Funções principais de operações (operações mestre simples flexíveis-FSMO)
as funções mestre de operações (também conhecidas como operações mestre simples flexíveis ou FSMO) são funções especiais atribuídas a um ou mais controladores de domínio em um domínio do Active Directory.
o Active Directory suporta a replicação multi-mestre do armazenamento de dados do Diretório entre todos os controladores de domínio no domínio. Portanto, todos os controladores de domínio em um domínio são considerados essencialmente pares. Mas, os conflitos de replicação ocorrem durante a replicação do Active Directory. Algumas operações que ocorrem em um Active Directory do Windows Server 2003 podem ser prejudiciais se ocorrerem conflitos. No caso dessas operações, O Windows 2003 reverte para o uso de um modelo de mestre único. Isso significa que um único controlador de domínio na rede assume a responsabilidade de executar uma tarefa específica e esses controladores de domínio são chamados de mestre de operações.
existem cinco funções mestre de operação e duas delas são funções de Nível Florestal e três delas são funções de Nível de domínio. A tabela a seguir lista as funções mestre da operação e seu escopo.
de Mestre de Operações |
Âmbito de aplicação |
Mestre de Esquema |
grande Floresta |
Mestre de Nomeação de Domínio |
Grande floresta |
Controlador de Domínio Primário (PDC) do Emulador |
todo o Domínio |
Identificador Relativo (RID) Mestre |
todo o Domínio |
Mestre de Infra-estrutura |
todo o Domínio |
Schema Master
o esquema do Active Directory define o que pode existir dentro do diretório. Gerenciar o processo de atualização com novos objetos e atributos deve ser um processo monitorado de perto. Há apenas uma única cópia de leitura / gravação do esquema em sua rede do Windows Server 2003, armazenada no mestre do esquema.
o controlador de domínio atribuído à função mestre do esquema controla todas as atualizações e modificações no esquema. Para atualizar o esquema de uma floresta, você deve ter acesso ao mestre do esquema.
há apenas um único mestre de esquema em toda a floresta a qualquer momento.
Domain Naming Master
todos os objetos dentro do AD devem ser únicos. Não podemos criar dois objetos em um contêiner com o mesmo nome, e os nomes distintos todos os objetos devem ser únicos. O Domain Naming Master garante que novos domínios adicionados à sua floresta do Windows Server 2003 tenham nomes exclusivos.
existe apenas um único mestre de nomenclatura de domínio em toda a floresta a qualquer momento.
emulador PDC (Primary Domain Controller)
os clientes de rede do PDC emulator services que não possuem software Cliente do Active Directory instalado e replica as alterações de diretório para qualquer controlador de domínio de backup do Microsoft Windows NT (BDCs) no domínio.
mesmo o domínio está operando no nível funcional do Windows 2003, o emulador PDC é necessário para executar determinadas tarefas.
o emulador PDC recebe replicação preferencial de alterações de senha realizadas por outros controladores de domínio no domínio.
se uma senha foi alterada recentemente, essa alteração leva tempo para ser replicada para cada controlador de domínio no domínio. Se uma autenticação de logon falhar em outro controlador de domínio devido a uma senha incorreta, esse controlador de domínio encaminha a solicitação de autenticação para o emulador PDC antes de rejeitar a tentativa de logon.
existe apenas um único emulador PDC Por domínio.
Relative ID (RID) Master
um Principal de segurança é um objeto do Active Directory que pode receber permissões dentro de uma rede do Windows Server 2003. Exemplos para objetos principais de segurança são usuários, grupos e computadores. Cada Principal de Segurança recebe um identificador de segurança (SID) para que possa ser identificado.
um identificador de segurança (SID) é composto por dois componentes. O primeiro componente, o SID de domínio, é comum a todos os princípios de segurança em um domínio. A singularidade no SID vem da adição de um segundo número, o identificador relativo (RID). O RID é atribuído a partir de um pool de RIDs armazenados em cada controlador de domínio. Os RIDs neste pool são atribuídos a cada controlador de domínio pelo mestre RID.
o formato do SID segue Este padrão: S-r-IA-SA-sa-RID.
* S representa um identificador SID.
* R representa a revisão. Todos os SIDs gerados pelo Windows usam um nível de revisão de 1.
* IA representa a autoridade emissora.
•SA representa uma sub-autoridade e
* RID é o ID relativo
um SID de usuário típico é assim: S-1-5-21-1683771067-1221355100-624655392-1001.
RIDs são atribuídos a cada DC em blocos de 500 RIDs. Quando o bloco de RIDs está esgotado, o DC solicita outro bloco do mestre RID. Para garantir a exclusividade, o RID Master mantém o controle de quais blocos de RID foram atribuídos.
se o pool de RID em um DC estiver esgotado e o mestre de RID não estiver disponível, você não poderá criar princípios de segurança (exemplo: um usuário) nesse servidor.
existe apenas um único RID Master por domínio.
Leave a Reply