Schema
Master ve Domain Naming Master rolleri forest içerisindeki tüm domainler
için ortak bir roldür. RID Master, PDC Emulator, Infrastructure Master
rolleri ise her domain için en az bir domain controller’da bulunan bir
roldür. FSMO rollerinin tamamı aynı Domain Controller üzerinde
bulunacağı gibi her rolü başka Domain Controller üzerinde de yer
alabilir.
FSMO
rollerini görebilmek için Active Directory Users and Computers, Active
Directory Schema, Active Directory Domains and Trusts yönetim
konsollarını kullanabilirsiniz.
Schema Master Role:Schema
Master rolünü taşıyan Domain Controller Active Directory şeması
üzerinde değişiklik yapma yetkisine sahiptir. Peki neden schema üzerinde
değişiklik yapma gereği duyarsınız? Buna en güzel örnek olarak
Microsoft’un mail sunucusu olan Exchange Server verilebilir. Schema
Master üzerinde değişikliği yapan kullanıcı hesabına Schema Admins
denir. Forest genelinde Active Directory schema bilgisinin tüm Domain
Controller üzerinde aynı olması gerekir. Schema update işlemini schema
master rolüne sahip olan Domain Controller gerçekleştirir. Schema Master
forest içerisindeki farklı domain controller’lar arasında replike
edilirler. Schema Master Active Directory’de kullanılan bütün objelerin
şablonlarının tanımını içerdiğinden Active Directory schema’ya erişim
engellenmiştir. Schema Master’ı görmek için komut satırına “regsvr32 schmmgmt.dll” komutunu yazıp OK butonuna basalım. Microsoft Management Console (MMC) kullanarak Active Directory schema’sını görebilirsiniz.
Domain Naming Master: Forest,
içerisinde yeni bir domain eklenirken ya da kaldırılirken tüm bu
işlemlerden sorumlu roldür. Domain Naming Master varsayılan olarak
Active Directory’nin kurulduğu forest root domain controller üzerinde
yer alır. Domain Naming Master rolü forest bazlı bir roldür. Domain
Naming Master rolünü görebilmek için Active Directory Domains and Trusts
bölümünü kullanabilirsiniz.
PDC Emulator: Forest
içerisindeki her domain’de bulunur yani domain bazlı bir roldür. NT 4.0
Backup Domain Controller (BDC)’ler için geriye dönük uyumluluk sağlar.
PDC Emulator rolüne sahip makineler domain içerisinde time server olarak
çalışırlar. İstemci bilgisayarlar kendi saatlerini PDC Emulator olan
makinelerin kendi sistem saati ile senkronize ederler. PDC ayrıca
password senkronizasyonlarından da sorumludur. Kullanıcı hesabı yalnış
denemeler sonucu kilitlenmiş olan kullanıcılar için Domain Controller
hesabı unlock ettiğinde bunu hemen PDC Emulator’lere bildirir. Domain
Controller’lar PDC Emulator’ler ile sürekli bilgi alış verişi
halindelerdir. PDC Emulator, RID Master ve Infrastructure Master
rollerini görmek için Active Directory Users and Computers konsolunu
kullanabilirsiniz.
RID Master: Domain
bazlı bir rol olan RID Master yeni bir user, group veya obje
oluşturduğunda ona otomatik olarak “SID” numarası atanır. Dolayısıyla
SID numarası benzersiz bir numaradır. TC Kimlik Numarası gibi.
Object SID = Domain SID + RID
RID numarası tükendiğinde yeni bir obje yaratamazsınız.
Infrastructure Master: Domain
bazlı bir rol olan Infrastructure Master rolü kullanıcı hesap adları ya
da grup üyeliklerinde bir değişiklik olduğunda bu değişikliği anlayıp
güncelleyen rol Infrastructure Master rolü’dür. Domain Controller
bilgileri değiştikçe ortamdaki diğer domain controller bu bilgileri
replike ederler. Infrastructure Master rolü Global Katalog olan sunucu
ile aynı domain controller üzerinde bulundurulmamalıdır.
Active
Directory ortamında FSMO rolleri forest root domain yani ilk kurulan
Domain Controller’da bulunur. Microsoft FSMO rollerini sunucular
arasında paylaştırmayı önerir. FSMO rollerini üzerinde taşıyan domain
controller rolleri paylaştırmak için iki farklı yol izleyebilir:
Bunlardan ilki online rol transferi. Peki nedir bu online rol ? FSMO
rollerine sahip olan domain controller; diğer bir domain controller olan
bilgisayara rolleri kendi aralarında iletişim kurarak aktarabilir.
