Domain Controller (DC) ve FSMO Rolleri İlişkisi

Active Directory altyapısının yönetimsel karmaşıklığı, özellikle büyük ölçekli ve çoklu Domain yapılarında en üst düzeyde uzmanlık gerektirir. Bu karmaşıklığın etkin bir şekilde yönetilebilmesi için, Domain Controller'ların (DC) doğru yapılandırılması ve kritik rollerin doğru bir şekilde dağıtılması esastır. Domain Controller'lar, Active Directory'nin merkezinde yer alarak, kurumsal yapıların güvenliği, veri bütünlüğü ve operasyonel sürekliliği açısından hayati bir rol oynar. Ancak, bu rolleri yerine getirirken, belirli yönetimsel görevlerin DC'ler arasında nasıl paylaştırılacağı ve bu görevlerin tek bir noktadan nasıl kontrol edileceği büyük önem taşır.

FSMO (Flexible Single Master Operation) rolleri, bu noktada devreye girerek, Active Directory'nin merkezi yönetim ve denetim süreçlerini optimize eder. Ancak, FSMO rolleri ve Domain Controller'lar arasındaki ilişki, yalnızca bu rolleri doğru bir şekilde tanımlamaktan ibaret değildir. Bu ilişkinin doğru yönetilmesi, Active Directory'nin performansını, güvenliğini ve esnekliğini doğrudan etkiler. Özellikle, büyük ölçekli yapılarda FSMO rolleri ve DC'ler arasındaki etkileşim, sistemin bütünlüğünü korumak ve yüksek erişilebilirliği sağlamak için kritik bir öneme sahiptir.

Domain Controller'ların, FSMO rolleriyle uyumlu bir şekilde çalışabilmesi için, sistem mimarisinin dikkatli bir şekilde planlanması ve yapılandırılması gerekir. Bu planlama süreci, yalnızca FSMO rollerinin hangi DC üzerinde barındırılacağını belirlemekle kalmaz, aynı zamanda olası arıza durumlarında bu rollerin nasıl aktarılacağını ve DC'ler arasındaki replikasyon süreçlerinin nasıl yönetileceğini de içerir. Replikasyonun güvenilirliği ve tutarlılığı, tüm Active Directory tüm bileşenlerinin senkronize bir şekilde çalışmasını sağlarken, sistemin genel performansını ve veri bütünlüğünü garanti altına alır.

Bu bağlamda, FSMO rolleri ile Domain Controller'lar arasındaki etkileşim, yalnızca bir yönetimsel gereklilik değil, aynı zamanda Active Directory'nin operasyonel verimliliğini artıran stratejik bir yapı taşıdır. FSMO rollerinin belirli DC'ler üzerinde toplanması, bu rolleri barındıran sunucuların donanım kapasiteleri, Network bağlantıları ve coğrafi konumları gibi faktörlere bağlı olarak optimize edilmelidir. Ayrıca, bu rolleri taşıyan DC'lerin düzenli olarak izlenmesi ve olası hataların hızlı bir şekilde tespit edilip giderilmesi, sistemin genel sağlığını korumak açısından büyük önem taşır.

Domain Controller (DC) Özellikleri

Active Directory altyapısının temelini oluşturan Domain Controller'lar (DC), organizasyonların kimlik doğrulama, yetkilendirme ve güvenlik politikalarını merkezi olarak yönetmelerini sağlar. Bu sunucular, kullanıcı hesaplarının, grup politikalarının ve güvenlik ayarlarının tüm organizasyon genelinde tutarlı bir şekilde uygulanmasını temin eder. DC'ler, Active Directory veritabanını barındırarak, organizasyonun dijital varlıklarının güvenli ve tutarlı bir şekilde yönetilmesini mümkün kılar. Özellikle büyük ve karmaşık IT yapılarında, DC'lerin doğru yapılandırılması, sistemin güvenli, tutarlı ve yüksek performanslı çalışması açısından kritik önem taşır.

Authentication (Kimlik Doğrulama) talepleri ve kaynak erişim istekleri, DC'ler üzerinden yönetilir. Kullanıcıların ve cihazların sisteme güvenli bir şekilde erişimini sağlamak için LDAP (Lightweight Directory Access Protocol) ve Kerberos gibi protokoller kullanılır. Bu doğrulama süreçleri, güvenlik risklerini en aza indirirken, organizasyon genelinde tutarlı bir güvenlik politikası uygulanmasını sağlar.

Replikasyon süreçlerinde de merkezi bir rol üstlenen DC'ler, bir sunucu üzerinde yapılan değişikliklerin diğer tüm DC'ler ile senkronize edilmesini sağlar. Özellikle büyük ve coğrafi olarak dağılmış yapılarda, replikasyonun başarılı bir şekilde yönetilmesi, veri tutarlılığının sağlanması açısından büyük önem taşır. Bu süreçlerin optimize edilmesi, veri erişim sürelerini kısaltır ve genel sistem performansını artırır.

Güvenlik açısından, DC'ler organizasyonun dijital omurgasını oluşturur. Tüm oturum açma istekleri, parola doğrulamaları ve erişim kontrolleri bu sunucular üzerinden gerçekleştirilir. Güvenlik politikalarının merkezi olarak uygulanması, organizasyon genelinde tutarlı bir güvenlik duruşu oluşturur. Ayrıca, denetim politikaları ile sistemdeki tüm etkinliklerin izlenmesi ve raporlanması sağlanır, bu da güvenlik ihlallerinin hızlı bir şekilde tespit edilmesine olanak tanır.

Kaynak paylaşımı ve yönetimi açısından da DC'ler önemli işlevler üstlenir. Dosya paylaşımları, yazıcılar ve diğer kaynaklar, tanımlanmış erişim hakları ile merkezi olarak yönetilir. Bu kaynaklara erişim, kullanıcıların ve grupların güvenlik politikalarına uygun şekilde kontrol edilmesini sağlar, böylece veri bütünlüğü ve güvenliği korunur.

Kaynak yönetiminin yanı sıra, DC'lerin sunduğu diğer kritik işlevler de sistemin güvenli ve tutarlı bir şekilde çalışmasını sağlar. Bu bağlamda, tüm yönetim süreçlerinin Domain Controller'lar üzerindeki işleyişine daha yakından bakalım.

1- Authentication (Kimlik Doğrulama) ve Authorization (Yetkilendirme)

• Kerberos Protocol: Domain Controller'lar, Network içerisindeki kimlik doğrulama için Kerberos protokolünü kullanır. Bu protokol, güvenli bir şekilde kullanıcıların ve servislerin kimlik bilgilerini doğrulamak için bilet tabanlı bir mekanizma sunar.

• NTLM (NT LAN Manager): Eski sistemlerle uyumluluk için hala desteklenen, kimlik bilgilerinin hash üzerinden karşılaştırılmasıyla çalışan bir kimlik doğrulama protokolüdür.

