Infra - Windows Server

FSMO – Mestres de Operações

O Artigo aborda as regras FSMO de maneira completa e definitiva. Quais são, para que servem, quem está lhes hospedando, como transferi-las e os problemas relacionados a estas regras, assim como as melhores praticas de utilização, são apresentadas de maneiras objetiva e clara.

por Josenildo Feijó



Este artigo aplica-se aos seguintes produtos e tecnologias:

  • Windows Server 2003
  • Active Directory

Introdução

Com o aparecimento do Active Directory, no ambiente de infra-estrutura da Microsoft, muitos serviços e novos conceitos foram implementados, servindo de base para as novas funcionalidades propostas pelo, então novo serviço de diretórios da Microsoft, funciona-se com êxito.

Um dos novos conceitos apresentados foi o dos FSMO - Flexible Single-Master Operation, que se trata de regras aplicadas a certos Controladores de domínio de vital importância para o funcionamento da rede. No total de cinco regras, são dividas e atuam em dois níveis: Floresta e Domínio


Detalhando as FSMO

Vale salientar, que apenas os Controladores de Domínio – DC, podem hospedar alguma das regras, pois somente estes possuem uma cópia do tipo escrita do Active Directory. São eles divididos da seguinte forma:

· Floresta

Correspondem as regras que afetam a Floresta como todo e podem estar em qualquer controlador de Domínio da Floresta, são elas:

o Schema Máster

É o centro do Active Directory, nele está definido objetos e atributos que podem existir no active directory. Por exemplo, é nele que está definido que o objeto tipo “Computador” , tem atributos como “descrição”, “tipo”, entre outros. O Schema tem que ser único em toda a floresta, evitando assim conflitos entre controladores de domínio. Existe um snap-in, Active Directory Schema, disponibilizado pela Microsoft para manipulá-lo.

o Domain Naming Máster

Responsável em controlar os nomes dos domínios na floresta, ou seja, não permitir que possa existir dos domínios na floresta com nomes iguais. Ao criar-mos um domínio filho, o controlador de domínio que possui a regra domain Naming Máster é consultado para checar se este nome não irá gerar algum conflito com outro já existente.

· Domínio

Correspondem as regras que afetam apenas o Domínio e podem estar em qualquer controlador de Domínio, dentro do domínio em questão, são elas :

o PDC Emulator

Está regra faz referência à estrutura existente na plataforma NT, onde ao invés de termos Controladores de Domínio – DC, tínhamos PDC – controlador de domínio Primário e BDC – Controlador de domínio Secundário, onde apenas nos PDC, poderiam ser realizadas alterações. O BDC existia como uma forma de redundância, na estrutura. Pois bem, é necessário portanto numa ambiente 2000/2003, onde ainda existam servidores utilizando NT 4.0, que seja emulada a função, para esses servidores, de um PDC na rede. Além disso, está regra é importante por ser responsável por controlar bloqueios de contas, sincronismo do relógio do domínio e relação de confiança com outros domínios.

o RID Máster

Cada objeto (usuários, grupos, contas de computador), tem que possuir um identificador único, chamado de SID, então o RID Máster tem a função de controlar a distribuição de SID, para os Controladores de Domínios, que os utilizarão ao serem criados os objetos.

o Infrastructure Máster

Imagine um usuário que é membro de vários grupos, ao alterarmos o atributo referente ao Nome deste usuário, isto refletira em todos os grupos aos quais ele pertence, e adivinhem que é o responsável por está tarefa, isso mesmo o Infrastructure Master . E a tarefa se torna mais importante ainda quando temos um ambiente de múltiplos domínios.

Como saber quem está abrigando os FSMO

Podemos verificar quais são os Controladores de Domínio, que detém as regras de Operações Mestres. Vejam duas maneiras:

· NetDom

Depois de instalar o "Support Tools" a partir do diretório \Support\Tools do CD de instalação do Windows 2000 / 2003 o utilitário Netdom ficará disponível. Digite o comando "netdom query fsmo" no prompt de comando:



Figura 1 – Resultado do comando netdom, mostrando os proprietários das FSMO

· ReplMon

Outra ferramenta do Support Tools, ReplMon, permiti-nos também visualizar onde estão hospedadas as regras FSMO:

1. Execute o replmon, do executar do menu inciar;

2. Na console do relpmon, clique com o botão direito em Monitored Serverse em seguida em Add monitored Server;

3. Clique em Search the directory of the server to add e informe o domínio;

4. Encontre o Controlador de Domínio entre os sites;

5. Expanda sites, clique com o botão direito no DC e escolha Propriedades;

6. Vá a Guia FSMO Roles e verifique as Regras e seus proprietários.



Figura 2 – Proprietários das FSMO, mostrados pelo utilitário ReplMon

Como transferir as regras FSMO

Ao instalar o primeiro Controlador de Domínio – DC, da floresta (forest root domain), este recebe todas as cinco regras FSMO (três relativas ao domínio e 2 relativas a Floresta). Assim como, cada novo controlador de domínio de um domínio filho ou de uma nova arvore, hospedará as três regras FSMO referentes a Domínios.

A transferência das regras FSMO, se dará quando surge uma necessidade de hospedarmos as regras FSMO em outros controladores de domínio, mas o controlador de domínio no qual as regras estão hospedadas atualmente está em operação normal.

A transferência para outros Controladores de domínio, poderá ser realizada das seguintes formas:

· Ferramentas Administrativas

Para as Regras a nível de Domínio a ferramenta utilizada é a Usuários e Computadores do Active Directory (dsa.msc)

1. Execute dsa.msc, na caixa executar, para abrir o Usuários e Computadores do Active Directory;

2. Ao abrir o Usuários e Computadores do Active Directory, verifique se está conectado no Controlador de Domínio que irá receber as FSMO;

3. Clique então, com o botão direito sobre o domínio e escolha a opção Operations Masters;

4. Na janela que se abre, poderá então alterar onde residem as regras RID, PDC e Infrastructure Masters.


Figura 3 – Visualização dos proprietários das FSMO

Para transferir as Regras a nível de Floresta precisaremos utilizar a ferramenta administrativa Active Directory Domain and Trusts para a regra Domain Naming Master e o snap-in Active directory Schema para a regra Schema Máster.

1. Abra o Active Directory Domain and Trusts;

2. Com o botão direito clique em Active Directory Domain and Trusts e escolha a opção Operations Máster;

3. A janela Change Operations Máster, será mostrada, clique então no botão Change para executar a transferência da regra para o Controlador de Domínio indicado.


Figura 4 – Alterando o proprietário da FSMO Domain naming

Para transferir a regra Schema Máster, iremos utilizar o snap-in Active directory Schema, que não vem registrada por padrão, sendo necessário o registro da “dll” Schmmgmt, para que a ferramenta fique disponível.

1. No executar do menu iniciar, digite regsvr32 schmmgmt.dll

2. Através da caixa executar, chame o utilitário mmc

3. Na console do mmc, acesse File e depois Add/Remove Snap-in

4. Depois clique em Add e procure pela Active Directory Schema

5. Quando abrir a console da ferramenta, clique com o botão direito em cima Active Directory Schema e escolha a opção Change Domain Controller, para direcionar para o Controlador de Domínio que irá hospedar a regra Schame Máster;

6. Após isso clicar novamente com o botão direito em Active Directory Schema (Nome do Servidor), e clicar em Operations Máster.

7. Nova janela será apresentada, mostrando o controlador de domínio que possui atualmente a função de Schema Máster e o controlador de Domínio para onde a Função Schema Máster será transferida. Tecle então no botão Change para realizar a transferência.


Figura 5 – Alterando o proprietário da FSMO schema master

· Utilitário Ntdsutil


É possível realizar as transferências das regras FSMO, também através do utilitário Ntdsultil.

1. Acesse o utilitário Ntdsutil, digitando Ntdsultil na caixa executar;

2. Ao abrir a console do Ntdsulti , digite roles e tecle Enter;

3. Depois digite connections, e precione Enter;

4. Em seguida digite connect to server servername (Servername é o nome do Controlador de Domínio para onde as regras FSMO serão transferidas);

5. Digite então quit, para voltar ao nível anterior;

6. No Prompt fsmo maintenance, é possível executar a transferência de qualquer uma das cinco regras FSMO, utilizando-se as seguintes syntax:

- transfer domain naming máster

- transfer infrastructure máster

- transfer PDC

- transfer RID master

- transfer schema master


Figura 6 – Usando o Utilitário ntdsutil para transferir as FSMO

Tomando o controle ( Seize ) das FSMO

Numa situação onde o Controlador de Domínio que hospedava uma ou todas as regras FSMO está off-line ou foi destruído, será necessário utilizar o comando SEIZE para atribuir as regras para um novo Controlador de Domínio.

