Active Directory Forest yapısında 2 tanesi forest tabanlı (Schema Master, Domain Naming Master) 3 tanesi de domain tabanlı (RID Master, PDC Emulator, Infrastructure Master) olmak üzere toplamda 5 tane FSMO rolü vardır.

FSMO Rollerinin İncelenmesi

1- Schema Master

Active Directory ortamındaki tüm objelere ait nitelik ve obje sınıfları listesini içerir. Şema yapısındaki bütün modifikasyon işlemlerini kontrol eder. Active Directory schema’nın yönetimini yapmakla birlikte, Domain Controller’lar arası tüm Active Directory replikasyonlarını sağlamakla sorumludur. Forest ortamında tektir ve ilk kurulan domain controller üzerinde bulunur. Üzerinde değişiklik yapma yetkisi sadece Schema Master Admin yetkisine sahip kullanıcıdadır.

2- Domain Naming Master

Forest içine yeni bir domain eklendiğinde, mevcut domainlerden biri kaldırıldığında, bir domain’in adı değiştirildiğinde ya da domain isimlerinde çakışma olduğunda, bütün bunların kontrolünü yapan roldür. Forest ortamında tektir ve ilk kurulan domain controller da bulunur.

3- PDC Emulator

FSMO rolleri içerisinde en etkin ve yoğun kaynak kullanan roldür. Saat senkronizasyonu, şifre değişiklikleri ve şifre resetlemeleri, Group Policy ve SYSVOL paylaşım erişimlerini yönetir. Buna ek olarak, Distributed File System (DFS) yapısının güncel tutulmasını ve tutarlılığını da sağlar. Yeni domain ortamı içerisinde ilk kurulan domain controller bu rolü üstlenir.

4- RID Master

Active Directory Domain yapısı içerisindeki objelerin her birinin benzersiz birer kimlik numarası vardır. Bu benzersiz kimlik numaraları, Active Directory nesnesi oluşturulduğunda otomatik olarak atanır. Bu değişken benzersiz numaralara RID-Relative Identifier adı verilmektedir. Active Directory ortamında oluşturulan nesnelere RID numarası ataması işlemini bu rol gerçekleştirir.

RID master’ı barındıran Domain Controller’in işlevsiz kalması ve yapınızdaki herhangi bir diğer Domain Controller’ın da barındırdığı bu sınırlı RID numarasının tükenmesi durumunda, RID numarasının tükendiği domain controller üzerinde yeni Active Directory nesneleri oluşturulamayacak ve RID Pool has exhaused hatası alınacaktır.

5) Infrastructure Master

Bir kullanıcının yeri değiştirildiğinde, group policy ayarları da değişmektedir. OU’dan OU’ya taşıma yapılırken update değişikliklerinden Infrastructure master sorumludur. Domainler arası bilgi transferini yapar ve güncel tutulmasını sağlar.

FSMO Rollerin Sorgulanması

Şimdi kendi yapımızda bu rollerin hangi DC üzerinde olduğunu görüntüleyelim. Bu işlemi gerçekleştirmek için herhangi bir DC sunucusu üzerinde komut satırını admin olarak başlatarak, “netdom query fsmo” yazarak rollerin hangi DC üzerinde olduğunu görüntüleyebiliriz.

FSMO rolleri, ilk kurulan aykutdc01 üzerinde bulunmaktadır. İstenilirse bu roller farklı DC’ler üzerinde de tutulabilir, hatta 2 rolü DC’lerden birisinde, diğer kalan 3 rolü diğer DC’de tutulacak şekilde de yapılandırabiliriz. Ancak Microsoft tarafından önerilen ve genel itibariyle de kullanılan yöntem tüm rollerin tek bir DC üzerinde tutulmasıdır. Yapımızdaki DC’lerin Global Catalog özelliğinin olması, söz konusu FSMO rollerinin bulunduğu sunucunun çökmesi, o DC’ye hiçbir şekilde erişilememesi gibi durumlarda FSMO rollerinin son hallerini kurtarmamız için bize yardımcı olacaktır. Hangi DC’lerimiz üzerlerinde Global Catalog özelliği olduğunu Domain Controllers OU’su altından DC Type alanında GC ibaresi bulunan sunucularda bu özelliğin olduğu anlamına gelmektedir.

Global Catalog: Kendisinin bulunduğu domain’in bilgilerinin yazılabilir tam bir kopyasını ve bulunduğu forest içindeki diğer domainlere dair bilgilerin kısmi (partial) bir kopyasını üzerinde tutar. Bu kısmi kopyanın içinde forest içindeki tüm nesneler ile birlikte en çok aranan/sorgulanan nesne özellikleri bulunur. Aynı forest içinde bulunan uygulamalar ve kullanıcılar Global Catalog server üzerinden farklı forest’a ait tüm domainler için sorgulama yapabilirler. Varsayılan olarak domain’e dahil domain controllers’lar Global Catalog server değildir. Bir domain kurulurken varsayılan olarak ilk kurulan domain controllers Global Catalog server rolü ile gelirken, diğer domain controllers sunuculara kurumun gereksinimine göre bu rol verilebilir.

FSMO Rollerinin Transfer Edilmesi

İlk olarak böyle bir işleme ne için ihtiyaç duyduğumuzu ve duyacağımızı anlatmak gerekirse, yapımızda Active Directory upgrade işlemi gerçekleştireceğimiz zaman, sunucumuza Microsoft tarafından yayınlayan Windows Update paketlerini geçip, sonrasında sunucuyu restart etmemiz gerektiği durumda ihtiyacımız oluşacaktır. (Update sonrasında yada yapılan bir değişiklikte sunucuya erişimin kaybedilmesi söz konusu olabileceğinden). Ayrıca rollerin üzerinde bulunduğu sunucuda bir sorun meydana gelmiş olabilir, bu tür durumlarda da rollerin taşınmasına ihtiyacımız oluşacaktır. Bu işlemi üzerinde FSMO rolleri bulunmayan DC üzerinde gerçekleştireceğiz.

RID Master, PDC Emulator ve Infrastructure Master Rollerinin Taşınması

Rollerin taşınması işlemine ilk olarak RID Master, PDC Emulator ve Infrastructure Master rollerinin taşınması ile başlayacağız. Bu üç rol, Active Directory Users and Computers üzerinden taşınmaktadır. Active Directory Users and Computers üzerinden domain ismimize gelerek, “Change Domain Controller” seçeneğini seçiyoruz.

Açılan ekranda “This Domain Controller or AD LDS instance” altında rolleri taşımak istediğimiz sunucuyu seçerek Ok tuşuna basıyoruz.

RID Master, PDC Emulator ve Infrastructure Master rolleri Active Directory üzerinde yapılacak işlemler ile taşınmaktadır. Bu işlemler için rolleri taşıyacağımız sunucuda Active Directory Users And Computers ekranını açarak Domain üzerinde sağ tıklayarak “Operations Masters” seçilir.

Açılan ekranda RID Master, PDC ve Infrastructure rollerini taşımak için “Change” butonunu kullanacağız. Burada yukarıda bulunan DC adı mevcut rolün sahibini, altta bulunan kısım ise transfer edilecek DC’yi göstermektedir. RID Master, PDC ve Infrastructure rolleri için ayrı ayrı bu işlemin gerçekleştirilmesi gerekmektedir. Rollerin AYKUTDC01 üzerinden AYKUTDC02’ye taşınmasını gerçekleştireceğiz.

“Change” butonuna tıkladığımızda karşımıza aşağıdaki uyarı mesajı gelecektir, Rolü taşımak isteyip istemediğinizi soran soruya YES butonuna basarak onaylıyoruz.

Eğer sunucular arasında iletişimde bir sorun yoksa aşağıdaki gibi başarılı bir şekilde rolün taşınması gerçekleşecektir. Aşağıda başarılı bir şekilde taşındığı uyarısı almaktayız.

Domain Naming Master ve Schema Master Rollerinin Taşınması

Domain Naming Master rolü Active Directory Domains and Trusts içerisinde yer almaktadır. Active Directory Domains and Trusts açılır ve üzerine gelerek ve Operations Masters seçeneği seçilir.

Açılan ekranda aynı taşıdığımız diğer 3 rol gibi, yukarıda bulunan ana rolü taşıyan DC, aşağısındaki ise, taşınacak DC yer almaktadır. Change butonuna basılarak, işlem gerçekleştirilir.

Domain Naming Master rolünü de diğer sunucumuza taşımış olduk. Şimdi Schema Master Rolünün taşınması işlemini gerçekleştireceğiz. Schema Master, default olarak AD üzerinde görülmeyen tek roldür. Çünkü Active Directory şeması çok önemli olduğu için ve çok fazla müdahale edilmemesi gerektiği için diğer roller gibi Active Directory Users And Computers, Active Directory Domain and Trust altında yer almamaktadır, komut satırı kullanarak aktifleştirmek gerekmektedir. Şemaya erişimi aktif etmek için admin olarak çalıştırdığımız komut satırına regsvr32 schmmgmt.dll yazarak ilgili dll’i çağırarak, register etmiş oluyoruz.

schmmgmt.dll başarılı bir şekilde yüklendi.

Şimdi Windows tuşu ile beraber R tuşuna basarak RUN ekranını açıyoruz. Açılan ekranda MMC yazıp OK tuşuna basıyoruz.

Console ekranı açılacaktır. Bu ekranda File menüsü altında Add/remove Snap-in seçilecektir.

Açılan ekranda sol tarafta Active Directory Schema kısmına tıklıyoruz ve Add butonuna basarak sağ tarafa gelmesini sağlıyoruz.

Active Directory Schema eklendikten sonra mmc ekranı üzerinden, Active Directory Schema üzerine gelinerek, Operations Master seçeneği seçilir.

Açılan ekranda Change butonuna basılır ve Rolü taşımak istiyor musunuz sorusuna YES cevabı verilerek işlem gerçekleştirilir.

Rolleri aktardığımız sunucu olan AYKUTDC02 üzerinde komut satırı ekranından netdom query fsmo komutu ile rolleri kontrol ettiğimizde, rollerinin tamamının istediğimiz sunucu üzerine başarılı bir şekilde transfer edildiğini görüyoruz.

Bu işlemden sonra Active Directory replikasyonunu, hemen yapmak faydalı olacaktır, bunun için Active Directory Sites and Services’i açıyoruz ve aşağıdaki adımları izleyerek replikasyon işlemini her 2 sunucuda da gerçekleştiriyoruz.

Tüm bu işlemler ile birlikte başarılı bir şekilde tüm FSMO rollerini farklı bir DC sunucusuna taşımış olduk ve DC’ler arası replikasyonu manuel olarak tetiklemiş olduk.