İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 22.09.2018 0

Primary Domain Controller (PDC) Nasıl Bulunur?

Daha önceki makalemde Domain Controller Nedir? konusuna değinmiş, detaylı bilgi vermiştim. Yine kısaca değinecek olursak Domain Controller, diğer bir ifade ile Etki Alanı Yöneticisi, şirket yapınızdaki bilgisayar ağlarınızın, bilgisayar sistemlerinizin çatısı oluşturmaktadır. Bu çatıyı kurabilmek için; Server (sunucu) bilgisayar dediğimiz makinaya Windows Server işletim sistemi ailesinden bir işletim sistemi kurarak, bu Server (sunucu) bilgisayarı Domain Controller (DC) olarak yapılandırıp, bilgisayar sistemlerinizin çatısını oluşturur, tüm bilgisayar sistemlerinizi (diğer Server (sunucu) bilgisayarlar da dahil olmak üzere) bu Domain Controller (DC) üzerinden yönetirsiniz. Bu makalemde de sizlere Primary Domain Controller (PDC) yani Birincil Etki Alanı Yöneticisi'nin hangi Server (sunucu) makinasında olduğunu nasıl öğrenebileceğimizden bahsediyor olacağım.  Bir Domain ortamında sadece 1 tane Primary Domain Controller (PDC) olabilir ancak 1 veya 1'den fazla Additional Domain Controller (ADC) olabilir. Active Directory Domain ortamınızdaki Primary Domain Controller Server'ın hangisi olduğunu öğrenmenin temelde iki yöntemi var.

1- Aşağıdaki PowerShell komutunu çalıştırdığınızda direkt olarak Primary Domain Controller bilgisi yazılacaktır.

Get-ADDomainController -Discover -Service PrimaryDC

2- Aşağıdaki PowerShell komutunu çalıştırdığımızda ise karşımıza, FSMO rolleri bilgisi gelecektir.
netdom query fsmo

Her ne kadar makale konumuz FSMO rolleri olmasa da, konunun FSMO rolleri içindeki bir rol ile doğrudan bağlantısı bulunmaktadır. Bu nedenle hazır konusu açılmışken FSMO rollerini de derinlemesine incelemekte fayda görüyorum.

Active Directory FSMO (Flexible Single Master Operation) Rollerinin İncelenmesi

Domain ortamının ilk kurulduğu ilk Server, Domain Controller görevindedir. Bir Domain Controller'ın Domain ortamının yönetimi için sahip olduğu bir takım görevler vardır ve FSMO (Flexible Single Master Operation) adı verilen, toplamda 5 rolden oluşan bu görevleri özetle Active Directory'nin bel kemiğini oluşturan Schema (şema) yapısı içindeki Active Directory nesnelerinin yönetimi, Dizin yapısının kayıt işlemlerinin yönetimi, Group Policy nesnelerinin ortamdaki diğer Domain Controller'lar ile senkronizasyon sağlaması için gerekli olan SYSVOL paylaşım erişiminin yöneti, Active Directory'de oluşturulan Active Directory nesnelerinin kimlik bilgilerinin yönetimi olarak sıralayabiliriz.

10- Windows Server 2008 R2 işletim sistemli Domain Controller makinam üzerinde FSMO rollerinin bu DC üzerinde olduğunu kontrol etmiştik. Sıra, Windows Server 2008 R2 işletim sistemli Domain Controller makinam üzerindeki FSMO rolleri taşıma işlemine geldi ancak FSMO rolleri taşıma işlemi öncesi, taşıma işlemini yapacağımız rolleri detaylıca incelemekte fayda olduğunu düşünüyorum.

