Active Directory (AD) é um serviço de diretório que fornece serviços de autenticação e autorização centralizados. As organizações hospedam o AD em controladores de domínio (DCs) que replicam informações entre eles em uma configuração de multimaster. As funções de Operação de Mestre Único Flexível (FSMO) garantem dados consistentes e confiáveis em todas as fontes de dados.
As funções FSMO ajudam na replicação do AD e garantem que muitos outros serviços críticos funcionem conforme o esperado. Neste artigo, você aprenderá o que são as funções FSMO, como elas impactam o AD e como você pode manipulá-las com segurança em um floresta AD.
Até o final deste artigo, você entenderá melhor as funções FSMO e como gerenciá-las para um ambiente AD saudável.
O que são as funções FSMO?
As funções FSMO são serviços hospedados independentemente em um DC em uma floresta AD. Cada função tem um propósito específico, como manter o tempo sincronizado entre dispositivos, gerenciar identificadores de segurança (SIDs) e assim por diante.
As funções FSMO são dimensionadas no nível da floresta ou do domínio e são exclusivas para esse escopo, como mostrado abaixo. Por exemplo, uma floresta com dois domínios terá um DC em cada domínio (dois no total) hospedando a função Mestre RID, enquanto apenas um DC hospeda a função Mestre de Esquema.
| FSMO Role | Scope |
| Schema Master | Forest |
| Domain Naming Master | Forest |
| Primary Domain Controller Emulator | Domain |
| RID Master | Domain |
| Infrastructure Master | Domain |
A DC can hold multiple roles at one time.
Mestre de Esquema
A critical component of AD is the database. The database, like all other databases, has a schema that dictates its structure with various partitions or naming contexts. The AD schema is a database partition that contains metadata about AD objects. For example, it contains classes like person, group, or msPKI-Key-RecoveryAgent and attributes like phone number, badPwdCount, or dNS-HostName.
O esquema AD é a partição mais “delicada” no banco de dados do Active Directory.
AD precisa de um serviço para gerenciar o esquema, daí a função de Mestre de Esquema. A função de Mestre de Esquema tem o dever de controlar as alterações no esquema do AD. Se você já estendeu o esquema do AD para instalar produtos como o Exchange ou aumentou o nível funcional da floresta, você trabalhou com a função de Mestre de Esquema.
Você deve realizar quaisquer alterações no esquema do AD por meio da função de Mestre de Esquema apenas sob condições rigorosas em um único DC. Você não quer fazer alterações em dois DCs e esperar pela replicação para ver qual alteração “vence” por meio da replicação.
Mestre de Nomeação de Domínio
Um banco de dados do AD contém várias partições, tanto no escopo da floresta quanto do domínio. O AD ocasionalmente faz alterações nessas partições e precisa de um serviço para isso, assim surge a função FSMO de Mestre de Nomeação de Domínio.
Ao fazer alterações no espaço do domínio da floresta (adicionar partições à floresta), o Mestre de Nomeação de Domínio registra essas alterações em Configuração\\Partições. Essa atividade ocorre quando um controlador de domínio é promovido ou rebaixado, por exemplo.
Emulador de Controlador de Domínio Primário (PDCe)
Indiscutivelmente, a função FSMO mais essencial no AD é o PDCe. O papel do PDCe é responsável por tarefas como sincronização de alterações de senha, bloqueios (e desbloqueios) de contas, sincronização de tempo e muito mais.
Nos primeiros dias do Active Directory (Windows NT), o Controlador de Domínio Primário (PDC) era o único DC gravável em um domínio AD. Todos os outros DCs eram Controladores de Domínio de Backup (BDCs), usados apenas para solicitações de autenticação
A partir do Windows 2000, todos os DCs tornaram-se graváveis, excluindo controladores de domínio somente leitura (RODCs), introduzidos no Windows Server 2008. Como o AD ainda precisava da funcionalidade do PDC, mas tecnicamente não tinha mais um PDC, a Microsoft introduziu a função de Emulador de PDC (PDCe).
Redirecionamento de Aplicações Legadas
Uma das características mais básicas da função PDCe é estar disponível para aplicações legadas, notificando-as de que o DC no qual está hospedado é onde o AD pode gravar alterações. Por exemplo, se você ainda estiver trabalhando com um serviço do Windows NT e esse serviço não souber onde gravar alterações no banco de dados AD, ele entrará em contato com o PDCe para obter assistência.
Sincronização de Horário
É importante que todos os dispositivos associados a um domínio mantenham um horário consistente. A autenticação Kerberos (o modo de autenticação padrão) requer uma diferença máxima de cinco minutos entre um cliente e um DC ou entre parceiros de replicação do DC.
A função PDCe é a fonte de horário central para todos os outros computadores em uma floresta AD.
- Todos os computadores clientes sincronizam o horário a partir do DC no qual fazem login.
- Todos os DCs sincronizam o tempo a partir do PDCe em seu domínio.
- Em florestas AD com vários domínios, os DCs que hospedam a função PDCe sincronizam seu tempo a partir do PDCe no domínio pai.
- A função PDCe no domínio raiz, por sua vez, usa uma fonte externa confiável para sincronizar o tempo.
Gerenciamento de Alterações de Senha
Ao fazer uma alteração no AD, essa alteração não é replicada imediatamente para todos os DCs; ela segue o cronograma de replicação do AD. No entanto, as alterações de senha são replicadas de maneira um pouco diferente. As alterações de senha sempre são replicadas primeiro do DC de origem para o DC que mantém a função PDCe e, em seguida, para os outros DCs na topologia.
Se, por exemplo, um DC não possui a senha mais recente e um usuário tenta autenticar com a senha antiga, o DC de autenticação entra em contato primeiro com o DC que mantém a função PDCe para verificar uma senha atualizada antes de negar a autenticação.
Você perceberá problemas com o PDCe imediatamente quando descobrir que os usuários que alteraram a senha têm problemas para se conectar a outros DCs que ainda não replicaram a nova senha.
Processamento de Bloqueios de Conta
O papel do PDCe também processa bloqueios de conta. Ao contrário das alterações de senha, os bloqueios de conta não seguem os intervalos regulares de replicação. Os bloqueios de conta são imediatamente replicados para os outros DCs por meio de um mecanismo chamado replicar objeto único. Isso é uma medida de segurança para garantir que uma conta bloqueada não possa fazer login em outro DC que ainda não tenha replicado.
Destino padrão para a Console de Gerenciamento de Política de Grupo (GPMC)
O gerenciamento de Política de Grupo é feito com a ferramenta Console de Gerenciamento de Política de Grupo (GPMC). Para fazer alterações no AD, o GPMC precisa se conectar a um DC. Por padrão, o GPMC sempre se conectará ao DC que possui o papel de PDCe, mesmo que esteja localizado em um site do AD diferente. Se o PDCe não estiver acessível, você receberá um aviso informando que o papel de PDCe não está acessível e o GPMC solicitará que você escolha um DC diferente.
Relacionado: O que é a Política de Grupo e como ela funciona (em detalhes)
Fornecendo Informações de Espaço de Nomes do Sistema de Arquivos Distribuído (DFS)
Para complementar a funcionalidade do papel de PDCe da FSMO, o papel de PDCe fornece informações de espaço de nomes do DFS. Periodicamente, os servidores raiz do DFS solicitarão informações atualizadas de espaço de nomes do DFS ao PDCe, que possui informações de autoridade do DFS.
Embora normalmente não seja uma carga excessiva para a função FSMO PDCe, você altera o comportamento padrão de pesquisa de namespace DFS em ambientes com um grande número de servidores DFS.
Mestre RID
Cada objeto em um domínio AD deve ter um ID único para diferenciá-lo de todos os outros objetos similares. É crucial que o AD sempre atribua um ID único a cada novo objeto chamado de identificador de segurança ou SID.
