Funções FSMO do Active Directory do Windows 2000

O Active Directory do Microsoft Windows 2000 é o repositório central em que todos os objetos em uma empresa e seus respectivos atributos são armazenados. É um banco de dados hierárquico e apto para receber diversos mestres, capaz de armazenar milhões de objetos. Por ter mestres múltiplos, alterações ao banco de dados podem ser processados em qualquer controlador de domínio (DC) na empresa, independentemente de o DC estar conectado ou não à rede.

Modelo multi-mestre do Windows 2000

Um banco de dados apto a receber diversos mestres, como o Active Directory, proporciona flexibilidade de permitir mudanças ocorram em qualquer DC na empresa, mas também introduz a possibilidade de conflitos que podem potencialmente acarretar problemas, já que os dados se replicam para o resto da empresa. Uma das formas com que o Windows 2000 lida com atualizações conflitantes é fazer com que o algoritmo de resolução de conflitos lide com as discrepâncias em valores resolvendo no DC em que as alterações foram implementadas por último (ou seja, "o último autor vence"), enquanto descarta as alterações em todos os DCs. Embora esse método de resolução seja aceitável em alguns casos, há momentos em que os conflitos são muito difíceis de serem resolvidos com essa técnica. Nesses casos, é melhor previnir o acontecimento do conflito em vez de tentar resolvê-lo após o fato.

Para certos tipos de alterações, o Windows 2000 incorpora métodos para previnir conflitos com as atualizações do Active Directory.

Modelo de mestre único do Windows 2000

Para prevenir conflitos nas atualizações no Windows 2000, o Active Directory realiza atualizações em certos objetos com um único mestre. No modelo com um único mestre, somente um DC no diretório inteiro tem permissão para atualizar processos. É semelhante ao papel atribuído ao controlador de domínio primário (PDC) em versões anteriores do Windows (como o Microsoft Windows NT 3.51 e 4.0) em que o PDC é responsável pelo processamento de todas as atualizações em um dado domínio.

O Windows 2000 Active Directory extende o modelo mestre único encontrado em versões anteriores do Windows para incluir funções múltiplas e a capacidade de transferir papéis para qualquer controlador de domínio (DC) na empresa. Como o Diretório Ativo não é vinculado a um único DC, essa função é chamada de Operação Flutuante de Mestre Único (FSMO). Atualmente, no Windows 2000, há cinco funções FSMO:

• Mestre de esquema
• Mestre de nomeação de domínio
• Mestre RID
• Emulador PDC
• Daemon de infraestrutura

Função do Mestre de Esquema do FSMO

O portador da função FSMO do mestre de esquema é o DC responsável por realizar atualizações ao esquema do diretório (ou seja, o contexto de nomeação do esquema ou LDAP://cn=schema,cn=configuration,dc=<domínio>). Este DC é o único que pode processar atualizações para esquema de diretório. Uma vez que a atualização do Esquema esteja concluída, ele é replicado do mestre de esquema para todos os outros DCs no diretório. Só há um mestre de esquema por diretório.

Função Mestre de Nomeação de Domínio do FSMO.

O portador da função de mestre de nomeação do domínio FSMO é o DC responsável por fazer alterações no espaço amplo para nomes de domínios do diretório (ou seja, contexto de nomeação de Partições\Configuração ou LDAP://CN=Partitions, CN=Configuration, DC=<domínio>). O DC é o único que pode adicionar ou remover um domínio de um diretório. Também pode adicionar ou remover referências cruzadas a domínios em diretórios externos.

Função Mestre de RID do FSMO

O portador da função de mestre de RID do FSMO é o único DC responsável pelo processamento de pedidos de Pool do RID de todos os DCs em um dado domínio. Também é responsável por remover um objeto de seu domínio e colocá-lo em outro domínio durante a deslocação de um objeto.

Quando um DC cria um objeto principal de segurança, como um usuário ou grupo, ele anexa um ID de segurança (SID) ao objeto. O SID consiste em um domínio SID (o mesmo para todods os SIDs criados em um domínio) e um ID relativo (RID) que é exclusivo de cada SID principal de segurança criado em um domínio.

A cada Windows 2000 DC em um domínio está alocado uma série de RIDs que está permitido a ser atribuído aos principais de segurança que cria. Quando um DC alocado a uma série de RIDs está abaixo do seu limite, o DC emite um pedido para RIDs adicionais ao metre RID do domínio. O mestre RID de domínio responde ao pedido retirando os RIDs do pool de RIDs não alocados do domínio e envia-os ao pool do DC requisitante. Só há um mestre RID por domínio em um diretório.

Função de Emulador de PDC do FSMO

O emulador do PDC é necessário para sincronizar o tempo em um empresa. O Windows contém a ferramenta de serviço de horário W32Time (Windows Time) necessária para o protocolo de autenticação Kerberos. Todos os computadores com Windows 2000 dentro da empresa usam um horário comum. O propósito do serviço de horário é garantir que o serviço Windows Time usa uma relação hierárquica que controla a autoridade e não permite loops para garantir uso adequado de horário comum.

O emulador PDC de um domínio é de autorização para o domínio. O emulador do PDC na raíz da floresta torna-se de autorização para a empresa e deve ser configurado para recuperar o horário de uma fonte externa. Todas os mestres de operações do PDC seguem a hierarquia dos domínios na seleção de seu parceiro de horário de entrada.

No domínio Windows 2000, o portador da função do emulador do PDC retém as seguintes funções:

• Alterações de senhas realizadas por outros DCs no domínio são replicadas preferencialmente ao emulador do PDC.
• As falhas de autenticação que ocorrem em um dado DC em um domínio por causa de uma senha incorreta são encaminhadas para o emulador do PC antes que uma mensagem de falha de senha incorreta seja relatada ao usuário.
• O bloqueamento de contas é processado no emulador do PDC.

Observe como a função do emulador do PDC é desnecessária na medida em que estações de trabalho, servidores membros e controladores de domínio de nível inferior são atualizados para o Windows 2000, situação em que as seguintes informações se aplicam:

• Clientes do Windows 2000 (estações de trabalho e servidores membros) e clientes de nível inferior que instalaram o pacotes de clientes de serviços distribuídos não realizam gravações no diretório (como alterações de dados), especilamente no DC que se mostrou ser PDC; usam qualquer DC para o domínio.
• Uma vez que os controladores de domínios de backup (BDCs) em domínios de nível inferior são atualizados para o Windows 2000, o emulador do PDC não recebe nenhum pedido de réplica de nível inferior.
• Clientes do Windows 2000 (estações de trabalho e servidores membro) e clientes de nível inferior que instalaram o pacote de cliente de serviços distribuídos usam o Active Directory para localizar recursos da rede. Eles não requerem o serviço do Navegador do Windows NT.

Função de Infraestrutura do FSMO

Quando um objeto em um domínio é mencionado em um outro objeto em outro domínio, ele representa a referência pelo GUID, pelo SID (para referências a principais de segurança) e o DN do objeto sendo mencionado. O portador da função de infraestrutura do FSMO é o DC responsável por atualizar um SID do objeto e nome distinto em uma referência cruzada do objeto do domínio.

OBSERVAÇÃO: A função do mestre de infraestrutura (IM) deve ser portado por um controlador de domínio que não é um servidor de catálogo global (GC) Se o mestre de infraestrutura é executado em um servoidor do catálogo global, ele deixará de atualizar informações porque não contém nenhuma referência a objetos os quais não porta. Isso acontece porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta. Como resultado, as referências cruzadas do objeto de domínio naquele domínio não serão atualizadas e uma advertência para este fim será registrada no log de eventos do DC.