FSMO چیست و چه کاربردی دارد؟

FSMO چیست و چه کاربردی دارد؟

کاربرد نقش FSMO یا Operation Master: 

Active Directory اجازه می دهد تا هر Domain Controlle دیگری بتواند object ایجاد کند یا بتواند Object های ایجاد شده را حذف کند و همچنین بتواند به روز رسانی ها را انجام دهد (به جز DC های فقط خواندنی).هنگامی که یک تغییر انجام می شود، این تغییرات به طور خودکار از طریق فرآیندی به نام multi-master replication به DC های دیگر نیز انتقال می باید و این تغییرات در آن Domain Controller ها نیز اعمال می شود.

با این حال، برخی از عملیات Active Directory آنقدر حساس هستند که اجرای آنها به یک DC خاص محدود می شود. Active Directory این امکان را از طریق مجموعه‌ای از نقش‌ ها که به DC‌ ها اختصاص داده می‌شود، رسیدگی می‌کند. مایکروسافت این اقدام را «Flexible Single Master Operation» یا FSMO می‌نامد.

هدف از نقش های FSMO

با وجود چندین پیشرفت و ارتقا در Active Directory، این سرویس همچنان دارای نقص های خاصی بود. به دلیل وجود Domain Controller های متعدد، در مدیریت تغییرات همپوشانی وجود داشت، زیرا Domain Controller ها بر سر اینکه کدام DC بتواند تغییرات را ایجاد کند، رقابت می‌کردند. این به این معناست که احتمال نادیده گرفته شدن درخواست‌های تغییر، زیاد بود.

راه حل مایکروسافت

برای حل این مشکل، مایکروسافت single-master model را معرفی کرد در این مدل یک Domain Controller قدرت ایجاد تغییرات را داشت و سایر DC ها درخواست های احراز هویت را انجام می دادند. اگرچه این یک ارتقاء بزرگ بود، اما هنوز یک اشکال جدی وجود داشت و این بود که، زمانی که Domain Controller اصلی خاموش بود و تا زمانی که دوباره بالا نمی آمد هیچ تغییری نمی‌شد ایجاد کرد.

بر این اساس، مایکروسافت در سال 2003 نقش‌های FSMO را معرفی کرد. مسئولیت‌ها بین Domain Controller مختلف توزیع می‌شود و اگر یک DC از کار بیفتد، DC دیگری نقش گمشده را بر عهده می‌گیرد. FSMO ها در بردارنده 5 نقش در Active Directory می باشد که 3 نقش Domain Wide و 2 نقش Forest Widd می باشد.

Role های FSMO چیست و چه کاربردی دارد؟

مایکروسافت مسئولیت های یک Domain Controller را به 5 Role یا نقش جداگانه تقسیم می کند که با هم یک سیستم کامل AD را ایجاد می کنند که شامل موارد زیر می باشد:

• Schema Master (forest level)
• Domain Naming Master (forest level)
• Relative ID (RID) Master (domain level)
• Primary Domain Controller (PDC) Emulator (domain level)
• Infrastructure Master (domain level)

در ادامه به بررسی هر یک از نقش ها می پردازیم:

Schema Master

Schema Master یک نقش FSMO در سطح Forest است. فقط یک  Active Directory می تواند در سطح  Forest نقش Schema Master را ایفا می کند.

Schema Master مسئول به روز رسانی اکتیو دایرکتوری است. Schema Master تمام خصوصیات مرتبط به کاربر است که شامل رمز ، نقش ، نامگذاری و شناسه کارمند می باشد. بنابراین ، اگر می خواهید شناسه کارمند را تغییر دهید، باید این کار را در این DC انجام دهید. به طور پیش فرض ، اولین کنترلی که در Forest خود نصب می کنید، Schema Master خواهد بود.

زمانی که بر روی Object های مانند user,computer,OU و…  راست کلیک می کنید، پنجره ای برای شما باز می شود که دارای چندین Tabمی باشد. این پنجره به همراه کلیه ی Tabهایش از یک ساختار کلی پیروی می کنند. با ایجاد هر Object در َActive Directory ، به آن ساختار مراجعه ld a,n و پنجره و Tabهای تعریف شده متناسب با آن Object،برایش ایجاد می شود.این ساختار  در schema master اتفاق می افتد.

فقط Domain Controller  که نقش Schema Master را بر عهده دارد می‌تواند به‌روزرسانی‌ های AD Schema را انجام دهد. بنابراین اگر به‌روزرسانی مورد نیاز است، Schema Master باید در دسترس باشد. نمونه‌ هایی از اقداماتی که Schema را به‌روزرسانی می‌کنند شامل بالا بردن سطح عملکردی Forest و ارتقای سیستم عامل یک DC به نسخه‌ای بالاتر از آنچه در حال حاضر در Forest وجود دارد، می‌ باشد. طرح به روز شده از Schema Master به تمام DC های دیگر موجود در Directory کپی می شود.

Domain Naming Master

Domain Naming Master: در واقع Domain Naming به ما اجازه ایجاد دامنه را می دهد و مسئولیت تأیید دامنه ها را بر عهده دارد ، بنابراین برای هر Forest تنها یک Domain Naming Master وجود دارد. این بدان معناست که اگر شما یک دامنه کاملاً جدید را در یک Forest موجود ایجاد می کنید ، این Controller تضمین می کند که چنین دامنه ای قبلاً وجود نداشته باشد. اگر Domain Naming Master شما به هر دلیل به خواب برود یا از دور خارج شود ، نمی توانید دامنه جدید ایجاد کنید. از آنجا که اغلب شما دامنه ها را ایجاد نمی کنید ، برخی از شرکت ها ترجیح می دهند که در همان کنترلر ، Schema Master و Domain Naming Master داشته باشند.

Relative ID (RID) Master

RID Master: هنگامی که یک DC یک Object مانند یک user یا group ایجاد می کند، یک شناسه امنیتی (SID) منحصر به فرد برای آن Object ایجاد می شود. SID را به DC های مختلفی که برای Obeject های تازه ایجاد شده اند، اختصاص می دهند. کلیه ی تنظیمات امنیتی و غیر امنیتی در سطح Domain یا Forest بر روی SID ها اعمال می شود. RID Master مدیریت و مسئولیت SID ها در سطح Domain را برعهده دارد در واقع این نقش SID تولید می کند و در اختیار Domain قرار می دهد تا در صورت ایجاد Object های جدید، SID مشابهی در سطح Domain نداشته باشیم بنابراین هر Object در Active Directory دارای SID اختصاصی است.

Primary Domain Controller (PDC) Emulator

PDC Emulator: همانطور که می‌دانید PDC مخفف Primary Domain Controller است. این نقش یکی از نقش های اساسی و مهم در سطح Domain می باشد که در صورت ایجاد مشکل برای این نقش آسیب های جبران ناپذیری  برای Active Directory به وجود می آید.از جمله وظایف PDC Emulator می توان به موارد زیر اشاره کرد:

• مدیریت پسورد ها و مسئولیت account lockout ها را برعهده دارد . به عنوان مثال اگر  پسوردی عوض شود ،آن را در سطح فارست replicate می کند و چک می کند که پالسی های مربوط به account lockout اعمال شود.

• PDC Emulator  را می توان به عنوان root time سرور شناخت. وظیفه ی همگام سازی کردن زمان در Active Directory را برعهده دارد. زمان کلیه کامپیوتر های Forest  را یکسان می کند و اگر به درستی کار نکند پروتکل Kerberos نمی تواند عملیات احراز هویت را به درستی انجام دهد و با این اتفاق کاربران نمی توانند به شبکه و Domain وصل شوند.

• هر گونه Policy  که در Group Plicy اعمال شود را در سطح فارست replicate می کند. شما زمانی که یک GPO می سازید، در پوشه sysvol قرار می گیرد و این پوشه محتویات خود را با PDC Emulator به اشتراک می گذارد. به همین دلیل وقتی که در یکی از دامنه های  Forest یک GPO ساخته می شود و یا تغییراتی در GPO رخ دهد، تمامی اطلاعات آن GPO در اختیار PDC قرار می گیرد و PDC آن را با دیگر Domain های سطح Forest فارست Replicate می کند و اگر این نقش وجود نداشته باشد با به درستی کار نکند، Domain های سطح Forest از  تغییرات یکدیگر بی اطلاع می مانند.

• وظیفه ی برقراری هماهنگی بین  external trust ها را برعهده دارد.
• ثبات و سازگاری DFS را بررسی می کند.

Infrastructure Master

Infrastructure Master: این Role در صورت ایجاد هر گونه تغییری در سطح Domain، این تغییرات را به کلیه ی Domain های سطح Forest اطلاع می دهد. به عنوان مثال اگر دامنه ای ایجاد و یا حذف شود این Role به Domain های دیگر اطلاع رسانی می کند. Infrastructure Master همچنین مسئول به روز رسانی SID یک Object و Distinguished Name (DN) در یک cross-domain object reference می باشد. و  برای ترجمه GUID، SID و DN بین Domain ها در یک Forest است.

انتقال Role های FSMO

Role های FSMO برای انجام برخی از عملیات مهم ضروری است!. در نتیجه می توان Role های FSMO را از Domain Controller به  Domain Controller دیگر منتقل کرد.

• یکی از روش های انتقال Role های FSMO ، روش demote کردن Domain Controller ای است که مالک این Role ها است. هنگامی که یک Domain Controller دیموت (demote) شد، سعی خواهد کرد Role های FSMO متعلق به آن را به کنترل کننده های دامنه مناسب در همان سایت منتقل کند.
• روش دیگر انتقال نقش های FSMO به صورت دستی (wizard) می‌باشد که مراحل انتقال هر Role را در ادامه بررسی می‌کنیم.

چند نکته:

1. Role های سطح Domain یا Domain Wide فقط می توانند به Domain Controller ها در همان دامنه منتقل شوند!، اما نقش های سطح Forest یا Forest Wide می توانند به هر Domain Controller مناسب در Forest منتقل شوند.
2. همانطور که پیش تر به آن آشاره کردیم، سه رول Relative ID (RID) Master، PDC Emulator، Infrastructure Master رول‌های سطح Domain و در واقع Domain Wide می باشند و دو رول Schema Master و Domain Naming Master رول‌های سطح Forest و Forest wide می‌باشند.
3. حساب کاربری نقش Schema Master باید عضو گروه Schema Admins و Enterprise Admins باشد!. عضویت در گروه Enterprise Admins برای انتقال نقش Domain Naming Master ضروری است. Role های PDC ، RID Master و Infrastructure Master می توانند با عضویت در گروه Domain Admins دامنه محل انتقال نقش ها، توسط یک حساب کاربری منتقل شوند.

در انتهای مقاله، می توانید ویدیوی انتقال FSMO  از Domain اصلی (2019) به Additionall (2022) را مشاهده کنید.

انتقال Operation Master ها از Active Directory Domain Controller 2019 به Additional Server 2022

بعد از توضیحات در مورد نقش های هرکدام از  Role ها به این موضوع می پردازیم که چگونه می توان این نقش ها را به یک Domain Controller دیگر انتقال داد.

ما برای انتقال نقش های FSMO به 2 سرویس نیازمندیم. سرویس اول که Domain Controller اصلی ما می باشد و در این آموزش بر روی ویندوز سرور 2019 است و سرویس دوم که Additional می باشد که بر روی ویندوز سرور 2022  می باشد و ما می خواهیم رول های FSMO را از Domain Controller اصلی به Additional DC انتقال دهیم.

نکته مهم: برای انتقال Role های FSMO هیچ فرقی نمی کند که از کدام سرور تمام این Role ها را نجام دهید. در این آموزش ما به دلیل اینکه به شما نشان دهیم تفاوتی ندارد،  3 رول Domain Wide را از سرور Additional 2022 انتقال دادیم و دو Role که Forest Wide می باشد را از Domain Controller اصلی که بر روی ویندوز سرور 2019 می باشد انتقال دادیم.

انتقال رول‌های RID و PDC و Infrastructure

به سرور Additional رفته و وارد صفحه Server Manager شده و از Tools گزینه Active directory users and computers  را انتخاب می کنیم.

روی نام دامنه کلیک راست کرده و گزینه Operation master را انتخاب می کنیم.

1- به صورت پیش فرض، تب RID باز می‌شود. برای انتقال نقش Relative ID (RID) Master به Domain Conroller هدف، روی دکمه “Change” کلیک کرده ووسپس بر روی yes کلیک می کنیم تا Operation Master از ADDS-2019.hiva.local به Additional-2022.hiva.local تغییر کند.

و در نهایت پس از دریافت پیغام Success بر روی ok کلیک می کنیم.

همانطور که مشاهده می کنید رول RID به Additional 2022 انتقال پیدا کرد.

2- حالا بر روی تب PDC کلیک کرده برای انتقال نقش PDC به Domain Conroller  هدف  مان ، روی دکمه “Change” کلیک کرده وسپس بر روی yes کلیک می کنیم تا Operation Master از ADDS-2019.hiva.local به Additional-2022.hiva.local تغییر کند.

و در نهایت بر روی پیغام  ok کلیک می کنیم.

همانطور که مشاهده می کنید رول PDC نیز به Additional 2022 انتقال پیدا کرد.

3- حالا بر روی تب Infrustructure کلیک کرده برای انتقال نقش اینRole  به Domain Conroller  هدف  مان ، روی دکمه “Change” کلیک کرده ووسپس بر روی yes کلیک می کنیم تا سومین Operation Master نیز از ADDS-2019.hiva.local به Additional-2022.hiva.local تغییر کند.

و در نهایت پس از دریافت پیغام Success بر روی ok کلیک می کنیم.

همانطور که مشاهده می کنید رول Infrastructure نیز به Additional 2022 انتقال پیدا کرد. خب بعد از اینکه این 3 Role انتقال یافت در نهایت بر روی Close کلیک می کنیم.

انتقال رول  Domain Naming Master

برای انتقال رول  Domain Naming Maste این بار باید به سرور اصلی که بر روی ویندوز سرور 2019 نصب شده است رفته وارد صفحه Server Manager شده و از Tools گزینه Active directory domain and trust  را انتخاب کنیم.

روی Active directory domain and trust کلیک راست کرده و Operation master را انتخاب می کنیم.

برای انتقال نقش Domain Naming Master به Domain Controller هدف، روی دکمه “Change” کلیک کرده، سپس بر روی yes کلیک می کنیم.

و در نهایت بر روی پیغام ok و Close کلیک می کنیم.

همانطور که مشاهده می کنید Operation Master به سرویس Additional انتقال یافت.

انتقال رول Schema Master

برای انتقال رول  Schema Master  نیز باید به سرور اصلی که بر روی ویندوز سرور 2019 نصب شده است رفته وارد صفحه Server Manager شده و در Start عبارت mmc.exe را تایپ و Enter  را بزنید.

همچنین می توانید وارد cmd شده و این عبارت را تایپ و Enter کنید تا کنسول برای شما باز شود.

صفحه باز شده از منوی  File، گزینه Add or remove snap-ins را انتخاب می کنیم.

نقش Schema Master را می توان با استفاده از Active Directory Schema Management    snap-in  انتقال داد. همانطور که می بینید گزینه ای با این عنوان در این لیست وجود ندارد. اگر Active Directory Schema  در میان کنسول مدیریتی snap-ins نباشد، باید آن را رجیستر کرد.

برای این کار cmd را باز می کنیم و عبارت زیر را تایپ و Enter را می زنیم و در نهایت پس از دریافت پیغام Success  بر روی ok کلیک می کنیم.

Reg32svr  schmmgmt.dll

دوباره در منوی  Start، عبارت “mmc.exe” راتایپ کرده  و وارد کنسول می شویم. اینبار مشاهده می کنید که Active Directory Schema اضافه شده است.

روی Active Directory Schema کلیک کرده و با گزینه Add به ستون سمت راست انتقال می دهیم وبر روی  Ok کلیک می کنیم.

روی Active Directory Schema کلیک راست کرده و “Master Operations” را انتخاب می کنیم.

در این جا مشاهده می کنید که در هر دو کادر ADDS-2019.hiva.local که Domain Controller اصلی می باشد نمایش داده می شود و سرویس Additional 2022 وجود ندارد. برای اینکه بتوانیم آخرین Role را انتقال دهیم. ابتدا این صفحه را می بندیم.

دوباره روی Active Directory Schema کلیک راست کرده و “Change Active Directory  Domain Controller” را انتخاب می کنیم.

Domain Controller ای را انتخاب می کنیم که می خواهیم نقش Schema Master FSMO  به آن منتقل شود و بر روی دکمه “OK” کلیک می کنیم تا Active Directory Schema snap-in به Domain Controller مورد نظر متصل شود.

ممکن است یک اخطار دریافت کنید که توضیح می دهد Active Directory Schema snap-in امکان پذیر نخواهد بود. روی Ok کلیک کرده و ادامه می دهیم.

حالا دوباره روی Active Directory Schema کلیک راست کرده و “Master Operations” را انتخاب می کنیم.

برای انتقال رول Schema Master به Domain Controller هدف، روی دکمه “Change” کلیک می کرد، سپس بر روی  yes و ok کلیک می کنیم.

و در نهایت پس از دریافت پیغام Success  بر روی ok کلیک می کنیم.

همانطور که مشاهده می کنید رول Schema master نیز به Additional 2022 انتقال پیدا کرد.

به این ترتیب 5 نقش FSMO انتقال یافت و می توان سرویس Active Directory که بر روی ویندوز سرور 2019 نصب شده بود را Demote کرد.

برای انتقال FSMO  از دامنه اصلی به Additional و Demote کردن دامنه اصلی (از ویندوز سرور 2019 به 2022) می توانید ویدیو زیر را مشاهده کنید.

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر  مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار

آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور در خدمت شما عزیزان هستیم.