Domain Controller Kaldırma Sorunu, Kalıcı Metadata Temizliği

Domain Controller Kaldırma Sorunu, Kalıcı Metadata Temizliği.

Active Directory ortamlarında domain controller kaldırma işlemi bazen beklenmedik zorluklarla karşılaşabilir. Bu teknik rehber, dirençli DC metadata kalıntılarının temizlenmesi için ileri düzey çözüm yöntemlerini detaylandırmaktadır.

Problem Tanımı

Windows Server ortamlarında eski domain controller'ların (DC) sistemden kaldırılması sırasında metadata kalıntıları, replikasyon sorunlarına ve sistem kararsızlığına neden olabilir. Standart metadata cleanup işlemleri her zaman yeterli olmayabilir ve bu durumda daha derinlemesine müdahale gerektiren yöntemlere başvurmak gerekir.

Senaryo Analizi

Bu rehberdeki örnek senaryoda, Windows Server 2016 tabanlı PDC2016 sunucusu Windows Server 2022 ile değiştirilmiş, ancak eski DC'nin metadata kalıntıları sistemde varlığını sürdürmeye devam etmiştir. FSMO rolleri transfer edilmiş ve replikasyon doğrulanmış olmasına rağmen:

• Metadata cleanup işlemi tamamlanmış görünse de objeler hala mevcut
• Replikasyon sürekli eski sunucu kalıntılarını restore ediyor
• ADSI Edit ile manuel silme işlemleri başarısız oluyor
• DNS kayıtları sürekli yeniden oluşuyor

Çözüm Metodolojisi

Aşama 1: LDAP Seviyesinde Doğrudan Müdahale

Standart araçlar yetersiz kaldığında, ldp.exe aracı ile LDAP seviyesinde doğrudan müdahale gerekir. Bağlantı Kurulum Süreci:

1. LDP.exe Başlatma ve Bağlantı:
   • ldp.exe uygulamasını çalıştırın
   • Connection → Connect menüsüne gidin
   • Sunucu: Aktif çalışan DC'nin FQDN adresi
   • Port: 389 (LDAP) veya 636 (LDAPS)
2. Kimlik Doğrulama:
   • Connection → Bind seçeneğini kullanın
   • Domain Administrator yetkilerine sahip hesapla oturum açın
3. Konfigürasyon Container'ına Erişim:
   • View → Tree menüsünden Base DN olarak şu path'i girin:

   CN=Configuration,DC=domain,DC=com 

Nesne Lokalizasyonu ve Silme: Ağaç yapısında şu hiyerarşiyi takip edin:

CN=Sites → CN=Default-First-Site-Name → CN=Servers → CN=PDC2016 

Kritik Silme Sırası:

1. Önce CN=NTDS Settings nesnesini silin (PDC2016 altında)
2. Ardından CN=PDC2016 ana nesnesini silin
3. Her silme işlemi sonrası replikasyon durumunu kontrol edin

Aşama 2: DNS Infrastructure Temizliği

DNS kalıntıları sistem performansını düşürür ve gelecekteki AD işlemlerinde sorun yaratabilir. DNS Management Console İşlemleri:

1. Forward Lookup Zones Temizliği:
   • dnsmgmt.msc konsolunu açın
   • İlgili domain zone'unda PDC2016 için tüm A ve CNAME kayıtlarını silin
   • PTR kayıtları için Reverse Lookup Zones'u da kontrol edin
2. Service Location (SRV) Records Temizliği:
   • _msdcs.domain.com alt domain'inde GUID tabanlı kayıtları silin
   • _sites altında Default-First-Site-Name içindeki PDC2016 referanslarını temizleyin
   • _tcp ve _udp protokol kayıtlarını gözden geçirin

Aşama 3: Replikasyon Doğrulama ve Senkronizasyon

Sistem Geneli Replikasyon Tetikleme:

repadmin /syncall /AdeP 

Bu komut tüm domain controller'lar arasında tam senkronizasyon başlatır. Replikasyon Durumu Kontrolü:

repadmin /showrepl * 

PDC2016 referanslarının tamamen temizlendiğini doğrulayın. Topology Kontrolleri:

repadmin /kcc repadmin /showconn 

Aşama 4: Sistem Bütünlüğü Kontrolü

Active Directory Database Kontrolü:

dcdiag /v dcdiag /test:replications 

Forest/Domain Functional Level Kontrolü:

netdom query fsmo 

FSMO rollerinin doğru sunucularda olduğunu doğrulayın.

Alternatif Çözüm Yöntemleri

Method 1: Authoritative Restore Yaklaşımı

Kritik durumlarda, authoritative restore işlemi ile belirli objeler silinebilir:

ntdsutil authoritative restore restore object "CN=PDC2016,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com" 

Method 2: PowerShell AD Module Kullanımı

Get-ADObject -Filter 'Name -like "*PDC2016*"' -SearchBase "CN=Configuration,DC=domain,DC=com" -IncludeDeletedObjects Remove-ADObject -Identity "CN=PDC2016,..." -Confirm:$false 

Önleme Stratejileri

Planlama Aşaması Kontrolleri:

• DC kaldırma öncesi tüm FSMO rollerinin başka sunuculara transfer edilmesi
• Global Catalog rolünün kontrol edilmesi
• Replikasyon sağlığının doğrulanması

Monitoring ve Alerting:

• Replikasyon hatalarının sürekli izlenmesi
• DNS zone health kontrollerinin otomatikleştirilmesi
• AD database consistency check'lerinin düzenli çalıştırılması

Troubleshooting İpuçları

Yaygın Hatalar ve Çözümleri:

1. "Access Denied" Hataları:
   • Schema Admin veya Enterprise Admin yetkilerini kontrol edin
   • PDC Emulator rolünün erişilebilir olduğunu doğrulayın
2. Replikasyon Sürekli Geri Getirme:
   • Tüm DC'lerde aynı işlemleri gerçekleştirin
   • Bridgehead server konfigürasyonunu kontrol edin
3. DNS Resolution Sorunları:
   • Forwarders ve root hints ayarlarını gözden geçirin
   • Cache temizliği yapın: ipconfig /flushdns

Sonuç ve Öneriler

Domain Controller metadata temizliği, Active Directory altyapısının sağlığı için kritik bir işlemdir. Standart araçların yetersiz kaldığı durumlarda, LDAP seviyesinde müdahale ve kapsamlı DNS temizliği ile sorunlar çözülebilir. Best Practices:

• Her zaman test ortamında deneme yapın
• Değişiklikleri aşamalı olarak uygulayın
• Tüm işlemleri dokümante edin
• Rollback planı hazırlayın

Bu metodoloji, enterprise Active Directory ortamlarında güvenli ve etkili DC kaldırma işlemleri için referans teşkil edebilir.

---

Bu rehber Windows Server 2016/2019/2022 ortamlarında test edilmiş ve doğrulanmış yöntemleri içermektedir. Production ortamında uygulamadan önce test edilmesi önerilir.