Windows'ta Active Directory FSMO rolleri

  • Makale

Bu makale temel olarak Active Directory'deki Esnek Tek Yönetici İşlemi (FSMO) rolleri hakkında bilgi edinmenize yardımcı olur.

Şunlar için geçerlidir: Windows 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Orijinal KB numarası: 197132

Özet

Active Directory, bir kuruluştaki tüm nesnelerin ve ilgili özniteliklerinin depolandığı merkezi depodur. Bu, milyonlarca nesneyi depolayan hiyerarşik, çok ana şablonlu bir veri tabanıdır. Veri tabanındaki değişiklikler, DC'nin ağa bağlı veya ağ bağlantısı kesilmiş olmasına bakılmaksızın kuruluştaki herhangi bir etki alanı denetleyicisinde (DC) işlenebilir.

Çok ana şablonlu model

Active Directory gibi çoklu ana bilgisayar özellikli bir veri tabanı, kuruluştaki herhangi bir DC'de değişikliklerin gerçekleşmesine izin verme esnekliği sağlar. Ancak veriler kuruluşun geri kalanına çoğaltıldıktan sonra sorunlara yol açabilecek çakışma olasılığını da beraberinde getirir. Windows'un çakışan güncelleştirmelerle ilgilenme yollarından biri, bir çakışma çözümleme algoritmasının değerlerdeki tutarsızlıkları işlemesini sağlamaktır. Bu işlem, değişikliklerin en son yazıldığı DC'ye çözümlenerek yapılır. Yani son yazılan korunur. Diğer tüm DC'lerdeki değişiklikler atılır. Bu yöntem bazı durumlarda kabul edilebilir olsa da çakışmaların son yazılan korunur yaklaşımı kullanılarak çözülmesinin çok zor olduğu zamanlar vardır. Bu gibi durumlarda çakışmanın oluşmasını önlemek, olayın ardından çözmeyi denemekten çok daha iyidir.

Bazı değişiklik türlerinde Windows, çakışan Active Directory güncelleştirmelerinin oluşmasını önleme yöntemlerini birleştirir.

Tek ana model

Windows'ta çakışan güncelleştirmeleri önlemek için, Active Directory belirli nesnelere yönelik güncelleştirmeleri tek ana şablonlu bir şekilde gerçekleştirir. Tek ana modelde, tüm dizinde yalnızca bir DC'nin güncelleştirmeleri işlemesine izin verilir. Microsoft Windows NT 3.51 ve 4.0 gibi önceki Windows sürümlerinde birincil etki alanı denetleyicisine (PDC) verilen role benzer. Windows önceki sürümlerinde PDC, belirli bir etki alanındaki tüm güncelleştirmeleri işlemekle sorumludur.

Active Directory, Windows'un önceki sürümlerinde bulunan tek ana modeli birden çok rol içerecek şekilde genişletir ve kuruluştaki herhangi bir DC'ye rol aktarma olanağı sunar. Active Directory rolü tek bir DC'ye bağlı olmadığından FSMO rolü olarak adlandırılır. Şu anda Windows'ta beş FSMO rolü vardır:

  • Şema yöneticisi
  • Etki alanı adlandırma yöneticisi
  • RID yöneticisi
  • PDC öykünücüsü
  • Altyapı yöneticisi

Genellikle, bir FSMO rol sahipliği yalnızca etki alanı denetleyicisi Dizin Hizmeti başlatıldıktan sonra sahipliğin depolandığı adlandırma bağlamını (NC) çoğalttığında yürütülür. Rol kullanılmadan önce bir FSMO rolünü alma işleminin önceki sahibe ulaştığından emin olun.

Şema yöneticisi FSMO rolü

Şema yöneticisi FSMO rol sahibi, dizin şemasına, yani şema adlandırma bağlamı veya LDAP://cn=schema,cn=configuration,dc=<etki alanına> yönelik güncelleştirmeleri gerçekleştirmekle sorumlu DC'dir. Bu DC, dizin şeması güncelleştirmelerini işleyebilen tek DC'dir. Şema güncelleştirmesi tamamlandıktan sonra şema yöneticisinden dizindeki diğer tüm DC'lere çoğaltılır. Orman başına yalnızca bir şema yöneticisi vardır.

İlk çoğaltma ve bağlantı gereksinimleri

  • Bu FSMO rol sahibi ancak Dizin Hizmeti başlatıldıktan sonra gelen şema NC'yi başarıyla çoğalttığında etkindir.
  • DC'ler ve ormanın üyeleri yalnızca şemayı güncelleştirdiklerinde FSMO rolüyle iletişim kurar.

Etki alanı adlandırma yöneticisi FSMO rolü

Etki alanı adlandırma yöneticisi FSMO rol sahibi, dizinin orman genelindeki etki alanı adı alanında, yani Partitions\Configuration adlandırma bağlamında veya LDAP://CN=Partitions, CN=Configuration, DC=<domain'de> değişiklik yapmaktan sorumlu DC'dir. Bu DC, dizine etki alanı ekleyebilen veya dizinden kaldırabilen tek DC'dir. Ayrıca dış dizinlerdeki etki alanlarına çapraz başvurular ekleyebilir veya kaldırabilir.

İlk çoğaltma ve bağlantı gereksinimleri

  • Bu FSMO rol sahibi yalnızca dizin hizmeti başlatıldıktan sonra gelen yapılandırma NC'sini başarıyla çoğalttığında etkindir.

  • Ormanın etki alanı üyeleri, çapraz başvuruları güncelleştirdiklerinde yalnızca FSMO rol sahibiyle iletişim kurar. DC'ler aşağıdaki durumlarda FSMO rol sahibiyle iletişim kurar:

    • Etki alanları ormana eklendiğinde veya kaldırıldığında.
    • DC'lerdeki uygulama dizini bölümlerinin yeni örnekleri eklendiğinde. Örneğin, varsayılan DNS uygulaması dizin bölümleri için bir DNS sunucusu listelenmiştir.

RID yöneticisi FSMO rolü

RID ana FSMO rol sahibi, belirli bir etki alanındaki tüm DC'lerden gelen RID Havuzu isteklerini işlemekten sorumlu tek DC'dir. Ayrıca, bir nesneyi etki alanından kaldırmaktan ve nesne taşıma sırasında başka bir etki alanına yerleştirmekten de sorumludur.

Bir DC, kullanıcı veya grup gibi bir güvenlik sorumlusu nesnesi oluşturduğunda, nesneye benzersiz bir Güvenlik Kimliği (SID) ekler. Bu SID şunlardan oluşur:

  • Bir etki alanında oluşturulan tüm SID'ler için aynı olan bir etki alanı SID'si.
  • Bir etki alanında oluşturulan her güvenlik sorumlusu SID'si için benzersiz olan göreli kimlik (RID).

Bir etki alanındaki her Windows DC'ye, oluşturduğu güvenlik sorumlularına atamasına izin verilen bir RID havuzu ayrılır. Bir DC'nin ayrılmış RID havuzu eşiğin altına düştüğünde bu DC, etki alanının RID yöneticisine ek RID isteğinde bulunur. Etki alanı RID yöneticisi, etki alanının ayrılmamış RID havuzundan RID'leri alarak isteğe yanıt verir ve bunları istekte bulunan DC'nin havuzuna atar. Bir dizinde etki alanı başına bir RID yöneticisi vardır.

İlk çoğaltma ve bağlantı gereksinimleri

  • Bu FSMO rol sahibi yalnızca dizin hizmeti başlatıldıktan sonra gelen etki alanı NC'sini başarıyla çoğalttığında etkindir.
  • DC'ler, yeni bir RID havuzu aldığında FSMO rol sahibiyle iletişim kurar. Yeni RID havuzu, AD çoğaltması aracılığıyla DC'lere teslim edilir.

PDC öykünücüsü FSMO rolü

PDC öykünücüsü, bir kuruluştaki zamanı eşitlemek için gereklidir. Windows, Kerberos kimlik doğrulama protokolünün gerektirdiği W32Time (Windows Zamanı) zaman hizmetini içermektedir. Bir kuruluştaki tüm Windows tabanlı bilgisayarlar ortak bir zaman kullanır. Zaman hizmetinin amacı, Windows Zaman hizmetinin, yetkiliyi denetleyen hiyerarşik bir ilişki kullandığından emin olmaktır. Uygun ortak zaman kullanımını sağlamak için döngülere izin vermez.

Etki alanının PDC öykünücüsü, etki alanı için yetkilidir. Ormanın kökündeki PDC öykünücüsü, kuruluş için yetkili hale gelir ve zamanı bir dış kaynaktan toplayacak şekilde yapılandırılmalıdır. Tüm PDC FSMO rol sahipleri, gelen zaman ortaklarının seçimine uygun etki alanı hiyerarşisini izler.

Bir Windows etki alanında, PDC öykünücüsü rol sahibi aşağıdaki işlevleri sürdürür:

  • Etki alanındaki diğer DC'ler tarafından yapılan parola değişiklikleri tercihen PDC öykünücüsüne çoğaltılır.
  • Hatalı parola nedeniyle belirli bir DC'de kimlik doğrulama hataları oluştuğunda, yanlış parola hata iletisi kullanıcıya bildirilmeden önce hatalar PDC öykünücüsüne iletilir.
  • Hesap kilitleme PDC öykünücüsnde işlenir.
  • PDC öykünücüsü, Windows NT 4.0 Sunucu tabanlı PDC veya önceki bir PDC'nin, Windows NT 4.0 tabanlı veya önceki istemciler için gerçekleştirdiği tüm işlevleri gerçekleştirir.

PDC öykünücüsü rolünün bu bölümü aşağıdaki durumlarda gereksiz hale gelir:
Windows NT 4.0 veya daha önceki bir sürümü çalıştıran tüm iş istasyonları, üye sunucular ve etki alanı denetleyicilerinin tümü Windows 2000'e yükseltilir.

PDC öykünücüsü, Windows 2000 ortamında açıklandığı gibi diğer işlevleri yine de yapar.

Aşağıdaki bilgiler, yükseltme işlemi sırasında gerçekleşen değişiklikleri açıklar:

  • Dağıtılmış hizmetler istemci paketini yükleyen Windows istemcileri (iş istasyonları ve üye sunucuları) ve alt düzey istemciler, kendisini PDC olarak tanıtmış olan DC'de tercihen dizin yazma işlemleri (parola değişiklikleri gibi) gerçekleştirmez. Etki alanı için herhangi bir DC'yi kullanırlar.
  • Alt düzey etki alanlarındaki yedekleme etki alanı denetleyicileri (BDC) Windows 2000'e yükseltildikten sonra, PDC öykünücüsü alt düzey çoğaltma isteği almaz.
  • Dağıtılmış hizmetler istemci paketini yükleyen Windows istemcileri (iş istasyonları ve üye sunucular) ve alt düzey istemciler, ağ kaynaklarını bulmak için Active Directory'yi kullanırlar. Windows NT Browser hizmetine ihtiyaç duymazlar.

İlk çoğaltma ve bağlantı gereksinimleri

  • PDC öykünücüsü, etki alanı NC kafasının fSMORoleOwner özniteliğinin kendisini işaretlediğinde bu FSMO rol sahibi her zaman etkindir. Gelen çoğaltma gereksinimi yoktur.

  • DC'ler, yeni parolaları olduğunda veya yerel parola doğrulaması başarısız olduğunda FSMO rol sahibiyle iletişim kurar. PDC öykünücüsüne ulaşılamadığında veya AvoidPdcOnWan kayıt defteri değeri 1 olarak ayarlandığında hata oluşmaz.

  • Bir DC'yi indirgeme önkoşullarını çalıştırmak için aşağıdaki cmdlet'i kullanabilirsiniz.

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl

    PDC öykünücüsüne ulaşılamadığında bir çıkış örneği aşağıda verilmiştir.

    İleti: Etki Alanı Denetleyicisi yükseltme önkoşullarının doğrulanması başarısız oldu. Bu Active Directory etki alanı denetleyicisinin, "contoso.com" etki alanının son etki alanı denetleyicisi olmadığını belirttiniz. Ancak, bu etki alanı için başka hiçbir etki alanı denetleyicisiyle bağlantı kurulamıyor. Devam etmek, bu etki alanı denetleyicisinde yapılan tüm Active Directory Etki Alanı Hizmetleri değişikliklerinin kaybolmasına neden olur. Yine de devam etmek için 'IgnoreLastDCInDomainMismatch' seçeneğini belirtin.
    Bağlam: Test.VerifyDcPromoCore.DCPromo.General.50
    RebootRequired: False
    Durum : Hata

Altyapı yöneticisi FSMO rolü

Bir etki alanındaki bir nesneye başka bir etki alanındaki başka bir nesne tarafından başvurulduğunda, başvuruyu şuna göre temsil eder:

  • GUID
  • SID (güvenlik sorumlularına başvurular için)
  • Başvurulan nesnenin DN'si

Altyapı FSMO rol sahibi, etki alanları arası nesne başvurusunda bir nesnenin SID'sini ve ayırt edici adını güncelleştirmekle sorumlu DC'dir.

Not

Altyapı Yöneticisi (IM) rolü, Genel Katalog sunucusu (GC) olmayan bir DC tarafından tutulmalıdır. Altyapı yöneticisi bir genel katalog sunucusunda çalışıyorsa kendi üzerinde tutmadığı nesnelere başvuru içermediğinden nesne bilgilerini güncelleştirmeyi durdurur. Bunun nedeni, Genel Katalog sunucusunun ormandaki her nesnenin kısmi kopyasını tutmasıdır. Sonuç olarak, bu etki alanındaki etki alanları arası nesne başvuruları güncelleştirilmez ve DC'nin olay günlüğünde bu etki alanına yönelik bir uyarı günlüğe kaydedilir.

Etki alanındaki tüm DC'ler de genel kataloğu barındırırsa tüm DC'ler geçerli verilere sahip olur. Hangi DC'nin altyapı yöneticisi rolünü üstlendiği önemli değildir.

Geri Dönüşüm Kutusu isteğe bağlı özelliği etkinleştirildiğinde, başvuruda bulunan nesne taşındığında, yeniden adlandırıldığında veya silindiğinde her DC etki alanları arası nesne başvurularını güncelleştirmekle sorumludur. Bu durumda, Altyapı FSMO rolüyle ilişkilendirilmiş görev yoktur. Altyapı Yöneticisi rolünün hangi etki alanı denetleyicisine sahip olduğu da önemli değildir. Daha fazla bilgi için bkz. 6.1.5.5 Altyapı FSMO Rolü.

İlk çoğaltma ve bağlantı gereksinimleri

  • Bu FSMO rol sahibi yalnızca dizin hizmeti başlatıldıktan sonra gelen etki alanı NC'sini başarıyla çoğalttığında etkindir.
  • Bu FSMO rolü sahibi için bağlantı gereksinimi yoktur. Bu bir orman iç temizleme işlevidir.