Fsmo là gì |Tất tần tật về fsmo

Fsmo là gì |Tất tần tật về fsmo

fsmo là gì đang được nhiều người tìm kiếm. 123 DocX.123 DocX gửi tới các bạn bài viết Fsmo là gì |Tất tần tật về fsmo . Cùng123 DocX tìm hiểu ngay thôi

Đăng vào ngày 24 tháng 7 năm 2017 9:10 SA 12 phút đọc 5,3K CZK00

Vai trò Active Directory và FSMO

1) Tầm quan trọng của vai trò của FSMO:

Trong phần trước, chúng ta đã tìm hiểu về Active Directory với một rừng cây miền, trong đó tên của mỗi miền cũng chính là vị trí của chúng trong rừng. Với cấu trúc cây phân cấp tự nhiên của Active Directory, bạn có thể dễ dàng đoán được miền nào ở trên cùng là quan trọng nhất (đôi khi với bộ điều khiển miền trong các miền đó). Trong bài viết này, chúng tôi sẽ thảo luận về các quy tắc mà các bộ điều khiển miền riêng lẻ trong khu rừng Active Directory phải tuân theo.

Giống như Active Directory, các miền Windows NT hỗ trợ việc sử dụng nhiều bộ điều khiển miền. Bộ điều khiển miền chịu trách nhiệm xác minh thông tin đăng nhập của người dùng. Do đó, nếu bộ điều khiển miền không hoạt động, sẽ không ai có thể đăng nhập vào mạng. Microsoft đã sớm nhận ra điều này, vì vậy họ đã phát triển Windows để cho phép nhiều bộ điều khiển miền được sử dụng cùng một lúc. Nếu một bộ điều khiển miền không thành công, bộ điều khiển miền khác có thể thay thế nó, cung cấp xác thực liên tục khi đăng nhập vào mạng. Có nhiều bộ điều khiển miền cũng cho phép miền tải được chia sẻ trên nhiều máy tính, tránh tải trên toàn bộ một máy chủ.

Mặc dù Windows NT hỗ trợ nhiều bộ điều khiển miền trong một miền, nhưng luôn có một bộ điều khiển miền được coi là quan trọng nhất. Nó thường được gọi là Bộ điều khiển miền chính hoặc PDC. Hãy nhớ rằng bộ điều khiển miền được tạo thành từ một cơ sở dữ liệu lưu trữ tất cả thông tin về tài khoản người dùng trong miền (tất nhiên và nhiều hơn nữa). Cơ sở dữ liệu này được gọi là Trình quản lý tài khoản bảo mật hoặc SAM.

Trên Windows NT, PDC lưu trữ một bản sao chính của cơ sở dữ liệu. Các bộ điều khiển miền khác trong miền Windows NT được gọi là bộ điều khiển miền dự phòng hoặc BDC. Mỗi lần thay đổi được thực hiện đối với cơ sở dữ liệu của bộ điều khiển miền, những thay đổi đó được ghi vào bộ điều khiển miền chính. Sau đó PDC sao chép các thay đổi sang tất cả các BDC khác trong miền. Theo nghĩa thông thường, PDC chỉ đơn giản là một bộ điều khiển miền trong miền Windows NT nơi có thể sử dụng các bản cập nhật. Trong trường hợp PDC bị lỗi, có một cách để điều khiển từ xa BDC trên PDC, cho phép bộ điều khiển miền hoạt động bình thường trong miền, nhưng chỉ với tư cách là một PDC.

Các miền Active Directory hơi khác một chút. Active Directory sử dụng mô hình sao chép nhiều chủ, có nghĩa là mọi bộ điều khiển miền trong miền đều có thể ghi được. Không có khái niệm PDC hoặc BDC ở đây. Nếu quản trị viên cần thực hiện thay đổi đối với cơ sở dữ liệu Active Directory, thì thay đổi này sẽ được áp dụng cho tất cả các bộ điều khiển miền trong miền và sau đó được sao chép cho phần còn lại của bộ điều khiển miền.

Một mô hình nhân rộng nhiều chủ được coi là một ý tưởng hay. Nó mở ra những cánh cửa mới cho sự thay đổi xung đột. Ví dụ: điều gì sẽ xảy ra nếu hai quản trị viên khác nhau xung đột trong khi áp dụng các thay đổi cho hai bộ điều khiển miền phân tán ở hai vị trí cùng một lúc?

Thông thường, Active Directory ưu tiên các thay đổi gần đây. Nhưng trong một số trường hợp, phương pháp này không thể giải quyết các xung đột nghiêm trọng. Do đó, Microsoft tin rằng tốt hơn hết là ngăn chặn xung đột khi chúng phát sinh hoặc không hơn là giải quyết chúng sau khi chúng đã xảy ra.

Trong những trường hợp này, Windows cung cấp cho chúng tôi giải pháp để chỉ định nhiều bộ điều khiển miền để thực hiện vai trò Hoạt động một chủ linh hoạt (FSMO). Về cơ bản, sử dụng FSMO có nghĩa là các miền Active Directory hỗ trợ đầy đủ mô hình sao chép nhiều chủ, ngoại trừ một số trường hợp cụ thể khi miền đang được khôi phục bằng mô hình một chủ. Có ba vai trò FSMO khác nhau được chỉ định ở cấp miền và hai vai trò bổ sung được chỉ định ở cấp rừng.

2) Vai trò của FSMO là gì:

Fsmo là gì |Tất tần tật về fsmo Có 5 vai trò FSMO khác nhau, mỗi vai trò có chức năng và nhiệm vụ riêng đối với hoạt động của Active Directory. a) Trình giả lập PDC:

  • Đây là vai trò được sử dụng nhiều nhất và mạnh mẽ nhất trong tất cả các FSMO. Bộ điều khiển miền nào thực hiện vai trò này là cực kỳ quan trọng trong môi trường chế độ hỗn hợp (có nghĩa là WinNT BDC). Cho dù mạng của bạn là Windows 2000 hay Windows 2003 thuần túy, vai trò này vẫn còn rất nhiều việc phải làm.

Ví dụ: Trình giả lập PDC chạy tác vụ máy chủ thời gian gốc để đồng bộ hóa đồng hồ của tất cả các máy trạm trong rừng. Rất, rất quan trọng, khi máy trạm của bạn bị lỗi một chút, xác thực Kerberos sẽ không thành công và người dùng sẽ không thể đăng nhập vào miền.

  • Chức năng thứ hai của nó là buộc các thay đổi đối với GPO (Đối tượng Chính sách Nhóm).

Ví dụ: khi bạn lần đầu tiên tạo một GPO mới, GPO này sẽ nằm trong thư mục SYSVOL và việc sao chép sang các miền khác được thực hiện bởi trình giả lập PDC.

  • Tính năng thứ ba là role này sẽ đảm nhận nhiệm vụ nhận diện sự thay đổi mật khẩu của người dùng, khóa tài khoản và sao chép nó sang các miền khác.

Mỗi miền trong rừng sẽ có ít nhất một trình giả lập PDC. Do đó, nếu bạn có 4 miền trong rừng, bạn sẽ có 4 trình giả lập PDC. b) RID chính:

  • Mỗi domain trong rừng chắc chắn sẽ có 1 domain controller đảm nhiệm vai trò này. Vai trò này chịu trách nhiệm cung cấp một loạt RID (Số nhận dạng tương đối), tạm dịch là số nhận dạng.
  • RID được sử dụng khi tạo đối tượng (người dùng hoặc máy tính) vì mã định danh bảo mật (SID) sau đó được tạo, là sự kết hợp của SID và RID trong phạm vi đó. Vì vậy, khi bạn chết với vai trò RID này, đến một lúc nào đó chuỗi RID sẽ cạn kiệt, bạn không bao giờ có thể tạo người dùng mới hoặc máy tính mới trong AD.

Đây là lý do tại sao có một vai trò chính RID giám sát và cung cấp các phạm vi RID mới khi các phạm vi RID cũ gần như cạn kiệt. c) Trình hướng dẫn cơ sở hạ tầng:

  • Mục đích của vai trò này là để đảm bảo quản lý và tham chiếu thích hợp các miền liên miền (các miền quan hệ như con-con, phụ huynh hoặc cây-cây).
Xem thêm:  Giải đáp mua bằng cao đẳng giả bị phát hiện không?

Ví dụ: Khi bạn thêm người dùng từ một miền vào một nhóm bảo mật trong miền khác, khuôn khổ này sẽ thực hiện tác vụ này. Đảm bảo rằng đây chỉ là người dùng chính xác và nhóm chính xác.

  • Vai trò này là vô ích nếu bạn chỉ có một miền. Nó chỉ hoạt động khi có một số lượng lớn miền và hiếm khi được sử dụng do mức độ phân quyền của quản trị viên.

d) Trình hướng dẫn lược đồ:

  • Không giống như ba vai trò đã đề cập ở trên, vai trò này chỉ có ở một khu rừng, đó là quảng cáo AD đầu tiên để tạo rừng. Đó là, nó là vai trò duy nhất trong rừng sao chép cấu trúc lược đồ AD sang các miền khác trong rừng.
  • Эта роль меняется редко, меняется при настройке приложений, которым нужно расширять свойства AD, такие как Mail exchange, OCS и т.д.

д) Мастер домена:

  • Это также единственная роль, доступная в лесу. Выполняйте такие задачи, как добавление дочернего домена или дерева в корневой домен…

Например: у вас есть домен abc.com, вы хотите добавить дочерний домен с именем hanoi.abc.com, тогда нет никакого решения, если эта роль не работает.

3) Передача роли FSMO между двумя контроллерами домена:

Việc nắm được Domain Controller nào đang nắm giữ FSMO roles là rất quan trọng, ví dụ trong trường hợp người quản trị muốn tạo thêm 1 Additional Domain Controller cùng với 1 Primary Domain Controller sẵn có; hay khi muốn nâng cấp Primary Domain Controller từ Windows Server 2008 lên 2012… Ở bài viết này, chúng ta sẽ thực hiện việc tạo thêm 1 Additional Domain Controller, sau đó thực hiện transfer FSMO roles từ Primary Domain Controller sang Additional Domain Controller. Hiện tại, mình đã có sẵn một server chạy Windows Server 2012 đã promote lên làm Primary Domain Controller (PDC). IP: 192.168.2.2 Domain: infra.com DC name: AD.infra.com Trên PDC, chạy câu lệnh netdom query fsmo, ta có thể thấy PDC này đang nắm giữ đủ 5 FSMO roles. Fsmo là gì |Tất tần tật về fsmo Trên Windows Server 2012 IP: 192.168.2.3DC name: ADBACKUP.infra.com tiến hành promote lên làm Additional DC. Fsmo là gì |Tất tần tật về fsmo Nhận replicate database từ PDC chính AD.infra.com Fsmo là gì |Tất tần tật về fsmo Sau khi Install thành công, restart lại server. Server đã promote lên ADC thành công.Fsmo là gì |Tất tần tật về fsmo Tiếp theo, chúng ta tiến hành transfer FSMO role từ server AD sang server ADBACKUP. Tại server ADBACKUP: Trên cửa sổ cmd, gõ ntdsutilFsmo là gì |Tất tần tật về fsmo Nhập roles để chuyển sang fsmo maintenaceFsmo là gì |Tất tần tật về fsmo Nhập connections để chuyển sang server connectionsFsmo là gì |Tất tần tật về fsmo Nhập connect to server ADBACKUP (server cần được transfer roles sang) Fsmo là gì |Tất tần tật về fsmo Ấn q để quay lại fsmo maintenanceFsmo là gì |Tất tần tật về fsmo Nhập transfer naming master để tiến hành transfer Domain Naming Master role sang server ADBACKUP: Fsmo là gì |Tất tần tật về fsmo Role thứ nhất đã được transfer, tiếp theo transfer Infrastructure Master role: Fsmo là gì |Tất tần tật về fsmo Transfer PDC Emulator role: Fsmo là gì |Tất tần tật về fsmo Transfer RID Master role: Fsmo là gì |Tất tần tật về fsmo Transfer Schema Master role: Fsmo là gì |Tất tần tật về fsmo Sau khi transfer đủ 5 roles, kiểm tra lại thông qua lệnh netdom query fsmoFsmo là gì |Tất tần tật về fsmo Ta có thể thấy, 5 role đã được transfer sang server ADBACKUP, đồng nghĩa với việc server ADBACKUP đã lên làm Primary DC, và server AD sẽ chuyển xuống làm Backup DC. Thông qua việc này, ta có thể shutdown server AD để nâng cấp, sửa chữa… mà không ảnh hưởng đến việc xác thực của user. Trên đây là tổng quan về FSMO roles, và cách transfer FSMO roles giữa 2 DC. Ở các bài tiếp theo, chúng ta sẽ tìm hiểu một số dịch vụ khác của Windows Server.

All rights reserved

Tổng quan về FSMO, FSMO là gì? (Flexible Single Master Operations)

Th12 6

Cái này mà dịch sang tiếng việt nó kỳ kỳ làm sao nên tôi sẽ để yên nó là tiếng anh, dẫu sao các bạn cũng đã quen với khái niệm và viết tắt của thuật ngữ IT.

Có 5 vai trò khác nhau của FSMO, mỗi vai trò làm một chức năng, nhiệm vụ khác nhau để Active Directory có thể hoạt động được.

PDC Emulator:

Đây là role mà được sử dụng nhiều nhất và tính năng rộng nhất trong tất cả FSMO. Domain controller nào giữ role này thì cực kỳ quan trọng trong môi trường mix mode (Có nghĩa là tồn tại BDC WinNT).

Mà cho dù hệ thống mạng của bạn có thuần Windows 2000 hoặc Windows 2003 đi nữa thì role này vẫn có rất nhiều việc để làm.

VD đơn giản: PDC Emulator thực hiện làm nhiệm vụ máy chủ thời gian gốc (Root time server) để đồng bộ đồng hồ của tất cả máy trạm trong một forest (rừng). Rất rất quan trọng, khi máy trạm của bạn bị lệch thời gian khá nhiều, thì việc xác thực kerberos sẽ bị thất bại và user sẽ không logon vào được domain. Như vậy các bạn đủ thấy tầm quan trọng của Role này rồi nhé. Hiểu rồi thì việc set time server sẽ biết trỏ vô con server nào rồi chứ :)

Tính năng thứ 2 của nó là thực thi các thay đổi của GPO (Group policy object). VD: Khi bạn tạo một new GPO đầu tiên thì GPO này sẽ nằm trong folder SYSVOL, và việc replicate đến các domain khác là do PDC Emulator thực hiện

Tính năng thứ 3 nữa là role này sẽ đảm nhận nhiệm vụ nhận biết sự thay đổi password, account lockout của user và replicate nó đến các domain khác.

Hi hi, vì thế khi role này mà bị chết đi, thì các bạn gặp rất rất nhiều phiền toái.

Mỗi domain trong một rừng sẽ có tối thiểu 1 PDC emulator. Như vậy nếu bạn có 4 domain trong một forest, thì bạn sẽ có 4 PDC emulator. That’s all.

RID Master

Mỗi domain trong một forest chắc chắn sẽ có 1 domain controller giữ role này. Role này làm nhiệm vụ cung cấp một dãy RIDs (relative IDs) dịch đại loại là mã số định danh.

RIDs được sử dụng khi bạn tạo một đối tượng (User hoặc computer) bởi vì khi đó nó sẽ tạo một security ID (SID) được kết hợp giữa SID và RID trong dãy này.

Vì thế khi bạn bị chết cái role RID này, đến một lúc nào đó dãy số RID đã hết thì bạn sẽ không bao giờ tạo thêm được user mới hoặc computer mới trong AD.

Đây là lý do tồn tại RID master role, nó giám sát và cung cấp dãy RID mới khi dãy RID cũ được cấp gần hết.

Infrastructure Master

Mục đích của role này là đảm bảo được việc cross-domain (Các domain quan hệ với nhau như child-child, child-parent hoặc tree-tree) được quản lý và tham chiếu đúng. Đọc cái này xong chắc té xỉu vì không hiểu hehe.

OK, cho nó đơn giản hơn là một VD: Khi bạn add một user từ một domain vào một security group trong một domain khác thì Infrastructure này làm nhiệm vụ này. Đảm bảo là chỉ đúng user đó và đúng group đó.

Role này thì vô tác dụng khi bạn chỉ có một domain duy nhất. Chỉ có tác dụng khi nhiều domain và cũng ít khi nào sử dụng do admin phân quyền như thế nào thôi.

Cho máy server nào yếu yếu giữ role này là đủ rồi, không cần máy mạnh lắm đâu.

Đặc biệt 2 role cực kỳ quan trọng trong FSMO được giới thiệu ở dưới đây.

Schema master

Khác với 3 role kể trên, role này chỉ duy nhất trong một rừng, tức là trong lần promo AD đầu tiên tạo forest.

Có nghĩa là, đây là role duy nhất trong forest, làm nhiệm vụ replicate cấu trúc của schema AD đến các domain khác trong một rừng.

Xem thêm:  Cli là gì |Tất tần tật về cli

Role này ít khi thay đổi, thay đổi khi setup các ứng dụng cần mở rộng thuộc tính của AD như Mail exchange, OCS v.v…

Domain master

Đây cũng là role duy nhất có trong một forest. Làm nhiệm vụ như kiểu add child domain hoặc tree vào vậy mà.

Nếu không có role này. VD bạn có domain là abc.com, bạn muốn add một child domain là hanoi.abc.com thì vô phương cứu chữa nếu role này bị failed.

OK, như vậy tống kết lại là gì

Trong một rừng thì chỉ có duy nhất 2 role là domain master và schema master.

Trong một domain thì có 3 role: PDC emulator, Infrastructure, RID.

Hehehe, vậy là đã rõ về FSMO rồi nhé.

Như vậy thì quản lý FSMO ra sao, như thế nào? Sao gọi là tối ưu nhất

Sử dụng 3 nguyên tắc cơ bản sau:

Nguyên tắc 1: Trong một rừng, thì hãy giữ schema master và domain master chung trên một domain controller để dễ quản trị và theo dõi.

Và hãy để chung 2 role này với Global catalog

Nguyên tắc 2: Trong mỗi domain, đặt PDC emulator và RID master chung một domain controller. Server này mạnh tí nha vì yêu cầu của PDC thì bạn biết rồi đấy. Và domain controller này cũng không nên chứa Global catalog, vì global catalog cũng sử dụng khá nhiều. Tách ra để loadbalancing thôi.

Nguyên tắc 3: Trong mỗi domain, không nên để Infrastructure chung với lại Global catalog nhưng nó phải chung site với lại Global catalog, chủ yếu là replicate cho nó nhanh đó mà.

Nguyên tắc 3 ngoại trừ 2 trường hợp sau đây:

1. Bạn chỉ có một domain duy nhất, đặt chung với Global catalog cũng được

2. Bạn có nhiều domain, domain nào cũng là global catalog :)

Với 3 nguyên tắc đơn giản như trên bạn đang làm chủ FSMO và làm chủ hệ thống của mình.

(sưu tầm)

CÓ THỂ BẠN CHƯA BIẾT

Fsmo là gì diễn giải fsmo roles là gì

 060

Flexible Single Master Operations (FSMO) Roles hay được gọi một cách khác là các master roles có vai trò rất quan trong trong việc quản lý của Active Directory. Chúng nắm giữ các thông tin về mô hình của Active Directory, kiến trúc, chứng thực… Đây là dữ liệu rất quan trọng trong hệ thống Windows Domain. Cụ thể, có năm master roles như sau:

Schema Master: Quản lý toàn bộ việc cập nhật và thay đổi schema. Active Drirectory Schema là nơi lưu trữ các định nghĩa của các đối tượng và các thuộc tính trong hệ thống Active Drirectory. Khi cập nhật thay trên Schema hoàn tất, từ Schema Master, những thay đổi này sẽ được cập nhật lên các DC trong forest.Domain Naming Master: Quản lý việc thêm hoặc xóa các domain trong forest.Infrastructure Master: Quản lý việc cập nhật các thông tin GUID, SID và DN của các đối tượng từ domain này sang domain khácRelative ID (RID) Master: Quản lý các số ID trong RID pool, xử lý các yêu cầu RID pool cho tất cả DC trong một domain cụ thể.Primary Domain Controller (PDC) Emulator: Dùng để đồng bộ thời gian trên toàn hệ thống doamin, quản lý thay đổi mật khẩu người dùng, kiểm tra thông tin mật khẩu đăng nhập và thông báo lỗi nếu người dùng nhập sai, quản lý việc tạo và thay đổi Group policy, xử lý Account lockout, đồng bộ các dữ liệu giữa các DC trong domain.

Mặc định, các master roles này được chứa trên Server đầu tiên được nâng cấp lên Domain Controller. Các master rolse này là duy nhất trong mỗi forest domain.

Để kiểm tra các master roles đang nằm ở server nào, bạn dùng lệnh netdom query /domain: FSMO, ở đây là netdom query /domain:hoanghiepktvFSMO, với domain name là hoanghiepktv.com.

Fsmo là gì |Tất tần tật về fsmo

Để thực hiện việc di chuyển các master roles này qua server mới thì server mới được nâng cấp thành Additional Domain Controller (ADC).

Fsmo là gì |Tất tần tật về fsmo

Để có thể chuyển các master roles, bạn sẽ sử dụng các tập lệnh trong ntdsutil.exe

ntdsutil: khởi chạy ntdsutil.exeroles: kết nối đến các master rolse.connections: gọi submenu (các lệnh con kết nối máy chủ)connect to server : kết nối đến server mà các roles này sẽ được chuyển tới, ở đây là connect to server 2016-srv1.hoanghiepktv.com với hostname của server là 2016-srv1 và domain name là hoanghiepktv.com.quit: thoát submenu (các lệnh con kết nối máy chủ)

Fsmo là gì |Tất tần tật về fsmo

Tiếp theo, bạn lần lượt chuyển các master roles bằng các lệnh sau để chuyển (transfer):

transfer schema mastertransfer naming mastertransfer RID mastertransfer PDCtransfer infrastructure master

Chuyển Schema Master: transfer schema master

Fsmo là gì |Tất tần tật về fsmo
Fsmo là gì |Tất tần tật về fsmo

Chuyển Naming Master: transfer naming master

Fsmo là gì |Tất tần tật về fsmo
Fsmo là gì |Tất tần tật về fsmo

Chuyển RID Master: transfer RID master

Fsmo là gì |Tất tần tật về fsmo
Fsmo là gì |Tất tần tật về fsmo

Chuyển PDC Emulator: transfer PDC

Fsmo là gì |Tất tần tật về fsmo
Fsmo là gì |Tất tần tật về fsmo

Chuyển Infrastructure Master: transfer infrastructure master

Fsmo là gì |Tất tần tật về fsmo
Fsmo là gì |Tất tần tật về fsmo

Sau khi chuyển xong các master rolse, bạn thực hiện kiểm tra lại bằng lệnh netdom query /domain: FSMO để đảm bảo các master roles đã ở đúng server mình cần hay chưa.

Fsmo là gì |Tất tần tật về fsmo

Lưu ý:

Mỗi lần bạn thực hiện một lệnh transfer, thì hệ thống sẽ hỏi bạn có chắc chắn muốn chuyển các master roles này hay không, bạn chọn Yes để chuyển.Các master roles này hoàn toàn có thể được phân tán trên các server khác nhau.

Nếu bạn muốn nâng cấp bộ điều khiển miền của mình từ Windows Server 2012 lên Windows Server 2016, bạn có thể thực hiện thêm bước xóa   danh mục   chung của máy tính Windows Server 2012 trong   Trang web và Dịch vụ Active Directory   .

Fsmo là gì |Tất tần tật về fsmo

Sau khi xóa danh mục chung của máy tính Windows Server 2012, hãy tiến hành gỡ cài đặt vai trò ADDS và xóa bộ điều khiển miền trên máy tính Windows Server 2012.

Video hướng dẫn di chuyển vai trò chính sử dụng dòng lệnh trong CMD và di chuyển bộ điều khiển miền từ Windows Server 2012 R2 sang Windows Server 2016: BÀI ĐĂNG TRƯỚC MONKFISH LÀ GÌ? BÀI VIẾT TIẾP THEO BARRACUDA LÀ GÌ BẢO HÀNH ĐIỀU KIỆN ĐƯỢC BẢO HÀNH LÀ GÌ?

NHỮNG BÀI VIẾT LIÊN QUAN

Các nguyên tắc cơ bản về mạng: Phần 7. Giới thiệu về vai trò của FSMO

Brian M. Posey

Sự cần thiết của các vai trò FSMO

Trong các bài trước của loạt bài này, chúng ta đã tìm hiểu về Active Directory với một   rừng   cây   miền   , trong đó tên của mỗi miền cũng chính là vị trí của chúng trong rừng. Với cấu trúc cây phân cấp tự nhiên của Active Directory, bạn có thể dễ dàng đoán được miền nào ở trên cùng là quan trọng nhất (đôi khi với bộ điều khiển miền trong các miền đó). Trong bài viết này, chúng tôi sẽ thảo luận về các quy tắc mà các bộ điều khiển miền riêng lẻ trong khu rừng Active Directory phải tuân theo.

Trước đó chúng ta đã nói về các miền bên trong Windows NT. Giống như Active Directory, các miền Windows NT hỗ trợ việc sử dụng nhiều bộ điều khiển miền. Hãy nhớ rằng bộ điều khiển miền chịu trách nhiệm xác minh thông tin đăng nhập của người dùng. Do đó, nếu bộ điều khiển miền không hoạt động, sẽ không ai có thể đăng nhập vào mạng. Microsoft đã sớm nhận ra điều này, vì vậy họ đã phát triển Windows để cho phép nhiều bộ điều khiển miền được sử dụng cùng một lúc. Nếu một bộ điều khiển miền không thành công, bộ điều khiển miền khác có thể thay thế nó, cung cấp xác thực liên tục khi đăng nhập vào mạng. Có nhiều bộ điều khiển miền cũng cho phép miền tải được chia sẻ trên nhiều máy tính, tránh tải trên toàn bộ một máy chủ.

Mặc dù Windows NT hỗ trợ nhiều bộ điều khiển miền trong một miền, nhưng luôn có một bộ điều khiển miền được coi là quan trọng nhất. Nó thường được gọi là Bộ điều khiển miền chính hoặc PDC. Hãy nhớ rằng bộ điều khiển miền được tạo thành từ một cơ sở dữ liệu lưu trữ tất cả thông tin về tài khoản người dùng trong miền (tất nhiên và nhiều hơn nữa). Cơ sở dữ liệu này được gọi là Trình quản lý tài khoản bảo mật hoặc SAM.

Xem thêm:  Hold là gì |Tất tần tật về hold

Trên Windows NT, PDC lưu trữ một bản sao chính của cơ sở dữ liệu. Các bộ điều khiển miền khác trong miền Windows NT được gọi là bộ điều khiển miền dự phòng hoặc BDC. Mỗi lần thay đổi được thực hiện đối với cơ sở dữ liệu của bộ điều khiển miền, những thay đổi đó được ghi vào bộ điều khiển miền chính. Sau đó PDC sao chép các thay đổi sang tất cả các BDC khác trong miền. Theo nghĩa thông thường, PDC chỉ đơn giản là một bộ điều khiển miền trong miền Windows NT nơi có thể sử dụng các bản cập nhật. Trong trường hợp PDC bị lỗi, có một cách để điều khiển từ xa BDC trên PDC, cho phép bộ điều khiển miền hoạt động bình thường trong miền, nhưng chỉ với tư cách là một PDC.

Các miền Active Directory hơi khác một chút. Active Directory sử dụng   mô hình sao chép nhiều chủ   , có nghĩa là mọi bộ điều khiển miền trong miền đều có thể ghi được. Không có khái niệm PDC hoặc BDC ở đây. Nếu quản trị viên cần thực hiện thay đổi đối với cơ sở dữ liệu Active Directory, thì thay đổi này sẽ được áp dụng cho tất cả các bộ điều khiển miền trong miền và sau đó được sao chép cho phần còn lại của bộ điều khiển miền.

Một mô hình nhân rộng nhiều chủ được coi là một ý tưởng hay. Nó mở ra những cánh cửa mới cho sự thay đổi xung đột. Ví dụ: điều gì sẽ xảy ra nếu hai quản trị viên khác nhau xung đột trong khi áp dụng các thay đổi cho hai bộ điều khiển miền phân tán ở hai vị trí cùng một lúc?

Thông thường, Active Directory ưu tiên các thay đổi gần đây. Nhưng trong một số trường hợp, phương pháp này không thể giải quyết các xung đột nghiêm trọng. Do đó, Microsoft tin rằng tốt hơn hết là ngăn chặn xung đột khi chúng phát sinh hoặc không hơn là giải quyết chúng sau khi chúng đã xảy ra.

Trong những trường hợp này, Windows cung cấp cho chúng tôi giải pháp để chỉ định nhiều bộ điều khiển miền để thực hiện vai trò Hoạt động một chủ linh hoạt (FSMO). Về cơ bản, sử dụng FSMO có nghĩa là các miền Active Directory hỗ trợ đầy đủ mô hình sao chép nhiều chủ, ngoại trừ một số trường hợp cụ thể khi miền đang được khôi phục bằng mô hình một chủ. Có ba vai trò TỪ khác nhau được chỉ định ở cấp miền và hai vai trò bổ sung được chỉ định ở cấp rừng.

Vai trò của FSMO ở đâu?

Hầu hết các vai trò của FSMO đều tự coi mình là trung tâm. Nhưng thông tin cho bạn biết bộ điều khiển miền nào sở hữu vai trò nào cũng rất quan trọng. Theo mặc định, bộ điều khiển miền đầu tiên trong rừng có 5 vai trò. Khi bạn tạo miền bổ sung, bộ điều khiển miền đầu tiên sẽ trực tuyến cho từng vai trò trong số ba vai trò FSMO ở cấp miền.

Lý do quan trọng để biết bộ điều khiển miền nào đang đóng những vai trò nào là bởi vì thiết bị phần cứng trở nên lỗi thời theo thời gian và cuối cùng phải ngừng hoạt động. Trong một trường hợp mà tôi đã chứng kiến ​​trước đó, một quản trị viên mạng chuẩn bị triển khai một mạng Active Directory cho công ty của mình. Trong khi chờ máy chủ mới đến, quản trị viên cài đặt Windows trên PC cũ để kiểm tra một số tính năng quản lý Active Directory khác nhau.

Khi các máy chủ mới khả dụng, quản trị viên định cấu hình chúng với vai trò bộ điều khiển miền trong miền mới được tạo thay vì tạo một khu rừng mới. Tất nhiên, điều này có nghĩa là PC cũ đang hoạt động như một FSMO. Mọi thứ hoạt động tốt cho đến khi quản trị viên quyết định xóa PC cũ khỏi mạng. Anh ấy đã ngừng sử dụng máy chủ này, không có vấn đề gì. Nhưng thiếu kinh nghiệm hơn là anh đã format lại ổ cứng của máy. Rất nhiều vấn đề đột nhiên xuất hiện trong Active Directory. Nếu quản trị viên hiểu rằng máy mà anh ta đang xóa khỏi miền có vai trò miền và rừng FSMO, anh ta có thể tránh được tất cả các vấn đề hiện tại. Trong trường hợp này, bạn cần lưu các vai trò FSMO từ máy chủ đã chết để mạng có thể hoạt động bình thường trở lại.

Các vai trò của FSMO, chúng là gì?

Chúng ta sẽ thảo luận về chức năng cụ thể của các vai trò TỪ này ở phần sau của loạt bài viết này. Ở đây tôi chỉ muốn đi qua những điều cơ bản để cung cấp cho bạn ý tưởng về chúng là gì. Như đã lưu ý ở trên, có ba vai trò cấp miền và hai vai trò cấp rừng.

Các vai trò cấp miền bao gồm: ID tương đối, Trình mô phỏng PDC và Master cơ sở hạ tầng. Các vai trò cấp rừng bao gồm Trình hướng dẫn lược đồ và Trình hướng dẫn đặt tên miền. Sau đây là mô tả ngắn gọn về chức năng của các vai trò này:

Schema Wizard   : Quản lý bản sao của cơ sở dữ liệu Active Directory.

Trình hướng dẫn đặt tên miền   : Quản lý danh sách các miền trong khu rừng.

Trình hướng dẫn ID tương đối   : Chịu trách nhiệm xác minh rằng tất cả các đối tượng Active Directory trong miền có một SID duy nhất.

Trình mô phỏng bộ điều khiển miền chính   hoặc   : Hoạt động như một bộ điều khiển miền chính trong các miền có bộ điều khiển miền chạy Windows NT.

Hạ tầng tổng thể   : Chịu trách nhiệm cập nhật SID của đối tượng và độ phân giải tên trong các đối tượng miền tham chiếu chéo.

Sự kết luận

Hy vọng rằng bây giờ bạn đã hiểu tầm quan trọng của các vai trò FSMO bất kể chúng hoạt động như thế nào. Trong phần tiếp theo của loạt bài này, chúng ta sẽ tiếp tục thảo luận chi tiết hơn về vai trò của các FSMO để giúp bạn hiểu những gì chúng thực sự làm. Chúng tôi cũng sẽ chỉ cho bạn cách xác định máy chủ nào sở hữu các vai trò nào. Để tìm hiểu thêm

  • Các nguyên tắc cơ bản về mạng: Phần 6 – Miền Windows
  • Các nguyên tắc cơ bản về mạng: Phần 8. Tiếp tục vai trò của FSMO
  • Kiến thức cơ bản về mạng. Phần 10. Tên phân biệt
  • Kiến thức cơ bản về mạng. Phần 9. Thông tin về Active Directory
  • Kiến thức cơ bản về mạng. Phần 13. Xây dựng đội
  • Các nguyên tắc cơ bản về mạng: Phần 14. Nhóm bảo mật
  • Tìm hiểu về Mô hình OSI (Mạng Phần 17)


Video Fsmo là gì |Tất tần tật về fsmo

Cảm ơn các bạn đã theo dõi bài viết Fsmo là gì |Tất tần tật về fsmo!. 123 DocX hi vọng đã mang đến thông tin hữu ích cho bạn. Xem thêm các bài viết cùng danh mục Hỏi đáp. Nếu thấy hay hãy chia sẻ bài viết này cho nhiều người được biết. 123 DocX chúc bạn ngày vui vẻ

123 Doc