Two-Way Forest Trust ilişkiye sahip iki AD Forest arasında yaşanan GPO gariplikleri.

Selamlar,

Uzunca bir süredir yazmıyordum. Sınavlar, dersler, işler derken burayı oldukça ihmal ettiğimi fark ettim.

Geçenlerde Two-Way Forest Trust ortamında çalışan bir mimaride yaşadığım bir sorundan bahsetmek istiyorum. Trust ilişkisi ortamında kurgulanan GPO senaryoları genelde biraz uğraştırıcı olabilir. Benim durum da biraz öyle oldu. Gözden kaçan ufacık bir detay uzunca bir uğraşıya sebep oldu. Sorunu gerçek yapıyı anonimleştirerek anlatmaya çalışayım.

İki adet Active Directory Forest’ı yönettiğinizi düşünün. ForestA ve ForestB olsun isimleri. ForestA‘nın root domain ismi:domain1.com ve ForestB‘nin ismi de: sub.domain1.com şeklinde. Dikkat edileceği üzere ForestB yani sub.domain1.com sanki ForestA‘nın bir Child Domain‘iymiş gibi görünse de gerçekte öyle değil, isim seçiminde zamanında böyle bir tercih yapılmış diyelim.

ms-ad-color.png

ForestB içerisinde “Library_Clients_OU” adı altında bir Organizational Unit‘e sahibiz. Bu OU‘ya bağlı olan Group Policy ise “Library_Clients_GPO” adında.  Bu OU içinde Windows 10 Enterprise istemciler bulunmakta. Kullanıcılar bu bilgisayara Login olmaktalar.

Hedefler:

[+] ForestA ve ForestB içerisinde Security Group’lar ile belirlenmiş kullanıcılar “Library_Clients_OU” içerisindeki Windows 10 istemcilere Login olabilmeliler. (Bunun için iki Forest arasında Two-Way şeklinde bir Trust ilişki halihazırda sağlandı ve kusursuz çalışmakta.)

[+] Her iki Forest kullanıcıları da sorunsuz bir şekilde Windows 10 istemcilere Login olduklarında bu kullanıcılar “Library_Clients_GPO” içerisindeki  “User” bazlı Policy’lerden etkilenebilmeliler. Aynı şekilde “Library_Clients_OU” içerisindeki  istemciler de “Computer” bazlı kurallardan sorunsuz etkilenmeliler. (Bunu sağlamak için ise “Allow Cross-Forest User Policy and Roaming User Profiles” kuralı Cross-Forest ortamlarda GPO etkişimi için aktif edildi.)

[+] “Loopback Policy” opsiyonu “Replace” modu ile aktif edilecek her iki Forest’tan gelecek olan kullanıcıların aktif sahip olduğu Policy’ler yerine “Library_Clients_GPO” kuralından etkilenmesi sağlanmalı.

Sorunlar:

Sistem mimarisi  kurulup yapı test edildiğinde karşılaştığım sorun şu idi;

  • ForestB içerisindeki “Library_Clients_OU“ya bağlı Windows 10 istemcilere yine ForestB’den gelen kullanıcılar “Library_Clients_GPO” içerisindeki hem “User” ve “Computer” Policy’lerden etkilenmekteler. Sistem sorunsuz çalışmakta ve kurallar gayet net işlemekteler.
  • Gelgelelim, ForestA yani karşı Forest’tan gelen kullanıcılar sorunsuz bir şekilde Login olmalarına rağmen “Computer” Policy’lerin çalıştığı görülmekte ama “User” Policy’ler çalışmamaktaydı.

Uzunca süren araştırmalar ve GPO Log analizlerinden sonra sorunun gözden kaçan bir DNS yapılandırması ile ilgili olduğunu fark ettim.

DHCP sunucunun istemcilerin bulunduğu VLAN’a (haklı olarak) ana DNS’ten sorumlu ve Domain Controller olmayan DNS sunucumuzun Primary DNS olarak işaret ettiğini fark ettim. Dolayısı ile, Domain Controller’ı resolve edebilen Windows 10 istemciler ForestB’ye rahatlıkla Member olabiliyorken Cross-Forest ortamda “Allow Cross-Forest User Policy and Roaming User Profiles” aktif olduğu halde kulanıcı kurallarında aksaklık yaşanıyordu.

Çözüm:

Windows 10 istemcilerin Primary DNS ayarları Domain Controller’a bakacak şekilde gerekli düzeltmeler yapılınca sistem gayet istenildiği gibi çalışmaya başladı.

Sorunsuz günler diliyorum.

Hakan Orcan

Loopback Processing hakkında
How Domain and Forest Trusts Work

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s