Uzaktan Yönetilen Hyper-V Sunucusun Üzerinde ki Sanal Makineye Bağlanılmak İstendiğinde Parola Sorma Problemi ve Çözümü

Merhabalar;

Hyper-V sunucularımızı üzerinde gerekli ayarlamaları yaptığımızda hem sanallaştırma sunucumuzu hem de üzerinde ki sanal makineleri yetkimiz dahilinde uzaktan yönetebiliyoruz. Ancak bazen ilginç problemlerle de karşılaşmıyor değiliz. Bir domain ortamında kurulan Hyper-V sunucusunun gerekli ayarlarını yaptıktan sonra üzerinde sanal makine oluşturmak istedim. Ancak sanal makineyi oluşturma aşamasında (diski oluştururken) işlem takılıp kalıyor ve hiçbir şekilde ilerlemiyordu. Benzer şekilde Hyper-V sunucusu üzerinde ki bir sanal makineye bağlanıp işlem yapmak istediğimde sistem benden parola istedi (ortamda domain admin yetkisine sahip olmama rağmen). Parolamı yazdığımda da aşağıda ki hatayı verdi. Ancak ilginç bir şekilde hyper-v sunucusunun local administrator kullanıcısı ile uzak bağlantıyı sağlayabildim.
Biraz araştırmanın ardından sorunun Authoritative Restore Mode uygulanan domain controller lardan kaynaklandığını belirten Microsoft’ un makalesine ulaştım. İlgili makaleye http://support.microsoft.com/kb/939820/en-us?sd=gn adresinden ulaşabilirsiniz. Buna göre Active Directory ortamında bulunan ve kerberos u yöneten krbtgt (Active Directory Users and Computers konsolunda Advanced Features açık iken görülebilir) kullanıcısının USN değeri Authoritative Restore yapıldığında arttırıldığından problem oluşmaktadır.
NOT: Makalede her nekadar Windows 2008 domain controller lardan bahsedilse de aynı durum Windows Server 2003 domain controller lar için de geçerlidir.
NOT: İlgili hotfix i uygulamak için domain controller sunucusunda en az Windows Server 2003 SP2 işletim sistemi olmalıdır.
Öncelikle Authoritative Restore Mode nedir ve neden yapılır kısmına biraz değinelim. Örneğin ortamımızda iki adet domain controller var ve bunlardan birisinde kullanıcı ya da gruplardan yanlışlıkla silinenler oldu diyelim. Bu durumda değişiklik diğer domain controller a neredeyse anında iletilir ve diğer domain controller da da artık kullanıcı yada gruplar silinmiş olacaktır. Active Directory replikasyon için her nesnenin bir USN (Update Sequance Number) değerini kullanır. Nesne üzerinde düzenleme yapıldığında ya da silindiğinde bu değer arttırılmaktadır. Hangi Active Directory veritabanında ki ilgili nesnenin USN değeri büyük ise o diğerine replike edilir. Siz System State yedeğinden geri döndüğünüzde silinen objenin USN değeri diğer domain controller da ki Active Directory veritabanında ki objeden daha düşük olacağından yedekten geri dönülmüş olmasına rağmen silinen kullanıcı geri gelmeyecektir. Bu nedenle System State yedeği ile dönüldükten sonra Authoritative Restore mode kullanılarak yedekten dönülen Active Directory objelerinin USN değerleri arttırılır. Böylece System State yedeğinden dönülen sunucunun diğer Active Directory sunucularına göre daha baskın olması sağlanmış olur. Bu işlem ntds.dit veritabanında ki tüm objeler için yapılmaktadır ve buna krbtgt kullanıcısıda dahildir. Sıkıntı da bu arttırım işleminden sonra başlamaktadır.
Dolayısıyla Hyper-V sunucularımızı ve üzerlerindeki sanal makineleri uzaktan yönetememe problemi ortaya çıkmaktadır. Çözüm için Microsoft’ un ilgili makale sayfasında bulunan hotfix kullanılmalıdır. Ancak bu bir hotfix olduğundan sorununuzun nedeninin kesinlikle bu olduğundan emin olmalısınız.
Bu hotfix i domain controller mıza uygulayıp Hyper-V sunucumuzu yeniden başlattığımızda problemin ortadan kalktığını göreceğiz.
Faydalı olması dileğimle…
M. Hakan CAN

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *