What are FSMO Roles in Active Directory?

Active Directory permite que criações de objectos, actualizações e supressões sejam cometidas a qualquer controlador de domínio autoritário. Isto é possível porque cada controlador de domínio de diretório ativo mantém uma cópia escrita da partição de seu próprio domínio – exceto, claro, controladores de domínio somente para leitura. Depois que uma mudança foi comprometida, ela é replicada automaticamente para outros controladores de domínio através de um processo chamado replicação multi-mestre., Este comportamento permite que a maioria das operações sejam processadas de forma confiável por vários controladores de domínio e fornece altos níveis de redundância, disponibilidade e acessibilidade dentro do Diretório Ativo.

uma exceção a este comportamento aplica-se a certas operações de diretório ativo que são sensíveis o suficiente para que sua execução seja restrita a um controlador de domínio específico. O Active Directory aborda estas situações através de um conjunto especial de funções., A Microsoft começou a se referir a esses papéis como os papéis de Operation Masters, mas eles são mais comumente referidos pelo seu nome original, os papéis de operador único flexível (“FSMO”).quais são os papéis da FSMO?

Active Directory tem cinco papéis FSMO (geralmente pronunciado “FIZZ-mo”), dois dos quais são de nível de empresa (ou seja, um por floresta) e três dos quais são de domínio (ou seja, um por domínio). Os papéis de nível de empresa FSMO são chamados de Mestre Schema e mestre de nomenclatura de domínio., Os papéis FSMO de nível de domínio são chamados de emulador de controlador de domínio primário, o identificador relativo Mestre, e o mestre de infra-estrutura.

os seguintes comandos podem ser usados para identificar os donos de papéis da FSMO. Comando Prompt:

netdom query fsmo /domain:<DomainName>

PowerShell:

numa nova floresta de Directórios activos, todos os cinco papéis FSMO são atribuídos ao controlador de domínio inicial no recém-criado rootdomain forest., quando um novo domínio é adicionado a uma floresta existente, apenas os três papéis de nível de domínio FSMO são atribuídos ao controlador de domínio inicial no domínio recém-criado; os dois papéis de nível de empresa FSMO já existem no domínio de raiz florestal. os papéis do FSMO muitas vezes permanecem atribuídos aos seus controladores de domínio originais, mas podem ser transferidos se necessário.,

As 5 Funções FSMO do Active Directory

Mestre de Esquema

O Mestre de Esquema é uma empresa de nível da função FSMO; não isonly um Mestre de Esquema em uma floresta do Active Directory.

O Dono do papel principal do esquema é o único controle de domínio em uma floresta de diretórios ativos que contém uma partição esquema escrita. Como resultado, o controlador de domínio que possui a função Schema Master FSMO deve estar disponível para modificar o esquema de sua floresta., Isto inclui actividades como o aumento do nível funcional da floresta e a actualização do sistema operativo do controlador adomain para uma versão mais elevada do que a existente actualmente na floresta,uma das quais introduzirá actualizações ao esquema de directório activo.

O papel principal do esquema tem pouca sobrecarga e a sua perda pode ser esperada para resultar em pouco ou nenhum impacto operacional imediato; a menos que sejam necessárias alterações do sistema, ele pode permanecer offline indefinidamente sem efeito indesejável., O papel mestre do esquema só deve ser apreendido quando o controlador domain que possui o papel não pode ser trazido de volta on-line. Voltar a ligar o dono do papel mestre do schema depois de o papel ter sido apreendido pode produzir sérios problemas de inconsistência de dados e integridade na floresta.

Domain Naming Master

The Domain Naming Master is an enterprise-level role; there is only one Domain Naming Master in an Active Directory forest.,

O dono da função Master Naming DomainController é o único domaincontroller em uma floresta de diretórios ativos que é capaz de adicionar novos domínios e partições de aplicação para a floresta. A sua disponibilidade é também necessária para remover os domínios existentes e as partições de aplicação da floresta.

a função mestre de nomenclatura de domínio tem pouca sobrecarga e pode-se esperar que a perda resulte em pouco ou nenhum impacto operacional, como aadição e remoção de domínios e partições são realizadas com pouca frequência e raramente são operações críticas ao tempo., Consequentemente, o Mestre de Nomeação de Domínio roleshould apenas precisa ser apreendido quando o controlador de domínio que detém a rolecannot ser trazido de volta on-line.

RID Master

the Relative Identifier Master (“RID Master”) is adomain-level role; there is one RID Master in each domain in an ActiveDirectory forest.

O dono do papel principal do RID é responsável pela atribuição de grupos de identificador relativo activo e de vigília (“RID”) aos controladores de domínio no seu domínio principal. As piscinas RID consistem numa gama única e contígua de cordões., Estas faixas são usadas durante a criação de objetos para gerar o identificador de segurança único do novo objeto (“SID”). O mestre RID também é responsável por mover objetos de um domínio para outro dentro de uma floresta.

em domínios maduros, a sobrecarga gerada pelo RID Masteris é negligenciável. Como o PDC em um domínio normalmente recebe a maior atenção dos administradores, deixando este papel atribuído ao PDC de domínio ajuda a garantir a disponibilidade eleável., É igualmente importante assegurar que os controladores domaincontroladores existentes e os controladores de domínio recentemente promovidos, especialmente os promovidos em locais remotos ou de paragem, tenham conectividade de rede ao mestre RID e sejam capazes de obter piscinas RID activas e de vigília.

a perda do mestre RID de um domínio irá eventualmente levar a uma incapacidade de criar novos objetos dentro do domínio como os restantes pools RID dos domaincontrollers estão esgotados., Embora a indisponibilidade do controlador de domínio que detém o papel principal do RID possa parecer como se causasse uma perturbação Operacional significativa, o volume relativamente baixo de eventos de criação de objectos num ambiente maduro tende a resultar no facto de o impacto deste evento ser tolerável durante um período considerável de tempo. Trazer um RIDMaster de volta on-line depois de ter tomado o seu papel pode potencialmente introduzir Ridsuplicados no domínio. Consequentemente, este papel só deve ser apreendido a partir de um controlador de domínio se o controlador de domínio que detém o papel não puder serreduzido online.,

mestre da infra-estrutura

o mestre da infra-estrutura é um papel a nível do domínio; existe um mestre da infra-estrutura em cada domínio numa floresta de Directórios activos.

O Dono da função principal da infra-estrutura é o controlador de dominó em cada domínio que é responsável pela gestão de objetos fantasmas.Objetos Phantom são usados para rastrear e gerenciar referências persistentes a deletedobjects e atributos do valor de link que se referem a objetos em outro domainwithin the forest (por exemplo, um grupo de segurança do domínio local com um usuário membro de outro domínio).,

O Mestre de Infraestrutura pode ser colocado em qualquer domaincontroller em um domínio, a menos que a floresta de diretórios ativos inclua domaincontrollers que não são hosts de catálogos globais. Nesse caso, o InfrastructureMaster deve ser colocado em um controlador de domínio que não é um hospedeiro de catálogo global.

a perda do controlador de domínio que possui o papel de infra-estrutura é apenas provável que seja perceptível para os administradores e pode ser tolerado por um longo período., Embora a sua ausência resulte em que os nomes de links de objetos do domínio-cruz não resolvam corretamente, a capacidade de utilizar membros de grupos do domínio-cruz não será afetada.

PDC emulador

o emulador de domínio primário (“PDC emulador”ou” PDCE”) é um papel de domínio; há um PDCE em cada domínio em uma floresta ActiveDirectory.

O dono da função PDCE é responsável por várias operações cruciais:

  • retrocompatibilidade. O PDCE imita o comportamento único-mestre de um controlador de domínio primário do Windows NT., Para resolver problemas de compatibilidade retroativa, o PDCE registra-se como o controlador de domínio alvo para aplicações legadas que executam operações com escrita e certas ferramentas administrativas que desconhecem o comportamento multi-mestre dos controladores de domínio ativos. sincronização do tempo. Cada PDCE serve como a fonte de tempo mestre dentro de seu domínio. O PDCE no domínio forest root serve como o servidor preferido do Network Time Protocol (“NTP”) na floresta., O PDCE em todos os outros domínios dentro da floresta sincroniza o seu relógio com o forest root PDCE, os controladores de domínio não-PDCE sincronizam os seus relógios com o PDCE do seu domínio, e hosts unidas por domínio sincronizam os seus relógios com o seu controlador de domínio preferido.
    Nota: O Protocolo de autenticação de Kerberos inclui informação timestamp e é um exemplo da importância da sincronização de Tempo dentro de uma floresta de diretórios ativos., A autenticação do Kerberos falhará se a diferença entre o relógio de um host e o relógio do controlador de domínio de autenticação exceder 5 minutos (esta tolerância é configurável, mas a recomendação da Microsoft de melhores práticas é manter o valor padrão de 5 minutos na tolerância máxima para a configuração de sincronização de clock do computador). Este comportamento destina-se a combater certas atividades maliciosas, como “ataques de replay”.
  • processamento de atualização de senha., Quando as senhas do computador e do usuário são alteradas ou reinicializadas por um controlador de domínio não-PDCE, a atualização comprometida é imediatamente replicada ao PDCE do domínio. Se uma conta tentar autenticar-se contra um controlador de domínio que ainda não recebeu uma mudança de senha recente através da replicação agendada, o pedido é passado para o pdce de domínio. O PDCE irá tentar processar o pedido de autenticação e instruir o controlador de domínio requerente para aceitar ou rejeitar o pedido de autenticação., Este comportamento garante que as senhas podem ser processadas de forma confiável, mesmo que as mudanças recentes não tenham sido totalmente propagadas através da replicação programada. O PDCE também é responsável pelo processamento de bloqueios de conta, como todas as autenticações de senha falhadas são passadas para o PDCE.
  • Group Policy Updates. Todas as atualizações de objeto de Política de grupo (“GPO”) são comprometidas com o domínio PDCE. Isso previne o potencial para conflitos de versionamento que poderiam ocorrer se um GPO fosse modificado em dois controladores de domínio aproximadamente ao mesmo tempo.
  • Sistema de arquivos distribuídos., Por padrão, os servidores de raiz do sistema de arquivos distribuídos (“DFS”) Irão requisitar periodicamente informações atualizadas do espaço de nomes DFS a partir do PDCE. Enquanto este comportamento pode levar ao recurso bottle-necking, permitindo o Dfsutil.o parâmetro de escalabilidade de raiz exe permitirá que servidores de raiz DFS solicitem atualizações do controlador de domínio mais próximo (veja https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) para mais informações).

como consequência das suas responsabilidades, a PDCE deve ser colocada num controlador domain de elevado acesso, bem ligado e de elevado desempenho., Além disso, o emulador PDC do domínio forest root deve ser configurado com uma fonte de tempo externa confiável.

Enquanto a perda do controlador de domínio que detém a PDCEmulator função pode ser esperado para ter um impacto significativo e imediato onoperations, a natureza de suas responsabilidades resulta na apreensão de thePDCE função de ter menos implicações para o domínio que a apreensão de otherroles. A apreensão do papel PDCE é considerada uma das melhores práticas recomendadas no caso de um controlador de domínio que possui o papel PDCE ficar indisponível como resultado de uma retirada não programada.,como mencionado anteriormente neste post, os papéis de FSMO são necessários para realizar certas operações importantes e não são redundantes. Como resultado, pode ser desejável ou necessário mover papéis de FSMO de um controlador principal para outro.

Um método de transferência de papéis FSMO é rebaixar o controlador de domínio que possui os papéis. Quando um controlador de domínio é despromovido, ele tentará transferir quaisquer papéis FSMO que possui para controladores de domínio adequados no mesmo site., Os papéis de nível de domínio só podem ser transferidos para controladores domaincontroladores no mesmo domínio, mas os papéis de nível de empresa podem ser transferidos para qualquer controlador de domínio adequado na floresta. Embora existam regras que abrangem a forma como o controlador de domínio a ser despromovido irá decidir onde transferir os seus papéis FSMO, não há forma de controlar directamente onde os seus papéis FSMO serão transferidos.

o método ideal de mover um papel FSMO é transferi-los ativamente usando o Console de gerenciamento, PowerShell, ou ntdsutil.exe., Durante a transferência amanual, o controlador de domínio de origem irá sincronizar com o controlador de domínio de destino antes de transferir o papel.

a conta que desempenha um papel principal de esquema deve ser um membro do Schema Admins e do Grupo Enterprise Admins. A adesão ao grupo Enterprise Admins é necessária para transferir a função mestre de nomenclatura de domínio. O PDCE, o RID Master e o Infrastructure Master roles podem ser transferidos por uma conta com membros no Domínio Admins group do domínio onde os papéis estão sendo transferidos.,

Consola de gestão

Transferir funções FSMO usando a consola de gestão pode exigir o uso de até três módulos de snap-in diferentes.

transferindo a função principal do Schema

a função principal do Schema pode ser transferida usando o snap-in do ActiveDirectory Schema Management.

Se o não estiver entre os snap-ins da consola de gestão disponível, terá de ser registado. Para registrar a consola de Gerenciamento do esquema de diretório ativo, abra um prompt de comando elevado, digite regsvr32 schmmmgmt.,dll, e prima Enter:

uma Vez que a DLL foi registrado, execute a Consola de Gestão como um usuário que é um membro do grupo Administradores de Esquema e adicionar o Esquema do Active Directory snap-in da Consola de Gestão:

clique com o botão Direito clique em Esquema do Active Directory nó e selecione “Alterar o Active Directory do Controlador de Domínio”.,div id=”51e1a53e4d”>

clique com o botão Direito clique em Esquema do Active Directory nó novamente e selecione “Mestre de Operações”:

Clique no botão “Alterar” para começar a transferência da função de Mestre de Esquema para o controlador de domínio de destino:

Transferir a Função de Mestre de atribuição de nomes de Domínio

O Mestre de Nomeação de Domínio de função podem ser transferidos usando theActive Directory Domínios e relações de confiança Consola de Gestão snap-in.,

Execute a Consola de Gestão como um usuário que é um membro do grupo Admins da Empresa e adicionar os Domínios do Active Directory e relações de confiança do snap-in da Consola de Gestão:

clique com o botão Direito do Active Directory Domínios e relações de confiança do nó e selecione “Alterar o Active Directory do Controlador de Domínio”., nó novamente e selecione “Mestre de Operações”:

Clique no botão “Alterar” para começar a transferência do Domínio da função Mestre de Nomeação para o controlador de domínio de destino:

Transferir o Mestre de RID, Mestre de Infra-estrutura, ou o Emulador de PDC Funções

O Mestre de RID, Mestre de Infra-estrutura, e PDC Emulatorroles podem ser transferidos usando o Active Directory Users e ComputersManagement snap-in do Console.,

Execute a Consola de Gestão como um usuário que é um membro do grupo Admins do Domínio no domínio onde as funções FSMO estão sendo transferidos e adicione o Active Directory Usuários e Computadores snap-in da Consola de Gestão:

clique com o botão Direito do mouse o nó de Domínio ou o Active Directory Usuários e Computadores do nó e selecione “Alterar o Active Directory do Controlador de Domínio”.,v id=”0c7ce01ed8″>

clique com o botão Direito clique em Active Directory Usuários e Computadores do nó e clique em “Mestres de Operações”:

Selecione a guia apropriada e clique no botão “Alterar” para começar a transferência da função FSMO para o controlador de domínio de destino:

PowerShell

A Mover-ADDirectoryServerOperationMasterrole PowerShell cmdlet pode ser usado para transferir as funções FSMO., As funções a serem transferidas são especificadas usando o parâmetro-OperationMasterRole:

Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster

ntdsutil.exe

ndtsutil.o exe é uma ferramenta leve de linha de comando que pode desempenhar uma série de funções úteis, incluindo a transferência de funções FSMO. os papéis do FSMO podem ser transferidos usando os seguintes passos:

