[Windows] Hướng dẫn chuyển domain controller sang 1 server khác trên Windows server 2008
Trong quá trình quản trị Windows, mình gặp phải vấn đề khá rắc rối (đối với 1 người chỉ quen làm việc trên môi trường UNIX như mình) liên quan đến domain controller như sau:
- Domain controller được cài đặt trên server VMWare ESX chạy Windows server 2008 Standard
- Yêu cầu chuyển đổi primary domain controller từ VMWare sang server IBM 3650M2 giữ nguyên cấu trúc OU, group, user và profile của các user login trên client sau khi chuyển đổi hệ thống
- Giữ nguyên IP address của domain controller
Trước khi trình bày giải pháp chuyển đổi, chúng ta hãy cùng lướt qua một vài khái niệm trong cấu trúc của domain controller để hiểu sâu vấn đề nhằm linh động trong cách xử lý các lỗi phát sinh về sau.
Xin lược bỏ các khái niệm nền tảng như domain controller là gì, AD là gì, ích lợi ra sao, cách triển khai như thế nào (vì nó quá đầy rẫy trên mạng rồi) mà mình sẽ tập trung đi sâu vào các thành phần tạo nên domain controller:
2. FSMO Roles (Flexible Single Operations Master Roles):
Trong môi trường multi master được triển khai trên Windows server 2008, để tránh việc xung đột dữ liệu trong quá trình replicate giữa các DC với nhau, Windows sẽ hoàn nguyên mô hình đơn master trong một bộ điều khiển miền đơn thực hiện với tư cách thẩm định đơn nhất cho sự thay đổi theo yêu cầu. Các bộ điều khiển miền này dùng để giữ FSMO roles với 5 roles sau:
Schema Master: quản lý bản sao của cơ sở dữ liệu Active Directory.
Domain Naming Master: quản lý danh sách các miền trong rừng.
Relative Identifier Master: chịu trách nhiệm đảm bảo cho tất cả đối tượng Active Directory trong một miền đều được nhận mã số nhân dạng bảo mật duy nhất.
Primary Domain Controller Emulator: hoạt động như một Primary Domain Controller trong các miền có Domain Controller chạy Windows NT.
Infrastructure Master: Chịu trách nhiệm cập nhật thông tin nhân dạng bảo mật của một đối tượng và phân biệt tên trong tham chiếu chéo đối tượng miền.
Thông thường, DC được cài đầu tiên trong môi trường multi DC sẽ nắm giữ 5 roles trên. Tuy nhiên, trong một số trường hợp về phần cứng, chúng ta cần thay đổi master nắm giữ FSMO roles để hệ thống hoạt động một cách thông suốt.
Ngoài mớ lý thuyết hỗn độn và trừu tượng ở trên thì việc chuyển đổi FSMO roles khá đơn giản và được logic hóa theo trình tự như sau, giả sử Primary DC đang chạy có hostname là: srv01.hap.local, và server thay thế là srv02.hap.local.
Bước 1: Cài đặt srv02.hap.local thành Secondary Domain Controller thông qua câu lệnh dcpromo.
(Trước đó, cần thay đổi DNS của srv02.hap.local thành ip của srv01.hap.local)
Kiểm tra lại lần cuối các dữ liệu như DNS record, OU, Grou, Users đã được đồng bộ ngon lành giữa 2 server chưa.
Bước 2. Cài đặt Additional Domain Controller từ primary domain controller đang nắm giữ FSMO roles.
Bước 3. Trên Additional Domain Controller, vào Active Directory Users and Computers. Chuột phải lên domain cần chuyển đổi FSMO chọn Operations Master
Bước 4. Trong hộp thoại Operations Master, lần lượt chọn Change tại 3 tab RID, PDC, Infrastructure để tiến hành chuyển đổi FSMO.
Thông báo đã transfer roles thành công.
- Domain controller được cài đặt trên server VMWare ESX chạy Windows server 2008 Standard
- Yêu cầu chuyển đổi primary domain controller từ VMWare sang server IBM 3650M2 giữ nguyên cấu trúc OU, group, user và profile của các user login trên client sau khi chuyển đổi hệ thống
- Giữ nguyên IP address của domain controller
Trước khi trình bày giải pháp chuyển đổi, chúng ta hãy cùng lướt qua một vài khái niệm trong cấu trúc của domain controller để hiểu sâu vấn đề nhằm linh động trong cách xử lý các lỗi phát sinh về sau.
Xin lược bỏ các khái niệm nền tảng như domain controller là gì, AD là gì, ích lợi ra sao, cách triển khai như thế nào (vì nó quá đầy rẫy trên mạng rồi) mà mình sẽ tập trung đi sâu vào các thành phần tạo nên domain controller:
Trong môi trường multi master được triển khai trên Windows server 2008, để tránh việc xung đột dữ liệu trong quá trình replicate giữa các DC với nhau, Windows sẽ hoàn nguyên mô hình đơn master trong một bộ điều khiển miền đơn thực hiện với tư cách thẩm định đơn nhất cho sự thay đổi theo yêu cầu. Các bộ điều khiển miền này dùng để giữ FSMO roles với 5 roles sau:
Schema Master: quản lý bản sao của cơ sở dữ liệu Active Directory.
Domain Naming Master: quản lý danh sách các miền trong rừng.
Relative Identifier Master: chịu trách nhiệm đảm bảo cho tất cả đối tượng Active Directory trong một miền đều được nhận mã số nhân dạng bảo mật duy nhất.
Primary Domain Controller Emulator: hoạt động như một Primary Domain Controller trong các miền có Domain Controller chạy Windows NT.
Infrastructure Master: Chịu trách nhiệm cập nhật thông tin nhân dạng bảo mật của một đối tượng và phân biệt tên trong tham chiếu chéo đối tượng miền.
Thông thường, DC được cài đầu tiên trong môi trường multi DC sẽ nắm giữ 5 roles trên. Tuy nhiên, trong một số trường hợp về phần cứng, chúng ta cần thay đổi master nắm giữ FSMO roles để hệ thống hoạt động một cách thông suốt.
Ngoài mớ lý thuyết hỗn độn và trừu tượng ở trên thì việc chuyển đổi FSMO roles khá đơn giản và được logic hóa theo trình tự như sau, giả sử Primary DC đang chạy có hostname là: srv01.hap.local, và server thay thế là srv02.hap.local.
Bước 1: Cài đặt srv02.hap.local thành Secondary Domain Controller thông qua câu lệnh dcpromo.
(Trước đó, cần thay đổi DNS của srv02.hap.local thành ip của srv01.hap.local)
Kiểm tra lại lần cuối các dữ liệu như DNS record, OU, Grou, Users đã được đồng bộ ngon lành giữa 2 server chưa.
Bước 2. Cài đặt Additional Domain Controller từ primary domain controller đang nắm giữ FSMO roles.
Bước 3. Trên Additional Domain Controller, vào Active Directory Users and Computers. Chuột phải lên domain cần chuyển đổi FSMO chọn Operations Master
Bước 4. Trong hộp thoại Operations Master, lần lượt chọn Change tại 3 tab RID, PDC, Infrastructure để tiến hành chuyển đổi FSMO.
Thông báo đã transfer roles thành công.
