การย้าย Operation Master หรือ FSMO

Active Directory นั้นจะทำงานในรูปแบบ Single-Master Model ที่รวมหลาย Role เข้าด้วยกัน และมีความสามารถในากรโอนย้าย Role ไปยัง Domain Controller (DC) อื่นที่อยู่ในองค์กรได้ นั่นเพราะ Active directory Role นั้นไม่ยึดติดกับ Domain Controller เดียว โดยเรียกว่า Flexible Single Master (FSMO) Role นั่นเอง ใน Windows นั้นจะมีทั้งหมด 5 Role ประกอบด้วย

1. Schema Master: ทำหน้าที่ควบคุมการปรับปรุงและการปรับเปลี่ยน schema ทั้งหมด เมื่อต้องการปรับปรุง Schema ของฟอเรสต์ให้เหมือนกัน คุณต้องเข้าถึงเครื่องเก็บ Schema หลัก
2. Domain Naming Master: ทำหน้าที่ควบคุมการเพิ่มและการเอาโดเมนในฟอเรสต์ออก
3. RID Master: Relative ID(RID) ทำหน้าที่ในการประมวลผลการร้องของพูล RID จากตัวควบคุมโดเมนทั้งหมด เมื่อมีการสร้าง Object เช่น user หรือ group RID จะสร้าง Scureity ID (SID)ที่ไม่ซ้ำกันให้กับ Object นั้น
4. PDC Emulator: ทำหน้าที่ในการตรวจสอบเวลาภายในองค์กร รวมทั้งจัดการ Funtion ดังต่อไปนี้ เปลี่ยนพาสเวิส์ด, จัดการส่งข้อความให้ดับ User เมื่อมีการใส่พาสเวิร์ดผิดในระบบ, Account Logout เป็นต้น
5. Infrastructure Master: มีหน้าที่ในการปรับปรุงการอ้างอิงจากวัตถุภายในโดเมนไปยังวัตถุในโดเมนอื่น ไม่ว่าเมื่อใด

ทั้งฟอเรสต์สามารถมีตัวควบคุม Schema Master, Domain Naming Master, RID Master, PDC Emulator, Intrasturcture Masterได้เพียงเครื่องเดียว

คำสั่งที่จะใช้ในการย้าย FSMO Role

#AD Helt Check
dcdiag
repadmin /replsum
repadmin /showrepl

#AD Replication
repadmin /syncall

#Check DC server
netdom query dc

#Check FSMO Role Location
netdom query fsmo

#Check Global Catalog
dsquery server -domain <domain name> | dsget server -isgc - dnsna

#Change Schema master operation
regsvr32 schmmgmt.dll

ขั้นตอนเตรียมความพร้อมก่อนย้าย FSMO

1. เปิด Command Prompt ที่เครื่อง DC1 (เครื่องที่ถือ FSMO Role อยู่)
2. พิมพ์คำสั่ง dcdiag เพื่อตรวจสอบสถานะเครื่อง ต้องตรวจสอบไม่ให้มี Error
3. ใส่คำสั่ง repadmi /syncall เพื่อ force sync
4. ตรวจสอบ FSMO holder จากคำสั่ง netdom query dc
5. ตรวจสอบ FSMO Role Location ด้วยคำสั่ง netdom query fsmo
6. ตัวอย่างจะเป็นเครื่อง DC1 ที่ถือ FSMO Role และ DC4 คือเครื่องที่จะทำการย้าย FSMO ไป
7. เครื่องมือที่จะต้องใช้ในการย้าย FSMO ทั้ง 5 Role มี 3 ตัว คือ Active Directory users and computers, Active Directory Domain and Trust, Active Directory Schema
8. วิธีเปิด Active Directory Schema ให้เปิด Run ใส่คำสั่ง regsvr32 schmmgmt.dll แล้วกด OK จะขึ้นข้อความ Successfully หลังจากนัั้นเปิด Run อีกครั้ง พิมพ์ MMC ไปที่ File > Add/Remove Snap-in > กด Add.. > เลือก Active Directory Schema > กด Add.. > OK

ขั้นตอนย้าย FSMO ผ่าน UI

1. เริ่มย้าย RID, PDC และ Infrastructure ก่อนด้วยการเปิด Active Directory User and Computer
   
2. กดที่ชื่อ Domain คลิ๊กขวาเลือก Operation Master จะขึ้นหน้าต่างที่มีแท็ป RID, PDC และ Infrastructure ขึ้นมา
   
3. สังเกตุจะเห็นว่า Operation Master จะอยู่ที่ DC1 ส่วนด้านล่างเป็น DC ที่เราจะทำการย้ายไปนั่นก็คือ DC4
4. ทำการย้ายโดยการกด Change ทั้ง 3 แท็ป เมื่อเสร็จแล้วกด Close
5. ตรวจสอบว่า Role ทั้ง 3 ได้ถูกย้ายไปแล้วโดย run คำสั่ง netdom query fsmo
   
6. เมื่อ Role RID, PDC และ Infrastructure ทั้ง 3 ถูกย้ายไปแล้ว ก็เริ่มย้ายตัวต่อไปนั่นก็คือ Domain Naming Master
7. เปิด Active Directory Domain and Trust
   
8. กดที่ root (Active Directory Domain and Trust) คลิ๊กขวา เลือก Operation Master
   
9. เปลี่ยนโดยกดปุ่ม Change เช่นเดิม เปลี่ยนจาก DC1 ไปไว้ที่ DC4
   10.สุดท้ายการย้าย Schema Master โดยใช้ Active Directory Schema
   11.กดคลิ๊กขวาที่ Active Directory Schema เลือก Operation Master แล้วกด Change เช่นกัน
   
   
   
   12.เมื่อย้ายเสร็จหมดแล้วให้ลอง run netdom query fsmo เพื่อตรวจสอบอีกครั้ง ว่า Role ทั้ง 5 นั้นย้ายจาก DC1 ไป DC4 หมดแล้ว
   
   13.ขั้นตอนสุดท้ายทำการย้าย Global Catalog โดยเปิด Active Directory Site and Service เลือกคลิ๊กขวาที่ NTDS Setting ของ DC1 แล้วเลือกติ๊กถูกที่ Global Catalog ออก ทำเช่นเดียวกันกับใต้ DC4 แต่ให้ติ๊กถูก
   
   
   14.สิ้นสุดขั้นตอนการย้าย FSMO

จบ -