2- Active Directory Directory Services

• Active Directory Database: Tüm kullanıcılar, bilgisayarlar, ve diğer nesneler hakkında bilgi içerir. Bu veritabanı, ağdaki tüm nesnelerin ve kaynakların yönetilmesi için temel teşkil eder.

• Schema: Active Directory'nin Schema'sı, dizinde saklanabilecek nesne türlerini ve bu nesnelerin özelliklerini tanımlar. Schema, özelleştirilebilir ve genişletilebilir, bu da organizasyonların spesifik ihtiyaçlarına göre Active Directory'i şekillendirmelerine olanak tanır.

3- DNS Entegrasyonu

• DNS Desteği: Active Directory'nin temel bileşenlerinden biri olan DNS, domain adlarını IP adreslerine çözümlemek için kullanılır. AD, DNS ile entegre çalışır ve AD'nin sorunsuz çalışması için kritik rol oynar.

• SRV Kayıtları: Active Directory servislerinin bulunabilirliğini sağlayan DNS kayıtlarıdır. Bu kayıtlar, ağ içerisindeki servislerin yerlerini ve erişim bilgilerini sağlar, böylece istemciler ve diğer sunucular gerekli servisleri kolayca bulabilir.

4- Replication

• Multi-Master Replication: Domain Controller'lar arasında yapılan değişikliklerin tüm kontrolörler arasında eşit şekilde yayılmasını sağlar. Bu özellik, veri tutarlılığını ve erişilebilirliğini artırır.

• Global Catalog (GC): Active Directory içerisindeki tüm nesnelerin aranabilir bir özetini sağlar. Bu katalog, orman genelinde sorgulamalar için önemli bir kaynak oluşturur ve hızlı veri erişimi sağlar.

5- Group Policy Yönetimi

• Group Policy Nesneleri (GPO): Ağ üzerindeki bilgisayarlara ve kullanıcılara uygulanabilecek politikaları tanımlar. Bu politikalar, güvenlik ayarlarından yazılım dağıtımına, kullanıcı ve bilgisayar yapılandırmalarına kadar geniş bir yelpazede düzenlemeler yapılmasını sağlar.

• Politika Uygulama: Politikalar, belirlenen kriterlere göre kullanıcılara veya bilgisayarlara otomatik olarak uygulanır. Bu sayede sistem yöneticileri, ağ üzerindeki yapılandırmaları merkezi bir şekilde kontrol edebilir ve yönetebilir.

6- FSMO (Flexible Single Master Operations) Roles

• Flexible Single Master Operations: Active Directory içindeki bazı kritik işlemler, belirli Domain Controller'lar tarafından yönetilir. Bu işlemler arasında, domain isimlendirmelerinden Schema değişikliklerine kadar birçok önemli görev bulunur.

• Role Holders: Schema Master, Domain Naming Master gibi roller, AD ormanındaki yapısal değişikliklerde önemli rol oynar. Bu rollerin atanması ve yönetimi, Network'ün sağlıklı bir şekilde çalışmasını sağlar.

7- Güvenlik Özellikleri

• Access Control Lists (ACLs): Dosya, klasör veya AD nesneleri üzerinde kimin ne tür erişim haklarına sahip olduğunu tanımlayan listelerdir. Bu listeler, güvenlik politikalarının detaylı bir şekilde uygulanmasını sağlar.

• Güvenlik Denetimi (Security Auditing): Erişim denetimleri ve güvenlikle ilgili olayların kaydedilmesini sağlayan bir mekanizmadır. Bu kayıtlar, olası güvenlik ihlallerinin izlenmesi ve analiz edilmesi için kullanılır.

8- Backup ve Disaster Recovery

• System State Backup: Active Directory'nin ve diğer sistem bileşenlerinin yedeğini alır. Bu yedekler, sistem çökmeleri veya veri kayıpları durumunda kritik önem taşır.

• Felaket Kurtarma Planı: Olası felaket durumlarında veri ve servislerin nasıl kurtarılacNetwork'ünı tanımlayan prosedürlerdir. Bu planlar, iş sürekliliğini garanti altına almak için hayati rol oynar.

9- Monitoring ve Performans İzleme

• Performans İzleme: Domain Controller'ların ve Active Directory'nin performansını izler. Bu, sistem kaynaklarının verimli kullanımını sağlar ve potansiyel bottlenecks'ı belirler.

• Sağlık Kontrolleri: Sistem sağlığını düzenli olarak kontrol eden ve olası sorunları erken aşamada tespit eden işlemlerdir.

10- İstemci Etkileşimi ve Protokol Desteği

• İstemci Kütüphaneleri: Windows işletim sistemleri, Active Directory ile etkileşim kurmak için gerekli kütüphanelere sahiptir.

• Protokol Desteği: Active Directory, LDAP, DNS, SMB/CIFS gibi çeşitli ağ protokollerini destekler, bu da farklı uygulama ve hizmetlerin AD ile entegrasyonunu kolaylaştırır.

11- Service Hesapları Yönetimi

• Managed Service Accounts (MSA) ve Group Managed Service Accounts (gMSA): Bu hesaplar, uygulama ve servisler için özel olarak tasarlanmıştır ve parola yönetimini otomatikleştirir. Güvenliği artırırken yönetim yükünü azaltır.

• Servis Hesapları Politikaları: Servis hesaplarının güvenliği için özel politikalar ve erişim kısıtlamaları uygulanabilir.

12- LDAP Over SSL/TLS (LDAPS)

• Encryption: LDAPS, LDAP veri trafiğini SSL veya TLS ile şifreler. Bu, özellikle ağ üzerinden hassas bilgilerin iletilmesi sırasında güvenlik sağlar.

• Sertifika Yönetimi: LDAPS'in düzgün çalışması için gerekli sertifikaların yönetimi ve yenilenmesi gereklidir.

13- Password Policy ve Account Lockout Politikaları

• Fine-Grained Password Policies: Farklı kullanıcı grupları için farklı şifre ve hesap kilitlenme politikaları uygulanabilir. Bu, güvenlik ihtiyaçlarına göre özelleştirilebilir güvenlik sağlar.

• Password Complexity Gereksinimleri: Şifre karmaşıklığı, uzunluğu ve süresi gibi ayarlar, Active Directory içinde tanımlanabilir.

14- Sites and Services Yönetimi

• Site Topology: Fiziksel ve ağ topolojisi temelinde sitelerin ve alt ağların yapılveırılması. Bu yapılandırma, ağ trafiğini optimize eder ve veri replikasyonunu yönetir.

• Inter-Site Replication: Farklı siteler arasında veri replikasyonunu yönetir, bant genişliği kullanımını en aza indirirken veri güncelliğini sağlar.

