Home Windows ServerWindows Server 2012 Seize The FSMO Roles ומה הם Operations Master
Windows Server 2012

Seize The FSMO Roles ומה הם Operations Master

by Tal Ben Shushan
by Tal Ben Shushan 0 comment
נהנתם מהמאמר ? שתפו אותו!

Seize The FSMO Roles ומה הם Operations Master

Flexible single master operation

אז מהם הFSMO Roles?

ל Active Directory בכל ה Forest  יש חמישה FSMO Roles וחיוני על מנת להריץ אותו ובכך להגדיר מי המאסטר אל מי כל הדומיינים פונים?

כללים אלו מותקנים באופן אוטומטית  דורשים העברה בלי סיבה מיוחדת, שכן העברה שלהם למקום אחר מצריך פעולות שלא בהכרח כדאי לקחת את הסיכון.

domain wide roles – חייב להיות אחד כל דומיין

forest wide roles – חייב להיות בכל forest  שלם

הכללים הם:

כללים החלים באופן Forest Wide Roles:

  • Schema Master

ה Schema Master משותף בין כל הדומיינים וחייב להיות מועבד באופן עקבי בלי כפילויות או טעויות בהעתקה וכן אחראי על אופן העדכונים והשינויים הנעשים בו

הסבר קצרצר – Schema, מגדיר את כל ה objects  וה attributes  שה AD מאחסן, ולרוב שינוי שיבוצע בו יהיה על מנת לערוך attributes  מסויימים.

  • Domain Naming

כאשר אתם מוסיפים דומיין בארגון , שם הדומיין חייב להיות ייחודי ועל כן בודק זאת ה Domain Naming שכן חייב להיות מופעל כאשר אתם מוסיפים דומיין חדש

כללים החלים באופן Domain Wide Roles:

  • Relative ID (RID) Master

כאשר אתם יוצרים שתמש, קבוצה, מוסיפים מחשב הוא מקבל SID מספר ייחודי אך ורק לו, לדוגמא אם תיצרו משתמש בשם TAL תמחקו אותו ותצרו עוד אחד עם אותו השם, דעו כי זה לא אותו המשתמש זה שיש למשתמשים את אותו השם משתמש או היה, אינו אומר שזהו אותו המשתמש שכן כל אחד עם SID שונה

ועל כל זה אחראי ה RID MASTER

  • PDC Emulator

הוא משמש לתאימות אחורה לWindows NT  ובנוסף הוא אחראי על ההסתנכרנות בין השרתים

1. נוסף על כך כאשר אתם מאפסים ססמאות למשתמשים העדכון על כך משתכפל באותו הרגע ל PDC Emulator  , וכך אם המשתמש הקיש את שם המשתמש וססמתו הדומיין יבדוק אל מול ה PDC האם שונתה ססמתו ואם כן האם רשאי להמשיך. וגם עוד לפני, זאת אומרת כאשר ה DC בדק את הססמה והוא רואה שהיא לא נכונה הוא ישאל את ה PDC כמעין דעה שנייה אם הססמה נכונה

2. נוסף על כך אחראי גם על העריכה ב Group Policy שעל כן לבדוק ולתאם אם משתמש מנהל אחר עורך את ה GPMC ובכך למזער את התקלות כאשר 2 מנהלים עורכים Group Policy

3. הוא אחראי על השעה בDC ועל כן הוא אחראי לתת לDC האחרים כאשר הם יבקשו ממנו את השעה

4. כאשר מבצעים מעלים Domain Functional Level חייב להיות ה PDC עובד על אחת משרתי הDC

  • Infrastructure Master

הוא מעדכן את האובייקטים בין הדומיינים, בנוסף הGlobal Catalog מבצע אימות או השוואה אל מול ה DATA הנמצא בGlobal Catalog בכל הדומיינים

ועכשיו איך אני בודק אצל מי ה FSMO Roles? ואיך אני תופס או מעביר Role?

**חשוב מאוד כאשר מדובר בארגון גדול יש להעביר את ה Infrastructure Master לDC אחר (בו אין GC) עקב בעיות סנכרון שיכולות להיות כאשר משנים קבוצה והGlobal Catalog מתנגש עם ה Infrastructure Master

מתי לבצע Seize ומתי לבצע Transfer

לפעמים מנהל הרשת ירצה לבצע העברה של FSMO Roles משרת ה DC הראשון שייצר על מנת לחלק עומסים או כל סיבה אחרת ועל כן כאשר שרת הDC הראשי עובד נבצע העברה

מתי נבצע Seize? אם השרת הראשי או זה שמחזיק ב Role מסוים קרס או לא עובד נאלץ לבצע Seize על מנת לתפוס בכוח את Role זה

כעת למדריך

הדרך הקלה לבדוק מי מחזיק מה, היא על ידי כניסה ל Active Drectory Users And Computers

AD

AD

קליק ימני על שם הדומיין ואז Operations Master

FSMO

FSMO

נוכל לראות מי מחזיק ב RID MASTER

או בPDC

PDC

PDC

ניתן גם בפקודה לראות מי מחזיק מה, בהמשך אציג פקודה זו.

השרת הראשי אשר מחזיק את כל ה FSMO הוא WIN-MAIVLK492A7

והשרת אליו נעביר את הRole לדוגמא PDC הוא WIN-9Q7JOQKELEB

כעת נציג כיצד מעבירים את ה Role ל DC אחר

נפתח את הCMD ונרשום NTDSUTIL נלחץ Enter

לאחר מכן נרשום Roles נלחץ Enter

לאחר מכן Connections נלחץ Enter

ואז רשמו

Connect to server WIN-9Q7JOQKELEB נלחץ Enter

הקישו כל פקודה בנפרד כמו בתמונה חוץ מהאחרונה

הקישו כל פקודה בנפרד כמו בתמונה חוץ מהאחרונה

נקבל את הפלט Connected to WIN-9Q7JOQKELEB Using credentials locally

כעת נרשום Quit ואז Enter כמו בתמונה

לאחר שהתחברנו לשרת כעת נצא לntdutil

לאחר שהתחברנו לשרת כעת נצא לntdutil

נרשום ? (סימן שאלה ) ונלחץ Enter

ונקבל את האפשרויות שאנו רוצים Seize אומר לתפוס וTransfer להעביר אז מה כדאי? או מה צריך?

מה ניתן לעשות

מה ניתן לעשות

נבצע Seize על מנת שתבינו את המשמעות

נרשום Seize pdc

נרשום את הפקודה

נרשום את הפקודה

נלחץ Enter

הוא ישאל האם אנו בטוחים להעביר את  PDC MASTER לשרת זה?

נלחץ YES

כן

כן

ניתן לראות בשורה האדומה הראשונה כי הוא ינסה להעביר אל הRole ולא לתפוס אותו ואם הוא יצליח הוא ירשום בשורה הראשונה וירשום כי אין צורך ב”תפיסה”

מסומן באדום

מסומן באדום

נכנס לAD UC ונלחץ קליק ימני ואז Operations Masters

ניתן גם להקיש DSA.MSC כקיצור דרך

ניתן גם להקיש DSA.MSC כקיצור דרך

ונוכל לראות שהPDC עבר לשרת השני

לאיפה עבר

לאיפה עבר

על מנת לבדוק על ידי פקודה מי מחזיק באיזה תפקיד

פתחו מחדש את ה CMD והקישו

netdom query fsmo

מי מחזיק באיזה ROLE

מי מחזיק באיזה ROLE

 

יוצר, עורך וכותב האתר, חי את עולם השרתים,אבטחת מידע, סייבר גאדג'טים וטכנולוגיה חדשה. בעל תואר ראשון בחינוך בהתמחות טכנולוגית, עוסק בתחום כמומחה לאבטחת מידע ובנוסף כותב לעשרות מכללות בארץ מדריכים ומאמרים בנושאי: אבטחת מידע וסיסטם. בעל ניסיון של עשור בתחומים אלו, בזמני הפנוי, עוסק ומתפעל שרתים בתחום ה Linux ואתרי תוכן IT. המאמרים באתר נכתבו על ידי ושום חומר אינו מועתק, המאמרים והמדריכים כוללים אבטחת מידע, סייבר,סיסטם, ניהול רשתות ותשתיות. ניתן למצוא באתר את כלל החברות המחשוב ואבטחת המידע בעולם וכיצד לתפעל ולתחזק מערכות אלו. הוסיפו אותי ב LinkedIn

מאמרים קשורים

הפיכת Server 2012 Core ל Gui

הסבר והתקנת IPAM – IP Address Management

הסבר על Task Scheduler וכיצד ליצור משימה אוטומטית...

User Group Policy Loopback Processing Mode

Certificate Authority, Enterprise,Standalone והסבר על תעודות

Adprep /Forestprep /Domainprep

DNS | Forwarding | Forwarders and Conditional Forwarding

DNS | Zone Types

Demote A Domain Controller | הסרת DC

מחיקה ושחזור של Delete And Restore SRV Records

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.