Bu makalede, etki alanındaki ve ormandaki Active Directory Esnek Tek Yönetici (FSMO) rollerinin yerleşimi anlatılır.

Çok asıllı yerleşimler için uygun olmayan belirli etki alanı ve kuruluş genelinde işlemler, etki alanı veya ormandaki tek bir etki alanı denetleyicisinde konumlandırılır. Tek yöneticili işlemin avantajı, bir işlem yöneticisi çevrimdışı durumdayken olası çakışmalar yaşamak yerine, bu çakışmaların daha sonra çözümlenmek üzere engellenebilmesidir. Ancak tek yöneticili işlem, etki alanında veya kuruluşta bağımlı etkinlikler gerçekleştiğinde veya bu rolle ilişkili dizin değişiklikleri yapılması gerektiğinde FSMO rol sahibinin olması gerektiği anlamına gelir.

Active Directory Yükleme Sihirbazı (Dcpromo.exe), beş FSMO rolü tanımlar: şema yöneticisi, etki alanı yöneticisi, RID yöneticisi, PDC öykünücüsü ve altyapı yöneticisi. Şema yöneticisi ve etki alanı adlandırma yöneticisi her orman için atanan rollerdir. Diğer üçü, yani RID yöneticisi, PDC öykünücüsü ve altyapı yöneticisi, her etki alanı için atanan rollerdir.

Tek bir etki alanı bulunan bir ormanda beş rol de vardır. Ormana eklenen her etki alanı için etki alanı genelinde üç rol eklenir. Bir ormandaki FSMO rolü sayısı ve olası FSMO rol sahipleri, ((Etki alanı sayısı * 3)+2) formülü kullanılarak belirlenebilir.

Üç etki alanı (A.com ile B.A.com ve C.B.A.com etki alanları ile onların alt etki alanları) bulunan bir ormanda on bir FSMO rolü bulunur:

1 Şema yöneticisi – orman genelinde A.COM
1 etki alanı adlandırma yöneticisi – orman genelinde A.COM
3 PDC öykünücüsü (A.com, B.A.com ve C.B.A.com)
3 RID yöneticisi (A.com, B.A.com ve C.B.A.com)
Her etki alanı için 3 Altyapı yöneticisi. (A.com, B.A.com ve C.B.A.com)

Bir ormanın ilk Active Directory etki alanı denetleyicisini oluşturduğunuzda, Dcpromo.exe bu denetleyiciye beş rolü de atar. Varolan bir ormandaki yeni bir etki alanının ilk Active Directory etki alanı denetleyicisini oluşturduğunuzda, Dcpromo.exe üç etki alanı rolünü de atar. Microsoft Windows NT 4.0 etki alanı denetleyicileri içeren karma mod etki alanında, yalnızca Microsoft Windows Server 2003 veya Microsoft Windows 2000 Server çalışan etki alanı denetleyicilerine etki alanı veya orman genelindeki FSMO rolleri atanabilir.

FSMO kullanılabilirliği ve yerleşimi

Dcpromo.exe, rollerin ilk başta etki alanı denetleyicilerine dağıtılmasını gerçekleştirir. Bu yerleşim, genelde birkaç etki alanı denetleyicisi bulunan dizinler için doğrudur. Çok sayıda etki alanı denetleyicisi bulunan bir dizinde, varsayılan yerleşim büyük olasılıkla ağınız için en uygun seçenek değildir.

Her etki alanı için, birincil FSMO sahibinde bir hata oluşması durumunda kullanılmak üzere yerel birincil ve yedek FSMO etki alanı denetleyicilerini seçin. Ayrıca, siteye özgü olağanüstü durum senaryoları için site dışında yedek sahipler de seçebilirsiniz. Seçim ölçütünüzde aşağıdaki noktaları dikkate alın:

• Etki alanında tek bir etki alanı denetleyicisi varsa, bu etki alanı, etki alanına özgü rollerin tümüne sahip olur.
• Etki alanında birden çok etki alanı denetleyicisi varsa, Active Directory Siteleri ve Hizmetleri Yöneticisi’ni kullanarak sürekli ve “sorunsuz” bağlantılarla doğrudan çoğaltma ortaklarını seçebilirsiniz.
• Yedek sunucu, çok sayıda bilgisayarın daha hızlı ve tutarlı çoğaltılabilmesi birincil FSMO sunucusuyla aynı sitede veya birincil konumda siteye özgü olağanüstü durum senaryosu için bir uzak sitede olabilir.
• Yedek etki alanı denetleyicisi bir uzak sitede olduğunda, bağlantının tutarlı bir bağlantı üzerinden sürekli çoğaltma için yapılandırılmasını sağlayın.

FSMO yerleşimine yönelik genel öneriler

• RID ve PDC öykünücüsü rollerini aynı etki alanı denetleyicisine yerleştirin. Alt düzey istemci ve uygulamalar PDC’yi hedef alarak çok fazla RID kullandığı için, PDC ile RID yöneticisi arasındaki iletişim iyi olması istenir. Ayrıca, FSMO rolleri daha az makinede kümelendirilirse daha kolay izlenebilir.Birincil FSMO’nun yükü taşınmayı gerektirecek kadar fazlaysa, RID ve birincil etki alanı denetleyicisi öykünücü rollerini aynı etki alanında birbirinin doğrudan çoğaltma ortakları olan Active Directory sitesindeki farklı etki alanı denetleyicilerine yerleştirin.
• Genel bir kural olarak, altyapı yöneticisinin ormandaki bazı genel katalog sunucularına doğrudan bağlantı nesnesi bulunan ve tercihen aynı Active Directory sitesinde bulunan genel olmayan bir katalog sunucusuna yerleştirilmesi gerekir. Genel katalog sunucusu ormandaki her nesnenin kısmi kopyasını bulundurduğu için, altyapı yöneticisi bir genel katalog sunucuna yerleştirildiğinde hiçbir öğeyi güncelleştirmez, çünkü bulundurmadığı nesnelere başvurular da içermemektedir. “Altyapı yöneticisini bir genel katalog sunucusuna yerleştirmeyin” kuralı için iki özel durum söz konusudur:
  • Tek etki alanı ormanı:Tek bir Active Directory etki alanı içeren bir ormanda, hayalet sunucular olmadığı için tüm işlemleri altyapı yöneticinin yapması gerekir. Altyapı yöneticisi etki alanındaki herhangi bir etki alanı denetleyicisine yerleştirilebilir ve bu etki alanı denetleyicisinde genel katalog sunucusunun bulunup bulunmaması önemli değildir.
  • Etki alanındaki her etki alanı denetleyicisinde genel katalogun bulunduğu çoklu etki alanı ormanı:Çoklu etki alanı ormanının parçası olan bir etki alanındaki her etki alanı denetleyicisi aynı zamanda bir genel katalog barındırıyorsa, hayalet sunucular veya altyapı yöneticisinin gerçekleştirmesi gereken işlemler yoktur. Altyapı yöneticisi, bu etki alanındaki herhangi bir etki alanı denetleyicisine yerleştirilebilir.
• Orman düzeyinde, şema yöneticisi ve etki alanı adlandırma yöneticisi rollerinin aynı etki alanı denetleyicisine yerleştirilmeleri gerekir, çünkü nadiren kullanılırlar ve yakından denetlenmeleri gerekir. Ayrıca, etki alanı adlandırma yöneticisi FSMO aynı zamanda bir genel katalog sunucusu olmalıdır. Torun etki alanları oluşturmak gibi, etki alanı adlandırma yöneticisini kullanan belirli işlemler bunun dışındaki durumlarda başarısız olabilir.

En önemli nokta, yönetim konsollarından birini (Dsa.msc veya Ntdsutil.exe gibi) kullanarak, tüm FSMO rollerinin kullanılabilir olduğunu doğrulamanızdır.

Windows Server 2003′ü tek başına bir sunucuya yükledikten sonra, Active Directory Sihirbazı’nı çalıştırarak yeni Active Directory ormanını veya etki alanını oluşturun ve sonra da Windows Server 2003 çalışan bilgisayarı ormandaki ilk etki alanı denetleyicisine dönüştürün. Windows Server 2003 çalışan bir bilgisayarı ormandaki ilk etki alanı denetleyicisine dönüştürmek için şu adımları izleyin:

1. Windows Server 2003 CD-ROM’unu bilgisayarınızın CD-ROM veya DVD-ROM sürücüsüne yerleştirin.
2. Başlat‘ı tıklatın, Çalıştır‘ı tıklatın ve sonra da dcpromo yazın.
3. Active Directory Yükleme Sihirbazı‘nı başlatmak üzere Tamam‘ı tıklatın ve ardından İleri‘yi tıklatın.
4. Yeni bir etki alanının etki alanı denetleyicisi‘ni ve sonra da İleri‘yi tıklatın.
5. Yeni ormanda etki alanı‘nı ve sonra da İleri‘yi tıklatın.
6. Yeni etki alanının tam DNS adını belirtin. Bu yordam bir laboratuar ortamı olduğu ve bu ortamı varolan DNS altyapınızla tümleştirmeyeceğiniz için, bu ayar için şirketim.yerel gibi genel bir ad kullanabilirsiniz. İleri‘yi tıklatın.
7. Varsayılan etki alanı NetBIOS adını kabul edin (6. adımdaki öneriyi kullandıysanız bu ad “şirketim” şeklindedir). İleri‘yi tıklatın.
8. Veritabanı ve günlük dosyası konumunu varsayılan ayar olan c:\winnt\ntds klasörü olarak ayarlayın ve sonra da İleri‘yi tıklatın.
9. Sysvol klasörünün konumunu varsayılan ayar olan c:\winnt\sysvol klasörü olarak ayarlayın ve sonra da İleri‘yi tıklatın.
10. Bu bilgisayara DNS sunucusu yükleyip yapılandır‘ı ve sonra da İleri‘yi tıklatın.
11. Yalnızca Windows 2000 ya da Windows Server 2003 sunucularıyla veya işletim sistemleriyle uyumlu izinler‘i ve ardından İleri‘yi tıklatın.
12. Bu bir laboratuar ortamı olduğu için, Dizin Hizmetleri Geri Yükleme Modu Yönetici Parolası’nı boş bırakın. Tam üretim modunda, bu parola bir güvenli parola biçimi kullanılarak ayarlanır. İleri‘yi tıklatın.
13. Belirlediğiniz seçenekleri gözden geçirerek onaylayın ve sonra da İleri‘yi tıklatın.
14. Active Directory yüklemesine devam edilir. Bu işlem birkaç dakika sürebilir.
15. İstendiğinde, bilgisayarı yeniden başlatın. Bilgisayar yeniden başlatıldıktan sonra, yeni etki alanı denetleyicisinin Etki Alanı Ad Sistemi (DNS) hizmet konumu kayıtlarının oluşturulduğunu doğrulayın. DNS hizmet konumu kayıtlarının oluşturulduğunu doğrulamak için şu adımları izleyin:
    1. Başlat‘ı tıklatın, Yönetimsel Araçlar‘ın üzerine gelin ve DNS‘yi tıklatarak DNS Yönetici Konsolu’nu başlatın.
    2. Sırasıyla sunucu adını, İleriye Doğru Arama Bölgeleri‘ni ve sonra da etki alanını genişletin.
    3. _msdcs, _sites, _tcp ve _udp klasörlerinin bulunduğunu doğrulayın. Bu klasörler ve içerdikleri hizmet konumu kayıtları, Active Directory ve Windows Server 2003 işlemleri açısından önemlidir.

Kullanıcıları ve Bilgisayarları Active Directory Etki Alanına Ekleme

Yeni Active Directory etki alanı oluşturulduktan sonra, bu etki alanında netim hesabı olarak kullanmak üzere bir kullanıcı hesabı oluşturun. Kullanıcı uygun güvenlik gruplarına eklendiğinde, bilgisayarı etki alanına eklemek için bu hesabı kullanın.

