مهندس حسن رئیسی  کارشناس فناوری اطلاعات و ارتباطات مشاور رسمی و مورد تائید نظام صنفی رایانه ای استان تهران  کارشناس رسمی و مورد تائید شرکت مایکروسافت  دارای مجوز احراز صلاحیت از سازمان نظام صنفی رایانه ای  عضو انجمن انفورماتیک ایران عضو انجمن کامپیوتر ایران بیش از 25 سال تجربه در حوزه فناوری اطلاعات و ارتباطات  جهت مشاوره و عقد قرارداد با من تماس حاصل فرمایید. Info@raeissi.com  - 09128885963

Flexible Single Master Operator – FSMO

What-is-an-FSMO-Role

Active Directory یک Multimaster است، اما شرایطی وجود دارد که باید تنها یک DC نقشهای (Role) مشخصی را انجام دهد. در این شرایط Active Directory ،یک Server را به عنوان Master برای این Function ها  یا Role ها انتخاب میکند. تعداد این ویژگیها یا نقش ها ۵ عدد میباشد که باید در یک سرور قرار گرفته باشند .

حال توضیحات مختصری در خصوص این 5 ویژگی خواهیم داشت .

1- Schema Master

دومین کنترولی که صاحب نقش Schema Master است، تنها سروری است که اجازه تغییرات یا به روز رسانی در Schema بین سرورهای دیگر را دارد.

پس یادمان باشد سرورهای دیگر اجازه هیچ تغییری در Schema ندارند و اگر خواستید تغییری در Schema دهید باید بر روی صاحب Schema Master انجام دهید.
اولین سروری که در جنگل یا کل ساختار (Forest) به دومین کنترولر (DC) تبدیل شود، صاحب نقش Schema Master است.


2-
Domain Naming Maste

دومین کنترولی که صاحب نقش Domain Naming Master است، وظیفه کنترل فضا اسم (Namespace) یا نام در جنگل یا کل ساختار (Forest) است.

این سرور دومین (Domain) جدید را اضافه یا دومین را حذف میکند، دومین را تغییر مکان (Move) میدهد، دومین را تغییر نام (Rename) میدهد البته فراموش نکنیم کل این کارها در جنگل یا کل ساختار (Forest) میباشد. همچنین اجازه ایجاد پارتیشن برای برنامه ها.
اولین سروری که در جنگل یا کل ساختار (Forest) به دومین کنترولر (DC) تبدیل شود، صاحب نقش Domain Naming Master است.


PDC Emulator-3

دومین کنترولی که صاحب نقش PDC Emulator است، یکی از وظایفش سرور مرکزی زمان (Time Server) است. وظیفه مهم دیگر PDC Emulator حفظ آخرین پسورد برای هر حساب کاربری است و برای همین هر دومین کنترولی (DCs) را برای تغییر پسورد مجبور میکند که مستقیما این کار را به سمت خودش ارسال کنند. این کار سبب پشتیبانی از قابلیت PDC زنجیره ای (PDC-chaining) میشود. این قابلیت زمانی اتفاق می افتد که یک حساب کاربری برای احراز هویت (authenticate) اقدام میکند و دومین کنترولر محلی فکر میکند که این پسورد صحیح نیست، در نتیجه این دومین کنترولر از حالت زنجیره ای (PDC-chaining) استفاده کرده و این پسورد را به سمت PDC میفرستد تا ببیند که این پسورد درست است یا خیر. همچنین سرور PDC ، سروری است که ابزار مدیریت گروه پالسی (Group Policy) به عنوان سرور هدف (Target) از آن استفاده میکنند. دلیل این کار این است که انواع تغییرات مشابه گروه پالسی (Group Policy) در دومین کنترولر های (DCs) دیگر توسط ادمینهای دیگر در زمان یکسان کاهش یابد.

