Με αφορμή κάποια νήματα στο Autoexec σχετικά με τους FSMO Roles των Windows , θεώρησα σωστό να κάνουμε μια επανάληψη μιας και υπάρχει αρκετή σύγχιση γύρω απο το θέμα.

Τι είναι οι FSMO ρόλοι?

Οι Flexible Single Master Operation ρόλοι έχουν ως σκοπό να εξυπηρετήσουν την δομή του Active Directory να έχει πολλούς Master εξυπηρετητές. Από την αρχή του Active Directory ήταν ξεκάθαρο πως μια δομή με δυνατότητα πολλαπλών εξυπηρετητών θα ήταν η ιδανική υλοποίηση. Θα έδινε τη δυνατότητα στους διαχειριστές να μπορούν να κάνουν αλλαγές σε οποιοδήποτε ελεγκτή τομέα και να έχουν τις αλλαγές σε όλους χωρίς να ανησυχούν για πράγματα όπως σε ποιο ελεγκτή θα πρέπει να γίνουν οι αλλαγές.

Για να μην υπάρχουν όμως αλλαγές οι οποίες θα έρχοταν σε σύγκρουση μεταξύ τους , έπρεπε με κάποιον τρόπο το Active Directory να ελέγχει με διαφάνεια τον εξυπηρετητή κατά τη διάρκεια για αποφυγή συγκρούσεων.Έτσι γεννήθηκαν οι FSMO ρόλοι.

Τι αφορούν?

Υπάρχουν 5 FSMO ρόλοι ο καθένας με διαφορετική λειτουργία.Οι 2 απο αυτούς αναφέρονται στο Forest Root Domain ή αλλιώς στο πρώτο Domain που φτιάχτηκε κατά την υλοποίηση του Active Directory.Αυτοί οι ρόλοι είναι μοναδικοί σε όλο το Forest.Οι υπόλοιποι 3 ρόλοι βρίσκονται στο Forest Root Domain καθώς και σε κάθε Domain που δημιουργείτε έπειτα.

Οι ρόλοι που απευθύνονται στο Forest είναι οι εξής:

Α) Schema Master

Ο οποίος είναι υπεύθυνος για το σχήμα της βάσης που υπάρχει σε όλους τους τομεις (Domains). Αναλαμβάνει τις αλλαγές στο σχήμα,οπότε κάθε φορά που το σχήμα αλλάζει ,για παράδειγμα προσθέτετε έναν Exchange Server είναι υπεύθυνος να κάνει τις αλλαγές και να τις δώσει σε όλους τους τομείς εαν υπάρχουν περαν του Forest Root Domain.

Β)Domain Naming Master

Ο συγκεκριμένος ρόλος υπάρχει για να προσθέτει και να αφαιρεί τομείς (Domains). Κάθε φορά που προσθέτετε η αφαιρείτε κάποιον τομέα είναι υπεύθυνος για τις εγγραφές στη βάση και την ενημέρωση των υπόλοιπων Domain.

Οι ρόλοι που αφορούν το Domain είναι οι εξής:

A)Primary Domain Controller Emulator ή PDC Emulator.

Αυτός ο ρόλος είναι ένας απο τους ποιο σημαντικούς.Αναλαμβάνει τις αλλαγές σε ότι αφορά τους χρήστες,το συγχρονισμό της ώρας και είναι ο ελεγκτής στον οποίο απευθύνονται οι υπόλοιποι εάν υπάρχει κάποια διαφωνία.

Β)Relative Identification Master ή RID Master.

Ο συγκεκριμένος ρόλος έχει ως ευθύνη την παραγωγή των ID για τα αντικείμενα.Κάθε αντικείμενο ,χρήστης,υπολογιστής,ομάδα για παράδειγμα έχουν ένα μοναδικό αριθμό στο Domain.Για να μην υπάρχει περίπτωση αυτός ο αριθμός να έιναι ίδιος μεταξύ αντικειμένων όλοι οι ελεγκτές όταν θέλουν να δημιουργήσουν ένα αντικείμενο παίρνουν έναν αριθμό από τον RID Master.

C)Infrastructure Master.

Ο τελευταίος ρόλος είναι ,ας μου επιτραπεί,ο τηλεφωνικός κατάλογος του Domain. Κάθε φορά που χρειάζονται πληροφορίες για κάποιο αντικείμενο σε άλλους τομεις (Domains) οι ελεγκτές συμβουλέυονται τον Infrastructure Master.

Είναι όμως και ο ρόλος που κινδυνεύει να χαθεί γρηγορότερα.Ο λόγος είναι η ύπαρξη του Global Catalog.Όταν ένας ελεγκτής είναι και Global Catalog τότε γνωρίζει ήδη για τα αντικείμενα που βρίσκονται σε άλλους τομείς και δεν χρειάζεται να ρωτήσει τον Infrastructure Master.

"Ώραια ,τώρα που κατάλαβα τι κατάλαβα;" θα αναρωτηθεί κανείς. Πως θα καταλάβω οτι υπάρχει κάποιο πρόβλημα αφού είναι μια διαφανής διαδικασία;

Το Active Directory έχει φτιαχτεί τόσο καλά που δεν καταλαβαίνει κανείς εύκολα το τί γίνεται καθώς το παραμετροποιεί ,προσθέτει ή αφαιρεί. Τα πιο πολλά εργαλεία αυτόματα συνδέονται με τον ελεγκτή που έχει το ρόλο που είναι υπεύθυνος.Για παράδειγμα όταν ανοίγετε την κονσόλα διαχείρησης χρηστών αυτόματα μεταφέρεστε στον PDC Emulator. Ωραίο έτσι; Ναι και όχι θα έλεγα. Για να καταλάβετε οτι υπάρχει πρόβλημα πέραν του Event Viewer θα αποτύχουν κάποιες εργασίες.Στον επόμενο πίνακα μπορείτε να δείτε μερικές.

Σύμπτωμα  : Οι χρήστες δεν μπορούν να   συνδεθούν.

Ρόλος        : PDC                     

Εξήγηση    : Αν τα ρολόγια των υπολογιστών δεν είναι συγχρονισμένα η ταυτοποίηση θα αποτύχει.

Σύμπτωμα : Οι χρήστες δεν μπορούν να αλλάξουν κωδικό.

Ρόλος        : PDC                      

Εξήγηση    : Αν ο PDC είναι κάτω δεν θα είναι δυνατό να αλλάξετε κωδικό.

Σύμπτωμα : To κλείδωμα των λογαριασμών δεν λειτουργεί.                     

Ρόλος        :  PDC                     

Εξήγηση    : Το κλείδωμα των λογαριασμών (Account Lockout) χρειάζεται αυτόν το ρόλο.

Σύμπτωμα  : Δεν μπορείτε να προσθέσετε χρήστες η ομάδες.                         

Ρόλος        : RID                      

Εξήγηση    : O RID Master δεν λειτουργεί ή δεν έχει ελεύθερους μοναδικούς αριθμούς για να σας δώσει.

Σύμπτωμα  : Δεν δουλεύουν σωστά τα Universal Groups.                               

Ρόλος        : Infrastructure       

Εξήγηση    : Αν δεν λειτουργεί σωστά ο Infrastructure Master δεν θα μπορείτε να εκμεταλευτείτε τα Universal Groups που περιέχουν χρήστες απο άλλα Domains.

Σύμπτωμα  : Δε μπορείτε να προσθέσετε η να αφαιρέσετε ένα ελεγκτή.           

Ρόλος        : Domain Naming     

Εξήγηση    : Αν δε μπορείτε να προσθέσετε έναν ελεγκτή ή να δημιουργήσετε ένα νέο τομέα πολύ πιθανόν να μην δουλεύει σωστά ο Domain Naming Master.

Σύμπτωμα  : Δε μπορείτε να αλλαξετε το σχήμα της βάσης.                           

Ρόλος        : Schema                 

Εξήγηση    : Αν δε δουλεύει ο Schema Master τότε αλλαγές στο σχήμα της βάσης δεν είναι εφικτές.

Η παραπάνω λίστα είναι ενδεικτική και φυσικά υπάρχουν πολλά πράγματα παραπάνω που είναι άμεσα συνδεδεμένα με τους ρόλους.

"Μάλιστα και τώρα που κατάλαβα που βρίσκω που είναι οι ρόλοι?"

Μπορείτε πολύ εύκολα να βρείτε τους ρόλους απλώς πηγαίνωντας σε μια γραμμή εντολών και δίνοντας "netdom query fsmo" απο έναν ελεγκτή τομέα.

Αν δε σας αρέσει η γραμμή εντολών μπορείτε να βρείτε τους ρόλους και απο το γραφικό περιβάλλον.

Για να δείτε πληροφορίες για τον ελεγκτή του Schema master θα πρέπει πρώτα να τρέξετε την εντολή "regsvr32 schmmgmt.dll" απο την εκτέλεση του μενού έναρξης. Ο υπολογιστής θα σας ενημερώσει για την επιτυχή καταχώρηση. Έπειτα θα πρέπει να ανοίξετε ένα παράθυρο κονσόλας MMC και να προσθέσετε την κονσόλα του σχήματος με τη χρήση του File->Add/Remove Snap-ins. Εκεί θα πατήσετε δεξί κλικ πάνω στο Active Directory Schema και θα διαλέξετε το Operations Master.

Για πληροφορίες του Domain Naming Master θα ανοίξετε την κονσόλα Active Directory Domains and Trusts απο τα διαχειριστικά εργαλεία και θα διαλέξετε με δεξί κλικ πάνω στο Active Directory Domains and Trusts απο τα αριστερά Operations Master.

Για τους ρόλους σε επίπεδο Domain απλά μπορείτε να ανοίξετε την κονσόλα Active Directory Users and Computers διαχειριστικά εργαλεία και θα διαλέξετε με δεξί κλικ πάνω στο Domain σας απο τα αριστερά Operations Master.

"Ωραία τώρα που κατάλαβα χρειάζεται να ξέρω ποιος server πρέπει να φιλοξενεί το ρόλο;"

Υπάρχουν κάποιες γενικές γραμμές για το πως πρέπει να μπουν οι ρόλοι.

Ρόλοι του Domain.

Γενικά o PDC emulator καθώς και ο RID master θα πρέπει να βρίσκονται στον ίδιο εξυπηρετητή. Αυτό γίνεται γιατί ο PDC είναι αυτός που θα χρησιμοποιεί πιο συχνά τον RID master για νέους αριθμούς.

Ο Infrastructure master θα πρέπει να είναι σε ένα ελεγκτή που δεν είναι Global Catalog. Αυτός ο κανόνας έχει 2 εξαιρέσεις.

Υπάρχει ένας τομέας μόνο οπότε ο ρόλος είναι σχεδόν άχρηστος και όλοι οι ελεγκτές είναι και Global Catalog οπότε γνωρίζουν ήδη τα αντικείμενα του τομέα.

Ρόλοι του Forest.

Οι δύο ρόλοι του Forest μπορούν να είναι στον ίδιο ελεγκτή για απλούστευση της διαχείρισης.

Φυσικά δεν πρέπει να ξεχνάμε πως χρειάζονται τουλάχιστον 2 ελεγκτές τομέα για κάθε Domain. Για να μπορείτε να κάνετε αλλαγές στους ρόλους με επιτυχία καλό είναι οι εφεδρικοί ελεγκτές να είναι καλά συνδεδεμένοι με τον ελεγκτή που έχει το ρόλο. Με αυτήν την τακτική θα είναι σίγουρο πως σε περίπτωση προβλήματος αν χρειαστεί να μεταφέρω τους ρόλους τότε ο ελεγκτής που θα τον φιλοξενήσει θα είναι ενημερωμένος όσο το δυνατόν περισσότερο.

"Μάλλον υπάρχει κάποιο πρόβλημα/θέλω να αλλάξω ελεγκτή, μπορώ να αλλάξω  ελεγκτή που φιλοξενεί το ρόλο;"

Φυσικά, μπορείτε να αλλάξετε τους ελεγκτές που φιλοξενούν το ρόλο χρησιμοποιώντας είτε τις κονσόλες διαχείρησης , είτε το εργαλείο ntdsutil.exe το οποίο μας δίνει και τη δυνατότητα βίαιης μεταφοράς σε περίπτωση σφάλματος . Επίσης εαν αποφασίσετε να καταργήσετε έναν ελεγκτή τομέα που φιλοξενεί κάποιο ρόλο τότε αυτόματα τα Windows θα μεταφέρουν το ρόλο.

Αν όμως ένας ελεγκτής δεν δουλεύει σωστά και χρειαστεί να μεταφέρετε τους ρόλους με το Ntdsutil τότε θα πρέπει να ξέρετε πως αν καταφέρετε να επισκευάσετε τον ελεγκτή τότε δε θα μπορείτε να επιστρέψετε τους ρόλους πίσω σε αυτόν. Συγκεκριμένα  ο RID master,ο Domain Naming master και ο Schema Master δεν θα πρέπει να μεταφερθούν πίσω στον αρχικό. Θα πρέπει να γίνει καθαρή εγκατάσταση του λειτουργικού και να μεταφερθεί πάλι πίσω σωστά με τη χρήση της κονσόλας του ρόλου.