Entendendo as FSMO do Active Directory

Nós podemos imaginar o Active Directory como um banco de dados, onde estão armazenados os atributos de toda sua infraestrutura de rede, como por exemplo, nomes de usuários, senhas, contas de computador, etc.
Nas versões iniciais do Active Directory, as chances de conflitos era muito altas. Pois o sistema de gerenciamento de conflitos não atuava de forma efetiva quando haviam dois Controladores de Domínio realizando alterações simultaneamente.

E um dos conceitos apresentados para solucionar estes problemas foram as regras FSMO (Flexible Single-Master Operation), que são regras aplicadas a determinadas funções dos Controladores de Domínio que tem como objetivo manter o funcionamento correto do ambiente.

Ao todo temos 5 regras FSMO – elas são divididas em 2 grupos – sendo que 2 delas atuam na floresta e 3 que atuam diretamente no domínio.

Regra FSMO

Como mencionado anteriormente, as regras FSMO são divididas basicamente em 5.

  • Schema master
  • Domain naming master
  • RID master
  • PDC emulator
  • Infrastructure master

Schema Master

O Schema é considerado o coração do Active Directory. Você pode estar se perguntando “Mas o que é o Schema?”.
O Schema é o conjunto de todos os atributos associados aos objetos presentes no Active Directory, o que incluem usuários, senhas, telefones, ID, isto para citar somente alguns atributos.

Como o Schema pode ser alterado/customizado, a regra de Schema Master se encarrega de gerenciar qualquer alteração, evitando assim problemas de conflito.

Domain naming Master

Esta regra é responsável pela verificação e validação dos domínios que estão sob a mesma floresta.
Por exemplo se você estiver adicionando um novo domínio, em uma floresta existente, é o Domain Naming Master quem garante que este nome de domínio seja único na floresta.

Por exemplo, se esta regra estiver inoperante por algum motivo, não será possível adicionar um novo domínio na floresta.

RID Master

Qualquer Controlador de Domínio tem a função de criar novos objetos, (usuários, grupos, contas de computadores, etc). Como sabemos cada objeto do Active Directory possui um identificador único chamado SID.

A construção do SID é feita através de um SID do domínio, mais um ID relativo que é gerado pelo RID Master. Cada Controlador de Domínio, recebe inicialmente uma faixa de 512 RIDs, quando o Controlador de domínio precisar de mais RIDs ele negocia a alocação de mais uma faixa de 512 RIDs com o RID Master.

Desta forma o RID Master garante que dentre todos os objetos do Active Directory não exista nenhum SID duplicado.

PDC Emulator

A função do PDC Emulator é de “emular” um PDC NT 4.0 para manter a compatibilidade com clientes mais antigos.

Porém mesmo que esta compatibilidade não seja necessária no seu ambiente, o PDC Emulator tem outras funções muito importantes. Esta regra trata de alterações de contas de usuários, bloqueios de usuário, relação de confiança com outros domínios e florestas, além destas funções o PDC Emulator também é responsável pela sincronização dos relógios do domínio.

Infrastructure Master

Esta regra tem a basicamente a função de manter todos os objetos do Active Directory atualizados. Ela deve assegurar que o Display Name dos usuários seja atualizado caso este atributo seja alterado. Esta regra é mais importante quando o ambiente possui vários domínios.

Problemas com FSMO

Sintoma FSMO Explicação
Usuários não conseguem fazer logon PDC Emulator O relógio pode não estar sincronizado
Não é possível criar usuários e grupos RID Master RID Pool precisar ser renovado. É preciso ter contato com o RID Master
Não é possível elevar o nível funcional de uma floresta Schema Master A regra precisa estar ativa para executar esta função
Não é possível adicionar ou remover um domínio Domain Naming Master Esta alteração necessita da regra funcional
Não é possível alterar senha dos usuários PDC Emulator Alteração de senhas necessitam do PDC Emulator

Recomendações para uso das regras FSMO

Os controladores de domínio irão armazenar as regras FSMO, quando nosso ambiente só possuir somente 1 controlador de domínio ele vai armazenar todas a regras. Mas, conforme a complexidade do ambiente podemos encontrar vários controladores de domínio na estrutura, e para estes casos existem algumas recomendações para otimizar as funções das regras FSMO no Active Directory.

01 – O PDC Emulator e o RID Master devem estar no mesmo controlador de domínio, pois o PDC Emulator é um grande consumidor de RID’s.
02 – Se possível, manter o Infrastructure Master em um controlador de domínio que não seja Global Catalog.
03 – Para facilitar o gerenciamento, Schema Master e Domain Naming Master podem estar no mesmo controlador de domínio, que também deve ser o Global Catalog.
04 – Periodicamente verifique se todas as FSMO estão disponíveis e funcionando corretamente.

Conclusão

Como podemos ver, as regras FSMO impedem conflitos no Active Directory, e além disso oferecem flexibilidade para lidar com diferentes funções.

Se você já conhecia as regras FSMO ou se você tem alguma sugestão ou dúvida, compartilhe a sua opnião, deixe seu comentário!

Faça parte da minha lista VIP e receba materiais de qualidade, gratuitamente.

Que a força esteja com vocês!!!

  • Everton Nascimento

    02 – Se possível, manter o Infrastructure Master em um controlador de domínio que não seja Global Catalog.

    Não entendi muito bem essa questão, já li por ai que é recomendável que todos os servidores sejam Global Catalog.

    • Ismael Casagrande

      Everton, não é uma regra manter o Infrastructure Master em um DC que não seja Global Catalog, é apenas uma recomendação.
      O Infrastructure Master periodicamente faz uma varredura no DC para verificar e atualizar as referências dos objetos entre domínios.
      Se colocada no mesmo DC que tem a função de Global Catalog, esta função é praticamente anulada, pois as informações escaneadas serão sempre idênticas ao Global Catalog.

      Então se todos os DCs de um domínio forem Global Catalog ou se houver apenas um domínio na floresta, não haverá problema algum.

      • Everton Nascimento

        Primeiramente muito obrigado por responder minha dúvida.

        Na empresa que eu trabalho tenho uma floresta com um único domínio com 3 DCs 2012 Stan,
        Todos eles são Global Catalog, então não vou ter nenhum problema correto?

        Agora vamos supor que se eu tivesse um floresta com dois domínios contoso.local e contoso2.local, e tivesse 4 servidores, dois servidores sendo Domain controle de cada
        domínio => contoso.local desses dois servidores o recomendável seria que apenas um DC tivesse o Infrastruture Master correto?

        E o mesmo vale para o outro domínio correto?

      • Everton Nascimento

        Escrevi algo aqui e não apareceu, vou colocar de novo.

        Primeiramente muito obrigado por responder minha dúvida, muito obrigado mesmo.

        Vou colocar um exemplo aqui pra ver se entendi,

        Digamos que eu trabalhe em uma empresa e tenha apenas um domínio contoso.local e tenha 4 servidores com o windows server 2012 r2 stan, e todos esses servidores sejam domain controle. Então o recomendável seria que, desses 4 apenas um tenha a Infrastructure Master?

  • Everton Nascimento

    Ismael, posso entrar em contato com o senhor por e-mail?

    Por aqui está apagando meus comentários. Segue meu email => [email protected]