Active Directory - Phần 8 – DC vài trò Master

[active]

Active Directory toàn tập

[Only registered and activated users can see links. ]

Thanks to ********s for Interesting Document.

------------------------------------------------------

Active Directory cho phép nhiều máy chủ Domain Controller hoạt động tương đương, tính năng Replication sẽ tự động đồng bộ toàn bộ dữ liệu giữa các Domain Controller. Tuy nhiên có những thuộc tính trong Forest và Domain chỉ có máy chủ Master thì mới có những tính năng đó. Trong phần này của bài viết tôi sẽ giới thiệu với các bạn cách thay đổi vai trò Master trong Active Directory.

[IMG]http://www.********s.net/images/stories/vne001011.JPG[/IMG]
Trong hình vẽ trên thể hiện hệ thống với:
1 – Forest đó là ********s.net
2 – Domain tree đó là: ********s.net và vne.com
4 – Domain con: mcsa.********s.net và ccna.********s.net là đomain con của domain tree ********s.net; a.vne.com và b.vne.com là domain con của domain tree vne.com.
Forest Master Role
Cả hệ thống trên có một Forest duy nhất là: ********s.net – Và chỉ có một máy chủ Domain Controller trong forest này hoạt động với vai trò Master, thường là máy chủ cài Active Directory đầu tiên trên forest. Có hai Vai trò Master trong Forest đó là:
- Schema Master Role
- Domain Naming Master Role
Schema Master Role: Trong Forest chỉ có máy chủ đóng vai trò Schema Master mới có khả năng update schema - giản đồ của Active Directory. Trong Forest khi muốn thay đổi bất kỳ cấu trúc của Active Directory bạn phải là Schema Master.
Domain Naming Master Role: Máy chủ Domain Controller với vai trò Domain Naming Master sẽ đảm nhiệm việc tạo ra domain con mới hay remove một domain con…. Tóm lại sẽ hoạt động với chức năng quản lý tên tạo và xoá domain.
Domain Master Role
Mỗi Domain Tree hay Domain con trong Domain Forest đều có một máy chủ đóng vai trò Master Domain Role. Máy chủ hoạt động với vai trò Domain Master Role mặc định là máy chủ Domain Controller đầu tiên của Domain đó. Có 3 Domain Master Role:
- Relative Identifier - RID Master
- Primary Domain Controller – PDC Master
- Infrastructure Master
Mỗi Domain chỉ có một máy chủ đảm nhiệm vai trò Domain Master Role, có thể một máy chủ đảm nhiệm tất cả các tác vụ trên nhưng bạn có thể gán cho mỗi máy chủ làm một nhiệm vụ trên.
RID Master: Mỗi domain trong Forest chỉ có một Domain Controller đóng vai trò RID Master. Khi một user, một computers được tạo mới trong active directory thì RID đóng vai trò kiểm tra tính duy nhất của record đó. Sau đó RID gán cho mỗi thông tin đó một Security ID.
PDC Master: Trong mỗi domain có một PDC master, khi hệ thống bao gồm các máy chủ domain controller: NT và cả 2003. PDC làm nhiệm vụ cho phép client đổi password, sau đó thực hiện Replications với các Domain Controller khác trong Domain.
Infrastructure Master: Khi đổi tên hay add một user vào một group nào đó, Infrastructure của Active Directory sẽ làm nhiệm vụ quản lý user và group. Một user có thể thuộc nhiều group, một group có thể chứa nhiều user và group khác và quản lý vấn đề đó thuộc về Infrastructure Master.
Trong bài viết này tôi sẽ trình bày với các bạn có hai tình huống xảy ra khi thay đổi Master của Forest hay của Domain. Để đơn giản tôi chỉ thực hiện trên forest ********s.net không có domain con hay domain tree, với hai máy chủ domain controller: vne.********s.net và dc3.********s.net – Forest Master Role và Domain Master Role đều là vne.********s.net.
1. Khi tất cả các Domain Controller đều hoạt động
2. Khi Master Server bị hỏng và bạn phải nâng cấp máy thứ cấp lên Master Domain.
I. View Master Role
Để xem hiện tại Domain Controller nào đóng vai trò master bạn có thể thực hiện theo cách sau:
- Xem RID, PDC, Infrastructure Master role bạn chỉ cần vào Active Directory Users and Computer chuột phải lên nó chọn Operations Master
[IMG]http://www.********s.net/images/stories/vne001012.JPG[/IMG]
Để xem Forest Master role:
- Domain Naming Master Role: vào Administrative Tools chọn Active Directory Domains and Trusts chuột phải vào nó chọn Operations Master.
[IMG]http://www.********s.net/images/stories/vne001013.JPG[/IMG]
- Schema Master Role: Muốn xem được Schema Master Role bạn phải vào Active Directory Schema Snap-in, thật không may là mặc định Active Directory Schema Snap-in lại không được tự động cài đặt cùng với Active Directory. Nhưng bạn có thể cài đặt Snap-In này bằng cách vào cmd gõ: regsvr32 schmmgmt.dll để cài đặt Snap-in này. Sau hệ thống báo Success:
[IMG]http://www.********s.net/images/stories/vne001014.JPG[/IMG]
Vào run gõ mmc trong cửa sổ này chọn file à add/remove Snap-in chọn Add rồi chỉ đến: Active Directory Schema Snap-in sau đó chuột phải chọn Operations Master sẽ xem được máy chủ nào là máy chủ Schema Master.
[IMG]http://www.********s.net/images/stories/vne001015.JPG[/IMG]
II. Thay đổi Master khi các Domain Controllers đều đang hoạt động tốt.
Tình huống xảy ra khi máy chủ Master được cài đặt trước với cấu hình máy không cao, không ổn định. Công ty nâng cấp máy chủ Domain Controller mới và yêu cầu mọi user và group… không được thay đổi. Khi đó bạn phải chuyển Master Role cho máy chủ mới. Với tình huống này chúng ta thực hiện tương đối đơn giản.
Trong mô hình của tôi có hai máy chủ domain controller: vne.********s.net và dc3.********s.net hiện tại máy chủ vne.********s.net là Master role của cả Forest Master và Domain Master.
Tôi sẽ chuyển đổi vị trí Master role cho máy chủ dc3.********s.net
a. Đầu tiên tôi nâng Domain Master Role
- Bao gồm: RID, PDC và Infrastructure.
Vào máy chủ vne.********s.net vào phần Active Directory User and Computer chuột phải tôi chọn Connect to Domain Controller rồi lựa chọn connect vào máy chủ dc3.********s.net
[IMG]http://www.********s.net/images/stories/vne001016.JPG[/IMG]
Nhấn OK rồi tiếp tục chuột phải vào Domain ********s.net chọn Operations Master, ngay trong tab đầu tiên là tab RID tôi thấy: current Master và Change, nhấn Change để thay đổi RID master từ máy chủ vne.********s.net sang máy chủ dc3.********s.net
[IMG]http://www.********s.net/images/stories/vne001017.JPG[/IMG]
Thật may mắn quá trình đó thực hiện rất hoàn hảo, cứ thế tôi tiếp tục chuyển sang tab PDC và Infrastructure chuyển master sang dc3.********s.net.
b. Nâng Forest Master Role
- Như vừa nói ở trên Forest Master role có: Schema Master Role và Domain Naming Master role
Chuyển Domain Naming master
Vào máy chủ vne.********s.net à Administrative tools à Active Directory Domain and Trust chuột phải vào đó chọn Connect to Domain Controller. Trong cửa sổ tôi chọn máy chủ dc3.********s.net rồi OK.
[IMG]http://www.********s.net/images/stories/vne001018.JPG[/IMG]
Tiếp đến tôi chuột phải vào Active Directory Domains and Trust chọn Operations Master, trong cửa sổ tôi thấy xuất hiện: Current Master và máy chủ cần chuyển sang là dc3.********s.net
[IMG]http://www.********s.net/images/stories/vne001019.JPG[/IMG]
Nhấn vào Change và kết quả thật tốt đẹp! Việc chuyển đổi Domain Master Role hoàn toàn thành công.
[IMG]http://www.********s.net/images/stories/vne001020.JPG[/IMG]
Chuyển Schema Master Role
Vào run gõ mmc rồi add snap-in Active Directory Schema vào
Trong cửa sổ Active Directory Schema tôi chuột phải chọn Change Domain Controller, lựa chọn phần Specify Name tôi chọn đến máy chủ: dc3.********s.net nhấn OK
[IMG]http://www.********s.net/images/stories/vne001021.JPG[/IMG]
Trong cửa sổ Active Directory Schema chuột phải chọn Operations Master, tôi thấy current master là vne.********s.net máy chủ cần transfer tới là dc3.********s.net tôi nhấn vào Change.
Kết quả thật đúng như mong đợi.
[IMG]http://www.********s.net/images/stories/vne001022.JPG[/IMG]
Kết thúc phần I này chúng ta hoàn toàn có thể chuyển đổi Master Role của Domain và của Forest.
Nhưng tôi có một lưu ý là bạn nên thực hiện theo thứ tự trên nếu bạn thực hiện bước chuyển đổi master role của Schema luôn sẽ bị lỗi. Đó là kinh nghiệm thực tế của tôi còn tại sao thì để tôi tìm hiểu và sẽ trình bày với các bạn ở các bài viết sau.
II. Tình huống khi Master Role bị hỏng.
Việc chuyển đổi Master Role khi tất cả các Domain Controller đều đang hoạt động bình thường là vô cùng đơn giản như tôi trình bày ở trên, nhưng thật không may đôi khi máy chủ Master Role của chúng ta bị hỏng không thể khắc phục lại được. Yêu cầu phải nâng cấp một máy chủ Domain Controller có sẵn trong hệ thống thành máy chủ Master Role của Forest hay của Domain tuỳ theo yêu cầu của hệ thống.
Lưu ý chỉ khi nào máy chủ Master Role thực sự hỏng bạn mới làm theo phương pháp này, bởi khi bạn tự ý nâng cấp Master Role cho một máy chủ Domain Controller, khi đó máy chủ Master trước được bật lên sẽ bị sung nhau bởi hệ thống không thể có hai Master Role.
Seize – Còn được dịch là chiếm đoạt, và chúng ta sử dụng công cụ này để đoạt quyền Master từ một máy chủ thứ cấp.
Trong tình huống 1 tôi đã nâng cấp máy chủ dc3.********s.net thành máy chủ Master. Giờ tôi tắt máy chủ dc3.********s.net và thực hiện các bứơc chiếm đoạt quyền master từ máy chủ vne.********s.net, coi như máy chủ dc3.********s.net hỏng hẳn.
Chúng ta dung một tool đó là: ntdsutil
Step 1: vào run gõ cmd để vào command line
Step 2: trong giao diện này gõ ntdsutil trong tools này chúng ta gõ: roles
Step 3: connect vào máy chủ vne.********s.net (phải sử dụng FQDN như thế này)
- Gõ connections để vào giao diện kết nối
- Gõ connect to server vne.********s.net để kết nối tới máy chủ cần thiết.
Step 4: gõ Quit để vào giao diện: fsmo maintenance
- Gõ Seize Schema Master rồi enter
- Gõ Seize Domain Naming Master rồi enter
- Gõ Seize RID Master rồi Enter
- Gõ Seize PDC rồi Enter
- Gõ Seize Infrastructure Master rồi Enter
Dưới đây tôi đưa một hình ảnh về việc Seize (chiếm đoạt) Schema Master Role
Sau khi gõ seize schema master hệ thống sẽ hỏi tôi có chắc chắn làm việc này không tôi chọn YES để hệ thống bắt đầu Seize đợi một lát sẽ hoàn tất quá trình
Cứ như vậy tôi lần lượt Seize các Master role như: RID, PDC, Infrastructure, Domain Naming
[IMG]http://www.********s.net/images/stories/vne001023.JPG[/IMG]
Sau Seize cả 5 Master Role tôi chọn quit, quit để thoát khỏi giao diện cmd.
Khởi động lại máy tính vào Active Directory Domain and Trust chuột phải chọn Operations Master tôi xem kết quả làm việc của tôi và kết quả thật tuyệt!
[IMG]http://www.********s.net/images/stories/vne001024.JPG[/IMG]
Giờ tôi hoàn toàn có thể yên tâm là máy chủ vne.********s.net đã hoạt động như một Master Server.
Trong bài viết sau tôi sẽ bắt đầu trình bày các bạn về Exchange Server 2003.
Theo ********s Research Department.