AD DS işlem ana şablonlarını yönetme

  • 15 dakika

AD DS, etki alanı denetleyicileri arasında veri kopyalamak için birden çok ana işlem kullanır ve aynı anda çakışan güncelleştirmeleri düzelten bir çakışma çözümleme algoritmasını otomatik olarak uygular. Bu sağlamalar, birden çok kullanıcının ve uygulamanın aynı anda farklı etki alanı denetleyicilerindeki AD DS nesnelerine değişiklik uygulayabildiği dağıtılmış bir yönetim modeline olanak tanır. Böyle bir model, iki veya daha fazla etki alanı denetleyicisine sahip herhangi bir AD DS ortamını desteklemek için gereklidir. Ancak contoso gibi daha büyük ve dağıtılmış ortamlar için özellikle kritik önem taşır. Ancak, belirli işlemlerin yalnızca belirli bir rol tarafından, belirli bir etki alanı denetleyicisinde gerçekleştirilebileceğini unutmayın.

AD DS işlem yöneticileri nedir?

AD DS işlem yöneticisi rolleri, birden çok ana model için uygun olmayan işlemleri gerçekleştirmekle sorumludur. Bu rollerden birine sahip bir etki alanı denetleyicisi bir işlem yöneticisidir. İşlem yöneticisi rolü Esnek Tek Ana İşlem (FSMO) rolü olarak da bilinir. Beş işlem yöneticisi rolü vardır:

  • Şema yöneticisi
  • Etki alanı adlandırma yöneticisi
  • Altyapı yöneticisi
  • RID yöneticisi
  • PDC öykünücü yöneticisi

Varsayılan olarak, bir ormanda yüklü olan ilk etki alanı denetleyicisi beş rolün tümünü barındırıyor. Ancak, ek etki alanı denetleyicileri dağıtıldıktan sonra bu rolleri aktarabilirsiniz. İşlem yöneticisine özgü değişiklikler gerçekleştirirken, etki alanı denetleyicisine rolüyle bağlanmanız gerekir. Beş işlem yöneticisi rolü aşağıdaki dağıtıma sahiptir:

  • Her ormanda bir şema yöneticisi ve bir etki alanı adlandırma yöneticisi vardır.
  • Her AD DS etki alanının bir göreli kimliği (RID) yöneticisi, bir altyapı yöneticisi ve bir birincil etki alanı denetleyicisi (PDC) öykünücüsü vardır.

Beş tanesinin tümünü tek bir etki alanı denetleyicisine yerleştirebilir veya bunları birkaç etki alanı denetleyicisine dağıtabilirsiniz.

Orman işlem yöneticileri

Bir orman aşağıdaki işlem yöneticisi rollerine sahiptir:

  • Etki alanı adlandırma yöneticisi. Bu, bir etki alanı eklerken veya kaldırırken ya da etki alanı adı değişiklikleri yaparken başvurmanız gereken etki alanı denetleyicisidir.

Önemli

Etki alanı adlandırma yöneticisi kullanılamıyorsa, ormana etki alanı ekleyemezsiniz.

  • Şema yöneticisi. Bu, tüm şema değişikliklerini yaptığınız etki alanı denetleyicisidir.

Önemli

Şema yöneticisi kullanılamıyorsa şemada değişiklik yapamazsınız.

Not

Windows PowerShell için Active Directory modülündeki Windows PowerShell komutu Get-ADForest, geçerli etki alanı adlandırma yöneticisi ve şema yöneticisi de dahil olmak üzere orman özelliklerini görüntüler.

Etki alanı işlem yöneticileri

Bir etki alanı aşağıdaki işlem yöneticisi rollerine sahiptir:

  • RID yöneticisi. AD DS'de kullanıcı, bilgisayar veya grup gibi bir güvenlik sorumlusu oluşturduğunuzda, nesneyi oluşturduğunuz etki alanı denetleyicisi, nesneye güvenlik kimliği (SID) olarak bilinen benzersiz bir tanımlayıcı sayı atar. İki etki alanı denetleyicisinin aynı SID'yi iki farklı nesneye atamadığından emin olmak için RID yöneticisi, SID'leri oluştururken kullanmak üzere etki alanı içindeki her etki alanı denetleyicisine RID blokları ayırır.

