Nội dung:

Master Roles trong Domain Controller

1/ Roles PDC Emulator

Đây là role quan trọng được sử dụng nhiều nhất và tính năng hoạt động trong phạm vi rộng tất cả FSMO. Thiết bị máy chủ Domain Controller nào giữ role này thì cực kỳ quan trọng.

Cho dù hệ thống đang sử dụng Windows Server 2000 hoặc Windows Server 2003 thì Roles này vẫn rất quan trọng. Mà cho dù hệ thống mạng của bạn có thuần Windows 2000 hoặc Windows 2003 đi nữa thì role này vẫn có rất nhiều việc để làm.

EX: PDC Emulator thực hiện làm nhiệm vụ máy chủ thời gian gốc (Root Time Server) để đồng bộ thời gian của tất cả máy trạm trong một Forest.

Khi máy Client của bạn bị lệch thời gian khá nhiều, thì việc xác thực kerberos sẽ bị thất bại và tài khoản User sẽ không thể Sign in vào được Domain.

Roles PDC Emulator còn đóng vai trò thực thi những thay đổi trong GPO (Group policy object).
EX: Khi bạn tạo mới GPO đầu tiên thì GPO này sẽ nằm trong folder SYSVOL và việc replicate các GPO đến các máy chủ Domain Controller khác là do PDC Emulator đảm nhiệm.

Role PDC Emulator sẽ đảm nhận nhiệm vụ nhận biết sự thay đổi Password, Account Lockout của User và replicate nó đến máy chủ Domain Controller khác.
Mỗi Domain trong một Forest sẽ có tối thiểu 1 PDC emulator. Như vậy nếu bạn có 4 Domain trong một Forest, thì sẽ có 4 PDC Emulator.

2/ Roles RID Master

Mỗi Domain trong một Forest sẽ có 1 Domain Controller giữ role này. Role RID Master này làm nhiệm vụ cung cấp một dãy RIDs (relative IDs) là mã số định danh.
RIDs được sử dụng khi bạn tạo một đối tượng (User hoặc Computer) bởi vì khi đó nó sẽ tạo một security ID (SID) được kết hợp giữa SID và RID trong dãy này.
Nếu Role RID bị mất hoặc bị chết thì đến một thời điểm nào đó dãy số RID đã hết thì hệ thống sẽ không bao giờ tạo thêm được User mới hoặc Computer mới trong AD. Đây là lý do tồn tại RID master role, nó giám sát và cung cấp dãy RID mới khi dãy RID cũ được cấp gần hết.

3/ Roles Infrastructure Master:

Mục đích của role Infrastructure Master này là đảm bảo được việc Cross-domain (Mối quan hệ gữa các domain như Child domain – Child domain, child domain -Parent domain hoặc các tree-tree). Khi Add một user từ một Domain vào một Security Group trong một domain khác thì Infrastructure này làm nhiệm vụ này. Đảm bảo là chỉ đúng user đó và đúng group đó.

Phân quyền User ở Domain A (Parent domain) có quyền hạn trên tài nguyên ở Domain B (Child domain).Roles Infrastructure Master sẽ đứng ra thực hiện. Role Infrastructure Master không làm việc khi hệ thống chỉ có duy nhất một domain. Chỉ hoạt động khi hệ thống có nhiều domain.

4/ Roles Schema master:

Roles Schema Master khác với 3 role trên, roles Schema Master này chỉ có duy nhất trong một forest, tức là trong lần Promo AD đầu tiên tạo Forest. Đây là role duy nhất trong forest, làm nhiệm vụ replicate cấu trúc của schema AD đến các domain khác trong một Forest. Role Schema master rất ít khi thay đổi, thay đổi khi setup các ứng dụng cần mở rộng thuộc tính của AD như Mail exchange, OCS v.v…
Roles Schema Master có được khi Promo AD và duy nhất trong Forest, hỗ trợ mở rộng hệ thống với các sản phẩm khác (Mail Server, Share Point …)

5/ Roles domain master:

Roles Domain Master cũng là Role duy nhất có trong một Forest. Làm nhiệm vụ như Add Child Domain (ACD) hoặc Tree vào Root Domain…

Trong hệ thống có Domain hiện tại Adatum.com, có nhu cầu tạo thêm một Child Domain hcm.adatum.com thì Roles Domain Master sẽ đứng ra thực hiện công việc này. Nếu Roles Domain Master chết đi hoặc bị mất thao tác này sẽ không thể thực hiện được.

Chú ý: Việc nắm được Domain Controller nào đang giữa các Roles này rất quan trọng vì trong trường hợp hệ thống có nhu cầu tạo thêm 1 Additional Domain Controller cùng với 1 Primary Domain Controller sẵn có; khi có nhu cầu chuyển đổi 05 Master Roles từ PDC (Windows Server 2016) đến ADC (Windows Server 2019). Hoặc nâng cấp thay đổi thiết bị phần cứng.