● Schema Master
Active Directory Schema, Active Directory nesnelerinin tüm bilgilerini tutan yapıdır. Bu yapılar; Class'lardan (sınıf) oluşur ve her bir class içinde, o class'a ait attribute'lar (öznitelikler) bulunur. Bir objeye ait hangi bilgilerinin saklanacağı, Attribute'lar ile tanımlanır. Forest içindeki Active Directory nesne sınıfları (Object Classes) ve bunlara ait öz nitelikler (Attributes), Active Directory Shema yapısını oluşturur. Bu nedenle de Active Directory'i oluşturan ana omurga, Active Directory Schema'dır. Tüm Active Directory nesne (object) ve öz niteliklerin (Attributes) güncellemeleri ve bunlara ait bilgiler Schema Master üzerinde tutulur. Schema Master rolü; Active Directory schema'nın yönetimi yapmakla birlikte, Domain Controller'lar arası tüm Active Directory replikasyonlarını yapmakla sorumludur.
Bu rol, Forest içerisinde tektir.

● Domain Naming Master
 Bu rol, tıpkı mahallemizin muhtarı gibi görev yapararak, Domain içerisine giren ve çıkan objelerin bilgilerini tutar ve yönetir. Örneğin; Forest içine yeni bir Domain eklendiğinde, mevcut domainlerden biri kaldırıldığında, bir Domain'in adı değiştirildiğinde ya da Domain isimlerinde çakışma olduğunda,tüm bütün bunların kontrolünü yapan roldür. Bu rolün, Global Catalog rolüne sahip bir Domain Controller Server'da olması tavsiye edilir. Normal şartlarda Domain ortamını ilk kuran Domain Controller üzerinde bulunan bu iki Forest bazlı rol, Forest içindeki herhangi bir Domain'deki herhangi bir Domain Controller (DC) üzerinde FSMO rol Transfer işlemi ile taşıma yapmak suretiyle bulunabilir.
Bu rol, Forest içerisinde tektir.

● PDC Emulator
Bu rol aslında FSMO rolleri içerisinde en etkin ve yoğun kaynak kullanan roldür. Saat senkronizasyonu, şifre değişiklikleri ve şifre resetlemeleri, Group Policy ve SYSVOL paylaşım erişimlerini yönetir. Buna ek olarak, DFS yapısının güncel tutulmasını ve tutarlılığını da sağlar. Tek başına bu rolün taşınması, Primary Domain Controller görevinin başka bir DC'ye aktarılması anlamına gelir ki mevcut DC bu durumda Primary Domain Controller görevinden ayrılacaktır. Ayrıca bu işlem, sadace yeni yesil bir Windows Server versiyonu çıktığında Domain Controller Migration amaçlı değil, mevcut Primary Domain Controller görevi gören Server'ınızın yeni nesil bir Server'a Windows Server işletim sistemi kurularak, Member Server yapılıp, Additional DC haline getirdikten sonra, Primary Domain Controller görevinin bu yeni nesil Windows Server üzerinde devam etmesini de isteyebilirsiniz. Bu nedenle de bu rolün aktarımı çok önemlidir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

● RID Master
Active Directory Domain yapısı içerisindeki objelerin her birinin benzersiz birer kimlik numarası vardır. Bu benzersiz kimlik numaraları, Active Directory nesnesi oluşturulduğunda otomatik olarak atanır ve bu değişken, benzersiz numaralara RID-Relative Identifier adı verilmektedir. RID-Relative Identifier atanırken, Active Directory nesnesinin oluşutuğu Domain altında ilgili Domain'in kimlik numarasıyla beraber atanır ki buna da SID-Security Identifier denir. Her Domain'in kendine ait sabit değerde bir SID-Security Identifier numarası vardır ve atanan her RID-Relative Identifier numarası, bu SID-Security Identifier numarası altında atanır. İşte bu noktada, Active Directory ortamında oluşturulan nesnelere RID numarası ataması işlemini bu rol gerçekleştirir.

