Master Roles Windows Server 2019

Trên thiết bị máy chủ DC triển khai dịch vụ Active Directory đầu tiên trong hệ thống mạng đóng vai trò là Primary Domain Controller lưu trữ bản cơ sở dữ liệu. Bao gồm các Master Roles. Các Domain Controller khác sau khi triển khai hoạt động song song với PDC được gọi là Additional Domain Controller (ADC).

Mỗi lần có sự thay đổi trên cơ sở dữ liệu trong Domain Controller như chỉnh sửa, tạo mới các đối tượng, cập nhật thuộc tính..v.v. thì các thay đổi này sẽ được ghi vào PDC. Sau đó cơ sở dữ liệu được sao chép từ PDC đến các ADC khác trong cùng một hệ thống miền.

Mặc định khi vừa triển khai dịch vụ Active Directory trong hệ thống thì Server PDC nắm giữ 05 Master Roles. 

05 FSMO role trong Active Directory bao gồm:

• RID Master
• PDC Emulator Master
• Infrastructure Master
• Domain Naming Master
• Schema Master

Các Master Roles trong Domain Controller

1/ Roles PDC Emulator

Đây là role quan trọng được sử dụng nhiều nhất và tính năng hoạt động trong phạm vi rộng tất cả FSMO. Thiết bị máy chủ Domain Controller nào giữ role này thì cực kỳ quan trọng.

Cho dù hệ thống đang sử dụng Windows Server 2000 hoặc Windows Server 2003 thì Roles này vẫn rất quan trọng. Mà cho dù hệ thống mạng của bạn có thuần Windows 2000 hoặc Windows 2003 đi nữa thì role này vẫn có rất nhiều việc để làm.

EX: PDC Emulator thực hiện làm nhiệm vụ máy chủ thời gian gốc (Root Time Server) để đồng bộ thời gian của tất cả máy trạm trong một Forest.

Khi máy Client của bạn bị lệch thời gian khá nhiều, thì việc xác thực kerberos sẽ bị thất bại và tài khoản User sẽ không thể Sign in  vào được Domain.

Roles PDC Emulator còn đóng vai trò thực thi những thay đổi trong GPO (Group policy object).
EX: Khi bạn tạo mới GPO đầu tiên thì GPO này sẽ nằm trong folder SYSVOL và việc replicate các GPO đến các máy chủ Domain Controller khác là do PDC Emulator đảm nhiệm.

Role PDC Emulator sẽ đảm nhận nhiệm vụ nhận biết sự thay đổi Password, Account Lockout của User và replicate nó đến máy chủ Domain Controller khác.
Mỗi Domain trong một Forest sẽ có tối thiểu 1 PDC emulator. Như vậy nếu bạn có 4 Domain trong một Forest, thì sẽ có 4 PDC Emulator.

 

2/ Roles RID Master

Mỗi Domain trong một Forest sẽ có 1 Domain Controller giữ role này. Role RID Master này làm nhiệm vụ cung cấp một dãy RIDs (relative IDs) là mã số định danh.
RIDs được sử dụng khi bạn tạo một đối tượng (User hoặc Computer) bởi vì khi đó nó sẽ tạo một security ID (SID) được kết hợp giữa SID và RID trong dãy này.
Nếu Role RID bị mất hoặc bị chết thì đến một thời điểm nào đó dãy số RID đã hết thì hệ thống sẽ không bao giờ tạo thêm được User mới hoặc Computer mới trong AD. Đây là lý do tồn tại RID master role, nó giám sát và cung cấp dãy RID mới khi dãy RID cũ được cấp gần hết.

 

3/ Roles Infrastructure Master:

Mục đích của role Infrastructure Master này là đảm bảo được việc Cross-domain (Mối quan hệ gữa các domain như Child domain – Child domain, child domain -Parent domain hoặc các tree-tree). Khi Add một user từ một Domain vào một Security Group trong một domain khác thì Infrastructure này làm nhiệm vụ này. Đảm bảo là chỉ đúng user đó và đúng group đó.

Phân quyền User ở Domain A (Parent domain) có quyền hạn trên tài nguyên ở Domain B (Child domain).Roles Infrastructure Master sẽ đứng ra thực hiện. Role Infrastructure Master không làm việc khi hệ thống chỉ có duy nhất một domain. Chỉ hoạt động khi hệ thống có nhiều domain.

 

4/ Roles Schema master:

Roles Schema Master khác với 3 role trên, roles Schema Master này chỉ có duy nhất trong một forest, tức là trong lần Promo AD đầu tiên tạo Forest. Đây là role duy nhất trong forest, làm nhiệm vụ replicate cấu trúc của schema AD đến các domain khác trong một Forest. Role Schema master rất ít khi thay đổi, thay đổi khi setup các ứng dụng cần mở rộng thuộc tính của AD như Mail exchange, OCS v.v…
Roles Schema Master có được khi Promo AD và duy nhất trong Forest, hỗ trợ mở rộng hệ thống với các sản phẩm khác (Mail Server, Share Point …)

5/ Roles domain master:

Roles Domain Master cũng là Role duy nhất có trong một Forest. Làm nhiệm vụ như Add Child Domain (ACD) hoặc Tree vào Root Domain…

Trong hệ thống có Domain hiện tại Adatum.com, có nhu cầu tạo thêm một Child Domain hcm.adatum.com thì Roles Domain Master sẽ đứng ra thực hiện công việc này. Nếu Roles Domain Master chết đi hoặc bị mất thao tác này sẽ không thể thực hiện được.

Chú ý: Việc nắm được Domain Controller nào đang giữa các Roles này rất quan trọng vì trong trường hợp hệ thống có nhu cầu tạo thêm 1 Additional Domain Controller cùng với 1 Primary Domain Controller sẵn có; khi có nhu cầu chuyển đổi 05 Master Roles từ PDC (Windows Server 2016) đến ADC  (Windows Server 2019). Hoặc nâng cấp thay đổi thiết bị phần cứng. 

 

Chuyển đổi Master Roles (FSMO) từ Windows Server 2016 đến Windows Server 2019

Có 2 kỹ thuật cũng như giao diện thực hiện để chuyển đổi 05 Master Roles (FSMO): Sử dụng GUI trên Windows Server hoặc giao diện lệnh thông qua công cụ Ntdsutil 

Sử dụng GUI trên Windows Server

1- Kiểm tra 5 Master Roles trên DC.

 Vào CMD gõ lệnh: netdom query FSMO. Kết quả PDC đang nắm 5 Master Roles

 

2- Thực hiện việc di chuyển Roles RID Master, PDC Emulator, Infrastructure Master.

Đảm bảo Server ADC là đóng vai trò là Domain Controller trong hệ thống.

 

Có thể thực hiện trên PDC hoặc ADC.

Tại PDC vào Server Manager > Tools > Chọn Active Directory Users and Computer 

Tại giao diện AD User and Computer. R_Click vào Domain: Adatum.com. Chọn Change Domain Controller…

 

Tiếp theo Chọn This Domain Controller or AD LDS instance như hình bên dưới. Sau đó chọn OK.

 

Tại giao diện AD User and Computer. R_Click vào Domain: Adatum.com. Chọn Operatuons Master…

 

Lần lượt chuyển đổi 03 Roles gồm: RID Master, PDC Emulator, Infrastructure Master. Từ PDC đến ADC. 

Roles: RID Master

Chọn Change để thực hiện. Sau đó chọn Yes xác nhận 

 

Roles: PDC Emulator

Chọn Change để thực hiện. Sau đó chọn Yes xác nhận 

 

Roles: Infrastructure Master

Chọn Change để thực hiện. Sau đó chọn Yes xác nhận 

 

Kiểm tra kết quả:

 

3- Thực hiện việc di chuyển Roles Domain Naming Master

Tại PDC vào Server Manager > Tools > Chọn Active Directory Domain and Trusts
R_Click vào biểu tượng Active Directory Domain and Trusts. Chọn Operations Master…

Chọn Change để thực hiện. Sau đó chọn Yes xác nhận. 

 

Kiểm tra kết quả:

 

4- Thực hiện việc di chuyển Roles Schema Master

Để thực hiện việc chuyển đổi Roles Schema Master bằng giao diện đồ hoạ (GUI) cần phải thực hiện việc đăng ký file Schmmgmt.dll vào thư viện

Vào CMD (Administrator) nhập lệnh: regsvr32 schmmgmt.dll Chọn OK xác nhận

 

Vào Run nhập MMC để truy cập vào giao diện Microsoft Management Console trên Windows Server

Tại cửa sổ Console1 vào File. Chọn Add/Remove Snap-in 

Chọn Snap-in Active Directory Schema. Sau đó chọn Add. Và nhấn OK thoát ra.

 

R_Click vào Active Directory Schema chọn Change Active Directory Domain Controller…

 

Tiếp theo Chọn This Domain Controller or AD LDS instance như hình bên dưới. Sau đó chọn OK.

 

Tại giao diện Console1, R_Click vào biểu tượng Active Directory Schema. Chọn Operations Master…

Chọn Change để thực hiện. Sau đó chọn Yes xác nhận. 

 

Kiểm tra kế quả:

Đảm bảo 05 Master Roles được chuyển thành công từ PDC sang ADC.