درست است که دایرکتوری فعال (Active Directory) یک دایرکتوری مالتی مستر (Multimaster) است، اما شرایطی وجود دارد که باید تنها یک دومین کنترولر (DC) ویژگیهای (Function) مشخصی یا نقش (Role) مشخصی را انجام دهد. در این شرایط دایرکتوری فعال (Active Directory) یک سرور (Server) را به عنوان مستر (Master) برای این ویژگیها (Function) یا نقش (Role) انتخاب میکند . تعداد این ویژگیها یا نقش ۵ تا میباشد که باید در یک سرور قرار گرفته باشند (در حالتی صحبت کردیم که فقط یک سرور داریم). سروری که مستر برای یکی از این ویژگیها یا نقش عملیات مستر (Flexible Single Master Operator - FSMO) باشد، صاحب نقش (Role owner) است . از این ۵ عدد نقش، ۳ عدد آن برای هر دومین (Domain) وجود دارد و ۲ عدد آن برای هر جنگل یا کل ساختار (Forest). با یک مثال متوجه شویم منظور چیست . اگر ۳ دومین 3x Domain در جنگل یا کل ساختار1x Forest داشته باشیم، تعداد در کل ۱۱ عدد میباشد . ۹ نقش (role) برای دومین ها 3xDomain x 3xroles=9 و ۲ نقش (role) برای جنگل یا کل ساختار 1xForest x 2xroles=2 که حاصل جمع این دو عدد ۱۱ نقش (role) میباشد . حالا این FSMO ها به ترتیب Schema Master در Forest دومین کنترولی که صاحب نقش Schema Master است، تنها سروری است که اجازه تغییرات یا به روز رسانی در Schema بین سرورهای دیگر را دارد. پس یادمان باشد سرورهای دیگر اجازه هیچ تغییری در Schema ندارند و اگر خواستید تغییری در Schema دهید باید بر روی صاحب Schema Master انجام دهید . اولین سروری که در جنگل یا کل ساختار (Forest) به دومین کنترولر (DC) تبدیل شود، صاحب نقش Schema Master است . Domain Naming Master در Forest دومین کنترولی که صاحب نقش Domain Naming Master است، وظیفه کنترل فضا اسم (Namespace) یا نام در جنگل یا کل ساختار (Forest) است. این سرور دومین (Domain) جدید را اضافه یا دومین را حذف میکند، دومین را تغییر مکان (Move) میدهد، دومین را تغییر نام (Rename) میدهد البته فراموش نکنیم کل این کارها در جنگل یا کل ساختار (Forest) میباشد. همچنین اجازه ایجاد پارتیشن برای برنامه ها . اولین سروری که در جنگل یا کل ساختار (Forest) به دومین کنترولر (DC) تبدیل شود، صاحب نقش Domain Naming Master است . PDC Emulator در Domain دومین کنترولی که صاحب نقش PDC Emulator است، یکی از وظایفش سرور مرکزی زمان (Time Server) است. وظیفه مهم دیگر PDC Emulator حفظ آخرین پسورد برای هر حساب کاربری است و برای همین هر دومین کنترولی (DCs) را برای تغییر پسورد مجبور میکند که مستقیما این کار را به سمت خودش ارسال کنند. این کار سبب پشتیبانی از قابلیت PDC زنجیره ای (PDC-chaining) میشود. این قابلیت زمانی اتفاق می افتد که یک حساب کاربری برای احراز هویت (authenticate) اقدام میکند و دومین کنترولر محلی فکر میکند که این پسورد صحیح نیست، در نتیجه این دومین کنترولر از حالت زنجیره ای (PDC-chaining) استفاده کرده و این پسورد را به سمت PDC میفرستد تا ببیند که این پسورد درست است یا خیر . همچنین سرور PDC ، سروری است که ابزار مدیریت گروه پالسی (Group Policy) به عنوان سرور هدف (Target) از آن استفاده میکنند. دلیل این کار این است که انواع تغییرات مشابه گروه پالسی (Group Policy) در دومین کنترولر های (DCs) دیگر توسط ادمینهای دیگر در زمان یکسان کاهش یابد . اگر میخواهید قابلیت PDC زنجیره ای (PDC-chaining) را غیر فعال (Disable) کنید، میتوانید در رجیستری AvoidPdcOnWan مقدار را ۱ تنظیم کنید .
