O que são as FSMO ??? – Parte 1

Flexible Single-Master Operation ou simplesmente FSMO, nada mais são do que Controladores de Domínio (em inglês, Domain Controller, ou apenas DC) dotados de certas capacidades especiais, que só eles podem fazer dentro da sua rede, independente do número de Controladores de Domínio que você possui em sua rede. Nota: Apenas os Controladores de Domínio podem hospedar essas funções pois são apenas eles que possuem uma cópia do tipo “Escrita” do Active Directory.

Resolvi fazer esse post, pois há alguns dias tive um problema relacionado aos Operadores Mestres (FSMO), onde numa determinada rede que administro, coisas estranhas estavam acontecendo. Começando com o fato de não ser mais possível à criação de novos usuários na rede. Em seguida, e para piorar as coisas, os usuários não estavam mais conseguindo efetuar logon na rede. Fui chamado nessa hora, já com o pensamento de sempre:

“F*@&!, certeza… Será que algum dia vou em um cliente que o problema seja fácil de solucionar ?”

Hahahaha… Será que só eu tenho essa sensação? Que o pessoal só lembra de nós quando o negócio tá feio? E que para ajudar, é sempre urgente…

Mas enfim… Deixemos de lado esse pensamento bobo e voltemos ao tópico…

Gosto muito de usar algumas ferramentas que acompanham o Support Tools (Para quem não sabe, esse conjunto de ferramentas se encontra no CD do Windows Server 2003, na pasta SupportTools).

Então a primeira coisa que fiz, foi rodar o seguinte comando:

netdom query fsmo


Também podemos ver os FSMO em modo gráfico, em vários snap-ins temos a opção de exibir os “Mestres de Operações”, como podemos observar na imagem abaixo, onde escolhi o snap-in Usuários e Computadores do Active Directory para ilustrar.

De qualquer forma, os Mestres de Operações se dividem em 2 grupos:

– Floresta: são regras que afetam toda uma floresta Windows 2000 ou 2003 e podem ser hospedadas por qualquer DC dentro da floresta.

– Domínio: são regras que afetam apenas um domínio Windows 2000 ou 2003, e podem ser hospedadas por DCs dentro do domínio.

Ao todo, temos cinco FSMO, duas que afetam a floresta como um todo e outras três que afetam um domínio, conforme explicação abaixo:

Floresta

– Schema Master: O Schema é o coração do Active Directory. Ele é composto de objetos e atributos, que modelam o Active Directory. É através do Schema que dizemos, por exemplo, que o objeto do tipo “USUÁRIO” terá os atributos “NOME”, “ENDEREÇO”, “TELEFONE”, etc. Como o esquema pode ser customizado e deve ser o mesmo em toda a floresta Windows, a regra “Schema Master” se encarrega de evitar conflitos entre os DCs.

– Domain Naming Master: Se você adiciona um novo domínio em uma floresta (por exemplo, se você adiciona um domínio filho), o nome deste domínio deve ser único na floresta. É esta regra responsável por assegurar isto e evitar conflitos entre outros domínios.

Domínio

– PDC Emulator: Como o nome já diz, uma das funções desta regra é “emular” um PDC NT 4.0 para manter a compatibilidade com servidores legados (por exemplo, BDCs NT 4.0) e clientes mais antigos. Mesmo que você migre todo seu ambiente para Windows 2000 ou 2003, esta regra ainda é importante, pois é responsável por tratar alterações de contas de usuários, “lockouts” de contas, relações de confianças com outros domínios e pelo sincronismo do relógio no domínio.

– RID Master: Qualquer DC pode criar novos objetos (usuários, grupos, contas de computadores). Cada objeto deve possuir um identificador único, conhecido como SID. O SID do objeto é construído usando o SID do domínio, mais um ID relativo (RID). Porém, após criar 512 objetos, um DC precisa contatar o RID Master para conseguir mais 512 RIDs (atualmente, um DC contata o RID Master quando ele possui menos de 100 RIDs disponíveis). Isto evita que dois objetos diferentes tenham o mesmo RID em todo o domínio.

– Infrastructure Master: Esta regra é muitas vezes conhecida apenas como “cosmética”, já que sua função é se assegurar que o “Display Name” de usuários pertencentes a um grupo sejam atualizados caso este atributo seja alterado. Ele é mais importante em ambientes que possuem vários domínios, pois vai assegurar que todos os grupos que um determinado usuário pertença irá refletir o “Display Name” correto.

Problemas com FSMO

Se uma das FSMO falhar, com certeza você terá problemas em seu ambiente. A tabela abaixo ajuda a identificar possíveis problemas que possam ocorrer:

Sintoma

Possível regra envolvida

Explicação

Usuários não conseguem fazer logon.

PDC Emulator

O relógio do sistema pode não estar sincronizado, o que faz a autenticação Kerberos falhar.
Não é possível alterar senhas.

PDC Emulator

Alterações de senhas necessitam desta regra ativa.
“Lockout” de contas não funciona.

PDC Emulator

Esta operação necessita do PDC Emulator ativo.
Não é possível “elevar” o nível funcional de um domínio.

PDC Emulator

Esta regra precisa estar ativa para o processamento desta operação.
Não é possível criar novos usuários ou grupos.

RID Master

RID pool precisa ser renovado, e para isto, é necessário contatar o RID Master.
Problemas com membros de grupos universais.

Infrastructure Master

Esta regra é responsável por atualizar o “Display Name” dos membros de grupos.
Não é possível adicionar um remover um domínio.

Domain Naming Master

Alterações deste porte necessitam desta regra.
Não é possível promover ou despromover um DC

Domain Naming Master

Alterações deste porte necessitam desta regra.
Não é possível modificar o schema.

Schema Master

Modificações no Schema devem ser controladas por esta regra.
Não é possível “elevar” o nível funcional de uma floresta.

Schema Master

Esta regra precisa estar ativa para o processamento desta operação.

Regras para configurações das FSMO

DCs irão hospedá-las. Por padrão, quando você instala o primeiro DC da sua floresta (que neste caso é também o domínio raiz ou root), este DC irá hospedar as cinco FSMO. Quando você instala o primeiro DC de qualquer outro domínio dentro de sua floresta, ele irá hospedar as três FSMO do domínio. Porém, dependendo da complexidade do seu ambiente, este comportamento padrão pode não ser o mais apropriado e você deve transferir algumas regras para máquinas diferentes para um melhor desempenho. Os artigos KB 223787 e KB 255504 descrevem como este procedimento deve ser efetuado.

As regras a seguir podem ser usadas na definição das FSMO:

1 – PDC Emulator e RID Master devem estar na mesma máquina porque o PDC Emulator é um grande consumidor de RID´s

Dica: Como o PDC Emulator é a regra mais utilizada num ambiente Windows, se a máquina que hospeda estas duas regras está com um alto nível de utilização, é necessário mover estas regras para um outro DC (de preferência que não seja um Global Catalog (GC), já que este também possui alta utilização) ou realizar um upgrade de hardware.

2 – Infrastructure Master não deve estar em um DC que também é GC (Global Catalog)

Dica: Certifique-se que o Infrastructure Master e o GC estejam em um mesmo site físico e que estes dois DCs sejam configurados como “Replication Partner”, usando o “Active Directory Sites and Services”.

Exceção 1: se você possui apenas um domínio (Single Domain), você pode ter na mesma máquina o Infrastructure Master e o GC
Exceção 2: se todos os DCs em sua floresta são também GC, você pode ter o Infrastructure Master junto com o GC.

3 – Para um gerenciamento facilitado, Schema Master e Domain Naming Master podem estar na mesma máquina, que deve ser também um Global Catalog (GC).

4 – De tempos em tempos, verifique se todas as FSMO estão disponíveis e funcionando corretamente.

Bom… por enquanto é só pessoal. Nesse primeiro artigo, dei um enfoque no que são e para que servem as FSMO. Espero que tenham gostado… em seguida, volto com a segunda parte, postando possíveis soluções para problemas relacionados aos Operadores Mestres.

Fonte: Technet

Você talvez também goste