Cada SID é composto por vários componentes: S (para SID), o número de Revisão, I -a Autoridade do Identificador-, o ID do domínio e o ID relativo. O ID do domínio é único para cada domínio em uma floresta. O ID relativo é único para cada objeto em um domínio. Um SID parece o seguinte, com um DomainId representando o ID do domínio e RelativeId representando o ID relativo.
O papel de Mestre de ID Relativo (RID) garante que o SID atribuído a cada objeto AD seja único.
Alguns RIDs são reservados para contas especiais e grupos conhecidos.
O primeiro DC no domínio automaticamente se torna o Mestre RID, para manter o controle da emissão de RIDs.
O DC que detém o papel de Mestre RID entra em jogo principalmente em três eventos diferentes:
Promoção/Demissão de DC
Cada vez que um novo DC é promovido, o Mestre RID atribui a ele um bloco de 500 RIDs. Esses RIDs são então atribuídos (em ordem incremental) quando uma nova conta que precisa de um SID é criada nesse DC.
Por exemplo, se o último bloco de RIDs atribuído foi de 5501 a 6000, o próximo DC que precisa de um bloco (seja um DC recém-promovido ou um DC que esgotou seu bloco atual) receberá de 6001 a 6500 e assim por diante.
Quando um DC é removido do banco de dados AD, o Mestre RID percebe isso e garante que não atribua nenhum dos RIDs que o DC tinha como uma medida de segurança para evitar SIDs duplicados.
Esgotamento de RIDs
Quando um DC atinge 50% da capacidade de RID, ele irá ao Mestre RID e solicitará um novo bloco de RIDs. Os DCs solicitam novos RIDs em 50% na remota chance de o Mestre RID estar offline, o que lhes dá bastante tempo de buffer para garantir que sua alocação de RIDs não seja esgotada.
Sequestro do Papel de Mestre RID
Os administradores podem mover funções de um DC para outro via sequestro ou transferência de papel FSMO. Quando um administrador move o papel de Mestre RID de um DC para outro, seu próximo número de RID disponível é incrementado em 10000.
Relacionado: Como Transferir Funções FSMO (GUI e PowerShell)
Incrementar o próximo RID disponível em 10000 é um mecanismo de segurança implementado para evitar SIDs duplicados. Se um administrador assumir o papel de Mestre RID, por exemplo, e o antigo Mestre RID voltar online, ele pode começar a emitir SIDs duplicados juntamente com o novo Mestre RID.
Mestre de Infraestrutura
Cada objeto AD tem um SID atribuído pelo papel FSMO Mestre RID. Quando visualizamos usuários, grupos e outras informações do AD, queremos ver um nome e não um SID; é aqui que entra o papel de Mestre de Infraestrutura.
Por padrão, cada DC é configurado como catálogo global (GC). Um GC hospeda informações de todos os domínios em uma floresta. Uma maneira de reduzir o tráfego de replicação entre sites era configurar alguns DCs para não serem GCs.
Se você estiver autenticado em um DC que não é um GC, o Mestre de Infraestrutura é responsável por traduzir SIDs de outros domínios para nomes amigáveis aos humanos.
Por exemplo, de um computador associado a um domínio, verifique a guia Segurança ou Compartilhamento de uma pasta no Windows Explorer com permissões configuradas para contas em outro domínio. Você verá os nomes de usuários, computadores e grupos; não seus SIDs. Se o computador não conseguir encontrar o papel de Mestre de Infraestrutura no domínio, você verá apenas os SIDs de contas em outros domínios.
Se você habilitar a Lixeira do Active Directory, todos os DCs tecnicamente se comportam como se tivessem o papel de Mestre de Infraestrutura. A Lixeira do AD torna o papel de Mestre de Infraestrutura, nas palavras da Microsoft, não importante.
Relacionado: Como Salvar Seu Bacon com a Lixeira do Active Directory
Conclusão
As funções FSMO do AD são um componente crítico para garantir que o AD continue a funcionar conforme projetado. Embora na maioria das vezes você não precise se preocupar com as funções FSMO, ainda é importante entender como elas funcionam quando chegar a hora!