Flexible Single Master Operation Rolleri (FSMO)

Active Directory Forest yapısında 2 tanesi forest tabanlı (Schema Master,Domain Naming Master), 3 tanesi de domain tabanlı (RID Master,PDC Emulator,Infrastructure Master) olmak üzere toplamda 5 tane FSMO rolü vardır.

FSMO Rollerinin İncelenmesi

1- Schema Master

Active Directory ortamındaki tüm objelere ait nitelik ve obje sınıfları listesini içerir. Şema yapısındaki bütün modifikasyon işlemlerini kontrol eder. Active Directory schema’nın yönetimi yapmakla birlikte, Domain Controller’lar arası tüm Active Directory replikasyonlarını sağlamakla sorumludur. Forest ortamında tektir ve ilk kurulan domain controller üzerinde bulunur. Üzerinde değişiklik yapma yetkisi sadece Schema Master Admin yetkisine sahip kullanıcıdadır.

2- Domain Naming Master

Forest içine yeni bir domain eklendiğinde, mevcut domainlerden biri kaldırıldığında, bir domain’in adı değiştirildiğinde ya da domain isimlerinde çakışma olduğunda, tüm bütün bunların kontrolünü yapan roldür. Forest ortamında tektir ve ilk kurulan domain controller da bulunur.

3- PDC Emulator

FSMO rolleri içerisinde en etkin ve yoğun kaynak kullanan roldür. Saat senkronizasyonu, şifre değişiklikleri ve şifre resetlemeleri, Group Policy ve SYSVOL paylaşım erişimlerini yönetir. Buna ek olarak, Distributed File System (DFS) yapısının güncel tutulmasını ve tutarlılığını da sağlar. Yeni domain ortamı içerisinde ilk kurulan domain controller bu rolü üstlenir.

4- RID Master

Active Directory Domain yapısı içerisindeki objelerin her birinin benzersiz birer kimlik numarası vardır. Bu benzersiz kimlik numaraları, Active Directory nesnesi oluşturulduğunda otomatik olarak atanır ve bu değişken, benzersiz numaralara RID-Relative Identifier adı verilmektedir. Active Directory ortamında oluşturulan nesnelere RID numarası ataması işlemini bu rol gerçekleştirir.

RID master’ı barındıran Domain Controller’in işlevsiz kalması ve yapınızdaki herhangi bir diğer Domain Controller’in da barındırdığı bu sınırlı RID numarasının tükenmesi durumunda, RID numarasının tükendiği domain controller üzerinde yeni Active Directory nesneleri oluşturulamayacak ve RID Pool has exhaused hatası verecektir.

5) Infrastructure Master

Bir kullanıcının yeri değiştirildiğinde, group policy ayarları da değişmektedir. OU’dan OU’ya taşıma yapılırken update değişikliklerinden Infrastructure master sorumludur. Domainler arası bilgi transferini yapar ve güncel tutulmasını sağlar.

FSMO Rollerin Sorgulanması

Şimdi kendi yapımızda bu rollerin hangi DC üzerinde olduğunu görüntüleyelim. Bu işlemi gerçekleştirmek için herhangi bir DC sunucusu üzerinde komut satırını admin olarak başlatarak, “netdom query fsmo” yazarak rollerin hangi DC üzerinde olduğunu görüntüleyebiliriz.

Görüldüğü üzere roller, ilk kurmuş olduğumuz aykutdc01 üzerinde görünmektedir. İstenilirse bu roller farklı DC’lerde de tutulabilir, hatta 2 rolü DC’lerden birisinde diğer kalan 3 rolü diğer DC’de tutulacak şekilde de yapılandırabiliriz. Ancak Microsoft tarafından önerilen ve genel itibariyle de kullanılan yöntem tüm rollerin tek bir DC üzerinde tutulmasıdır. Yapımızdaki tüm DC’lerin Global Catalog özelliğinin olması, söz konusu FSMO rollerinin bulunduğu sunucunun çökmesi durumunda, o DC’yi hiçbir şekilde ayağa kaldıramadığımız durumlarda bize yardımcı olacaktır.  Global Catalog özelliği bulunan DC üzerinden, FSMO rollerinin son hallerini kurtarmamızda bize yardımcı olacaktır. En kötü senaryoyu düşünerek, bu sebepten dolayı DC’lerimiz üzerlerinde Global Catalog özellikleri olacak şekilde yapılandırdık.

FSMO Rollerinin Transfer Edilmesi

İlk olarak böyle bir işleme ne için ihtiyaç duyduğumuzu ve duyacağımızı anlatmak gerekirse, yapımızda Active Directory upgrade işlemi gerçekleştireceğimiz zaman, sunucumuza Microsoft tarafından yayınlayan Windows Update paketlerini geçip, sonrasında sunucuyu restart etmemiz gerektiği durumda ihtiyacımız oluşacaktır. Ayrıca rollerin üzerinde bulunduğu sunucuda bir sorun meydana gelmiş olabilir, bu tür durumlarda da rollerin taşınmasına ihtiyacımız oluşacaktır. Bu işlemi üzerinde FSMO rolleri bulunmayan DC üzerinde gerçekleştireceğiz.

