AULA 6 Movendo Operaes Mestres

O que so operaes de mestre?

O AD DS (Servios de Domnio Active Directory) oferece suporte replicao de
vrios mestres de dados de diretrio, o que significa que qualquer controlador de
domnio pode aceitar alteraes de diretrio e replic-las a todos os outros controladores
de domnio. No entanto, certas alteraes, como as modificaes de esquema, no
podem ser executadas com vrios mestres. Por esse motivo, certos controladores de
domnio, conhecidos como mestres de operaes, mantm funes responsveis por
aceitar solicitaes para certas alteraes especficas.
Existem trs funes de mestre de operaes (tambm conhecidas como operaes de
mestre nico flexveis, ou FSMO) em cada domnio:

O mestre de operaes emulador de PDC (controlador de domnio primrio)

processa todas as atualizaes de senha.
O mestre de operaes RID (ID relativa) mantm o pool RID global para o
domnio e aloca pools RID locais para todos os controladores de domnio para
garantir que todas as entidades de segurana criadas no domnio tenham um
identificador exclusivo.
O mestre de operaes de infra-estrutura para um determinado domnio mantm
uma lista das entidades de segurana de outros domnios membros dos grupos
desse domnio.

Alm das trs funes de mestre de operaes em nvel de domnio, existem duas
funes de mestre de operaes em cada floresta:

O mestre de operaes de esquema controla as alteraes feitas no esquema.

O mestre de operaes de nomenclatura de domnio adiciona e remove domnios
a outras parties de diretrio (por exemplo, parties de aplicativos DNS) para
a floresta e a partir dela.

Os proprietrios de funo de mestre de operaes so atribudos automaticamente

quando o primeiro controlador de um determinado domnio criado. As duas funes
em nvel de floresta (mestre de esquema e mestre de nomenclatura de domnio) so
atribudas ao primeiro controlador de domnio criado em uma floresta. Alm disso, as
trs funes em nvel de domnio (mestre RID, mestre de infra-estrutura e emulador de
PDC) so atribudas ao primeiro controlador criado em um domnio.
Essas atribuies automticas de funo de mestre de operaes podem causar uma
utilizao muito alta de CPU no primeiro controlador de domnio criado na floresta ou
no domnio. Para impedir isso, atribua (transfira) funes de mestre de operaes a
vrios controladores de domnio de sua floresta ou domnio. Posicione os controladores
de domnio que hospedam funes de mestre de operaes em reas onde a rede
confivel e onde os mestres de operaes possam ser acessados por todos os outros
controladores de domnio da floresta.

Voc tambm deve indicar mestres de operaes de espera (alternativos) para todas as
funes de mestre de operaes. Os mestres de operaes de espera so controladores
de domnio para os quais voc poderia transferir as funes de mestre de operaes em
caso de falha dos proprietrios da funo original. Verifique se os mestres de operaes
de espera so parceiros de replicao diretos dos mestres de operaes reais.
O emulador de PDC processa alteraes de senhas de cliente. Somente um controlador
de domnio age como o emulador de PDC em cada domnio da floresta.
Mesmo se todos os controladores de domnio forem atualizados para o Windows 2000,
Windows Server 2003 e Windows Server 2008, e se o domnio estiver operando no
nvel funcional nativo do Windows 2000, o emulador de PDC receber a replicao
preferencial de alteraes de senha executadas por outros controladores do domnio. Se
uma senha foi alterada recentemente, essa mudana levar certo tempo para ser
replicada a todos os controladores do domnio. Se a autenticao de logon falhar em
outro controlador de domnio devido a um erro de senha, esse controlador de domnio
encaminhar a solicitao de autenticao ao emulador de PDC antes de decidir se deve
aceitar ou rejeitar a tentativa de logon.
O mestre de infra-estrutura atualiza os nomes das entidades de segurana de outros
domnios adicionados a grupos em seu prprio domnio. Por exemplo, se um usurio de
um domnio for membro de um grupo de um segundo domnio e se o nome do usurio
for alterado no primeiro domnio, o segundo no ser notificado de que o nome do
usurio deve ser atualizado na lista de associao do grupo. Como os controladores de
domnio de um domnio no replicam entidades de segurana para controladores de
domnio em outro domnio, o segundo domnio nunca ficar sabendo da alterao na
ausncia do mestre de infra-estrutura.
O mestre de infra-estrutura monitora constantemente as associaes de grupo,
procurando por entidades de segurana de outros domnios. Se encontrar um, verifica
junto ao domnio da entidade de segurana se suas informaes esto atualizadas. Se as
informaes estiverem desatualizadas, o mestre de infra-estrutura executar a
atualizao e replicar as alteraes para outros controladores de seu domnio.
Duas excees se aplicam a essa regra. Primeiro, se todos os controladores de domnio
forem servidores de catlogo global, o controlador de domnio que hospeda a funo de
mestre de infra-estrutura ser desnecessrio, j que os catlogos globais replicam as
informaes atualizadas, a despeito do domnio a qual pertencem. Segundo, se a floresta
s tiver um domnio, o controlador de domnio que hospeda a funo de mestre de infraestrutura ser desnecessrio porque no existiro entidades de segurana de outros
domnios.
No posicione o mestre de infra-estrutura em um controlador de domnio que tambm
seja servidor de catlogo global. Se o mestre de infra-estrutura e o catlogo global
estiverem no mesmo controlador de domnio, o mestre de infra-estrutura no
funcionar. O mestre de infra-estrutura nunca encontrar os dados desatualizados e,
portanto, nunca replicar quaisquer alteraes para os outros controladores do domnio.
Definindo cada FSMO

Inicialmente, vale mencionar que apenas servidores do tipo "Domain Controllers"

(DC) podem ser configurados para hospedar uma das FSMO, j que estes servidores
possuem uma cpia do tipo "Escrita" do Active Directory. As FSMO so divididas em
2 grupos:

Floresta: so regras que afetam toda uma floresta Windows 2000 ou 2003 e
podem ser hospedadas por qualquer DC dentro da floresta.
Domnio: so regras que afetam apenas um domnio Windows 2000 ou 2003, e
podem ser hospedadas por DCs dentro do domnio.

Ao todo, temos cinco FSMO, duas que afetam a floresta como um todo e outras trs que
afetam um domnio, conforme explicao abaixo:

Floresta
o Schema Master: O Schema o corao do Active Directory. Ele
composto de objetos e atributos, que modelam o Active Directory.
atravs do Schema que dizemos, por exemplo, que o objeto do tipo
"USURIO" ter os atributos "NOME", "ENDEREO",
"TELEFONE", etc. Como o esquema pode ser customizado e deve ser
o mesmo em toda a floresta Windows, a regra "Schema Master" se
encarrega de evitar conflitos entre os DCs.
o Domain Naming Master: Se voc adiciona um novo domnio em uma
floresta (por exemplo, se voc adiciona um domnio filho), o nome deste
domnio deve ser nico na floresta. esta regra responsvel por
assegurar isto e evitar conflitos entre outros domnios.
Domnio
o PDC Emulator: Como o nome j diz, uma das funes desta regra
"emular" um PDC NT 4.0 para manter a compatibilidade com servidores
legados (por exemplo, BDCs NT 4.0) e clientes mais antigos. Mesmo
que voc migre todo seu ambiente para Windows 2000 ou 2003, esta
regra ainda importante, pois responsvel por tratar alteraes de
contas de usurios, "lockouts" de contas, relaes de confianas com
outros domnios e pelo sincronismo do relgio no domnio.
o RID Master. Qualquer DC pode criar novos objetos (usurios, grupos,
contas de computadores). Cada objeto deve possuir um identificador
nico, conhecido como SID. O SID do objeto construdo usando o SID
do domnio, mais um ID relativo (RID). Porm, aps criar 512 objetos,
um DC precisa contatar o RID Master para conseguir mais 512 RIDs
(atualmente, um DC contata o RID Master quando ele possui menos de
100 RIDs disponveis). Isto evita que dois objetos diferentes tenham o
mesmo RID em todo o domnio.
o Infrastructure Master. Esta regra muitas vezes conhecida apenas
como "cosmtica", j que sua funo se assegurar que o "Display
Name" de usurios pertencentes a um grupo sejam atualizados caso este
atributo seja alterado. Ele mais importante em ambientes que possuem
vrios domnios, pois vai assegurar que todos os grupos que um
determinado usurio pertena ir refletir o "Display Name" correto.

