{"id":80,"date":"2021-01-19T14:40:00","date_gmt":"2021-01-19T17:40:00","guid":{"rendered":"https:\/\/blog.4servers.co\/?p=80"},"modified":"2023-10-09T15:22:27","modified_gmt":"2023-10-09T18:22:27","slug":"praticas-recomendadas-fsmo","status":"publish","type":"post","link":"https:\/\/blog.4srv.net\/index.php\/2021\/01\/19\/praticas-recomendadas-fsmo\/","title":{"rendered":"Pr\u00e1ticas recomendadas de fun\u00e7\u00f5es FSMO do Active Directory"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">FSMO (&nbsp;<strong>Flexible Single Master Operations<\/strong>&nbsp;) \u00e9 um tipo especial de opera\u00e7\u00e3o executada por controladores de dom\u00ednio do Active Directory que exige que um servidor DC seja exclusivo em um dom\u00ednio ou floresta.&nbsp;V\u00e1rias fun\u00e7\u00f5es FSMO podem ser executadas no mesmo ou em v\u00e1rios controladores de dom\u00ednio.&nbsp;Um controlador de dom\u00ednio com qualquer fun\u00e7\u00e3o FSMO \u00e9 chamado de Operations Master DC.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Voc\u00ea pode executar a maioria das opera\u00e7\u00f5es no Active Directory em qualquer controlador de dom\u00ednio.&nbsp;O servi\u00e7o de Replica\u00e7\u00e3o do AD&nbsp;sincroniza as altera\u00e7\u00f5es com outros controladores de dom\u00ednio, garantindo que o banco de dados do AD seja id\u00eantico em todos os controladores de dom\u00ednio no dom\u00ednio.&nbsp;A resolu\u00e7\u00e3o de conflitos do AD funciona da seguinte maneira: se dois controladores de dom\u00ednio tentarem alterar os atributos de um objeto do AD ao mesmo tempo, o sistema de resolu\u00e7\u00e3o autom\u00e1tica de conflitos mant\u00e9m registro de qual altera\u00e7\u00e3o foi feita por \u00faltimo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">No entanto, existem v\u00e1rias a\u00e7\u00f5es (como alterar o esquema AD), nas quais os conflitos n\u00e3o s\u00e3o permitidos.&nbsp;A tarefa dos servidores com fun\u00e7\u00f5es FSMO \u00e9 evitar tais conflitos.&nbsp;Portanto, cada fun\u00e7\u00e3o FSMO s\u00f3 pode ser executada em um dos controladores de dom\u00ednio.&nbsp;E, se necess\u00e1rio, voc\u00ea pode transferir a fun\u00e7\u00e3o FSMO para outro controlador de dom\u00ednio a qualquer momento.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Quais s\u00e3o as 5 fun\u00e7\u00f5es FSMO no Active Directory?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Existem 5 fun\u00e7\u00f5es FSMO: 2 fun\u00e7\u00f5es exclusivas para a floresta do Active Directory e 3 para cada dom\u00ednio.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Schema Master&nbsp;\u2013 respons\u00e1vel pelas mudan\u00e7as no&nbsp;esquema&nbsp;do&nbsp;Active Directory&nbsp;para controladores de dom\u00ednio dispon\u00edveis.&nbsp;Pode haver apenas um propriet\u00e1rio de fun\u00e7\u00e3o para toda a floresta do dom\u00ednio.<\/li><li>Mestre de nomea\u00e7\u00e3o de dom\u00ednio&nbsp;\u2013 respons\u00e1vel pelo nome exclusivo de um dom\u00ednio e parti\u00e7\u00f5es de aplicativo na floresta.&nbsp;Usado para adicionar e remover dom\u00ednios da floresta.&nbsp;Pode haver apenas um para toda a floresta do dom\u00ednio.<\/li><li>Mestre de infraestrutura&nbsp;\u2013 armazena dados sobre usu\u00e1rios de outros dom\u00ednios, que s\u00e3o adicionados aos&nbsp;grupos&nbsp;de&nbsp;seguran\u00e7a locais de dom\u00ednio&nbsp;de seu dom\u00ednio.&nbsp;Respons\u00e1vel por atualizar o SID de um objeto espec\u00edfico e atualizar o nome completo da refer\u00eancia do objeto entre os diferentes dom\u00ednios.&nbsp;Pode haver um para cada dom\u00ednio da floresta.<\/li><li>Gerenciador de pool RID&nbsp;\u2013 respons\u00e1vel por atribuir ID relativa exclusiva (RID), necess\u00e1ria ao criar objetos de dom\u00ednio (contas de usu\u00e1rio e computador, grupos, contatos, etc.).&nbsp;Pode haver um para cada dom\u00ednio da floresta.<\/li><li>Emulador PDC (Primary Domain Controller)&nbsp;\u2013 respons\u00e1vel pela compatibilidade com o dom\u00ednio NT4 e clientes pr\u00e9-Windows 2000, pela&nbsp;sincroniza\u00e7\u00e3o de tempo&nbsp;do&nbsp;dom\u00ednio&nbsp;na floresta, pela altera\u00e7\u00e3o de senhas, e gerencia travamentos quando o usu\u00e1rio digita a senha errada.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Melhores pr\u00e1ticas recomendadas para posicionamento de fun\u00e7\u00f5es FSMO<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Quando voc\u00ea instala um novo dom\u00ednio do Active Directory, todas as fun\u00e7\u00f5es FSMO s\u00e3o colocadas em um \u00fanico servidor (no primeiro&nbsp;controlador de dom\u00ednio&nbsp;promovido&nbsp;no dom\u00ednio).&nbsp;De acordo com a recomenda\u00e7\u00e3o da Microsoft, a pr\u00e1tica recomendada \u00e9 dividir as fun\u00e7\u00f5es FSMO entre os diferentes controladores de dom\u00ednio.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">As fun\u00e7\u00f5es FSMO em toda a floresta devem ser colocadas em um controlador de dom\u00ednio e as fun\u00e7\u00f5es em todo o dom\u00ednio em outro.&nbsp;Se voc\u00ea tiver apenas um controlador de dom\u00ednio, \u00e9 recomend\u00e1vel&nbsp;implantar um DC adicional&nbsp;.&nbsp;Assim, em um dom\u00ednio AD com uma configura\u00e7\u00e3o m\u00ednima (2 DCs), voc\u00ea precisa colocar a fun\u00e7\u00e3o FSMO da seguinte maneira:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Coloque as seguintes fun\u00e7\u00f5es de dom\u00ednio em um DC1:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>RID Master;<\/li><li>Mestre de infraestrutura;<\/li><li>Emulador de PDC.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Coloque as fun\u00e7\u00f5es da floresta em um DC2:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Schema Master;<\/li><li>Mestre de dom\u00ednio.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Considere outras pr\u00e1ticas recomendadas para colocar fun\u00e7\u00f5es de mestre de opera\u00e7\u00f5es em um dom\u00ednio:<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Em ambientes com v\u00e1rios dom\u00ednios, coloque ambas as fun\u00e7\u00f5es de toda a floresta no controlador raiz, que tamb\u00e9m \u00e9 um servidor de Cat\u00e1logo Global;<\/li><li>Coloque todas as fun\u00e7\u00f5es de todo o dom\u00ednio em um servidor com desempenho suficiente;<\/li><li>Se todos os controladores de dom\u00ednio no dom\u00ednio tiverem a fun\u00e7\u00e3o Cat\u00e1logo Global (hoje essa \u00e9 a configura\u00e7\u00e3o recomendada pela Microsoft), voc\u00ea poder\u00e1 colocar a fun\u00e7\u00e3o Mestre de infraestrutura em qualquer controlador de dom\u00ednio.&nbsp;Caso contr\u00e1rio, mova a fun\u00e7\u00e3o Mestre de infraestrutura para um controlador de dom\u00ednio que n\u00e3o tenha a fun\u00e7\u00e3o Cat\u00e1logo global habilitada;<\/li><li>N\u00e3o mova fun\u00e7\u00f5es FSMO no dom\u00ednio com muita freq\u00fc\u00eancia.&nbsp;\u00c9 uma m\u00e1 ideia for\u00e7ar os clientes de dom\u00ednio a redescobrir o PDC regularmente;<\/li><li>Se voc\u00ea estiver usando controladores de dom\u00ednio virtualizados, desative a sincroniza\u00e7\u00e3o de tempo de m\u00e1quinas virtuais com fun\u00e7\u00f5es FSMO com o host;<\/li><li>N\u00e3o coloque nenhuma outra tarefa nos controladores de dom\u00ednio;<\/li><\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Dica&nbsp;Se o seu dom\u00ednio tiver a&nbsp;Lixeira do AD habilitada&nbsp;, cada DC ser\u00e1 respons\u00e1vel por atualizar suas refer\u00eancias de objeto entre dom\u00ednios.&nbsp;Nesse caso, na verdade, a fun\u00e7\u00e3o Infrastructure FSMO n\u00e3o \u00e9 necess\u00e1ria e n\u00e3o importa onde voc\u00ea a coloque.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Para obter os propriet\u00e1rios das fun\u00e7\u00f5es FSMO atuais, execute o seguinte comando:<\/strong><\/p>\n\n\n\n<p class=\"has-very-light-gray-background-color has-background wp-block-paragraph\">netdom query fsmo<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-style-default\"><img loading=\"lazy\" decoding=\"async\" width=\"618\" height=\"310\" src=\"https:\/\/blog.4servers.co\/wp-content\/uploads\/2021\/04\/fsmo1.jpg\" alt=\"\" class=\"wp-image-173\" srcset=\"https:\/\/blog.4srv.net\/wp-content\/uploads\/2021\/04\/fsmo1.jpg 618w, https:\/\/blog.4srv.net\/wp-content\/uploads\/2021\/04\/fsmo1-300x150.jpg 300w, https:\/\/blog.4srv.net\/wp-content\/uploads\/2021\/04\/fsmo1-600x300.jpg 600w\" sizes=\"auto, (max-width: 618px) 100vw, 618px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Nesse caso, as fun\u00e7\u00f5es FSMO s\u00e3o divididas entre os dois DCs.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Voc\u00ea tamb\u00e9m pode encontrar propriet\u00e1rios de fun\u00e7\u00e3o FSMO usando cmdlets do PowerShell.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Para obter o propriet\u00e1rio FSMO de todo o dom\u00ednio, execute:<\/strong><\/p>\n\n\n\n<p class=\"has-very-light-gray-background-color has-background wp-block-paragraph\">Get-ADDomain | Select-Object -Property RIDMaster, PDCEmulator, InfrastructureMaster | fl<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Para fun\u00e7\u00f5es em toda a floresta, use:<\/p>\n\n\n\n<p class=\"has-very-light-gray-background-color has-background wp-block-paragraph\">Get-ADForest | Select-Object -Property SchemaMaster, DomainNamingMaster<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ou use o PowerShell one-liner para listar todos os propriet\u00e1rios FSMO:<\/p>\n\n\n\n<p class=\"has-very-light-gray-background-color has-background wp-block-paragraph\">Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object {$ _. OperationMasterRoles}<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">O que acontece se o propriet\u00e1rio da fun\u00e7\u00e3o FSMO falhar?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">As fun\u00e7\u00f5es em toda a floresta s\u00e3o as menos cr\u00edticas para o funcionamento do AD.&nbsp;O que acontece se voc\u00ea deixar a fun\u00e7\u00e3o FSMO offline por um longo per\u00edodo de tempo?<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Mestre do esquema<\/strong>&nbsp;\u2013 n\u00e3o pode alterar o esquema do AD.&nbsp;No entanto, esse procedimento n\u00e3o \u00e9 executado com frequ\u00eancia (uma ou duas vezes em v\u00e1rios anos) ao adicionar controladores com uma nova vers\u00e3o do Windows Server ao dom\u00ednio ou ao instalar alguns produtos de servidor (Exchange, Lync \/ S4B).&nbsp;Na pr\u00e1tica, voc\u00ea pode n\u00e3o notar a falta do mestre de esquema por anos.<\/li><li><strong>Mestre de dom\u00ednio<\/strong>&nbsp;\u2013 \u00e9 imposs\u00edvel adicionar ou remover um dom\u00ednio (subdom\u00ednio).&nbsp;Tamb\u00e9m n\u00e3o \u00e9 uma tarefa frequente<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">As fun\u00e7\u00f5es de todo o dom\u00ednio existem em todos os dom\u00ednios e s\u00e3o mais importantes para o funcionamento geral do AD.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Mestre de infraestrutura<\/strong>&nbsp;\u2013 se houver v\u00e1rios dom\u00ednios em DCs que n\u00e3o hospedam Cat\u00e1logos Globais, a associa\u00e7\u00e3o a grupos de dom\u00ednio local pode ser interrompida;<\/li><li><strong>RID Master<\/strong>&nbsp;\u2013 depois de um certo tempo ser\u00e1 imposs\u00edvel criar um novo objeto no AD, o tempo depende da quantidade restante de SIDs livres, que s\u00e3o emitidos em blocos de 500 RIDs.&nbsp;Se seu AD tem poucos objetos e voc\u00ea n\u00e3o adiciona novos todos os dias, a aus\u00eancia do mestre RID passar\u00e1 despercebida por muito tempo.<\/li><li><strong>Emulador de PDC<\/strong>&nbsp;\u2013 a fun\u00e7\u00e3o FSMO mais cr\u00edtica.&nbsp;Se n\u00e3o estiver dispon\u00edvel, a sincroniza\u00e7\u00e3o da hora do dom\u00ednio ser\u00e1 interrompida e algumas&nbsp;pol\u00edticas de bloqueio de senha&nbsp;n\u00e3o funcionar\u00e3o.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Lembre-se de que n\u00e3o h\u00e1 nenhuma fun\u00e7\u00e3o FSMO cuja falha resultaria em uma perda significativa da funcionalidade do Active Directory.&nbsp;Mesmo em caso de falha de todos os propriet\u00e1rios de fun\u00e7\u00e3o FSMO, a infraestrutura de dom\u00ednio pode operar normalmente dentro de alguns dias, semanas ou at\u00e9 meses.