Contact
Line : comsiam
FSMO Roles เป็นหนึ่งในหัวข้อสำคัญที่สุดของ Active Directory เพราะเป็นระบบที่กำหนดว่า Domain Controller ตัวไหนจะรับหน้าที่พิเศษบางอย่างภายใน Domain และ Forest
แม้ Active Directory จะเป็นระบบ Multi-Master Replication ที่ Domain Controller หลายตัวสามารถเขียนข้อมูลได้พร้อมกัน แต่ก็ยังมีบางงานที่ต้องมี “Master” เพียงตัวเดียว เพื่อป้องกันข้อมูลชนกัน ซึ่งตรงนี้เองที่เรียกว่า FSMO Roles
หากองค์กรมีหลาย Domain Controller แล้วไม่เข้าใจ FSMO อาจเกิดปัญหา:
- Login ช้า
- สร้าง User ไม่ได้
- Replication Error
- Domain พัง
- เวลาใน Domain เพี้ยน
บทความนี้จะอธิบาย FSMO Roles บน Windows Server 2025 แบบละเอียด เข้าใจง่าย และใช้งานได้จริง ซึ่งเป็นเรื่องที่ทีม comsiam ใช้ดูแลระบบ AD องค์กรอยู่เป็นประจำ
① FSMO Roles คืออะไร
FSMO ย่อมาจาก:
Flexible Single Master Operationsคือ Role พิเศษภายใน Active Directory
มีทั้งหมด:
- 5 Roles
แต่ละ Role มีหน้าที่ต่างกัน
② ทำไมต้องมี FSMO Roles
แม้ AD จะมีหลาย Domain Controller
แต่บางงาน:
ไม่สามารถให้หลายเครื่องทำพร้อมกันได้
เช่น:
- แจก RID
- เปลี่ยน Schema
- Sync เวลา
ดังนั้น:
ต้องมี Master แค่ตัวเดียว
③ FSMO Roles ทั้ง 5 ตัวมีอะไรบ้าง
แบ่งเป็น 2 ระดับ
Forest-wide Roles
มี 2 ตัว:
- Schema Master
- Domain Naming Master
Domain-wide Roles
มี 3 ตัว:
- RID Master
- PDC Emulator
- Infrastructure Master
④ Schema Master คืออะไร
หน้าที่:
จัดการ Schema ของ Active Directory
ใช้เมื่อ:
- ติดตั้ง Exchange
- เพิ่ม Attribute ใหม่
- ขยาย Schema
มีได้:
Forest ละ 1 ตัว
หากล่ม:
ระบบทั่วไปยังทำงานได้
แต่:
เพิ่ม Schema ใหม่ไม่ได้
⑤ Domain Naming Master คืออะไร
หน้าที่:
จัดการชื่อ Domain และ Forest
ใช้เมื่อ:
- เพิ่ม Child Domain
- ลบ Domain
มีได้:
Forest ละ 1 ตัว
⑥ RID Master คืออะไร
RID ย่อมาจาก:
Relative Identifierหน้าที่:
แจก RID ให้ Domain Controller
RID ใช้สร้าง:
- SID ของ User
- SID ของ Group
หาก RID หมด:
จะสร้าง User ใหม่ไม่ได้
⑦ PDC Emulator คืออะไร
Role สำคัญที่สุด
หน้าที่:
- Sync เวลา
- จัดการ Password
- รับ Login บางส่วน
- รองรับ Legacy System
หาก PDC ล่ม:
มักเริ่มมีปัญหา Login
⑧ Infrastructure Master คืออะไร
หน้าที่:
อัปเดต Object Reference ระหว่าง Domain
เช่น:
User ข้าม Domain
ปัจจุบัน:
ไม่ค่อยมีผลมากใน Single Domain
⑨ วิธีดู FSMO Roles ปัจจุบัน
เปิด CMD:
netdom query fsmoระบบจะแสดง:
- Role ทั้งหมด
- DC ที่ถือ Role
⑩ วิธีดู FSMO ผ่าน GUI
เปิด:
Active Directory Users and Computersคลิกขวา Domain
เลือก:
Operations Mastersจะเห็น:
- RID
- PDC
- Infrastructure
⑪ วิธีดู Schema Master
เปิด CMD:
regsvr32 schmmgmt.dllจากนั้นเปิด MMC เพิ่ม:
Active Directory Schema⑫ วิธีดู Domain Naming Master
เปิด:
Active Directory Domains and Trustsคลิกขวา → Operations Master
⑬ Role ไหนสำคัญที่สุด
โดยทั่วไป:
PDC Emulator สำคัญที่สุด
เพราะเกี่ยวกับ:
- Login
- Password
- Time Sync
หลายปัญหาใน AD มักเกี่ยวกับ PDC
⑭ แนวทางวาง FSMO Roles ที่ดี
องค์กรเล็ก:
วางทั้งหมดบน DC เดียวได้
องค์กรใหญ่:
แยก Role ตาม DC
ตัวอย่าง:
DC01 → PDC + RID
DC02 → Infrastructure
DC03 → Schema + Naming⑮ หาก FSMO Server พังจะเกิดอะไรขึ้น
ขึ้นอยู่กับ Role
PDC พัง
- Login ช้า
- Password Sync มีปัญหา
RID พัง
- สร้าง User ใหม่ไม่ได้
Schema พัง
- Extend Schema ไม่ได้
⑯ วิธีตรวจสอบ FSMO Health
ใช้:
dcdiagและ:
repadmin /replsummary⑰ แนวทาง Backup FSMO Server
แนะนำ:
- Backup System State
- มี DC สำรอง
- Monitor Replication
- Backup รายวัน
เพราะหาก FSMO เสีย:
อาจกระทบทั้ง Domain
⑱ สิ่งที่ไม่ควรทำ
ไม่ควร:
- มี DC ตัวเดียวในองค์กรใหญ่
- ไม่ Backup FSMO
- Shutdown PDC นานเกินไป
- Restore Snapshot แบบสุ่ม
⑲ แนวทางสำหรับองค์กรจริง
องค์กรส่วนใหญ่ปัจจุบัน:
- ใช้ VM
- มี DC อย่างน้อย 2 ตัว
- แยก FSMO สำคัญ
- ใช้ Monitoring
ซึ่งเป็นแนวทางที่ทีม comsiam ใช้ในการวางระบบ AD สำหรับองค์กรเช่นกัน
⑳ สรุป
FSMO Roles คือหัวใจสำคัญของ Active Directory เพราะเป็นระบบที่กำหนดว่า Domain Controller ตัวไหนจะรับหน้าที่พิเศษภายใน Domain และ Forest
Role ที่สำคัญที่สุดคือ:
- PDC Emulator
- RID Master
หากเข้าใจ FSMO ดี:
จะช่วยให้วางระบบ AD ได้เสถียร ปลอดภัย และรองรับการขยายองค์กรในอนาคตได้ดีมาก