15- Schema Uzantıları ve Özelleştirmeler

• Schema Yönetimi: Active Directory Schema'sı, özel nesne sınıfları ve öznitelikler ekleyerek genişletilebilir. Bu, özelleştirilmiş uygulama ve hizmet ihtiyaçlarını karşılamak için kullanılır.

• Schema Değişiklikleri: Schema değişiklikleri dikkatle yönetilmeli ve uyumluluk sorunlarını önlemek için test edilmelidir.

16- Kontrol Delegasyonu

• Administrative Tasks: Belirli kullanıcılara veya gruplara, AD nesneleri üzerindeki yönetimsel görevlerin delegasyonu. Bu, büyük organizasyonlarda yönetim yükünü azaltır.

• Ayrıntılı İzinler (Granular Permissions): Özel erişim hakları, kullanıcıların yalnızca gereksinim duydukları kaynaklara erişim sağlamalarına olanak tanır.

17- Denetim ve Uyum Raporlaması

• Güvenlik Denetimi: Güvenlik ihlallerinin ve politika ihlallerinin izlenmesi için olay kayıtlarını tutar.

• Uyumluluk Araçları: Mevzuat uyumunu sağlamak ve raporlamak için kullanılan araçlar ve protokoller.

18- Ağ Yazıcısı Yapılandırması ve Yönetimi

• Yazıcı Dağıtımı: Group Policy aracılığıyla ağ yazıcılarının kullanıcılara ve bilgisayarlara otomatik olarak dağıtılması.

• Merkezi Yönetim: Merkezi bir konumdan tüm ağ yazıcılarının yapılveırılması ve yönetilmesi.

19- Yazılım Dağıtımı ve Güncelleme Yönetimi

• Yazılım Dağıtımı: Group Policy kullanarak ağ üzerindeki bilgisayarlara yazılım yüklemesi.

• Güncelleme Yönetimi: Yazılım güncellemelerinin ve yamalarının merkezi olarak dağıtılması ve yönetilmesi.

20- Monitoring ve Diagnostics

• Performance Log'ları: Sistem performansını izlemek ve potansiyel sorunları tespit etmek için detaylı kayıtlar.

• Diagnostics Araçları: Sistem ve ağ hatalarını tespit ve gidermek için kullanılan araçlar.

21- Yüksek Erişilebilirlik (High Availability) ve Felaket Kurtarma (Disaster Recovery)

• Yedeklilik (Redundancy): Önemli servislerin ve verilerin yüksek kullanılabilirlik ve dayanıklılık için birden fazla Domain Controller üzerinde çoğaltılması.

• Felaket Kurtarma Prosedürleri: Felaket sonrası veri ve servislerin hızlı bir şekilde kurtarılması için geliştirilmiş prosedürler.

22- Active Directory Federation Services (AD FS)

• Single Sign-On (SSO): Kullanıcılara birden fazla sistem ve uygulamaya tek bir kimlik doğrulama ile erişim sağlar.

• Federation Trusts: Farklı organizasyonların güvenlik sınırları arasında kimlik bilgilerinin güvenli bir şekilde paylaşılmasını sağlar.

23- Bulut Hizmetleri ile Dizin Senkronizasyonu

Bulut hizmetleri ile dizin senkronizasyonu, özellikle hibrit bulut yapılandırmalarında, Active Directory'nin bulut tabanlı hizmetlerle, örneğin Entra ID (Azure AD), entegre şekilde çalışabilmesi için kritik bir işlevdir. Bu senkronizasyon, kullanıcı kimliklerinin, grupların ve diğer dizin nesnelerinin her iki ortam arasında tutarlı kalmasını sağlar.

Bu süreçle ilgili ana bileşenler ve önemli adımlar:

1. Entra ID (Azure AD) Connect
Entra ID (Azure AD) Connect, Microsoft'un yerel Active Directory ile Entra ID (Azure AD) arasında kimlik senkronizasyonu sağlamak için kullandığı bir araçtır. Temel özellikleri ve işlevleri şunları içerir:

• Senkronizasyon Modları: Entra ID (Azure AD) Connect, farklı senkronizasyon seçenekleri sunar. En yaygın kullanılan mod, Password Hash Sync (PHS) olup, kullanıcıların şifrelerinin hash'lerinin Entra ID'Ye (Azure AD) güvenli bir şekilde kopyalanmasını sağlar. Alternatif olarak, Pass-through Authentication (PTA) veya Federation (örneğin AD FS ile) gibi daha karmaşık kimlik doğrulama senaryoları da kurulabilir.

• Filtreleme: Kuruluşlar, hangi nesnelerin Entra ID'ye (Azure AD) senkronize edileceğini kontrol etmek için filtreleme kuralları belirleyebilir. Bu, belirli kullanıcıları veya grupları senkronizasyon dışında tutmak için kullanılabilir.

• Zamanlamalı Görevler: Entra ID (Azure AD) Connect, senkronizasyon işlemlerini düzenli aralıklarla otomatik olarak çalıştırır, böylece yerel AD'deki değişiklikler belirli bir zaman dilimi içinde Azure AD ile senkronize edilir.

2. Güvenlik & Uyum (Security & Compliance)
Senkronizasyon süreci, veri güvenliği ve uyum gereklilikleri açısından önemlidir. İşte dikkat edilmesi gerekenler:

• Parola Güvenliği: Parola hash'leri Entra ID'ye (Azure AD) aktarılırken Microsoft, yüksek güvenlik standartlarına uymaktadır. Bununla birlikte, parola politikalarının ve uyum gereksinimlerinin bulut ve yerel ortamlarda tutarlı olması önemlidir.

• Erişim Kontrolleri: Entra ID (Azure AD) içinde bu, genellikle Access Policy ve Conditional Access kuralları şeklinde uygulanır. Senkronize edilen nesnelere bulut ortamında kimin erişebileceği üzerinde kontrol sağlamak için Entra ID (Azure AD) üzerinde detaylı Access Policy ve Conditional Access kuralları uygulanabilir.

3. Yönetim ve İzleme
Senkronizasyon işleminin düzgün çalıştığından emin olmak için düzenli izleme ve yönetim gerekir:

• Entra ID (Azure AD) Connect Health: Entra ID (Azure AD) Connect Health, senkronizasyon işleminin durumunu izlemek ve olası sorunları teşhis etmek için kullanılır. Ayrıca, performans metrikleri ve uyarılar sağlar.

• Logging ve Reporting: Etkinlik günlükleri, senkronizasyon sürecindeki olayları detaylı bir şekilde kaydeder ve gerektiğinde denetim izleri sunar.

