• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

WIN2K Basic Concepts - COI CHỪNG BỊ ĐIÊN

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • WIN2K Basic Concepts - COI CHỪNG BỊ ĐIÊN

    (KHÔNG QUAN TÂM, ĐỪNG ĐỌC! COI CHỪNG BỊ ĐIÊN)

    Mình xin bổ xung cho thread "có bác nào cài..." như sau:

    Trong môi trường Win2Kx không áp dụng khái niệm Primary DC/ Backup DC. Chỉ có DC mà thôi. Thế nhưng không có nghĩa các DC là như nhau, mà chúng có thể được trao những vai trò khác nhau trong mạng như:
    Global Catalog Server
    Schema Master
    Domain naming Master
    PDC (Primary Domain Controler) Emulator
    RID (Relative Identifier) Master
    Infastructure Master

    Một DC có thể đãm nhận 1 lúc nhiều vai trò.
    Có lọai vai trò tại 1 thời điểm chỉ có 1 DC trong domain / forest được fép đãm nhận mà thôi. (nhằm tránh xung đột và đãm bảo tính đồng nhất dữ liệu). Chúng ta có thể chuyển giao (tranfering)/ hoặc cưỡng bức chuyển giao (seizing - khi không transfer được, DC down chẳng hạn) vai trò này khi cần thiết.

    Cũng có lọai vai trò cho fép nhiều DC trong domain / forest đãm nhận nhằm cân bằng tải và nâng cao tính sẳn sàng. Trường hợp này các DC này họat động song song. Nếu 1 em down thì em kia tiếp tục chạy cover mà không cần phài làm thao tác de/promote gì cả. Khác với khái niệm PDC/ BDC.

    Sẳn tiện mình xin liệt kê luôn 1 số khái niệm đặc thù trong môi trường WIN2K như sau: (mình tạm dịch và diễn giải theo ý mình. Có gì các bạn bổ sung nha.)

    - Active Directory: là Directory Service (dịch vụ chỉ mục) trong Win2K được quảng cáo (mà thiệt) là rất Active. Directory Service = Directory + Service. Directory: chứa những object đại diện cho các tài nguyên mạng như user/ group/computer/ domain/site... Service ở đây là dịch vụ mạng dựa trên Directory này, hỗ trợ admin quản trị tập trung, user truy cập tài nguyên nhanh chóng dể dàng mà không cần quan tâm vị trí vật lý của tài nguyên đó trong mạng.

    - Active Directory Schema: không chứa bản thân object mà chứa yếu tố phân loại (Object Classes) cùng thuộc tính (Attributes) của object. Khi đối tượng thuộc 1 class nào đó nó sẽ được gán cho 1 tập thuộc tính được định nghĩa cho class đó. Ví dụ ta có 1 user account giangcòi (trong gặp nhau cuối tuần chứ không phải Giangvh nha). giangcòi là 1 object. thuộc lọai (Object Class) là User (user account mà). Bạn mở properties của object này thấy có các field First name, Midle Name, Description... Mí cái đó là thuộc tính của object đó. Bạn mở properties của 1 user account khác cũng thấy 1 tập các thuộc tính tượng tự, chỉ khác giá trị mà thôi. Các user account là cùng lọai (Object Class) nên có cùng tập thuộc tính vậy mà.

    - AD Schema được chứa trong AD database.

    - AD Database được chứa trong các DC.

    - Domain Controller được định nghĩa: là 1 PC WIN2K (or more) SRV có chứa 1 bản Active Directory Database có thể hiệu chình được (a writeable copy of AD database). DC trong cùng Domain/ Forest sẽ quản lý những thay đổi trong bản AD Database trên nó và tự động đồng bộ hóa những thay đổi đó với các DC khác. Việc đồng bộ hóa (replication) nhằm đảm bào các thông tin trong AD là đồng nhất và sẳn sàng cho tất cả các DC cụng như client trong mạng.

