امیرحسین کریم پور
مدیر ارشد توسینسو و متخصص سرویس های مایکروسافت

آموزش انجام Non-authoritative SYSVOL Restore بر پایه DFSR

سلام خدمت دوستان و کاربران عزیز وب سایت توسینسو . در این مطلب یاد میگیریم که چگونه میتوانیم Non-authoritative SYSVOL restore را در این سناریو که بر پایه DFS-R یا DFS Replication می باشد انجام دهیم. همانطور که میدانید هر دامین کنترلر در شبکه دارای یک پوشه است GPO ها و Script ها در آن ذخیره می شوند. این پوشه بصورت پیش فرض در زیر پوشه WINDIR%SYSVOLdomain% قرار دارد. در واقع دو پوشه به نام های Policies و Scripts وجود دارد که در پوشه Policies پالسی ها یا بعبارتی GPO ها در مسیر WINDIR%SYSVOLdomain% ذخیره می شود و در پوشه Scripts در این مسیر Logon Script ها و سایر فایل ها به عنوان NETLOGON ذخیره می شود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

اگر یک دامین کنترلر در شبکه پوشه SYSVOL را Replicate نکند بعضی از GPO ها و یا Script ها را در پوشه SYSVOLdomain میتوانید مشاهده کنید که وجود ندارند. و یا اینکه تمامی GPO ها سر جای خود قرار دارند اما آپدیت نشده اند. اگر برای شما یکی از این موارد اتفاق افتاد بایستی Non-authoritative restore انجام دهید. این کار اطلاعات داخل SYSVOL را از سمت دامین کنترلری که به درستی کار می کند و عهده دار نقش PDC Emulator است Re-Deploy می کند.

سئوالی که ممکن است برای شما پیش بیاید این است که از کجا باید بدانیم به Non-authoritative restore نیاز داریم یا خیر ؟ پاسخ این سئوال ساده نیست زیرا که این مورد به اندازه یا Scale اکتیودایرکتوری شما و تعداد دامین کنترلر هایتان بستگی دارد. اگر یکی از موارد زیر برای شما پیش بیاید میتوانید از این نوع Restore در اکتیودایرکتوری استفاده کنید :


1. اگر یک دامین کنترلر در شبکه پوشه SYSVOL را Replicate نکند
2. اگر تعداد کمی از دامین کنترلر ها پوشه SYSVOL را Replicate نکند
3. اگر کمتر از 50 درصد دامین کنترلر هایتان در شبکه پوشه SYSVOL را Replicate نکند

زمانی که داخل پوشه SYSVOL خالی است این به این معناست که دیتابیس اکتیودایرکتوری Replicate شده است اما پوشه SYSVOL نه. در این گونه مواقع بایستی Non-authoritative restore انجام دهید. خب صحبت دیگر کافیست بهتر است کار را شروع کنیم و نحوه انجام Non-authoritative restore را آموزش دهیم. مراحل زیر را انجام دهید :


1. به دامین کنترلری که نقش PDC Emulator را بر عهده دارد و میخواهید این فرآیند از روی این دامین کنترلر انجام شود لاگین کنید و در RUN تایپ کنید adsiedit.msc و اینتر را بزنید.
2. روی ADSI Edit راست کلیک کنید و روی Connect to کلیک کنید و سپس گزینه Select a well known Naming Context را انتخاب کرده و از منوی کشویی گزینه Default Naming Context را انتخاب کنید و در آخر روی OK کلیک کنید.

آموزش انجام Non-authoritative SYSVOL Restore بر پایه DFSR در اکتیودایرکتوری



3. به مسیر زیر بروید :

Default Naming Context -> DC=domain,DC=local -> OU=Domain Controllers -> CN=Domain Controller name -> CN=DFSR-LocalSettings -> Domain System Volume

4. DC=domain,DC=local یک Distinguished name از دامین شماست و CN=Domain Controller name اسم دامین کنترلری است که شما قصد دارید فرآیند Non-authoritative restore از روی آن آغاز کنید.

آموزش انجام Non-authoritative SYSVOL Restore بر پایه DFSR در اکتیودایرکتوری



5. روی CN=SYSVOL Subscription در سمت راست پنجره کلیک راست کنید و Properties را بزنید.

آموزش انجام Non-authoritative SYSVOL Restore بر پایه DFSR در اکتیودایرکتوری



6. در تب Attributes Editor روی msDFSR-Enable کلیک کنید و Edit را بزنید.

آموزش انجام Non-authoritative SYSVOL Restore بر پایه DFSR در اکتیودایرکتوری



مقدار آنرا از TRUE به FALSE تغییر بدهید. روی OK کلیک کنید و سپس روی Apply کلیک کنید تا تغییرات ذخیره شود. و لطفا پنجره را نبندید چون بعدا با آن کار داریم.

7. پیشنهاد می کنم قبل از اینکه فرآیند Non-authoritative restore را شروع کنید محتویات درون پوشه های زیر که درون پوشه SYSVOL هستند را پاک کنید :

%WINDIR%SYSVOLdomainPolicies
%WINDIR%SYSVOLdomainScripts

پس هر چیزی داخل پوشه های Policies و Scripts میبینید را پاک کنید.


8. حالا Command Prompt را با دسترسی ادمین باز کنید و دستور زیر را اجرا کنید تا فرآیند Replication آغاز شود :

repadmin /syncall /AdP

حالا دستور زیر را اجرا کنید :

dfsrdiag PollAD

توجه کنید که اگر این دستور اجرا نشد شما بایستی DFS Management Tools را با اجرای دستور زیر نصب کنید :

Install-WindowsFeature "RSAT-DFS-Mgmt-Con"

9. در این مرحله وارد کنسول Event Viewer شوید و Event Log های DFS Replication را بررسی کنید. اگر Event ID 4114 را مشاهده کردید این به این معناست که پوشه SYSVOL هنوز Replicate نشده است.
10. حالا مقدار msDFSR-Enabled را که در بالا FALSE کرده بودیم را به TRUE تغییر دهید. و روی OK کلیک کنید. و مجددا OK را بزنید.
11. حالا مجددا Command Prompt را با دسترسی ادمین باز کنید و دستور زیر را اجرا کنید تا فرآیند Replication آغاز شود :

repadmin /syncall /AdP

و حالا دستور زیر را اجرا کنید :

dfsrdiag PollAD

12. وارد کنسول Event Viewer شوید و Event Log های DFS Replication را بررسی کنید و مطمئن شوید که Event ID های 4614 و 4604 را تولید شده اند.
13. وارد پوشه WINDIR%SYSVOLdomainPolicies% شوید و مطمئن شوید که همه GPO ها وجود دارند و Replicate بصورت صحیح و کامل انجام شده است.
14. وارد پوشه WINDIR%SYSVOLdomainScripts% شوید و مطمئن شوید که همه Script ها در آن قرار دارند.
15. کار تمام است ! حالا تمام این مراحل را روی هر دامین کنترلری که پوشه SYSVOL را Replicate نکرده میتوانید انجام دهید. امیدوارم مورد توجه شما قرار گرفته باشد.


امیرحسین کریم پور
امیرحسین کریم پور

مدیر ارشد توسینسو و متخصص سرویس های مایکروسافت

امیرحسین کریم پور ، مدیر ارشد توسینسو ، متخصص شبکه ، تخصص در حوزه سیستم عامل های کلاینت و سرور مایکروسافت و سرویس های مربوطه ، سیستم عامل لینوکس و... ، سابقه کار با سازمان ها و شرکت های مختلف در زمینه سرویس های مایکروسافت در قالب پروژه ، مشاوره و آموزش. علاقه مند به حوزه امنیت اطلاعات و تست نفوذ سنجی

نظرات