RID Master FSMO rolü, varsayılan olarak Domain yapısının ilk kurulduğu Primary Domain Controller üzerindedir. RID Master FSMO rolünü tutan Domain Controller, kendi üzerindeki RID havuzunda 1,073,741,823 (1 milyar 73 milyon 741 bin 823) adet RID numarası barındırır ki bu rakam, 2,147,483,647 (2 milyar 147 milyon 483 bin 647) üst sırınına kadar artırılabilmektedir. Domain ya da Forest ortamındaki RID Master FSMO rolünü tutmayan diğer Domain Controller'lar üzerlerinde 500 adet RID numarası bulunurlar (Windows Server 2016 ile birlikte bu sayı 500'e çıkartılmıştı) ve bu RID Master FSMO rolünü tutmayan Domain Controller'lar, bu sayının %50'si tükendiğinde RID master FSMO rolünü üzerinde tutan Domain Controller ile iletişime geçerek, tekrar bir 500'lük RID talebinde bulunurlar. Tüm bu işlemleri yerine getiren RID Master FSMO rolüdür.

Rid Master Block Size

RID Matser'ı barındıran Domain Controller'ın işlevsiz kalması ve yapınızdaki herhangi bir diğer Domain Controller'ın da barındırdığı bu sınırlı RID numarasının tükenmesi durumunda, RID numarasının tükendiği Domain Controller üzerinde yeni Active Directory nesneleri oluşturulamayacaktır ve the directory service has exhausted the pool of relative identifiers hatası oluşacaktır.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

● Infrastructure Master
Active Directory'de bir kullanıcı nesnesinin Organization Unit (OU) konumu, dolayısı ile de LDAP dizin yolu değiştirildiğinde, Group Policy ayarları da değişmektedir. OU'dan OU'ya taşıma yapılırken Update değişikliklerinden Infrastructure master sorumludur. Domain'ler arası bilgi transferini yapar ve güncel tutulmasını sağlar. Üzerindeki bilgi her daim günceldir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

Yukarıda bahsettiğim "Forest ortamındaki tüm Domain'lerde bulunur." ile "Forest bazında tektir." ifadlerimin altını doldurmam gerkirse Örneğin; Forest yapınızda 3 ayrı Domain olduğunu, bunlardan 1 tanesinin Forest'ın ilk oluşturulduğu Parent Domain, diğer 2 tanesinin de Child Domain olduğunu varsayalım. İster Parent Domain, isterse de Child Domain olsun; Domain ortamının ilk kurulduğu ilk Server, Domain Controller görevindedir. Bu sebeple de aynı Forest içindeki farklı Domain'leri oluşturuan ilk Server'lar da kendi bulundukları Domain'ler içine Domain Controller görevindedir ancak buradaki FSMO rolleri noktasında bir ayrım söz konusudur.

Child Domain'ler, aynı Forest içindeki Parent Domain'e bağlıdırlar. Aynı Forest içindeki herhangi bir Domain'deki, herhangi bir Domain Controller'da FSMO rolleri sorgulama işlemi gerçekleştirdiğinizde çıkacak olan sonuçta, Schema Master ve Domain Naming Master FSMO rollerinin her zaman  her ikisinin de Forest bazında tek olduğunu görürsünüz. Bahsettiğim örnek yapıdaki gibi bir yapıda aksi belirtilmedikçe, yani roller taşınmadıkça bu iki Forest bazlı FSMO rolü, Parent Domain'deki Domain Controller'da bulunacaktır. Bu roller elbette ki Child Domain'lerdeki Domain Controller'dan herhangi bir tanesine de taşınabilir! Burada unutulmaması gereken tek şeyin, bu iki FSMO rolünün tüm Forest ortamında tek olduğudur ki zaten aşağıdaki şemaya baktığınızda, hem Parent hem de Child Domain Controller'lardaki kalan üç FMO rolünün, sadece ilgili Domain'e ait olarak tüm Domain Controller'larda bulunduğunu görürsünüz.

PDC FSMO Rolü ve Primary Domain Controller İlişkisi

Yukarıda bahsedilen her rollerin içinde PDC FSMO Rolünün önemi, diğerlerinden bir anlamda daha farklıdır. O da, PDC FSMO Rolünü barındıran sunucunun direkt olarak Primary Domain Controller görevini üstlenmesidir. Senaryomda SRV001 Host Name'li sunucum, Active Directory Domain ortamını kurduğum Primary Domain Controller görevindeydi. Buradaki PDC FSMO rolünü, SRV002 Host Name'li sunucum üzerine taşıyarak, SRV002 Host Name'li sunucumu Primary Domain Controller olarak yapılandırdım. netdom query fsmo komutu SRV002 Host Name'li sunucu üzerinde çalıştıştırıldığında, sadece PDC FSMO rolünü SRV002 Host Name'li sunucum üzerinde olduğunu, diğer rollerin ise SRV001 Host Name'li sunucumda olduğunu görebiliyoruz.

PrimaryDCNasilBulunur

netdom query fsmo komutu SRV001 Host Name'li Server (sunucu) üzerinde çalıştıştırıldığında, sadece PDC FSMO rolünü SRV002 Host Name'li sunucum üzerinde olduğunu, diğer rollerin ise SRV001 Host Name'li sunucumda olduğunu görebiliyoruz.

PrimaryDCNasilBulunur

Yukarıda bahsettiğim "Forest'ta her Domain'de bir tane bulunur" ile "Forest bazında tektir" ifadlerimin altını doldurmam gerkirse; Örneğin, Forest yapınızda 3 ayrı Domain olduğunu, bunlardan 1 tanesinin Forest'ın ilk oluşturulduğu Parent Domain, diğer 2 tanesinin de Child Domain olduğunu varsayalım. İster Parent Domain, isterse de Child Domain olsun; Domain ortamının ilk kurulduğu ilk Server, Primary Domain Controller (PDC) görevindedir. Bu sebeple de aynı Forest içindeki farklı Domain'leri oluşturuan ilk Server'lar da kendi bulundukları Domain'ler içine Primary Domain Controller (PDC) görevindedir ancak buradaki FSMO rolleri noktasında bir ayrım söz konusudur.

Child Domain'ler, aynı Forest içindeki Parent Domain'e bağlıdırlar. Aynı Forest içindeki herhangi bir Domain'deki herhangi bir Domain Controller'da netdom query fsmo komutu ile FSMO rolleri sorgulama işlemi gerçekleştirdiğinizde çıkacak olan sonuçta, Schema Master ve Domain Naming Master FSMO rollerinin her zaman her ikisinin de Forest bazında tek olduğunu görürsünüz. Bahsettiğim örnek yapıdaki gibi bir yapıda aksi belirtilmedikçe, yani roller taşınmadıkça, bu iki Forest bazlı FSMO rolü Parent Domain'deki Domain Controller'da bulunacaktır. Bu roller elbette ki Child Domain'lerdeki Domain Controller'dan herhangi bir tanesine de taşınabilir! Burada unutulmaması gereken tek şeyin, bu iki FSMO rolünün tüm Forest ortamında tek olduğudur ki zaten aşağıdaki şemaya baktığınızda, hem Parent hem de Child Domain Controller'lardaki kalan üç FMO rolünün, sadece ilgili Domain'e ait olarak tüm Domain Controller'larda bulunduğunu görürsünüz.
FSMO Rolleri


Faydalı olması dileğiyle...

Etiketler: Active Directory Domain Controller, Primary DC, Additional DC, Schema Master, PDC, Domain Naming Master, Schema Master, RID Master, Infrastructure Master, fsmo rolleri.


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim. 2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin en önde gelen entegratör firması olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum. Ek olarak, 2015 yılında Network Akademi bünyesinde Sistem ve Network Uzmanlık eğitimleri vermeye başladım ve 2017 yılında da eğitmenlik tecrübemi, Microsft Certified Trainer (MCT) ünvanı ile taçlandırdım. Eğitmenlik serüvenime 2021 yılından beri Bilge Adam bünyesinde MCT ünvanı ile devam etmekteyim.

YORUMLAR
Bu makaleye henüz yorum yapılmadı! İlk yorum yapan sen ol.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.