Önemli

RID yöneticisi kullanılamıyorsa, etki alanına güvenlik sorumluları eklerken sorunlarla karşılaşabilirsiniz. Ayrıca, etki alanı denetleyicileri mevcut RID'lerini kullandığından, sonunda bunlar tükeniyor ve yeni nesneler oluşturamıyor.

  • Altyapı yöneticisi. Bu rol, etki alanındaki bir grubun başka bir etki alanından üyesi olması gibi etki alanları arası nesne başvurularını korur. Bu durumda, altyapı yöneticisi bu başvurunun bütünlüğünü korumayı yönetir. Örneğin, bir nesnenin Güvenlik sekmesini gözden geçirdiğinizde, sistem listelenen SID'lere başvurur ve bunları adlara çevirir. Birden çok etki alanı ormanında altyapı yöneticisi, diğer etki alanlarındaki SID'lere yönelik başvuruları ilgili güvenlik sorumlusu adlarıyla güncelleştirir.

Önemli

Altyapı yöneticisi kullanılamıyorsa, genel katalog olmayan etki alanı denetleyicileri SID güvenlik sorumlusu adlarının çevirisini gerçekleştiremez.

Önemli

Altyapı yöneticisi rolü, ormandaki her etki alanı denetleyicisi genel katalog görevi görecek şekilde yapılandırılmadığı sürece genel katalog rolünü barındıran etki alanı denetleyicisinde yer almamalıdır. Bu durumda, altyapı yöneticisi rolü gerekli değildir çünkü her etki alanı denetleyicisi ormandaki her nesne hakkında bilgi sahibidir.

  • PDC öykünücü yöneticisi. PDC öykünücü yöneticisi olan etki alanı denetleyicisi, etki alanının zaman kaynağı olarak görev görür. Bir ormandaki her etki alanındaki PDC öykünücüsü yöneticisi, zamanını orman kök etki alanındaki PDC öykünücüsü yöneticisiyle eşitler. Orman kök etki alanındaki PDC öykünücü yöneticisini güvenilir bir dış zaman kaynağıyla eşitlenecek şekilde ayarlarsınız. Ayrıca, varsayılan olarak, Grup İlkesi Nesneleri'ne (GPO' lar) yapılan değişiklikler varsayılan olarak PDC Öykünücüsü yöneticisine yazılır. PDC öykünücü yöneticisi aynı zamanda acil parola değişiklikleri alan etki alanı denetleyicisidir. Kullanıcının parolası değişirse, PDC öykünücüsü ana rolüne sahip etki alanı denetleyicisi bu bilgileri hemen alır. Bu, kullanıcı oturum açmaya çalışırsa, kullanıcının geçerli konumundaki etki alanı denetleyicisinin, son değişiklikleri denetlemek için PDC öykünücüsü ana rolüne sahip etki alanı denetleyicisine başvuracağı anlamına gelir. Yeni parola bilgilerini henüz almamış olan farklı bir konumdaki bir etki alanı denetleyicisi kullanıcının kimliğini doğrulasa bile bu durum oluşur.

Önemli

PDC öykünücü yöneticisi kullanılamıyorsa, parola değişiklikleri tüm etki alanı denetleyicilerine çoğaltılana kadar kullanıcılar oturum açarken sorun yaşayabilir.

Not

Windows PowerShell için Active Directory modülündeki Windows PowerShell komutu Get-ADDomain, geçerli RID yöneticisi, altyapı yöneticisi ve PDC öykünücüsü yöneticisi de dahil olmak üzere etki alanı özelliklerini görüntüler.