Bulut hizmetleri ile dizin senkronizasyonu, hibrit IT altyapılarında sorunsuz bir kullanıcı deneyimi ve güçlü bir güvenlik duruşu sağlamak için hayati öneme sahiptir. Enrta ID (Azure AD) Connect, bu süreçte merkezi bir rol oynar ve kuruluşların yerel ve bulut kaynaklarını etkin bir şekilde yönetmelerine olanak tanır.

24- IP Address Management (IPAM)

• IP Adresi Takibi: Ağ üzerindeki IP adreslerinin kullanımını izler ve yönetir.

• DHCP ve DNS ile entegrasyon: DHCP ve DNS servisleri ile entegrasyon sağlar, IP adres atamalarını ve çözümlemelerini merkezi olarak yönetir.

25- Conditional Access ve Güvenlik Politikaları

• Conditional Access Politikaları: Kullanıcıların duruma göre erişimlerini kontrol eden politikalar.

• Güvenlik Temelleri: Güvenlik standartlarına uygun yapılandırmaları tanımlayan temel güvenlik ayarları.

Sonuç olarak, Domain Controller'lar (DC), Active Directory altyapısının temel yapı taşları olarak, organizasyonların kimlik doğrulama, yetkilendirme, güvenlik politikaları ve kaynak yönetimi gibi kritik işlevleri merkezi olarak yönetmelerini sağlar. Bu sunucular, Active Directory'nin güvenli, tutarlı ve yüksek performanslı çalışmasını temin ederken, replikasyon, DNS entegrasyonu, Group Policy yönetimi ve FSMO rolleri gibi birçok karmaşık süreçte de hayati rol oynar. DC'lerin doğru yapılandırılması, izlenmesi ve yönetilmesi, organizasyonun IT altyapısının sürdürülebilirliği ve güvenliği açısından büyük önem taşır. Bu kapsamlı özellikler, DC'leri, modern organizasyonların dijital omurgasının vazgeçilmez bir parçası haline getirir.

FSMO (Flexible Single Master Operation) Rollerinin İncelenmesi

Active Directory altyapısının yönetimsel karmaşıklığı, sistemin temelini oluşturan FSMO (Flexible Single Master Operation) rollerinin etkin bir şekilde yönetilmesini gerektirir. Domain ortamı kurulduğunda, ilk oluşturulan Domain Controller (DC), tüm FSMO rollerini üstlenir ve bu roller, Active Directory'nin stabilitesini ve işlevselliğini sağlamak için kritik öneme sahiptir. FSMO rolleri, Active Directory'deki belirli görevlerin tek bir DC tarafından yönetilmesini sağlarken, aynı zamanda sistem genelinde tutarlılık ve veri bütünlüğü sağlar. Bu rolleri doğru bir şekilde anlamak ve yönetmek, organizasyonların Active Directory altyapısını güvenli ve verimli bir şekilde sürdürmelerini mümkün kılar.

FSMO rolleri, her biri belirli bir yönetimsel işlevi yerine getiren beş ana bileşenden oluşur: Schema Master, Domain Naming Master, Infrastructure Master, RID Master ve PDC Emulator. Her bir rol, Active Directory'nin belirli bir yönünü yönetir ve sistemin tüm bileşenlerinin uyum içinde çalışmasını sağlar. Örneğin, Schema Master rolü, Active Directory şemasında yapılan değişikliklerin merkezi bir noktadan kontrol edilmesini sağlayarak, sistemin diğer DC'lerle senkronize çalışmasını temin eder. Bu rolleri barındıran DC'ler, sistemin genel performansı ve veri bütünlüğü açısından kritik bir rol oynar.

FSMO rollerinin dağıtımı sırasında dikkat edilmesi gereken en önemli unsurlardan biri, ağ topolojisi ve organizasyonel ihtiyaçlardır. FSMO rollerinin doğru bir şekilde dağıtılması, sistemin yüksek erişilebilirlik ve performans gereksinimlerini karşılamasına yardımcı olur. Büyük ve dağınık yapılarda, FSMO rollerinin stratejik olarak konumlandırılması, replikasyon süreçlerinin verimli bir şekilde yürütülmesini ve olası arıza durumlarında sistemin hızlı bir şekilde toparlanmasını sağlar. Bu nedenle, FSMO rollerinin yönetimi ve izlenmesi, Active Directory'nin sürdürülebilirliği ve güvenliği için kritik bir bileşendir.

1- Schema Master

Active Directory (AD) ortamında Schema Master FSMO rolü, Şema üzerinde yapılan değişikliklerin yönetiminden sorumlu olan hayati bir bileşendir. AD Şema'sı, ortamınızdaki tüm Object Class'lar (nesne sınıfları) ve Attribute'lerin (öz niteliklerinin) nasıl yapılandırıldığını belirler. Dolayısıyla, bu rol, Active Directory'nin genişletilebilirliğini ve esnekliğini sağlamak için kritik bir görev üstlenir.

Şema'da yeni bir Class veya Attribute eklemek gibi bir değişiklik yapmak istediğinizde bu değişiklikler, yalnızca Schema Master rolünü üstlenen Domain Controller üzerinden yapılabilir. Bu, Schema Extention (şema genişletmeleri) veya diğer önemli değişiklikler sırasında yalnızca bir otoritenin tüm işlemleri kontrol ettiğinden emin olmanızı sağlar. Böylece, Active Directory Forest yapısındaki tüm Domain Controller'lar, bu değişikliklerin doğruluğundan emin olarak senkronize olabilir.

Schema Master rolü devre dışı kaldığında, Şema üzerinde herhangi bir değişiklik yapılması engellenir, ancak bu durum AD'nin genel işleyişini aksatmaz. Yani, kullanıcılar, Gruplar ve diğer AD nesneleri normal şekilde yönetilmeye devam edebilir; ancak Şema üzerinde yapılacak yeni değişiklikler beklemeye alınır. Özellikle, Exchange Server gibi uygulamalar, AD Şema'sını genişletmek zorunda kaldıklarında, Schema Master'ın etkin ve erişilebilir olması hayati önem taşır.

Bir Forest içinde yalnızca bir Schema Master olabileceğini hatırlatmakta fayda var. Bu durum, Şema değişiklikleri sırasında olası çakışmaları ve tutarsızlıkları önlemek amacıyla tasarlanmıştır. Schema Master rolünün başka bir Domain Controller'a devredilmesi, dikkatle planlanması gereken bir süreçtir. Yanlış bir adım, AD ortamında ciddi sorunlara yol açabilir. Genellikle, bu rol, yüksek kapasiteli ve güvenilirliği kanıtlanmış bir Domain Controller üzerinde barındırılır.

Schema Master rolünün doğru yönetimi, özellikle büyük ve karmaşık AD ortamlarında kritik bir rol oynar. Şema değişiklikleri, AD'nin temel yapısını etkilediği için, burada yapılacak hataların tüm ortamı etkileme potansiyeli vardır. Bu nedenle, Schema Master rolünü devralacak olan Domain Controller'ın iyi yapılandırılması ve güvenliğinin sağlanması şarttır.



Bu rol, Forest içerisinde tektir.

2- Domain Naming Master

Domain Naming Master FSMO rolü, Active Directory (AD) ortamında oldukça kritik bir görev üstlenir. Bu rol, AD Forest'ındaki Domain adlandırma süreçlerini kontrol eden merkezi bir otorite olarak çalışır. Yeni bir Domain oluşturulması veya mevcut bir Domain'in silinmesi gibi işlemler, yalnızca Domain Naming Master tarafından gerçekleştirilir. Bu, AD ortamında benzersiz ve çakışmasız bir adlandırma şeması sağlamak için son derece önemlidir.

Daha başka bir ifade ile Active Directory (AD) ortamında her Domain'in benzersiz bir isimle tanımlanmasını sağlar ve aynı isim alanına sahip iki Domain'in bulunmasını engeller. Bu, AD ortamında isim çakışmalarının önlenmesi ve sistemin tutarlı bir şekilde çalışması için kritik bir rol oynar. Yani, bu rol sayesinde bir Forest içinde aynı isme sahip birden fazla Domain oluşturulamaz, bu da adlandırma şemasının benzersiz ve çakışmasız kalmasını garanti eder.

AD ortamında bir Forest, birden fazla Domain içerebilir. Her Domain, kendi içindeki nesneleri ve kaynakları yönetmek için belirli bir isim alanı kullanır. Domain Naming Master, bu Domain'lerin isim alanlarının benzersizliğini garanti altına alır. Yeni bir Domain eklenmek istendiğinde, bu işlem Domain Naming Master FSMO rolüne sahip Domain Controller tarafından kontrol edilir ve onaylanır. Böylece, aynı Forest içinde aynı isim alanına sahip birden fazla Domain oluşturulması engellenir.

Domain Naming Master rolü, yalnızca bir Forest içinde bulunur ve bu rolü barındıran Domain Controller, diğer tüm Domain Controller'lar arasında adlandırma işlemleriyle ilgili tek yetkili olarak kabul edilir. Eğer bu rolün barındırıldığı Domain Controller devre dışı kalırsa, yeni Domain oluşturma veya mevcut bir Domain'i kaldırma gibi işlemler gerçekleştirilemez. Ancak, bu durum, var olan Domain'lerin çalışmasını etkilemez; sadece yeni adlandırma işlemleri yapılamaz.

Bu rolün önemi, özellikle büyük ve karmaşık AD ortamlarında daha da belirginleşir. Domain Naming Master, Forest içindeki her Domain'in benzersiz bir isimle tanımlanmasını sağlar ve bu isimlerin çakışmasını önler. Bu, AD'nin bütünlüğünü ve tutarlılığını korumak için kritik bir işlevdir.

Domain Naming Master FSMO rolünün devredilmesi gerektiğinde, bu işlem dikkatle planlanmalı ve gerçekleştirilmelidir. Yanlış yapılandırmalar, AD ortamında ciddi sorunlara yol açabilir ve Forest'taki Domain'lerin isimlendirme bütünlüğünü tehlikeye atabilir. Bu nedenle, Domain Naming Master rolünün doğru bir şekilde yönetilmesi ve güvenliğinin sağlanması, AD ortamının uzun vadeli başarısı için vazgeçilmezdir.

Bu rol, Forest içerisinde tektir.

3- PDC Emulator

Active Directory ortamında, belirli kritik yönetim görevlerinin tek bir Domain Controller üzerinde toplanması gerekir. Bu görevlerden biri olan PDC Emulator FSMO rolü, bu sorumluluğu üstlenen Domain Controller'ın, organizasyon içinde merkezi bir otorite olarak hizmet vermesini sağlar. PDC Emulator FSMO rolünü üstlenen bir Domain Controller, diğer hiçbir FSMO rolünü barındırmasa bile, sistemde Primary Domain Controller (PDC) olarak görev yapar ve bu rol, birkaç kritik işlevin sorumluluğunu taşır.

PDC Emulator FSMO rolünü tutan bir Domain Controller, özellikle zaman senkronizasyonu, parola değişiklikleri ve Kerberos Authentication (kimlik doğrulama) süreçlerinde merkezi bir rol oynar. Tüm sistemin zaman senkronizasyonu, PDC Emulator FSMO rolünü üstlenen Domain Controller tarafından yönetilir, bu da sistem genelindeki tüm cihazların saatlerinin doğru ve uyumlu olmasını sağlar. Zaman senkronizasyonu, güvenlik açısından kritik olan zaman damgalı işlemler ve log kayıtlarının tutarlılığı için hayati öneme sahiptir.

Ayrıca, PDC Emulator, parola değişikliklerinin anında replikasyonunu (Urgent Replication) sağlayarak, kullanıcıların güncellenmiş şifrelerinin hızlı bir şekilde diğer Domain Controller'lar tarafından tanınmasını mümkün kılar. Bu işlev, kullanıcıların hesaplarının güvenliğini artırır ve sistemdeki kimlik doğrulama süreçlerinin tutarlılığını sağlar. Kerberos Authentication sürecinde de PDC Emulator, belirli durumlarda merkezi bir otorite olarak hareket eder, bu da kimlik doğrulamanın güvenli ve hızlı bir şekilde yapılmasını sağlar.

PDC Emulator FSMO Erişilemezse?

PDC Emulator FSMO rolünü tutan Domain Controller erişilemez hale geldiğinde, parola değişiklikleri, zaman senkronizasyonu ve Kerberos Authentication (kimlik doğrulama) süreçlerinde belirli aksaklıklar meydana gelir. Ancak, bu süreçlerin bir kısmı geçici çözümlerle sürdürülebilir.

1- Parola Değişiklikleri

PDC Emulator FSMO rolünü tutan Domain Controller, kullanıcıların parolalarını değiştirdiklerinde, bu değişikliklerin acil replikasyon (Urgent Replication) ile diğer Domain Controller'lara hemen yansıtılmasını sağlar. PDC erişilemez hale geldiğinde, bu acil replikasyon gerçekleşmez. Sonuç olarak, parola değişiklikleri hemen diğer Domain Controller'lara yayılmaz ve bu durum geçici bir süreyle kimlik doğrulama süreçlerinde tutarsızlıklara neden olabilir. Diğer DC'ler kullanıcıların eski parolalarını kabul etmeye devam edebilir ve bu da kullanıcıların geçici olarak yeni parolalarıyla oturum açamamalarına yol açabilir.

