Active Directory và FSMO roles

0
46
Rate this post

Trong bài viết trước, chúng ta đã tìm hiểu về Active Directory, một hệ thống với cấu trúc cây miền (domain tree) mạnh mẽ. Trong cây miền này, từng miền đóng vai trò quan trọng trong hệ thống. Hôm nay, chúng ta sẽ tìm hiểu về quy tắc mà các Domain Controller riêng lẻ phải tuân thủ trong Active Directory forest.

Trước khi đi vào chi tiết về Active Directory, chúng ta hãy nhìn lại về Windows NT domain. Windows NT cũng hỗ trợ sử dụng nhiều Domain Controller. Mỗi Domain Controller đảm nhận việc xác thực người dùng khi đăng nhập vào mạng. Nếu một Domain Controller không hoạt động, không ai có thể đăng nhập vào mạng. Từ nhận thấy điều này, Microsoft cho phép sử dụng nhiều Domain Controller cùng một lúc. Nếu một Domain Controller bị hỏng, Domain Controller khác có thể thay thế và giúp hoạt động xác thực mạng không bị gián đoạn. Việc sử dụng nhiều Domain Controller cũng cho phép tải được chia sẻ giữa các máy tính, tránh tình trạng quá tải trên một máy chủ duy nhất.

Mặc dù Windows NT hỗ trợ nhiều Domain Controller trong một miền, nhưng luôn có một Domain Controller được coi là quan trọng nhất – Primary Domain Controller (PDC). Một Domain Controller bao gồm một cơ sở dữ liệu chứa thông tin tài khoản người dùng trong miền. Mỗi lần có thay đổi thông tin trên Domain Controller, thay đổi đó sẽ được ghi vào PDC. Sau đó, PDC sao chép thay đổi này đến tất cả các BDC (Backup Domain Controller) khác trong miền. Nếu PDC gặp sự cố, BDC có thể được điều khiển từ xa để thay thế và hoạt động với vai trò PDC.

Cấu trúc của Active Directory có khái niệm khác một chút. Active Directory sử dụng mô hình sao chép đa chủ, nghĩa là tất cả các Domain Controller trong miền đều có quyền ghi. Không có khái niệm PDC hay BDC nữa. Khi một thay đổi được thực hiện trên Active Directory, thay đổi đó được áp dụng cho bất kỳ Domain Controller nào trong miền và được sao chép đến các Domain Controller khác.

Mô hình sao chép đa chủ mở ra nhiều cơ hội cho các thay đổi mâu thuẫn. Ví dụ, hai quản trị viên áp dụng các thay đổi mâu thuẫn cho hai Domain Controller khác nhau cùng một lúc, chuyện gì sẽ xảy ra?

Thông thường, Active Directory ưu tiên các thay đổi mới nhất. Tuy nhiên, trong một số trường hợp, phương pháp này không thể giải quyết được xung đột nghiêm trọng. Do đó, Microsoft đề xuất ngăn ngừa xung đột từ khi chúng mới xuất hiện, thay vì giải quyết chúng sau khi đã xảy ra.

Để đáp ứng yêu cầu này, Windows cung cấp giải pháp sử dụng vai trò Flexible Single Master Operation (FSMO). Sử dụng FSMO có nghĩa là miền Active Directory hỗ trợ mô hình sao chép đa chủ, ngoại trừ một số trường hợp đặc biệt, miền sẽ sử dụng mô hình đơn chủ. Có ba vai trò FSMO ở mức domain và hai vai trò bổ sung ở mức forest.

Có tổng cộng 5 vai trò FSMO khác nhau, mỗi vai trò đảm nhận một chức năng và nhiệm vụ khác nhau để Active Directory hoạt động tốt.

a) PDC Emulator:

  • Đây là vai trò quan trọng nhất và có tính năng rộng nhất trong tất cả các vai trò FSMO. Domain Controller nắm giữ vai trò này có vai trò cực kỳ quan trọng trong môi trường mix mode (tồn tại BDC WinNT). Bất kể hệ thống mạng của bạn có sử dụng Windows 2000 hay Windows 2003, vai trò này vẫn đóng vai trò quan trọng.
  • Vai trò thứ hai của PDC Emulator là làm máy chủ thời gian gốc (Root time server) để đồng bộ đồng hồ của tất cả máy trạm trong một forest. Điều này rất quan trọng vì khi máy trạm của bạn bị sai lệch thời gian, việc xác thực kerberos sẽ thất bại và người dùng sẽ không thể đăng nhập vào domain.
  • Tính năng thứ ba của PDC Emulator là thực thi các thay đổi của GPO (Group Policy Object). Khi bạn tạo một GPO mới, GPO này sẽ nằm trong folder SYSVOL và PDC Emulator sẽ sao chép thay đổi đến các domain khác.

b) RID Master:

  • Mỗi domain trong một forest sẽ có một Domain Controller nắm giữ vai trò này. Vai trò này cung cấp một dãy RIDs (Relative IDs) – một loại mã số định danh.
  • RIDs được sử dụng khi bạn tạo một đối tượng (người dùng hoặc máy tính) để tạo một Security ID (SID) kết hợp SID và RID trong dãy này. Nếu vai trò RID Master gặp sự cố và dãy RID đã hết, bạn sẽ không thể tạo thêm người dùng hoặc máy tính mới trong Active Directory.

c) Infrastructure Master:

  • Vai trò này đảm bảo được quản lý và tham chiếu chính xác trong trường hợp có mối quan hệ giữa các miền. Ví dụ, khi bạn thêm một người dùng từ một domain vào một nhóm bảo mật trong domain khác, vai trò Infrastructure Master sẽ đảm nhận nhiệm vụ này và đảm bảo người dùng và nhóm được tham chiếu chính xác.

d) Schema Master:

  • Vai trò này là duy nhất trong một rừng (forest), tức là trong lần cài đặt Active Directory đầu tiên để tạo cây rừng (forest). Vai trò này làm nhiệm vụ sao chép cấu trúc của schema AD đến các domain khác trong rừng.
  • Vai trò này ít khi thay đổi, chỉ khi bạn cài đặt các ứng dụng cần mở rộng thuộc tính của AD như Mail exchange hoặc OCS.

e) Domain Master:

  • Đây cũng là vai trò duy nhất trong một rừng. Vai trò này đảm nhận việc thêm domain con hoặc domain tree vào domain gốc.
  • Ví dụ, nếu bạn có domain là abc.com và bạn muốn thêm một domain con là hanoi.abc.com, bạn không thể làm điều này nếu vai trò này gặp sự cố.

Việc biết chính xác Domain Controller nào đang nắm giữ vai trò FSMO là rất quan trọng. Ví dụ, khi bạn muốn tạo thêm một Additional Domain Controller cùng với một Primary Domain Controller hiện có hoặc khi bạn muốn nâng cấp Primary Domain Controller từ Windows Server 2008 lên 2012… Ở bài viết này, chúng ta sẽ thực hiện việc tạo thêm một Additional Domain Controller, sau đó chuyển đổi vai trò FSMO từ Primary Domain Controller sang Additional Domain Controller.

Hiện tại, chúng ta đã có sẵn một server chạy Windows Server 2012 đã được thăng chức lên làm Primary Domain Controller (PDC) với các thông số như sau:

  • IP: 192.168.2.2
  • Domain: infra.com
  • Tên DC: AD.infra.com

Trên PDC, chạy lệnh netdom query fsmo, ta có thể thấy PDC này đang nắm giữ đủ 5 vai trò FSMO.

Tiếp theo, chúng ta tiến hành thêm một Additional Domain Controller trên Windows Server 2012 có địa chỉ IP 192.168.2.3 và tên DC là ADBACKUP.infra.com. Sau khi hoàn thành, ta tiến hành chuyển đổi vai trò FSMO từ PDC sang Additional DC.

Trên server ADBACKUP, ta mở cửa sổ cmd và gõ ntdsutil để chuyển sang chế độ fsmo maintenance. Tiếp theo, gõ connections để chuyển sang server connections và sau đó gõ connect to server ADBACKUP để kết nối với server cần chuyển đổi vai trò.

Tiếp theo, chúng ta tiến hành chuyển vai trò Domain Naming Master, chuyển vai trò Infrastructure Master, chuyển vai trò PDC Emulator, chuyển vai trò RID Master và cuối cùng là chuyển vai trò Schema Master sang server ADBACKUP.

Sau khi chuyển đổi đủ 5 vai trò, ta kiểm tra lại bằng lệnh netdom query fsmo và ta sẽ thấy 5 vai trò đã được chuyển sang server ADBACKUP, điều này có nghĩa là server ADBACKUP đã trở thành Primary DC và server AD sẽ trở thành Backup DC.

Thông qua chuyển đổi này, chúng ta có thể tắt server AD để nâng cấp hoặc sửa chữa mà không ảnh hưởng đến việc xác thực của người dùng.

Trên đây là tổng quan về vai trò FSMO và cách chuyển đổi vai trò giữa 2 Domain Controller. Trong các bài viết tiếp theo, chúng ta sẽ tìm hiểu về một số dịch vụ khác của Windows Server.

Bài viết được chỉnh sửa bởi Dnulib