir ve kontrol edilebilir replikasyon mekanizmasıdır. Aşağıda anlatacağımız senaryo DFSR kullanan ortamlar için geçerlidir.
Sorunun Giderilmesi
PDC rolünün yüklü olduğu sunucuya domain admin ile giriş yapınız. Aşağıdaki komut ile hangi sunucuda olduğunu öğrenebilirsiniz.
netdom query fsmo 
İlk olarak replikasyon işlemini durdurmalıyız ki yeniden senkronizasyon işlemi sağlıklı şekilde yapılandırılabilelim. Bunun için Powershell üzerinde aşağıdaki komutu çalıştırın.
DC isimlerini kendi yapınıza göre değiştirin.
Invoke-Command -ComputerName onko-dc1, onko-dc2 -ScriptBlock {Stop-Service DFSR} 
Yine PDC rolünün yüklü olduğu sunucuda DFSR hizmetinin yeniden yapılandırılabilmesi için ADSI Edit üzerinden connect olarak özniteliklerinde değişikliği yapmamız gerekiyor.
- msDFSR-Enabled → FALSE olarak ayarlanmalı.
- msDFSR-Options → 1 olarak ayarlanmalı. (authoritative mod anlamına gelir.)
ADSI Edit ekranını kapatmadan diğer domain controller üzerinde msDFSR-Enabled değerini sadece FALSE olarak ayarlamak yeterli olacaktır.
PDC rolünün yüklü olduğu sunucuda yaptığımız değişikliklerin diğer domain controllere yayılması için Active Directory replikasyonunu tetiklememiz gerekir.
onko-dc1 sunucusu PDC Emulator olan sunucudur.
repadmin /syncall onko-dc1 /APed 
Şimdi DFSR servisini sadece PDC rolünün yüklü olduğu sunucu üzerinde başlatıyoruz.
Invoke-Command -ComputerName onko-dc1 -ScriptBlock {Start-Service DFSR} 
Ardından PDC rolünün yüklü olduğu sunucu üzerinde Event Viewer → Applications and Services Logs → DFS Replication loglarını açarak Event ID 4114 geldiğini kontrol ediniz. Bu SYSVOL replikasyonunun authoritative olarak başlatıldığını belirtir.
PDC rolünün yüklü olduğu sunucu üzerinde ADSI Edit açıp msDFSR-Enabled Değerini TRUE yaparak DFSR replikasyonunun tekrar aktifleşmesini sağlayın.
PDC rolünün yüklü olduğu sunucuda manuel olarak replikasyonu tekrarlayın.
onko-dc1 sunucusu PDC Emulator olan sunucudur.
repadmin /syncall onko-dc1 /APed PDC rolünün yüklü olduğunu sunucudan aşağıdaki komutu çalıştırarak DFSR’in Active Directory üzerinden yeni ayarları okumasını sağlayınız.
DFSRDIAG POLLAD 
PDC rolünün yüklü olduğunu sunucudan diğer tüm Domain Controller üzerinde DFSR servisini başlatınız.
Invoke-Command -ComputerName onko-dc2 -ScriptBlock {Start-Service DFSR} 
Diğer Domain Controller üzerinde Event ID 4114 olarak görünmelidir. Bu replikasyonun başlatıldığını gösterir.
PDC rolünün yüklü olduğunu sunucudan diğer tüm Domain Controller üzerinde msDFSR-Enabled Değerini TRUE ayarlayınız.
Her bir Domain Controller üzerinde aşağıdaki komutu girerek DFRS için yeniden güncelleme tetikleyin.
DFSRDIAG POLLAD 
Son adımda tüm Domain Controller üzerinde DFSR ve Netlogon Servislerini yeniden başlatınız.
Restart-Service DFSR
Restart-Service Netlogon 
Artık \\DCName\SYSVOL ve \\DCName\Netlogon paylaşımları düzgün şekilde çalışıyor olması gerekmektedir. Bunun için https://github.com/VikasSukhija/Downloads github üzerindeki ADHealtcheck script ile test yapabilirsiniz. Manuel olarak NETLOGON paylaşımı üzerinde her domain controller sunucusunda bir dosya oluşturun ve replika olduğunu doğrulayın.
Ek olarak işlemi yaptıktan sonra GPO’larınızın uygulanıp uygulanmadığını test edebilirsiniz.
gpupdate /force 