Funções do Active Directory FSMO no Windows

Traduções de Artigos Traduções de Artigos
Artigo: 197132 - Ver produtos para os quais este artigo se aplica.
Importante
Este artigo aplica-se para o Windows 2000. Suporte para o Windows 2000 termina em 13 de Julho de 2010. O Centro de soluções de fim do suporte do Windows 2000 é o ponto de partida para planear a estratégia de migração do Windows 2000. Para mais informações consulte o Política de ciclo de vida de suporte da Microsoft.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

O Active Directory é o repositório central no quais todos os objectos numa empresa e respectivos atributos são armazenados. É uma base de dados hierárquica, com vários servidores principais activados, capaz de armazenar milhões de objectos. Como se trata de vários servidores principal, as alterações à base de dados podem ser processadas em qualquer controlador de domínio (DC) da empresa independentemente do DC é ligado ou desligado da rede.

Mais Informação

Modelo com vários servidores principais

Vários servidores principal activado base de dados, como o Active Directory, fornece a flexibilidade de permitir alterações em qualquer DC da empresa, mas também introduz a possibilidade de conflitos que podem potencialmente conduzir a problemas depois dos dados são replicados para o resto da empresa. Uma forma Windows lida com actualizações em conflito é um algoritmo de resolução de conflitos tratamento de discrepâncias de valores, resolvendo ao DC no qual as alterações foram escritas última (ou seja, "a último a escrever ganha"), descartando as alterações em todos os outros DCs. Embora este método de resolução ser aceitável em alguns casos, existem vezes ocorrem conflitos difíceis de resolver utilizando a abordagem "o último a escrever ganha". Em tais casos, é melhor evitar o conflito a ocorrência em vez de tentar resolvê-lo depois do facto.

Para determinados tipos de alterações, o Windows integra métodos para evitar a ocorrência de actualizações em conflito do Active Directory.

Modelo de mestre único

Para impedir actualizações em conflito no Windows, o Active Directory efectua actualizações a determinados objectos de uma forma mestre único. Num modelo de servidor principal único, apenas um DC em todo o directório tem permissão para processar actualizações. Isto é semelhante à função atribuída a um controlador de domínio primário (PDC) em versões anteriores do Windows (por exemplo, Microsoft Windows NT 3.51 e 4.0), em que o PDC é responsável pelo tratamento de todas as actualizações num determinado domínio.

Do Active Directory expande o modelo de servidor principal único localizado em versões anteriores do Windows para incluir várias funções e a capacidade de transferir funções para qualquer controlador de domínio (DC) na empresa. Porque uma função do Active Directory não está vinculada a um DC único, é referido como uma função Flexible Single Master Operation (FSMO). No Windows estão actualmente cinco funções FSMO:

  • Mestre de esquema
  • Mestre de atribuição de nomes de domínio
  • Mestre de RID
  • Emulador de PDC
  • Mestre de infra-estruturas

Função FSMO do mestre de esquema

O detentor da função FSMO de mestre de esquema é o DC responsável por performingupdates o esquema do directório (ou seja, o orLDAP://cn=schema de contexto de atribuição de nomes esquema, cn = configuration, dc =<domain>). Este DC é que o onethat só pode processar actualizações no esquema de directório. Depois de concluir os esquema updateis, é replicada do mestre de esquema para todos os outros DCs no directório. Existe apenas um mestre de esquema por directório.</domain>

Função de FSMO de mestre de atribuição de nomes do domínio

O domínio atribuição de nomes principal detentor da função FSMO é o formaking de responsável de DC muda para o espaço de nome de domínio de toda a floresta do directório (ou seja, as partições \ atribuição de nomes de contexto orLDAP://CN=Partitions, CN = Configuration, DC =<domain>). Este DC é o onlyone que pode adicionar ou remover um domínio do directório. Pode igualmente addor remover referências cruzadas a domínios em directórios externos.</domain>

Função FSMO do mestre de RID

O detentor da função FSMO de mestre de RID é o único DC responsável forprocessing conjuntos de RID pedidos de todos os DCs no âmbito de um determinado domínio. -Isalso, responsável pela remoção de um objecto do respectivo domínio e colocando-o domínio inanother durante uma movimentação de objectos.

Quando um DC cria um objecto principal de segurança como um utilizador ou grupo, itattaches um ID de segurança exclusivo (SID) para o objecto. Este SID é constituído por adomain SID (o mesmo para todos os SID criados num domínio) e um ID(RID) relativo exclusivo para cada SID principal de segurança criados num domínio.

Cada DC do Windows num domínio é atribuído um conjunto de RID que é permitido atribuir aos principais de segurança criados. Quando atribuído a um DC o conjunto de RID se situar abaixo de um determinado limite, esse DC envia um pedido de RIDs adicionais ao mestre de RID do domínio. O mestre de RID do domínio responde ao pedido obtendo RIDs do conjunto de RID do domínio não atribuído e atribui-los para o conjunto do DC requerente. Existe um mestre de RID por domínio num directório.

Função de FSMO de emulador PDC

O emulador PDC é necessário para sincronizar a hora numa empresa. O Windows inclui o W32Time serviço de hora (hora do Windows) requerido pelo protocolo de autenticação Kerberos. Todos os computadores baseados no Windows numa empresa utilizam uma hora comum. O objectivo deste serviço é garantir que o serviço de hora do Windows utiliza uma relação hierárquica que controla a autoridade e não permite ciclos por forma a garantir a utilização adequada de uma hora comum.

O emulador PDC de um domínio é autoritário para o domínio. O emulador PDC na raiz da floresta torna-se autoritário para a empresa e deverá estar configurado para obter a hora de uma origem externa. Todos os detentores da função FSMO de PDC seguem a hierarquia de domínios na selecção do respectivo parceiro de hora.

Num domínio do Windows, o detentor de função de emulador de PDC tem as seguintes funções:
  • Alterações de palavra-passe efectuadas por outros DC no domínio são replicadas preferencialmente ao emulador de PDC.
  • Falhas de autenticação que ocorram num determinado DC num domínio devido a uma palavra-passe incorrecta são enviadas ao emulador de PDC antes de ser apresentada uma mensagem de falha de palavra-passe incorrecta para o utilizador o limite de tempo.
  • Bloqueio de conta é processado no emulador de PDC.
  • O emulador de PDC efectua todas as funcionalidades que um PDC baseado no Microsoft Windows NT 4.0 Server ou PDC anterior efectua para clientes baseados no Windows NT 4.0 ou anteriores.
Esta parte da função de emulador PDC torna-se desnecessária quando todas as estações de trabalho, servidores membro e controladores de domínio que executem o Windows NT 4.0 ou versões anteriores, são actualizados para o Windows 2000. O emulador de PDC continuará a desempenhar as outras funções como descrito num ambiente do Windows 2000.

As informações seguintes descrevem as alterações que ocorrem durante o processo de actualização:
  • Clientes do Windows (estações de trabalho e servidores membros) e clientes de nível baixo que tenham instalado o pacote de cliente de serviços distribuídos não efectuam escritas de directório (por exemplo, alterações de palavra-passe) preferencialmente no DC que se anunciou como PDC; estes utilizam qualquer DC para o domínio.
  • Quando os controladores de domínio de reserva (BDC) em domínios de nível inferior são actualizados para o Windows 2000, o emulador PDC recebe não existirem pedidos de réplica de baixo nível.
  • Clientes do Windows (estações de trabalho e servidores membros) e clientes de nível baixo que tenham instalado o pacote de cliente de serviços distribuídos utilizam o Active Directory para localizar recursos de rede. Não necessitam do serviço de Browser do Windows NT.

Função FSMO de infra-estrutura

Quando um objecto de um domínio é referenciado por outro objecto no anotherdomain, que representa a referência pelo GUID, o SID (para principais de segurança de referencesto) e o DN do objecto referenciado. Detentor da função FSMO de Theinfrastructure é o DC responsável pela actualização do anobject SID e nome distinto de uma referência de objectos entre domínios.

Nota: função de mestre de infra-estrutura a (IM) deve ser mantida por um controlador de domínio que não seja um Catálogo Global Infrastructure. Se o mestre de infra-estrutura for executado num servidor de Catálogo Global irá parar a actualizar as informações de objecto porque não contém quaisquer referências a objectos que não possui. Isto acontece porque o servidor de Catálogo Global contém uma réplica parcial de todos os objectos na floresta. Como resultado, referências a objectos entre domínios nesse domínio não será actualizado e será registado um aviso para esse efeito no registo de eventos desse DC.

Se todos os controladores de domínio num domínio também hospedarem o catálogo global, todos os controladores de domínio terão os dados actuais e não é importante qual o controlador de domínio detém a função de mestre de infra-estruturas.

Quando a funcionalidade opcional da ' Reciclagem ' estiver activada, todos os DC é responsável para actualizar as respectivas referências de objectos entre domínios quando o objecto referenciado é movido, mudado ou eliminado. Neste caso, não existem tarefas associadas com a função FSMO de infra-estrutura e não é importante que controlador de domínio possui a função de mestre de infra-estrutura. Para mais informações, consulte 6.1.5.5 função FSMO de infra-estrutura no http://msdn.microsoft.com/en-us/library/cc223753.aspx

Propriedades

Artigo: 197132 - Última revisão: 23 de abril de 2014 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Palavras-chave: 
kbinfo kbmt KB197132 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 197132

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com