کد :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Registry value: AvoidPdcOnWan
Registry type: REG_DWORD
Registry value data: 0 (or value not present) or 1
0 or value not present = FALSE (to disable)
1 = TRUE (to enable)
Default: (value is not present)
اگر این قابلیت PDC زنجیره ای (PDC-chaining) در محیط شبکه شما کار نمیکند، ببینید که تنظیم گفته شده بر روی دومین کنترولر شما انجام نشده باشد. برای اطللاعات بیشتر به لینک زیر مراجعه کنید . New Password Change and Conflict Resolution Functionality in Windows RID (Relative-Identifier) Master در Domain همه سرمایه اصلی یا شیرازه (Principal) امنیتی (Security) در یک دومین (Domain) ، یک معین کنننده هویت امنیتی (Security Identifier - SID) است که از اجزای مختلف تشکیل شده که محتوای یک RID است. سیستم از SID استفاده میکند تا با یک شناسایی منحصر بفرد (uniquely identify) به شی (Object) مجوز امنیتی دهد. در یک دومین، SID باید منحصر بفرد در سراسر دومین باشد . به عنوان مثال هر دومین کنترولر (DC) میتواند اشیاء (Object) فعال امنیتی (security-enabled) را ایجاد کند، با اینکه برخی مکانیسمها وجود دارند اما دو SID یکسان ساخته نمیشوند. برای جلوگیری از این اتفاق (دو SID یکسان ) ، RID Master یک مخزن (Pool) بزرگ از مقادیر RID منحصر بفرد (unique) را در خود ذخیره میکند. زمانی که یک دومین کنترولر (DC) را به شبکه اضافه میکنید، یک زیر مجموعه ۵۰۰ تایی از این مخزن (Pool) را برای استفاده خودش (دومین کنترولر مورد نظر) اختصاص میدهد. زمانی که دومین کنترولر (DC) نیاز به ساختن یک (SID) دارد، اول مخزن (Pool) خود را چک میکند که آیا این مقدار در دسترس است تا برای SID مقدار منحصر بفرد (unique) استفاده و ساخته شود یا خیر. در این روش، RID Master همه را کنترل میکند و مطمئن میشود که همه SID ها در دومین از RID با مقدار منحصر بفرد (unique) استفاده میکنند . آدرس تنظیم مقدار در رجیستریبه صورت استاندارد ۵۰۰ است
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
Infrastructure Master در Domain کار جالب Infrastructure Master این است که تمام تغییرات اشیاء (Objects) در دومین های (Domains) سراسر یک جنگل یا کل ساختار (Forest) را چک میکند . اگر که Infrastructure Master یک تغییر در یک شی (Object) در داخل دومین دیگر پیدا کند، صفات (attributes) را برای همه موارد آن شی (Object) به روز رسانی (Update) میکند و سپس این تغییرات را با تمام دومین کنترولرهای (DCs) داخل دومین خودش رونوشت (replicate) میکند . الان به احتمال زیاد میخواهید سوال کنید که چرا باید یک شی (Object) در بیشتر از یک دومین وجود داشته باشد؟ جواب این سوال این است که اگر یک شی (Object) در یک لیست کنترل دستیابی (access control list) یا به عنوان عضو یک گروه مورد استفاده قرار گیرد، این تغییرات شی (Object) داخل دومین (Domain) به صورت پیشفرض (Default) با سایر دومین ها (Domains) رونوشت (replicate) نمیشود. گلوبال کاتالوگ (Global Catalog) این تغییرات را با عملیات رونوشت دومین داخلی (intradomain replication) با سایرین که گلوبال کاتالوگ (Global Catalog) هستند ارائه میدهد، ولی بقیه که گلوبال کاتالوگ (Global Catalog) نیستند که هیچ به روز رسانی (Update) پارتیشن دومین (Domain Partition) را دریافت نمیکنند . به طور مثال اگر Infrastructure Master از کار بیفتد، برای چند روز شاید متوجه نشوید، ولی وقتی تغییراتی بر روی شی (Object) انجام دهید، متوجه خواهید شد که این تغییرات بلافاصله در کل محیط شبکه اعمال نمیشود . همچنین Infrastructure Master به فانتومس (Phantoms) معروف است . یادتان باشد وقتی که میخواهید ویندوز ۲۰۰۳ را به ویندوز ۲۰۰۸ (دومین کنترولر) به روز رسانی کنید، باید فرمان adprep /domainprep را بر روی دومین کنترولری که صاحب Infrastructure Master است اجرا کنید .
چه کاری در زمان از کار افتادن عملیات مستر (fsmo) انجام دهیم
همانطور که در بالا شرح داده شد، فهمیدیم که نقش هرکدام از این roles چیست. اگر درست این توضیحات را درک کنیم، به این نتیجه میرسیم که با از کار افتادن یک یا همه این role ها، اتفاق خیلی بدی پیش نیامده و میتوانیم با خونسردی ایراد را برطرف کنیم، در حالیکه خیلی از ادمینها هنوز اشتباه تصور میکنند و هنوز در فکر (PDC = Primary Domain Controller) و (BDC = Backup Domain Controller) هستند که مربوط به زمان Windows NT 4.0 بود و با آمدن Windows Server 2000 این مشکل به پایان رسید . در زمانی که این اتفاق ( از کار افتادن یک یا همه role ها) برایمان پیش میاید، دو موقعیت در پیش رو داریم که در پایین به آن نگاهی کوتاه میکنیم : مشکل به صورت موقت میباشد اگر میتوان این مشکل را در چند روز آینده برطرف کرد، با خونسردی سرور را به حالت نرمال برمیگردانیم. در بین این مدت زمان همه کارهای عادی، به صورت نرمال به کار خود ادامه میدهند، به طور مثال ورود (Login) ، مدیریت دسترسیها (Manage access rights) ، ایجاد اشیاء جدید (Create new objects). کارهایی که نمیتوان کرد، ایجاد دومین جدید، ویرایش Schema و ممکن است اشیاء امنیت (Security objects --> Users, groups, computer) جدید را نتوان ایجاد کرد که البته مربوط به RID Master است که همانطور که در بالا گفته شد یک مخزن ۵۰۰ تایی دارد که اگر این مخزن (Pool) پر شود یا از همه آن استفاده شود این اتفاق خواهد افتاد . زمانی که سروری که عملیات مستر روی آن است دوباره به حالت عادی برگردد، دوباره همه چیز نرمال میشود . مشکل به صورت دائمی است در صورتی که نتوان سرور را به حالت نرمال بازگرداند و مشکل دائمی است، باید roles را به دومین کنترولر (DC) دیگری انتقال داد و این دومین کنترولر (DC) مشکل دار را از اکتیو دایرکتوری (AD) پاک کرد.نکته ای که باید به آن دقت کرد، این است که اگر این دومین کنترولر را که از مدار خارج کردیم، به هر طریق دوباره توانستیم که حالت نرمال برگردانیم، در صورتی که آن را بخواهیم روشن کنیم و اطلاعتی که در آن است را در جایی کپی و یا غیره کنیم، نباید به شبکه وصل باشد، کابل شبکه را وصل نکنید. در صورتی که میخواهید دوباره به عنوان دومین کنترولر از آن استفاده کنید و به شبکه وصل کنید، قبلا ویندوز را پاک و دوباره اینستال کنید و سپس اجازه دارید که به شبکه وصل کنید . پس با این توضیحات به این نتیجه میرسیم که تفکری که برخی از ادمینها در مورد از کار افتادن عملیات مستر، مساوی با از کار افتادن دومین و غیره است اشتباه است و همچنین نتیجه میگیریم که چرا گفته میشود حداقل دو دومین کنترل 2x DCs در شبکه قرار گیرد .