Operation Master trên windows server 2003

I. GIỚI THIỆU :

1. Sự cần thiết của FSMO :

– Active Directory, với một rừng (forest) các cây miền (domain tree), trong đó tên của mỗi miền cũng đồng thời là vị trí của chúng trong forest. Với cấu trúc cây phân tầng tự nhiên của Active Directory, ta có thể dễ dàng đoán biết được các miền ở gần phía trên là những miền quan trọng nhất (đôi khi có các Domain Controller bên trong các miền đó).

– Cũng giống như Active Directory, Windows Server domain hỗ trợ sử dụng đa Domain Controller. Domain Controller chịu trách nhiệm thẩm định thông tin đăng nhập của người dùng. Do đó, nếu Domain Controller không hoạt động, sẽ không có bất kỳ ai được phép đăng nhập vào mạng.

– Windows cho phép sử dụng đa Domain Controller cùng một lúc. Nếu một Domain Controller bị hỏng, Domain Controller khác có thể thay thế nó, giúp hoạt động thẩm định đăng nhập mạng không bị gián đoạn.

– Mặc dù Windows Server hỗ trợ đa Domain Controller trong một miền, nhưng luôn có một Domain Controller được xem là quan trọng nhất. Người ta gọi đó là Primary Domain Controller (máy điều khiển miền chính) hay PDC.

– Domain Controller bao gồm một cơ sở dữ liệu chứa tất cả thông tin tài khoản người dùng bên trong miền. Cơ sở dữ liệu này được gọi là Security Accounts Manager, hay SAM.

– Trong Windows Server, PDC lưu trữ bản copy chính của cơ sở dữ liệu. Các Domain Controller khác trong miền Windows Server được gọi là Backup Domain Controller (Domain Controller dự trữ), hay BDC. Mỗi lần thực hiện thay đổi trên cơ sở dữ liệu của Domain Controller, thay đổi này sẽ được ghi vào PDC. Sau đó PDC sao chép thay đổi ra tất cả các BDC khác trong miền. Theo nghĩa thông thường, PDC chỉ là Domain Controller trong miền Windows Server, là miền mà các bản update có thể được sử dụng.

– Nếu PDC bị lỗi, sẽ có cách thức điều khiển từ xa một BDC tới PDC, cho phép Domain Controller hoạt động theo đúng chức năng của nó trong miền, nhưng chỉ với vai trò PDC.

– Trong các trường hợp này, Windows cung cấp cho chúng ta giải pháp chỉ định một số Domain Controller thực hiện vai trò Flexible Single Master Operation (FSMO). Về cơ bản, sử dụng FSMO có nghĩa là các miền Active Directory hỗ trợ đầy đủ mô hình sao chép đa chủ, ngoại trừ trong một số trường hợp riêng nhất định, miền được khôi phục sử dụng mô hình đơn chủ. Có ba vai trò FROM khác nhau được gán ở mức domain, và hai vai trò bổ sung gán ở mức forest.

  2. Một số khái niệm cơ bản :

– Active Directory:

  • Là Directory Service (dịch vụ chỉ mục) trong Win2K. Directory Service = Directory + Service.
  • Directory chứa những object đại diện cho các tài nguyên mạng như user/ group/computer/ domain/site…
  • Service ở đây là dịch vụ mạng dựa trên Directory này, hỗ trợ admin quản trị tập trung, user truy cập tài nguyên nhanh chóng dể dàng mà không cần quan tâm vị trí vật lý của tài nguyên đó trong mạng.

– Active Directory Schema :

  • Không chứa bản thân object mà chứa yếu tố phân loại (Object Classes) cùng thuộc tính (Attributes) của object.
  • Khi đối tượng thuộc 1 class nào đó nó sẽ được gán cho 1 tập thuộc tính được định nghĩa cho class đó.
  • Ví dụ ta có 1 user account, là 1 object thuộc lọai (Object Class) là User. Ta mở properties của object này thấy có các field First name, Midle Name, Description… đây là thuộc tính của object đó.

– AD Schema được chứa trong AD database. AD Database được chứa trong các DC.

– Domain Controller :

  • Là 1 PC WIN2K (or more) SRV có chứa 1 bản Active Directory Database có thể hiệu chình được (A writeable copy of AD database).
  • DC trong cùng Domain/ Forest sẽ quản lý những thay đổi trong bản AD Database trên nó và tự động đồng bộ hóa những thay đổi đó với các DC khác.
  • Việc đồng bộ hóa (Replication) nhằm đảm bào các thông tin trong AD là đồng nhất và sẳn sàng cho tất cả các DC cụng như client trong mạng.

