.: Blog 4Srv.net :.

Um lugar onde voce encontra dicas de suporte

    • Windows Server

    Práticas recomendadas de funções FSMO do Active Directory

    Gonzalo Torres Posted on

    FSMO ( Flexible Single Master Operations ) é um tipo especial de operação executada por controladores de domínio do Active Directory que exige que um servidor DC seja exclusivo em um domínio ou floresta. Várias funções FSMO podem ser executadas no mesmo ou em vários controladores de domínio. Um controlador de domínio com qualquer função FSMO é chamado de Operations Master DC.

    Você pode executar a maioria das operações no Active Directory em qualquer controlador de domínio. O serviço de Replicação do AD sincroniza as alterações com outros controladores de domínio, garantindo que o banco de dados do AD seja idêntico em todos os controladores de domínio no domínio. A resolução de conflitos do AD funciona da seguinte maneira: se dois controladores de domínio tentarem alterar os atributos de um objeto do AD ao mesmo tempo, o sistema de resolução automática de conflitos mantém registro de qual alteração foi feita por último.

    No entanto, existem várias ações (como alterar o esquema AD), nas quais os conflitos não são permitidos. A tarefa dos servidores com funções FSMO é evitar tais conflitos. Portanto, cada função FSMO só pode ser executada em um dos controladores de domínio. E, se necessário, você pode transferir a função FSMO para outro controlador de domínio a qualquer momento.

    Quais são as 5 funções FSMO no Active Directory?

    Existem 5 funções FSMO: 2 funções exclusivas para a floresta do Active Directory e 3 para cada domínio.

    • Schema Master – responsável pelas mudanças no esquema do Active Directory para controladores de domínio disponíveis. Pode haver apenas um proprietário de função para toda a floresta do domínio.
    • Mestre de nomeação de domínio – responsável pelo nome exclusivo de um domínio e partições de aplicativo na floresta. Usado para adicionar e remover domínios da floresta. Pode haver apenas um para toda a floresta do domínio.
    • Mestre de infraestrutura – armazena dados sobre usuários de outros domínios, que são adicionados aos grupos de segurança locais de domínio de seu domínio. Responsável por atualizar o SID de um objeto específico e atualizar o nome completo da referência do objeto entre os diferentes domínios. Pode haver um para cada domínio da floresta.
    • Gerenciador de pool RID – responsável por atribuir ID relativa exclusiva (RID), necessária ao criar objetos de domínio (contas de usuário e computador, grupos, contatos, etc.). Pode haver um para cada domínio da floresta.
    • Emulador PDC (Primary Domain Controller) – responsável pela compatibilidade com o domínio NT4 e clientes pré-Windows 2000, pela sincronização de tempo do domínio na floresta, pela alteração de senhas, e gerencia travamentos quando o usuário digita a senha errada.

    Melhores práticas recomendadas para posicionamento de funções FSMO

    Quando você instala um novo domínio do Active Directory, todas as funções FSMO são colocadas em um único servidor (no primeiro controlador de domínio promovido no domínio). De acordo com a recomendação da Microsoft, a prática recomendada é dividir as funções FSMO entre os diferentes controladores de domínio.

    As funções FSMO em toda a floresta devem ser colocadas em um controlador de domínio e as funções em todo o domínio em outro. Se você tiver apenas um controlador de domínio, é recomendável implantar um DC adicional . Assim, em um domínio AD com uma configuração mínima (2 DCs), você precisa colocar a função FSMO da seguinte maneira:

    Coloque as seguintes funções de domínio em um DC1:

    • RID Master;
    • Mestre de infraestrutura;
    • Emulador de PDC.

    Coloque as funções da floresta em um DC2:

    • Schema Master;
    • Mestre de domínio.

    Considere outras práticas recomendadas para colocar funções de mestre de operações em um domínio:

    1. Em ambientes com vários domínios, coloque ambas as funções de toda a floresta no controlador raiz, que também é um servidor de Catálogo Global;
    2. Coloque todas as funções de todo o domínio em um servidor com desempenho suficiente;
    3. Se todos os controladores de domínio no domínio tiverem a função Catálogo Global (hoje essa é a configuração recomendada pela Microsoft), você poderá colocar a função Mestre de infraestrutura em qualquer controlador de domínio. Caso contrário, mova a função Mestre de infraestrutura para um controlador de domínio que não tenha a função Catálogo global habilitada;
    4. Não mova funções FSMO no domínio com muita freqüência. É uma má ideia forçar os clientes de domínio a redescobrir o PDC regularmente;
    5. Se você estiver usando controladores de domínio virtualizados, desative a sincronização de tempo de máquinas virtuais com funções FSMO com o host;
    6. Não coloque nenhuma outra tarefa nos controladores de domínio;

    Dica Se o seu domínio tiver a Lixeira do AD habilitada , cada DC será responsável por atualizar suas referências de objeto entre domínios. Nesse caso, na verdade, a função Infrastructure FSMO não é necessária e não importa onde você a coloque.

    Para obter os proprietários das funções FSMO atuais, execute o seguinte comando:

    netdom query fsmo

    Nesse caso, as funções FSMO são divididas entre os dois DCs.

    Você também pode encontrar proprietários de função FSMO usando cmdlets do PowerShell. 

    Para obter o proprietário FSMO de todo o domínio, execute:

    Get-ADDomain | Select-Object -Property RIDMaster, PDCEmulator, InfrastructureMaster | fl

    Para funções em toda a floresta, use:

    Get-ADForest | Select-Object -Property SchemaMaster, DomainNamingMaster

    Ou use o PowerShell one-liner para listar todos os proprietários FSMO:

    Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object {$ _. OperationMasterRoles}

    O que acontece se o proprietário da função FSMO falhar?

    As funções em toda a floresta são as menos críticas para o funcionamento do AD. O que acontece se você deixar a função FSMO offline por um longo período de tempo?

    • Mestre do esquema – não pode alterar o esquema do AD. No entanto, esse procedimento não é executado com frequência (uma ou duas vezes em vários anos) ao adicionar controladores com uma nova versão do Windows Server ao domínio ou ao instalar alguns produtos de servidor (Exchange, Lync / S4B). Na prática, você pode não notar a falta do mestre de esquema por anos.
    • Mestre de domínio – é impossível adicionar ou remover um domínio (subdomínio). Também não é uma tarefa frequente

    As funções de todo o domínio existem em todos os domínios e são mais importantes para o funcionamento geral do AD.

    • Mestre de infraestrutura – se houver vários domínios em DCs que não hospedam Catálogos Globais, a associação a grupos de domínio local pode ser interrompida;
    • RID Master – depois de um certo tempo será impossível criar um novo objeto no AD, o tempo depende da quantidade restante de SIDs livres, que são emitidos em blocos de 500 RIDs. Se seu AD tem poucos objetos e você não adiciona novos todos os dias, a ausência do mestre RID passará despercebida por muito tempo.
    • Emulador de PDC – a função FSMO mais crítica. Se não estiver disponível, a sincronização da hora do domínio será interrompida e algumas políticas de bloqueio de senha não funcionarão.

    Lembre-se de que não há nenhuma função FSMO cuja falha resultaria em uma perda significativa da funcionalidade do Active Directory. Mesmo em caso de falha de todos os proprietários de função FSMO, a infraestrutura de domínio pode operar normalmente dentro de alguns dias, semanas ou até meses. Portanto, se você pretende colocar um controlador de domínio em manutenção por um tempo com uma ou todas as funções FSMO, não há necessidade de transferir funções para outro controlador de domínio.

    A falha de um controlador de domínio com funções FSMO não leva ao mau funcionamento de um domínio. No entanto, torna impossível realizar muitas operações, na verdade mudando o domínio para o modo “somente leitura”. Em caso de falha de um controlador de domínio com as funções FSMO, você pode usar o procedimento de captura de funções FSMO de um controlador de domínio com falha .

    Ferramentas de administração para gerenciar funções FSMO

    Para gerenciar e transferir funções FSMO no domínio do Active Directory, use a ferramenta de linha de comando ntdsutil.exe ou os snap-ins MMC da interface gráfica do usuário:

    • Domínios e relações de confiança do Active Directory – função de mestre de nomeação de domínio;
    • Usuários e computadores do Active Directory – funções de mestre de ID relativo, mestre de infraestrutura e emulador de controlador de domínio primário;
    • Esquema do Active Directory – função Mestre do esquema.

    Créditos: Felipe Santos – Dicas de Infra

    Tagged:

    LEAVE A RESPONSE

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Gonzalo Torres
    View all posts

    Você pode gostar também

    Sobre o Autor