Funções FSMO do Active Directory no Windows

  • Artigo

Este artigo ajuda principalmente você a aprender sobre as funções FSMO (Operação Mestra Única Flexível) no Active Directory.

Aplica-se a: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Número original do KB: 197132

Resumo

O Active Directory é o repositório central no qual todos os objetos em uma empresa e seus respectivos atributos são armazenados. É um banco de dados hierárquico habilitado para vários mestres que pode armazenar milhões de objetos. As alterações no banco de dados podem ser processadas em qualquer DC (controlador de domínio) específico na empresa, independentemente de o controlador de domínio estar conectado ou desconectado da rede.

Modelo de vários mestres

Um banco de dados habilitado para vários mestres, como o Active Directory, fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio na empresa. Mas também apresenta a possibilidade de conflitos que podem levar a problemas depois que os dados são replicados para o restante da empresa. Uma maneira que o Windows lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos que lida com discrepâncias em valores. Isso é feito resolvendo para o DC no qual as alterações foram gravadas por último, que é o último gravador ganha. As alterações em todos os outros controladores de domínio são descartadas. Embora esse método possa ser aceitável em alguns casos, há ocasiões em que conflitos são muito difíceis de resolver usando a abordagem de vitória do último gravador. Nesses casos, é melhor evitar que o conflito ocorra em vez de tentar resolvê-lo após o fato.

Para determinados tipos de alterações, o Windows incorpora métodos para impedir que atualizações conflitantes do Active Directory ocorram.

Modelo de mestre único

Para evitar atualizações conflitantes no Windows, o Active Directory executa atualizações para determinados objetos de uma maneira de mestre único. Em um modelo de mestre único, apenas um DC em todo o diretório tem permissão para processar atualizações. É semelhante à função fornecida a um PDC (controlador de domínio primário) em versões anteriores do Windows, como o Microsoft Windows NT 3.51 e 4.0. Em versões anteriores Windows, o PDC é responsável por processar todas as atualizações em um determinado domínio.

O Active Directory estende o modelo de mestre único encontrado em versões anteriores do Windows para incluir várias funções e a capacidade de transferir funções para qualquer controlador de dominio na empresa. Como uma função do Active Directory não está associada a um único DC, ela é conhecida como uma função FSMO. Atualmente, há cinco funções FSMO no Windows:

  • Mestre de esquema
  • Mestre de nomeação de domínio
  • Mestre RID
  • Emulador PDC
  • Mestre de infraestrutura

Normalmente, uma propriedade de função FSMO é executada somente quando o controlador de domínio replicou o NC (contexto de nomenclatura) em que a propriedade é armazenada desde que o Serviço de Diretório foi iniciado. Certifique-se de que uma captura de função FSMO atinja o proprietário anterior antes que a função seja usada.

Função FSMO mestra de esquema

O titular da função FSMO mestre do esquema é o controlador de domínio responsável por executar atualizações no esquema de diretório, ou seja, o contexto de nomenclatura do esquema ou LDAP://cn=schema,cn=configuration,dc=<domínio>. Esse DC é o único que pode processar atualizações para o esquema de diretório. Depois que a atualização do esquema for concluída, ela será replicada do mestre do esquema para todos os outros controladores de domínio no diretório. Há apenas um mestre de esquema por floresta.

Requisitos iniciais de replicação e conectividade

  • Esse proprietário da função FSMO só estará ativo quando o proprietário da função tiver replicado com êxito o NC do esquema desde que o Serviço de Diretório foi iniciado.
  • Os controladores de domínio e os membros da floresta só contatarão a função FSMO quando atualizarem o esquema.

Função FSMO mestre de nomenclatura de domínio

O proprietário da função FSMO mestre de nomenclatura de domínio é o controlador de domínio responsável por fazer alterações no espaço de nome de domínio em toda a floresta do diretório, ou seja, o contexto de nomenclatura Partitions\Configuration ou LDAP://CN=Partitions, CN=Configuration, DC=<domínio>. Esse DC é o único que pode adicionar ou remover um domínio do diretório. Ele também pode adicionar ou remover referências cruzada a domínios em diretórios externos.