AD DS işlem ana şablonlarını yönetme

İşlem yöneticisi rollerini etki alanı denetleyicileri arasında dağıttığınız bir AD DS ortamında, bir rolü bir etki alanı denetleyicisinden diğerine taşımanız gerekebilir. İki çevrimiçi etki alanı denetleyicisi arasında planlı bir şekilde taşıma gerçekleştirdiğinizde, taşıma işlemi rolü aktarma olarak bilinir. Acil durumlarda, geçerli rol sahibi mevcut değilse, bu taşıma rolün yerini alma olarak bilinir. Bir rolü aktardığınızda, bu roldeki etki alanı denetleyicisinden en son veriler hedef sunucuya çoğaltılır.

Önemli

Bir rolü yalnızca geçerli rol sahibini kurtarma şansı olmadığında son çare olarak yakalamanız gerekir.

İşlem yöneticisi rollerini aktarma

Aşağıdaki tabloda listelenen AD DS ek bileşenlerini kullanarak işlem yöneticisi rollerini aktarabilirsiniz.

Rol

Ek Bileşen

Şema yöneticisi

Active Directory Şeması

Etki alanı adlandırma yöneticisi

Active Directory Etki Alanı ve Güvenler

Altyapı yöneticisi

Active Directory Kullanıcıları ve Bilgisayarları

RID yöneticisi

Active Directory Kullanıcıları ve Bilgisayarları

PDC öykünücü yöneticisi

Active Directory Kullanıcıları ve Bilgisayarları

İşlem yöneticisi rollerini yakalama

İşlem yöneticisi rollerini almak için AD DS ek bileşenlerini kullanamazsınız. Bunun yerine, rolleri almak için ntdsutil.exe komut satırı aracını veya Windows PowerShell'i kullanmanız gerekir.

Not

Rolleri aktarmak için bu araçları da kullanabilirsiniz.

Bir rolü aktarma ve rolü alma söz dizimi, aşağıdaki söz dizimi satırında gösterildiği gibi Windows PowerShell'de benzerdir:

Move-ADDirectoryServerOperationsMasterRole -Identity "<servername>" -OperationsMasterRole "<rolenamelist>" -Force

Yukarıdaki söz dizimi için, dikkate değer tanımlar aşağıdaki gibidir:

  • sunucu adı. Bir veya daha fazla rolü aktardığınız hedef etki alanı denetleyicisinin adı.
  • rolenamelist. Hedef sunucuya taşınacak AD DS rol adlarının virgülle ayrılmış listesi.
  • -Force. Bir rolü aktarmak yerine ele geçirebilmek için eklediğiniz isteğe bağlı parametre.

Tanıtım

Aşağıdaki videoda nasıl yapılır gösterilmektedir:

  • İşlem yöneticisi rollerinin yerleşimini belirleyin.
  • İşlem yöneticisi rollerini etki alanı denetleyicileri arasında aktarma.

Sürecin ana adımları şunlardır:

  1. AD DS ortamı oluşturma. İki etki alanı denetleyicisi içeren tek bir etki alanı AD DS ormanı oluşturun.
  2. İşlem yöneticisi rollerinin yerleşimini denetleyin. İşlem yöneticisi rollerini barındıran iki etki alanı denetleyicisini belirleyin.
  3. GUI araçlarını kullanarak etki alanı denetleyicileri arasında işlem yöneticisi rollerini aktarma. Gui araçlarını kullanarak işlem yöneticisi rollerini önceki adımda tanımladığınız etki alanı denetleyicisinden diğerine aktarın.
  4. Komut satırı araçlarını kullanarak etki alanı denetleyicileri arasında işlem yöneticisi rollerini aktarma. İşlem yöneticisi rollerini ilk etki alanı denetleyicisine geri aktarmak için komut satırı araçlarını kullanın.

Bilginizi ölçün

1.

Altyapı Yöneticisi işlem yöneticisi rolünün aktarılmasına hangi araç izin verir?