PDC Emulator FSMO rolü olmadan da parola değişikliği yapabilmenizin nedeni, her Domain Controller'ın kendi veritabanı olan NTDS.dit içinde kullanıcı hesapları ve şifre bilgilerini yerel olarak tutmasıdır. Bir kullanıcı parolasını değiştirdiğinde, bu değişiklik ilk olarak kullanıcıya hizmet veren DC tarafından işlenir ve hemen bu DC'nin veritabanına kaydedilir.

PDC Emulator rolü, bu parola değişikliğinin acil replikasyon (Urgent Replication) ile diğer DC'lere hemen yayılmasını sağlar. Ancak, PDC erişilemez olduğunda bile, parola değişikliği yerel DC üzerinde gerçekleştirilebilir. Parolanın tüm DC'ler arasında senkronize edilmesi biraz gecikebilir, ancak bu, parola değişikliğini engellemez. Bu yüzden, PDC olmadığında bile kullanıcılar parolalarını değiştirebilirler, sadece bu değişikliklerin diğer DC'ler tarafından tanınması biraz zaman alabilir.

2- Zaman Senkronizasyonu

PDC Emulator FSMO rolü, Active Directory ortamındaki zaman senkronizasyonundan sorumludur. PDC Emulator, orman içindeki diğer DC'lere zaman kaynağı olarak hizmet eder. PDC erişilemez hale geldiğinde, diğer DC'ler zaman senkronizasyonu için alternatif zaman kaynaklarına başvurur. Bu, genellikle harici bir zaman sunucusu (NTP) veya alternatif bir DC olabilir. Zaman senkronizasyonu geçici olarak etkilenebilir, ancak düzgün yapılandırılmış bir Network'te bu etki minimal olur ve sistem genelindeki zaman senkronizasyonu sürdürülebilir.

3- Kerberos Authentication

PDC Emulator FSMO rolü, Kerberos Authentication sürecinde belirli senaryolarda merkezi bir rol oynar, özellikle de kullanıcıların hesap kilitleme veya parolalarının doğrulanması gibi durumlarda. PDC Emulator erişilemez hale geldiğinde, Kerberos Authentication süreci devam eder, ancak hesap kilitleme gibi olayların doğrulanması gecikebilir veya hatalı olabilir. Diğer DC'ler, PDC ile iletişim kuramadan kendi lokal veritabanlarındaki bilgilere dayanarak kimlik doğrulama işlemlerini sürdürür, ancak bu süreçte bazı tutarsızlıklar ortaya çıkabilir.

NOT: PDC Emulator FSMO rolü, Group Policy değişikliklerinden doğrudan sorumlu değildir. Group Policy'ler, AD ortamında tüm Domain Controller'lar arasında senkronize edilir ve herhangi bir Domain Controller'da yapılan değişiklikler, normal AD replikasyon süreciyle diğer Domain Controller'lara yayılır. PDC Emulator'ün görevleri arasında Group Policy yönetimi bulunmaz; bu, Domain Controller'ların genel replikasyon işlevlerinin bir parçasıdır.

Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

4- RID Master

Active Directory Domain yapısı içerisindeki her bir obje, benzersiz bir kimlik numarasıyla tanımlanır. Bu benzersiz kimlik numaraları, Active Directory nesnesi oluşturulduğunda sistem tarafından otomatik olarak atanır ve bu numaralara Relative Identifier (RID) adı verilir. RID, nesnenin Domain içerisindeki benzersizliğini sağlayan bir bileşendir ve nesneye atanan Security Identifier (SID) numarasının bir parçası olarak kullanılır. Her Domain'in kendine ait sabit bir SID'si vardır, bu SID, Domain içerisindeki tüm nesnelerin kimliğini oluştururken temel alınır. RID ise, bu sabit SID'nin sonuna eklenen ve nesnenin Domain içinde benzersiz olmasını sağlayan numaradır.

Örneğin, bir Active Directory Domain'inde bir User nesesi oluşturulduğunda, bu User nesesine otomatik olarak bir SID atanır. Bu SID, iki ana bileşenden oluşur. Bunlar, Domain'in sabit SID'si (Domain SID) ve bu Domain içinde yalnızca o User nesesine atanmış olan benzersiz RID numarasıdır. Domain içerisindeki her nesnenin benzersiz olmasını sağlayan bu sistem, Active Directory'nin güvenli ve tutarlı bir kimlik yönetimi yapısına sahip olmasını mümkün kılar.

RID Master FSMO rolü, Domain içerisindeki her Domain Controller'a belirli bir miktarda RID havuzu tahsis etmekle görevlidir. Bu havuzlar, Domain Controller'ların yeni nesneler oluştururken kullanacakları RID numaralarını içerir. Domain Controller'lar, tahsis edilen bu havuzlardan yeni nesnelere RID ataması yapar. Ancak, bir Domain Controller'ın RID havuzu tükenirse, yeni bir RID havuzu almak için RID Master'a başvurması gerekir. Bu talep üzerine RID Master, ilgili Domain Controller'a yeni bir RID havuzu tahsis eder. Bu işlem, Domain içerisindeki SID'lerin benzersizliğini ve çakışma yaşanmamasını garanti altına alır.

RID Master rolü, sadece RID havuzlarının dağıtımından sorumlu olmakla kalmaz, aynı zamanda Domain'ler arası nesne taşımalarında da kritik bir görev üstlenir. Bir nesne, bir Domain'den başka bir Domain'e taşındığında, eski Domain’deki RID bileşeni geçersiz hale gelir ve yeni Domain'de bu nesneye yeni bir RID atanır. Bu süreç, RID Master tarafından yönetilir ve Domain'ler arası güvenli ve tutarlı bir kimlik yönetimi sağlanmış olur.

Bu rolün sorunsuz çalışmaması, Domain içerisinde ciddi operasyonel aksaklıklara neden olabilir. Örneğin, Domain Controller'lar yeni nesneler oluşturamaz hale gelebilir veya mevcut nesneler üzerinde gerekli işlemler yapılamayabilir. Bu da Domain içerisindeki tüm operasyonları durma noktasına getirebilir ve sistemin güvenliği açısından ciddi zafiyetlere yol açabilir. RID Master'ın sürekli erişilebilir ve işlevsel olması, Active Directory yapısının stabilitesi ve güvenliği için kritik öneme sahiptir.

RID Master FSMO rolü, Domain içerisindeki diğer tüm Domain Controller'larla uyumlu bir şekilde çalışmalı ve her zaman erişilebilir olmalıdır. Erişimde yaşanacak herhangi bir kesinti, Domain'deki kimlik yönetim süreçlerini olumsuz yönde etkileyebilir. Bu yüzden, bu rolü barındıran sunucunun performansı ve güvenliği, Active Directory'nin genel sağlığı açısından büyük bir öneme sahiptir.

Security Identifier (SID) Yapısı

» S-1-5-21: Bu bölüm, SID'nin standart bir ön eki olarak adlandırılabilir.

