FSMO Rollar və onlar nəyi idarə edirlər?

Salam dostlar. Bu məqalədə FSMO rollar və onların iş prinsipləri haqqında danışacağam. Biliyimiz kimi FSMO (Flexible Single Master Operation) Rollar əməliyyat icraçılarının unikallığını təmin edir və aşağıdakı beş növü var.

1) Schema master

2) Domain Naming Master

3) PDC (Primary Domain Controller) Emulator

4) RID pool manager

5) Infrastructure master

FSMO Rolların hansı serverde yerləşdiyini dəqiqləşdirmək üçün netdom query fsmo əmrini CMD-də icra edirik. FSMO_Roles_001

Rolların daşınmasını isə bu məqalələrdən öyrənə bilərik.

Çökmüş Domaindəki FSMO Rollarının ADC üzərinə daşınması –  Seizing

Domain strukturunun Server 2008 üzərindən Server 2012-yə daşınması

İndi isə bu rolların hansı işləri gördüyünə baxaq.

1) Schema master – adından da göründüyü kimi strukturun sxeminə, strukturuna cavabdehdir. Active Directory bildiyimiz kimi bir verilənlər bazasından ibarətdir. Sadəcə bu verilənlər bazasının sxemi statik deyil, müxtəlif vaxtlarda genişləndirilməli olur. Məsələn, Exchange Server qurulması Active Directory Sxemində belə dəyişikliklər edir. Bütün bu dəyişiklikləri Schema Master özündə əks etdirir. Bunu da qeyd edim ki, Meşədə (Forest) yalnız bir Schema rolunu daşıyan server olur və Forest daxilində istənilən Domain Controllerdə yerləşə bilər. Bu rolla əməliyyat aparmaq üçün Schema Admins – qrupunun üzvü olmaq vacibdir.

Bu rol class və atributların yerləşdiyi sxemaya olunan dəyişikliklərə cavabdehdir və nəzarəti tək özündə saxlayır.

adprep /forestprep – əmrinin icrası zamanı Schema Master roluna müraciət olunur. Çünki, Sxemanın genişləndirilməsinə cavabdeh roldur.

2) Domain Naming Master  –  bütün forest-də təkdir və Microsoft tərəfindən Schema Master rolu ilə eyni serverdə saxlanılması məsləhət görülür. Bu iki rol az müraciət edilməyinə baxmayaraq strukturda əhəmiyyətli işləri görürlər. Daimi nəzarətdə saxlanılmalı və fiziki olaraq xüsusi təhlükəsizliyi təmin olunmalıdır. Bunları mən yox, Microsoft şirkəti məsləhət görür. “Consider consolidating the schema master role and the domain naming master role onto a single domain controller. Keep the domain controller in a secure environment.” Keçid.

Domain Naming Master-in cavabdeh olduğu işlərə baxaq.

* Forest daxilində Domain adlarının yaradılması və silinməsi və unikallığına nəzarət;

* Application directory partition-lərin yaradılması və silinməsi və unikallığına nəzarət;

Cross-Reference-lərin yaradılması və silinməsi; (CrossRef haqqında Keçid)

* Domain adının dəyişdirilməsini təsdiqləmək.

3) PDC (Primary Domain Controller) Emulator – domen səviyyəsində olan rollardandır. Yəni hər domendə bir PDC olmalıdır. Aşağıdakı vəzifələri icra edir.

* İstifadəçi şifrələrinin dəyişdirilməsini qeydə alır.

* İstifadəçilərin yalnış şifrə daxiletmələri zamanı bloka salınması və blokdan çıxarılmasını qeydə alır

* Əsas Network Time Protocol (NTP) – serverdir. Bütün şəbəkənin saatının (tarixinin) eyniliyini təmin edir. Bu isə öz növbəsində çox vacib amillərdəndir.

[highlight]Qeyd: Əgər şəbəkədə saatlar düzgün sinxronlaşmırsa dsquery server -hasfsmo pdc əmri ilə PDC rolunun “salamat” olduğunu yoxlamaq olar. [/highlight]

Ümumilikdə, PDC Emulatorun rolu və yükü yeni əməliyyat sitemlərində çox azalıb.

4) RID pool manager – domen səviyyəsində olan rollardandır. Relative ID hovuzuna nəzarət edir və digər Domain Controller-lərə 500 RID istifadəyə verir**. Yeni qoşulmuş Controllerin özünü domendə tanıtması, SYSVOL paylaşması üçün bu RID-ləri mütləq almalıdır. Və öz növbəsində Active Directory-də Security Principal (Buna – Təhlükəsizlik Obyekti-mi desək??) İstifadəçi, Bilgisayar və Qruplar yaranarkən onları SID (Security ID)-lə təmin etməlidir.

RID Pool Menecerin paylaya biləcəyi RID sayı:

Server 2012-yədək:  (2)30 (2 üstü 30) qədər, yəni 1,073,741,823;

Server 2012-də: (2)31 (2 üstü 31) qədər, yəni 2,147,483,648 qədərdir.

Domenimizdə bu sayı öyrənmək üçün CMD-də aşağıdakı əmrdən istifadə edirik.

Dcdiag.exe /TEST:RidManager /v | find /i “Available RID Pool for the Domain”

FSMO_Roles_002

Qeyd:**  Digər Controllerlərə verilən RID-lərin istifadə sayını aşağıdakı registr dəyişikliyi ilə artıra bilərik. 2012 Serverədək artırabiləcəyimiz sayda məhdudiyyət yox idi. Lakin 2012 Serverdə bu say 15.000 (0x3A98 hexadecimal) ilə məhdudlaşır.

Əgər say 15.000-dən çox təyin edilibsə 15.000 kimi qəbul edilir və domain controller bu rəqəm düzəliş edilənədək hər yenidən başlatmada 16653 Log-u ilə Directory Services-də qeydiyyat aparır. (Əlavə Error ID-lər bu Keçiddə)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values RID Block Size

5) İnfrastruktur master – domen səviyyəsində olan roldur. Active Directorynin digər Forest ilə sinxron işləməsini təmin edir. Əgər biz domendə hər hansı bir dəyişiklik ediriksə bu digər controller-lərə xəbər verilir. Amma digər forestdə çatdırılmanı Infrastructure master təmin edəcək və həmin forest dəyişikliklərdən “xəbərdar” qalacaq.

ÖNƏMLİ: Domendə 1 Domain Controller olmadığı təqdirdə, İnfrastruktur Master Rolu və Qlobal Kataloqları eyni Serverdə saxlamayın. Bu halda İnfrastruktur Master fəaliyyət göstərməyəcək, “köhnəlmiş” məlumatları tapa bilmədiyi üçün replikasiya getməyəcək. Lakin, bütün serverlər Qlobal katoloq daşıyıcısıdırlarsa, İnfrastructur Masterin fəaliyətsizliyi təhlükəsizdir, Qlobal Kataloqlar öz aralarında replikasiya edəcəklər.

İnfrastruktur Master həmçinin, Qrup<–>İstifadəçi qarşılıqının tənzimləyicisidir. Beləki, hər hansı bir qrupdakı üzv İstifadəçinin adı dəyişdirildikdə bu məlumatın yayımlanmasını, qrupun “xəbər” tutmasını İnfrastruktur Master rolu icra edir.

Dostlar bacardığım qədər sadə izaha çalışdım. Hərçənd, 1 kitaba sığmayacaq mövzudur. Düşünürəm ki, ümumi məlumat üçün yetərlidir. İnşallah, işinizə yaradı. Salamat qalın.

Səs: +60. Bəyənilsin Zəifdir

Müəllif: Elvin Əmirov

Şərhlər ( 2 )

  1. chox sag olun, Allah razi olsun

Şərh yazın