Active Directory Multi-Master replication yapısı olmasına rağmen domain içinde bazı görevlerin sadece bir elden yapılması gerekir. Bu görevlere Active Directory FSMO (Flexible Single Master of Operation) Rolleri adı verilir. Bu rolleri tutan sunucular domain ve forest içinde bazı işlemlerin yapılmasını tek elden kontrol ederler.

Active Directory FSMO (Flexible Single Master of Operation) Rolleri

Operations Master, bir DC nin çeşitli roller üstlenerek Active Directory üzerindeki çeşitli işlemleri yönetme hakkına sahip olmasıdır. Dc bu roller sayesinde Active Directory deki objeleri yönetme, niteliklerini değiştirme, replikasyon işlemlerini yönetme gibi izinlere sahip olur. Bazı roller Forest içerisinde tüm DC lerde olabileceği gibi, bazı roller de Forest ortamında tek DC üzerinde bulunabilirler.

Operations Master rollerinden Schema Master ve Domain Naming Master rolleri Forest ortamında tek olan rollerdir yani Forest içerisinde yalnız tek DC üzerinde bulunabilirler. Diğer roller olan PDC Emulator, RID Master ve Infrastructure Master rolleri Forest ortamındaki tüm DC’lerde bulunurlar.

1. Schema Master:

Active Directory içinde yaratılabilecek objenin niteliklerinin düzenlenmesini sağlayan ve bu işlemleri tek elden yönetip Forest genelinde diğer DC lerin Schema üzerindeki değişiklerden haberdar olmasını sağlayan sunucu rolüdür.

Schema sadece bu rölü taşıyan sunucu üzerinde ya da bağlantı yapılarak düzenlenebilir. Bu rolü genelde ilk kurulan DC tutar. Bu rolü tutan DC nin ağ üzerinde erişilemez olduğu durumda Schema düzenlenemez. Aynı anda forest içinde bu rolu taşıyan tek bir DC olabilir.

2. Domain Naming Master:

Forest içine yeni bir domain ekleme ya da çıkarma işlemi yapılırken bu rolü taşıyan sunucu ile bağlantı kurulur. Aynı isimde başka bir domain’nin olup olmadığını kotrol eder. Yeni bir domain’nin eklenmesi ya da silinmesi durumunda diğer domanlerden silinen domain controller iler ilgili kayıtları temizler.

Aynı anda forest içinde sadece bir tane Domain Naming Master olabilir.

Bu rolü tutan DC ye ulaşılamaması veya bu DC nin çökmesi durumunda Forest içinde yeni domainler eklenemez ve çıkarılamaz.

3. RID (Relative Identifier) Master:

DC ler üzerinde oluşturulan objelere benzersiz bir Security ID verilir. Bu ID Domain Security ID ve kullanıcıya verilen Security ID nin birleşimidir. Bu şekilde oluşturulan objeler için Forest genelinde tek bir ID üretilmiş olur.

Bu rolü tutan DC nin çökmesi ya da ulaşılamaması durumunda, AD içinde yeni bir obje oluşturulduğunda uzun bir bekleme süresinden sonra hata mesajları ile karşılaşılabilir. Bu rolü taşıyan sunucuya erişilemezse yeni objeler oluşturulamaz.

4. PDC (Primary Domain Controller) Master:

Bu rolü tutan sunucu üzerinde diğer rolleri tutan sunuculara göre daha fazla trafik oluşur. PDC emulator Master Browser görevini alarak ağdaki bilgisayarların isimlerini tutar ve My Network Places ta görünmesini sağlar.

Kullanıcıların parola değişiklikleri PDC ye gönderilir. Kullanıcıların parolalarını yanlış girmeleri durumunda kullanıcının login olmaya çalıştığı DC bu isteği PDC ye iletir ve parolanın doğruluğu denetlenir.

GPO larla ilgili değişikliklerin bir elden dağıtılmasını ve kontrollünü yapar.

Ağ üzerinde Network Time Server olarak çalışır. Açılan DC ler saatlerini bu rolü taşıyan DC ile eşlerler. Aynı anda domain içinde bu rolu taşıyan tek bir DC olabilir.

Eğer bu rolü taşıyan DC çökerse yada servis dışı kalırsa bu rol diğer bir DC ye alınabilir. Çöken DC tekrar açılırsa bu rol tekrar DC üzerine konsollar kullanılarak alınabilir. Bu rolün hemen diğer bir DC üzerine alınması gerekir.

5. Infrastructure Master:

Kullanıcıların grup üyeliklerinin değişmesi, kullanıcı isimlerinin değişmesi, grupların isimlerinin değişmesi, kullanıcının veya grubun diğer bir gruba üye olması yada taşınması durumunda bu değişikliklerin diğer DC lere eşitlenmesi görevini yapar.

Bu rolü taşıyan sunucuya ulaşılamazsa yada bu sunucu çökerse, kullanıcıların taşınması yada isimlerinin değişmesi durumlarında uzun beklemeler olur ve hata mesajları ile karşılaşılır.

Bu rol diğer bir DC ye seize edilebilir. Ancak bu rolü alacak yeni DC, Global Catalog’u üzerinde taşınmamalıdır. Aksi durumda bu rolü taşıyan DC üzerinde bu rol işlevini yitirir. Eğer rolü taşıyan önceki DC tekrar ağada çalışır duruma gelirse rol tekrar bu DC ye verilebilir.

FSMO Rolleri sorgulamak için aşağıdaki iki komutı kullanabilirsiniz. ;

dcdiag /test:knowsofroleholders /v

netdom query fsmo

Global Catalog

Bunlar dışında Global Catalog Server özelliği de bir DC’ye eklenebilir veya bir DC’ den kaldırılabilir. Varsayılan olarak Domain içinde oluşturulan ilk DC Global Catalog Server olarak yer alır. Bir Forest içinde birden fazla DC Global Catalog server olabilir. Bu Active Directory veri tabanında arama işlemlerinin daha hızlı gerçekleşmesini sağlayacaktır.

Infrastructure Master ile Global Catalog aynı DC üzerinde olmamalıdır. İkisinin de objelere ait markalama ve nitelik bilgilerini içermesi yüzünden replication işlemi sırasında sorun oluşacaktır. (Tek Domain controller olan yapılarda bu rol ilk kurulumda otomatik olarak tek makine üzerinde olur, tavsiye edilen bir yapı değildir. Sağlıklı bir yapı için Active Directory FSMO (Flexible Single Master of Operation) Rolleri dağıtılması önerilir.)