FSMO significa Flexible Single Master Operation, comumente chamado de Mestres de Operações, é um conjunto de operações ou funções no Active Directory – AD projetado para evitar conflitos de replicação.
A replicação multimestre permite alterações de diretório em qualquer Domain Controller (DC) em um domínio. A replicação com vários mestres é importante pois ter vários DCs que podem gravar alterações evita o risco de um único ponto de falha e cria redundância. No entanto, há algumas desvantagens, incluindo o risco de conflitos de replicação.
Para evitar disputas de replicação, especialmente para operações confidenciais, alguns objetos do AD são atualizados usando o modelo de único mestre, o que significa que DCs específicos são atribuídos para serem a autoridade principal de objetos e estruturas específicas do AD. Essas designações são os detentores de funções FSMO ou mestres de operação. Depois que um detentor de função FSMO atualiza um objeto, as alterações são replicadas para o restante dos DCs.
Quais são as cinco funções do FSMO?
O FSMO possui 5 funções, e um DC pode receber uma única função, várias funções ou todas as funções. As funções podem ser transferidas para qualquer controlador de domínio em um domínio ou floresta, evitando um único ponto de falha, por isso o nome “Flexível” no FSMO. Algumas dessas funções são funções de nível de floresta, enquanto outras são de nível de domínio no escopo.
Schema master (Mestre de esquema) – Nível de Floresta
Domain naming master (Mestre de nomeação de domínio) – Nível de Floresta
RID master (Mestre de RID) – Nível de Domínio
PDC emulator (Emulador PDC) – Nível de Domínio
Infrastructure master (Mestre de infraestrutura) – Nível de Domínio
Um domínio tem um RID Master (), um PDC Emulator e um Infrastructure Master. Uma floresta tem um Schema Master e um Schema Master. Se uma floresta contiver vários domínios, cada domínio terá seu próprio mestre de RID, emulador de PDC e Infrastructure Master. No entanto, a floresta sempre tem apenas um Schema Master e um Schema Master.
1 – Schema master
A função de esquema no Active Directory define cada classe de objeto e atributo em uma floresta do AD. Podemos imaginar o esquema como a estrutura do banco de dados do AD. Qualquer atualização que modifique o esquema é feita por meio da função de Schema Master.
Raramente é realizado as alterações no esquema, mas geralmente ocorrem ao aumentar o nível funcional da floresta ou ao integrar aplicativos que exigem uma alteração no esquema, como o Exchange e o SCCM. Depois que a alteração é feita no controlador de domínio com a função de Schema Master, a alteração é replicada para os controladores de domínio restantes.
2 – Domain Naming master
A função de Schema Master é responsável pelo espaço de nome de diretório em toda a floresta. Algumas responsabilidades dessa função incluem adicionar ou remover domínios, alterar nomes de domínio e adicionar ou remover referências cruzadas a domínios. Assim como o Schema Master, o Schema Master é uma função de nível de floresta.
3 – RID Master
A função de mestre de RID é responsável por garantir que cada objeto em um domínio receba uma ID exclusiva. Nenhum objeto em um domínio pode ter o mesmo identificador de segurança (SID). O mestre de RID faz isso alocando sequências de RID para cada controlador de domínio em um domínio. Quando um controlador de domínio usa uma parte de seus RIDs alocados, ele solicita mais do controlador de domínio que possui a função de mestre de RID. Por padrão, o mestre de RID atribui RIDs a controladores de domínio em blocos de 500. Depois que um controlador de domínio emite metade de seu pool de RID para objetos, ele solicita mais RIDs do mestre de RID.
4 – PDC Emulator
Embora todas as funções FSMO sejam importantes, o PDC Emulator (PDC) desempenha talvez o papel mais proeminente na manutenção diária do diretório. Aqui estão algumas das responsabilidades de domínio do PDC Emulator:
Autoridade de alteração de senha: O PDC Emulator é responsável por garantir que as senhas sejam atualizadas e sincronizadas corretamente em todo o domínio. Quando uma senha é alterada em um controlador de domínio, a alteração é replicada preferencialmente para o PDC Emulator, ignorando agendamentos de replicação entre sites. A alteração é replicada rotineiramente no domínio para o restante dos controladores de domínio. Se um usuário não conseguir se autenticar em um controlador de domínio, a solicitação será roteada para o PDC Emulator para verificar se há uma senha atualizada que talvez ainda não tenha sido replicada. Em seguida, o PDC Emulator aceita ou rejeita a solicitação.
Bloqueios de conta: Como todas as solicitações de autenticação com falha são enviadas ao PDC Emulator, ele é responsável pelos bloqueios de conta. Os bloqueios de conta não seguem a replicação normal, exigindo replicação urgente em todos os controladores de domínio. Essa medida de segurança garante que os usuários que tiveram suas contas bloqueadas não possam tentar se autenticar imediatamente em um controlador de domínio diferente que não tenha recebido a alteração de conta por meio da replicação normal.
Sincronização de tempo: Manter o tempo sincronizado entre clientes em uma rede é extremamente importante. Kerberos, o protocolo de autenticação padrão usado pelo Windows, tem uma tolerância de sincronização de relógio de cinco minutos. Se um host estiver fora de sincronia por mais de cinco minutos do controlador de domínio com o qual está se autenticando, a solicitação de autenticação falhará. Os clientes em uma floresta sincronizam seu tempo upstream com o PDC Emulator. O PDC Emulator no domínio pai deve ser configurado para sincronizar seu relógio com um servidor NTP (protocolo de horário de rede) autoritativo.
É vital garantir que esse servidor tenha muitos recursos e alta disponibilidade. Se o servidor PDC Emulator falhar e estiver offline, isso poderá afetar significativamente os serviços de rede. Se a recuperação rápida de um servidor PDC Emulator com falha for improvável, talvez valha a pena aproveitar e transferir a função para outro controlador de domínio.
5 – Infrastructure Master
A função de Infrastructure Master, juntamente com o PDC Emulator e o RID Master, é outra função de nível de domínio. O Infrastructure Master é responsável por traduzir referências de objetos entre domínios. A função de Infrastructure Master deve ser mantida por um controlador de domínio que não esteja configurado como um servidor de Global Catalog (GC). Se todos os servidores no domínio forem GCs (Global Catalogs), não importa qual servidor detém a função de Infrastructure Master.
Indentificar os servidores Domain Controllers que detém as funções de FSMO:
Pelo CMD:
netdom query fsmo
Pelo Powershell utilizamos os comandos de domínio e de floresta:
Nível de Domínio:
Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Nível de Floresta:
Get-ADForest | Select-Object DomainNamingMaster,SchemaMaster
Via interface gráfica do servidor:
Abra a console Active Directory Users and Computers
Botão direito no nome de domínio e selecione Operations Masters…
Será apresentada a tela contendo as três funções de domínio: RID Master, PDC Emulator e Infrastructure Master.
Para verificarmos as função de Floresta Domain Naming Master, precisamos abrir a console Active Directory Domains and Trusts.
Para verificarmos a função de Schema Master, primeiro precisamos registrar a DLL: regsvr32 schmmgmt.dll
Após termos registrado a DLL, abrimos uma nova console de MMC e adicionmos um novo Snap-in… e selecionamos o Active Directory Schema.
Com o novo Snap-in… clicamos com o botão direito em Active Directory Schema e selecionamos Operations Master
Transferir as funções FSMO para outro Domain Controller:
Requisitos:
1 – Os Domain Controllers de origem e de destino precisam estar online para que possamos realizar a transferência de funções.
2 – O usuário que for realizar a transferência da função de Schemma Master deverá fazer parte do grupo de Enterprise Admins. Senão ele vai apresentar a mensagem de Permission Denied.
Podemos realizar por linha de comando pelo CMD:
1 – Consultar o Domain Controller que detém as funções FSMO
netdom query fsmo
2 – Vimos pelo comando anterior que as FSMO estão no servidor SRV-DC01 e iremos transferir para o servidor SRV-DC02.
No prompt de comando executar os comandos a seguir:
ntdsutil
NTDSUTIL: roles
FSMO MAINTENACE: connections
SERVER CONNECTIONS: connect to server SRV-DC02
SERVER CONNECTIONS: quit
FSMO MAINTENACE: transfer schema master
FSMO MAINTENACE: transfer naming master
FSMO MAINTENACE: transfer pdc
FSMO MAINTENACE: transfer rid master
FSMO MAINTENACE: transfer infrastructure master
Quit
3 – Vamos validar:
netdom query fsmo
Powershell:
1 – netdom query fsmo
2 – Vimos pelo comando anterior que as FSMO estão no servidor SRV-DC01 e iremos transferir para o servidor SRV-DC02.
Move-ADDirectoryServerOperationMasterRole -Identity SRV-DC01 -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster
3 – Validar
netdom query fsmo
Pela Interface Gráfica:
1 – Consultar o Domain Controller que detém as funções FSMO
netdom query fsmo
2 – Vimos pelo comando anterior que as FSMO estão no servidor SRV-DC01 e iremos transferir para o servidor SRV-DC02.
Precisamos realizar o transfer a partir do servidor SRV-DC02. Realizamos logon no SRV-DC02.
Abrimos a console de Active Directory Users and Computers
Clicamos com o botão direito no nome do domínio e em Operations Masters…
Para cada função: RID, PDC e Infraestructure realizamos a transferência do SRV-DC01 para o SRV-DC02.
RID
PDC
Infrastructure
Para a função de Domain Naming Master precisamos abrir a console de Active Directory Domains and Trusts no servidor de destino SRV-DC02.
Botão direito em Active Directory Domains and Trusts e depois Operations Master…
Para a transferir a função de Schema Master, precisamos registrar a DLL:
regsvr32 schmmgmt.dll
Após termos registrado a DLL, abrimos uma nova console de MMC e adicionamos um novo Snap-in… e selecionamos o Active Directory Schema.
Com o novo Snap-in… validamos se estamos conectados no servidor de destino, no caso SRV-DC02.
Clicamos com o botão direito em Active Directory Schema e selecionamos Operations Master
Schema Master
Confirmamos a alteração
3 – Validar
Vimos até aqui como realizar a transferência das funções FSMO do Active Directory. Para maiores informações consulte a documentação oficial da Microsoft em:
https://learn.microsoft.com/pt-br/troubleshoot/windows-server/identity/fsmo-roles