1. Acesse o utilitário Ntdsutil, digitando Ntdsultil na caixa executar;

2. Ao abrir a console do Ntdsulti , digite roles e tecle Enter;

3. Depois digite connections, e precione Enter;

4. Em seguida digite connect to server servername (Servername é o nome do Controlador de Domínio onde as regras FSMO serão hospedadas);

5. Digite então quit, para voltar ao nível anterior;

6. No Prompt fsmo maintenance, é possível executar o comando SEIZE para qualquer uma das cinco regras FSMO, utilizando-se as seguintes syntax:

- seize domain naming máster

- seize infrastructure máster

- seize PDC

- seize RID master

- seize schema master

O comando SEIZE desencadeia um processo onde primeiro é tentado realizar a transferência segura da regra. Ao não consegui, pois o Controlador de Domínio dono das regras está off-line, é forçada a captura da regra, que se concluíra mesmo depois de apresentada uma mensagem de erro.

Cuidado ! Não utilize o comando SEIZE para atribuir as regras FSMO a um determinado Controlador de Domínio, caso o Controlador de Domínio onde as regras estejam hospedadas se encontre em operação normal na rede. Pois esse procedimento poderá resultar em uma situação na qual dois Controladores de Domínio funcionariam como o proprietário da regra, o que poderia causar conflitos irreconciliáveis para os dados do sistema.

Problemas Relacionados as regras FSMO

Os efeitos de falhas na operação das regras FSMO, podem gerar problemas em diversas atividades dentro da infra-estrutura de rede. Veja algumas ocorrências que podem ter sua causa originada de falhas na operação das regras FSMO:

· Não é possível mudar senhas

Falha: PDC Emulator

O PDC Emulator é a regra FSMO envolvida no processo de alteração de senhas

· Usuários não conseguem fazer Logon

Falha: PDC Emulator

Falha na autenticação Kerberos, em função em função de falta de sincronização do relógio do sistema, atividade em que o PDC Emulator está envolvido

· Não é possível criar novos usuários ou grupos

Falha: RID Master

É preciso a precisa do RID Máster para distribuir novos pools de SID

· Problemas com membros de Grupos Universais

Falha: Infrastructure Master

O Infrastructure Máster é responsável por atualizar o “Display name” dos membros dos Grupos

· Não é possível adicionar ou remover um domínio

Falha: Domain Naming Master

A regra Domain Naming Máster é necessário para se completar este tarefa

· Não é possível elevar o nível funcional de uma floresta

Falha: Schema Master

A regra Schema Máster é necessária para se completar este tarefa

Melhores Práticas

Pelo grau de importância das regras FSMO dentro da infra-estrutura de rede, é conveniente adotar algumas práticas que visam melhorar o desempenho e dar mais estabilidade, levando em conta a complexidade do ambiente:

1. Periodicamente verifique se todas as FSMO estão funcionando corretamente e disponíveis;

2. Infrastructure Máster não deve estar em um Controlador de Domínio que também é Global Catalog;

3. Schema Máster e Domain Naming Máster podem estar no mesmo Controlador de Domínio, que deve ser também um Global Catalog;

4. PDC Emulator e RID Máster devem estar no mesmo Controlador de Domínio, pois o PDC Emulator é um grande consumidor de RID´s.

Conclusão

Temidas por uns, desconhecidas por outros, manter e dar suporte as regras FSMO é um verdadeiro desafio para os administradores de rede, em geral. Vital para o funcionamento correto do ambiente de rede, saber exatamente, quais são, para que servem, como mante-las, em algum momento, pode ser uma questão de sobrevivência para os profissionais de infra-estrutura.

Josenildo Feijó

Josenildo Feijó - Tornou-se Microsoft Certified Profissional, em 1999 ao ser aprovado no exame do Microsoft Windows NT Workstation. Desde então foram 10 aprovações, o que lhe valeu o titulo de MCSE. A partir de 2004, passou a compor a seleta equipe de Instrutores Oficiais da Microsoft, ao se tornar MCT. Participou do Treinamento Oficial da Microsoft , para parceiros, de Introdução, no Brasil do Service Pack 2 do Microsoft Windows XP Profissional. Com especialização em Infra-estrutura, vem atuando na área, em empresas de grande porte, como São Paulo Alpargatas e Grupo Industrial João Santos, um dos maiores grupos industriais do nordeste. Autor do livro Guia para certificação MCP, MCSA, MCSE. Publicado em Abril de 2007 pela editora Brasport. Está atualmente gerenciando a área de treinamentos e certificações da Inove Informática, em Recife.