Active Directory Etki Alanında Grup İlkesi İşleme Hatalarıyla İlgili Sorunları Giderme

Active Directory (AD) etki alanının üyeleri, çeşitli nedenlerle Grup İlkesinin uygulanması konusunda sorunlarla karşılaşabilir. Bu makalede, daha yaygın olarak görülen sorunlardan bazıları ele alınmış ve temel sorunların giderilmesiyle ilgili yönergeler sağlanmıştır.
 
Genel Sorun Giderme
Bu sorunların giderilmesine yönelik ilk adım, sorunun kapsamını belirlemektir. Grup İlkesini yalnızca bir makine işleyemiyorsa sorun büyük olasılıkla söz konusu makinedeki bir arızadan veya yanlış yapılandırmadan kaynaklanır. Sorun daha geniş çapta görülüyorsa bir etki alanı denetleyicisi (DC) veya AD'nin kendisi bu sorunu yaşıyor olabilir.

Yalnızca bir makine etkilenmişse daha fazla sorun giderme işlemine girişmeden önce, etkilenen makinede gpupdate /force komutunu çalıştırın. Bu sayede, hatanın daha sonra çözülmüş geçici bir ağ sorunundan kaynaklanmadığından emin olabilirsiniz.

Bir makine, Grup İlkesini işleyemiyorsa Application günlüğünde genellikle bir veya daha fazla Userenv hatası oluşturur. Yaygın olarak görülen olay kimliği numaraları; 1030, 1053, 1054 ve 1058'dir. Etkilenen makinedeki belirli hataların açıklamaları, temel sorun hakkında biraz fikir verecektir.

DNS Sorunları
Grup İlkesi hatalarının ve diğer birçok AD sorununun en yaygın nedeni ad çözümlemesi sorunudur. Etkilenen bir makinedeki Userenv hataları, "Network path not found" (Ağ yolu bulunamadı) veya "Cannot locate a domain controller" (Bir etki alanı denetleyicisi bulunamıyor) ifadesini içeriyorsa sorun, DNS'den kaynaklanıyor olabilir. Aşağıda, bu tip sorunların giderilmesine yönelik birkaç ipucu sağlanmıştır:

• Etkilenen bir makinede komut istemi açın ve şu komutu çalıştırın: nslookup domain (örneğin,nslookup mydomain.local). Bu komut, etki alanındaki tüm DC'lerin IP adreslerini görüntüler. Başka adresler görüntülenirse muhtemelen DNS'de geçersiz kayıtlar mevcuttur. nslookup komutu, bağımsız DC'lerin adlarını ilgili IP adreslerine çözümlemek için de kullanılabilir.
• Etkilenen makinede ipconfig /all komutunu çalıştırın ve makinenin yalnızca dahili DNS sunucularını kullanacak şekilde yapılandırıldığını doğrulayın. Bir etki alanındaki DNS sorunlarının ana nedeni, yanlış DNS sunucularının kullanılmasıdır ve bu durum kolayca düzeltilebilir. Etki alanına katılan tüm makineler yalnızca dahili DNS sunucularını kullanmalıdır. Dahili DNS sunucuları genellikle DC'lerdir.
• Etkilenen makinenin doğru DNS sunucularını kullandığı görülürse uygun kayıtların var olduğunu doğrulamak için bir DC'deki DNS konsolunu denetleyin. Her DC'nin etki alanı ileriye doğru arama bölgesinde, DC'nin ana bilgisayar adı ve ad "(üst klasörde olduğu gibi)" olmak üzere iki ana bilgisayar (A) kaydının olduğunu doğrulayın. Her iki kayıt da DC'nin IP adresini içermelidir.
• Bir DNS sorunu çözüldükten sonra, etkilenen tüm makinelerde ipconfig /flushdns komutunu çalıştırın. Bu işlem, söz konusu makinelerde çözümleyici önbelleğinde yer alan tüm geçersiz verileri temizler.