1. Yeni bir kullanıcı oluşturmak için şu adımları izleyin:
   1. Başlat‘ı tıklatın, Yönetimsel Araçlar‘ın üzerine gelin ve sonra Active Directory Kullanıcıları ve Bilgisayarları konsolunu başlatmak üzere Active Directory Kullanıcıları ve Bilgisayarları‘nı tıklatın.
   2. Oluşturduğunuz etki alanı adını tıklatın ve ardından içeriğini genişletin.
   3. Kullanıcılar‘ı sağ tıklatın, Yeni‘nin üzerine gelin ve sonra da Kullanıcı‘yı tıklatın.
   4. Yeni kullanıcının adını, soyadını ve oturum açma adını yazıp İleri‘yi tıklatın.
   5. Yeni bir parola yazın, parolayı onaylayın ve sonra da aşağıdaki onay kutularından birini tıklatarak seçin:
      • Kullanıcı bir sonraki oturum açışında parolayı değiştirmeli (çoğu kullanıcı için önerilir)
      • Kullanıcı parolayı değiştiremez
      • Parola her zaman geçerli olsun
      • Hesap devre dışı

      İleri‘yi tıklatın.

   6. Sağladığınız bilgileri gözden geçirin ve tüm bilgiler doğruysa Son‘u tıklatın.
2. Yeni kullanıcıyı oluşturduktan sonra, bu kullanıcı hesabını yönetim görevlerini gerçekleştirme izinleri verilen bir grubun üyesi yapın. Bu, denetiminiz altında bulunan bir laboratuar ortamı olduğu için, bu kullanıcı hesabını Şema, Kuruluş ve Etki alanı yöneticileri gruplarının üyesi yaparak tam yönetici erişimi sahibi olmasını sağlayabilirsiniz. Hesabı Şema, Kuruluş ve Etki alanı yöneticileri gruplarına eklemek için şu adımları izleyin:
   1. Active Directory Kullanıcıları ve Bilgisayarları konsolunda, oluşturduğunuz yeni hesabı sağ tıklatın ve sonra da Özellikler‘i tıklatın.
   2. Üyelik sekmesini ve ardından Ekle‘yi tıklatın.
   3. Grupları Seç iletişim kutusunda, bir grup belirtin ve sonra da istediğiniz grupları listeye eklemek üzere Tamam‘ı tıklatın.
   4. Kullanıcı hesabının üyesi olması gereken her grup için seçme işlemini yineleyin.
   5. Tamamlamak için Tamam‘ı tıklatın.
3. Bu işlemin son adımı etki alanına bir üye sunucu eklemektir. Bu işlem iş istasyonları için de geçerlidir. Bir bilgisayarı etki alanına eklemek için şu adımları izleyin:
   1. Etki alanına eklemek istediğiniz bilgisayarda oturum açın.
   2. Bilgisayarım‘ı sağ tıklatın ve sonra Özellikler‘i tıklatın.
   3. Bilgisayar Adı sekmesini ve sonra da Değiştir‘i tıklatın.
   4. Bilgisayar Adı Değişiklikleri iletişim kutusunda, Üyelik altında Etki Alanı‘nı tıklatın ve etki alanı adını yazın. Tamam‘ı tıklatın.
   5. İstendiğinde, önceden oluşturduğunuz hesabın kullanıcı adını ve parolasını yazın ve sonra da Tamam‘ı tıklatın.Etki alanına kabul edildiğinizi bildiren bir ileti görüntülenir.
   6. Tamam‘ı tıklatarak Bilgisayar Adı sekmesine dönün ve sonra da işlemi tamamlamak üzere Tamam‘ı tıklatın.
   7. Bilgisayarı yeniden başlatmanız istenirse yeniden başlatın.

Sorun Giderme

Active Directory Ek Bileşenlerini Açamıyorsunuz

Active Directory yüklemesini tamamladıktan sonra, Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini başlatamayabilir ve kimlik doğrulama için başvurulacak bir yetkili bulunamadığını bildiren bir hata iletisi alabilirsiniz. Bu hata, DNS doğru yapılandırılmamışsa oluşabilir. Bu sorunu çözümlemek için, DNS sunucunuzdaki bölgelerin doğru yapılandırıldığını ve DNS sunucunuzun Active Directory etki alanını içeren bölge için yetkili olduğunu doğrulayın. Bölgeler doğru gibi görünüyorsa ve sunucunun etki alanı için yetkisi varsa, Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini yeniden başlatmayı deneyin. Aynı hata iletisini alırsanız, DCPROMO yardımcı programını kullanarak Active Directory’yi kaldırın, bilgisayarı yeniden başlatın ve sonra da Active Directory’yi yeniden yükleyin.