RID Master, PDC Emulator ve Infrastructure Master Rollerinin Taşınması

Rollerin taşınması işlemine ilk olarak RID Master, PDC Emulator ve Infrastructure Master rollerinin taşınması ile başlayacağız. Bu üç rol, Active Directory Users and Computers üzerinden taşınmaktadır. Active Directory Users and Computers üzerinden domain ismimize gelerek, “Change Domain Controller” seçeneğini seçiyoruz.

Açılan ekranda “This Domain Controller or AD LDS instance” altında rolleri taşımak istediğimiz sunucuyu seçerek Ok tuşuna basıyoruz.

RID Master, PDC Emulator ve Infrastructure Master rolleri Active Directory üzerinde yapılacak işlemler ile taşınmaktadır. Bu işlemler için rolleri taşıyacağımız sunucuda Active Directory Users And Computers ekranını açarak Domain üzerinde sağ tıklayarak “Operations Masters” seçilir.

Açılan ekranda RID Master, PDC ve Infrastructure rollerini taşınmak için “Change” butonunu kullanacağız. Burada yukarıda bulunan DC adı mevcut rolün sahibini, altta bulunan kısım ise transfer edilecek DC’yi göstermektedir. RID Master, PDC ve Infrastructure rolleri için ayrı ayrı bu işlemin gerçekleştirilmesi gerekmektedir. Rollerin AYKUTDC01 üzerinden AYKUTDC02’ye taşınmasını gerçekleştireceğiz.

“Change” butonuna tıkladığımızda karşımıza aşağıdaki uyarı mesajı gelecektir, Rolü taşımak isteyip istemediğinizi soran soruya YES butonuna basarak onaylıyoruz.

Eğer sunucular arasında iletişimde bir sorun yoksa aşağıdaki gibi başarılı bir şekilde rolün taşınması gerçekleşecektir. Aşağıda başarılı bir şekilde taşındığı uyarısı almaktayız.

Domain Naming Master ve Schema Master Rollerinin Taşınması

Domain Naming Master rolü Active Directory Domains and Trusts içerisinde yer almaktadır. Active Directory Domains and Trusts açılır ve üzerine gelerek ve Operations Masters seçeneği seçilir.

Açılan ekranda aynı taşıdığımız diğer 3 rol gibi, yukarıda bulunan ana rolü taşıyan DC, aşağısındaki ise, taşınacak DC yer almaktadır. Change butonuna basılarak, işlem gerçekleştirilir.

Domain Naming Master rolünü de diğer sunucumuza taşımış olduk. Şimdi Schema Master Rolünün taşınması işlemini gerçekleştireceğiz. Schema Master, default olarak AD üzerinde görülmeyen tek roldür. Çünkü Active Directory şeması çok önemli olduğu için ve çok fazla müdahale edilmemesi gerektiği için diğer roller gibi Active Directory Users And Computers, Active Directory Domain and Trust altında yer almamaktadır, komut satırı kullanarak aktifleştirmek gerekmektedir.  Şemaya erişimi aktif etmek için admin olarak çalıştırdığımız komut satırına regsvr32 schmmgmt.dll yazarak ilgili dll’i çağırarak, register etmiş oluyoruz.

schmmgmt.dll başarılı bir şekilde yüklendi.

Şimdi Windows tuşu ile beraber R tuşuna basarak RUN ekranını açıyoruz. Açılan ekranda MMC yazıp OK tuşuna basıyoruz.

Console ekranı açılacaktır. Bu ekranda File menüsü altında Add/remove Snap-in seçilecektir.

Açılan ekranda sol tarafta Active Directory Schema kısmına tıklıyoruz ve Add butonuna basarak sağ tarafa gelmesini sağlıyoruz.

Active Directory Schema eklendikten sonra mmc ekranı üzerinden, Active Directory Schema üzerine gelinerek, Operations Master seçeneği seçilir.

Açılan ekranda Change butonuna basılır ve Rolü taşımak istiyor musunuz sorusuna YES cevabı verilerek işlem gerçekleştirilir.

Rolleri aktardığımız sunucu olan AYKUTDC02 üzerinde komut satırı ekranından netdom query fsmo komutu ile rolleri kontrol ettiğimizde, rollerinin tamamının istediğimiz sunucu üzerine başarılı bir şekilde transfer edildiğini görüyoruz.

Bu işlemden sonra Active Directory replikasyonunu, hemen yapmak faydalı olacaktır, bunun için Active Directory Sites and Services’i açıyoruz ve aşağıdaki adımları izleyerek replikasyon işlemini her 2 sunucuda da gerçekleştiriyoruz.