Active Directory, FSMO (Flexible Single Master Operation) rolleri olarak da bilinen beş Operations Master rolüne sahiptir. Bu rollerin bazıları domain düzeyinde bazıları ise forest düzeyinde çalışır ve bir domain controllerdan başka bir domain controllera taşınabilir. Roller taşınırken taşıyacak kullanıcının bazı ayrıcalıklı yetkilere sahip olması gerekmektedir.
Rollerin isimleri, rollerin taşınması için gerekli yetkiler ve rollerin düzeyi aşağıda verilmiştir.

Operations Master rollerinin hangi domain controllara taşınacağını düşünürken dikkat edilmesi gereken nokta rolleri üzerinde barındıran domain controllerların sürekli erişilebilir olmasıdır. Aksi taktirde bazı Active Directory işlemleri başarısız olabilir ve başarısız olan role bağlı olarak tüm domain ya da forest etkilenebilir.
Forest Düzeyindeki FSMO Rolleri
Forest düzeyindeki FSMO rolleri iki adettir.
Schema Master
Active Directory veritabanındaki tüm verilerin düzenini ve yapısını içerir. Örnek verecek olursak bir kullanıcı hesabı, iş tanımı ve telefon numarası gibi bilgileri içerebilir. Bu bilgilere ek olarak kişi için ödeme bilgisi eklenecekse şemanın genişletilmesi gerekir. Microsoft Exchange, SCCM gibi bazı yazılımlar şemayı daha fazla bilgi barındıracak şekilde genişletebilirler. Şemada değişiklikler yapmak çok önemli bir karardır. Çünkü Active Directory veritabanına ek nitelikler veya nesneler eklendikten sonra kaldırılamazlar. Şema, bir foresttaki Active Directory veritabanını tanımladığından her forest için sadece bir Schema Master vardır. Schema Master rolüne sahip sunucu yoksa Active Directory şemasında değişiklik yapılamaz. Şemada yapılacak değişiklikler gerçek ortamda uygulamadan önce test etmek istenirse test ortamında yeni bir forest oluşturulması gerekir. Birden fazla forestı olan bir ortamda şema değişikliği yapılması gerekiyorsa tüm farklı forestlardaki tüm Schema Master’larda bu değişikliğin yapılması gerekir. Schema Master rolünü üstlenen domain controllerda değişiklik yapıldığında Schema Master bu değişikliğin diğer domain controllerlara replike edildiğinden emin olmaktan da sorumludur.
Domain Naming Master
Domain Naming Master, foresta bir domain eklendiğinde / kaldırıldığında kullanılır. Ayrıca yeni eklenen domainle eskiden var olan domainlerin aynı ada sahip olmadığından emin olur. Domain Naming Master’a erişilemez ise foresta herhangi bir domain eklenemez ve kaldırılamaz.
Schema Master ve Domain Naming Master rolleri çok sık kullanılmadığından Microsoft yönetim kolaylığı açısından her iki rolün de aynı sunucuda bulunmasını önermektedir.
Domain Düzeyindeki FSMO Rolleri
Domain düzeyindeki FSMO rolleri üç adettir.
RID Master
RID Master, RID havuzlarını ayırmak için RID’lerden (Relative IDs) sorumludur. Bu RID havuzları temel olarak SID’lerde kullanılan çok sayıda ardışık sayıdır. Active Directory’de her bir nesne kendisiyle ilişkili bir SID’e (Security Identifier) sahiptir. SID, temel olarak Active Directory’nin nesneyi tanımlamak için kullandığı tekil ve benzersiz bir numaradır. Her kullanıcı hesabıyla bir SID ve ayrıca bir kullanıcı adı ilişkilendirilir. Kullanıcı adı kolay hatırlandığından, SID ise Windows tarafından bilgisayarların sayılarla daha rahat çalışması nedeniyle tercih edilmektedir. Active Directory kullanıcı hesabı öncelikli olarak SID’lerle çalıştığı için kullanıcı adında veya kullanıcıya atanan izinlerde değişiklikler rahatça yapılabilir. Kullanıcı adı değiştiğinde ise Windows sadece bu SID ile ilişkili yeni kullanıcı adını görüntüler. Active Directory’de SID’nin kaybolduğu bir nesneyi silerseniz hemen yeni bir kullanıcı oluştursanız bile kullanıcı adı aynı olacaktır fakat SID farklı olacaktır. Bu nedenle yeni kullanıcı adı eskisiyle aynı olsa bile eski kullanıcının eriştiği kaynaklara erişemeyecektir.