Online taşıma işlemi için sunucular birbirlerine network’ten
erişilebilir durumda olmalıdırlar.Ya sunucu
rollerini üzerinde taşıyan Domain Controller herhangi bir nedenden
dolayı ulaşılamaz hale gelirse? Bu gibi durumlarda diğer domain
controller olan sunucunuzun bu rolleri almasını sağlayabilirsiniz. Bu
işleme ise “seizing” denir. Seizing işlemi ile domain controller
üzerinde rolü bir defaya mahsus bir şekilde alabilirsiniz. Offline
taşıma işlemi Domain Controller’dan rolleri zorla alma işlemidir. Domain
Controller’a network üzerinden erişilemiyorsa kullanılır.
FSMO
rollerini üzerinde bulunduran root domain controller ile iletişime
geçemiyorsa bu rolleri başka bir domain controller ile üzerine nasıl
alacağınızı sizlere anlatacağım. Şimdi sırasıyla Başlat, Çalıştır’a
“cmd” yazıp komut satırına gidelim. Komut satırına “ntdsutil” yazalım.
Ardından “roles” komutunu girelim.
Karşımıza
gelen “fsmo maintenance” penceresinde “connections” parametresini
girelim. “?” parametresini yazıp hangi komutları kullanabileceğimizi
görebilirsiniz. Connect to server parametresi ile komutu çalıştırıp
hangi domain controller ile rolleri almak istiyorsak onun adı yazalım.
Sonra quit komutu ile bir üst menüye geçiş sağlanır.
Fsmo maintenance komut satırında sırasıyla artık seize işlemini gerçekleştirebilirsiniz.
Seize
schema master komutunu çalıştırdığınızda bu rollerin zorla alınacağının
bilgisini veriyor. Evet butonunu kullanarak işlemimizi onaylayalım.
İşlem
bittiğinde bazı failed durumları görebilirsiniz. Bunlar önemli değil
çünkü domain controller bu rolü zorla almadan önce root domain
controller ile konuşmaya çalışıyor fakat konuşamadığı için fail mesajı
veriyor.
Yukarıdaki
pencerede görüldüğü gibi Active Directory Schema Master rolünü root
domain controller üzerinden Additional Domain Controller olan
bilgisayarımızın üzerine almış olduk.
Şimdi Domain Naming Master rollerini Additional Domain Controller üzerine alalım.
Seize
edilen Domain Naming Master rolünü root domain controller olan
bilgisayarımız üzerinden Additional Domain Controller olan
bilgisayarımızın üzerine aldık.
Active
Directory Schema ve Domain Naming Master rollerini Additional Domain
Controller olan bilgisayarımızın üzerine seize ettikten sonra şimdi sıra
geldi PDC Emulator, Infrastructure Master ve RID Master rollerini seize
etmeye. Simdi sırasıyla seize işlemlerimizi gerçekleştirelim:
Komut
satırına “seize pdc” komutunu girip root domain controller üzerindeki
FSMO rollerini additional domain controller üzerine alıp işlemimizi
gerçekleştirelim.
Komut satırına “seize rid
master” komutunu girip root domain controller üzerindeki FSMO
rollerini additional domain controller üzerine alıp işlemimizi
gerçekleştirelim.
Komut
satırına “seize infrastructure master” komutunu girip root domain
controller üzerindeki FSMO rollerini additional domain controller
üzerine alıp işlemimizi gerçekleştirelim.
PDC,
Infrastructure Master ve RID Master rollerini root domain controller
üzerinden additional domain controller üzerine taşımış olduk. Active
Directory Users and Computers ekranından işlemin gerçekleşip
gerçekleşmediğini kontrol edebilirsiniz.
FSMO
rollerinin hepsini taşıdıktan sonra kontrol etmek için gerekli tüm
konsollardan kontrol edebilirsiniz. “Netdom query fsmo” komutu ile FSMO
rollerinin başarı ile ADDC olan bilgisayarımızın üzerine taşındığını
görebilirsiniz.
İşlemleri tamamladıktan sonra yeni sunucuyu gözlemleyebilirsiniz. Dcdiag ile FSMO rollerinin çalışıp çalışmadığını,
Dcdiag /s:”w2k3.adc.omer.com”/test:fsmocheck
Dcdiag /s:”w2k3.adc.omer.com”/test:knowsofroleholders komutları ile test edebilirsiniz.
FSMO rollerinin online rol transferi hakkında bilgi almak için aşağıdaki linki kullanabilirsiniz.
referans: omerucler.wordpress.com
Hiç yorum yok:
Yorum Gönder