Selamlar. Bu makalede Active Directory’nin yapıtaşı olan FSMO rollerinden bahsedeceğim. Bir forest yeni kurulduğunda bu 5 rolün hepsi default olarak Primary DC’de bulunur.

  1. SCHEMA MASTER

Bu rol Active Directory şema verilerini güncel tutar. Bu rolün olduğu DC’de yolunda gitmeyen bir durum oluşursa şema verilerinde değişiklik gerçekleşmez. Ayrıca şemaya müdahale edebilmek için Schema Admin grubunun yetkileri gerekir. Bunun yanında, şema veritabanı güncellemesi Schema Master rolü hangi DC’deyse bu DC üzerinden yapılır.

DOMAIN NAMING MASTER

Bu rol yine default olarak Primary DC‘de bulunur. Yeni bir domain ekleme durumunda bu rol devreye girer ve forest’a eklenen domain’in mevcut yapıda var olup olmadığını sorgular. Bu rolün bulunduğu makine aynı zamanda Global Catalog‘a sahip olmalıdır. Hatırlarsanız domain kurulumu sırasında, Specify domain controllers capabilities ekranında Global Catalog vardı.

AD global catalog

PDC EMULATOR

DC’nin kritik rollerinden biridir. Kerberos authentication protokolünün sağlıklı çalışması için Windows time service önemlidir. Ortamdaki client’lar domainde logon olduklarında sistem saatleri bu rol vasıtasıyla senkronize olur.

Ayrıca yapıdaki password değişiklikleri öncelikli olarak PDC emulator ile replike olur. Örneğin bir client, password’unu değiştirdikten hemen sonra giriş yapmaya çalışabilir. Bu rol olmasaydı client’ın giriş yapabilmesi için password değişikliğinin öncelikle diğer DC’ler ile replike olması gerekirdi. Bu durumu önlemek için DC, client’ın logon isteğini alır ve password’unu PDC emulatorün doğrulamasını ister.

Bunun yanında, örneğin bir client hatalı password girip hesabı kilitlendiğinde bu bilgi direkt olarak DC tarafından PDC emulator‘e gider ve burada işlenir. Yani PDC ile DC sürekli veri alışverişi yapar. Bu sebeple bu rolün güçlü bir makinede barınması önemlidir.

RID MASTER

RID Master rolü, domaindeki tüm DC’lerden gelen RID havuzu request’lerini işlemekten sorumludur. Örneğin domain’de bir user oluşturduğumuzda RID Master hemen bu kullanıcı için bir Security ID (SID) ataması yapar ve bu SID benzersizdir, başka bir yere verilmez. RID Master DC’ye bunu sağlar. Ayrıca bir Active Directory yapısında 1 domain’de 1 tane RID master olur.

INFRASTRUCTURE MASTER

Bu rol domain’ler arasında bir nesnenin SID’ini ve ayırt edici adını güncellemekten sorumludur. Örnek vermek gerekirse, sistemdesk.com root domain’inde oluşturduğumuz bir user, child domaindeki bir gruba üyeyse ve biz bu userın email adresini root domainde değiştirirsek, bu değişikliğin child domainde de gerçekleşmesini infrastrusture rolü sağlar.