Funções FSMO do Active Directory do Windows 2000

O Active Directory do Microsoft Windows 2000 é o repositório central no qual são armazenados todos os objectos e respectivos atributos de uma empresa. É uma base de dados hierárquica, activada com vários servidores principais, com capacidade para armazenar milhões de objectos. Uma vez que tem vários servidores principais, as alterações efectuadas na base de dados podem ser processadas em qualquer controlador de domínio (DC, Domain Controller) da empresa, independentemente de este estar ligado ou desligado da rede.

Modelo de vários servidores principais do Windows 2000

Uma base de dados activada com vários servidores principais, como o Active Directory, tem a flexibilidade de permitir efectuar alterações a qualquer DC da empresa, mas também possibilita potenciais conflitos que podem causar problemas quando os dados são replicados para o resto da empresa. Uma das formas do Windows 2000 resolver actualizações em conflito é o tratamento de discrepâncias de valores através de um algoritmo de resolução de conflitos a favor do DC no qual as alterações foram escritas recentemente (ou seja, "o último a escrever prevalece"), ignorando as alterações em todos os outros DCs. Embora este método de resolução possa ser aceitável em alguns casos, por vezes ocorrem conflitos difíceis de resolver utilizando o método "o último a escrever prevalece". Nestes casos, é melhor evitar o conflito do que tentar resolvê-lo.

Para determinados tipos de alterações, o Windows 2000 inclui métodos que permitem evitar conflitos entre actualizações do Active Directory.

Modelo de servidor principal único do Windows 2000

Para evitar que as actualizações entrem em conflito no Windows 2000, o Active Directory efectua actualizações a determinados objectos no modo de servidor principal único. Num modelo de servidor principal único, apenas um DC em todo o directório tem permissão para processar actualizações. Esta situação é semelhante à função atribuída a um controlador de domínio principal (PDC, Primary Domain Controller) nas versões anteriores do Windows (como o Microsoft Windows NT 3.51 e 4.0), onde o PDC é responsável pelo processamento de todas as actualizações de um determinado domínio.

O Active Directory do Windows 2000 expande o modelo de servidor principal único de versões anteriores do Windows por forma a incluir várias funções e a capacidade de transferir funções para qualquer controlador de domínio (DC) da empresa. Uma vez que uma função do Active Directory não está associada a um único DC, é referida como uma função Flexible Single Master Operation (FSMO). Existem actualmente cinco funções FSMO no Windows 2000:

• Mestre de esquema (Schema Master)
• Mestre de atribuição de nomes de domínios (Domain naming master)
• Mestre de RID (RID master)
• Emulador de PDC (PDC Emulator)
• Daemon de infra-estrutura (Infrastructure daemon)

Função FSMO do mestre de esquema

O detentor da função FSMO do mestre de esquema é o DC responsável pela execução de actualizações no esquema do directório (ou seja, o contexto de atribuição de nomes de esquema ou LDAP://cn=schema,cn=configuration,dc=<domínio>). Este DC é o único que consegue processar actualizações no esquema do directório. Quando a actualização de esquema estiver concluída, será replicada do mestre de esquema para todos os outros DCs no directório. Existe apenas um mestre de esquema por directório.

Função FSMO de mestre de atribuição de nomes de domínio

O detentor da função FSMO de mestre de atribuição de nomes é o DC responsável por efectuar alterações ao espaço de nomes do domínio de toda a floresta do directório (ou seja, o contexto de atribuição de nomes de partições\configuração ou LDAP://CN=Partitions, CN=Configuration, DC=<domínio>). Este DC é o único que pode adicionar ou remover um domínio do directório. Também pode adicionar ou remover referências cruzadas a domínios em directórios externos.

Função FSMO do mestre de RID

O detentor da função FSMO do mestre de RID é o único DC responsável por processar pedidos de conjuntos de RID de todos os DCs no âmbito de um determinado domínio. É também responsável pela remoção de um objecto do respectivo domínio e pela colocação do mesmo noutro domínio durante uma movimentação de objectos.

Quando um DC cria um objecto principal de segurança, como um utilizador ou grupo, anexa um ID de segurança (SID, Security ID) exclusivo ao objecto. Este SID é constituído por um SID de domínio (o mesmo para todos os SIDs criados num domínio) e um ID relativo (RID, Relative ID) exclusivo para cada SID principal de segurança criado num domínio.

A cada DC do Windows 2000 num domínio é atribuído um conjunto de RIDs que pode atribuir aos principais de segurança criados. Quando o conjunto de RID atribuído a um DC se encontra abaixo de um determinado limite, esse DC envia um pedido de RIDs adicionais ao mestre de RID do domínio. O mestre de RID do domínio responde ao pedido obtendo RIDs do conjunto de RIDs não atribuídos e atribui os mesmos ao conjunto do DC requerente. Existe apenas um mestre de RID por domínio num directório.

Função FSMO de emulador de PDC

O emulador de PDC é necessário para sincronizar a hora numa empresa. O Windows inclui o serviço de hora W32Time (Hora do Windows) (Windows Time) requerido pelo protocolo de autenticação Kerberos. Todos os computadores baseados no Windows 2000 numa empresa utilizam uma hora comum. A finalidade deste serviço é a de garantir que o serviço Hora do Windows (Windows Time) utiliza uma relação hierárquica que controla a autoridade e não permite ciclos por forma a garantir a utilização adequada da hora comum.

O emulador de PDC de um domínio tem autoridade sobre o mesmo. O emulador de PDC na raiz da floresta tem autoridade sobre a empresa e deve ser configurado por forma a obter a hora a partir de uma origem externa. Todos os detentores da função FSMO de PDC obedecem à hierarquia de domínios na selecção do respectivo parceiro de hora de entrada.

Num domínio do Windows 2000, o detentor da função de emulador de PDC tem as seguintes funções:

• Alterações de palavras-passe efectuadas por outros DCs no domínio são replicadas preferencialmente ao emulador de PDC.
• Falhas de autenticação que ocorram num determinado DC num domínio devido a uma palavra-passe incorrecta são enviadas ao emulador de PDC antes de ser apresentada ao utilizador uma mensagem de falha por palavra-passe incorrecta.
• Os bloqueios de conta são processados no emulador de PDC.
• O emulador de PDC tem a mesma funcionalidade de um PDC baseado no Microsoft Windows NT 4.0 Server ou PDC anterior para clientes baseados no Windows NT 4.0 ou anteriores.

Esta parte da função do emulador de PDC torna-se desnecessária quando todas as estações de trabalho, servidores membro e controladores de domínio com o Windows NT 4.0, ou versões anteriores, são actualizados para o Windows 2000. O emulador de PDC continuará a desempenhar as outras funções como descrito num ambiente do Windows 2000.

As informações que se seguem descrevem as alterações que ocorrerão durante o processo de actualização:

• Clientes do Windows 2000 (estações de trabalho e servidores membro) e clientes de baixo nível que tenham instalado o pacote de cliente de serviços distribuídos não efectuam escritas de directório (como alterações de palavras-passe) preferencialmente no DC que se anunciou como o PDC; estes utilizam qualquer DC para o domínio.
• Quando os controladores de domínio secundários (BDC, Backup Domain Controller) em domínios de baixo nível são actualizados para o Windows 2000, o emulador de PDC não recebe pedidos de réplica de baixo nível.
• Clientes do Windows 2000 (estações de trabalho e servidores membro) e clientes de baixo nível que tenham instalado o pacote de cliente de serviços distribuídos utilizam o Active Directory para localizar recursos de rede. Não necessitam do serviço Windows NT Browser.

Função FSMO da infra-estrutura

Quando um objecto num domínio é referenciado por outro objecto noutro domínio, representa a referência pelo GUID, pelo SID (para referências a principais de segurança) e pelo DN do objecto referenciado. O detentor da função FSMO de infra-estrutura é o DC responsável pela actualização do SID e do nome distinto de um objecto numa referência ao objecto entre domínios.

NOTA: a função de mestre de infra-estrutura (IM, Infrastructure Master) deve pertencer a um controlador de domínio que não seja um servidor de catálogo global (GC, Global Catalog). Se o mestre de infra-estrutura for executado num servidor de catálogo global, deixará de efectuar a actualização de informações de objectos dado que não contém quaisquer referências a objectos que não estejam na sua posse. Isto deve-se ao facto de o servidor de catálogo global ter uma réplica parcial de todos os objectos da floresta. Como resultado, referências a objectos entre domínios não serão actualizadas e será registado um aviso para esse efeito no registo de eventos desse DC.

Se todos os controladores de domínio num domínio também hospedarem o catálogo global, todos os controladores de domínio terão os dados actuais e não será relevante saber qual o controlador de domínio que detém a função de mestre de infra-estrutura.