FSMO ROLLERİ: TANIM, KONTROL VE TRANSFER İŞLEMLERİ

Active Directory Forest ve Domain yapısının bütünlüğünü sağlayan hayati FSMO (Flexible Single Master Operations) rollerinin görevleri, hangi sunucuda bulunduğunu kontrol etme ve acil/güvenli transfer işlemleri.

Giriş: Active Directory veritabanı (NTDS.DIT) çoklu-master (multi-master) bir model kullanır, yani tüm Domain Controller'lar (DC) veriyi okuyabilir ve yazabilir. Ancak bazı hassas işlemler (Örn: Schema'yı değiştirme veya Parola oluşturma) için sadece tek bir DC yetkilidir. Bu tek yetkili DC'ler FSMO rollerini taşır.

Bölüm 1: Beş FSMO Rolünün Tanımı

FSMO rolleri, etki alanına (Domain) özgü üç rol ve ormana (Forest) özgü iki rol olmak üzere toplam beş tanedir:

Forest Düzeyi Rolleri (Orman Başına Tek Rol)

Bu roller, Active Directory ormanında (Forest) yalnızca tek bir DC üzerinde bulunmalıdır:

1. Schema Master (Şema Yöneticisi): **Görevi:** Active Directory'nin yapısını (Hangi obje tipleri, hangi nitelikler olabilir?) tanımlayan şemayı değiştirmekten sorumludur. Genellikle Exchange Server gibi büyük uygulamalar kurulurken şemayı genişletmek için kullanılır.
2. Domain Naming Master (Etki Alanı Adlandırma Yöneticisi): **Görevi:** Orman içinde yeni bir domain oluşturulmasını, mevcut bir domain'in kaldırılmasını veya dış trust (güven) ilişkilerinin yönetilmesini sağlar. Domain adlarının benzersizliğini kontrol eder.

Domain Düzeyi Rolleri (Domain Başına Üç Rol)

Bu roller, her bir etki alanında (Domain) yalnızca tek bir DC üzerinde bulunmalıdır:

3. PDC Emulator (Birincil Etki Alanı Denetleyicisi Emülatörü): **Görevi:** Rollerin en yoğun kullanılanıdır. Parola değişikliklerini, hesap kilitlemelerini yönetir, Grup İlkesi (GPO) güncellemelerini işler ve zaman senkronizasyonunda (Time Sync) birincil kaynaktır.
4. RID Master (Relative Identifier Master): **Görevi:** Active Directory objelerinin benzersiz kimlikleri (SID - Security Identifier) için gerekli olan **RID havuzlarını** dağıtır. Yeni kullanıcı veya grup oluşturulduğunda benzersiz SID'in oluşmasını sağlar.
5. Infrastructure Master (Altyapı Yöneticisi): **Görevi:** Domain'ler arası obje başvurularını güncel tutar (Örn: Bir Domain'deki kullanıcının, diğer Domain'deki bir gruba üye olup olmadığını kontrol etme). Global Catalog (GC) rolünü taşımayan DC'lere atanması önerilir.

Bölüm 2: FSMO Rollerinin Hangi DC'de Olduğunu Kontrol Etme

Rollerin tek bir yerden kontrol edilmesi için en hızlı yöntem **Netdom** veya **PowerShell** komutlarıdır.

PowerShell ile Kontrol (Önerilen Yöntem)

Tüm FSMO rollerini tek bir komutla listeleyin:

# Tüm rolleri ve sahibi olan DC'yi listeler
Get-ADForest PROD.LOCAL | Format-Table SchemaMaster, DomainNamingMaster
Get-ADDomain PROD.LOCAL | Format-Table PDCEmulator, RIDMaster, InfrastructureMaster

Ntdsutil ile Kontrol (Geleneksel Yöntem)

Schema ve Domain Naming rollerini bu yöntemle de kontrol edebilirsiniz:

Ntdsutil
roles
connections
connect to server DC_ADI_GİRİN
quit
select operation target
list roles for connected server
quit
quit

Bölüm 3: FSMO Rollerinin Transfer ve Seize İşlemleri

FSMO rollerinin yeni bir DC'ye taşınması iki şekilde yapılır: **Transfer** (güvenli) ve **Seize** (acil durum).

1. Transfer (Güvenli Taşıma)

Aktif (eski) DC çalışır durumdaysa ve rolleri güvenli bir şekilde bırakabiliyorsa Transfer kullanılır. **Bu, daima tercih edilen yöntemdir.**

**Hedef DC'de Bağlanma:** Yeni FSMO rollerini alacak olan sağlıklı DC'de (Örn: `DC-PROD-02`) oturum açın.

**PowerShell Komutu:** Rolleri taşımak için `Move-ADDirectoryServerOperationMasterRole` komutunu kullanın:

# Domain düzeyindeki 3 rolü taşıma (PDC, RID, Infrastructure)
Move-ADDirectoryServerOperationMasterRole -Identity "DC-PROD-02" -OperationMasterRole PDCEmulator, RIDMaster, InfrastructureMaster -Force

# Forest düzeyindeki 2 rolü taşıma (Schema, Domain Naming)
Move-ADDirectoryServerOperationMasterRole -Identity "DC-PROD-02" -OperationMasterRole SchemaMaster, DomainNamingMaster -Force

**Not:** Komut başarıyla tamamlanırsa, roller `DC-PROD-02` sunucusuna güvenli bir şekilde aktarılmış demektir.

2. Seize (Zorla Alma)

**Kritik Acil Durum:** Eski DC kalıcı olarak arızalandıysa, ağdan koptuysa veya bir daha geri gelmeyecekse **Seize** (Zorla Alma) işlemi kullanılır. Seize edilen DC, bir daha geri dönmemeli ve Forest'tan kalıcı olarak kaldırılmalıdır.

**Arızalı DC'yi Ağdan Ayırma:** Seize işlemine başlamadan önce, arızalı (eski) DC'nin kesinlikle ağ bağlantısını kesin (Power Off veya Network kablosunu çıkarın).
**Ntdsutil Komutu (Hedef DC'de):** Rolleri zorla almak için `Ntdsutil` kullanılır. (PowerShell'de tek komut yoktur).
```
Ntdsutil
roles
connections
connect to server DC_PROD_02_ADI_GİRİN
quit
seize naming master
seize schema master
seize pdc
seize rid master
seize infrastructure master
quit
quit
```
**Kritik Uyarı:** `Seize` işlemi AD veritabanında geri alınamaz değişiklikler yaratır. Kullanımı, arızalı DC'nin onarılamaz olduğundan emin olunduktan sonra yapılmalıdır.

ACİL DURUM UYARISI: Rollere ihtiyacınız olduğunda (Örn: Kullanıcı şifresi sıfırlanamıyor, yeni domain oluşturulamıyor) ve rol sahibi DC kapalıysa, rolleri **Seize** etme sürecini hemen başlatın. Rollere erişim olmadan Active Directory'nin kritik işlevleri durur. Seize edilen eski DC, derhal Forest'tan temizlenmeli ve geri yüklenmemelidir.

SONRAKİ DÖKÜMAN: AD SITES & SERVICES >>