Anasayfa » Forum

DC Rol Aktarımı
 
Bildirimler
Hepsini Temizle

DC Rol Aktarımı  

  RSS
Seyfi YILMAZ
(@SeyfiYILMAZ)
Üye

Yedek bir DNS+AD hazırladım Primary DC’den FMSO rollerini aldım
sonrasında diğer domainler ile çalıştığını kontrol için (netdiag
/test:dsgetdc) ile ve rollerin sorunsuz çalıştığını kontrol için (dcdiag
/s:”DC Sunucu adı” /test:knowsofroleholders) ve
(dcdiag /s:”DC Sunucu adı” /test:fsmocheck) komutları ile yaptığım konroller sonucunda:

[ -Schema, -PDC, -RID Pool, -Infrastructure, -Domain Tree Operations, -Global Catalog ] doğru çalıştığı görülüyor.

 

Fakat;

1- Run bölümüne "\\dcserveradı" yazdığımda "SYSVOL" ve "NETLOGON" paylaşımlarının gelmesi gerekiyordu (en azından sysvol kesin gelmeliydi).  Windows altındaki dosyaya (sysvol) manuel paylaşım vererek görünmesini (everyone-->read only) sağladım. Ancak bunun pek sağlıklı olmadığını düşünüyorum ve kurulum ve rollerin alınması esnasında yaptığım bir hata varsa öğrenmeyi çok merak ediyorum.

2. Eski DC'deki saat ayarı yaklaşık 10 saat ileriydi. (Eski DC'ye Rookit Access Zero! isimli bir virus bulaştığı için logon olamıyordum. Bu nedenle saat ayarlarınıda değiştiremedim.) Sistemdeki diğer client pc'lerde de bu saat ayarına göre çalışıyordu.

Yeni DC'nin ayarları doğru fakat yaklaşık 12 saat olmasına karşılık client PC'lerdeki saat ayarları yeni DC ile senkron olmadı. Yapmam gerekenler hakkında bilgilendirirseniz sevinirim.

Alıntı
Gönderildi : 19/10/2011 18:13
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba

1 - Bu paylaşımlar FRS tarafından düzenlenir ve siz elle açsanız bile ilk restart sonrası bu gidecektir ve sonuç olarak o aslında bir dc olarak çalışmaz. Zaten loglara bakarsanız sysvol ve netlogon paylaşımları olmadığı için henüz dc değilim diye bir uyarı görürsünüz. Sanırım henüz replikasyon tamamlanmadı ve görmediğimiz için yorum yapamayacağım hatalar yapmış olabilirsiniz.

2 -  Evet sanırım yukarıdaki sorunun kaynağı burası, dc ler mutlaka aynı saat dilimi veya farklı saat dilimi içerisinde ise bile zaman farkları 5dk yı geçmemelidir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 19/10/2011 18:31
Seyfi YILMAZ
(@SeyfiYILMAZ)
Üye

DC kurulumundan sonra saat problemi olan DC devre dışı bıraktım. Saat ayarlarını düzelttim. Sistem yaklaşık 10 dakika çalıştıktan sonra DCServer saat ve tarih ayarları değişiyor.  Event bölümünde Application Bölümünden Error:1030 / 1058 / 1097 hatalarını aldım.

1030 / 1058 için "Regedit " ayarlarından winlogon'a   "WaitForNetwork" değerini girip "value=1"' e ayarladım.

Ancak sonuç alamadım. Virüs kontrolü de yaptım temiz çıktı.

Run'dan \\DCServerName komutu ile Sysvol ve Netlogon görmek için tıkladığımda giriş yetkilendirmesini kontrol edin giriş işlemi reddedildi uyarısı alıyorum.

DC üzerinden  \\DCServerName komutu normal değer döndürüyor ve Sysvol ve Netlogon klasörlerini görüyorum. windows altından el ile paylaşım verdiğimde ise bu klasör zaten paylaşımda uyarısı alıyorum. Konu hakkında yardımlarınızı bekliyorum

CevapAlıntı
Gönderildi : 21/10/2011 12:20
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Açıkcası sistemin durumu hiçte iyi değil, eğer lab ortamı ise yeniden kurulum yapın çünkü çok zaman ister, eğer prod ortamı ise destek almanızı tavsiye ederim,

Eğer destek alacak bir bütçeniz yok ise buradan yardımcı olmaya çalışalım.

Öncelikle sağlıklı bir adet dc lazım bize, yani en azından üzerinde sysvol ve netlogon sharing olan bir tanesi bizim için yeterli olur sizde durum nedir bu şekilde 1 dc var mı ?

Eğer yok ise bu durumda elinizdeki dc dede aslında paylaşım yok demektir, eğer durum bu ise aşağıdaki değişikliği yapıp 15dk bekleyerek paylaşımların gelmesini bekleyin, ancak bunu ortamda tek dc veya birden çok dc olsa bile en güncel policylerin olduğunu düşündüğünüz bir dc üzerinde yapın

1- File Replication Service servisi stop edilir.

2- “HKLM\System\Ccs\Services\Ntfrs\Parameters\Backup/restore\Process at startup” altında bulunan “burflags” değerini “D2“ yapıyoruz.

3- File Replication Service servisi start edilir.

4- 5-10 dk. Beklendikten sonra event id 13516 beklenir. Bu event alındıktan sonra c:\windows\sysvol klasörü kontrol edilir.

5- File Replication Service Event Loglarında aşağıdaki event ları görmek gerekiyor :

13553 – The DC is performing the recovery process - 13554 – The DC is ready to pull the replica from another DC – 13516 – At this point go to step 6. (bu event’ ı gördüyseniz sorunuz çözülmüş demektir)

6- Son olarak net share komutu ile Netlogon ve Sysvol klasörlerinin paylaştırılmış olmasını doğrulamamız gerekmektedir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 21/10/2011 13:45
Seyfi YILMAZ
(@SeyfiYILMAZ)
Üye

Hakan hocam;

maalesef prod ortam ve destek almamız mümkün değil.

söylediklerinizi yaptım. Sonuç biraz daha kötüledi. Yeni dc sadece kendini görüyor. yani aldığım rolleri tekrar geri vermek istedim olmadı.

Bunun için önce yeni dc üzerinden console aracılığı ile denedim sonrasında ntdsutil ile transfer ettim olmadı. Son olarakta "Seize  PDC" ve diperlerini denedim yine olmadı. Sistemimde 150 account 80'e yakın pc var anlayacağınız durumum pek iç açıcı değil vereceğiniz her yardım için mutluluk duyarım. Şu anda domainde ortada yok. Eğer çözüm bulamazsam group policy backup'ını almıştım domain'i tekrar kurup tüm işlemlerimi tek tek manuel işleyeceğim. her şey için teşekkürler.

CevapAlıntı
Gönderildi : 21/10/2011 16:05
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Seyfi bey dediğim gibi durum iç açıcı olmadığı için ben ilk destek alın dedim 🙁

Yardım etmek tabiki isterim ancak forum üzerinden ne kadar sürer çözüm bunu bilemiyorum,

siz event id  bilgilerini verirseniz sorunu biraz daha iyi anlamaya çalışalım

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 23/10/2011 20:07
Seyfi YILMAZ
(@SeyfiYILMAZ)
Üye

Hakan hocam,

ntdsutil de "Seize ..."  ile bir kaç defa tekrar ederek rolleri geri alabildim ve sistemi ilk haline geri getirebildim. sistem saat problemi olan DC'nin setup ayarlarına girerek düzeltme yaptım ve tekrar çalıştırdım. son kurduğum yedek DC'nin saat ayarı 10 saat ileri gidiyordu. (sanırım virüs kaynaklı usa-canada saat ayarına çekiyor.) Virüs temizliğinden sonra saat ayarını "İstanbul" olarak düzettim ve 2 gündür sapma olmadı. Exchange çalışması da düzgün. "Sysvol" ve "Netlogon" paylaşımları geri aldığım ilk DC'de sorunsuz görünüyor.

Yedek kurduğum DC'nin adını "\\DCServerAdı"  yazdığımda "Hedef hesap adı doğru değil" hatası alıyorum fakat "\\ip adresi" olarak yazdığımda sysvol ve netlogon paylaşımları ile görünüyor. DNS hizmetini 2 DC ile veriyorum. İsim çözümleme sorunu olduğunu düşündüğüm için her iki DNS kayıtlarında da "Forward Lookup Zone" Host (A) ve Name Server (NS) isimlerini görüyorum.

Son olarak ulaşılamayan DC için

nslookup kontrolünde "Name"  komutu ile

DNS requsrt time out

timeout was 2 seconds

Request to "DCadı.domainadı..."     time out

cevabı almaktayım. sanırım bu sorunu da halledebilirsem şimdilik sistemimi çalıştırmayı başaracağım.

cevabınız için şimdiden teşekkürler

CevapAlıntı
Gönderildi : 25/10/2011 14:18
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Öncelikle sysvol ve netlogon sharing var ise bunlar sizin işinizi görür, bunlar logon için önemli paylaşımlar. Ayrıca

netdom query fsmo 

çıktısındaki dc isimleri ise dns üzerinde srv kayıtlarındaki dc ismi tutuyor ise ( örneğin pdc kaydı için ) bu da iyi bir gelişme demektir.

DNS üzerinde name server olarak sadece mevcut olan dc lerin olduğunu doğrulayın eski server var ise onu silin.

Benzer şekilde site and services konsolunda eski dc yani olmayan dc var ise silmek için metadata cleanup yapın, bunu için dosyalardaki hazır script kullanılabilir.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/10/2011 19:56
Seyfi YILMAZ
(@SeyfiYILMAZ)
Üye

ulaşılamayan DC'den kastım domainde olmayan veya networke bağlı olmayan bir server değildi.

Bahsettiğim server yedek DC ve faal olarak çalışıyor ve "sysvol" ve "netlogon" paylaşımları var fakat run bölümünden "\\DCName" olarak çağırdığımızda ulaşılamadığı mesajı geliyor fakat aynı işlemi \\ipadresi olarak yaptığımda sorun olmuyor. yazdığınızı da kontrol edip sizlere tekrar dönerim.

teşekkürler.

CevapAlıntı
Gönderildi : 25/10/2011 20:10
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bu sorun değil, dns uzantısını yazarsan gelecektir, yani domain cozumpark.com ise \\cozumpark.com olarak yaz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 26/10/2011 01:48
Seyfi YILMAZ
(@SeyfiYILMAZ)
Üye

Dediğinizi denemiştim. \\serveradı.domainadı olarak da çağırdığımda aynı hatayı alıyorum. sadece ip ile çağırınca cevap olumlu dönüyor.

CevapAlıntı
Gönderildi : 27/10/2011 01:23
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

bu durumda dns de sorun var demektir.

DNS üzerinde name server olarak ne görüyorsunuz ?

Ayrıca cozumpark.com sizin zone olsun, bunun içinde new A kaydı oluşturun ama ismi boş olsun ve buna sizin sağlam dc hangisi ise yani sysvol sharing olan onun ip adresini yazın, cache i temizleyin ve öyle deneyin

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/10/2011 02:49
Paylaş: