Active Directory (AD) ortamlarında birden fazla domain controller (DC) kullanıldığında, tüm sunucular arasında senkronizasyon ve düzenin sağlanması kritik bir gerekliliktir. Tam burada FSMO (Flexible Single Master Operation) rolleri devreye girer. Bu roller, Active Directory’nin sağlıklı çalışması için özel görevleri tek bir DC üzerinde toplar ve çakışmaları önler. Bu yazımda, FSMO rollerinin ne olduğunu, neden gerekli olduklarını ve her bir rolün teknik detaylarını adım adım inceleyeceğim.Aşağıdaki makaleden de inceleyebilirsiniz.
Flexible Single Master Operations roles in Active Directory Domain Services
FSMO Nedir?
FSMO (Flexible Single Master Operation), Active Directory’de belirli görevlerin yalnızca tek bir domain controller tarafından yürütülmesini sağlayan bir mekanizmadır.
Normalde AD yapısında replikasyon (çoğaltma) çoklu master modeline dayanır, yani tüm DC’ler verileri birbirine kopyalayabilir. Ancak bazı görevlerin aynı anda birden fazla DC tarafından yapılması veri tutarsızlığına yol açabilir. Bu yüzden Microsoft, bu özel görevleri FSMO rollerine bölmüştür.
FSMO Rolleri Kaça Ayrılır?
FSMO rolleri toplam 5 adettir ve iki ana kategoriye ayrılır:
- Forest Bazlı Roller (2 adet): Forest genelinde yalnızca bir DC üzerinde bulunur.
- Domain Bazlı Roller (3 adet): Her domain için ayrı ayrı atanır.
Aşağıda bu 5 rolü detaylı şekilde açıklayalım.
Schema Master (Forest Seviyesi)
Active Directory şemasında yapılan tüm değişiklikleri kontrol eder. Şema, AD içindeki tüm nesne türlerinin (kullanıcı, grup, bilgisayar, OU vb.) yapısını belirleyen veri modelidir.
Örnek
Yeni bir Exchange Server kurulumu sırasında AD şeması genişletilir. Bu işlemi yalnızca Schema Master rolüne sahip DC gerçekleştirebilir.
Komutla kontrol etme
netdom query fsmo
Domain Naming Master (Forest Seviyesi)
Yeni bir domain veya alt domain (child domain) oluşturma veya silme işlemlerini yönetir.
Forest içinde yalnızca bir tane Domain Naming Master bulunur.
Örnek
Yeni bir “lab.dagcannural.com” alt domain’i oluşturulacaksa bu değişiklik Domain Naming Master tarafından yapılır.
RID Master (Domain Seviyesi)
Domain içindeki her kullanıcı, grup ve bilgisayar hesabına benzersiz bir güvenlik kimliği (SID) atanmasını sağlar. RID (Relative Identifier) havuzlarını diğer DC’lere dağıtır.
Örnek
Yeni bir kullanıcı hesabı oluşturulduğunda RID Master, ilgili DC’ye benzersiz bir RID bloğu tahsis eder. Bu sayede SID çakışması yaşanmaz.
PDC Emulator (Domain Seviyesi)
Windows NT döneminden kalan “Primary Domain Controller” davranışlarını taklit eder.
Modern ortamlarda aşağıdaki kritik görevleri yürütür:
- Domain içi zaman senkronizasyonunun merkezi noktasıdır.
- Parola değişikliklerini diğer DC’lere hızla yayar.
- Grup İlkesi (GPO) değişikliklerinin öncelikli olarak işlendiği DC’dir.
- Eski istemciler (NT4 gibi) için NTLM kimlik doğrulamasını destekler.
Örnek
Kullanıcı “şifremi yeni değiştirdim ama oturum açamıyorum” diyorsa, genellikle PDC Emulator replikasyon gecikmesi kontrol edilmelidir.
Infrastructure Master (Domain Seviyesi)
Domainler arası (cross-domain) nesne referanslarını günceller.
Bir kullanıcı başka bir domain’e taşındığında, bu referansın doğru şekilde güncellenmesini sağlar.
Not: Eğer tüm domain controller’lar Global Catalog (GC) olarak yapılandırılmışsa, Infrastructure Master rolü hangi DC’de olduğunun önemi kalmaz.
FSMO Rolleri Nasıl Görüntülenir?
Aşağıdaki komut, mevcut FSMO rolleri hangi DC üzerinde bulunduğunu gösterir:
netdom query fsmo
Alternatif olarak PowerShell’de:
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
Get-ADDomain | Select-Object RIDMaster, PDCEmulator, InfrastructureMaster
FSMO Rolü Taşıma (Transfer / Seize)
FSMO rolleri transfer (normal taşıma) veya seize (zorla alma) işlemiyle bir DC’den diğerine aktarılabilir.
Transfer, mevcut rol sahibi DC aktifken yapılır; Seize ise mevcut DC kalıcı olarak devre dışıysa uygulanır.
Örnek PowerShell komutu
Move-ADDirectoryServerOperationMasterRole -Identity “DC02” -OperationMasterRole SchemaMaster, DomainNamingMaster
FSMO rollerinin doğru şekilde dağıtılması, Active Directory altyapısının kararlı, güvenilir ve tutarlı çalışmasını sağlar. Özellikle büyük ortamlarda bu rollerin bilinçli yönetilmesi, kimlik doğrulama, replikasyon ve GPO işlemlerinde olası hataların önüne geçer. Bu yazımda, FSMO rollerinin ne olduğunu, neden gerekli olduklarını ve her bir rolün teknik detaylarını adım adım anlattım. Faydalı olması dileğiyle.
