در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

20 آموزش شبکه مقدماتی قسمت 7 : معرفی FSMO

اهمیت FSMO ها در ساختار اکتیودایرکتوری چیست ؟ در مقاله قبلی به این مسئله اشاره کردیم که ساختار اکتیودایرکتوری شامل یک جنگل یا forest است که با درخت ها یا Domain Tree پر میشوند و با نگاه کردن به نام هر یک از این دامین ها میتوان محل آن را در ساختار اکتیودایرکتوی مشخص کرد . قطعا برای شما دوستان هم این موضوع واضح هست که دامین هایی که در بالای این ساختار سلسله مراتبی یا بهتر بگیم موروثی قرار میگیرن از درجه اهمیت بیشتری نسبت به پایینتری ها برخوردار هستند و متقابلا دامین کنترلر ها هم مهم هستند. اما همه چیز اینطوری نیست که تصور میشه . در این مقاله به شما نقش هایی که بصورت مجزا هر کنترا کننده دامین یا Domain Controller در ساختار جنگل یا Forest در اکتیودایرکتوری ایفا میکنه رو مشاهده خواهید کرد .

قبلا در همین سری از مقالات در مورد چگونگی کارکرد دامین در ویندوز NT صحبت کردیم . همانند ساختار اکتیودایرکتوری ، دامین های تحت ویندوز NT نیز از وجود چندین کنترل کننده دامنه یا domain controller پشتیبانی میکردند . به یاد داشته باشیم که وظیفه Domain Controller احزار هویت کاربران شبکه و اجازه ورود به سیستم ها است . بنابراین اگر دامین کنترلر از مدار خارج شده و قادر به ارائه سرویس نباشد هیچکس نمی تواند به کامپیوترهای شبکه وارد شود . مایکروسافت در طراحی های خود این موضوع را مد نظر داشت و به همین دلیل این امکان را به ویندوز سرور داد تا بتواند یک دامین کنترلر اضافی بر سازمان ایجاد کند تا هنگامی که دامین کنترلر اصلی از کار افتاد بتوانند از آن برای ورود به سیستم ها استفاده کنند که به این دامین کنترلر به اصطلاح Additional Domain Controller هم می گویند . دارا بودن چندین دامین کنترلر در شبکه این امکان را به سیستم های تحت شبکه و مدیر آن میدهد که فرآیند های شبکه را در میان این چند سرور تقسیم کرده و باعث شوند که بار کاری بین اینها تقسیم شده و سرعت و کارایی سیستم ها بیشتر شود و تنها یک سرور زیر بار کاری قرار نگیرد .

همچنین ویندوز NT میتوانست از وجود چند دامین کنترلر در یک دامین استفاده کند ، در این حالت یکی از دامین کنترلر ها به عنوان دامین کنترلر اصلی یا Primary Domain Controller که به اختصار PDC گفته میشود . همانطوری که قبلا هم اشاره شد یک دامین کنترلر شامل تمامی اشاء موجود در دامین از قبیل حساب های کاربری و کامپیوتری و گروه ها و .. میباشد ، به این پایگاه داده به اصطلاح SAM هم گفته میشود که مخفف کلمه Security Account Manager است . ( البته ما SAM را در ساختار اکتیودایرکتوری امروزی به عنوان پایگاه داده محلی بر روی سیستم ها داریم و دیگر مفهومی به نام SAM در روی دامین های تحت اکتیودایرکتوری وجود ندارد .

در ویندوز NT سرور اصلی یا همان PDC کپی اصلی از اطلاعات دامین را در خود نگهداری میکند و سایر دامین کنترلر های موجود در دامین به عنوان دامین کنترلرهای پشتیبان یا Backup Domain Controller که به اختصار BDC نامگذاری میشود در دامین فعالیت میکنند . اگر بخواهیم هر تغییری را در ساختار دامین ایجاد کنیم آنرا میبایست در قالب اعمال تغییرات در PDC انجام بدهیم . پس از اعمال این تغییرات PDC اطلاعات خود را با سایر BDC های موجود در دامین یکسان سازی یا به اصطلاح Replicate میکند . در یک وضعیت عادی و نرمال PDC تنها دامین کنترلر در ویندوز NT است که بروز رسانی های میتواند بر روی آن اعمال شود . اگر PDC ما در ساختار دامین از بین برود یا دچار مشکل شود راه هایی وجود دارد که از آن طریق بتوان دامین کنترلر های BDC را تبدیل به PDC کرد تا در شبکه بتوانند فعالیت کنند .

