Normal şartlarda Active Directory Migration işlemlerinde, yani ör. oramınızdaki Windows Server 2008 R2 Primary Domain Controller'ı, Windows Server 2012 R2 Primary Domain Controller'a Upgrade ederek mevcut Primary Domain Controller'ınızı Windows Server 2012 R2'ye yükselmek istediğinizde, Transfer işlemi yapmanız yeterli olmaktadır. Ancak ortamda Primary Domain Controller olarak görev yapan Domain Controller Server'ımızın Down olması ya da diğer herhangi bir nedenle ulaşılamaz olması durumunda Flexible Single Master Operation (FSMO) rollerininin taşıma işlemini (Transfer işlemi) zorunlu olarak yapabiliriz. Burada yapmamız gereken, ntdsutil komutu ile FSMO rollerini diğer DC'ye taşımak olacaktır. Ortamımda 2 Adet Windows Server 2012 R2 işletim sistemli Domain Controller bulunmaktadır.
Primary Domain Controller
SRV_DC001 isminde NIC IP Adresi 10.10.10.100/24 olarak yapılandırılmış ve üzerinde Active Directory Domain Services yapılandırılarak firatboyan.com isminde bir Domain yapısı kurularak ortamda Primary Domain Controller olarak görev yapacak şekilde yapılandırılmıştır.
Additional Domain Controller
SRV_ADC001 isminde Network Kartı IP Adresi 10.10.10.200/24 olarak yapılandırılmış ve üzerine Active Directory Domain Services kurulumu yapılarak, ortama Additional Domain Controller olarak yapılandırıldıktan sonra Flexible Single Master Operations (FSMO) rolleri bu sunucu üzerine taşınacaktır.
Ortamdaki Primary Domain Controller olarak görev yapan SRV_DC001 isimli Server'ımı kapatarak (Senaryo gereği Down duruma geçmiş ve bir şekilde erişimi sağlanamıyor olacak) üzerindeki rolleri Seizing işlemi ile yine ortamımda Additional Domain Controller olarak görev yapan SRV_ADC001 isimli Server'ım üzerine taşıyacağım ancak FSMO rollerinden detaylıca bahsetmek istiyorum.
Active Directory FSMO (Flexible Single Master Operation) Rollerinin İncelenmesi
Domain ortamının ilk kurulduğu ilk Server, Domain Controller görevindedir. Bir Domain Controller'ın, Domain ortamının yönetimi için sahip olduğu bir takım görevler vardır ve FSMO (Flexible Single Master Operation) adı verilen, toplamda 5 rolden oluşan bu görevleri özetle Active Directory'nin bel kemiğini oluşturan Schema (şema) yapısı içindeki Active Directory nesnelerinin yönetimi, Dizin yapısının kayıt işlemlerinin yönetimi, Group Policy nesnelerinin ortamdaki diğer Domain Controller'lar ile senkronizasyon sağlaması için gerekli olan SYSVOL paylaşım erişiminin yöneti, Active Directory'de oluşturulan Active Directory nesnelerinin kimlik bilgilerinin yönetimi olarak sıralayabiliriz.
Bir Domain Controller üzerinde; Schema Master, Domain Naming Master, RID Master, PDC Emulator, Infrastructure Master olmak üzere 5 tane FSMO rolü bulunmaktadır. Bu 5 rol, standart olarak, Forest içinde ilk kurulan Server'daki Domain yapısını oluşturan Primary Domain Controller üzerinde bulunur.
● Schema Master
Active Directory Schema, Active Directory nesnelerinin tüm bilgilerini tutan yapıdır. Bu yapılar; Class'lardan (sınıf) oluşur ve her bir Class içinde, o Class'a ait Attribute'lar (öznitelikler) bulunur. Bir objeye ait hangi bilgilerinin saklanacağı, Attribute'lar ile tanımlanır. Forest içindeki Active Directory nesne sınıfları (Object Classes) ve bunlara ait öz nitelikler (Attributes), Active Directory Shema yapısını oluşturur. Bu nedenle de Active Directory'i oluşturan ana omurga, Active Directory Schema'dır. Tüm Active Directory nesne (object) ve öz niteliklerin (Attributes) güncellemeleri ve bunlara ait bilgiler Schema Master üzerinde tutulur. Schema Master rolü, Active Directory Schema'nın yönetimi yapmakla birlikte; Class ve Attribute değerlerinde meydana gelen tüm değişiklikler ise Domain Controller'lar arasında replike edilmek suretiyle güncel tutulur.
Bu rol, Forest içerisinde tektir.
● Domain Naming Master
Bu rol, tıpkı mahallemizin muhtarı gibi görev yapararak, Domain içerisine giren ve çıkan objelerin bilgilerini tutar ve yönetir. Örneğin; Forest içine yeni bir Domain eklendiğinde, mevcut domainlerden biri kaldırıldığında, bir Domain'in adı değiştirildiğinde ya da Domain isimlerinde çakışma olduğunda,tüm bütün bunların kontrolünü yapan roldür. Bu rolün, Global Catalog rolüne sahip bir Domain Controller Server'da olması tavsiye edilir. Normal şartlarda Domain ortamını ilk kuran Domain Controller üzerinde bulunan bu iki Forest bazlı rol, Forest içindeki herhangi bir Domain'deki herhangi bir Domain Controller (DC) üzerinde FSMO rol Transfer işlemi ile taşıma yapmak suretiyle bulunabilir.
Bu rol, Forest içerisinde tektir.
● PDC Emulator
Bu rol aslında FSMO rolleri içerisinde en etkin ve yoğun kaynak kullanan roldür. Saat senkronizasyonu, şifre değişiklikleri ve şifre resetlemeleri, Group Policy ve SYSVOL paylaşım erişimlerini yönetir. Buna ek olarak, DFS yapısının güncel tutulmasını ve tutarlılığını da sağlar. Tek başına bu rolün taşınması, Primary Domain Controller görevinin başka bir DC'ye aktarılması anlamına gelir ki mevcut DC bu durumda Primary Domain Controller görevinden ayrılacaktır. Ayrıca bu işlem, sadace yeni yesil bir Windows Server versiyonu çıktığında Migration amaçlı değil, mevcut Primary Domain Controller görevi gören Server'ınızın yeni nesil bir Server'a Windows Server işletim sistemi kurularak, Member Server yapılıp, Additional DC haline getirdikten sonra, Primary Domain Controller görevinin bu yeni nesil Windows Server üzerinde devam etmesini de isteyebilirsiniz. Bu nedenle de bu rolün aktarımı çok önemlidir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.
● RID Master
Active Directory Domain yapısı içerisindeki objelerin her birinin benzersiz birer kimlik numarası vardır. Bu benzersiz kimlik numaraları, Active Directory nesnesi oluşturulduğunda otomatik olarak atanır ve bu değişken, benzersiz numaralara RID-Relative Identifier adı verilmektedir. RID-Relative Identifier atanırken, Active Directory nesnesinin oluşutuğu Domain altında ilgili Domain'in kimlik numarasıyla beraber atanır ki buna da SID-Security Identifier denir. Her Domain'in kendine ait sabit değerde bir SID-Security Identifier numarası vardır ve atanan her RID-Relative Identifier numarası, bu SID-Security Identifier numarası altında atanır. İşte bu noktada, Active Directory ortamında oluşturulan nesnelere RID numarası ataması işlemini bu rol gerçekleştirir.
RID Master FSMO rolü, varsayılan olarak Domain yapısının ilk kurulduğu Primary Domain Controller üzerindedir. RID Master FSMO rolünü tutan Domain Controller, kendi üzerindeki RID havuzunda 1,073,741,823 (1 milyar 73 milyon 741 bin 823) adet RID numarası barındırır ki bu rakam, 2,147,483,647 (2 milyar 147 milyon 483 bin 647) üst sırınına kadar artırılabilmektedir. Domain ya da Forest ortamındaki RID Master FSMO rolünü tutmayan diğer Domain Controller'lar üzerlerinde 500 adet RID numarası bulunurlar (Windows Server 2016 ile birlikte bu sayı 500'e çıkartılmıştı) ve bu RID Master FSMO rolünü tutmayan Domain Controller'lar, bu sayının %50'si tükendiğinde RID master FSMO rolünü üzerinde tutan Domain Controller ile iletişime geçerek, tekrar bir 500'lük RID talebinde bulunurlar. Tüm bu işlemleri yerine getiren RID Master FSMO rolüdür.
RID Matser'ı barındıran Domain Controller'ın işlevsiz kalması ve yapınızdaki herhangi bir diğer Domain Controller'ın da barındırdığı bu sınırlı RID numarasının tükenmesi durumunda, RID numarasının tükendiği Domain Controller üzerinde yeni Active Directory nesneleri oluşturulamayacaktır ve the directory service has exhausted the pool of relative identifiers hatası oluşacaktır.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.
● Infrastructure Master
Active Directory'de bir kullanıcı nesnesinin Organization Unit (OU) konumu, dolayısı ile de LDAP dizin yolu değiştirildiğinde, Group Policy ayarları da değişmektedir. OU'dan OU'ya taşıma yapılırken Update değişikliklerinden Infrastructure master sorumludur. Domain'ler arası bilgi transferini yapar ve güncel tutulmasını sağlar. Üzerindeki bilgi her daim günceldir.
Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.
Yukarıda bahsettiğim "Forest ortamındaki tüm Domain'lerde bulunur." ile "Forest bazında tektir." ifadlerimin altını doldurmam gerkirse;
Örneğin; Forest yapınızda 3 ayrı Domain olduğunu, bunlardan 1 tanesinin Forest'ın ilk oluşturulduğu Parent Domain, diğer 2 tanesinin de Child Domain olduğunu varsayalım. İster Parent Domain, isterse de Child Domain olsun; Domain ortamının ilk kurulduğu ilk Server, Domain Controller görevindedir. Bu sebeple de aynı Forest içindeki farklı Domain'leri oluşturuan ilk Server'lar da kendi bulundukları Domain'ler içine Domain Controller görevindedir ancak buradaki FSMO rolleri noktasında bir ayrım söz konusudur.
Child Domain'ler, aynı Forest içindeki Parent Domain'e bağlıdırlar. Aynı Forest içindeki herhangi bir Domain'deki, herhangi bir Domain Controller'da FSMO rolleri sorgulama işlemi gerçekleştirdiğinizde çıkacak olan sonuçta, Schema Master ve Domain Naming Master FSMO rollerinin her zaman her ikisinin de Forest bazında tek olduğunu görürsünüz. Bahsettiğim örnek yapıdaki gibi bir yapıda aksi belirtilmedikçe, yani roller taşınmadıkça bu iki Forest bazlı FSMO rolü, Parent Domain'deki Domain Controller'da bulunacaktır. Bu roller elbette ki Child Domain'lerdeki Domain Controller'dan herhangi bir tanesine de taşınabilir! Burada unutulmaması gereken tek şeyin, bu iki FSMO rolünün tüm Forest ortamında tek olduğudur ki zaten aşağıdaki şemaya baktığınızda, Schema Master ve Domain Naming Master haricindeki 3 FSMO rolünün, sadece ilgili Domain'e ait olarak tüm Domain Controller'larda bulunduğunu görürsünüz.
Flexible Single Master Operations (FSMO) Rollerinin SEIZE İle Taşınması
1- Flexible Single Master Operations (FSMO) rollerinin hangi sunucu üzerinde kontrol etmek için CMD ekraninda netdom query fsmo komutunu SRV_ADC001 isimli Server'ım üzerinde çalıştırıyorum ve FSMO rollerinin SRV_DC001 isimli Server'ım üzerinde olduğunu görüyorum.
2- Flexible Single Master Operations (FSMO) rollerini seize ile çekmeye başlamadan önce, Primary Domain Controller SRV_DC001 ile iletişiminin önce başarılı bir şekilde sağlanabildiğini, sonrasında ise senaryomuz gereği bağlantının koptuğunu görüyoruz.
3- Flexible Single Master Operations (FSMO) rollerimin hangi sunucuda olduğunu kontrol ettikten sonra ntdsutil komutunu çalıştırıyorum.
4- ntdsutil komutu çalıştırıldıktan sonra roles komutunu yazıyor ve çalıştırıyorum.
5- roles komutunu çalıştırtıktan sonra bir sonraki adım olan fsmo maintenance bölümüne connections komutunu yazarak çalıştırıyorum ve Server connections adımına geçiyorum.
6- Server connections bölümünde, Flexible Single Master Operations (FSMO) rollerinin SEIZE işlemini hangi Server'ım üzerine yapacaksam, connect to server bölümünde o Server'ımı connect to server şeklinde yazıyorum.
7- SRV_ADC001 ismindeki Additional Domain Controller'a bağlantı sağlandı. Quit komutu ile işlemi tamalıyorum.
Schema Master Rolü SEIZE işlemi
8- Schema Master rolü taşımak için seize schema master komutu ile seize işlemini başlatıyorum.
fsmo maintenance bölümüne tekrar geri döndükten sonra Flexible Single Master Operations (FSMO) rollerimi SEIZE işlemimize başlatabiliriz.
8.1- Schema Master rolünü Additional Domain Controller üzerine taşımak istediğinize emin misiniz? diye bir uyarı mesajı alıyorum. Yes butonuna basarak işlemi başlatıyorum.
8.2- Schema Master rolünün seize yöntemiyle transferi başlıyor.
8.3- Schema Master rolü başarılı bir şekilde taşıdı.
Domain Naming Master Rolü SEIZE işlemi
9- Domain Naming Master rolünü taşımak için seize naming master komutu ile SEIZE işlemini başlatıyorum.
9.1- Domain Naming Master rolünü Additional Domain Controller üzerine taşımak istediğinize emin misiniz? diye bir uyarı mesajı alıyorum. Yes butonuna basarak işlemi başlatıyorum.
9.2- Domain Naming Master rolünün seize yöntemiyle transferi başlıyor.
9.3- Domain Naming Master rolü başarılı bir şekilde taşıdı.
• Forest bazındaki iki rol olan Schema Master ve Domain Naming Master rolleri SRV_ADC001 isimli Additional Domain Controller Server'ıma başarılı bir şekilde taşındı.
Primary Domain Controller (PDC) Emulator Rolü SEIZE işlemi
10- Primary Domain Controller (PDC) Emulator rolü taşımak için seize pdc komutu ile SEIZE işlemini başlatıyorum.
10.1- Primary Domain Controller (PDC) Emulator rolünün SEIZE yöntemiyle transferi başlıyor.
10.2- Primary Domain Controller (PDC) Emulator rolünün SEIZE yöntemiyle transferi başlıyor.
10.3- Primary Domain Controller (PDC) Emulator rolü başarılı bir şekilde taşıdı.
RID Master Rolü SEIZE işlemi
11- RID Master rolü taşımak için seize rid master komutu ile SEIZE işlemini başlatıyorum.
11.1- RID Master rolünün SEIZE yöntemiyle transferi başlıyor.
11.2- RID Master rolünün SEIZE yöntemiyle transferi başlıyor.
11.3- RID Master rolü başarılı bir şekilde taşıdı.
Infrastructure Master Rolü SEIZE işlemi
12- Infrastructure Master rolü taşımak için seize infrastructure master komutu ile SEIZE işlemini başlatıyorum.
12.1- Infrastructure Master rolünün SEIZE yöntemiyle transferi başlıyor.
12.2- Infrastructure Master rolünün SEIZE yöntemiyle transferi başlıyor.
12.3- Infrastructure Master rolü başarılı bir şekilde taşıdı.
13- Flexible Single Master Operations (FSMO) rollerinin SEIZE işlemi ile taşıma işlemi tamamlandıktan sonra, rollerin SRV_ADC001 üzerine Transfer olup olmadiklarini kontrol etmek için CMD ekraninda netdom query fsmo komutunu çalıştırıyorum ve rollerin SRV_ADC001 üzerinde olduğunu görüyorum.
Ortamda Primary Domain Controller olarak görev yapan SRV_DC001 isimli Server'ım üzerinden rolleri SEIZE işlemi ile ortamda Additional Domain Controller olarak görev yapan SRV_ADC001 isimli Server'ım üzerine taşıdıktan sonra SRV_DC001 isimli Master (Primary) Domain Controller'ı ortamdan kaldırmak için Windows Server 2012 R2 Active Directory Metadata Cleanup işlemini uygulamanızı tavsiye ederim.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.