Güvenli Kanal Sorunları
Bu tür bir sorun, etki alanına katılan bir makinenin yerel olarak depolanan bilgisayar hesabı parolası AD'deki parolasıyla eşleşmiyorsa oluşur. Güvenli kanal sorunu, bir makinenin DC aracılığıyla kimlik doğrulamayı gerçekleştirmesini önler. Bu sorun genellikle, söz konusu makine, Grup İlkesi güncelleştirmeleri dahil olmak üzere etki alanı kaynaklarına erişmeyi her denediğinde "Access denied" (Erişim reddedildi) hatası olarak ortaya çıkar. Elbette, bütün "Access denied" (Erişim engellendi) olayları güvenli kanal sorunlarından kaynaklanmaz ancak etkilenen bir makinenin Uygulama günlüğünde, "Access denied" (Erişim engellendi) açıklamasına sahip Userenv hataları mevcutsa güvenli kanalı test etmeniz önerilir.

• nltest komutu, bir etki alanı üyesi üzerindeki güvenli kanalı test etmek (ve gerekirse sıfırlamak) için kullanılabilir.
• Bu netdom komutu ayrıca, güvenli kanalı test edebilir ve sıfırlayabilir.
• Test-ComputerSecureChannel PowerShell cmdlet'i güvenli kanalı test etmenin veya sıfırlamanın başka bir yöntemini sunar.
• Etkilenen makinenin etki alanından kaldırılması, AD bilgisayar hesabının sıfırlanması ve etki alanına yeniden katılması durumunda güvenli kanalı sıfırlanacaktır. Ancak bu, her zaman mümkün değildir.

​​​​SYSVOL ile ilgili sorunlar
Grup İlkesi şablon dosyaları, etki alanındaki tüm DC'lerde SYSVOL paylaşımında depolanır. SYSVOL verileri, File Replication System (FRS) veya Distributed File System Replication (DFSR) kullanılarak DC'ler arasında çoğaltılır. Bir DC'de SYSVOL paylaşımı yoksa bu durum genellikle SYSVOL çoğaltması ile ilgili bir sorun olduğunu gösterir.

Saat Uyumsuzluğu
Kerberos kimlik doğrulaması varsayılan olarak, etki alanına katılan makineler arasında en fazla beş dakikalık zaman farkı olmasını gerektirir. Bu eşiğin aşılması, kimlik doğrulama hatasına neden olur ve bu da Grup İlkesinin işlemesini önler. Tek bir istisna dışında etki alanındaki her öğe, saatini AD ile senkronize edecek şekilde yapılandırılmalıdır. PDC Emülatörü FSMO rolünü bulunduran DC, etki alanı için yetkili bir zaman kaynağıdır. Dolayısıyla bu DC, bir etki alanında genel NTP sunucusu gibi harici bir kaynakla senkronize edilmesi gereken tek makinedir.

Windows saat hizmetini yapılandırma hakkında daha fazla bilgiye buradan ulaşabilirsiniz.

Eksik Grup İlkesi Dosyaları
Bir veya daha fazla Grup İlkesi dosyası, SYSVOL'deki depolama konumundan silinmiş olabilir. Dosya Gezgininde SYSVOL\domain\Policies dizinine göz atarak ve Userenv hatalarında belirtilen ilgili dosyaları bulunarak bunu kontrol edin. Her bir GPO'ya ilişkin dosyalar, Policies klasörünün bir alt klasöründe bulunur. Her alt klasör, dosyalarını içerdiği GPO'nun onaltılık genel benzersiz tanımlayıcısı (GUID) olarak adlandırılır.

İlke dosyalarının tüm DC'lerde eksik olduğu görülürse bunlar bir yedekten geri yüklenebilir. Varsayılan Etki Alanı İlkesi veya Varsayılan Etki Alanı Denetleyicisi İlkesi dosyaları eksikse ve yedek mevcut değilse dcgpofix komutu her iki ilkeyi de varsayılan ayarlarına geri yükleyebilir.

 dcgpofix komutu hakkında daha fazla bilgiye buradan ulaşabilirsiniz.