Kiến thức cơ bản về mạng: Phần 7 - Giới thiệu về FSMO Role

Sự cần thiết của các FSMO role

Trong các phần trước của loạt bài này, chúng ta đã được biết đến Active Directory, với một rừng (forest) các cây miền (domain tree), trong đó tên của mỗi miền cũng đồng thời là vị trí của chúng trong forest. Với cấu trúc cây phân tầng tự nhiên của Active Directory, bạn có thể dễ dàng đoán biết được các miền ở gần phía trên là những miền quan trọng nhất (đôi khi có các Domain Controller bên trong các miền đó). Trong bài này chúng ta sẽ thảo luận quy tắc các Domain Controller riêng lẻ phải tuân thủ bên trong Active Directory forest.

Trước đây, chúng ta có nói về các miền bên trong Windows NT. Cũng giống như Active Directory, Windows NT domain hỗ trợ sử dụng đa Domain Controller. Xin nhớ rằng Domain Controller chịu trách nhiệm thẩm định thông tin đăng nhập của người dùng. Do đó, nếu Domain Controller không hoạt động, sẽ không có bất kỳ ai được phép đăng nhập vào mạng. Microsoft nhận thức sớm được điều này nên thiết kế Windows cho phép sử dụng đa Domain Controller cùng một lúc. Nếu một Domain Controller bị hỏng, Domain Controller khác có thể thay thế nó, giúp hoạt động thẩm định đăng nhập mạng không bị gián đoạn. Có nhiều Domain Controller cũng cho phép miền liên quan đến hoạt động tải được chia sẻ bởi đa máy tính, tránh đẩy gánh nặng lên toàn bộ một server đơn.

Mặc dù Windows NT hỗ trợ đa Domain Controller trong một miền, nhưng luôn có một Domain Controller được xem là quan trọng nhất. Người ta gọi đó là Primary Domain Controller (máy điều khiển miền chính) hay PDC. Bạn có thể nhớ lại là, một Domain Controller bao gồm một cơ sở dữ liệu chứa tất cả thông tin tài khoản người dùng bên trong miền (tất nhiên còn nhiều thứ khác). Cơ sở dữ liệu này được gọi là Security Accounts Manager, hay SAM.

Trong Windows NT, PDC lưu trữ bản copy chính của cơ sở dữ liệu. Các Domain Controller khác trong miền Windows NT được gọi là Backup Domain Controller (Domain Controller dự trữ), hay BDC. Mỗi lần thực hiện thay đổi trên cơ sở dữ liệu của Domain Controller, thay đổi này sẽ được ghi vào PDC. Sau đó PDC sao chép thay đổi ra tất cả các BDC khác trong miền. Theo nghĩa thông thường, PDC chỉ là Domain Controller trong miền Windows NT, là miền mà các bản update có thể được sử dụng. Nếu PDC bị lỗi, sẽ có cách thức điều khiển từ xa một BDC tới PDC, cho phép Domain Controller hoạt động theo đúng chức năng của nó trong miền, nhưng chỉ với vai trò PDC.

Các miền Active Directory hơi khác một chút. Active Directory sử dụng mô hình sao chép đa chủ, tức là mọi Domain Controller trong miền đều có thể ghi. Ở đây không còn khái niệm PDC hay BDC. Nếu một người quản trị cần thực hiện thay đổi trên cơ sở dữ liệu Active Directory, thay đổi này được áp dụng cho bất kỳ Domain Controller nào trong miền, và sau đó được sao chép tới các Domain Controller còn lại.

Mô hình sao chép đa chủ được đánh giá là ý tưởng không tồi. Nó mở ra cánh cửa mới cho các thay đổi mâu thuẫn trái chiều. Chẳng hạn, chuyện gì sẽ xảy ra nếu hai quản trị viên khác nhau áp dụng các thay đổi mâu thuẫn cho hai Domain Controller rải rác ở hai vị trí trong cùng một thời điểm?

Thông thường, Active Directory dành quyền ưu tiên cho các thay đổi mới nhất. Nhưng trong một số trường hợp, phương pháp này không thể giải quyết được xung đột nghiêm trọng. Do đó, Microsoft đưa ra gợi ý là tốt hơn hết bạn nên ngăn ngừa xung đột từ khi chúng chớm xuất hiện hoặc chưa xuất hiện, còn hơn là giải quyết chúng sau khi đã xảy ra.

Trong các trường hợp này, Windows cung cấp cho chúng ta giải pháp chỉ định một số Domain Controller thực hiện vai trò Flexible Single Master Operation (FSMO). Về cơ bản, sử dụng FSMO có nghĩa là các miền Active Directory hỗ trợ đầy đủ mô hình sao chép đa chủ, ngoại trừ trong một số trường hợp riêng nhất định, miền được khôi phục sử dụng mô hình đơn chủ. Có ba vai trò FROM khác nhau được gán ở mức domain, và hai vai trò bổ sung gán ở mức forest.

Các FSMO role được đặt ở đâu?

Hầu hết các role (vai trò) FSMO đều chỉ chú trọng đến bản thân chúng. Nhưng thông tin cho bạn biết Domain Controller nào sở hữu các role nào cũng hết sức quan trọng. Mặc định, Domain Controller đầu tiên trong rừng sở hữu 5 role. Khi các domain bổ sung được tạo, Domain Controller đầu tiên sẽ mang trực tuyến đến cho từng miền sở hữu 3 role FSMO mức domain.

Lý do quan trọng để biết Domain Controller nào nắm giữ các role nào là bởi thiết bị phần cứng sau này sẽ bị lão hoá và cuối cùng cũng buộc phải loại bỏ. Một trường hợp trước đây tôi từng chứng kiến, một quản trị viên mạng chuẩn bị triển khai mạng Active Directory cho công ty của anh ta. Trong thời gian chờ server mới được đưa đến, quản trị viên cài đặt Windows trên một PC cũ để thử nghiệm một số chức năng quản lý Active Directory khác nhau.

Cuối cùng các server mới đến, quản trị viên cấu hình chúng với vai trò Domain Controller trong miền đã được tạo thay vì tạo một rừng mới. Tất nhiên, như thế tức là chiếc PC cũ nắm giữ các role FSMO. Mọi thứ hoạt động tốt cho đến khi quản trị viên quyết định loại bỏ PC cũ khỏi mạng. Anh ta ngưng sử dụng server này, cũng chưa phải là vấn đề. Nhưng thiếu kinh nghiệm hơn là anh ta format lại ổ cứng của máy. Vô số vấn đề đột nhiên diễn ra liên tục trên Active Directory. Nếu quản trị viên nhận ra rằng máy mà anh ta loại bỏ khỏi miền đang nắm giữ domain và các role FSMO của forest, anh ta có thể tránh được tất cả vấn đề đang diễn ra. Trong trường hợp này, bạn cần nắm giữ lại cá role FSMO từ server chết để mạng có thể phục hồi lại các hoạt động bình thường.

FSMO Role, chúng là gì?

Chúng ta sẽ thảo luận chức năng cụ thể của các FROM role này trong phần sau của loạt bài này. Ở đây tôi chỉ muốn lướt qua khái niệm cơ bản, giúp bạn hình dung xem chúng là gì. Như đã nói ở trên, có ba role mức domain và hai role mức forest.

Các role mức miền bao gồm: Relative identifier, Primary Domain Controller Emulator và Infrastructure Master. Các role mức rừng gồm Schema Master và Domain Naming master. Dưới đây là bản mô tả tóm tắt chức năng của các role này:

Schema Master: quản lý bản sao của cơ sở dữ liệu Active Directory.

Domain Naming Master: quản lý danh sách các miền trong rừng.

Relative Identifier Master: chịu trách nhiệm đảm bảo cho tất cả đối tượng Active Directory trong một miền đều được nhận mã số nhân dạng bảo mật duy nhất.

Primary Domain Controller Emulator: hoạt động như một Primary Domain Controller  trong các miền có Domain Controller chạy Windows NT.

Infrastructure Master: Chịu trách nhiệm cập nhật thông tin nhân dạng bảo mật của một đối tượng và phân biệt tên trong tham chiếu chéo đối tượng miền.

Kết luận

Hy vọng đến giờ bạn đã có thể hiểu được tầm quan trọng của các role FSMO cho dù cho biết các nguyên tắc hoạt động thực sự của chúng là gì. Trong phần tiếp theo của loạt bài này, chúng ta sẽ tiếp tục thảo luận về role FSMO chi tiết hơn nhằm giúp bạn hiểu thực sự chúng làm gì. Chúng tôi cũng sẽ chỉ cho bạn cách xác định server nào sở hữu những role nào.  

Theo WindowsNetworking

Kiến thức cơ bản về mạng: Phần 7 - Giới thiệu về FSMO Role Tags
Bảo mật | thông tin mật | virus | công cụ | quản trị mạng | thiết bị di động | hệ điều hành | Quản trị mạng

Những bài viết tương tự Kiến thức cơ bản về mạng: Phần 7 - Giới thiệu về FSMO Role:
IBM giới thiệu công cụ bảo mật AppScan | Những thao tác cơ bản để xóa bỏ phần mềm bảo mật giả mạo | Chuyên gia bảo mật chỉ trích Google | Cyberoam: Thị trường bảo mật Việt Nam nhiều tiềm năng | Kiến thức cơ bản về mạng: Phần 8 - Tiếp tục về FSMO Role | Phần mềm miễn phí bảo vệ máy tính và sự riêng tư | 5 mẹo giúp bảo vệ dữ liệu khỏi bị xâm phạm | Báo động tình trạng bảo mật server | Android và iOS bảo mật tốt hơn hệ điều hành PC | 3 thiếu sót về bảo mật của Google+