Windows Server - AD FSMO Rolleri
Ağustos 09, 2020
Active Directory'de Forest ve Domain yapısı oluşturduğunuzda bu yapının çalışabilmesi için AD altyapısına 5 adet rol yüklenir. Bu rollere FSMO (Flexible Single Master Operation) denilmektedir. FSMO Rollerini ve özelliklerini basitçe anlatmaya çalışacağım.
Bu rollerden 2 tanesi Forest düzeyindedir. Dolayısıyla bu rolleri ilgilendiren bir değişiklik yapıldığında tüm Domain(ler) değişikliklerden etkilenecektir.
Forest Düzeyinde Olan Roller:
Schema Master
AD nesnelerindeki attribute'ları belirleyen server Schema Master'dır. AD Schema'sında düzenleme yapmak gerekirse, ilgili düzenlemeyi gerçekleştirecek olan kullanıcı hesabının Schema Admins grubuna üye olması gerekmektedir. Schema Master erişilemez duruma düşerse AD Schema'sı üzerinde düzenleme yapılamaz, yeni attribute eklenemez, Schema genişletilemez. (mesela Exchange Server yüklenemez)
Domain Naming Master
Ortamdaki Domain isimlerinin tek olmasını sağlamaktadır. ADDS kurulumunda Domain name belirlediğimizde ortamda bu Domain'in bulunup bulunmadığını sorgular. Aynı adı taşıyan bir Domain daha önceden kurulmuşsa devam etmenize izin verilmez. Domain Naming Master'ı yönetmek için Enterprise Admins grubuna üye olmuş bir kullanıcı hesabına ihtiyacımız olacaktır. Domain Naming Master sunucusu erişilemez duruma düşerse Forest'a yeni Domain eklenemez ya da çıkarılamaz.
Domain Düzeyinde Olan Roller:
Domain düzeyinde 3 adet rol bulunmaktadır. Bu rolleri taşıyan sunucuları yönetmek/değiştirmek için Domain Admins grubuna üye olmuş bir kullanıcı hesabına ihtiyacımız olmaktadır.
RID Master:
AD içerisinde üretilen her obje için bir SID belirlenir. Bu konuyu biraz açacak olursak, AD/Users'ta Sedat isimli bir kullanıcımızın bulunduğunu ve bu hesabı sildiğimizi düşünelim. Hesabı sildiğimizde bu hesapla ilişiği olan tüm yetki-erişim izinleri de silinmiş olacaktır. Aynı isme sahip yeni bir account oluştursak bile tüm yetki-erişim ayarlarını yeniden oluşturmamız gerekecektir. AD mimarisi, objeleri isimlerinden değil, SID numaralarından ayırt etmektedir. SID'ler belli bir düzene göre blok olarak ayarlanmaktadır. Basit bir örnekle açıklayacak olursak, SID:1000-2000 arası User'lar için, 2000-3000 arası Groups'lar için atandığını düşünebilirsiniz. RID Master, sadece bu SID bloklarını belirler. İlgili bloklar tükendiğinde sunucular RID Master'dan yeni SID blokları talep ederler. Altyapınızda sürekli olarak AD Objeleri oluşturmanızı gerektirecek bir ortam yoksa, RID Master makineniz çökse bile bunu fark etmeniz zaman alabilir. Çünkü bu sunucuya her zaman ihtiyacınız bulunmamaktadır.
Infrastructure Master
AD objelerinde değişiklikler yapıldığında bu değişikliklerden etkilenen diğer objeleri güncellemekle yükümlüdür. Örneğin, Sedat isimli userın Administrators grubuna üye olduğunu düşünelim. Bu kullanıcının adını SedatVatanci olarak güncellersek, gruptaki adı da SedatVatanci olarak güncellenecektir. Altyapı tarafındaki bu tür düzenlemeleri Infrastructure Master yönetmektedir. Infrastructure Master makinesi GC (Global Catalog) olmamalıdır. GC makinesi tüm AD Database içeriğinden haberdar olduğundan dolayı IM ile aynı makinede bulunmasına zaten ihtiyacınız olmayacaktır.
Bir sunucunun GC olup olmayacağını belirlemek için;
AD Users and Coputers > Domain Controllers ekranından ilgili DC'nin özelliklerine girdikten sonra General tabından > NTDS Settings'e tıklayın. Gelen pencere üzerinden Global Catalog seçeneğini işaretleyin ya da işareti kaldırın.
PDC Emulator:
Saat senkronizasyonundan sorumlu roldür. Aynı zamanda User'ların parola geçerlilik sürelerini denetler. AD Mimarisinde yapılan değişikliklerde timestamp'e ihtiyaç olduğundan dolayı AD içerisinde zaman faktörü önemlidir. Server'lar ve Client'lar arasındaki zaman farkı 5 dakikadan daha fazla olmamalıdır.
Not: Zaman farkı durumunu aynı lokasyon için baz alarak düşünebilirsiniz. Yani İngiltere'de bulunan bir Client'ın İstanbul'daki kaynaklara erişimde sorun çıkmayacaktır.