    -Global Catalog: đúng nghĩa 1 cuốn catalog chứa các thông tin cần thiết (1 số thuộc tính thường dùng như first/ last/ logon name) để định vị 1 đối tượng bất kỳ trong Directory.
    -Global Catalog Server: là DC chịu trách nhiệm thu nhận các truy vấn tài nguyên và xử lý chúng căn cứ vào global catalog. Ví dụ bạn search tìm tất cả các máy in trong tòan forest, Global Catalog Server tìm trong Global Catalog và trả về kết quả. Nếu không có Global Catalog Server, truy vấn này sẽ tìm kiếm trên từng domain trong forest làm tăng trafic mạng. (giống như muốn đặt mua 1 cái tủ, tui tới showroom (Global Catalog Server) chỉ mẫu đó trong catalog, showroom căn cứ vào các thông tin trong catalog như mã hàng, màu sắc... liên hệ với các kho (DC) lấy cho tui. Nếu không có catalog, thằng chả fải chạy tới từng kho tìm mẫu đó, vừa tốn thời gian vừa tăng trafic.)
    DC đầu tiên được tạo trong AD sẽ là Global Catalog Server. Ta có thể active thêm vai trò này trên DC khác trong Forest để cân bằng tải cho tiến trình truy vấn tài nguyên và cả cho việc đăng nhập nữa.

    Operations Master: vì sao có khái niệm này? Đối với 1 họat động (Operation) nào đó, không thể có nhiều người cùng ra quyết định. mà không gây xào xáo mâu thuẩn. Phải có 1 tay trùm (Master) thống nhất ra quyết định. Ví dụ như cùng 1 thời điểm DC này xóa 1 Domain Object rồi replicate. DC khác lại move chính Domain Object đó vào location khác và replicate. Ai nghe ai. Dụ này hả, để ông trùm Domain naming Master giải quyết.

    Vậy Operations Master là vai trò tối thượng (MASTER) của 1 DC trong Win2K Active Directory đối với 1 họat động (Operation) nào đó. Chỉ có DC giữ vai trò Operations Master mới được fép trực tiếp thực hiện những thay đổi liên quan đến AD.
    Có 5 Operations Master Role:
    1- Schema Master=DC duy nhất có quyền quản lý việc cập nhật vào AD Schema

    2- Domain naming Master: quản lý việc thêm bớt domain trong forest. Domain controler nào đóng vai trò này cũng fải đóng vai trò Global Catalog Server luôn.

    3- PDC (Primary Domain Controler) Emulator: họat động như 1 PCD trong môi trường lai WinNT và 2K để tương thích ngược/ hỗ trợ các BDC WinNT / các Client trước Win2K.

    4- RID (Relative Identifier) Master: cấp fát các dải RID cho các DC trong Domain.
    ** 1 DC khi tạo ra 1 đối tượng quản trị như user/ group/ computer object, nó sẽ gán cho mỗi object này 1 SID (Security Identifier) duy nhất (giống số xe). SID này gồm 1 Domain SID (giống nhau cho tất cả các object được tạo trong cùng 1 Domain ~ phần số xe phân biệt Tỉnh/ Thành) và 1 RID (duy nhất cho mỗi đối tượng trong Domain đó). Vậy RID là yếu tố phân biệt giữa object này với object khác trong cùng domain. Trong khi Domain SID + RID là yếu tố phân biệt giữa object này với object khác trong tòan Forest.
    Để đảm bảo việc mỗi object có 1 RID duy nhất, các DC trong cùng 1 domain không thể cấp phát RID búa xua được mà fải chịu sự quản lý tập trung của RID Master. Thế nhưng RID Master không cấp phát trực tiếp RID (DC câp). Mà nó cấp hẳn 1 dải RID cho 1 DC, DC dùng RID trong dải này cấp cho các object mới. Hết dải này, xin thêm dải khác. (giống như anh Trung Ương bảo anh Quận 5 được cấp số xe từ HCM-10...50. anh Quận I cấp từ HCM-51...100. Khi anh Quận 5 cấp hết số cho nhân dân lên xin sẽ được TW cấp thêm dãi HCM-101...150 chẳng hạn, nếu dãi này chưa cấp cho ai khác.)

    5- Infastructure Master: Khi Forest của chúng ta có hơn 1 domain, để từ Domain A truy cập các đối tượng ớ domain B, chúng ta phải có tham chiếu của đối tượng đó (object reference). Infastructure Master sẽ định kỳ dùng cơ chế replicate truy vấn Global Catalog Server để cập nhật các tham chiếu rồi đồng bộ thông tin đó cho các DC trong domain. Lưu ý a/ Nếu Forest bạn chỉ có 1 domain --> không cần active Infastructure Master. b/ Không đặt Infastructure Master vào DC đã đóng vai trò Global Catalog Server vì Infastructure Master sẽ không họat động được do không replicate được với Global Catalog Server (chung 1 DC thì còn replicate gì nữa).

    Lưu ý:
    -Trong mỗi Forest chỉ có 1 Schema Master và 1 Domain naming Master
    -Mỗi domain có riêng và chỉ 1PDC Emulator, 1 RID Master, 1 Infastructure Master.
    -Mặc định, Domain Controler đầu tiên của 1 Forest mới đãm nhận cả 5 vai trò và cũng là 1 global catalog server
    -Mặc định, Domain Controler đầu tiên của 1 Domain đãm nhận cả đồng thời 3 vai trò PDC Emulator, 1 RID Master, 1 Infastructure Master.
    Có nhiều khi lý trí bảo con tim. Thôi không yêu, đừng giận hờn, thương nhớ. Nhưng con tim là một thằng Quái gở. Cứ cồn cào thoi thóp thở tên em.

    Left-Handed Signature: U ZZiM i

  • #2
    bài này rất hay, mình mới học MCSA nhưng đọc 1 số tài liệu không thấy nói rõ như bài này. Cho mình hỏi phần FSMO này nói trong quyển MCSA hay MCSE ?

    Comment


    • #3
      Chào !!!
      FSMO được nói đến trong chương trình MCSE
      Bạn có thể tham khảo bài viết bên dưới đây :
      Giới thiệu về FSMO Role
      Sự cần thiết của các FSMO role


      Trong các phần trước của loạt bài này, chúng ta đã được biết đến Active Directory, với một rừng (forest) các cây miền (domain tree), trong đó tên của mỗi miền cũng đồng thời là vị trí của chúng trong forest.


      Với cấu trúc cây phân tầng tự nhiên của Active Directory, bạn có thể dễ dàng đoán biết được các miền ở gần phía trên là những miền quan trọng nhất (đôi khi có các Domain Controller bên trong các miền đó). Trong bài này chúng ta sẽ thảo luận quy tắc các Domain Controller riêng lẻ phải tuân thủ bên trong Active Directory forest.
      Trước đây, chúng ta có nói về các miền bên trong Windows NT. Cũng giống như Active Directory, Windows NT domain hỗ trợ sử dụng đa Domain Controller. Xin nhớ rằng Domain Controller chịu trách nhiệm thẩm định thông tin đăng nhập của người dùng. Do đó, nếu Domain Controller không hoạt động, sẽ không có bất kỳ ai được phép đăng nhập vào mạng. Microsoft nhận thức sớm được điều này nên thiết kế Windows cho phép sử dụng đa Domain Controller cùng một lúc. Nếu một Domain Controller bị hỏng, Domain Controller khác có thể thay thế nó, giúp hoạt động thẩm định đăng nhập mạng không bị gián đoạn. Có nhiều Domain Controller cũng cho phép miền liên quan đến hoạt động tải được chia sẻ bởi đa máy tính, tránh đẩy gánh nặng lên toàn bộ một server đơn.
      Mặc dù Windows NT hỗ trợ đa Domain Controller trong một miền, nhưng luôn có một Domain Controller được xem là quan trọng nhất. Người ta gọi đó là Primary Domain Controller (máy điều khiển miền chính) hay PDC. Bạn có thể nhớ lại là, một Domain Controller bao gồm một cơ sở dữ liệu chứa tất cả thông tin tài khoản người dùng bên trong miền (tất nhiên còn nhiều thứ khác). Cơ sở dữ liệu này được gọi là Security Accounts Manager, hay SAM.
      Trong Windows NT, PDC lưu trữ bản copy chính của cơ sở dữ liệu. Các Domain Controller khác trong miền Windows NT được gọi là Backup Domain Controller (Domain Controller dự trữ), hay BDC. Mỗi lần thực hiện thay đổi trên cơ sở dữ liệu của Domain Controller, thay đổi này sẽ được ghi vào PDC. Sau đó PDC sao chép thay đổi ra tất cả các BDC khác trong miền. Theo nghĩa thông thường, PDC chỉ là Domain Controller trong miền Windows NT, là miền mà các bản update có thể được sử dụng. Nếu PDC bị lỗi, sẽ có cách thức điều khiển từ xa một BDC tới PDC, cho phép Domain Controller hoạt động theo đúng chức năng của nó trong miền, nhưng chỉ với vai trò PDC.
      Các miền Active Directory hơi khác một chút. Active Directory sử dụng mô hình sao chép đa chủ, tức là mọi Domain Controller trong miền đều có thể ghi. Ở đây không còn khái niệm PDC hay BDC. Nếu một người quản trị cần thực hiện thay đổi trên cơ sở dữ liệu Active Directory, thay đổi này được áp dụng cho bất kỳ Domain Controller nào trong miền, và sau đó được sao chép tới các Domain Controller còn lại.
      Mô hình sao chép đa chủ được đánh giá là ý tưởng không tồi. Nó mở ra cánh cửa mới cho các thay đổi mâu thuẫn trái chiều. Chẳng hạn, chuyện gì sẽ xảy ra nếu hai quản trị viên khác nhau áp dụng các thay đổi mâu thuẫn cho hai Domain Controller rải rác ở hai vị trí trong cùng một thời điểm?
      Thông thường, Active Directory dành quyền ưu tiên cho các thay đổi mới nhất. Nhưng trong một số trường hợp, phương pháp này không thể giải quyết được xung đột nghiêm trọng. Do đó, Microsoft đưa ra gợi ý là tốt hơn hết bạn nên ngăn ngừa xung đột từ khi chúng chớm xuất hiện hoặc chưa xuất hiện, còn hơn là giải quyết chúng sau khi đã xảy ra.
      Trong các trường hợp này, Windows cung cấp cho chúng ta giải pháp chỉ định một số Domain Controller thực hiện vai trò Flexible Single Master Operation (FSMO). Về cơ bản, sử dụng FSMO có nghĩa là các miền Active Directory hỗ trợ đầy đủ mô hình sao chép đa chủ, ngoại trừ trong một số trường hợp riêng nhất định, miền được khôi phục sử dụng mô hình đơn chủ. Có ba vai trò FROM khác nhau được gán ở mức domain, và hai vai trò bổ sung gán ở mức forest.
      Các FSMO role được đặt ở đâu?
      Hầu hết các role (vai trò) FSMO đều chỉ chú trọng đến bản thân chúng. Nhưng thông tin cho bạn biết Domain Controller nào sở hữu các role nào cũng hết sức quan trọng. Mặc định, Domain Controller đầu tiên trong rừng sở hữu 5 role. Khi các domain bổ sung được tạo, Domain Controller đầu tiên sẽ mang trực tuyến đến cho từng miền sở hữu 3 role FSMO mức domain.
      Lý do quan trọng để biết Domain Controller nào nắm giữ các role nào là bởi thiết bị phần cứng sau này sẽ bị lão hoá và cuối cùng cũng buộc phải loại bỏ. Một trường hợp trước đây tôi từng chứng kiến, một quản trị viên mạng chuẩn bị triển khai mạng Active Directory cho công ty của anh ta. Trong thời gian chờ server mới được đưa đến, quản trị viên cài đặt Windows trên một PC cũ để thử nghiệm một số chức năng quản lý Active Directory khác nhau.
      Cuối cùng các server mới đến, quản trị viên cấu hình chúng với vai trò Domain Controller trong miền đã được tạo thay vì tạo một rừng mới. Tất nhiên, như thế tức là chiếc PC cũ nắm giữ các role FSMO. Mọi thứ hoạt động tốt cho đến khi quản trị viên quyết định loại bỏ PC cũ khỏi mạng. Anh ta ngưng sử dụng server này, cũng chưa phải là vấn đề. Nhưng thiếu kinh nghiệm hơn là anh ta format lại ổ cứng của máy. Vô số vấn đề đột nhiên diễn ra liên tục trên Active Directory. Nếu quản trị viên nhận ra rằng máy mà anh ta loại bỏ khỏi miền đang nắm giữ domain và các role FSMO của forest, anh ta có thể tránh được tất cả vấn đề đang diễn ra. Trong trường hợp này, bạn cần nắm giữ lại cá role FSMO từ server chết để mạng có thể phục hồi lại các hoạt động bình thường.

      FSMO Roles: PDC Emulator, RID Master, Infrastructure Master, Domain Naming Master, Schema Master
      FSMO Role, chúng là gì?
      Chúng ta sẽ thảo luận chức năng cụ thể của các FROM role này trong phần sau của loạt bài này. Ở đây tôi chỉ muốn lướt qua khái niệm cơ bản, giúp bạn hình dung xem chúng là gì. Như đã nói ở trên, có ba role mức domain và hai role mức forest.
      Các role mức miền bao gồm: Relative identifier, Primary Domain Controller Emulator và Infrastructure Master. Các role mức rừng gồm Schema Master và Domain Naming master. Dưới đây là bản mô tả tóm tắt chức năng của các role này:
      Schema Master: quản lý bản sao của cơ sở dữ liệu Active Directory.
      Domain Naming Master: quản lý danh sách các miền trong rừng.
      Relative Identifier Master: chịu trách nhiệm đảm bảo cho tất cả đối tượng Active Directory trong một miền đều được nhận mã số nhân dạng bảo mật duy nhất.
      Primary Domain Controller Emulator: hoạt động như một Primary Domain Controller trong các miền có Domain Controller chạy Windows NT.
      Infrastructure Master: Chịu trách nhiệm cập nhật thông tin nhân dạng bảo mật của một đối tượng và phân biệt tên trong tham chiếu chéo đối tượng miền.
      Kết luận
      Hy vọng đến giờ bạn đã có thể hiểu được tầm quan trọng của các role FSMO cho dù cho biết các nguyên tắc hoạt động thực sự của chúng là gì. Trong phần tiếp theo của loạt bài này, chúng ta sẽ tiếp tục thảo luận về role FSMO chi tiết hơn nhằm giúp bạn hiểu thực sự chúng làm gì. Chúng tôi cũng sẽ chỉ cho bạn cách xác định server nào sở hữu những role nào.

      (theo QTM/ WindowsNetworking)
      chema Master

      Active Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu, cũng giống như cơ sở dữ liệu khác, Active Directory có một giản đồ. Tuy nhiên lại không giống như các cơ sở dữ liệu khác, giản đồ của Active Directory không phải giản đồ tĩnh. Có một số hoạt động cần thiết mở rộng giản đồ. Ví dụ, việc cài đặt Exchange Server cần giản đồ Active Directory để được mở rộng. Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ Active Directory thì những thay đổi đó cũng được áp dụng cho Schema Master.

      Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy Microsoft để ẩn nó không cho nhìn thấy. Nếu cần phải tìm máy chủ nào đang cấu hình Schema Master role thì bạn phải đưa đĩa CD cài Windows Server 2003 và kích đúp vào file ADMINPAK.MSI trong thư mục I386. Khi thực hiện điều đó, Windows sẽ khởi chạy Administration Tools Pack Setup Wizard. Theo cửa sổ wizard để cài đặt gói các công cụ quản trị.

      Khi quá trình cài đặt được hoàn tất, bạn đóng Setup wizard và mở Microsoft Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh RUN. Khi cửa sổ được mở, chọn Add/Remove từ menu File. Sau khi chọn xong, cửa sổ sẽ hiển thị trang thuộc tính của thành phần Add/Remove. Kích chuột vào nút Add để xuất hiện một danh sách có sẵn các mô đun. Chọn mô đun Active Directory Schema trong danh sách và kích vào nút Add, sau đó nhấn Close và nút OK.

      Bây giờ mô đun đã được tải ra, kích chuột phải vào Active Directory Schema và chọn Operations Master từ menu chuột phải. Một hộp thoại sẽ xuất hiện, hộp thoại này thông báo cho bạn biết rằng máy chủ nào đang cấu hình với tư cách là Schema Master của forest.

      Domain Naming Master

      Như tôi đã giải thích, một rừng Active Directory có thể gồm nhiều miền. Việc kiểm tra các miền này là công việc của Domain Naming Master. Nếu Domain Naming Master bị lỗi thì nó không thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến.

      Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một forest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích chuột phải vào Active Directory Domains and Trusts và chọn Operations Masters. Sau khi chọn xong, Windows sẽ hiển thị Domain Naming master.

      Relative Identifier (Bộ nhận dạng quan hệ)

      Active Directory cho phép quản trị viên tạo các đối tượng Active Directory trên bất kỳ bộ điều khiển miền nào. Mỗi một đối tượng phải có một số hiệu nhận dạng quan hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau, Relative Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một điều khiển miền. Khi một đối tượng mới được tạo trong một miền, bộ điều khiển miền mà đối tượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó ra khỏi nhóm và gán cho đối tượng. Khi một nhóm được khai thác hết thì bộ điều khiển miền phải liên lạc với Relative Identifier Master để có thêm bộ nhận dạng quan hệ. Như vậy, triệu chứng cuối cùng của Relative Identifier Master lỗi là hoàn toàn bất lực trong việc tạo các đối tượng trong Active Directory.

      Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một miền, hãy mở Active Directory Users and Computers. Khi cửa số này được mở, kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuộc tính của Operations Masters. Trong cửa sổ này bạn có thể chọn bộ điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab RID của trang thuộc tính.

      Primary Domain Controller Emulator

      Xuyên suốt loạt các bài viết này, tôi đã nói về role mà Primary Domain Controller (PDC) hoạt động trong môi trường Windows NT. Role của PDC emulator được tạo để cho phép các bộ điều khiển miền Active Directory cùng tồn tại với các bộ điều khiển miền Windows NT. Ý tưởng cơ bản ở đây là khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc Windows Server 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Ở điểm này, bộ điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển miền Active Directory và một PDC cho các bộ điều khiển miền vẫn đang chạy Windows NT.

      Role của PDC emulator ngày nay càng không liên quan nhiều hơn bởi vì rất ít các tổ chức sử dụng Windows NT Server. Nếu bạn cần chỉ định máy chủ nào trong miền đang cấu hình role của PDC Emulator dù cho bạn có thể thực hiện điều đó bằng cách mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuột tính của Operations Masters. Bạn có thể xác định bộ điều khiển miền nào đang hành động như PDC Emulator bằng cách quan sát tại tab PDC của trang thuộc tính.

      Infrastructure Master

      Trong môi trường Active Directory, một forest có thể gồm nhiều miền. Tất nhiên ngụ ý của nó là các miền Active Directory không hoàn toàn mà các thực thể độc lập mà chúng đôi khi phải truyền thông với phần còn lại của forest. Đây chính là nơi mà Infrastructure Master diễn ra. Khi bạn tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự thay đổi sẽ được truyền một cách tự nhiên xuyên suốt miền. Vấn đề là phần còn lại của forest không biết đến sự thay đổi này. Đây chính là công việc của Infrastructure Master, làm thế nào để cho phần còn lại của forest biết được có sự thay đổi.

      Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên miền. Ví dụ, nếu bạn đã đặt lại tên cho một tài khoản người dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền khác trong forest.

      Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho một miền, mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽ hiển thị trang thuộc tính của Operations Masters. Bạn có thể xác định được bộ điều khiển miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab Infrastructure của trang thuộc tính.

      (theo QTM/ WindowsNetworking)

      Tiếp tục về FSMO Role
      Bài viết này chúng tôi sẽ tiếp tục giới thiệu đến các bạn các role của FSMO bằng cách giới thiệu về những gì role thực hiện, hậu quả thất bại FSMO và làm thế nào để phát hiện máy chủ nào đang quản lý role FSMO.


      Sự quan trọng của Role

      Trong phần trước của bài này, chúng tôi đã giải thích về các miền Active Directory sử dụng mô hình đa master ngoại trừ trong các tình huống đặc biệt quan trọng để tránh xung đột. Trong các tình huống này, Windows sẽ hoàn nguyên mô hình đơn master trong một bộ điều khiển miền đơn thực hiện với tư cách thẩm định đơn nhất cho sự thay đổi theo yêu cầu. Các bộ điều khiển miền này dùng để giữ FSMO role (Flexible Single Operations Master).

      Như những gì chúng tôi đã giải thích trong phần 7, có 5 FSMO role khác nhau. Hai role tồn tại tại mức forest và 3 tồn tại ở mức miền (domain). Các role mức forest gồm có Schema Master và Domain Naming master, trong khi đó các role FSMO mức miền lại gồm Relative Identifier Master, Primary Domain Controller (PDC) Emulator và Infrastructure Master.

      Quả thực tôi đã cân nhắc xem có cần phải thảo luận hay không về FSMO role quá sớm trong loạt bài viết này. Rốt cuộc thì tôi cũng đã quyết định bởi FSMO role là rất quan trọng trong việc hỗ trợ chức năng Active Directory.

      Tôi chắc bạn có thể biết, Active Directory đòi hỏi các dịch vụ DNS phải có thể truy cập và mỗi miền phải có ít nhất một bộ điều khiển miền. Khi một mạng nào đó dựa trên Active Directory được khởi tạo ban đầu thì bộ điểu khiển miền đầu tiên hầu như được cấu hình để thực hiện với tư cách là máy chủ DNS của mạng. Bộ điều khiển miền tương tự cũng được gán cho tất cả 5 FSMO role. Nếu các miền khác được tạo bên trong forest thì bộ điều khiển miền đầu tiên bên trong mỗi miền sẽ cấu hình FSMO role cho miền đó. Các FSMO role mức forest chỉ được cấu hình trên bộ điều khiển miền đơn mà không quan tâm đến số lượng miền trong một forest.

      Tôi nói cho bạn điều này vì muốn nhắc về những gì sẽ xảy ra nếu một bộ điều khiển miền đang cấu hình FSMO role bị lỗi. Nếu bộ điều khiển miền gồm có các FSMO role mức forest bị lỗi thì bạn cần phải chú ý làm rạch ròi vấn đề. Không phải tất cả FSMO role đều có vai trò quan trọng đối với hoạt động của mạng mà chỉ có bộ điều khiển miền cấu hình FSMO role mức forest mới thường xuyên cấu hình các dịch vụ DNS - dịch vụ được xem là rất quan trọng đối với Active Directory. Nếu dịch vụ DNS được cấu hình trên một máy chủ riêng biệt và các miền bên trong mỗi forest có nhiều hơn một bộ điều khiển miền thì có thể sẽ không cần lưu ý đến lỗi (trừ khi bạn có phần mềm kiểm tra để cảnh báo đã bị lỗi)

      Bình thương sẽ không có hậu quả ngay lập tức xảy ra đối với một FSMO role lỗi, nhưng một số triệu chứng lạ sẽ phát triển sau đó nếu vấn đề vẫn không được sửa. Trong trường hợp này, việc biết được các dấu hiệu của một FSMO role bị lỗi là rất quan trọng. Và cũng quan trọng đối với bạn đó là làm thế nào để xác định được máy chủ nào đang cấu hình mỗi FSMO role. Bằng cách đó, nếu các triệu chứng hợp với một lỗi FSMO role xuất hiện thì bạn có thể kiểm tra xem máy chủ đang cấu hình FSMO role có phải bị lỗi hay không và sau đó có thể xử lý sự cố cho máy chủ đó.
      Schema Master

      Active Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu, cũng giống như cơ sở dữ liệu khác, Active Directory có một giản đồ. Tuy nhiên lại không giống như các cơ sở dữ liệu khác, giản đồ của Active Directory không phải giản đồ tĩnh. Có một số hoạt động cần thiết mở rộng giản đồ. Ví dụ, việc cài đặt Exchange Server cần giản đồ Active Directory để được mở rộng. Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ Active Directory thì những thay đổi đó cũng được áp dụng cho Schema Master.

      Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy Microsoft để ẩn nó không cho nhìn thấy. Nếu cần phải tìm máy chủ nào đang cấu hình Schema Master role thì bạn phải đưa đĩa CD cài Windows Server 2003 và kích đúp vào file ADMINPAK.MSI trong thư mục I386. Khi thực hiện điều đó, Windows sẽ khởi chạy Administration Tools Pack Setup Wizard. Theo cửa sổ wizard để cài đặt gói các công cụ quản trị.

      Khi quá trình cài đặt được hoàn tất, bạn đóng Setup wizard và mở Microsoft Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh RUN. Khi cửa sổ được mở, chọn Add/Remove từ menu File. Sau khi chọn xong, cửa sổ sẽ hiển thị trang thuộc tính của thành phần Add/Remove. Kích chuột vào nút Add để xuất hiện một danh sách có sẵn các mô đun. Chọn mô đun Active Directory Schema trong danh sách và kích vào nút Add, sau đó nhấn Close và nút OK.

      Bây giờ mô đun đã được tải ra, kích chuột phải vào Active Directory Schema và chọn Operations Master từ menu chuột phải. Một hộp thoại sẽ xuất hiện, hộp thoại này thông báo cho bạn biết rằng máy chủ nào đang cấu hình với tư cách là Schema Master của forest.

      Domain Naming Master

      Như tôi đã giải thích, một rừng Active Directory có thể gồm nhiều miền. Việc kiểm tra các miền này là công việc của Domain Naming Master. Nếu Domain Naming Master bị lỗi thì nó không thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến.

      Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một forest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích chuột phải vào Active Directory Domains and Trusts và chọn Operations Masters. Sau khi chọn xong, Windows sẽ hiển thị Domain Naming master.

      Relative Identifier (Bộ nhận dạng quan hệ)

      Active Directory cho phép quản trị viên tạo các đối tượng Active Directory trên bất kỳ bộ điều khiển miền nào. Mỗi một đối tượng phải có một số hiệu nhận dạng quan hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau, Relative Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một điều khiển miền. Khi một đối tượng mới được tạo trong một miền, bộ điều khiển miền mà đối tượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó ra khỏi nhóm và gán cho đối tượng. Khi một nhóm được khai thác hết thì bộ điều khiển miền phải liên lạc với Relative Identifier Master để có thêm bộ nhận dạng quan hệ. Như vậy, triệu chứng cuối cùng của Relative Identifier Master lỗi là hoàn toàn bất lực trong việc tạo các đối tượng trong Active Directory.

      Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một miền, hãy mở Active Directory Users and Computers. Khi cửa số này được mở, kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuộc tính của Operations Masters. Trong cửa sổ này bạn có thể chọn bộ điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab RID của trang thuộc tính.

      Primary Domain Controller Emulator

      Xuyên suốt loạt các bài viết này, tôi đã nói về role mà Primary Domain Controller (PDC) hoạt động trong môi trường Windows NT. Role của PDC emulator được tạo để cho phép các bộ điều khiển miền Active Directory cùng tồn tại với các bộ điều khiển miền Windows NT. Ý tưởng cơ bản ở đây là khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc Windows Server 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Ở điểm này, bộ điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển miền Active Directory và một PDC cho các bộ điều khiển miền vẫn đang chạy Windows NT.

      Role của PDC emulator ngày nay càng không liên quan nhiều hơn bởi vì rất ít các tổ chức sử dụng Windows NT Server. Nếu bạn cần chỉ định máy chủ nào trong miền đang cấu hình role của PDC Emulator dù cho bạn có thể thực hiện điều đó bằng cách mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuột tính của Operations Masters. Bạn có thể xác định bộ điều khiển miền nào đang hành động như PDC Emulator bằng cách quan sát tại tab PDC của trang thuộc tính.

      Infrastructure Master

      Trong môi trường Active Directory, một forest có thể gồm nhiều miền. Tất nhiên ngụ ý của nó là các miền Active Directory không hoàn toàn mà các thực thể độc lập mà chúng đôi khi phải truyền thông với phần còn lại của forest. Đây chính là nơi mà Infrastructure Master diễn ra. Khi bạn tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự thay đổi sẽ được truyền một cách tự nhiên xuyên suốt miền. Vấn đề là phần còn lại của forest không biết đến sự thay đổi này. Đây chính là công việc của Infrastructure Master, làm thế nào để cho phần còn lại của forest biết được có sự thay đổi.

      Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên miền. Ví dụ, nếu bạn đã đặt lại tên cho một tài khoản người dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền khác trong forest.

      Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho một miền, mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽ hiển thị trang thuộc tính của Operations Masters. Bạn có thể xác định được bộ điều khiển miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab Infrastructure của trang thuộc tính.

      Kết luận

      Như những gì bạn có thể thấy, các role FSMO đóng vai trò quan trọng trong chức năng của Active Directory. Trong phần tiếp theo của loạt bài viết này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cấu trúc của Active Directory và việc định tên giản đồ được sử dụng bởi các đối tượng Active Directory.
      (theo QTM/ WindowsNetworking)

      Chúc bạn vui !!!
      Trần Mỹ Phúc
      tranmyphuc@hotmail.com
      Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học)

      Cisco Certs : CCNP (Passed TSHOOT 1000/1000)

      Juniper Certs :
      JNCIP-ENT & JNCIP-SEC
      INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ...

      [version 4.0] Ôn tập CCNA


      Comment


      • #4
        cám ơn Phúc.

        Mình hỏi tiếp: Nếu như infrastructure Master có vai trò đồng bộ các thực thể trong một forest thì tại sao không xếp Infrastructure Master vào nhóm role mức forest mà chỉ là mức domain?

        1 câu hỏi nữa: bạn có thể chỉ giúp mình cách dùng command line thực hiện transfer & seize DC được không?

        1 câu hỏi ngoài lề: có tool nào hỗ trợ quản lí AD và GPO khác nữa không? Ví dụ trong GPO có rất nhiều chức năng mình muốn có công cụ quản lí toàn bộ những chức năng mình đã thay đổi hoặc công cụ search dựa theo key word nào đó chẳng hạn?

        Comment

        Working...
        X