Entendendo as FSMO do Active Directory

Nós podemos imaginar o Active Directory como um banco de dados, onde estão armazenados os atributos de toda sua infraestrutura de rede, como por exemplo, nomes de usuários, senhas, contas de computador, etc.
Nas versões iniciais do Active Directory, as chances de conflitos era muito altas. Pois o sistema de gerenciamento de conflitos não atuava de forma efetiva quando haviam dois Controladores de Domínio realizando alterações simultaneamente.

E um dos conceitos apresentados para solucionar estes problemas foram as regras FSMO (Flexible Single-Master Operation), que são regras aplicadas a determinadas funções dos Controladores de Domínio que tem como objetivo manter o funcionamento correto do ambiente.

Ao todo temos 5 regras FSMO – elas são divididas em 2 grupos – sendo que 2 delas atuam na floresta e 3 que atuam diretamente no domínio.

Regra FSMO

Como mencionado anteriormente, as regras FSMO são divididas basicamente em 5.

  • Schema master
  • Domain naming master
  • RID master
  • PDC emulator
  • Infrastructure master

Schema Master

O Schema é considerado o coração do Active Directory. Você pode estar se perguntando “Mas o que é o Schema?”.
O Schema é o conjunto de todos os atributos associados aos objetos presentes no Active Directory, o que incluem usuários, senhas, telefones, ID, isto para citar somente alguns atributos.

Como o Schema pode ser alterado/customizado, a regra de Schema Master se encarrega de gerenciar qualquer alteração, evitando assim problemas de conflito.

Domain naming Master

Esta regra é responsável pela verificação e validação dos domínios que estão sob a mesma floresta.
Por exemplo se você estiver adicionando um novo domínio, em uma floresta existente, é o Domain Naming Master quem garante que este nome de domínio seja único na floresta.

Por exemplo, se esta regra estiver inoperante por algum motivo, não será possível adicionar um novo domínio na floresta.

RID Master

Qualquer Controlador de Domínio tem a função de criar novos objetos, (usuários, grupos, contas de computadores, etc). Como sabemos cada objeto do Active Directory possui um identificador único chamado SID.

A construção do SID é feita através de um SID do domínio, mais um ID relativo que é gerado pelo RID Master. Cada Controlador de Domínio, recebe inicialmente uma faixa de 512 RIDs, quando o Controlador de domínio precisar de mais RIDs ele negocia a alocação de mais uma faixa de 512 RIDs com o RID Master.

Desta forma o RID Master garante que dentre todos os objetos do Active Directory não exista nenhum SID duplicado.

PDC Emulator

A função do PDC Emulator é de “emular” um PDC NT 4.0 para manter a compatibilidade com clientes mais antigos.

Porém mesmo que esta compatibilidade não seja necessária no seu ambiente, o PDC Emulator tem outras funções muito importantes. Esta regra trata de alterações de contas de usuários, bloqueios de usuário, relação de confiança com outros domínios e florestas, além destas funções o PDC Emulator também é responsável pela sincronização dos relógios do domínio.

Infrastructure Master

Esta regra tem a basicamente a função de manter todos os objetos do Active Directory atualizados. Ela deve assegurar que o Display Name dos usuários seja atualizado caso este atributo seja alterado. Esta regra é mais importante quando o ambiente possui vários domínios.

Problemas com FSMO

Sintoma FSMO Explicação
Usuários não conseguem fazer logon PDC Emulator O relógio pode não estar sincronizado
Não é possível criar usuários e grupos RID Master RID Pool precisar ser renovado. É preciso ter contato com o RID Master
Não é possível elevar o nível funcional de uma floresta Schema Master A regra precisa estar ativa para executar esta função
Não é possível adicionar ou remover um domínio Domain Naming Master Esta alteração necessita da regra funcional
Não é possível alterar senha dos usuários PDC Emulator Alteração de senhas necessitam do PDC Emulator

Recomendações para uso das regras FSMO

Os controladores de domínio irão armazenar as regras FSMO, quando nosso ambiente só possuir somente 1 controlador de domínio ele vai armazenar todas a regras. Mas, conforme a complexidade do ambiente podemos encontrar vários controladores de domínio na estrutura, e para estes casos existem algumas recomendações para otimizar as funções das regras FSMO no Active Directory.

01 – O PDC Emulator e o RID Master devem estar no mesmo controlador de domínio, pois o PDC Emulator é um grande consumidor de RID’s.
02 – Se possível, manter o Infrastructure Master em um controlador de domínio que não seja Global Catalog.
03 – Para facilitar o gerenciamento, Schema Master e Domain Naming Master podem estar no mesmo controlador de domínio, que também deve ser o Global Catalog.
04 – Periodicamente verifique se todas as FSMO estão disponíveis e funcionando corretamente.

Conclusão

Como podemos ver, as regras FSMO impedem conflitos no Active Directory, e além disso oferecem flexibilidade para lidar com diferentes funções.

Se você já conhecia as regras FSMO ou se você tem alguma sugestão ou dúvida, compartilhe a sua opnião, deixe seu comentário!

Faça parte da minha lista VIP e receba materiais de qualidade, gratuitamente.

Que a força esteja com vocês!!!