Configurando e entendendo as “Operações Mestres” (FSMO) do Active Directory


Um tema muito importante, porém, muitas vezes passa despercebido nas redes que existem por ai … muitos só se dão conta da importância das FSMO quando alguma merda acontece, e ai … já sabem né …

 

Sem dúvida, o surgimento do Windows 2000 foi uma grande revolução na maneira de se administrar e organizar uma rede corporativa. E grande crédito disto se deve à introdução do conceito de Diretório Ativo (Active Directory). Isto porque novos conceitos foram introduzidos neste modelo. O Windows 2003 continua trabalhando sobre esta mesma base, e estes conceitos ainda são muito úteis.

Um destes conceitos está relacionado ao modo como as informações deste diretório ativo são disponibilizadas. No modelo antigo, usado no Windows NT 4.0, havia um único servidor no domínio responsável por processar e disponibilizar informações vitais, como criação e alteração de usuários e grupos, gerenciamento de senhas, etc. Este servidor era conhecido como PDC (Primary Domain Controller), o coração do domínio. Havia logicamente modelos de redundância, os chamados BDC (Backup Domain Controllers), porém estes possuíam uma cópia “Somente-Leitura” dos dados. A maior parte das tarefas era processada única e exclusivamente pelo PDC. Este modelo era conhecido como “Single-Master“.

Com o Active Directory, o conceito PDC-BDC foi modificado. Todos os “Controladores de Domínio” passaram a armazenar uma cópia do diretório ativo que poderia ser modificada. Assim, a redundância das informações e a distribuição de carga poderia ser melhor aproveitada, pois todos os controladores poderiam processar alterações eles mesmos, sem a necessidade de repassar para um servidor Mestre. Este modelo é conhecido como “Multi-Master“.

Porém, este modelo necessita possuir alguns tipos de controles especiais. É necessário tratar os “conflitos” que podem existir. Por exemplo, em um SERVIDOR1, um operador pode estar alterando a senha de um USUÁRIO-A, e, ao mesmo tempo, no SERVIDOR2, um segundo operador pode estar excluindo o USUÁRIO-A. É para casos como estes que ainda é necessário que apenas um servidor no domínio controle ou previna tais tipos de conflitos. E isto é feito utilizando-se algumas regras, conhecidas como “Flexible Single-Master Operation“, ou FSMO, que, se configuradas de maneira incorretas, podem prejudicar e afetar o bom funcionamento de uma rede.

Nossa intenção é descrever cada uma destas regras e como devem ser configuradas da melhor maneira possível.

Definindo cada FSMO

Inicialmente, vale mencionar que apenas servidores do tipo “Domain Controllers” (DC) podem ser configurados para hospedar uma das FSMO, já que estes servidores possuem uma cópia do tipo “Escrita” do Active Directory. As FSMO são divididas em 2 grupos:

  • Floresta: são regras que afetam toda uma floresta Windows 2000 ou 2003 e podem ser hospedadas por qualquer DC dentro da floresta.
  • Domínio: são regras que afetam apenas um domínio Windows 2000 ou 2003, e podem ser hospedadas por DCs dentro do domínio.

Ao todo, temos cinco FSMO, duas que afetam a floresta como um todo e outras três que afetam um domínio, conforme explicação abaixo:

  • Floresta
    • Schema Master: O Schema é o coração do Active Directory. Ele é composto de objetos e atributos, que modelam o Active Directory. É através do Schema que dizemos, por exemplo, que o objeto do tipo “USUÁRIO” terá os atributos “NOME”, “ENDEREÇO”, “TELEFONE”, etc. Como o esquema pode ser customizado e deve ser o mesmo em toda a floresta Windows, a regra “Schema Master” se encarrega de evitar conflitos entre os DCs.
    • Domain Naming Master: Se você adiciona um novo domínio em uma floresta (por exemplo, se você adiciona um domínio filho), o nome deste domínio deve ser único na floresta. É esta regra responsável por assegurar isto e evitar conflitos entre outros domínios.
  • Domínio
    • PDC Emulator: Como o nome já diz, uma das funções desta regra é “emular” um PDC NT 4.0 para manter a compatibilidade com servidores legados (por exemplo, BDCs NT 4.0) e clientes mais antigos. Mesmo que você migre todo seu ambiente para Windows 2000 ou 2003, esta regra ainda é importante, pois é responsável por tratar alterações de contas de usuários, “lockouts” de contas, relações de confianças com outros domínios e pelo sincronismo do relógio no domínio.
    • RID Master. Qualquer DC pode criar novos objetos (usuários, grupos, contas de computadores). Cada objeto deve possuir um identificador único, conhecido como SID. O SID do objeto é construído usando o SID do domínio, mais um ID relativo (RID). Porém, após criar 512 objetos, um DC precisa contatar o RID Master para conseguir mais 512 RIDs (atualmente, um DC contata o RID Master quando ele possui menos de 100 RIDs disponíveis). Isto evita que dois objetos diferentes tenham o mesmo RID em todo o domínio.
    • Infrastructure Master. Esta regra é muitas vezes conhecida apenas como “cosmética”, já que sua função é se assegurar que o “Display Name” de usuários pertencentes a um grupo sejam atualizados caso este atributo seja alterado. Ele é mais importante em ambientes que possuem vários domínios, pois vai assegurar que todos os grupos que um determinado usuário pertença irá refletir o “Display Name” correto.

Assim, se você possui uma floresta com um único domínio, você terá cinco FSMO (duas das florestas, mais três do seu único domínio). Já uma floresta com dois domínios, você terá oito FSMO (duas da floresta, mais três por cada domínio).

Fonte: Technet

Abs

Luiz

 

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: