Trên thực tế có một số bạn hỏi về các trường hợp: ADC dead thì làm sao ? Nâng cấp AD lên bản mới ? Khi nào cần Tranfers, Seize ? Có cần metadata cleanup …

Qua đây tôi xin chia sẻ lại các case đã xử lý qua seri bài viết sau:

1. Tổng quan 5 Role FSMO Và Active Directory
2. Upgrade Active Directory từ Windows Server 2008 lên Windows Server 2012
3. Cấu hình 2 AD chạy song song trên Windows Server 2012 ( để làm lab sau)
4. Tranfers Roles FSMO
5. Seize Roles FSMO

Trong bài viết này bao gồm các phần sau:

1. FSMO là gì
2. Chức năng các Roles của FSMO
3. Nguyên tắc quản lý FSMO

[1] FSMO Role là gì:
Có 5 FSMO role khác nhau, mỗi role làm một chức năng, nhiệm vụ khác nhau để Active Directory có thể hoạt động được:

– Schema Master
– Domain naming Master
– Infrastructure Master
– Relative ID (RID) Master
– PDC Emulator

Lưu ý:
– Trong một Forest ( rừng) chỉ có duy nhất Schema Master và Domain Naming Master
– Trong một Domain (miền) thì có 3 roles: 1 Infrastructure Master, 1 RID, 1 PDC
– Chỉ duy nhất 1 DC có thể nắm tất cả 5 Roles FSMO; Và không thể nhiều hơn 5 máy chủ trong một môi trường Single-Domain nắm giữ roles
– Đôí với các additional domains ( tên miền bôổ sung …) thì mỗi miền sẽ chứa Infrastructure Master của nó và RID, PDC

[2] Chức năng các Roles của FSMO:
a) PDC Emulator:
– Đây là role mà được sử dụng nhiều nhất và tính năng rộng nhất trong tất cả FSMO. Domain Controller nào giữ role này thì cực kỳ quan trọng trong môi trường mix mode (Có nghĩa là tồn tại BDC WinNT). Mà cho dù hệ thống mạng của bạn có thuần Windows 2000 hoặc Windows 2003 đi nữa thì role này vẫn có rất nhiều việc để làm.
VD: PDC Emulator thực hiện làm nhiệm vụ máy chủ thời gian gốc (Root time server) để đồng bộ đồng hồ của tất cả máy trạm trong một forest (rừng). Rất rất quan trọng, khi máy trạm của bạn bị lệch thời gian khá nhiều, thì việc xác thực kerberos sẽ bị thất bại và user sẽ không logon vào được domain.

– Tính năng thứ 2 của nó là thực thi các thay đổi của GPO (Group policy object).
VD: Khi bạn tạo một new GPO đầu tiên thì GPO này sẽ nằm trong folder SYSVOL, và việc replicate đến các domain khác là do PDC Emulator thực hiện.

– Tính năng thứ 3 nữa là role này sẽ đảm nhận nhiệm vụ nhận biết sự thay đổi password, account lockout của user và replicate nó đến các domain khác.
Mỗi domain trong một forest sẽ có tối thiểu 1 PDC emulator. Như vậy nếu bạn có 4 domain trong một forest, thì bạn sẽ có 4 PDC emulator.

b) RID Master:
Mỗi domain trong một forest chắc chắn sẽ có 1 Domain Controller giữ role này. Role này làm nhiệm vụ cung cấp một dãy RIDs (relative IDs) dịch đại loại là mã số định danh.

RIDs được sử dụng khi bạn tạo một đối tượng (User hoặc Computer) bởi vì khi đó nó sẽ tạo một security ID (SID) được kết hợp giữa SID và RID trong dãy này. Vì thế khi bạn bị chết cái role RID này, đến một lúc nào đó dãy số RID đã hết thì bạn sẽ không bao giờ tạo thêm được user mới hoặc computer mới trong AD.

Đây là lý do tồn tại RID master role, nó giám sát và cung cấp dãy RID mới khi dãy RID cũ được cấp gần hết.

c) Infrastructure Master
Mục đích của role này là đảm bảo được việc cross-domain (Các domain quan hệ với nhau như child-child, child-parent hoặc tree-tree) được quản lý và tham chiếu đúng.
VD: Khi bạn add một user từ một domain vào một security group trong một domain khác thì Infrastructure này làm nhiệm vụ này. Đảm bảo là chỉ đúng user đó và đúng group đó.

Role này thì vô tác dụng khi bạn chỉ có một domain duy nhất. Chỉ có tác dụng khi nhiều domain và cũng ít khi nào sử dụng do admin phân quyền như thế nào thôi.

d) Schema Master
Khác với 3 role kể trên, role này chỉ duy nhất trong một rừng, tức là trong lần promo AD đầu tiên tạo forest. Có nghĩa là, đây là role duy nhất trong forest, làm nhiệm vụ replicate cấu trúc của schema AD đến các domain khác trong một rừng.

Role này ít khi thay đổi, thay đổi khi setup các ứng dụng cần mở rộng thuộc tính của AD như Mail exchange, OCS v.v…

e) Domain Master
Đây cũng là role duy nhất có trong một forest. Làm nhiệm vụ như add child domain hoặc tree vào root domain…
VD: Bạn có domain là abc.com, bạn muốn add một child domain là hanoi.abc.com thì vô phương cứu chữa nếu role này bị failed.

[3] Nguyên tắc quản lý FSMO:
Sử dụng 3 nguyên tắc cơ bản sau:

Nguyên tắc 1: Trong một Forest, thì hãy giữ schema master và domain master chung trên một domain controller để dễ quản trị và theo dõi.
Và hãy để chung 2 role này với Global catalog

Nguyên tắc 2: Trong mỗi domain, đặt PDC emulator và RID master chung một domain controller. Server này mạnh tí nha vì yêu cầu của PDC thì bạn biết rồi đấy. Và domain controller này cũng không nên chứa Global catalog, vì global catalog cũng sử dụng khá nhiều. Tách ra để loadbalancing thôi.

Nguyên tắc 3: Trong mỗi domain, không nên để Infrastructure chung với lại Global catalog nhưng nó phải chung site với lại Global catalog, chủ yếu là replicate cho nó nhanh đó mà.

Nguyên tắc 3 ngoại trừ 2 trường hợp sau đây:

1. Bạn chỉ có một domain duy nhất, đặt chung với Global catalog cũng được
2. Bạn có nhiều domain, domain nào cũng là global catalog

Với 3 nguyên tắc đơn giản như trên bạn đang làm chủ FSMO và làm chủ hệ thống của mình.

Previous PostNext Post