FSMO Rolleri Nedir

Windows 2000 den beri, Domain ve Forest ortamımızda çeşitli işlerden sorumlu 5 adet rol vardır. Bunlara Flexible single Master Operations (FSMO) Rolleri denir.

FSMO Rolleri:

  1. Schemma Master Role
  2. Domain Naming Master Role
  3. Relative Identifier Master Role
  4. Primary Domain Controller Emulator
  5. Infrastructure master Role

Yaptıkları görevleri anlatmadan önce hemen belirteyim, Schema Master Role ve Domain Naming master Role' den forest ortamında  sadece birer tane bulunurken, RID Master, PDC Emulator ve Inf.Master forest içerisindeki her domainde bir dc üzerinde yer alabilir. FSMO rollerinin tamamını aynı DC üzerinde tanımlayabileceğimiz gibi her rolü ayrı bir dcye verebiliriz.

Forest Tabanlı Flexible Single Operations Masters (FSMO) Rolleri:

  •  Schema Master
  •  Domain Naming Master

Domain Tabanlı Flexible Single Operations Masters (FSMO) Rolleri:

  • RID Master
  • PDC Emulator
  • Infrastructure Master

Schema Master Rolü Nedir – Ne İşe Yarar:

Bu rolü üstlenen DC, Active Directory Şema veritabanını günceller. Schema Master olan DC Active Directory Schema' sı için "yazma yetkisi" ne sahiptir. Eğer bu masterda sorun varsa schema üzerinde değişiklik yapılamaz. Schema' da yapılan değişikliklere örnek olarak exchange server kurulumu verilebilir. bir kullanıcının özelliklerine baktığımızda defaultta olmayan bazı tabloların exchange kurulumundan sonra eklendiğini görebiliriz. (Mesela mail adresi gibi…)

forest ortamında replikasyon işlemi tamamlandıktan sonra takdir edersiniz ki AD şemasının her dc üzerinde aynı olması gerekir. Forestta schema update leri sadece bu role sahip olan DC üzerinden yapılabilir. Schema update işlemi çok önemli bir işlem olduğu için Schema Master makinesinden AD Schema ya erişim engellenmiştir. Schema' ya yeni bir class(sınıf), object(nesne) veya attribute(özellik) eklemek için Schema Admins grubuna dahil olmak gerekir.

Microsoft Management Console (MMC) a Schema Snap-in ini eklemek için küçük bir registry işlemi gerekmektedir.

Strart/Run/ regsvr32 schmmgmt.dll yazıp Enter a basıyoruz. Artık MMC de Active Directory Schema sını görebiliriz

fsmo schemma master role

 

Domain Naming Master Rolü Nedir – Ne İşe Yarar:

Foresta yeni bir domain ekleme ve çıkarma işlemlerinden sorumludur. Bir domain eklerken veya varolanı kaldırırken bu role sahip makineyle o an haberleşme sorunu olmaması gerekir. Bunun nedeni örneğin; CN_Partitions, CN=Configuration, DC=<emre.com> contextine yazabilme hakkının sadece Domain Naming master Rolüne sahip olan makinede olmasıdır. Bu rol olmasa mesela aynı anda 2 farklı bilgisayardan aynı foresta aynı domain eklenmesi gibi çakışma durumları olabilirdi.
Bu rolün varsayılan sahibi ilk Active Directory nin kurulduğu root DC dir. Bu rol için dikkat edilmesi gereken en önemli şey blunduğu makinenin aynı zamanda Global Catalog Server olması gerekliliğir. Çünkü oluşturulan bir domainin ortamda aynı isimle daha önceden oluşturulup oluşturulmadığı sorulacaktır.

Domain Naming Master Rolünün hangi makinede olduğunu Active Directory Domains and Trust bölümünden görebiliriz.

domain naming master role

 

Primary Domain Controller (PDC) Emulator Rolü Nedir – Ne İşe Yarar;

Mixed mod domainlerde Active directory veritabanını, ortamdaki eski işletim sistemli makinelerin anlayacağı şekilde dönüştürür.

Domain Password değişiklikleri için ağ üzerinden PDC makinesi aranır. Windows 9x ve NT' ler eğer PDC emulator rölüne sahip makine o an için online diilse şifrelerini değiştiremezler. (Active Directory Client Programı ile bu sorun aşılır)

Active Directory' de tüm DC' ler kendilerine gelen domain şifre değişikliklerini PDC emulatore yollarlar. Mesela bi kullanıcı şifresini değiştirir değiştirmez logon olmaya çalışsa henüz replikasyon yapılmadığı için şifresi doğru olmasına rağmen hala eski şifresi kayıtlı olduğu için Logon deny şeklinde bi uyarı alır ve logon olamaz. Bu sorun yaşanmasın diye kullanıcı logon isteği gönderir göndermez o DC hemen PDC emulatore gider ve o kullanıcı adı ve şifreyi doğrulamasını ister. PDC Emulator şifreyi doğrularsa DC kullanıcıyı authentice eder. Bu gibi replikasyonlara da (urgent replication, ani replikasyon) denir.
Accountu yanlış denemeler sonucunda policyler tarafından kilitlenmiş olan kullanıcı için DC, hesabı unlock ettiğinde bunu hemen PDC Emulatore bildirir. DC lerin, authentication işlemleriyle ilgili PDC Emulator ile sürekli bilgi alışverişi halinde olmaları, kullanıcının logon bilgilerinin, varsa aldığı "hesap kilitlendi" bilgisinin ani olarak replike dilebilmesini sağlamakta ve gereksiz yere otantike olamama, normal replikasyon süresini bekleme gibi sıkıntıları minimize eder.

Group Policy sanp-in leri PDC emulator üzerinden açılır. Böylelikle aynı anda farklı DC lerden yapılan değişikliklerin tamamının GPO lara işlenmesi sağlanır.

PDC Emulator Rolüne sahip makine aynı zamanda domain içinde Time Server olarak çalışır. Logon olan istemciler kendi sistem saatlerini PDC Emulatorün sistem saatine senkronize ederler. Bu da Kerberos logon protokü için önemli birşeydir.

PDC Emulator, sayılan bu 5 rol içerisinde en çok iş yapan rol olduğu için seçilecek makinenin performansı iyi olmalıdır.

PDC Emulator, RID Master ve Infrastructure Master Rolleri aynı bölümden, Active Directory users and Computers içinde Domain adına sağ tık/ Operations Masters içerisinden görünmektedir.

FSMO PDC Emulator

 

Relative Identifier Master Rolü Nedir – Ne İşe Yarar;

Yeni bir user, grup veya computer hesabı oluşturduğumuzda, ona otomatik olarak bir SID numarası atanır. Bu Security Identify numarası benzersiz bir numara olmak durumundadır. Hepimizin farklı T.C Kimlik Numarası olması buna örnek olarak verilebilir. Peki 1 tane domain ve 10 tane Additional DC miz olduğunu varsayarsak, her makineden kullanıcı oluşturabildiğimize göre dclerin farklı iki kullanıcıya aynı SID numarasını atamayacaklarından nasıl emin olabiliriz? RID master sayesinde emin olabiliriz.

 

Infrastructure Master Rolü Nedir – Ne İşe Yarar;

Aynı forest içinde birden çok Domainimiz varsa gereklidir. emre.com ve destek.emre.com isimli iki domainimiz olduğunu varsayalım. emre.com' da oluşturulan "Ahmet" isimli kullanıcı destek.emre.com domainindeki "IT" grubuna üye olsun. Ahmet kullanıcısının adını emre.com' da Ahmet2 olarak değiştirdiğimizde alt domaindeki IT grubunun içindeki Ahmet ismini, Ahmet2 yapan Infrastructure Master Role dür.

Bu rolle ilgili dikkat etmemiz gereken şey; Global Catalog ile aynı makinede bulunmaması  gerektiğidir. Çünkü bu rol zaten herşeyi bildiği için update ihtiyacı hissetmeyecektir.

 

Rollerle ilgili dikkat etmemiz gereken unsurları toparlayacak olursak;

  • Domain Naming Master = Global Catalog olan DC de bulunmalı
  • Infrastructure Master = Global Catalog olan DC de bulunmamalı
  • PDC Emulator = Çok iş yaptığı için performanslı bir DC de olmalı

About Emre BAŞTUĞ

Emre BAŞTUĞ