Mestre de Operaes do Active Directory (pt-BR)

Algumas modificaes que so realizadas na floresta ou no domnio devem ser executadas e verificadas por apenas um controlador de domnio para que os dados sejam ntegros e por questo de segurana. Essas operaes, e os controladores de domnio que possuem essa operao possuem os seguintes nomes, que podem ser nicos na Floresta ou no Domnio: Funes que so nicos para a Floresta:

Nomeao de Domnio; Esquema;

Funes que so nicas para o Domnio:

Identificador Relativo (RID); Infraestrutura; PDC Emulator;

Ou seja, em uma Floresta que possui apenas um domnio existem 5 mestres de operaes. Em uma floresta que existem 2 domnios existem 8 mestres de operaes.

Funes de Mestre de Operaes para toda a Floresta.

A funo de nomeao de Domnio e Esquema deve ser nica na Floresta. Cada funo executada por apenas um controlador de domnio na floresta inteira. Funo de mestre de nomeao de domnios: A funo de nomeao de domnios deve ser utilizada ao adicionar ou remover domnios na floresta. Quando voc adiciona ou remove domnio, o mestre de operaes deve estar acessvel ou a operao ira falhar. Esta funo exige pouca demanda, uma vez que s utilizada na criao de um novo domnio. Funo de Controlador de Esquemas. A funo de domnio que contm a funo de controlador de esquemas responsvel por fazer quaisquer modificaes no esquema da floresta (Lembrando que o esquema nico para a

floresta inteira). Todos os outros DCs contm rplicas somente leitura do esquema. Se voc deseja fazer alguma modificao no esquema recomenda-se fazer isso no controlador que possui essa funo, uma vez que realizada em outro controlador de domnio as modificaes sero enviadas ao mestre de esquemas.

Funo de Mestre de Operaes para todo o domnio.

Cada domnio mantm trs operaes de mestre nico: RID, Infraestrutura e emuator PDC. Cada Funo executada por somente um controlador de domnio no domnio. Funo de mestre RID. O Mestre RID desempenha uma parte integrante na gerao dos identificadores de segurana (SID) para entidades de segurana do domnio (usurios, grupos e computadores que deve ser nico para cada entidade). O mestre RID distribui pools de SID para cada controlador de domnio, com isso cada controlador de domnio no domnio poder criar entidades de segurana e atribuir SID nicos a essa entidade sem consultar o mestre RID (Este mecanismo semelhante ao conceito de alocar um escopo de endereos IP ao um servidor DHCP). Funo mestre de infraestrutura. Em um ambiente com vrios domnios, comum que um objeto referencie outro objeto de outro domnio na Floresta, Exemplo: um grupo de segurana do domnio contoso pode ter como membro um grupo ou usurio do domnio treyserch. O responsvel por verificar a integridade dos objetos referenciados em outros domnios o mestre de infraestrutura. Esse processo ocorre por padro em um perodo de 2 dias.

Funo Emulator PDC.

A funo Emulator PDC executa varios papeis que so cruciais para um domnio:

Emula um DC primrio (PDC) para compatibilidade com verses anteriores: Nos domnios NT 4.0 e no Windows somente o PDC podia fazer a modificao no diretrio, os demais controlares de domnio eram somente leitura. Clientes antigos utilizam podem procurar um PDC no domnio, o controlador de domnio que possui a funo Emulator PDC registra a si mesmo como um PDC para que esses clientes de nvel inferior possam localizar um controlador de domnio gravvel.

Participa das atualizaes de senha especial para tratar o domnio: Quando a senha de um usurio trocada, o controlador de domnio que faz a modificao replica essas informaes imediatamente ao controlador de domnio que possui a funo Emulator PDC, essa replicao assegura que o usurio poder fazer logon utilizando essa nova senha mesmo que todos os controladores de domnio no tenha essa informao ainda, isso possvel pois assim que o controlador de domnio rejeita uma senha de um usurio ele consulta o emulator PDC para ter certeza que esta senha no foi trocada. Gerencia as atualizaes da diretiva de grupo dentro de um domnio: Se um objeto de Diretiva de Grupo (GPO) for modificado em dois DCs aproximadamente ao mesmo tempo, pode haver conflitos entre as duas verses durante a replicao. Para evitar essa situao, o Emulator PDC funciona como ponto focal para as modificaes de grupo. Isso impede divergncias durantes as replicaes. Quando voc abre o GPME ele vinculado ao controlador de domnio que executa a funo de Emulator PDC, isso assegura que as modificaes sero feitas no Emulator PDC por padro. Fornece uma fonte mestra de data/hora para o domnio: Active Directory, Kerberos, FRS e DFRS contam com registros automticos de data e hora, portanto a data e hora devem ser idnticas em todo o domnio. O Emulator PDC no domnio Raiz da floresta , por padro, o mestre de data e hora para a floresta inteira. Ele responsvel por assegura que todos os controladores de domnio da floresta possuram a mesma data e hora de acordo com o fuso horrio configurado.

Boas prticas de posicionamento dos mestres de operao.

Quando voc criar o primeiro domnio na floresta este controlador possuir as cinco funes de mestre de operaes. A medida que voc inclui controladores de domnio voc pode distribuir estas funes para equilibrar a carga entre os controladores de domnio. As praticas recomendadas para o posicionamento das funes de mestre de operaes so:

Posicionar conjuntamente o controlador de esquemas e o mestre de nomeao de domnio: As funes de controlador de esquema e mestre de nomeao de domnio devem ser posicionadas em um nico controlador de domnio que seja um Global Catalog. Estas funes raramente so utilizadas e devem ser mantidas em um local seguro. O mestre de nomeao de domnio deve ser um GC para assegurar que no um objeto na floresta com o mesmo nome de domnio que ira ser criado, ele consulta o GC para fazer esta verificao. Posicionar conjuntamente o Emulator PDC e o RID: Posicione o RID e o Emulator PDC em um nico controlador de domnio. Se devido a carga, as funes precisarem ser separadas certifique-se que os controladores de domins que possuem essas funes esto fisicamente bem conectados.

 Posicione o Mestre de infraestrutura em DC que no seja um Global Catalog: O mestre de

infraestrutura no seja um GC mais deve ser fisicamente bem conectado ao GC. Temos duas excees para esta regra. Primeiro, o mestre de infraestrutura no utilizado em ambientes com Florestas com nico Domnio, pois no h necessidade de fazer referencias para outro domnio. A segunda exceo, quando todos os controladores de domnio de todos os domnios em uma floresta so Global Catalog. Neste caso especifico, tambm, no h necessidade da utilizao do mestre de infraestrutura.

Referncia: