Creio que todos os analistam que trabalham com TI tem já tiveram contato com o Active Directory da Microsoft. Porém, será que todos conhecem sua função? Ou melhor, será que conhecem o que quer dizer FSMO de um domínio? Neste artigo iremos demonstrar a função de um AD com essas regras e a a descrição de cada uma delas.
O Microsoft Active Directory é um repositório central onde todos os objetos de uma empresa e seus respectivos atributos estão armazenados. Para prevenir conflitos de atualizações o AD realiza atualizações em certos objetos de uma forma single-master. Nesse modelo, somente um Domain Controller, que contém as regras de master, é autorizado a fazer mudanças e essas são replicadas aos demais DC’s do domínio.
O Active Directory também pode estender essas regras para outros domain controllers, não necessariamente deixando um único servidor com essa responsabilidade. Por ter essa flexibilidade, essa funcionalidade é chamada de FSMO, do inglês Flexible Single Master Operation. Atualmente, são 5 FSMO roles presentes nos sistemas operacionais Windows:
- Schema Master
O servidor detentor da regra Schema é o DC responsável por realizar atualizações no schema do domínio. Este Domain Controller é o único que pode realizar alterações deste tipo dentro da organização. Uma vez que o update de Schema é realizado, a replicação é iniciada e enviada aos demais DC’s. Somente é permitido um Schema Master por ambiente.
- Domain Naming Master
O servidor que contém a regra de Domain Naming Master é o responsável por realizar alterações de name espace dentro de uma floresta. Este DC é o único que pode adicionar ou remover um domínio do diretório. Ele também pode adicionar ou remover referências cruzadas para domínios em outros diretórios.
- RID Master
A regra RID Master é responsável por processar todas as requisições RID de todos os DC’s dentro de um domínio. O RID é um identificador que faz a distinção de objetos, onde nenhum grupo ou conta possuem o mesmo ID. Também é responsável por remover um objeto de seu domínio e colocar em outro domínio durante uma mudança de objeto.
- PDC Emulator
O PDC emulator é necessário para sincronizar tempo dentro de uma organização. Windows dispõe do W32Time (Windows Time) que é requerido pelo protocolo de autenticação Kerberos. Todos os computadores baseados em Windows dentro de uma empresa utilizam um horário em comum. O propósito da utilização do time service é garantir que os clientes utilizem um relacionamento hierárquico que controla a autoridade e não permite loops.
Todo servidor que possui a regra de PDC emulator também dispõe as seguintes funções:
– Alterações de senha por outros DC serão replicadas para o PDC Emulator;
– Falhas de autenticação causadas por erro de senha serão encaminhadas para o PDC emulator antes que uma mensagem de password incorreto seja mostrada ao usuário;
– Contas bloqueadas são processadas pelo PDC.
- Infrastructure Master
O servidor que contém a regra Infrastructure Master é o responsável por atualizar o SID e o distinguished name de um objeto em uma referência de domínio cruzado.
Utilizando a página de knowledge base da Microsoft, procurei informar ao leitor a função das 5 regras master que existem dentro de uma estrutura de Active Directory. Muitas vezes utilizamos, falamos o nome e até transferimos as roles para outros servidores sem saber o que cada uma faz. O artigo buscou destrinchar um pouco cada uma delas. Por fim, para verificar qual servidor detém cada regra, basta abrir um command prompt e digitar o seguinte comando NETDOM QUERY FSMO.