segunda-feira, 15 de junho de 2020

Entendendo as FSMO do Active Directory


Nós podemos imaginar o Active Directory como um banco de dados, onde estão armazenados os atributos de toda sua infraestrutura de rede, como por exemplo, nomes de usuários, senhas, contas de computador, etc.

Nas versões iniciais do Active Directory, a chance de conflitos era muito alta. Pois o sistema de gerenciamento de conflitos não atuava de forma efetiva quando haviam dois Controladores de Domínio realizando alterações simultaneamente.

E um dos conceitos apresentados para solucionar estes problemas foram as regras FSMO (Flexible Single-Master Operation), que são regras aplicadas a determinadas funções dos Controladores de Domínio que tem como objetivo manter o funcionamento correto do ambiente.

Ao todo temos 5 regras FSMO – elas são divididas em 2 grupos – sendo que 2 delas atuam na floresta e 3 que atuam diretamente no domínio.

Regra FSMO

Como mencionado anteriormente, as regras FSMO são divididas basicamente em 5.

  • Schema master
  • Domain naming master
  • RID master
  • PDC emulator
  • Infrastructure master

 

Schema Master

O Schema é considerado o coração do Active Directory. Você pode estar se perguntando “Mas o que é o Schema?”.

O Schema é o conjunto de todos os atributos associados aos objetos presentes no Active Directory, o que incluem usuários, senhas, telefones, ID, isto para citar somente alguns atributos.

Como o Schema pode ser alterado/customizado, a regra de Schema Master se encarrega de gerenciar qualquer alteração, evitando assim problemas de conflito.

Domain naming Master

Esta regra é responsável pela verificação e validação dos domínios que estão sob a mesma floresta.

Por exemplo se você estiver adicionando um novo domínio, em uma floresta existente, é o Domain Naming Master quem garante que este nome de domínio seja único na floresta.

Por exemplo, se esta regra estiver inoperante por algum motivo, não será possível adicionar um novo domínio na floresta.

RID Master

Qualquer Controlador de Domínio tem a função de criar novos objetos, (usuários, grupos, contas de computadores, etc). Como sabemos cada objeto do Active Directory possui um identificador único chamado SID.

A construção do SID é feita através de um SID do domínio, mais um ID relativo que é gerado pelo RID Master. Cada Controlador de Domínio, recebe inicialmente uma faixa de 512 RIDs, quando o Controlador de domínio precisar de mais RIDs ele negocia a alocação de mais uma faixa de 512 RIDs com o RID Master.

Desta forma o RID Master garante que dentre todos os objetos do Active Directory não exista nenhum SID duplicado.

PDC Emulator

A função do PDC Emulator é de “emular” um PDC NT 4.0 para manter a compatibilidade com clientes mais antigos.

Porém mesmo que esta compatibilidade não seja necessária no seu ambiente, o PDC Emulator tem outras funções muito importantes. Esta regra trata de alterações de contas de usuários, bloqueios de usuário, relação de confiança com outros domínios e florestas, além destas funções o PDC Emulator também é responsável pela sincronização dos relógios do domínio.

Infrastructure Master

Esta regra tem a basicamente a função de manter todos os objetos do Active Directory atualizados. Ela deve assegurar que o Display Name dos usuários seja atualizado caso este atributo seja alterado. Esta regra é mais importante quando o ambiente possui vários domínios.


Problemas com FSMO


Sintoma

FSMO

Explicação

Usuários não conseguem fazer logon

PDC Emulator

O relógio pode não estar sincronizado

Não é possível criar usuários e grupos

RID Master

RID Pool precisar ser renovado. É preciso ter contato com o RID Master

Não é possível elevar o nível funcional de uma floresta

Schema Master

A regra precisa estar ativa para executar esta função

Não é possível adicionar ou remover um domínio

Domain Naming Master

Esta alteração necessita da regra funcional

Não é possível alterar senha dos usuários

PDC Emulator

Alteração de senhas necessitam do PDC Emulator

Recomendações para uso das regras FSMO

Os controladores de domínio irão armazenar as regras FSMO, quando nosso ambiente só possuir somente 1 controlador de domínio ele vai armazenar todas a regras. Mas, conforme a complexidade do ambiente podemos encontrar vários controladores de domínio na estrutura, e para estes casos existem algumas recomendações para otimizar as funções das regras FSMO no Active Directory.

01 – O PDC Emulator e o RID Master devem estar no mesmo controlador de domínio, pois o PDC Emulator é um grande consumidor de RID’s.

02 – Se possível, manter o Infrastructure Master em um controlador de domínio que não seja Global Catalog.

03 – Para facilitar o gerenciamento, Schema Master e Domain Naming Master podem estar no mesmo controlador de domínio, que também deve ser o Global Catalog.

04 – Periodicamente verifique se todas as FSMO estão disponíveis e funcionando corretamente.


Conclusão

Como podemos ver, as regras FSMO impedem conflitos no Active Directory, e além disso oferecem flexibilidade para lidar com diferentes funções.


Fonte:  https://cooperati.com.br/2017/10/entendendo-as-fsmo-do-active-directory/

0 comentários :

Enviar um comentário