• S harfi, SID'nin bir Security Identifier olduğunu belirtir.
• 1 numarası, SID'nin versiyon numarasıdır ve Windows NT 3.1'den bu yana değişmeyen bir sabittir.
• 5 numarası, SID'nin NT tarafından atanmış bir SID olduğunu belirtir.
• 21 ise, NT tarafından atanmış bir ön ekin devamıdır.

» 2239823876-3844753369-1393557922: Bu bölüm, Domain'e özgü olan 32-Bit'lik kimlik numarasını ifade eder. Bu numara, her Domain'in kendine özgü benzersiz bir parçasıdır ve Domain içerisindeki tüm nesneler için sabittir. Domain kurulduğunda otomatik olarak oluşturulan bu numara, Domain'in güvenli kimlik yönetimini sağlar.

» 3618: Bu son kısım ise Relative Identifier (RID) olarak bilinir. RID, her Domain içindeki nesnelere benzersiz bir kimlik kazandırır. Domain içerisindeki her nesneye atanmış bir RID bulunur ve bu RID numarası Domain'in SID'si ile birleşerek o nesnenin tam SID'sini oluşturur. Örneğin, 3618 numaralı RID, Domain içerisindeki bir User nesnesine ait olabilir. Bu User nesnesine verilen 3618 numaralı RID, o kullanıcıya ait SID'nin bir parçası olarak kullanılır ve bu kullanıcı silinse bile 3618 numaralı RID başka bir nesneye verilemez! RID numaraları, Domain içindeki benzersizliği sağlamak adına bir kez kullanılır ve bu şekilde sistemin tutarlılığı korunur.

Active Directory içindeki nesnelerinin SID numaralarını ve dolayı ile RID numaralarını görebilmek için PowerShell üzerinde aşağıdaki cmdlet'i yazmanız yeterlidir. Bu cmdlet, Active Directory üzerindeki tüm nesnelerinin SID numaralarını listeleyecektir.

Active Directory üzerinden, kullanıcısının özelliklerinden Attribute Editor tab'ı üzerinde objectSid bilgisini görüntülediğimde de aynı sonucu görebilmekteyim.



RID Master FSMO rolü, varsayılan olarak Domain yapısının ilk kurulduğu Primary Domain Controller üzerindedir. RID Master FSMO rolünü tutan Domain Controller, kendi üzerindeki RID havuzunda 1,073,741,823 (1 milyar 73 milyon 741 bin 823) adet RID numarası barındırır ki bu rakam, 2,147,483,647 (2 milyar 147 milyon 483 bin 647) üst sırınına kadar artırılabilmektedir.



Domain ya da Forest ortamındaki RID Master FSMO rolünü tutmayan diğer Domain Controller'lar kendilerine tahsis edilen RID havuzunda 500 adet RID numarası bulundurular ve bu havuzun %50'si tükendiğinde RID master FSMO rolünü tutan Domain Controller ile iletişime geçerek, RID havuzunun tekrar 500 seviyesine gelmesi için RID talebinde bulunurlar. Tüm bu işlemleri yerine getiren RID Master FSMO rolüdür.

RID Matser'ı barındıran Domain Controller'ın işlevsiz kalması ve yapınızdaki herhangi bir diğer Domain Controller'ın da barındırdığı bu sınırlı RID numarasının tükenmesi durumunda, RID numarasının tükendiği Domain Controller üzerinde yeni Active Directory nesneleri oluşturulamayacaktır ve the directory service has exhausted the pool of relative identifiers hatası oluşacaktır.

Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

5- Infrastructure Master

Infrastructure Master rolü, bir Active Directory (AD) Domain'inde önemli bir işleve sahiptir. Bu rol, Domain içindeki nesneler arasındaki referansları günceller. Özellikle, bir nesne başka bir Domain'deki bir nesneye referans verdiğinde, Infrastructure Master bu referansların doğru ve güncel olmasını sağlar. Örneğin, bir kullanıcı bir gruba eklendiğinde ve bu grup başka bir Domain'de olduğunda, Infrastructure Master bu üyeliğin doğru şekilde yansıtılmasını sağlar.

Senaryo

Domain-A'daki bir kullanıcı (User-A), Domain-B'deki bir gruba (Group-B) üye olsun. User-A'nın Distinguished Name (DN) bilgisi değiştiğinde, bu değişikliğin Domain-B'deki referanslarda güncellenmesi gerekir.

Adımlar

1- DN Değişikliği

» User-A'nın DN bilgisi değişti. Örneğin;

"CN=User-A,OU=OU-1,DC=Domain-A,DC=com" iken,
"CN=User-A,OU=OU-2,DC=Domain-A,DC=com" oldu.

2- Değişikliğin Algılanması

» Domain-A'daki Domain controller, User-A'nın DN değişikliğini algılar ve kaydeder.

3- Replikasyon Başlatma

» Domain-A'daki Domain controller, bu DN değişikliğini diğer Domain controller'lara ve Global Catalog (GC) sunucularına iletir.

4- Global Catalog'un Güncellenmesi

» GC, bu DN değişikliğini alır ve kendi veritabanında günceller. GC, tüm Domain'lerden gelen belirli özniteliklerin kısmi kopyalarını içerir.

5- Infrastructure Master'ın (IM) Rolü

» IM, bu DN değişikliğini fark eder ve referansları güncellemek için harekete geçer. » IM, User-A'nın yeni DN bilgilerini almak için GC'ye başvurur.

6- Referansların Güncellenmesi

» IM, GC'den aldığı yeni DN bilgilerini kullanarak, Domain-B'deki Group-B gibi referansları günceller.

» Böylece, Group-B'nin üye listesinde User-A'nın yeni DN bilgisi doğru şekilde yer alır.

Özet

1- Değişiklik Algılama: UserA'nın DN bilgisi değiştiğinde, bu değişiklik DomainA'daki Domain controller tarafından algılanır ve kaydedilir.

2- Replikasyon: Değişiklik, diğer Domain controller'lara ve GC sunucularına iletilir.

3- IM'in Güncelleme İşlemi: IM, bu değişikliği fark eder ve IM, GC'den güncel DN bilgilerini alır. Daha sonra IM, DomainB'deki referansları günceller, böylece UserA'nın yeni DN bilgisi doğru şekilde yansır.

Infrastructure Master (IM) ve Global Catalog (GC) İlişkisi

IM (Infrastructure Master) ve GC (Global Catalog) rollerinin aynı sunucuda olmaması, Microsoft'un Active Directory tasarımı ve yönetimi konusunda önerdiği bir Best Practice yaklaşımdır. Ancak bu öneri, belirli koşullar ve yapılandırmalar için geçerlidir. Microsoft’un bu öneriyi yapmasının nedeni, Active Directory ortamında veri tutarlılığını ve doğru referans yönetimini sağlamaktır.