&nbsp;Portanto, se voc\u00ea pretende colocar um controlador de dom\u00ednio em manuten\u00e7\u00e3o por um tempo com uma ou todas as fun\u00e7\u00f5es FSMO, n\u00e3o h\u00e1 necessidade de transferir fun\u00e7\u00f5es para outro controlador de dom\u00ednio.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A falha de um controlador de dom\u00ednio com fun\u00e7\u00f5es FSMO n\u00e3o leva ao mau funcionamento de um dom\u00ednio.&nbsp;No entanto, torna imposs\u00edvel realizar muitas opera\u00e7\u00f5es, na verdade mudando o dom\u00ednio para o modo \u201csomente leitura\u201d.&nbsp;Em caso de falha de um controlador de dom\u00ednio com as fun\u00e7\u00f5es FSMO, voc\u00ea pode usar o procedimento de&nbsp;captura de fun\u00e7\u00f5es FSMO&nbsp;de um controlador de dom\u00ednio com&nbsp;falha&nbsp;.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Ferramentas de administra\u00e7\u00e3o para gerenciar fun\u00e7\u00f5es FSMO<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Para gerenciar e&nbsp;transferir fun\u00e7\u00f5es FSMO no dom\u00ednio do Active Directory,&nbsp;use a&nbsp;ferramenta de linha de comando&nbsp;ntdsutil.exe&nbsp;ou os snap-ins MMC da interface gr\u00e1fica do usu\u00e1rio:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Dom\u00ednios e rela\u00e7\u00f5es de confian\u00e7a do Active Directory<\/strong>&nbsp;\u2013 fun\u00e7\u00e3o de mestre de nomea\u00e7\u00e3o de dom\u00ednio;<\/li><li><strong>Usu\u00e1rios e computadores do Active Directory<\/strong>&nbsp;\u2013 fun\u00e7\u00f5es de mestre de ID relativo, mestre de infraestrutura e emulador de controlador de dom\u00ednio prim\u00e1rio;<\/li><li><strong>Esquema do Active Directory<\/strong>&nbsp;\u2013 fun\u00e7\u00e3o Mestre do esquema.<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-large is-style-default\"><img loading=\"lazy\" decoding=\"async\" width=\"525\" height=\"379\" src=\"https:\/\/blog.4servers.co\/wp-content\/uploads\/2021\/04\/fsmo2.jpg\" alt=\"\" class=\"wp-image-174\" srcset=\"https:\/\/blog.4srv.net\/wp-content\/uploads\/2021\/04\/fsmo2.jpg 525w, https:\/\/blog.4srv.net\/wp-content\/uploads\/2021\/04\/fsmo2-300x217.jpg 300w\" sizes=\"auto, (max-width: 525px) 100vw, 525px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Cr\u00e9ditos: <a href=\"https:\/\/dicasdeinfra.com.br\/praticas-recomendadas-de-funcoes-fsmo-do-active-directory\/\" target=\"_blank\" rel=\"noreferrer noopener\">Felipe Santos \u2013 Dicas de Infra<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>FSMO ( Flexible Single Master Operations ) \u00e9 um tipo especial de opera\u00e7\u00e3o executada por controladores de dom\u00ednio do Active Directory que exige que um servidor DC seja exclusivo em um dom\u00ednio ou floresta. V\u00e1rias fun\u00e7\u00f5es FSMO podem ser executadas no mesmo ou em v\u00e1rios controladores de dom\u00ednio. Um controlador de dom\u00ednio com qualquer fun\u00e7\u00e3o FSMO \u00e9 chamado de Operations Master DC.<\/p>\n","protected":false},"author":1,"featured_media":172,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[31,36,32],"class_list":["post-80","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-windowsserver","tag-active-directory","tag-fsmo","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/posts\/80","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/comments?post=80"}],"version-history":[{"count":3,"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/posts\/80\/revisions"}],"predecessor-version":[{"id":188,"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/posts\/80\/revisions\/188"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/media\/172"}],"wp:attachment":[{"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/media?parent=80"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/categories?post=80"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.4srv.net\/index.php\/wp-json\/wp\/v2\/tags?post=80"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}