Neste post vou abordar um assunto de extrema importância para um domínio de Active Directory, as FSMOS (Flexible Single-Master Operation). Isto muitas vezes pode nos causar problemas sérios ou assim que aparecer algum o mesmo não seja resolvido em tempo hábil para deixar nosso ambiente em produção novamente. Muitas vezes problemas como (Não conseguir adicionar usuários no domínio, não conseguir adicionar estações no domínio entre outros.) estão relacionados as nossas FSMO.
Vou descrever em um breve resumo do que são e para que servem as "Operations Masters" dentro de um domínio Microsoft.
Existem dois tipos de FSMO , as de domínio e as de floresta.
Floresta (Uma floresta é um conjunto de domínios que automaticamente têm um relacionamento de confiança e compartilham um único Catálogo Global. Quando os domínios têm uma relação de confiança, as contas no domínio confiável podem obter acesso a recursos no domínio confiante. O grupo Administradores de Empresa no domínio Raiz da Floresta pode gerenciar a floresta inteira.):
Schema Master: O Schema é o coração do Active Directory. Ele é composto de objetos e atributos, que modelam o Active Directory. É através do Schema que dizemos, por exemplo, que o objeto do tipo "USUÁRIO" terá os atributos "NOME", "ENDEREÇO", "TELEFONE", etc. Como o esquema pode ser customizado e deve ser o mesmo em toda a floresta Windows, a regra "Schema Master" se encarrega de evitar conflitos entre os DCs.
Domain Naming Master: Se você adiciona um novo domínio em uma floresta (por exemplo, se você adiciona um domínio filho), o nome deste domínio deve ser único na floresta. É esta regra responsável por assegurar isto e evitar conflitos entre outros domínios.
Domínio (É um conjunto de objetos que delimitam de maneira administrativa o acesso aos objetos, delegando gerenciamento e funções para uma localidade ou setor.):
PDC Emulator: Como o nome já diz, uma das funções desta regra é "emular" um PDC NT 4.0 para manter a compatibilidade com servidores legados (por exemplo, BDCs NT 4.0) e clientes mais antigos. Mesmo que você migre todo seu ambiente para Windows 2000, 2003, 2008 ou 2012 esta regra ainda é importante, pois é responsável por tratar alterações de contas de usuários, "lockouts" de contas, relações de confianças com outros domínios e pelo sincronismo do relógio no domínio.
RID Master: Qualquer DC pode criar novos objetos (usuários, grupos, contas de computadores). Cada objeto deve possuir um identificador único, conhecido como SID. O SID do objeto é construído usando o SID do domínio, mais um ID relativo (RID). Porém, após criar 512 objetos, um DC precisa contatar o RID Master para conseguir mais 512 RIDs (atualmente, um DC contata o RID Master quando ele possui menos de 100 RIDs disponíveis). Isto evita que dois objetos diferentes tenham o mesmo RID em todo o domínio.
Infrastructure Master: Sua função é se assegurar que o "Display Name" de usuários pertencentes a um grupo sejam atualizados caso este atributo seja alterado. Ele é mais importante em ambientes que possuem vários domínios, pois vai assegurar que todos os grupos que um determinado usuário pertença irá refletir o "Display Name" correto.
Obs.:
Para verificar em quais servidores estão as FSMO de seu domínio faça o seguinte:
Abra um Prompt de Comando (CMD) como privilégios de Administrador e digite o seguinte comando "netdom query fsmo".
Ele irá reportar uma informação conforme nos mostra a tela abaixo:
Por enquanto é isto pessoal, qualquer dúvida ou comentário fico a disposição de vocês.
Grande Abraço.