RID Master, SID’in bir parçası olan RID’leri verir. RID’in nasıl SID’in bir parçası olduğu aşağıdaki örnekte gösterilmiştir. Komut isteminde domaindeki tüm kullanıcı SID’lerini gösterecek bir sorgu çalıştırılır.

Bu domain yeni olduğundan fazla bir kullanıcı SID’si yoktur. Burada dikkat edilecek nokta SID’lerin hepsinin sonunda 500 ve daha büyük rakamlar olmasıdır. Bu bir RID’tir (Relative ID). Relative ID, RID Master tarafından ayrılan bir sayı dizisidir. RID Master, RID’leri bloklar halinde vermektedir. Bu nedenle RID Master’la çok hızlı bir bağlantı kurulmasına ihtiyaç yoktur. Ayrıca domain controllerlar RID Master’dan ihtiyacından daha fazla RID ister. RID Master bir süre için işlevini yerine getiremezse ya da erişilmez olursa ortam üzerinde herhangi bir etkisi olmaz. RID Master erişilemez hale geldiğinde kesintinin en az miktarda olması istenir. Aksi taktirde Active Directory’de yeni nesneler oluşturulamaz. Bu nedenle özellikle bir seferde çok sayıda Active Directory nesnesi oluşturmak istenildiğinde (toplu kullanıcı oluşturma vb.) işlem boyunca RID Master’ın erişilebilirliğinden emin olunmalıdır.
PDC Emulator
PDC Emulator (Primary Domain Controller Emulator) ilk başlarda Windows 2000 domain controllerlar ve Windows NT domain controllerlar arasında köprü görevi görmesi için yapılandırılmıştı. Windows NT domaininde değişiklikler yalnızca Birincil Domain Controller’da (Primary DC – PDC) yapılabilirdi. Bir domaini Windows NT’den Windows 2000 domainine yükselttiğinizde ise etki alanında bulunan Windows NT domain controllerları sadece PDC Emulator’le iletişime geçebilirlerdi. Görüldüğü üzere bu rol eskiden çok önemli bir roldü. Günümüzde ise bir Windows NT domain controllerına sahip olmanız çok da olası değildir. Ayrıca Windows Server 2008 ve sonrası işletim sistemlerine sahip domain controllerları domain ortamına aldığınızda zaten Windows NT domain controllerları desteklemezler. PDC Emulator’e artık ihtiyaç duyulmuyor gibi görünse de hala domainde bazı önemli görevleri yerine getirmektedir.
Bu görevler :
1. PDC Emulator domainde zaman ayarlarının eşitliğini sağlar. PDC Emulator harici bir zaman kaynağı ile senkronize olur. Atomik saat kullanmalarından dolayı harici zaman kaynakları zamanı çok hassas bir şekilde tutarlar. Atomik saatler her yapı için en doğru saatlerdir. Microsoft, kendi web sitesinde güvenilen harici zaman kaynaklarının listesini tutar. PDC Emulator ile zaman ayarlarını doğru tutmak için bu resmi zaman kaynaklarının bölgenize en yakın olanını kullanmak en iyisidir. Domaindeki diğer domain controllerlar PDC Emulator’den zaman ayarlarını senkronize ederler. Ağdaki clientlar zaman ayarlarını yerel domain controllarlarından senkronize ederler. Bu nedenle domaindeki tüm bilgisayarlar doğrudan ya da dolaylı olarak saat ayarını PDC Emulator’den alacağı için PDC Emulator’deki saatin doğru olduğundan emin olunması gerekir.
2. PDC Emulator parola değişikliklerinden sorumludur. Bir parola değiştirildiğinde parola acil olarak PDC ile replike edilir. Yani PDC Emulator parolaların en güncel halinin tutulduğu kaynaktır. Bu nedenle son kullanıcı yanlış bir parola ile bir kaynağa erişmeye çalıştığında domain controller son kullanıcının söz konusu parolayla ağda istediği kaynağa erişiminin olup olmadığını PDC Emulator’e sorarak teyit edebilir. Verilen örnekte parola yanlış olduğundan PDC Emulator’den “Parola yanlış” bilgisi gelecek ve son kullanıcı istediği kaynağa erişemeyecektir.
3. Distributed File System (DFS) kullanılıyorsa PDC Emulator, DFS’i güncel ve tutarlı hale getirmede önemli rol oynar. DFS’te değişiklik yapıldığında bu değişiklikler PDC Emulator üzerinde yapılır. Büyük DFS uygulamalarında fazla yüke neden olursa devre dışı bırakılabilir. Yani PDC Emulator DFS değişiklikleri yapabilir fakat zorunlu değildir.
4. Group Policy değiştirildiğinde Group Policy Editor otomatik olarak PDC Emulator’ü varsayılan olarak değiştirir ve yapılan değişiklikleri PDC Emulator’de yapar. Bu durum değiştirilebilir veya bu işlem için farklı bir domain controller kullanılabilir. Fakat varsayılan olarak bu domain controller PDC Emulatordür ve değişiklikler yapıldıktan sonra diğer domain controllerlara replike edilir. Group Policy’de değişiklik yapıldıysa ve yapılan değişiklik etkili olmadıysa PDC Emulator’ün kontrolünde fayda vardır.
Infrastructure Master
Bu rol domain düzeyinde nesnelerde yapılan değişikliklerin referans bilgilerini tutar. Bu değişiklikler nesnelerin yeniden adlandırılması, silinmesi ya da domainler arasında taşınması gibi değişikliklerdir. Çoklu domain ortamı varsa ortamdaki tüm nesnelerin güncellenmesi işlemlerinden sorumludur. Ortamda tek bir forest ve tek bir domain kullanılıyorsa aşağıdakileri dikkate almanız gerekmez.
Birden fazla domain barındıran bir ortamda Infrastructure Master nesnelerde değişiklikler yapıldığında referansları bilgilerini günceller. Fakat Infrastructure Master rolünü barındıran domain controller aynı zamanda Global Catalog sunucusu ise sorun yaşanabilir. Bu sorun Infrastructure Master rolünü barındıran domain controllerın kendisinden daha güncel bir lokal bir domain controllera nesne güncelleştirmesi için eriştiğinde nesnenin güncel halini orada görmesi ve bu nedenle nesne güncelleştirmesini diğer domain controllerlara göndermemesiyle ortaya çıkar. Bu sorunu düzeltmek için foresttaki tüm domain controllerların aynı zamanda Global Catalog sunucusu olduğundan emin olunması gerekir. Böylece her zaman güncel değişiklikler olur. Eğer bu yapılamıyorsa Infrastructure Master rolünü barındıran domain controllerın Global Catalog sunucusu olmadığından emin olunması gerekir.
Active Directory’de yer alan beş Operations Master rolünü inceledik. Bu rollerin domain controllerlar arasında nasıl taşınacağına Operations Master (FSMO) Rollerinin Taşınması makalemde detaylarıyla değindim.
Faydalı olması dileğiyle…
“Operations Master (FSMO) Rolleri” için 2 yorum