Windows Server 2016

Windows Server 2016 FSMO

FSMO Rolleri Nedir?

Active Directory Domain Services üzerinde bazı işlemler belirli bir rol tarafından gerçekleştirilir. Bu rolleri barındıran Domain Controller bir Operations Masters, diğer bir adıyla Flexible Single Master Operations (FSMO) rolü olarak adlandırılır.

Beş Operations Master rolü bulunur. Hepsi bir Domain Controller üzerinde olabileceği gibi birden fazla Domain Controller üzerinde dağıtıla bilirler. Forest’ta ilk kurulumu yapılan Domain Controller bu rollerin hepsini barındırır. Daha fazla Domain Controller kurulduktan sonra bu roller taşınabilir. Replikasyon gecikmelerine ve bağlı olarak çıkacak problemlere sebep olmamak için roller sadece birer adet olarak konumlandırılabilir. Roller ile ilgili herhangi bir değişiklik yapılmak istendiğinde, rolün yüklü olduğu Domain Controller üzerinde işlemler gerçekleştirilir.

 

FSMO Rolleri

Active Directory üzerinde kullanılabilen 5 adet FSMO rolü bulunmaktadır.

Her Active Directory Forest içerisinde kullanılan 2 adet FSMO rolü bulunur.

  • Schema Master. Schema üzerinde değişiklikleri yapıldığı Domain Controller’dır. Schema değişikliği için kullanılan Schema Yöneticisi hesabı hem Schema Admins hem de Enterprise Admins gruplarına üye olmalıdır.
  • Domain Naming Master. Bir domain eklendiğinde, kaldırıldığında veya bir domain adı değişikliği yapıldığında başvurulan Domain Controller’dır. Domain Name Master, kullanılmaz durumda olduğunda Forest’a yeni bir domain eklenemez.

 

PowerShell üzerinde Get-ADForest komutu ile Schema Master ve Domain Naming Master rolü ile birlikte Forest özellikleri görülebilir.

 

Her Active Directory Domain içerisinde kullanılan 3 adet FSMO rolü bulunur.

  • RID Master. Active Directory Domain Services üzerinde oluşturulan her nesne için SID olarak bilinen benzersiz bir kimlik numarası oluşturulur. Bu SID’in bir kısmı RID numarasından oluşur. İki farklı Domain Controller üzerinde oluşturulan iki farklı nesne için aynı SID verilmemesi için RID Master her Domain Controller’a RID blokları atar. RID Master erişilmez durumdaysa ve Domain Controller’lara atanan RID blokları tükendiyse domain üzerinde yeni nesneler oluşturulamaz.
  • Infrastructure Master. Bir Domain’deki bir grubun başka bir domain’deki üyeleri içermesi gibi domain’ler arası nesne referans bilgilerini tutar. Bu referansların bütünlüğünü korumaktan sorumludur. Infrastructure Master erişilmez durumdaysa Global Catalog olmayan Domain Controller’lar universal grup üyeliklerini denetleyemez veya kullanıcıların kimlik doğrulamasını gerçekleştiremez. Best Practices olarak önerilen tüm Domain Controller’ların Global Catalog yapılması durumunda Infrastructure Master rolüne gereksinim duyulmaz.
  • Primary Domain Controller Emulator Master. PDC Emulator Master rolünü üstlenen Domain Controller, Domain’in zaman kaynağıdır. Her domain’deki PDC Emulator Master zamanlarını, Forest Root Domain’deki PDC Emulator Master ile eşitler. PDC Emulator Master aynı zamanda acil parola değişikliklerini alan Domain Controller’dır. Bir kullanıcı şifresini değiştirirse, PDC Emulator Master rolünü üstlenen Domain Controller bu bilgileri hemen alır. Bu kullanıcı oturum açtığında, kullanıcının konumundaki Domain Controller son değişiklikleri kontrol etmek için PDC Emulator Master rolünü üstlenen Domain Controller ile iletişime geçer. PDC Emulator Master erişilmez durumdaysa, kullanıcılar parola değişiklikleri tüm Domain Controller arasında replike oluncaya kadar oturum açma işlemi ile ilgili sorunlar yaşayabilirler. PDC Emulator Master GPO’ların düzenlenmesinde de rol oynarlar. Düzenlemek üzere bir GPO açıldığında, PDC Emulator Master düzenlenen kopyayı saklar. Böylece iki farklı yönetici, aynı GPO’yu aynı anda farklı Domain Controller’da düzenlemeye çalışırsa çakışmaları önler.

 

PowerShell üzerinde Get-ADDomain komutu ile RID Master, Infrastructure Master ve PDC Emulator Master rolü ile birlikte Domain özellikleri görülebilir.

 

FSMO Rollerini Aktarma (Transferring) veya Ele Geçirme (Seizing)

FSMO Rollerinin dağıtıldığı Domain Controller arasında taşınma ihtiyacı doğabilir. Bu durumda aktarma (transferring) işlemi gerçekleştirilir. Fakat rolü barındıran Domain Controller bir şekilde ulaşılmaz duruma geldiyse bu durumda rolü ele geçirme (Seizing) işlemi gerçekleştirilir. Ele geçirme (Seizing) işleminde son güncel verilere ulaşılamayabilir. Bu sebeple ele geçirme (Seizing) işlemi son seçenek olarak tercih edilmelidir.

 

FSMO Rollerini Aktarma (Transferring)

FSMO rolleri aktarmak istenildiğinde aşağıdaki yönetim araçları kullanılır.

Schema MasterActive Directory Schema
Domain Naming MasterActive Directory Domains and Trusts
RID MasterActive Directory Users and Computers
Infrastructure MasterActive Directory Users and Computers
PDC Emulator MasterActive Directory Users and Computers

 

FSMO Rollerini Ele Geçirme (Seizing)

FSMO rolleri ele geçirmek istenildiğinde yönetim araçları kullanılamaz. Bunun yerine Ntdsutil.exe komut satırı aracı veya PowerShell kullanmak gerekir. (Rolleri aktarmak için de bu araçlar kullanılabilir)

PowerShell üzerinde rol aktarma ve rol ele geçirmek için kullanılan komut satırı aşağıdaki gibidir.

Komut satırının detayı şöyledir.

  • <servername> Bir veya daha fazla rol aktarılan hedef Domain Controller adı.
  • <rolenamelist> Hedef Domain Controller üzerine taşınacak rollerin virgülle ayrılmış isim listesi.
  • -Force Rolü aktarmak yerine ele geçirmek için eklenen parametre.

 

Bir cevap yazın

Yapacağınız yorumlar için, aşağıda verdiğiniz bilgileriniz ve IP adresiniz kaydedilecektir. KVKK kapsamında bu bilgiler başkaları ile paylaşılmayacak olup, yapacağınız yorumlar içerisinde suç teşkil edecek bir unsur bulunması durumunda, saklanan bu bilgileriniz yetkili kişi ve kuruluşlar ile paylaşılacaktır. Gerekli alanlar * ile işaretlenmiştir.