Requisitos iniciais de replicação e conectividade

  • Esse proprietário da função FSMO só estará ativo quando o proprietário da função tiver replicado o NC de configuração com êxito desde que o Serviço de Diretório foi iniciado.

  • Os membros do domínio da floresta só contatarão o proprietário da função FSMO quando atualizarem as referências cruzada. Os controladores de domínio contatarão o proprietário da função FSMO quando:

    • Os domínios são adicionados ou removidos na floresta.
    • Novas instâncias de partições de diretório de aplicativo em DCs são adicionadas. Por exemplo, um servidor DNS foi inscrito para as partições de diretório do aplicativo DNS padrão.

Função FSMO mestre RID

O proprietário da função FSMO mestre RID é o único controlador de domínio responsável pelo processamento de solicitações do Pool RID de todos os controladores de domínio dentro de um determinado domínio. Ele também é responsável por remover um objeto de seu domínio e colocá-lo em outro domínio durante uma movimentação de objeto.

Quando um controlador de domínio cria uma entidade de segurança, como um usuário ou grupo, ele anexa uma SID (ID de segurança) exclusiva ao objeto. Essa SID consiste em:

  • Uma SID de domínio que é o mesmo para todas as SIDs criadas em um domínio.
  • Uma RID (ID relativa) exclusiva para cada SID da entidade de segurança criada em um domínio.

Cada DC do Windows em um domínio é alocado a um pool de RIDs que ele tem permissão para atribuir às entidades de segurança que ele cria. Quando o pool RID alocado de um DC fica abaixo de um limite, esse DC emite uma solicitação de RIDs adicionais para o mestre RID do domínio. O mestre RID do domínio responde à solicitação recuperando RIDs do pool RID não alocado do domínio e os atribui ao pool do controlador de domínio solicitante. Há um mestre RID por domínio em um diretório.

Requisitos iniciais de replicação e conectividade

  • Esse proprietário da função FSMO só estará ativo quando o proprietário da função tiver replicado o NC de domínio com êxito desde que o Serviço de Diretório foi iniciado.
  • Os controladores de domínio contatarão o proprietário da função FSMO quando recuperarem um novo pool RID. O novo pool RID é entregue aos DCs por meio da replicação do AD.

Função FSMO do emulador de PDC

O emulador PDC é necessário para sincronizar a hora em uma empresa. O Windows Server inclui o serviço de horário W32Time (Horário do Windows) que é necessário para o protocolo de autenticação Kerberos. Todos computadores baseados no Windows em uma empresa usam um horário comum. A finalidade do serviço de horário é garantir que o serviço Windows Time use uma relação hierárquica que controla a autoridade. Ele não permite loops para garantir o uso de tempo comum apropriado.

O emulador PDC de um domínio é autoritativo para o domínio. O emulador PDC na raiz da floresta se torna autoritativo para a empresa e deve ser configurado para coletar o tempo de uma fonte externa. Todos os proprietarios de função FSMO PDC seguem a hierarquia de domínios na seleção de parceiro de horário de entrada.

Em um domínio Windows, o titular da função do emulador PDC mantém as seguintes funções:

  • As alterações de senha feitas por outros DCs no domínio são replicadas preferencialmente para o emulador PDC.
  • Quando ocorrem falhas de autenticação em um determinado DC devido a uma senha incorreta, as falhas são encaminhadas para o emulador PDC antes que uma mensagem de falha de senha incorreta seja relatada ao usuário.
  • O bloqueio de conta é processado no emulador PDC.
  • O emulador PDC executa toda a funcionalidade que um PDC baseado em servidor do Windows NT 4.0 ou PDC anterior executa para clientes baseados no Windows NT 4.0 ou anteriores.

Essa parte da função de emulador PDC torna-se desnecessária na seguinte situação:
Todas as estações de trabalho, servidores membros e DCs (controladores de domínio) que executam o Windows NT 4.0 ou anterior são atualizados para o Windows 2000.

O emulador PDC ainda executa as outras funções, conforme descrito em um ambiente Windows 2000.

As informações a seguir descrevem as alterações que ocorrem durante o processo de atualização:

  • Clientes Windows (estações de trabalho e servidores membros) e clientes de nível inferior que instalaram o pacote de cliente de serviços distribuídos não executam gravações de diretório (como alterações de senha) preferencialmente no controlador de domínio que se anuncia como o PDC. Eles usam qualquer DC para o domínio.
  • Depois que os BDCs (controladores de domínio de backup) em domínios de nível inferior são atualizados para o Windows 2000, o emulador PDC não recebe nenhuma solicitação de réplica de nível inferior.
  • Clientes Windows (estações de trabalho e servidores membros) e clientes de nível inferior que instalaram o pacote de cliente de serviços distribuídos usam o Active Directory para localizar recursos de rede. Eles não exigem o serviço de Navegador do Windows NT.

Requisitos iniciais de replicação e conectividade

  • Esse proprietario da função FSMO está sempre ativo quando o emulador PDC encontra o atributo fSMORoleOwner do cabeçalho NC do domínio apontando para si mesmo. Não há nenhum requisito de replicação de entrada.

  • Os controladores de domínio contatarão o proprietário da função FSMO quando tiverem uma nova senha ou a verificação de senha local falhar. Nenhum erro ocorre quando o emulador PDC não pode ser alcançado ou o valor de registro AvoidPdcOnWan é definido como 1.

  • Você pode usar o cmdlet a seguir para executar os pré-requisitos para rebaixar um DC.

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl

    Aqui está um exemplo de saída quando o emulador PDC não pode ser alcançado.

    Mensagem: falha na verificação dos pré-requisitos para a promoção do Controlador de Domínio. Você indicou que esse controlador de domínio do Active Directory não é o último controlador de domínio para o domínio "contoso.com". No entanto, nenhum outro controlador de domínio para esse domínio pode ser contatado. Continuar fará com que as alterações feitas nos serviços de domínio do Active Directory pelo controlador de domínio sejam perdidas. Para continuar, especifique a opção 'IgnoreLastDCInDomainMismatch'.
    Contexto: Test.VerifyDcPromoCore.DCPromo.General.50
    RebootRequired: False
    Status: Erro

Função FSMO mestre de infraestrutura

Quando um objeto em um domínio é referenciado por outro objeto em outro domínio, ele representa a referência por:

  • O GUID
  • A SID (para referências da entidades de segurança)
  • O DN do objeto que está sendo referenciado

O proprietário da função FSMO de infraestrutura é o controlador de domínio responsável por atualizar a SID de um objeto e o nome diferenciado em uma referência de objeto entre domínios.

Observação

A função IM (mestre de infraestrutura) deve ser mantida por um controlador de domínio que não seja um servidor de GC (Catálogo Global). Se o mestre de infraestrutura for executado em um servidor do catálogo global, ele deixará de atualizar informações do objeto porque não contém nenhuma referência a objetos os quais não porta. Isso acontece porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta. Como resultado, as referências de objeto entre domínios nesse domínio não serão atualizadas e um aviso para esse efeito será registrado no log de eventos do DC.

Se todos os DCs em um domínio também hospedarem o catálogo global, todos os DCs terão os dados atuais. Não é importante qual controlador de domínio mantém a função mestra de infraestrutura.

Quando o recurso opcional da Lixeira está habilitado, cada DC é responsável por atualizar suas referências de objeto entre domínios quando o objeto referenciado é movido, renomeado ou excluído. Nesse caso, não há tarefas associadas à função FSMO de infraestrutura. E não é importante qual controlador de domínio possui a função Mestre de Infraestrutura. Para obter mais informações, consulte 6.1.5.5 Função FSMO de infraestrutura.

Requisitos iniciais de replicação e conectividade

  • Esse proprietário da função FSMO só estará ativo quando o proprietário da função tiver replicado o NC de domínio com êxito desde que o Serviço de Diretório foi iniciado.
  • Não há nenhum requisito de conectividade para esse titular da função FSMO. É uma funcionalidade de limpeza interna da floresta.