Seize The FSMO Roles ומה הם Operations Master
Flexible single master operation
אז מהם הFSMO Roles?
ל Active Directory בכל ה Forest יש חמישה FSMO Roles וחיוני על מנת להריץ אותו ובכך להגדיר מי המאסטר אל מי כל הדומיינים פונים?
כללים אלו מותקנים באופן אוטומטית דורשים העברה בלי סיבה מיוחדת, שכן העברה שלהם למקום אחר מצריך פעולות שלא בהכרח כדאי לקחת את הסיכון.
domain wide roles – חייב להיות אחד כל דומיין
forest wide roles – חייב להיות בכל forest שלם
הכללים הם:
כללים החלים באופן Forest Wide Roles:
-
Schema Master
ה Schema Master משותף בין כל הדומיינים וחייב להיות מועבד באופן עקבי בלי כפילויות או טעויות בהעתקה וכן אחראי על אופן העדכונים והשינויים הנעשים בו
הסבר קצרצר – Schema, מגדיר את כל ה objects וה attributes שה AD מאחסן, ולרוב שינוי שיבוצע בו יהיה על מנת לערוך attributes מסויימים.
-
Domain Naming
כאשר אתם מוסיפים דומיין בארגון , שם הדומיין חייב להיות ייחודי ועל כן בודק זאת ה Domain Naming שכן חייב להיות מופעל כאשר אתם מוסיפים דומיין חדש
כללים החלים באופן Domain Wide Roles:
-
Relative ID (RID) Master
כאשר אתם יוצרים שתמש, קבוצה, מוסיפים מחשב הוא מקבל SID מספר ייחודי אך ורק לו, לדוגמא אם תיצרו משתמש בשם TAL תמחקו אותו ותצרו עוד אחד עם אותו השם, דעו כי זה לא אותו המשתמש זה שיש למשתמשים את אותו השם משתמש או היה, אינו אומר שזהו אותו המשתמש שכן כל אחד עם SID שונה
ועל כל זה אחראי ה RID MASTER
-
PDC Emulator
הוא משמש לתאימות אחורה לWindows NT ובנוסף הוא אחראי על ההסתנכרנות בין השרתים
1. נוסף על כך כאשר אתם מאפסים ססמאות למשתמשים העדכון על כך משתכפל באותו הרגע ל PDC Emulator , וכך אם המשתמש הקיש את שם המשתמש וססמתו הדומיין יבדוק אל מול ה PDC האם שונתה ססמתו ואם כן האם רשאי להמשיך. וגם עוד לפני, זאת אומרת כאשר ה DC בדק את הססמה והוא רואה שהיא לא נכונה הוא ישאל את ה PDC כמעין דעה שנייה אם הססמה נכונה
2. נוסף על כך אחראי גם על העריכה ב Group Policy שעל כן לבדוק ולתאם אם משתמש מנהל אחר עורך את ה GPMC ובכך למזער את התקלות כאשר 2 מנהלים עורכים Group Policy
3. הוא אחראי על השעה בDC ועל כן הוא אחראי לתת לDC האחרים כאשר הם יבקשו ממנו את השעה
4. כאשר מבצעים מעלים Domain Functional Level חייב להיות ה PDC עובד על אחת משרתי הDC
-
Infrastructure Master
הוא מעדכן את האובייקטים בין הדומיינים, בנוסף הGlobal Catalog מבצע אימות או השוואה אל מול ה DATA הנמצא בGlobal Catalog בכל הדומיינים
ועכשיו איך אני בודק אצל מי ה FSMO Roles? ואיך אני תופס או מעביר Role?
**חשוב מאוד כאשר מדובר בארגון גדול יש להעביר את ה Infrastructure Master לDC אחר (בו אין GC) עקב בעיות סנכרון שיכולות להיות כאשר משנים קבוצה והGlobal Catalog מתנגש עם ה Infrastructure Master
מתי לבצע Seize ומתי לבצע Transfer
לפעמים מנהל הרשת ירצה לבצע העברה של FSMO Roles משרת ה DC הראשון שייצר על מנת לחלק עומסים או כל סיבה אחרת ועל כן כאשר שרת הDC הראשי עובד נבצע העברה
מתי נבצע Seize? אם השרת הראשי או זה שמחזיק ב Role מסוים קרס או לא עובד נאלץ לבצע Seize על מנת לתפוס בכוח את Role זה
כעת למדריך
הדרך הקלה לבדוק מי מחזיק מה, היא על ידי כניסה ל Active Drectory Users And Computers
קליק ימני על שם הדומיין ואז Operations Master
נוכל לראות מי מחזיק ב RID MASTER
או בPDC
ניתן גם בפקודה לראות מי מחזיק מה, בהמשך אציג פקודה זו.
השרת הראשי אשר מחזיק את כל ה FSMO הוא WIN-MAIVLK492A7
והשרת אליו נעביר את הRole לדוגמא PDC הוא WIN-9Q7JOQKELEB
כעת נציג כיצד מעבירים את ה Role ל DC אחר
נפתח את הCMD ונרשום NTDSUTIL נלחץ Enter
לאחר מכן נרשום Roles נלחץ Enter
לאחר מכן Connections נלחץ Enter
ואז רשמו
Connect to server WIN-9Q7JOQKELEB נלחץ Enter
נקבל את הפלט Connected to WIN-9Q7JOQKELEB Using credentials locally
כעת נרשום Quit ואז Enter כמו בתמונה
נרשום ? (סימן שאלה ) ונלחץ Enter
ונקבל את האפשרויות שאנו רוצים Seize אומר לתפוס וTransfer להעביר אז מה כדאי? או מה צריך?
נבצע Seize על מנת שתבינו את המשמעות
נרשום Seize pdc
נלחץ Enter
הוא ישאל האם אנו בטוחים להעביר את PDC MASTER לשרת זה?
נלחץ YES
ניתן לראות בשורה האדומה הראשונה כי הוא ינסה להעביר אל הRole ולא לתפוס אותו ואם הוא יצליח הוא ירשום בשורה הראשונה וירשום כי אין צורך ב”תפיסה”
נכנס לAD UC ונלחץ קליק ימני ואז Operations Masters
ונוכל לראות שהPDC עבר לשרת השני
על מנת לבדוק על ידי פקודה מי מחזיק באיזה תפקיד
פתחו מחדש את ה CMD והקישו
netdom query fsmo