Windows Server

Group Policy Replikasyon Problemleri – FRS BurFlags ve Çözüm Yöntemleri

Merhaba, Domain yapımız içersinde bulunan Domain Controller arasındaki replikasyonlar hayati önem taşır. Özellikle SYSVOL ve Netlogon klasörleri etki alanı içindeki tüm domain controller ile paylaşılır, eğer bir Domain Controller üzerinde bu klasörler yok ise görevini yerine getiremez. Bunun sonucunda kimlik doğrulama yapamaz, etki alanı içinde bulunan Group Policy ‘leri dağıtamaz.

SYSVOL ve Netlogon Paylaşımları Neden Oluşmaz?

SYSVOL ve Netlogon klasörlerinin oluşmamasının bir çok nedeni olabilir. SYSVOL ve Netlogon paylaşım klasörleri Windows Server 2012 öncesinde (FRS) File Replication Services üzerinden eşitleniyordu ancak 2012 sonrasında (DFRS) Distributed File System Replication servisi üzerinde eşitlenmeye başlandı. Eşitleme sorunlarına gelince en çok bilinenleri aşağıdaki gibi sırayalayabiliriz.

  • Yanlış yapılandırılmış antivirüs yazılımı.
  • Firewall yapılandırmaları
  • Yanlış yapılandırılmış NTFS izinleri

Eşitleme problemlerini Windows Server 2012 ve öncesinde Bur Flags bilinen D2 yada D4 değerleri kullanılarak çözülüyordu. Windows Server 2012 sonrası için artık bu yöntem kullanılmıyor. Biz Windows Server 2022 üzerinde bu sorunu nasıl gidereceğimizi inceleyeceğiz.

SYSVOL / Netlogon Restore işlemleri için authoritative ve non-authoritative synchronization adında iki yöntem kullanılmaktadır. Şimdi bu yöntemleri sırayla inceleyeceğiz.

Authoritative ve Non-Authoritative Restore 

Bu restore işlemi ortamda bulunan sağlıklı DC sayısı, sağlıksız DC sayısından daha fazla ise tercih edilmektedir. Örneğin 10 tane DC var ortamda 7 tanesi sağlıklı 3 tanesi sağlıksız. Bu durumda bu yöntem tercih edilir.

Non-Authoritative Restore Adımları

Tek tek yazacağım adımlar ve sıralamaları önemlidir. Bu yüzden adımları eksiksiz yapmak gerekiyor.

Hadi başlayalım.

İlk olarak PDC üzerinde ADSI Edit’i açarak aşağıdaki gibi bağlantı sağlıyoruz.

Aşağıdaki path’i izleyerek tüm Domin Controller için aşağıdaki ayarları yapıyoruz.

CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>

msDFSR-Enabled değerini “TRUE” dan “FALSE” yapıyoruz.

Active Directory Site and Services üzerinde tüm DC’leri eşitliyoruz.

DFSRDIAG POLLAD” komutu çalıştırıyoruz. Bu komut replikasyonu elle ile tetiklemeyi sağlıyor ama aşağıdaki gibi haya alıyoruz. Bunun nedeni DC üzerinde yüklü olmaması. Bunu çözmek için DC’ler üzerine aşağıdaki fetaures’ı kurmak gerekiyor.

Tekrar “DFSRDIAG POLLAD” komutunu kullanıyoruz ve aşağa görüldüğü gibi “Event 4114” logunun oluştuğunu görüyoruz.

Bu işlemlerin ardından ayarlarımız tekrar eski haline getiriyoruz. Replikasyonu yeniden yapıyoruz.

Son olarak “DFSRDIAG POLLAD” komutu giriyoruz ve “Event ID 4614 ve 4604” loglarının oluşmasını bekliyoruz. Bu işlemler sorununda Non-Authoritative Restore sona eriyor.

Non-Authoritative Restore işlemi Windows Server 2012 R2 öncesinde D2 Bur Flags registry kayıt dosyası ile yapılmaktaydı. Windows Server 2012 sonrası (FRS) File Replication Services yerine DFRS) Distributed File System Replication kullanıldığı için artık o yöntemi kullanmıyoruz.

Authoritative Restore

İlk yöntem eşitleme sorunları için yeterli olurken eğer ise yaramaz ise bu yöntemi uygulayabilir. Bu yöntem tüm DC’ler üzerinde Sysvol ve Netlogon klasörlerinin farklı zamanlarda eşitlenmesi durumunda veya hiç oluşmadığı durumlarda kullanılır.

Not: ” 15 dk dan fazla gecikme kabul edilebilmektedir.”

Not: “Authoritative Restore işlemini yapabilmek için etki alanı içinde en az bir tane sağlıklı DC olması gerekmektedir ki bu DC ‘nin de PDC Emulator görevine sahip olması gerekmektedir.

Burada adımlarımız biraz daha farklı.

İlk olarak DC’ler üzerindeki DFS servisini “Stop” ediyoruz ve “Manuel” olarak ayarlıyoruz.

İlk olarak PDC rolüne sahip DC’de başlıyoruz. “netdom query fsmo” komutu ile hangi DC’nin PDC olduğunu buluyoruz.

PDC üzerinde aşağıdaki ayarları yapıyoruz.

msDFSR-Enabled=FALSE

msDFSR-options=1

Diğer tüm DC’leri aşağıdaki gibi ayarlıyoruz.

msDFSR-Enabled=FALSE 

Bu işlemin ardından tüm DC’lerde DFS Replication servisini manuel olarak start ediyoruz ve replikasyonun yapılmasını sağlıyoruz. Bu işlemlerin ardından “Event ID 4114” logunu kontrol ediyoruz.

Şimdi PDC rolüne sahip olan DC dışındaki tüm DC’lerde aşağıdaki ayarları yapıyoruz ve replikasyonları tetikliyoruz.

Bu işlemlerin ardından PDC üzerinde “Event 4602” ve diğer DC’lerde “Event 4114” loglarının gelmesini bekliyeceğiz. Eşitlemeler tamamlandıktan sonra PDC üzerinde de aşağıdaki ayarları yapıyoruz.

DFRS servislerini tüm DC’lerde “Automatic” olarak ayarlıyoruz. Bu işlemlerin ardında Sysvol ve Netlogon klasörlerini tüm DC’lerde oluşmuş ve eşitlenmiş olması gerekmektedir.

Şimdi test zamanı, DC1 üzerinde yeni bir klasör oluşturuyorum “cozumpark“.

Oluşturduğum “cozumpark” klasörü aynında DC2 üzerinde de oluşuyor.

Görüldüğü gibi herhangi bir replikasyon sorunumuz kalmadı ve her şey sağlıklı çalışıyor.

Bonus

repadmin /syncall /AdeP – Bu komut tüm Forest içerisindeki Domain Controller’larınızı force ederek replike eder.

Komutun açılımları;

A(ll partitions)

P(ush)

e(nterprise, cross sites)

d(istinguished names)

Aşağıdaki komut setleriyle Configuration,Schema,Partitions bölümlerini replike edebilirsiniz;

repadmin /syncall /APed dc=domain,dc=com  – Directory partition

repadmin /syncall /APed cn=configuration,dc=domain,dc=com  – Configuration Partition

repadmin /syncall /APed cn=schema, cn=configuration,dc=domain,dc=com  Schema Partition

repadmin /syncall dst-dc01 dc=contoso,dc=com /d /e /a – Bir DC’yi bütün replikasyon partnerları ile replike etmek içinse;

repadmin /replsummary – Replikasyon hakkında özel bilgi verir.

repadmin /queue – AD üzerinde replikasyın için ögelerin ne kadarının kuyrukta beklediğini belirtmektedir.

Repadmin / Showrepl  – Çoğaltma topolojisi ve çoğaltma başarısızlığını anlamaya yardımcı olur.

Repadmin / syncall – Tüm DC’ler arası eşitlemeyi sağlar, büyük yapılarda network trafiği yaratabilir.

Repadmin / kkc – Gelen çoğaltma topolojisini hemen yeniden hesaplamak için her hedeflenen etki alanı denetleyicisindeki Bilgi Tutarlılığı Denetleyicisini (KCC) zorlar.

Repadmin / replicate – Acil durumlarda repilasyon zamanını beklemeyeden yapılmasını sağlar.

Repadmin /showconn – Connection object’leri arasındaki bağlantı hatalarını görmenizi sağlar.

Daha fazlası için burayı ziyaret edebilirsiniz.

Makaleyi burada bitirirken faydalı olmasını dilerin. Keyifli okumalar, sağlıcakla kalın.

İlgili Makaleler

2 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu