Colocação e optimização do FSMO em controladores de domínio do Windows 2000

Os controladores de domínio do Windows 2000 suportam actualizações de vários servidores principais para a replicação de objectos (tais como contas de utilizador e de computador) no Active Directory. Num modelo com vários servidores principais, é possível criar objectos e respectivas propriedades em qualquer controlador de domínio no domínio e adquirir "autoridade" com a replicação.

Este artigo descreve a colocação das funções FSMO (Flexible Single-Master) do Active Directory no domínio e na floresta.

Algumas operações ao nível de todo o domínio e de toda a empresa não se adequam à colocação em vários servidores principais, pelo que residem num único controlador de domínio no domínio ou floresta. A vantagem de uma operação num único servidor principal consiste em evitar a introdução de conflitos enquanto um servidor principal de operações está offline, em vez de introduzir potenciais conflitos e haver a necessidade de os resolver posteriormente. No entanto, a utilização de um servidor principal com uma única operação significa que o proprietário da função FSMO deverá estar disponível quando ocorrerem actividades dependentes no domínio ou na empresa, ou para efectuar alterações no directório associadas a essa função.

O Active Directory define cinco funções FSMO: servidor principal de esquema (schema master), servidor principal de domínio (domain naming master), servidor principal de RID (RID master), emulador de PDC (PDC emulator) e infra-estrutura (infrastructure master). Os servidores principais de esquema e de atribuição de nomes de domínio correspondem a funções do tipo por floresta. As três funções restantes, servidor principal de RID, emulador de PDC e servidor principal de infra-estrutura, são funções do tipo por domínio.

Uma floresta com um domínio tem cinco funções. Cada domínio adicional existente na floresta irá acrescentar três funções ao nível de todo o domínio. É possível determinar o número de funções FSMO numa floresta e de potenciais proprietários de funções FSMO através da fórmula ((número de domínios * 3)+2).

Uma floresta com três domínios (A.com, com o domínio subordinado e o domínio subordinado de 2º nível B.A.com e C.B.A.com respectivamente) tem onze funções FSMO:

1 servidor principal de esquema ? para toda a floresta A.COM
1 servidor principal de atribuição de nomes de domínio ? para toda a floresta A.COM
3 emuladores de PDC (A.com, B.A.com e C.B.A.com)
3 servidores principais de RID (A.com, B.A.com e C.B.A.com)
3 servidores principais de infra-estrutura para cada respectivo domínio. (A.com, B.A.com e C.B.A.com)

Quando criar o primeiro controlador de domínio do Windows 2000 de uma floresta, o sistema atribuir-lhe-á as cinco funções. Quando criar o primeiro controlador de domínio do Windows 2000 de um novo domínio numa floresta existente, o sistema atribuir-lhe-á as três funções de domínio. Num domínio de modo misto com controladores de domínio do Windows 2000 e do Windows NT 4.0, apenas os controladores de domínio do Windows 2000 poderão conter as funções FSMO, quer ao nível de todo o domínio ou de toda a floresta.

Disponibilidade e colocação do FSMO

O Windows 2000 efectua a colocação inicial de funções em controladores de domínio. Esta colocação é, normalmente, a correcta para os directórios com poucos controladores de domínio. Num directório com muitos controladores de domínio, a colocação predefinida não será, provavelmente, a melhor opção para a rede em questão.

De acordo com o domínio em causa, seleccione os controladores de domínio do FSMO primário local e inactivo para o caso de ocorrer uma falha no proprietário do FSMO primário. Para além disso, poderá optar por seleccionar proprietários inactivos de outro local na eventualidade de um cenário de desastre num local específico. Tenha o seguinte em consideração para os critérios de selecção:

• Se um domínio tiver apenas um único controlador de domínio, esse controlador de domínio terá todas as funções do tipo por domínio.
• Se um domínio tiver mais do que um controlador de domínio, utilize os locais do Active Directory (Active Directory Sites) e o gestor de serviços (Services Manager) para seleccionar parceiros de replicação directa com ligações persistentes e consistentes.
• O servidor inactivo poderá estar no mesmo local (site) no qual se encontra o servidor de FSMO primário com vista a obter uma consistência da convergência de replicação mais rápida num grupo de computadores mais alargado, ou num local remoto na eventualidade de ocorrer um problema grave, específico de um local, na localização primária.
• Quando o controlador de domínio inactivo estiver num local remoto, certifique-se de que a ligação está configurada para a replicação contínua através de uma ligação persistente.

Recomendações gerais para a colocação do FSMO

• Coloque as funções RID e emulador de PDC no mesmo controlador de domínio. É desejável a existência de uma boa comunicação entre o PDC e o servidor principal de RID uma vez que os clientes e aplicações de nível inferior utilizam o PDC, tornando-o num utilizador de RID em grande escala. Também será mais fácil controlar as funções FSMO se as agrupar num menor número de computadores.
  
  Se a carga do FSMO primário justificar uma movimentação, coloque as funções RID e emulador de PDC em controladores de domínio diferentes no mesmo domínio e local do Active Directory, que constituam parceiros de replicação directa recíprocos.
• De um modo geral, o servidor principal de infra-estrutura deverá estar localizado num servidor de catálogo não global que tenha um objecto de ligação directa a um catálogo global da floresta, de preferência no mesmo local do Active Directory. Uma vez que o servidor de catálogo global contém uma réplica parcial de todos os objectos da floresta, o servidor principal de infra-estrutura, caso seja executado num servidor de catálogo global, nunca actualizará qualquer objecto, visto não conter referências de objectos que não possui. As duas excepções à função "não colocar o servidor principal de infra-estrutura num servidor de catálogo global" são:
  • Floresta de domínio único:
    
    Numa floresta que contenha um único domínio do Active Directory, não existem fantasmas (phantoms), como tal, o servidor principal de infra-estrutura não tem trabalho a fazer. O servidor principal de infra-estrutura pode ser colocado em qualquer controlador de domínio no domínio.
  • Floresta de vários domínios em que todos os controladores de domínio contêm o catálogo global:
    
    Se todos os controladores de domínio do domínio também contiverem o catálogo global , não existem fantasmas ou trabalho para o servidor principal de infra-estrutura. O servidor principal de infra-estrutura pode ser colocado em qualquer controlador de domínio no domínio.
• Ao nível da floresta, as funções servidor principal de esquema e servidor principal de atribuição de nomes de domínio deverão ser colocadas no mesmo controlador de domínio dado que raramente são utilizadas e devem ser rigorosamente controladas. Para além disso, o FSMO do servidor principal de atribuição de nomes de domínio deverá ser também um servidor de catálogo global.

Sobretudo, confirme se as funções FSMO estão todas disponíveis utilizando uma das consolas de gestão (como, por exemplo, Dsa.msc ou Ntdsutil.exe).