IM ve GC Neden Aynı Sunucuda Olmamalı?

1. Veri Tutarlılığı Sorunları

» Durum: IM, Domain içindeki nesnelerin diğer Domain’lerdeki nesnelere verdiği referansları yönetir ve günceller. GC ise tüm forest’taki tüm Domain’lerin kısmi bir kopyasını tutar.

» Sorun: IM ve GC aynı sunucuda bulunduğunda, IM referans bilgilerini kendi sunucusundaki GC’den alır. Ancak, bu durumda IM, referans bilgilerini diğer Domain’lerdeki değişikliklerle karşılaştırmaz. Çünkü GC, bu bilgileri zaten içerir.

» Sonuç: IM, güncel olmayan bilgileri kullanarak referans güncellemelerini yapabilir. Bu da, referans verilen nesnelerin (örneğin, başka bir Domain’deki kullanıcılar veya gruplar) doğru şekilde güncellenmemesine ve veri tutarsızlıklarına yol açabilir.

2. GC’nin Tamamlayıcı Rolü

» Durum: GC, tüm forest’taki nesnelerin bir kopyasını tutar, ancak yalnızca kısmi bir replikasyon içerir (örneğin, yalnızca en sık kullanılan öznitelikler replike edilir).

» Sorun: IM, referans bilgilerini güncellerken, bu kısmi verilerle çalışır. Eğer IM ve GC aynı sunucuda olursa, IM’in referans güncellemeleri bu kısmi verilere dayanarak yapılır ve bu, eksik veya hatalı güncellemelerle sonuçlanabilir.

» Sonuç: IM’in aynı sunucuda çalıştığı GC’den aldığı bilgiler, her zaman en güncel olmayabilir. Bu da, diğer Domain’lerdeki nesnelerin doğru şekilde yönetilmesini engelleyebilir.

IM ve GC Neden Ayrı Sunucuda Olmalı?

1. Veri Tutarlılığını Sağlama

» Durum: IM, kendi Domain’inde yer alan nesnelerin diğer Domain’lerdeki referanslarını günceller ve yönetir.

» Fayda: IM'in cross-Domain referanslarını güncellerken her zaman GC'den bilgi alması, IM'in doğru ve güncel bilgilerle çalışmasını sağlar. GC, tüm Domain'lerdeki nesnelerin bir kopyasını tuttuğu için, IM bu bilgileri kullanarak referansların en güncel ve doğru şekilde güncellenmesini sağlar. Bu durum, veri tutarlılığını korur ve referans hatalarını önler.

» Sonuç: Bu yaklaşım, IM’in daha güncel ve doğru bilgilerle çalışmasını sağlar. Böylece, Cross-Domain referansları doğru şekilde güncellenir ve veri tutarlılığı korunur.

2. GC’nin Kapsamlı Verisi

» Durum: GC, tüm forest’taki Domain’ler hakkında kısmi veri replikasyonu yapar. Ancak bu veriler, tam ve güncel bilgiler içermeyebilir.

» Fayda: IM, GC’den bağımsız olarak çalıştığında, diğer Domain controller’lardan aldığı tam verilerle çalışır. Bu, IM’in Cross-Domain referanslarını doğru şekilde yönetmesini sağlar.

» Sonuç: IM’in, Domain’ler arası referans güncellemelerini daha doğru ve güvenilir bir şekilde yapması sağlanır.

3. Performans ve Yük Dağılımı

» Durum: IM ve GC, her biri kendi görevlerini yerine getirmek için belirli kaynaklara ihtiyaç duyar.

» Fayda: Bu rollerin farklı sunucularda olması, sunucu üzerindeki yükü dağıtır ve her iki rolün de performansını artırır.

» Sonuç: Sunucuların performansı ve işlevselliği artar, IM ve GC’nin görevleri daha verimli bir şekilde yerine getirilir.

Özet

» IM ve GC Aynı Sunucuda: IM, kendi sunucusundaki GC'den bilgileri alır. Bu GC, bilgilerinin güncel olup olmadığını anında kontrol edemez çünkü güncellemeler periyodik olarak gelir.

» IM ve GC Ayrı Sunucularda: IM, harici GC sunucularından bilgileri alır. Bu GC sunucuları, geniş bir replikasyon ağına sahip olduğundan, IM'in aldığı bilgilerin güncel olma olasılığı daha yüksektir.

Bu süreç, çapraz Domain referanslarının doğru ve güncel kalmasını sağlar. IM, referansları güncellerken GC'den aldığı bilgileri kullanır, böylece Active Directory'nin tutarlılığı korunur.

Bu rol, Domain bazlı olup, Forest ortamındaki tüm Domain'lerde bulunur.

Yukarıda bahsettiğim "Forest ortamındaki tüm Domain'lerde bulunur." ve "Forest bazında tektir." ifadlerimin altını doldurmam gerkirse örneğin, Forest yapınızda 3 ayrı Domain olduğunu, bunlardan 1 tanesinin Forest'ın ilk oluşturulduğu Parent Domain, diğer 2 tanesinin de Child Domain olduğunu varsayalım. İster Parent Domain, isterse de Child Domain olsun; Domain ortamının ilk kurulduğu ilk Server, Domain Controller görevindedir. Bu sebeple de aynı Forest içindeki farklı Domain'leri oluşturuan ilk Server'lar da kendi bulundukları Domain'ler içine Domain Controller görevindedir ancak buradaki FSMO rolleri noktasında bir ayrım söz konusudur.

Child Domain'ler, aynı Forest içindeki Parent Domain'e bağlıdırlar. Aynı Forest içindeki herhangi bir Domain'deki, herhangi bir Domain Controller'da FSMO rolleri sorgulama işlemi gerçekleştirdiğinizde çıkacak olan sonuçta, Schema Master ve Domain Naming Master FSMO rollerinin her zaman  her ikisinin de Forest bazında tek olduğunu görürsünüz. Bahsettiğim örnek yapıdaki gibi bir yapıda aksi belirtilmedikçe, yani roller taşınmadıkça bu iki Forest bazlı FSMO rolü, Parent Domain'deki Domain Controller'da bulunacaktır.



Bu roller elbette ki Child Domain'lerdeki Domain Controller'dan herhangi bir tanesine de taşınabilir! Burada unutulmaması gereken tek şeyin, bu iki FSMO rolünün tüm Forest ortamında tek olduğudur ki zaten yukarıdaki şemaya baktığınızda, hem Parent Domain'deki Domain Controller'lardaki hem de Child Domain'deki Domain Controller'lardaki kalan 3 FMO rolünün, sadece ilgili Domain'e ait olarak tüm Domain Controller'larda bulunduğunu görürsünüz.

Faydalı olması dileğiyle...