– Global Catalog

  • Đúng nghĩa 1 cuốn Catalog chứa các thông tin cần thiết (1 số thuộc tính thường dùng như first/ last/ logon name) để định vị 1 đối tượng bất kỳ trong Directory.
  • Global Catalog
    cũng chỉ có một bảng chính nằm trên máy Domain controller đầu tiên trong Forest, các Domain controller khác chỉ có bảng copy.
  • Global catalog hổ trợ tìm kiếm thông tin của đối tượng trong Forest

– Global Catalog Server

  • Là DC chịu trách nhiệm thu nhận các truy vấn tài nguyên và xử lý chúng căn cứ vào Global catalog.
  • Ví dụ bạn search tìm tất cả các máy in trong tòan forest, Global Catalog Server tìm trong Global Catalog và trả về kết quả.
  • Nếu không có Global Catalog Server, truy vấn này sẽ tìm kiếm trên từng domain trong Forest làm tăng trafic mạng.
  • DC đầu tiên được tạo trong AD sẽ là Global Catalog Server. Ta có thể Active thêm vai trò này trên DC khác trong Forest để cân bằng tải cho tiến trình truy vấn tài nguyên và cả cho việc đăng nhập nữa.

– Operations Master :

  • Đối với 1 họat động (Operation) nào đó, không thể có nhiều người cùng ra quyết định. mà không gây xào xáo mâu thuẩn. Phải có 1 Master thống nhất ra quyết định.
  • Ví dụ như cùng 1 thời điểm DC này xóa 1 Domain Object rồi Replicate. DC khác lại move chính Domain Object đó vào Location khác và Replicate. Lúc này Domain naming Master sẽ giải quyết.

 3. Nơi lưu các FSMO role :

– Domain Controller đầu tiên trong forest sẽ sở hữu 5 role. Khi các domain bổ sung được tạo, Domain Controller đầu tiên sẽ mang trực tuyến đến cho từng miền sở hữu 3 role FSMO mức domain.

 4. Khái niệm về FSMO Role : 

– Có 5 FSMO role khác nhau. Hai role tồn tại tại mức forest và 3 tồn tại ở mức domain.

– Các role mức forest gồm có Schema Master và Domain Naming master, trong khi đó các role FSMO mức miền lại gồm Relative Identifier Master, Primary Domain Controller (PDC) Emulator và Infrastructure Master.

– Các role mức miền bao gồm: Relative identifier, Primary Domain Controller Emulator và Infrastructure Master. Các role mức rừng gồm Schema Master và Domain Naming master. Dưới đây là bản mô tả tóm tắt chức năng của các role này:

 4A. Schema Master – Quản lý bản sao của cơ sở dữ liệu Active Directory :

– Quản lý các khuôn mẫu để tạo ra đối tượng trên Forest. Schema quản lý các đối tượng và các thuộc tính của đối tượng. Có nghĩa là khi tạo ra đối tượng (User, group, computer….) trong forest phải dựa vào các khuôn mẫu của Schema Master.
– Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy Microsoft để ẩn nó không cho nhìn thấy. Nếu cần phải tìm máy chủ nào đang cấu hình Schema Master role thì bạn phải đưa đĩa CD cài Windows Server 2003 và kích đúp vào file ADMINPAK.MSI trong thư mục I386. Hoặc gõ lệnh regsvr32 schmmgmt.dll, sau đó gõ tiếp schmmgmt.msc

– Vào Active Directory Schema và chọn Operations Master từ menu chuột phải. Một hộp thoại sẽ xuất hiện, hộp thoại này thông báo cho biết máy chủ nào đang cấu hình với tư cách là Schema Master của forest.

 4B. Domain Naming MasterQuản lý danh sách các domain :

– Quản lý việc thêm hay bớt Domain trong forest. Có nghĩa là lên một Domain hay hạ Domain phải đăng ký với Domain naming master.

– Domain naming master quản lý tất cả các domain trong forest.

– Schema master và Domain naming master chỉ có một bảng duy nhất trong forest (Forest wide), mặc định nằm trên Domain đầu tiên trong Forest.

– Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một forest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích chuột phải vào Active Directory Domains and Trusts và chọn Operations Masters. Sau khi chọn xong, Windows sẽ hiển thị Domain Naming master.

4C. Relative Identifier Master :

– Khi một đối tượng được tạo ra nó sẽ có một SID riêng. SID của đối tượng sẽ bằng SID của domain cộng cho RID. Điều này nhằm mục đích phân biệt User này với User khác trong Domain, và User của Domain này với User của Domain khác trong Forest. RID quản lý việc cấp phát RID cho đối tượng và quản lý SID của đối tượng trong domain.
– Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một miền, hãy mở Active Directory Users and Computers. Khi cửa số này được mở, kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuộc tính của Operations Masters.

4D. Primary Domain Controller Emulator :

– Quản lý việc đồng bộ Password của User đến các Domain khác. Khi user thay đổi Password trên máy client thì PDC chịu trách nhiệm động bộ password này đến domain khác. Khi user trên domain A, logon vào domain B, thì domain B sẽ liên lạc với PDC của domain A để kiểm tra tính hợp lệ của user name và password của domain này.

– Nếu cần chỉ định máy chủ nào trong miền đang cấu hình role của PDC Emulator dù cho ta có thể thực hiện điều đó bằng cách mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào miền hiện hành và chọn Operations Masters.

3E. Infrastructure Master :

– Quản lý việc di chuyển User từ Domain này sang Domain khác.

– Infrastructure master quản lý các SID của đối tượng chuyển đến hay chuyển đi để biết được đối tượng này từ đâu đến hay di chuyển đi
– Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên miền. Ví dụ, nếu bạn đã đặt lại tên cho một tài khoản người dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền khác trong forest.

– Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho một miền, mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters

5. Chú ý :

– Trong mỗi Forest chỉ có 1 Schema Master và 1 Domain naming Master.

– Mỗi domain có riêng và chỉ 1PDC Emulator, 1 RID Master, 1 Infastructure Master.

– Mặc định, Domain Controler đầu tiên của 1 Forest mới đãm nhận cả 5 vai trò và cũng là 1 global catalog server.

– Mặc định, Domain Controler đầu tiên của 1 Domain đãm nhận cả đồng thời 3 vai trò PDC Emulator, 1 RID Master, 1 Infastructure Master.

II. TRANFER MASTER ROLES – REMOVE DC :

1. Tình huống :

– Giả sử ta có 2 DC ở 2 nơi khác nhau, site1 ở Hà Nội có DC1, và site2 ở HCM có DC2.

– Hiện tại, 2 DC này có chức năng tương tự nhau, đồng thời chúng replicate hằng ngày.

– Để chuyển 5 roles từ DC chính sang DC phụ để biến DC phụ thành con chính. Đơn giản chúng ta chỉ cần mở :

  • Active directory users and computer, chuột phải vào tên miền và chọn Connect to Domain controller, chọn tên DC phụ cần chuyển và ok.
  • Sau đó chúng ta click phải vào tên miền và chọn Operations Masters , chọn change, chọn tên Domain cần chuyển là xong. Trong mục này ta sẽ thấy 3 roles của cấp độ miền.
  • Sau khi chuyển xong, chúng ta vào Active Directory Domain and Trusts, làm tương tự các bước ở trên, chúng ta sẽ chuyển được roles DOMAIN NAMING MASTER.
  • Tiếp đến chúng ta vào RUN, gõ regsvr32 schmmgmt.dll, sau dó vào mmc, add được Active directory schema, sau đó cúng làm các bước như trên , ta sẽ chuyển được role SCHEMA MASTER.

– Qua đây chúng ta đã mường tượng được 1 chút về việc biến DC phụ thành chính khi muốn nâng cấp DC. Nhưng thực tế, còn có trường hợp con DC chính đột tử, lúc ấy chúng ta sẽ chỉ còn DC phụ, thế làm thế nào để đưa nó lên thành DC chính, trong trường hợp này chúng ta sẽ phải dùng command line. Sử dụng lệnh ntdsutil để giải quyết.

2. Các bước thực hiện :

– Minh họa như sau : Giả sử, hiện nay DC2.info.com đã chết, việc cần làm là chuyển 5 roles của DC2.info.com về cho DC1.info.com. Sau khi chuyển xong, ta remove DC2.info.com

2A. Lấy lại các role từ DC2 cho DC1 :

– Mở command line và thực hiện như sau :

C:\>ntdsutil

ntdsutil: roles

fsmo maintenance: connections

server connections: connect to server dc1.info.com

Binding to william …

Connected to dc1.info.com using credentials of locally logged on user.

server connections: quit

fsmo maintenance: seize infrastructure master

fsmo maintenance: seize PDC

fsmo maintenance: seize RID master

fsmo maintenance: seize schema master

fsmo maintenance: seize
domain naming master

 

2B. Remove DC1 :

– Các bước tiến hành như sau. Mở command line và thực hiện lệnh :

NTDSUTIL

metadata cleanup

Connections

Connect to server <servername>

Quit

Select operation target

List domains

Select domain <number>

List sites

Select site <number>

List servers in site

Select server <number>

Quit

Remove selected server

Quit


About Terri

System Administrator @Netpower Datacenter

Posted on 10.11.2010, in Technical Articles, Windows and tagged , , , . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: