Active Directory Ortamınızda SYSVOL ve Netlogon Paylaşımı Görünmüyor mu?

Active Directory altyapısı kurarken genellikle çok sayıda Domain Controller (DC) ile yedekli bir yapı oluştururuz. Bu yüksek erişilebilirlik ve güvenli replikasyon için vazgeçilmez bir uygulamadır. Ancak bazı durumlarda özellikle yeni bir DC eklendiğinde veya sistemde beklenmedik bir kesinti yaşandığında SYSVOL ve Netlogon paylaşımlarının bazı DC’lerde görünmemeye başladığını fark edebiliriz.

Peki bu ne anlama gelir? Bu o DC’nin SYSVOL klasörünü düzgün şekilde replikasyon yapmadığı ve dolayısıyla GPO’ların (Group Policy Object) ve logon script’lerin sağlıklı bir şekilde uygulanmadığı anlamına gelir. Başka bir deyişle O DC teoride sistemde var olsa da pratikte pasif ve işlevsiz durumdadır.

Bu makalemde bu kritik sorunu DFSR mimarisi üzerinden Authoritative Synchronization yöntemiyle nasıl kalıcı olarak çözeceğimizi en ince detayına kadar anlatacağız.

Sorunun Belirtileri Nelerdir?

Bu sorunu yaşıyor olabileceğinizi gösteren bazı işaretler şunlardır:

• \\DCName\SYSVOL veya \\DCName\Netlogon paylaşımı açıldığında klasör içeriği görünmüyor.
• Group Policy ayarları kullanıcılara veya bilgisayarlara uygulanmıyor.
• Event Viewer üzerinde DFSR ya da File Replication Service (FRS) hataları bulunuyor.
• repadmin /replsummary çıktısında replikasyon hatası görünmüyor ancak SYSVOL klasörleri tutarsız.

Bu belirtilerden biri bile varsa SYSVOL replikasyonunun çalışmadığı veya eksik olduğu ortadadır. Sorunu çözmek için bir DC’yi (tercihen PDC Emulator rolüne sahip olanı) ana kaynak (authoritative source) olarak belirlememiz ve diğer DC’lerin ona göre yeniden senkronize olmasını sağlamamız gerekir.

Uygulanacak Yöntem: DFSR ile SYSVOL Authoritative Replikasyon

DFSR (Distributed File System Replication) Microsoft’un FRS yerine sunduğu daha modern, güvenilir ve kontrol edilebilir replikasyon mekanizmasıdır. Aşağıda anlatacağımız senaryo DFSR kullanan ortamlar için geçerlidir.

Adım Adım Çözüm Rehberi

1. Tüm DC’lerde DFSR Servisini Durdurun

İlk olarak replikasyon işlemini durdurmalıyız ki yeniden senkronizasyon işlemi sağlıklı şekilde yapılandırılabilsin.

PowerShell ile aşağıdaki komutu çalıştırın:

Invoke-Command -ComputerName DC1, DC2, DC3 -ScriptBlock {Stop-Service DFSR}

DC isimlerini kendi yapınıza göre değiştirin. Amacımız tüm DC’lerde DFSR servisini durdurmaktır.

2. ADSI Edit ile Replikasyon Parametrelerini Güncelleyin

Bu adımda DFSR hizmetinin yeniden yapılandırılabilmesi için bazı Active Directory özniteliklerinde değişiklik yapmamız gerekiyor.

PDC Emulator üzerinde:

• msDFSR-Enabled → FALSE olarak ayarlanmalı.
• msDFSR-Options → 1 olarak ayarlanmalı. (Bu, authoritative mod anlamına gelir.)

Diğer DC’lerde (ADC’lerde):

• Yalnızca msDFSR-Enabled → FALSE olarak ayarlanmalıdır.

🔧 Nasıl yapılır?

1. ADSI Edit konsolunu açın (adsiedit.msc).
2. Default Naming Context altında şu yolu izleyin:
   CN=Domain System Volume (SYSVOL share), CN=DFSR-GlobalSettings, CN=System, DC=domain,DC=local
3. İlgili DC’nin nesnesine sağ tıklayın > Properties > Gerekli öznitelikleri düzenleyin.

3. Active Directory Replikasyonunu Elle Tetikleyin

Bu yaptığımız değişikliklerin diğer DC’lere yayılması için Active Directory replikasyonunu tetiklememiz gerekir.

PDC üzerinde şu komutu girin:

repadmin /syncall DC1 /APed

DC1 burada PDC Emulator’dur.

4. DFSR Servisini Yalnızca PDC Üzerinde Başlatın

Invoke-Command -ComputerName DC1 -ScriptBlock {Start-Service DFSR}

Ardından Event Viewer > Applications and Services Logs > DFS Replication yolunu izleyin. Event ID 4114 görmelisiniz. Bu SYSVOL replikasyonunun authoritative olarak başlatıldığını belirtir.

5. PDC Üzerinde msDFSR-Enabled Değerini Tekrar TRUE Yapın

Bu adım DFSR replikasyonunun PDC üzerinde tekrar aktifleşmesini sağlar.

• msDFSR-Enabled → TRUE

ADSI Edit ile daha önce yaptığınız yerden tekrar düzenleyebilirsiniz.

6. Replikasyonu Tekrar Zorlayınız

repadmin /syncall DC1 /APed

7. DFSR’in AD’den Yeni Ayarları Okumasını Sağlayınız

DFSRDIAG POLLAD

Bu komut DFS Replication servisine “Güncellemeleri Active Directory’den al” talimatı verir.

8. Diğer Tüm DC’lerde DFSR Servisini Başlatınız.

Invoke-Command -ComputerName DC2, DC3 -ScriptBlock {Start-Service DFSR}

Bu DC’lerde de Event ID 4114 görünmelidir. Bu replikasyonun başlatıldığını gösterir.

9. ADC’lerde msDFSR-Enabled Değerini TRUE Yapın

Tüm diğer DC’lerde de msDFSR-Enabled özniteliğini TRUE yaparak DFSR’yi yeniden etkinleştirin.

10. Diğer DC’lerde de DFSRDIAG POLLAD Komutunu Çalıştırın

Her bir DC üzerinde şu komutu girerek yeniden güncelleme tetikleyin:

DFSRDIAG POLLAD

11. Son Adım: Tüm DC’lerde DFSR ve Netlogon Servislerini Yeniden Başlatınız.

Tüm yapı aktif hale gelince, aşağıdaki komutları sırayla çalıştırarak servisleri yeniden başlatınız.

Restart-Service DFSR
Restart-Service Netlogon

Artık \\DCName\SYSVOL ve \\DCName\Netlogon paylaşımları düzgün şekilde çalışıyor olmalı.

Yukarıdaki adımlar DFSR temelli SYSVOL replikasyon sorunlarını çözmek için en güvenilir ve önerilen yöntemdir. Bu işlem özellikle aşağıdaki durumlarda kritik önem taşır:

• Yeni bir DC eklendiğinde SYSVOL içeriği görünmüyorsa
• Ortamda uzun süredir replikasyon hataları fark edilmemişse
• SYSVOL içeriği bir DC’de farklı, diğerlerinde boşsa

Bu işlemi yaptıktan sonra GPO’larınızın uygulanıp uygulanmadığını gpresult /r ve rsop.msc komutlarıyla test edin.