۴- RID (Relative-Identifier) Master

در Domain همه سرمایه اصلی یا شیرازه (Principal) امنیتی (Security) در یک دومین (Domain)، یک معین کنننده هویت امنیتی (Security Identifier – SID) است که از اجزای مختلف تشکیل شده که محتوای یک RID است. سیستم از SID استفاده میکند تا با یک شناسایی منحصر بفرد (uniquely identify) به شی (Object) مجوز امنیتی دهد. در یک دومین، SID باید منحصر بفرد در سراسر دومین باشد. به عنوان مثال هر دومین کنترولر (DC) میتواند اشیاء (Object) فعال امنیتی (security-enabled) را ایجاد کند، با اینکه برخی مکانیسمها وجود دارند اما دو SID یکسان ساخته نمیشوند. برای جلوگیری از این اتفاق (دو SID یکسان)، RID Master یک مخزن (Pool) بزرگ از مقادیر RID منحصر بفرد (unique) را در خود ذخیره میکند. زمانی که یک دومین کنترولر (DC) را به شبکه اضافه میکنید، یک زیر مجموعه ۵۰۰ تایی از این مخزن (Pool) را برای استفاده خودش (دومین کنترولر مورد نظر) اختصاص میدهد. زمانی که دومین کنترولر (DC) نیاز به ساختن یک (SID) دارد، اول مخزن (Pool) خود را چک میکند که آیا این مقدار در دسترس است تا برای SID مقدار منحصر بفرد (unique) استفاده و ساخته شود یا خیر. در این روش، RID Master همه را کنترل میکند و مطمئن میشود که همه SID ها در دومین از RID با مقدار منحصر بفرد (unique) استفاده میکنند.
آدرس تنظیم مقدار در رجیستری (به صورت استاندارد ۵۰۰ است)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values

۵- Infrastructure Master در Domain

کار جالب Infrastructure Master این است که تمام تغییرات اشیاء (Objects) در دومین های (Domains) سراسر یک جنگل یا کل ساختار (Forest) را چک میکند. اگر که Infrastructure Master یک تغییر در یک شی (Object) در داخل دومین دیگر پیدا کند، صفات (attributes) را برای همه موارد آن شی (Object) به روز رسانی (Update) میکند و سپس این تغییرات را با تمام دومین کنترولرهای (DCs) داخل دومین خودش رونوشت (replicate) میکند.
الان به احتمال زیاد میخواهید سوال کنید که چرا باید یک شی (Object) در بیشتر از یک دومین وجود داشته باشد؟ جواب این سوال این است که اگر یک شی (Object) در یک لیست کنترل دستیابی (access control list) یا به عنوان عضو یک گروه مورد استفاده قرار گیرد، این تغییرات شی (Object) داخل دومین (Domain) به صورت پیشفرض (Default) با سایر دومین ها (Domains) رونوشت (replicate) نمیشود. گلوبال کاتالوگ (Global Catalog) این تغییرات را با عملیات رونوشت دومین داخلی (intradomain replication) با سایرین که گلوبال کاتالوگ (Global Catalog) هستند ارائه میدهد، ولی بقیه که گلوبال کاتالوگ (Global Catalog) نیستند که هیچ به روز رسانی (Update) پارتیشن دومین (Domain Partition) را دریافت نمیکنند.

به طور مثال اگر Infrastructure Master از کار بیفتد، برای چند روز شاید متوجه نشوید، ولی وقتی تغییراتی بر روی شی (Object) انجام دهید، متوجه خواهید شد که این تغییرات بلافاصله در کل محیط شبکه اعمال نمیشود.
همچنین Infrastructure Master به فانتومس (Phantoms) معروف است.

یادتان باشد وقتی که میخواهید ویندوز ۲۰۰۳ را به ویندوز ۲۰۰۸ (دومین کنترولر) به روز رسانی کنید، باید فرمان adprep /domainprep را بر روی دومین کنترولری که صاحب Infrastructure Master است اجرا کنید.

در صورت مفید بودن این مقاله ،آن را به اشتراک بگذارید .

اشتراک گذاری در facebook
اشتراک گذاری در twitter
اشتراک گذاری در linkedin
اشتراک گذاری در skype
اشتراک گذاری در telegram
اشتراک گذاری در whatsapp
اشتراک گذاری در pinterest
اشتراک گذاری در reddit
اشتراک گذاری در odnoklassniki
اشتراک گذاری در tumblr

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *