Ý Nghĩa 05 Master Roles Trong FSMO

Active Directory FSMO là gì ?

Windows cung cấp cho chúng ta chỉ định một số Domain Controller thực hiện vai trò Flexible Single Master Operation (FSMO). Về cơ bản, sử dụng FSMO có nghĩa là các miền Active Directory hỗ trợ đầy đủ mô hình đồng bộ trên nhiều máy chủ khác nhau, ngoại trừ trong một số trường hợp riêng nhất định.

Active Directory FSMO

Có ba vai trò FSMO khác nhau được gán ở mức domain và hai vai trò bổ sung gán ở mức forest. FSMO còn giúp hệ thống ngăn ngừa xung đột trong môi trường Active Directory (AD)

Ý nghĩa của 05 Master Roles

1/ Roles PDC Emulator

Đây là role quan trọng được sử dụng nhiều nhất và tính năng hoạt động trong phạm vi rộng tất cả FSMO. Thiết bị máy chủ Domain Controller nào giữ role này thì cực kỳ quan trọng.

Cho dù hệ thống đang sử dụng Windows Server 2000 hoặc Windows Server 2003 thì Roles này vẫn rất quan trọng. Mà cho dù hệ thống mạng của bạn có thuần Windows 2000 hoặc Windows 2003 đi nữa thì role này vẫn có rất nhiều việc để làm.

VD: PDC Emulator thực hiện làm nhiệm vụ máy chủ thời gian gốc (Root time server) để đồng bộ thời gian của tất cả máy trạm trong một forest (rừng).

Rất quan trọng, khi máy trạm của bạn bị lệch thời gian khá nhiều, thì việc xác thực kerberos sẽ bị thất bại và user sẽ không Logon vào được domain.

  • Tính năng thứ 2 của Roles PDC Emulator là thực thi các thay đổi của GPO (Group policy object).

VD: Khi bạn tạo một new GPO đầu tiên thì GPO này sẽ nằm trong folder SYSVOL và việc replicate các GPO đến các máy chủ Domain Controller khác là do PDC Emulator thực hiện.

  • Tính năng thứ 3 nữa là role này sẽ đảm nhận nhiệm vụ nhận biết sự thay đổi Password, account lockout của user và replicate nó đến máy chủ Domain Controller khác.

Mỗi domain trong một forest sẽ có tối thiểu 1 PDC emulator. Như vậy nếu bạn có 4 domain trong một forest, thì bạn sẽ có 4 PDC emulator.

2/ Roles RID Master

  • Mỗi domain trong một forest sẽ có 1 Domain Controller giữ role này. Role này làm nhiệm vụ cung cấp một dãy RIDs (relative IDs) là mã số định danh.
  • RIDs được sử dụng khi bạn tạo một đối tượng (User hoặc Computer) bởi vì khi đó nó sẽ tạo một security ID (SID) được kết hợp giữa SID và RID trong dãy này.

Vì thế khi role RID bị mất hoặc bị chết thì đến một thời điểm nào đó dãy số RID đã hết thì hệ thống sẽ không bao giờ tạo thêm được User mới hoặc Computer mới trong AD.

Đây là lý do tồn tại RID master role, nó giám sát và cung cấp dãy RID mới khi dãy RID cũ được cấp gần hết.

3/ Roles Infrastructure Master:

  • Mục đích của role Infrastructure Master này là đảm bảo được việc Cross-domain (Mối quan hệ gữa các domain như Child domain – Child domain, child domain -Parent domain hoặc các tree-tree)
  • Khi Add một user từ một Domain vào một Security Group trong một domain khác thì Infrastructure này làm nhiệm vụ này. Đảm bảo là chỉ đúng user đó và đúng group đó.
  • Phân quyền User ở Domain A (Parent domain) có quyền hạn trên tài nguyên ở Domain B (Child domain).Roles Infrastructure Master sẽ đứng ra thực hiện.

Role Infrastructure Master không làm việc khi hệ thống chỉ có duy nhất một domain. Chỉ hoạt động khi hệ thống có nhiều domain.

4/ Roles Schema master:

  • Roles Schema Master khác với 3 role trên, roles Schema Master này chỉ có duy nhất trong một forest, tức là trong lần Promo AD đầu tiên tạo Forest. Đây là role duy nhất trong forest, làm nhiệm vụ replicate cấu trúc của schema AD đến các domain khác trong một Forest.
  • Role này ít khi thay đổi, thay đổi khi setup các ứng dụng cần mở rộng thuộc tính của AD như Mail exchange, OCS v.v…

Roles Schema Master có được khi Promo AD và duy nhất trong Forest, hỗ trợ mở rộng hệ thống với các sản phẩm khác (Mail Server, Share Point …)

5/ Roles domain master:

 

Roles domain master cũng là role duy nhất có trong một forest. Làm nhiệm vụ như Add Child Domain (ACD) hoặc tree vào root domain…

Trong hệ thống có Domain hiện tại FS.COM, có nhu cầu tạo thêm một Child Domain abc.fs.com thì Roles domain master sẽ đứng ra thực hiện công việc này. Nếu Roles Domain Master chết đi hoặc bị mất thao tác này sẽ không thể thực hiện được.

Chú ý: Việc nắm được Domain Controller nào đang giữa các Roles này rất quan trọng vì trong trường hợp hệ thống có nhu cầu tạo thêm 1 Additional Domain Controller cùng với 1 Primary Domain Controller sẵn có; hay khi muốn nâng cấp Primary Domain Controller từ Windows Server 2008 lên 2012…

Hoặc nâng cấp Windows Server 2012R2 lên Windows Server 2016. Nhu cầu chuyển đổi thiết bị hệ thống đã cũ sang thiết bị vật lý mới.

Cần phải thực hiện thao tác chuyển các Master Roles này nhằm đảm bảo hệ thống hoạt động ổn định không để bị mất hoặc chết 1 trong 5 Roles này. 

Cách tố ưu Master Roles trong hệ thống AD

1/ Trong một Forest,  giữ Roles Schema master và Roles domain master chung trên một Domain Controller để dễ quản trị và theo dõi. Giữ Roles Schema Master và Roles Domain Master chung với Global Catalog

2/ Trong mỗi Domain, đặt Roles PDC emulator và Roles RID master chung một Domain Controller. Máy chủ chứa Roles PDC emulator và Roles RID master có cấu hình tương đối mạnh.

3/ Trong mỗi Domain, không nên để Roles Infrastructure chung với lại Global catalog nhưng bắt buộc phải chung site với lại Global catalog, tối ưu việc replicate.

Nếu trong hệ thống chỉ có duy nhất một Domain thì có thđặt chung Roles Infrastructure với Global Catalog

 

Xem thêm: >> Hướng dẫn chuyển Master Roles

T.H

Hãy cho bài viết 1 Like nhé !
Love
Haha
Wow
Sad
Angry
You have reacted on "Ý Nghĩa 05 Master Roles Trong FSMO" A few seconds ago