Compartilhar via

Mestre de Operações do Active Directory (pt-BR)

  • Artigo

 

Algumas modificações que são realizadas na floresta ou no domínio devem ser executadas e verificadas por apenas um controlador de domínio para que os dados sejam íntegros e por questão de segurança. Essas operações, e os controladores de domínio que possuem essa operação possuem os seguintes nomes, que podem ser únicos na Floresta ou no Domínio:

Funções que são únicos para a Floresta:

  • Nomeação de Domínio;
  • Esquema;

Funções que são únicas para o Domínio:

  • Identificador Relativo (RID);
  • Infraestrutura;
  • PDC Emulator;

Ou seja, em uma Floresta que possui apenas um domínio existem 5 mestres de operações. Em uma floresta que existem 2 domínios existem 8 mestres de operações.

 

Funções de Mestre de Operações para toda a Floresta.

 

A função de nomeação de Domínio e Esquema deve ser única na Floresta. Cada função é executada por apenas um controlador de domínio na floresta inteira.

Função de mestre de nomeação de domínios:

A função de nomeação de domínios deve ser utilizada ao adicionar ou remover domínios na floresta. Quando você adiciona ou remove domínio, o mestre de operações deve estar acessível ou a operação ira falhar. Esta função exige pouca demanda, uma vez que só é utilizada na criação de um novo domínio.

Função de Controlador de Esquemas.

A função de domínio que contém a função de controlador de esquemas é responsável por fazer quaisquer modificações no esquema da floresta (Lembrando que o esquema é único para a floresta inteira). Todos os outros DCs contêm réplicas somente leitura do esquema. Se você deseja fazer alguma modificação no esquema recomenda-se fazer isso no controlador que possui essa função, uma vez que realizada em outro controlador de domínio as modificações serão enviadas ao mestre de esquemas.

 

Função de Mestre de Operações para todo o domínio.

 

Cada domínio mantém três operações de mestre único: RID, Infraestrutura e emuator PDC. Cada Função é executada por somente um controlador de domínio no domínio.

Função de mestre RID.

O Mestre RID desempenha uma parte integrante na geração dos identificadores de segurança (SID) para entidades de segurança do domínio (usuários, grupos e computadores que deve ser único para cada entidade). O mestre RID distribui pools de SID para cada controlador de domínio, com isso cada controlador de domínio no domínio poderá criar entidades de segurança e atribuir SID únicos a essa entidade sem consultar o mestre RID (Este mecanismo é semelhante ao conceito de alocar um escopo de endereços IP ao um servidor DHCP).

Função mestre de infraestrutura.

Em um ambiente com vários domínios, é comum que um objeto referencie outro objeto de outro domínio na Floresta, Exemplo: um grupo de segurança do domínio contoso pode ter como membro um grupo ou usuário do domínio treyserch. O responsável por verificar a integridade dos objetos referenciados em outros domínios é o mestre de infraestrutura. Esse processo ocorre por padrão em um período de 2 dias.

Função Emulator PDC.

A função Emulator PDC executa varios papeis que são cruciais para um domínio:

  • Emula um DC primário (PDC) para compatibilidade com versões anteriores: Nos domínios NT 4.0 e não Windows somente o PDC podia fazer a modificação no diretório, os demais controlares de domínio eram somente leitura. Clientes antigos utilizam podem procurar um PDC no domínio, o controlador de domínio que possui a função Emulator PDC registra a si mesmo como um PDC para que esses clientes de nível inferior possam localizar um controlador de domínio gravável.

 

  • Participa das atualizações de senha especial para tratar o domínio: Quando a senha de um usuário é trocada, o controlador de domínio que faz a modificação replica essas informações imediatamente ao controlador de domínio que possui a função Emulator PDC, essa replicação assegura que o usuário poderá fazer logon utilizando essa nova senha mesmo que todos os controladores de domínio não tenha essa informação ainda, isso é possível pois assim que o controlador de domínio rejeita uma senha de um usuário ele consulta o emulator PDC para ter certeza que esta senha não foi trocada.

 

  • Gerencia as atualizações da diretiva de grupo dentro de um domínio: Se um objeto de Diretiva de Grupo (GPO) for modificado em dois DCs aproximadamente ao mesmo tempo, pode haver conflitos entre as duas versões durante a replicação. Para evitar essa situação, o Emulator PDC funciona como ponto focal para as modificações de grupo. Isso impede divergências durantes as replicações. Quando você abre o GPME ele é vinculado ao controlador de domínio que executa a função de Emulator PDC, isso assegura que as modificações serão feitas no Emulator PDC por padrão.

 

  • Fornece uma fonte mestra de data/hora para o domínio: Active Directory, Kerberos, FRS e DFRS contam com registros automáticos de data e hora, portanto a data e hora devem ser idênticas em todo o domínio. O Emulator PDC no domínio Raiz da floresta é, por padrão, o mestre de data e hora para a floresta inteira. Ele é responsável por assegura que todos os controladores de domínio da floresta possuíram a mesma data e hora de acordo com o fuso horário configurado.

  

Boas práticas de posicionamento dos mestres de operação.

 

Quando você criar o primeiro domínio na floresta este controlador possuirá as cinco funções de mestre de operações. A medida que você inclui controladores de domínio você pode distribuir estas funções para equilibrar a carga entre os controladores de domínio. As praticas recomendadas para o posicionamento das funções de mestre de operações são:

  • Posicionar conjuntamente o controlador de esquemas e o mestre de nomeação de domínio: As funções de controlador de esquema e mestre de nomeação de domínio devem ser posicionadas em um único controlador de domínio que seja um Global Catalog. Estas funções raramente são utilizadas e devem ser mantidas em um local seguro. O mestre de nomeação de domínio deve ser um GC para assegurar que não um objeto na floresta com o mesmo nome de domínio que ira ser criado, ele consulta o GC para fazer esta verificação.
  •  Posicionar conjuntamente o Emulator PDC e o RID: Posicione o RID e o Emulator PDC em um único controlador de domínio. Se devido a carga, as funções precisarem ser separadas certifique-se que os controladores de dominós que possuem essas funções estão fisicamente bem conectados.
  • Posicione o Mestre de infraestrutura em DC que não seja um Global Catalog: O mestre de infraestrutura não seja um GC mais deve ser fisicamente bem conectado ao GC. Temos duas exceções para esta regra. Primeiro, o mestre de infraestrutura não é utilizado em ambientes com Florestas com único Domínio, pois não há necessidade de fazer referencias para outro domínio. A segunda exceção, é quando todos os controladores de domínio de todos os domínios em uma floresta são Global Catalog. Neste caso especifico, também, não há necessidade da utilização do mestre de infraestrutura.
  •  

Referência:

Posicionamento e otimização FSMO nos controladores de domínio do Active Directory