Fungsi FSMO Active Directory 2003

Fungsi-fungsi Flexible Single Master Operation (FSMO) dari Active Directory 2003

Pada artikel sebelumnya sudah dibahas tentang system Active Directory Windows server 2003 secara umum, kali ini akan dibahas masalah Fungsi-fungsi Flexible Single Master Operation (FSMO) dari Active Directory 2003.

Pandangan umum Master Roles

Opearation Master Roles atau lebih umum disebut sebagai Flexible Single Master Operation (FSMO) merupakan fungsi-2 khusus yang ditugaskan kepada satu atau beberapa domain controllers dalam
suatu domain Active Directory. Domain controllers yang diberi tugas FSMO melakukan replikasi single-master.

Fungsi-2 Master Operasi – Operation Master Roles

Active Directory mendukung model replikasi multimaster (setiap Domain controller bisa read/write) dari database Active Directory antara Domain controllers dalam domain. Akan tetapi, beberapa perubahan menjadi tidak praktis untuk melakukan replikasi multimaster, makanya satu atau beberapa Domain controllers bisa diberi tugas untuk melakukan operasi replikasi single-master (tidak diijinkan terjadi pada beberapa tempat pada suatu jaringan dengan waktu yang bersamaan). Operation Master Roles dibebankan pada Domain controllers untuk melakukan operasi single-master.

Dalam suatu Active Directory forest, ada 5 Fungsi Master Operasi yang harus dibebankan kepada satu atau lebih Domain controllers. Jadi ke lima fungsi Master Operasi ini harus ada dalam suatu forest. Beberapa fungsi harus ada dalam setiap forest. Dan fungsi-2 lain harus ada dalam setiap domain di setiap forest. Anda harus faham betul fungsi-2 Mater Operasi yang dibebankan pada suatu domain controller jika terjadi suatu masalah, atau jika anda harus mengambil atau melepas suatu fungsi dari fungsi operasi dalam suatu DC. Karena kita harus ingat bahwa harus ada 5 fungsi Master Operasi dalam suatu forest. Kalau toch anda harus mengambil atau melepas suatu fungsi operasi maka anda harus melakukan pemindahan fungsi terlebih dahulu kepada salah satu Domain controllers yang lain. Atau jika ada suatu masalah dengan Domain controllers misal mesin tersebut mati dan tidak bisa dihidupkan kembali atau memerlukan waktu yang lama sekali, maka anda harus melakukan suatu prosedur “seize” – pengambilan atau pengalihan paksa ke mesin lain.

Fungsi-2 Master Operasi Forest-Wide

Setiap Active Directory forest harus mempunyai fungsi-fungsi berikut:

1. Schema Master

2. Domain Naming Master

Fungsi-2 tersebut harus unik didalam forest. Ini berarti bahwa hanya boleh satu saja fungsi Schema Master dan satu fungsi Domain Naming Master didalam suatu forest, tidak boleh ada kembarannya.

Fungsi Schema Master

Suatu Domain controllers yang diberi beban tugas sebagai Schema Master berfungsi untuk mengendalikan semua update dan modifikasi pada suatu schema. Untuk bisa melakukan update kepada suatu schema anda harus mempunyai akses kepada schema master. Pada setiap saat hanya boleh ada satu Schema Master didalam suatu forest.

Fungsi Domain Naming Mster

Domain controllers yang memegang fungsi Domain Naming Master mengendalikan suatu tugas ‘Penambahan’ atau ‘Penghapusan’ suatu domain didalam suatu forest. Setiap saat hanya boleh ada satu Domain Naming Master didalam suatu forest.

Fungsi-2 Master Operasi – Domain-Wide

Diatas dijelaskan tentang fungsi-2 Operation master di lingkungan berskala Forest, sekarang kita bahas fungsi-2 Operation Master di lingkungan Domain. Setiap domain dalam suatu forest mempunyai fungsi-2 berikut ini:

1. Relative Identifier (RID) master, atau Relative ID master

2. Primary Domain Controller (PDC) emulator

3. Infrastructure Master

Fungsi-2 ini haruslah unik dalam suatu domain, jadi hanya boleh ada masing-2 satu fungsi RID master, satu fungsi PDC emulator, dan fungsi Infrastructure master didalam suatu domain – tidak boleh ada dua atau lebih.

