10:17 AM
MISDUONG
Có 5 vai trò khác nhau của
FSMO, mỗi vai trò làm một
chức năng, nhiệm vụ khác nhau để
Active Directory có thể
hoạt động được.
PDC Emulator:
Đây là role mà được sử dụng nhiều nhất và tính
năng rộng nhất trong tất cả FSMO.
Domain controller nào giữ
role này thì cực kỳ quan trọng trong môi trường
mix mode (Có nghĩa là tồn tại
BDC WinNT).
Mà cho
dù hệ thống mạng của bạn có thuần Windows 2000 hoặc Windows 2003 đi nữa thì role này vẫn có
rất nhiều việc để làm.
VD đơn
giản: PDC Emulator thực
hiện làm nhiệm vụ máy chủ thời
gian gốc (Root time
server) để đồng
bộ đồng hồ của tất cả máy trạm trong một forest (rừng). Rất rất quan
trọng, khi máy trạm của bạn bị lệch thời gian khá nhiều, thì việc xác thực kerberos sẽ bị thất bại và user sẽ không logon vào được domain.
Như vậy các bạn
đủ thấy tầm quan trọng của Role này rồi nhé.
Hiểu rồi thì việc set time server sẽ biết trỏ vô con server nào rồi chứ 
Tính
năng thứ 2 của nó là
thực thi các thay đổi
của GPO (Group policy object).
VD: Khi bạn tạo một new GPO đầu tiên thì GPO này sẽ
nằm trong folder
SYSVOL, và việc
replicate đến các
domain khác là do PDC
Emulator thực hiện
Tính
năng thứ 3 nữa là role này sẽ đảm
nhận nhiệm vụ nhận biết sự thay đổi password, account lockout của
user và replicate nó đến các domain khác.
Hi hi, vì thế khi
role này mà bị chết đi, thì các
bạn gặp rất rất nhiều phiền toái.
Mỗi domain trong một
rừng sẽ có tối thiểu
1 PDC emulator. Như vậy nếu
bạn có 4 domain trong một forest, thì bạn sẽ
có 4 PDC emulator. That’s all.
RID Master
Mỗi domain trong một
forest chắc chắn
sẽ có 1 domain
controller giữ role này.
Role này làm
nhiệm vụ cung cấp một dãy RIDs (relative IDs)
dịch đại loại là mã
số định danh.
RIDs được
sử dụng khi bạn tạo
một đối tượng (User hoặc
computer) bởi vì khi đó nó
sẽ tạo một security ID (SID) được
kết hợp giữa SID và RID trong dãy này.
Vì thế
khi bạn bị chết cái role RID này, đến một lúc nào đó
dãy số RID đã hết thì bạn sẽ
không bao giờ tạo thêm được user mới hoặc computer mới trong AD.
Đây
là lý do tồn tại RID master
role, nó giám sát và cung
cấp dãy RID mới khi dãy
RID cũ được
cấp gần hết.
Infrastructure Master
Mục đích của
role này là đảm bảo được việc
cross-domain (Các domain quan
hệ với nhau như child-child,
child-parent hoặc tree-tree) được quản lý và tham
chiếu đúng.
VD:
Khi bạn add một user từ một domain vào một security group trong một domain khác thì Infrastructure này làm nhiệm vụ này. Đảm bảo
là chỉ đúng user đó và đúng group đó.
Role này thì vô tác
dụng khi bạn chỉ có một domain duy nhất.
Chỉ có tác dụng khi nhiều domain và cũng ít
khi nào sử
dụng do admin phân quyền như thế nào thôi.
Cho máy server
nào yếu yếu giữ role này là đủ
rồi, không cần máy mạnh
lắm đâu.
Đặc biệt 2 role cực kỳ quan trọng
trong FSMO được
giới thiệu ở
dưới đây.
Schema master
Khác với 3 role kể
trên, role này chỉ duy nhất
trong một rừng, tức là trong lần
promo AD đầu tiên
tạo forest.
Có nghĩa
là, đây là role duy nhất
trong forest, làm nhiệm vụ replicate cấu trúc của schema AD đến
các domain khác trong một rừng.
Role này ít khi thay
đổi, thay đổi khi setup các ứng dụng
cần mở rộng thuộc tính của AD như Mail exchange, OCS v.v…
Domain master
Đây cũng là
role duy nhất có trong một
forest. Làm nhiệm vụ như kiểu add child
domain hoặc tree vào vậy mà.
Nếu
không có role này. VD bạn có domain là abc.com,
bạn muốn add một child domain làhanoi.abc.com thì vô phương cứu chữa nếu role này bị failed.
OK, như vậy tống kết lại là gì
Trong
một rừng thì chỉ có
duy nhất 2 role là domain master và schema
master.
Trong
một domain thì có 3 role: PDC emulator, Infrastructure, RID.
Seize
Master Roles.
Vào CMD:
B1:
gõ Ntdsutil
B2:
gõ Roles
B3:
gõ Connections
B4:
gõ Connect to pcXX.domYY.local ( pcXX là tên máy DC còn tồn tại – domYY là tên domain hiện tại )
B5:
gõ Quit
B6:
gõ Seize Schema Master
Sau đó
gõ lần lượt:
-
Seize
Naming Master
-
Seize
PDC
-
Seize
RID Master
-
Seize
Infrastrucure Master
Gõ
quit 2 lần.
Kiểm tra lại các Role đã chuyển sang
Server hiện tại
hay chưa ???
Metadata Cleanup Domain Controller
Từ server còn tồn tại pcXX ----> ra CMDĐánh ---ntdsutil---
Tiếp theo đánh ---metadata cleanup---
Sau đó đánh ---connections---
Tại dòng nhắc server connections đánh lệnh ---connect to server Pc02.nhatnghe.com--- (pcXX.domYY.local)
Tiếp theo ta đánh lệnh ---quit---
Đánh tiếp lệnh ---select operation target---
Đánh lệnh ---list domain---
Các bạn để ý dòng found 1 domain(s) chỉ có 1 domain nhatnghe (domYY.local) thôi, nên ở đây ta sẽ chọn số 0, tương ứng với domain ta có là nhatnghe (domYY.local) (trường hợp nếu bạn có nhiều domain thì cũng sẽ được liệt kê ở đây)
Do đó ta đánh tiếp lệnh ---select domain 0---
Ta đánh tiếp lệnh ---list sites---
Các bạn nhìn tại dòng found 1 site(s). Mặc định ta có 1 site tương ứng với số 0.
Nên ta đánh tiếp ---select site 0---
Tiếp theo ta sử dụng lệnh ---list server in site---
Bạn nhìn tại dòng found 2 server(S) gồm có pc1 (server 1 đã chết,tương ứng với số 0) và pc 2 (server 2 còn sống,tương ứng với số 1).
Do ta muốn remove server 1 đã chết nên ta sẽ đánh tiếp lệnh ---select server 0---
Tiếp theo ta đánh lệnh ---quit---
Tại đây ta đánh lệnh ---remove selected server--- (xóa gở bò server 1 mà ta đã chọn ở dòng trên). Nó sẽ xuất hiện lên 1 bảng thông báo hỏi mình có remove không ... ta chọn YES và đợi khoảng 30 giây để nó remove server 1
Sau đó ta đánh các lệnh quit ----> quit----> exit để thoát khỏi CMD
ta vào start ---> run ---> mmc .
- vào menu file ----> add remove snap in ---> chọn công cụ có tên là ADSI edit ---> mở ADSI edit chuột phải chọn dòng connect to....
Tại dòng select a well known naming context: ta chọn Default Naming context
Sau đó ta connect thêm 1 lần nữa .... Nhưng kỳ này ta chọn Configuration.
Sau đó tại màn hình ADSI edit ta vào theo hướng dẫn trong hình : Domain [pc02.nhatnghe.com] --->DC=nhatnghe,DC=com ----> OU=domain controler . Nhìn sang bên tay phải nếu bạn còn thấy vết tích gì của server 1 (CN=Pc01..) thì xóa nó đi , như ở đây nó đã được xóa rồi
Tiếp theo ta xuống configuration [PC02.nhatnghe.com] ----> CN=configuration,DC=nhatnghe,DC=com ----> CN=sites ---> CN= default-first-site-name ----> CN=server . Nhìn sang bên tay phải nếu còn vết tích của server 1 (CN=Pc01 ...) thì ta xóa nó đi.
Tương tự vào DNS xóa những Record có liên quan đến DC đã chết.
Đến đây coi như bạn đã hoàn thành remove server 1 đã chết
Posted in: 