Assim, se voc possui uma floresta com um nico domnio, voc ter cinco FSMO
(duas das florestas, mais trs do seu nico domnio). J uma floresta com dois domnios,
voc ter oito FSMO (duas da floresta, mais trs por cada domnio).
Existem inmeros mtodos de se verificar quais DCs hospedam as FSMO dentro da
floresta ou domnio. Uma delas simplesmente instalar o "Support Tools" a partir do
diretrio \Support\Tools do CD de instalao do Windows 2000 / 2003 e digitar o
comando "netdom query fsmo" em um prompt de comando:
Problemas com FSMO
Se uma das FSMO falhar, com certeza voc ter problemas em seu ambiente. A tabela
abaixo ajuda a identificar possveis problemas que possam ocorrer:
Sintoma
Usurios no conseguem
fazer logon.
No possvel alterar
senhas.
"Lockout" de contas no
funciona.
No possvel "elevar" o
nvel funcional de um
domnio.
No possvel criar novos
usurios ou grupos.

Possvel regra
envolvida
PDC Emulator
PDC Emulator
PDC Emulator
PDC Emulator

Explicao
O relgio do sistema pode no estar
sincronizado, o que faz a autenticao
Kerberos falhar.
Alteraes de senhas necessitam desta
regra ativa.
Esta operao necessita do PDC
Emulator ativo.
Esta regra precisa estar ativa para o
processamento desta operao.

RID pool precisa ser renovado, e para

isto, necessrio contatar o RID Master.
Esta regra responsvel por atualizar o
Problemas com membros Infrastructure
"Display Name" dos membros de
de grupos universais.
Master
grupos.
No possvel adicionar
Domain Naming Alteraes deste porte necessitam desta
um remover um domnio. Master
regra.
No possvel promover ou Domain Naming Alteraes deste porte necessitam desta
despromover um DC
Master
regra.
No possvel modificar o
Modificaes no Schema devem ser
Schema Master
schema.
controladas por esta regra.
No possvel "elevar" o
Esta regra precisa estar ativa para o
nvel funcional de uma
Schema Master
processamento desta operao.
floresta.
RID Master

Regras para configuraes das FSMO

DCs iro hosped-las. Por padro, quando voc instala o primeiro DC da sua floresta
(que neste caso tambm o domnio raiz ou root), este DC ir hospedar as cinco FSMO.
Quando voc instala o primeiro DC de qualquer outro domnio dentro de sua floresta,
ele ir hospedar as trs FSMO do domnio. Porm, dependendo da complexidade do seu

ambiente, este comportamento padro pode no ser o mais apropriado e voc deve
transferir algumas regras para mquinas diferentes para um melhor desempenho. As
regras a seguir podem ser usadas na definio das FSMO:
1 - PDC Emulator e RID Master devem estar na mesma mquina porque o PDC
Emulator um grande consumidor de RIDs
Dica: Como o PDC Emulator a regra mais utilizada num ambiente Windows, se a
mquina que hospeda estas duas regras est com um alto nvel de utilizao,
necessrio mover estas regras para um outro DC (de preferncia que no seja um Global
Catalog (GC), j que este tambm possui alta utilizao) ou realizar um upgrade de
hardware.
2 - Infrastructure Master no deve estar em um DC que tambm GC (Global
Catalog)
Dica: Certifique-se que o Infrastructure Master e o GC estejam em um mesmo site
fsico e que estes dois DCs sejam configurados como "Replication Partner", usando o
"Active Directory Sites and Services".
Exceo 1: se voc possui apenas um domnio (Single Domain), voc pode ter na
mesma
mquina
o
Infrastructure
Master
e
o
GC
Exceo 2: se todos os DCs em sua floresta so tambm GC, voc pode ter o
Infrastructure Master junto com o GC.
3 - Para um gerenciamento facilitado, Schema Master e Domain Naming Master
podem estar na mesma mquina, que deve ser tambm um Global Catalog (GC).
4 - De tempos em tempos, verifique se todas as FSMO esto disponveis e
funcionando corretamente

Movendo PDC Emulator e RID

Para transferir o domnio mestre de nomeao
1. .Abra Active Directory Domnios e confianas: No menu Iniciar, aponte para
Ferramentas Administrativas e, em seguida, Active Directory Domnios e
confianas. Se o Controle de Conta de Usurio caixa de dilogo, fornea as
credenciais de Administradores de Empresa, se necessrio, e em seguida, clique
em Continuar.
2. .Na rvore do console, clique com o Active Directory Domnios e relaes de
confiana e, em seguida, clique em Alterar controlador de domnio do Active
Directory.
3. .Verifique se o nome de domnio correto est inscrita no Procure neste domnio
os controladores de domnio disponveis neste domnio so listados.
4. .Na coluna Nome, clique no controlador de domnio para o qual deseja transferir
a funo mestre de nomeao de domnio e clique em OK.

5. .No topo da rvore de console, clique com o Active Directory Domnios e

relaes de confiana e, em seguida, clique em Mestre de Operaes.
6. 6.O nome do mestre de nomeao de domnio atual aparece na primeira caixa de
texto. O controlador de domnio para o qual voc deseja transferir a funo
mestre de nomeao de domnio deve aparecer na segunda caixa de texto. Se
este no for o caso, repita os passos 1 a 4.
7. Clique em Alterar. Para confirmar a transferncia de funo, clique em Sim.
Clique em OK novamente para fechar a caixa de mensagem indicando que
ocorreu a transferncia. Clique em Fechar para fechar a caixa de dilogo Master
Operations.
Para transferir um domnio de nvel superior funo de mestre de operaes
1. .Abra Usurios e computadores do Active Directory: No menu Iniciar, aponte
para Ferramentas Administrativas e, em seguida, Active Directory Usurios e
computadores. Se o Controle de Conta de Usurio caixa de dilogo, fornea as
credenciais Domain Admins, se necessrio, e clique em Continuar.
2. .No topo da rvore de console, boto direito do mouse Active Directory
Usurios e computadores, e, em seguida, clique em Alterar controlador de
domnio do Active Directory.
3. .Verifique se o nome de domnio correto est inscrita no Procure neste domnio
os controladores de domnio disponveis neste domnio so listados.
4. .Na coluna Nome, clique no nome do controlador de domnio para o qual deseja
transferir a funo e clique em OK.
5. .No topo da rvore de console, boto direito do mouse Active Directory
Usurios e computadores, clique em All Tasks e clique em Mestre de
Operaes.O nome do actual detentor da funo mestre de operaes aparece na
caixa de mestre de operaes. O nome do controlador de domnio para o qual
deseja transferir a funo aparece na caixa inferior.
6. .Clique na guia para a funo de mestre de operaes que voc deseja transferir:
RID, PDC ou infra-estrutura. Verifique os nomes dos computadores que
aparecem, em seguida, clique em Alterar. Clique em Sim para transferir a funo
e clique em OK.
7. .Repita os passos 5 e 6 para cada papel que voc deseja transferir.

Para instalar o snap-in Esquema do Active Directory

1. Clique em Iniciar, clique com o boto direito do mouse em Prompt de
Comando e clique em Executar como administrador.
Caso a caixa de dilogo Controle de Conta de Usurio aparea, confirme se a
ao exibida a desejada e clique em Continuar.
2. No prompt de comando, digite o seguinte comando e pressione ENTER:
regsvr32 schmmgmt.dll

3. Clique em OK para fechar a caixa de dilogo que confirma se a operao foi

bem-sucedida.
4. Clique em Iniciar e em Executar, digite mmc e clique em OK.
Caso a caixa de dilogo Controle de Conta de Usurio aparea, confirme se a
ao exibida a desejada e clique em Continuar.
5. No menu Arquivo, clique em Adicionar ou Remover Snap-in.
6. Em Snap-ins disponveis, clique em Esquema do Active Directory, em
Adicionar e em OK.
7. Para salvar esse console, clique em Salvar, no menu Arquivo.
8. Na caixa de dilogo Salvar como, siga um destes procedimentos:
o Para colocar o snap-in no menu Ferramentas Administrativas, em
Nome de arquivo, digite um nome para o snap-in e clique em Salvar.
o

Para salvar o snap-in em um local que no seja a pasta Ferramentas

Administrativas, em Salvar em, navegue para onde deseja que snap-in
seja salvo. Em Nome de Arquivo, digite um nome para o snap-in e
clique em Salvar.

Transferir o mestre de esquema

1. Abra o Active Directory Schema snap-in.
2. Na rvore do console, clique com o boto direito em Esquema do Active
Directory e, em seguida, clique em Alterar controlador de domnio do Active
Directory.
3. Na caixa Alterar Directory Server dilogo, em Mudar para, clique em Este
controlador de domnio ou AD LDS.
4. Na lista de controladores de domnio, clique no nome do controlador de domnio
para o qual deseja transferir a funo mestre de esquema e, em seguida, clique
em OK.
5. Na rvore do console, clique com o Active Directory Schema e clique em
Mestre de Operaes. A mudana de esquema caixa Master exibe o nome do
servidor que ocupa atualmente a funo de mestre de esquema. O controlador de
domnio alvo listada na segunda caixa.
6. Clique em Alterar. Clique em Sim para confirmar a sua escolha. O sistema
confirma a operao. Clique em OK novamente para confirmar que a operao
teve xito.
7. Clique em Fechar para fechar a mudana de esquema caixa de dilogo Master.