Microsoft Aktif Dizin FSMO Rolleri

0
487
views
Bir Microsoft ortamını etki alanı ve ormanlar seviyesinde birçok operasyon gerçekleşir. Bu operasyonların organize bir şekilde gerçekleştirilmesi için etki alanı denetleyicilerinde farklı rollere tanımlanmıştır. Windows 2000’den beri kullanılan bu rollere FSMO (Flexible Single Master Operations) Rolleri adı verilir. Bazı roller her ormanda bir tane bulunabilirken, bazı roller ise her etki alanında sadece bir tane denetleyici üzerinde bulunabilir. Bu yazıda orman ve etki alanı tabanlı FSMO rolleri incelenecektir.

1) Orman Tabanlı FSMO Rolleri

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bir orman içerisinde birer tane Şema Yöneticisi ve Etki Alanı Adlandırma Yöneticisi rollerine sahip etki alanı denetleyicileri bulunabilir.

 

1.1) Şema Yöneticisi Rolü (Schema Master Role)

Bu role sahip etki alanı denetleyicisi, Aktif Dizin şema veri tabanlarına yazma hakkına sahiptir ve bu veritabanlarını güncellemekle ve orman içerisindeki diğer etki alanlarına bu değişiklikleri göndermekle (replikasyon) görevlidir. Örneğin, ortama bir Exchange sunucu yüklediğinde, şema veritabanlarına bir takım değerler eklenir ve sonuçta kullanıcıların özelliklerinde mail adresi gibi bazı özelliklerin kazandırıldığı görülür. Şema üzerinde değişiklik yapılabilmesi için Schema Admins grubuna üye olunması gerekmektedir.

 

1.2) Etki Alanı Adlandırma Yöneticisi Rolü (Domain Naming Master Role)

Bu role sahip etki alanı denetleyicisi, ormana yeni bir etki alanı eklemekle veya ormandan mevcut olan bir etki alanı çıkarmakla görevlidir. Bu sebeple, bu role sahip etki alanı denetleyicisinin ormandaki mevcut etki alanlarının adlarını bilmesi gerekir. Bundan dolayı; bu etki alanı denetleyicisi, Genel Katalog sunucusu olmalıdır.

Bu rol varsayılan olarak, ormanda ilk Aktif Dizinin kurulduğu kök etki alanı denetleyicisine verilir. Ormandaki etki alanı adlandırma yöneticisi rolüne sahip denetleyici “Active Directory Domains and Trusts” konsolunda görülebilmektedir.

Active Directory Domains and Trusts > Operation Masters

 

Şekil - 1: Etki Alanı Adlandırma Yöneticisi Rolü
Şekil – 1: Etki Alanı Adlandırma Yöneticisi Rolü

 

Eğer bir değişiklik yapılmak isteniyorsa Change butonu ile istenilen etki alanı denetleyicisine rol ataması yapılabilir.

 

2) Etki Alanı Tabanlı FSMO Rolleri

Bir etki alanı içerisinde birer tane göreli kimlik yöneticisi, birincil etki alanı emülatör ve alt yapı yöneticisi rolüne sahip etki alanı denetleyicileri bulunabilir. Etki alanı tabanlı rollere sahip etki alanı denetleyicileri “Active Directory Users and Computers” konsolunda etki alanı adı seçeneklerinden izlenebilir.

Active Directory Users and Computers > Etki Alanı Adı > Operations Masters

Şekil - 2: Orman Tabanlı FSMO Rolleri
Şekil – 2: Orman Tabanlı FSMO Rolleri

 

 

2.1) Göreli Kimlik Yöneticisi Rolü (Relative ID (RID) Master Role)

Etki alanında oluşturulan her bir nesne için farklı SID değeri oluşturmakla görevlidir. Böylece aynı etki alanında birbiri ile aynı SID değeri bulunmayan nesneler oluşturulur.

 

2.2) Birincil Etki Alanı Emülatör Rolü (Primary Domain Controller Emulator Role)

Etki alanındaki eski sürüm istemcilerin oturum açma ihtiyaçlarına cevap vermekle görevlidir. Örneğin, Windows NT bilgisayarında oturum açma işlemi için kimlik doğrulama operasyonunu, parola değişiklik operasyonlarını bu role sahip etki alanı denetleyicisi gerçekleştirir. Bir kullanıcı hesabının kilitlenmesi gibi güncel hesap bilgilerine sahip olan etki alanı denetleyicisi, PDC Emülatör rolüne sahip etki alanı denetleyicisine bu bilgileri gönderir (replikasyon). Bu sebeple bu role sahip olan etki alanı denetleyicisi ile diğer denetleyicilerin sıkı bir şekilde iletişim halinde olmaları gerekmektedir.

PDC Emülatörü rolü oturum açma operasyonlarını gerçekleştirirken o andaki zaman kritik rol oynadığından dolayı, bu role sahip olan etki alanı denetleyicisi üzerinde zaman sunucusu (Time Server) da bulunmaktadır. İstemciler de bu sunucu üzerindeki saate göre sistem saatlerini ayarlayarak oturum açma işlemlerini sağlıklı bir şekilde gerçekleştirirler.

Bu role sahip etki alanı denetleyicisi çok fazla işlem gerçekleştirdiği için fiziksel özellikleri yüksek olmalıdır.

 

2.3) Altyapı Yöneticisi Rolü (Infrastructure Master Role)

Bir etki alanındaki nesne üzerindeki nesne adı, grup üyeliği değişikliği gibi nesne başvurularını, alt ve diğer etki alanlarına da yansıtması içi gerekli operasyonları gerçekleştirir. Örneğin, “sirket.com.tr” etki alanındaki “Mehmet Ali” isimli bir kullanıcının adı “Mehmet” olarak değiştirildiğinde, bu role sahip olan etki alanı denetleyicisi tarafından, altyapi.sirket.com.tr etki alanında bu kullanıcının adı “Mehmet” olarak değiştirilir.

Bu role sahip etki alanı denetleyicisi güncellemeleri kendisi gerçekleştirdiği için, Genel Katalog sunucusu üzerinde olmamalıdır.

 

3) FSMO Rollerinin İncelenmesi

Komut satırında aşağıdaki komut kullanılarak etki alanındaki rollere sahip olan etki alanı denetleyicileri listelenebilir.

netdom query fsmo

Şekil - 3: NetDom Aracı ile Tüm FSMO Rollerine Sahip Sunucuların Listelenmesi
Şekil – 3: NetDom Aracı ile Tüm FSMO Rollerine Sahip Sunucuların Listelenmesi

 

Etki alanında bulunan belirli bir role sahip olan etki alanı denetleyicilerini listelemek için aşağıdaki komut çalıştırılır.

netdom query /d:sirket.com.tr PDC

Şekil - 4: NetDom Aracı ile PDC FSMO Rollerine Sahip Sunucuların Listelenmesi
Şekil – 4: NetDom Aracı ile PDC FSMO Rollerine Sahip Sunucuların Listelenmesi

 

FSMO rollerinin taşınması için bakınız:

Çalışan Bir Yapıda FSMO Rollerinin Taşınması

 

4) FSMO Rolleri ile İlgili Öneriler

Bu roller esnek bir yapıda çalışabilmektedir. Yani rollerin sahipliğinin bir etki alanı denetleyicisinden, başka bir etki alanı denetleyicisine taşınmasına ihtiyaç duyulabilir. Rollerin yerleştirilmesi konusunda bir verilebilecek bazı öneriler şu şekildedir:

  • Birbiri ile sürekli iletişimde olan roller aynı etki alanı denetleyicisi üzerinde kurulmalıdır. Eğer birden fazla role sahip etki alanı denetleyicisi, performans olarak yeterli değilse roller ayrılabilir veya daha performanslı bir sunucuya taşınabilir.
  • RID ve PDC Emülatörü aynı etki alanı denetleyicisi üzerinde bulunmalıdır. Çünkü kullanıcı işlemleri için çok fazla RID sorgusu gerekmektedir.
  • Schema ve Domain Naming Yönetici rolleri aynı etki alanı denetleyicisi üzerinde bulunmalıdır. Bu roller nadir olarak işlem yaparlar ve kritiklik seviyeleri yüksek olduğu için takip edilmeleri gerekmektedir. Bu sebeple bu sunucu iyi takip edilmelidir.
  • PDC Emülatör rolüne sahip etki alanı denetleyicisi, aynı zamanda Genel Katalog olmalıdır.
  • Altyapı Yöneticisi rolüne sahip etki alanı denetleyicisi, Genel Katalog olmamalıdır.
  • Aktif dizin yapısı taşınması sırasında önce şema (schema), daha sonra da etki alanı isimlendirme (domain naming)yönetici rollerine sahip etki alanı denetleyicilerinin taşınması gerekmektedir.
  • PDC Emülatörü rolüne sahip etki alanı denetleyicisinin performansı yüksek olmalıdır.

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.