FSMO – O que, para que, onde?

Tópicos:

Publicado por: Nathan Npinotti 13 Julho, 2016

Fala galera, 100%?!

Hoje falaremos sobre as FSMO (em inglês pronuncia-se FISMO), espero que todos estejam com a mente fresca, blz?

Well, well, creio que você como administrador de redes utilize o Active Directory para gerenciar melhor seu ambiente. O AD, para funcionar, precisa de alguns carinhas que executam tarefas especificas no domínio. Para esses “carinhas” damos o nome de Operadores de Funções Master (nomenclatura meio que nova) ou apenas FSMO (da velha guarda). São elas que garantiram a consistência necessária para que todo seu ambiente de domínio rode sem problema

Seguindo a ideia do título do post, falei um pouco sobre o que é, para que serve e onde cada FSMO deve ficar. Ao todo temos 5 funções master, dessas 2 atuam no nível de Floresta e as demais ao nível de Domínio.

O que é? Para que Serve?

  • Schema Master: A função Schema atua a nível de floresta. Ela é o esqueleto do AD, responsável pelos atributos de todos os objetos do AD. Essa função só será utilizada em questões super específica, em geral, não se altera nada nela. A instalação de um Exchange na rede faria uma atualização de Schema, assim como o upgrade de um domínio 2008 R2 para 2012. Para que fique mais claro, se você executar o comando “adsiedit.msc” poderá enxergar melhor o que estou dizendo. Ao abrir o editor, selecione algum objeto e veja todos os campos de atributos que o mesmo possui e entenderá melhor o que é o schema (primeira imagem). Caso queira mais “emoção” e obviamente estudar a fundo o schema, em um ambiente de lab, é possível abrir o console e até mesmo alterar o Schema do AD de forma manual. Para isso, execute um PowerShell como administrador e registre a DLL schmmgmt.dll com o comando regsvr32 schmmgmt.dll. Após isso abra o MMC e adicione o Snap-In “Active Directory Schema” (segunda imagem).

Image

Image(1)

  • Domain Naming: Esse carinha também é uma função a nível de Floresta. Ele é responsável por garantir consistência ao namespace da Floresta. Por exemplo, se você possui o domínio “empresa.local” e um domínio filho chamado “Filial”, se, por algum motivo tentarem adicionar um novo domínio filho com o nome “Filial” a função Domain Naming será consultada e não permitirá essa ação. Basicamente se temos uma floreta com apenas um domínio essa função nunca será utilizada.

  • PDC: “O cara do domínio”, essa é minha definição para a função PDC (Primary Domain Controller). Atuando no nível de Domínio ela é responsável por lidar com as requisições de login, por  tomar conta das senha dos usuários, responsável pelo catalogo de GPOs, é quem serve de referencia de horário para os clientes (NTP preferencial, se nenhum outra configuração for realizada) e também toma conta das descobertas de rede. Um exemplo para simplificar, imagine que tenhamos uma floretas com 3 domínios replicados: Um no ES, um no RJ e outro em SP. ES é o PDC da rede, se a senha de um usuário for alterada no RJ o PDC receberá uma replicação de urgência para atualizar o atributo do usuário. Essa atualização não será enviada, em hipótese alguma ao DC de SP sem antes ter sido atualizada no PDC. A mesma ideia vale para as GPOs, as alterações sempre são realizadas no PDC.

  • RID: O RID (Relative Identifier) Master também atua no nível de domínio e é responsável por alocar e gerenciar os Identificador Únicos para os objetos do AD. Quando um novo objeto (computador, usuário, ….) é criado no AD ele instantaneamente recebe um SID (Security Identifier), que é a combinação do domino SID + RID. Abstrato, né? Tentando deixar mais claro, o RID entrega um código único a cada objeto, para evitar conflitos. Quando temos mais de um domínio na rede é essa função que garante que não haverá dois objetos com a mesma identificação.

  • Infrastructure Master: Essa função é responsável por replicar alterações nos objetos entre domínios. De forma simples, imagine que o “Usuário A” do “DOMINIO1” faça parte de um grupo no “DOMINIO2”, se o nome do “Usuário A” for alterado para “Usuário Z” quem replicará a atualização entre os dominós é a função Infrastructure.

Onde?

Quando o primeiro Controlador de Domínio é instalado na rede todas as FSMOs residem no mesmo servidor. Não existe um regra para alocação das Funções de Operação Master, mas, é importante saber que existem boas práticas.

O que deve ter em mente é que as 5 FSMOs são importante e devem ser mantidas “saudáveis”. Em ambientes de maior porte a realocação é importante para garantir disponibilidade e melhor performance.

Schema Master e Domain Naming (DN): Devem ser mantidos no mesmo DC. Sempre que um novo domínio for criado a função DN será consultada. É recomendado também mantenha-se esse servidor como Catologo Global, pois durante a criação de um dominio filho o GC também deve ser consultado. Como essas funções são raramente utilizadas em ambientes menores, considere essa dica apenas para ambientes Multi-Dominio. Se estiver trabalhando com Multi-Dominio, a recomendação é manter essas funções no Domínio Root, pois seu uso será mais constante durante adição e/ou remoção de domínios.

PDC: Deve ser mantido no DC que possui mais acessos. Se você possui uma floresta com 2 domínios replicados, mantenha o PDC no site (filial, empresa2, localização…) em que possuir mais usuários. Lembre-se que ele “é o cara do domínio”. Não faria sentido manter o PDC em um site que possui poucas requisições de logon, poucas atualizações de senha, por exemplo.

RID: Mantenha esse cara junto com a função PDC. O RID é responsável por gerenciar os identificadores de Objeto, certo? Logo, é bem provável que a maior demanda dele estará no maior site do ambiente.

Infrastructure Master (IM): Aqui temos duas situações

  • Ambiente com apenas 1 Domínio: A IM pode ser mantida em qualquer servidor, incluindo Catálogos Globais

  • Ambiente Multi-Dominio: A IM deve ser alocada em qualquer servidor QUE NÃO seja um Catalogo Global

Essa recomendação da Microsoft é para evitar inconsistência entre objetos multi-domínio (explicarei isso em breve, por vídeo).

A nível de curiosidade e para complementar o artigo. Caso você não queira manter todos os DCs como Catalogo Global, a recomendação é que o GC seja mantido em um site que tenha mais de 100 usuários existam e/ou onde exista grande fluxo de Roaming Profile.

Bom, muita informação para um artigo só, right? Paramos por aqui. Em breve veremos como manusear as FSMO.

Se puder me dar uma força…de um link na minha pagina do facebook, é coisa rápida. E para que você não perca a continuação desse post, se cadastre aqui no site e receba por e-mail os novos artigos.

Grande abraço

Referencias:

https://support.microsoft.com/en-us/kb/223346

http://www.mahditehrani.ir/index.php/2013-03-10-15-00-21/directoryservice/95-best-practices-for-fsmo-roles-placement

Active Directory, 5th Edition – O’Reilly

Faça o primeiro comentário a "FSMO – O que, para que, onde?"

Comentar

O seu endereço de email não será publicado.


*


Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.