Fungsi RID master

Domain controllers yang ditunjuk atau diberi beban fungsi RID master mengalokasikan relative ID yang berurutan (dalam sequence ID) kepada setiap ber-macam-2 DC didalam domainnya. Setiap saat hanya boleh ada satu Domain controllers yang berfungsi sebagai RID Master disetiap domain didalam suatu forest.

Saat suatu Domain controllers membuat suatu user, group, atau suatu object komputer, maka RID master memberikan satu security ID yang unik. Security ID berisi domain security ID (yang sama untuk semua security ID yang dibuat didalam domain tersebut) dan relative ID yang unik untuk setiap security ID yang dibuat didalam domain tersebut. Untuk memindahkan suatu object antar domain (menggunakan Movetree.exe: Active Directory Object Manager), anda harus melakukannya di Domain controllers yang berfungsi sebagai RID master dari domain dimana object tersebut saat ini berada.

Fungsi PDC Emulator

Jika dalam domain berisi komputer dengan OS selain software client Windows 2003 atau masih ada Windowsn NT backup domain controller (BDC), makan DC yang diberi fungsi sebagai PDC emulator akan bertindak sebagai Windows NT PDC. Ia akan memproses perubahan password dari clients dan mereplikasikannya kepada Windows NT BDC. Perlu diingat bahwa hanya ada satu PDC emulator dalam suatu domain di forest.

Walaupun setelah semua system di upgrade kepada windows server 2003, dan domain Windows server 2003 beroperasi pada Windows Server 2003 domain fungsional level, PDC emulator dipilih menerima replikasi dari perubahan password yang dilakukan oleh Domain controller didalam domain. Jika suatu password baru saja diubah, maka perubahan nya akan membutuhkan waktu untuk direplikasikan ke setiap Domain controllers didalam domain. Jika authenticasi logon gagal di Domain controllers lainnya karena salah password, Domain controllers tersebut mem-forward permintaan authentikasi kepada PDC emulator sebelum dia menolaknya.

Fungsi Infrastructure Master

Domain controllers yang diberi beban fungsi Infrastructure Master bertanggung jawab meng-update reference group ke user jikalau member-2 dari group direname atau diubah. Disetiap saat hanya boleh ada satu Domain controllers yang bertindak sebagai infrastructure Master dalam setiap domain.

Jika anda me-rename atau memindah suatu member dari suatu group (dan member berada didalam suatu domain yang berbeda dari group tersebut), group tersebut boleh jadi secara temporary tidak berisi member tersebut. infrastructure master dari domain group bertanggung-jawab untuk meng-update group sehingga ia mengetahui letak dan nama baru member tersebut. Infrastructure master men-destribusikan setiap update atau perubahan melalui replikasi multimaster.

Tidak ada kompromi terhadap security selama waktu antara rename member dan update group. Hanya si administrator yang melihat ketidak-konsistenan yang bersifat sementara dari keanggotaan group tersebut.

Catatan: jika ada lebih dari satu Domain controllers didalam domain, fungsi infrastructure master seharusnya tidak dibebankan kepada suatu Domain controllers yang sudah mempunyai fungsi sebagai Global Catalog.

Diagram pada gambar berikut ini memberikan gambaran lebih jelas mengenai fungsi-2 operation master yang disebar secara default. Domain A adalah domain pertama kali yang dibuat didalam forest (domain root forest). Dia akan memegang kedua fungsi master operasi forest-wide (yaitu Schema master dan domain naming master). Untuk setiap Domain controllers pertama yang dibuat di setiap domain lainnya akan diberikan tugas sebagai ketiga fungsi master operasi lainnya (yaitu RID master, PDC emulator, dan Infrastructure Master).

Active Directory 2003 FSMO

Perlu dicatat bahwa anda harus faham betul mana fungsi yang bersifat forest-wide dan mana yang bersifat domain-wide.

Memahami FSMO dalam suatu infrastructure jaringan berdasarkan system windows server 2003 ini sangat penting apalagi sudah berskala multi domain apalagi multi-forest yang tersebar diberbagai site dengan koneksi antar jaringan remote yang complex baik melalui jaringan public frame relay, atau koneksi leased line PTP, ataupun melalui tunnel virtual dengan L2TP/IPSec. Apapun koneksi dan technology yang dipakai maka anda sebagai administrator apalagi manajemen IT harus lah faham betul dari design awal jaringan anda sampai manajemen on goingnya.

Bersambung ke Part 3

sumber : http://www.sysneta.com/active-directory-2003-part2