دامین در ساختار اکتیودایرکتوری تا حدودی با این شکل متفاوت است . اکتیودایرکتوری از یک ساختار Multi Master Replication یا ساده تر بگوییم ساختاری که در آن چندین دامین کنترلر که همگی آنها به عنوان PDC هستند و در شبکه بصورت همزمان فعالیت میکنند و اطلاعات خود را یکسان سازی می کنند ، استفاده میکند . این ساختار یعنی اینکه هر دامین کنترلر یک کپی قابل نوشتن از اطلاعات دامین را در اختیار داشته و به محض اینکه در یکی از این دامین کنترلرها تغییراتی اعمال شده و یا بروزرسانی شود ، همه آنها اطلاعات خود را با یکدیگر یکسان سازی میکنند.

استفاده از ساختار Multi Master Replication به نظر ایده ای بسیار خوب می آید ، اما در اینجاست که یک سری مشکلات از قبیل بوجود آمدن مقایرت در انجام تنظیمات بوجود می آید . تصور کنید که شما به عنوام مدیر دامین تنظیماتی را در ساختار دامین ایجاد میکنید و در همان لحظه یکی دیگر از مدیران شبکه نیز متضاد این تغییرات را در همان ساختار دامین اعمال میکند !!!

در بیشتر موارد اکتیودایرکتوری بروزترین تغییرات را به عنوان آخرین تغییرات مد نظر قرار داده و آنها را ملاک تغییر و اعمال در پایگاه داده خود قرار میدهد . اما در برخی اوقات تنظیمات به اندازه ای حساس و حیاتی هستند که صرفا نمیتوان به چنین نوع ملاک های تغییری اکتفا کرد و تضاد ها بسیار خطرناک خواهند شد . در چنین مواقعی مایکروسافت راهکارهای پیشگیرانه را به جای راهکارهای ترمیم کننده در نظر میگیرد و آنها را ملاک قرار می دهد .یعنی به جای اینکه پس از بوجود آمدن تداخل و تضاد بین تنظیمات آنرا رفع کند ، قبلا از بوجود آمدن تداخل و تناقض در تنظیمات پیشگیری میکند .

برای مدیریت چنین مسائلی ، مایکروسافت برای هر دامین کنترلر نقش مدیریتی را در ساختار اکتیودایرکتوری در نظر گرفته و در هر دامین صرفا یک دامین کنترلر است که مسئول انجام نقش محول شده به آن می باشد و سایرین وظیفه ای در خصوص آن مسئله نخواهند داشت . این نقش ها و وظایف را در اصطلاح Flexible Single Master Operation یا به اختصار FSMO و در برخی تلفظ ها FIZMO می نامند . این کار به این معنی است که تمامی دامین کنترلر ها در شبکه دامین اطلاعات خود را با یکدیگر یکسان سازی میکنند اما به محض اینکه رویدادی قرار است بوجود بیاید که تناقض در آن باعث اختلال در کار دامین خواهد شد از دامین کنترلری سئوال میشود که مسئول نگهداری آن وظیقه یا Role در دامین محسوب میشود و سایر دامین کنترلرها ملاک اعمال تغییرات نخواهند بود . به یاد داشته باشید که ما در ساختار اکتیودایرکتوری 3 نقش یا Role در سطح دامین و 2 نقش در سطح Forest داریم که هر یک وظیفه مشخص و معینی برای خود دارند.

FSMO Role ها در کجا قرار گرفته اند ؟


این مسئله خیلی مهم است که بدانید که هر یک از این FSMO Role ها بر روی کدامیک از دامین کنترلر های شبکه شما قرار گرفته است . بصورت پیشفرض در یک Forest اولین دامین کنترلر در دامین تمامی 5 نقش را بر روی خود نگه میدارد . همینطور که دامین کنترلرهای اضافی ایجاد میشوند اولین دامین کنترلر نقش های مربوط به هر یکی از دامین ها ( 3 نقش در سطح دامین ) را به تک تک آنها ، ارائه می دهد . دلیلی اصلی اینکه بایستی بدانید که این نقش ها بر روی کدامیک از دامین کنترلرها قرار دارد این است که سخت افزارهای همیشه قدیمی و از رده خارج میشوند . به خاطر دارم که یکی از دوستانم قصد داشت برای شرکتی ساختار اکتیو دایرکتوری را ایجاد کند . قبل از اینکه سرور اصلی به دست ایشان برسد برای تسریع کار از یک دستگاه PC به عنوان سرور استفاده کرده و ویندوز سرور 2003 و اکتیودایرکتوری را بر روی آن نصب کردند تا بتوانند از ابزارهای مدیریتی آن استفاده کنند .

پس از اینکه سرورهای جدید به دست وی رسید ، به جای اینکه یک ساختار جدید Forest ایجاد کند ، سرور جدید را به عنوان یک دامین کنترلر به سیستم قبلی ( دامین قبلی ) معرفی کرد. اینکار به این معنی است که همچنان همان PC که در نقش دامین کنترلر اولیه کار میکرد همچنان همگی FSMO ها را بر روی خودش نگهداری میکرد . همه چیز خوب بود تا وقتی که این دوست ما خواست که کامپیوتری که قبلا به عنوان دامین کنترلر ایجاد کرده بود یا بهتر بگوییم PC قبلی را از مدار شبکه خارج کند . اگر اینکار به درستی انجام شود مشکل خاصی در ساختار ایجاد نمیشود اما اگر اشتباه انجام شود ممکن است شبکه و ساختار اکتیودایرکتوری شما به کلی دچار مشکل شود . دوست ما بدون توجه به روشهای جداسازی این دامین کنترلر از شبکه براحتی دستگاه را بصورت فیزیکی از شبکه جدا و هارد دیسک آنرا کاملا Format میکند !!! به یکباره کلیه فعالتیهای اکتیودایرکتوری دچار مشکل شده و مشکلات زیادی در شبکه بوجود می آید . اگر مدیر شبکه به این نکته توجه داشت که سروری را که از شبکه خارج کرده تمامی نقش های FSMO را بر روی خود داشته ، این مشکلات به هیچ عنوان به وجود نمی آمد . در اینگونه موارد امکان این وجود دارد که سرور قبلی را بدون نیاز به حضور فعال در شبکه از ساختار خارج کرده و تمامی نقش ها را به سرور جدید منتقل کنیم که با این روش مشکلات بوجود آمده براحتی از بین خواهد رفت . ( Seize )

FSMO ها چه هستند ؟


در مورد تک تک نقش هایی که هر یک از این FSMO ها در اکتیو دایرکتوری ایفا میکنند در مقاله بعدی به طور کامل صحبت خواهم کرد . اما در اینجا خیلی سریع عناوین این نقش ها را به شما معرفی میکنم تا با نام آنها آشنایی داشته باشید . همانطوری که قبلا هم گفتم 5 نقش وجود دارد که 3 تای آنها در سطح دامین و 2 تای آنها در سطح Forest فعالیت می کنند . نقش هایی که در دامین فعالیت میکنند به نام Relative Identifier, Primary Domain Controller Emulator و Infrastructure Master هستند که به اختصار به آنها RID و IMR و PDC Emulator میگوییم . نقش های سطح Forest نیز به ترتیب Schema Master و Domain Naming Master نامگذاری میشوند . در پایین خلاصه ای از فعالیتی که آنها انجام میدهند را معرفی میکنیم :

  • Schema Master: نگهداری از نسخه قابل اعتماد از ساختار پایگاه داده اکتیودایرکتوری را بر عهده دارد .
  • Domain Naming Master : نگهداری از لیست دامین های موجود در Forest
  • Relative Identifier Master : اطمینان یافتن از اینکه هر شیء در اکتیودایرکتوری دارای مشخصه امنیتی منحصر به فردی ( Unique Security Identifier) برای خود باشد.
  • Primary Domain Controller Emulator : در نقش PDC در دامین هایی که از ساختار دامین ویندوز NT استفاده میکنند فعالیت می کند .
  • Infrastructure Master : وظیفه بروز رسانی Security ID و Distinguished Name ها در بین دامین ها را بر عهده دارد

نتیجه : امیدوارم که حداقل اهمیت وجود نقش های FSMO در شبکه را متوجه شده باشید ، هر چند که هنوز نمیدانید که دقیقا هر کدام از آنها چه کاری برای دامین ما انجام میدهند .در مقاله بعدی از این سری مقالات بصورت مفصل عملکرد هر کدام از این FSMO ها را بررسی و شرح میدهیم و شما به خوبی با فعالیت های هر کدام از آنها آشنا خواهید شد . همچنین به شما آموزش خواهم داد که چگونه باید آنها را در دامین کنترلر های خود جایگذاری کرده و یا مکانیابی کنید . ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#نحوه_ی_مشاهده_ی_FSMO_ها_ویندوزسرور #fsmo_چیست #آموزش_گام_به_گام_مبانی_شبکه #معرفی_operations_master #معرفی_felxible_single_master_operation #کاربرد_fsmo_در_شبکه #آموزش_مقدماتی_شبکه #نحوه_ی_انتقال_FSMO_ها #آموزش_مبانی_شبکه #مبانی_شبکه
عنوان
1 20 آموزش شبکه مقدماتی قسمت 1 : سخت افزار شبکه رایگان
2 20 آموزش شبکه مقدماتی قسمت 2 : مسیریاب ها یا روترها رایگان
3 20 آموزش شبکه مقدماتی قسمت 3 : سرویس نامگذاری دامنه یا DNS سرور رایگان
4 20 آموزش شبکه مقدماتی قسمت 4 : مفاهيم Workstation و Server رایگان
5 20 آموزش شبکه مقدماتی قسمت 5 : Domain Controller رایگان
6 20 آموزش شبکه مقدماتی قسمت 6 : دامنه های ویندوزی رایگان
7 20 آموزش شبکه مقدماتی قسمت 7 : معرفی FSMO رایگان
8 20 آموزش شبکه مقدماتی قسمت 8 : ادامه مبحث FSMO ها رایگان
9 20 آموزش شبکه مقدماتی قسمت 9 : اطلاعات در اکتیو دایرکتوری رایگان
10 20 آموزش شبکه مقدماتی قسمت 10 : Distinguished Names رایگان
11 20 آموزش شبکه مقدماتی قسمت 11 : استفاده از کنسول ADUC رایگان
12 20 آموزش شبکه مقدماتی قسمت 12 : مدیریت حسابهای کاربری در AD رایگان
13 20 آموزش شبکه مقدماتی قسمت 13 : گروه ها در اکتیودایرکتوری رایگان
14 20 آموزش شبکه مقدماتی قسمت 14 : Security Groups در اکتیودایرکتوری رایگان
15 20 آموزش شبکه مقدماتی قسمت 15 : Universal Group و Group Nesting رایگان
16 20 آموزش شبکه مقدماتی قسمت 16 : نقش سیستم عامل های ویندوزی رایگان
17 20 آموزش شبکه مقدماتی قسمت 17 : هفت لایه OSI یا مدل مرجع OSI رایگان
18 20 آموزش شبکه مقدماتی قسمت 18 : اشتراک گذاری منابع در شبکه رایگان
19 20 آموزش شبکه مقدماتی قسمت 19 : سطوح دسترسی اشتراکی رایگان
20 20 آموزش شبکه مقدماتی قسمت 20 : سطوح دسترسی به فایل رایگان
زمان و قیمت کل 0″ 0
14 نظر
Hossein Mohammadzadeh

*عالی بود،ولی واسه من یکی تا عملی انجام ندم نمیتونم ادعا کنم که کاملا یاد گرفتم...

یک سوال از مهندس نصیری با اجازه:

امکان شبیه سازی FSMOبا نرم افزار خاصی وجود دارد یا نه؟؟ یا کلا سوال من اشتباه است؟

*

محمد نصیری

خیر امکان شبیه سازی وجود نداره ... البته سئوالتون هم درست بیان نشده !!!

Hossein Mohammadzadeh

سلام و درود

مهندس نصیری

بنده دیروز سر کلاس کاملا با این مفاهیم آشنا شدم و به صورت کاملا شفاف فهمیدم داستان از چه قرار است،و همچنین با تشکر از شما که

مطلبی که در سایت قرار داده بودید موجب بهتر فهمیدن این موضوع شد.

بنده یک سوالی از حضورتون داشتم در صورت امکان اگر جواب داده بشه خیلی ممنون میشم...

سوال؟

در یک دومین سه تا DC داریم که یکی از این DC ها نقش infera master را دارد(فقط یک DC میتواند نقش infera master را داشته باشد)

سوال اول؟ چرا نباید infera master و GC همزمان در یک دومین روی یک DC باشد(اگر این اتفاق بیفتد مشکل به وجود می آید)

سوال دوم؟ این مشکلی که بوجود میاید چیست؟؟

حال اگر در همه DC های دومین تیک GC خورده شود و infera master نیز نصب شده باشد این مشکل از بین میرود!!!!!

سوال سوم؟ چرا اگر همه DC ها GC و infera master نیز نصب باشد این مشکل از بین میرود......؟؟؟؟

ببخشید اگه طولانی شد

Hossein Mohammadzadeh

استاد این مطلب رو خوندم ولی جواب سوالاتم نبود...

محمد نصیری
  1. اینکه یک سرور GC نباید روی سروری باشه که Infrastructure Master هم هست فقط در محیط های چند دامینی و Child Domain و امثال اینها صدق می کنه و در محلی که شما یک Domain دارید هیچ فرقی نداره این Role ها در کنار هم باشند یا از هم جدا باشند.در چنین شرایطی هیچ مشکلی پیش نخواهد اومد.
  2. ساده ترین بیان : اگر ایندو در کنار هم باشند اطلاعات مربوط به Global Catalog بروز نخواهد شد !!!
  3. اگر همه سرورها Global Catalog باشند چون بصورت جداگانه با هم Replicate می کنند مشکل بروز رسانی حل خواهد شد.
Hossein Mohammadzadeh

با تشکر از شما

اگر ایندو در کنار هم باشند اطلاعات مربوط به Global Catalog بروز نخواهد شد !!! (منظور از اطلاعات gc چیست؟)

استاد شاید یکی از دلایلی که درک این مطلب برام سخته نا آشنایی با GC هستش،ممنون از توضیحاتی که داده اید

من جواب این دو سوال را میخواهم:

چرا نباید infera master و GC همزمان در یک دومین روی یک DC باشد(اگر این اتفاق بیفتد مشکل به وجود می آید)

سوال دوم؟ این مشکلی که بوجود میاید چیست؟؟

چرا اگر همه DC ها GC و infera master نیز نصب باشد این مشکل از بین میرود......؟؟؟؟

البته تو یه سری سایت های انگلیسی هم مطالبی خوندم که اگر از صحت آنها اطمینان پیدا کردم با اجازتون تو سایت قرار میدم

مرسی

Hossein Mohammadzadeh

استاد من توضیح جامع تر میخوام،

راستش باید جواب اون مطلبی که بالا گذاشته بودم رو سر کلاس به صورت کامل تشریح کنم

انگار که یه نکته ای تو این قضیه هست که هیچ کجا بیان نشده من دنبال اون هستم....

محمد نصیری

متاسفانه یک مقدار محدودیت زمان دارم وگرنه به بهترین شکل پاسخ می دادم ابهامتون رو ، ترجیجا دو مقاله زیر رو هم مطالعه کنید اگر ابهام برطرف شد که بهتر اگر نشد خوشحال میشم شما خودتون جستجویی که انجام دادی از مطالب انگلیسی رو به فارسی در وب سایت قرار بدی که ببینیم درست برداشت کردید یا خیر :

Hossein Mohammadzadeh

استاد من تا سه شنبه هفته بعد فرصت دارم جواب درست پیدا کنم،چشم من مطالبی که سرچ کردم هم قرار میدم در وب ولی بعد از اینکه

تو اون جلسه به جواب درست رسیدم...

مدرس بنده از کنار کوچیکترین نکته هم به سادگی نمیگذره...

در هر صورت اگر فرصتش براتون پیش اومد ممنون میشم تا اون جلسه راهنماییم کنید

مرسی*

امیرحسین کریم پور

سلام.ممنونم از مقاله مفیدتون.

در نقش PDC در دامین هایی که از ساختار دامین ویندوز NT استفاده میکنند فعالیت می کند .

دلیل استفاده از ساختار ویندوز دامین NT چیست؟

محمد نصیری

خوب NT قبل از ویندوز سرور 2000 بود دیگه الان وجود نداره ، به جای همین ویندوز سرورهای امروزی کار می کرد ، الان وظایف PDC مدیریت RODC و Time Server و Password Reset هست ...

اریا بنازاده

سلام

ی چند تا سوال داشتم:

1-مگه ساختار جنگل یا forest برای ذخیره سازی domain ها نیست؟ پس چرا وظیفش فرق میکنه با سرور domain controoler

2-اونطوری که من برداشت کردم از صحبت های شما اینه که در واقع اگر چند domain contrller داشته باشیم در واقع تقسیم وظیفه میشه بینشون و این وظیفه ها fmso نام دارند بله؟

3-اگر فقط یک domain controller داشته باشیم پس وظیفه backup گیری به چه درد میخوره خوب اگه خراب شه دیگه backup اشم توی همون سروره دیگه ؟

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....