Active Directory và FSMO roles

Trong phần trước, chúng ta đã tìm hiểu về Active Directory với một rừng cây miền, trong đó tên của mỗi miền cũng là vị trí của chúng trong rừng. Sử dụng cấu trúc cây phân cấp tự nhiên của Active Directory, bạn có thể dễ dàng đoán rằng các miền gần đầu là miền quan trọng nhất (đôi khi có bộ điều khiển miền trong các miền đó). Trong bài viết này, chúng tôi sẽ thảo luận về các quy tắc mà mỗi bộ điều khiển miền phải tuân theo trong một khu rừng Active Directory.

Giống như Active Directory, các miền Windows NT hỗ trợ việc sử dụng nhiều bộ điều khiển miền. Bộ điều khiển miền chịu trách nhiệm xác thực thông tin đăng nhập của người dùng. Vì vậy, nếu bộ điều khiển miền gặp sự cố, không ai có thể đăng nhập vào mạng. Microsoft đã sớm nhận ra điều này, vì vậy họ đã thiết kế các cửa sổ để cho phép nhiều bộ điều khiển miền được sử dụng cùng một lúc. Nếu một bộ điều khiển miền không thành công, bộ điều khiển miền khác có thể thay thế nó, cho phép xác thực đăng nhập mạng không bị gián đoạn. Có nhiều bộ điều khiển miền cũng cho phép nhiều máy tính chia sẻ tải trên các miền liên quan, tránh đặt gánh nặng lên toàn bộ một máy chủ.

Mặc dù Windows NT hỗ trợ nhiều bộ điều khiển miền trong một miền, nhưng một bộ điều khiển miền luôn được coi là quan trọng nhất. Mọi người gọi nó là bộ điều khiển miền chính hoặc pdc. Như bạn có thể nhớ lại, bộ điều khiển miền bao gồm một cơ sở dữ liệu chứa tất cả thông tin tài khoản người dùng trong miền (và tất nhiên là nhiều thông tin khác). Cơ sở dữ liệu này được gọi là Trình quản lý tài khoản bảo mật hoặc sam.

Trong Windows NT, pdc lưu trữ bản sao chính của cơ sở dữ liệu. Bộ điều khiển miền khác trong miền Windows NT được gọi là bộ điều khiển miền dự phòng hoặc bdc. Mỗi khi thay đổi được thực hiện đối với cơ sở dữ liệu của bộ điều khiển miền, thay đổi này được ghi vào pdc. Sau đó pdc sẽ sao chép các thay đổi sang tất cả các bdc khác trong miền. Theo nghĩa thông thường, pdc chỉ là bộ điều khiển miền trong miền windows nt, là miền có thể được cập nhật. Nếu pdc bị lỗi, có một cách để điều khiển từ xa bdc tới pdc, cho phép bộ điều khiển miền hoạt động bình thường trong miền, nhưng chỉ như một pdc.

Các miền Active Directory hơi khác một chút. Active Directory sử dụng mô hình sao chép nhiều chủ, tức là mọi bộ điều khiển miền trong miền đều có thể ghi được. Không có khái niệm về pdc hay bdc ở đây. Nếu quản trị viên cần thực hiện các thay đổi đối với cơ sở dữ liệu thư mục hoạt động, các thay đổi sẽ được áp dụng cho bất kỳ bộ điều khiển miền nào trong miền và sau đó được sao chép sang các bộ điều khiển miền còn lại.

Mô hình sao chép nhiều chủ được coi là một ý tưởng hay. Nó mở ra những cánh cửa mới cho những thay đổi trái ngược nhau. Ví dụ: điều gì sẽ xảy ra nếu hai quản trị viên khác nhau đồng thời áp dụng các thay đổi xung đột cho hai bộ điều khiển miền trải rộng trên hai vị trí?

Nói chung, Active Directory ưu tiên những thay đổi mới nhất. Nhưng trong một số trường hợp, cách tiếp cận này không giải quyết được các xung đột nghiêm trọng. Do đó, Microsoft khuyên bạn nên ngăn chặn xung đột khi chúng mới bắt đầu hoặc khi chúng không tồn tại, thay vì giải quyết chúng sau khi chúng xảy ra.

Trong những trường hợp này, windows cung cấp giải pháp để chúng tôi chỉ định nhiều bộ điều khiển miền để thực hiện các vai trò hoạt động đơn chính (fsmo) linh hoạt. Về cơ bản, sử dụng fsmo có nghĩa là miền Active Directory hỗ trợ đầy đủ mô hình sao chép nhiều chủ, ngoại trừ một số trường hợp đặc biệt khi miền được khôi phục sử dụng mô hình một chủ. Ba vai trò fsmo khác nhau được chỉ định ở cấp miền và hai vai trò bổ sung được chỉ định ở cấp rừng.

Active Directory và FSMO roles Có 5 FSMO role khác nhau, mỗi role làm một chức năng, nhiệm vụ khác nhau để Active Directory có thể hoạt động được.

a) trình giả lập pdc:

  • Đây là vai trò được sử dụng nhiều nhất và giàu tính năng nhất của bất kỳ fsmo nào. Bộ điều khiển miền nào giữ vai trò này là quan trọng trong môi trường chế độ hỗn hợp (có nghĩa là có một winnt bdc). Nhưng ngay cả khi mạng của bạn là windows 2000 hay windows 2003 thuần túy thì vẫn còn rất nhiều việc phải làm trong vai trò này.
  • Ví dụ: Trình giả lập pdc hoạt động như máy chủ thời gian gốc để đồng bộ hóa đồng hồ của tất cả các máy trạm trong rừng. Rất quan trọng, khi máy trạm của bạn hết thời gian chờ quá nhiều, xác thực kerberos sẽ không thành công và người dùng sẽ không thể đăng nhập vào miền.

    • Chức năng thứ hai của nó là buộc thay đổi GPO (Đối tượng Chính sách Nhóm).
    • ví dụ: khi bạn lần đầu tiên tạo một gpo mới, gpo này sẽ nằm trong thư mục sysvol, việc sao chép sang các miền khác được thực hiện bởi trình giả lập pdc.

      • Tính năng thứ ba là vai trò này sẽ đảm nhận nhiệm vụ xác định các thay đổi mật khẩu của người dùng, khóa tài khoản và sao chép chúng sang các miền khác.
      • Mỗi miền trong rừng có ít nhất 1 trình giả lập pdc. Vì vậy, nếu bạn có 4 tên miền trong rừng thì bạn sẽ có 4 trình giả lập pdc.

        b) Thoát khỏi trang cái:

        • Mỗi miền trong rừng phải có một bộ điều khiển miền trong vai trò này. Vai trò này chịu trách nhiệm cung cấp một loạt các rids (id tương đối), tạm dịch là các mã định danh.

        • rids được sử dụng khi tạo một đối tượng (người dùng hoặc máy tính) vì nó tạo một id bảo mật (sid) là sự kết hợp của sid và rid trong phạm vi đó. Vì vậy, khi bạn chết nhân vật trốn thoát này, tại một thời điểm nào đó, chuỗi sự kiện trốn thoát kết thúc và bạn sẽ không bao giờ có thể tạo người dùng mới hoặc máy tính mới trong quảng cáo.

          Đây là lý do tại sao vai trò của người dẫn đường tồn tại, nó theo dõi và cung cấp các trình tự câu đố mới khi các trình tự cũ gần như cạn kiệt.

          c) Máy chủ cơ sở hạ tầng:

          • Mục đích của vai trò này là đảm bảo rằng các miền chéo (miền quan hệ như child-child, child-parent hoặc tree-tree) được quản lý và tham chiếu đúng cách.
          • Ví dụ: Cơ sở hạ tầng này thực hiện tác vụ này khi bạn thêm người dùng từ một miền vào nhóm bảo mật trong miền khác. Đảm bảo rằng bạn chỉ có đúng người dùng và đúng nhóm.

            Vai trò

            • này vô dụng khi bạn chỉ có một miền. Nó chỉ hoạt động khi có nhiều tên miền và hiếm khi được sử dụng do mức độ phân quyền của các quản trị viên.
            • d) Thạc sĩ kiến ​​trúc:

              • Không giống như 3 vai trò ở trên, vai trò này chỉ khả dụng trong khu rừng, tức là khu rừng được tạo trong quảng cáo khuyến mại đầu tiên. Đó là, đây là vai trò duy nhất trong rừng sao chép cấu trúc của quảng cáo lược đồ sang các miền khác trong rừng.

              • Vai trò này hiếm khi thay đổi, thay đổi khi thiết lập các ứng dụng yêu cầu các thuộc tính quảng cáo mở rộng (ví dụ: trao đổi thư, ocs, v.v.).

                e) Công ty quản lý miền:

                • Đây cũng là nhân vật duy nhất có trong khu rừng. Thực hiện các tác vụ như thêm miền phụ hoặc cây vào miền gốc …
                • Ví dụ: Bạn có miền abc.com và bạn muốn thêm miền phụ có tên là hanoi.abc.com, nếu vai trò này không thành công thì không có cách nào khác.

                  Việc nắm được Domain Controller nào đang nắm giữ FSMO roles là rất quan trọng, ví dụ trong trường hợp người quản trị muốn tạo thêm 1 Additional Domain Controller cùng với 1 Primary Domain Controller sẵn có; hay khi muốn nâng cấp Primary Domain Controller từ Windows Server 2008 lên 2012… Ở bài viết này, chúng ta sẽ thực hiện việc tạo thêm 1 Additional Domain Controller, sau đó thực hiện transfer FSMO roles từ Primary Domain Controller sang Additional Domain Controller. Hiện tại, mình đã có sẵn một server chạy Windows Server 2012 đã promote lên làm Primary Domain Controller (PDC). IP: 192.168.2.2 Domain: infra.com DC name: AD.infra.com Trên PDC, chạy câu lệnh netdom query fsmo, ta có thể thấy PDC này đang nắm giữ đủ 5 FSMO roles. Active Directory và FSMO roles Trên Windows Server 2012 IP: 192.168.2.3, DC name: ADBACKUP.infra.com tiến hành promote lên làm Additional DC. Active Directory và FSMO roles Nhận replicate database từ PDC chính AD.infra.com Active Directory và FSMO roles Sau khi Install thành công, restart lại server. Server đã promote lên ADC thành công.Active Directory và FSMO roles Tiếp theo, chúng ta tiến hành transfer FSMO role từ server AD sang server ADBACKUP. Tại server ADBACKUP: Trên cửa sổ cmd, gõ ntdsutil: Active Directory và FSMO roles Nhập roles để chuyển sang fsmo maintenace: Active Directory và FSMO roles Nhập connections để chuyển sang server connections: Active Directory và FSMO roles Nhập connect to server ADBACKUP (server cần được transfer roles sang) Active Directory và FSMO roles Ấn q để quay lại fsmo maintenance: Active Directory và FSMO roles Nhập transfer naming master để tiến hành transfer Domain Naming Master role sang server ADBACKUP: Active Directory và FSMO roles Role thứ nhất đã được transfer, tiếp theo transfer Infrastructure Master role: Active Directory và FSMO roles Transfer PDC Emulator role: Active Directory và FSMO roles Transfer RID Master role: Active Directory và FSMO roles Transfer Schema Master role: Active Directory và FSMO roles Sau khi transfer đủ 5 roles, kiểm tra lại thông qua lệnh netdom query fsmo: Active Directory và FSMO roles Ta có thể thấy, 5 role đã được transfer sang server ADBACKUP, đồng nghĩa với việc server ADBACKUP đã lên làm Primary DC, và server AD sẽ chuyển xuống làm Backup DC. Thông qua việc này, ta có thể shutdown server AD để nâng cấp, sửa chữa… mà không ảnh hưởng đến việc xác thực của user. Trên đây là tổng quan về FSMO roles, và cách transfer FSMO roles giữa 2 DC. Ở các bài tiếp theo, chúng ta sẽ tìm hiểu một số dịch vụ khác của Windows Server.

Related Articles

Back to top button