  1. abra um prompt de comando elevado.
  2. Type ntdsutil and press Enter. Uma nova janela vai abrir.
  3. na prompt ntdsutil, digite papéis e pressione Enter.
  4. No prompt de manutenção fsmo, digite conexões e pressione Enter.,
  5. Na linha de comandos server connections, escreva ligar ao servidor <CC> (substituindo <CC> com o nome de host do controlador de domínio que as funções FSMO estão sendo transferidos para o) e prima Enter. Isto irá ligar o ntdsutil ao controlador de domínio alvo.
  6. escreva sair e carregue em Enter.
  7. No prompt de manutenção da fsmo, introduza os comandos apropriados para cada função da FSMO a ser transferida:
    • para transferir o papel mestre da FSMO, digite o mestre do esquema de transferência e pressione Enter.,
    • para transferir a função Master FSMO nome do domínio, digite transfer naming master e pressione Enter. para transferir a função RID Master FSMO, digite a transferência rid master e pressione Enter. para transferir a função de mestre de infra-estrutura FSMO, digite o mestre de infra-estrutura de transferência e pressione Enter.
    • para transferir a função do emulador PDC FSMO, transferir o pdc e carregar em Enter.
  8. para sair da linha de manutenção fsmo, escreva sair e carregue em Enter.
  9. para sair da linha de comandos ntdsutil, escreva sair e carregue em Enter.,

execução de Funções FSMO

Transferir funções FSMO requer que a origem domaincontroller e controladores de domínio de destino de ser online e funcional. Se um controlador da adomain que possui um ou mais papéis da FSMO for perdido ou ficar indisponível por um período significativo, seus papéis da FSMO podem ser “apreendidos” a outro controlador da omain. na maioria dos casos, os papéis da FSMO só devem ser apreendidos se o proprietário do papel da theoriginal FSMO não puder ser trazido de volta para o ambiente., A reintrodução de um proprietário de papel FSMO após a apreensão dos seus papéis pode causar danos significativos ao domínio ou à floresta. Isto é especialmente verdadeiro para os papéis de Mestre SchemaMaster e RID.

The Move-Addidirectoryserveroperationmasterrol cmdlet allows the use of a-Force parameter that can be used to seize FSMO roles. Usando o parâmetro-Force irá direcionar o cmdlet para tentar uma transferência de papel FSMO e então para aproveitar os papéis se a tentativa de transferência falhar.

As seguintes instruções podem ser usadas para aproveitar as funções da FSMO com o ntdsutil.,utilitário exe:

  1. Abra uma linha de comando elevada.
  2. Type ntdsutil and press Enter. Uma nova janela vai abrir.
  3. na prompt ntdsutil, digite papéis e pressione Enter.
  4. No prompt de manutenção fsmo, digite conexões e pressione Enter.
  5. Na linha de comandos server connections, escreva ligar ao servidor <CC> (substituindo <CC> com o nome de host do controlador de domínio que as funções FSMO estão sendo executadas a), e prima Enter., Isto irá ligar o ntdsutil ao controlador de domínio alvo.
  6. escreva sair e carregue em Enter.
  7. No prompt de manutenção fsmo, digite os comandos apropriados para cada papel FSMO sendo transferido:
    • para transferir o papel Mestre FSMO Schema, digite seize schema master e pressione Enter.
    • to transfer the Domain Naming Master FSMO role, type seize naming master and press Enter. para transferir o papel do RID Master FSMO, digite “seize rid master” e “press Enter”. para transferir a função de mestre de infra-estrutura FSMO, digite “seize infrastructure master” e “press Enter”.,
    • para transferir o papel do emulador PDC FSMO, digite apreender pdc e pressione Enter.
  8. para sair da linha de manutenção fsmo, escreva sair e carregue em Enter.
  9. para sair da linha de comandos ntdsutil, escreva sair e carregue em Enter.

Resumo

Como cada função existe somente uma vez em uma floresta ou domínio, é importante compreender não apenas a localização de cada proprietário de função FSMO e as responsabilidades de cada função FSMO, mas também o impacto operacional introduzido pela indisponibilidade de uma função FSMO proprietário controlador de domínio., Tais informações são valiosas em situações em que um controlador de domínio não está disponível, seja devido a eventos não programados ou durante a programação e realização de atualizações e manutenção planejadas.

Share

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *