Tổng quan về FSMO, FSMO là gì? (Flexible Single Master Operations)
Cái này mà dịch sang tiếng việt nó kỳ kỳ làm sao nên tôi sẽ để yên nó là tiếng anh, dẫu sao các bạn cũng đã quen với khái niệm và viết tắt của thuật ngữ IT.
Có 5 vai trò khác nhau của FSMO, mỗi vai trò làm một chức năng, nhiệm vụ khác nhau để Active Directory có thể hoạt động được.
PDC Emulator:
Đây là role mà được sử dụng nhiều nhất và tính năng rộng nhất trong tất cả FSMO. Domain controller nào giữ role này thì cực kỳ quan trọng trong môi trường mix mode (Có nghĩa là tồn tại BDC WinNT).
Mà cho dù hệ thống mạng của bạn có thuần Windows 2000 hoặc Windows 2003 đi nữa thì role này vẫn có rất nhiều việc để làm.
VD đơn giản: PDC Emulator thực hiện làm nhiệm vụ máy chủ thời gian gốc (Root time server) để đồng bộ đồng hồ của tất cả máy trạm trong một forest (rừng). Rất rất quan trọng, khi máy trạm của bạn bị lệch thời gian khá nhiều, thì việc xác thực kerberos sẽ bị thất bại và user sẽ không logon vào được domain. Như vậy các bạn đủ thấy tầm quan trọng của Role này rồi nhé. Hiểu rồi thì việc set time server sẽ biết trỏ vô con server nào rồi chứ :)
Tính năng thứ 2 của nó là thực thi các thay đổi của GPO (Group policy object). VD: Khi bạn tạo một new GPO đầu tiên thì GPO này sẽ nằm trong folder SYSVOL, và việc replicate đến các domain khác là do PDC Emulator thực hiện
Tính năng thứ 3 nữa là role này sẽ đảm nhận nhiệm vụ nhận biết sự thay đổi password, account lockout của user và replicate nó đến các domain khác.
Hi hi, vì thế khi role này mà bị chết đi, thì các bạn gặp rất rất nhiều phiền toái.
Mỗi domain trong một rừng sẽ có tối thiểu 1 PDC emulator. Như vậy nếu bạn có 4 domain trong một forest, thì bạn sẽ có 4 PDC emulator. That's all.
RID Master
Mỗi domain trong một forest chắc chắn sẽ có 1 domain controller giữ role này. Role này làm nhiệm vụ cung cấp một dãy RIDs (relative IDs) dịch đại loại là mã số định danh.
RIDs được sử dụng khi bạn tạo một đối tượng (User hoặc computer) bởi vì khi đó nó sẽ tạo một security ID (SID) được kết hợp giữa SID và RID trong dãy này.
Vì thế khi bạn bị chết cái role RID này, đến một lúc nào đó dãy số RID đã hết thì bạn sẽ không bao giờ tạo thêm được user mới hoặc computer mới trong AD.
Đây là lý do tồn tại RID master role, nó giám sát và cung cấp dãy RID mới khi dãy RID cũ được cấp gần hết.
Infrastructure Master
Mục đích của role này là đảm bảo được việc cross-domain (Các domain quan hệ với nhau như child-child, child-parent hoặc tree-tree) được quản lý và tham chiếu đúng. Đọc cái này xong chắc té xỉu vì không hiểu hehe.
OK, cho nó đơn giản hơn là một VD: Khi bạn add một user từ một domain vào một security group trong một domain khác thì Infrastructure này làm nhiệm vụ này. Đảm bảo là chỉ đúng user đó và đúng group đó.
Role này thì vô tác dụng khi bạn chỉ có một domain duy nhất. Chỉ có tác dụng khi nhiều domain và cũng ít khi nào sử dụng do admin phân quyền như thế nào thôi.
Cho máy server nào yếu yếu giữ role này là đủ rồi, không cần máy mạnh lắm đâu.
Đặc biệt 2 role cực kỳ quan trọng trong FSMO được giới thiệu ở dưới đây.
Schema master
Khác với 3 role kể trên, role này chỉ duy nhất trong một rừng, tức là trong lần promo AD đầu tiên tạo forest.
Có nghĩa là, đây là role duy nhất trong forest, làm nhiệm vụ replicate cấu trúc của schema AD đến các domain khác trong một rừng.
Role này ít khi thay đổi, thay đổi khi setup các ứng dụng cần mở rộng thuộc tính của AD như Mail exchange, OCS v.v...
Domain master
Đây cũng là role duy nhất có trong một forest. Làm nhiệm vụ như kiểu add child domain hoặc tree vào vậy mà.
Nếu không có role này. VD bạn có domain là abc.com, bạn muốn add một child domain là hanoi.abc.com thì vô phương cứu chữa nếu role này bị failed.
OK, như vậy tống kết lại là gì
Trong một rừng thì chỉ có duy nhất 2 role là domain master và schema master.
Trong một domain thì có 3 role: PDC emulator, Infrastructure, RID.
Hehehe, vậy là đã rõ về FSMO rồi nhé.
Như vậy thì quản lý FSMO ra sao, như thế nào? Sao gọi là tối ưu nhất
Sử dụng 3 nguyên tắc cơ bản sau:
Nguyên tắc 1: Trong một rừng, thì hãy giữ schema master và domain master chung trên một domain controller để dễ quản trị và theo dõi.
Và hãy để chung 2 role này với Global catalog
Nguyên tắc 2: Trong mỗi domain, đặt PDC emulator và RID master chung một domain controller. Server này mạnh tí nha vì yêu cầu của PDC thì bạn biết rồi đấy. Và domain controller này cũng không nên chứa Global catalog, vì global catalog cũng sử dụng khá nhiều. Tách ra để loadbalancing thôi.
Nguyên tắc 3: Trong mỗi domain, không nên để Infrastructure chung với lại Global catalog nhưng nó phải chung site với lại Global catalog, chủ yếu là replicate cho nó nhanh đó mà.
Nguyên tắc 3 ngoại trừ 2 trường hợp sau đây:
1. Bạn chỉ có một domain duy nhất, đặt chung với Global catalog cũng được
2. Bạn có nhiều domain, domain nào cũng là global catalog :)
Với 3 nguyên tắc đơn giản như trên bạn đang làm chủ FSMO và làm chủ hệ thống của mình.
No comments:
Post a Comment