AULA 6 Movendo Operaes Mestres O que so operaes de mestre? OADDS(ServiosdeDomnioActiveDirectory)oferecesuportereplicaode vriosmestresdedadosdediretrio,oquesignificaquequalquercontroladorde domnio pode aceitar alteraes de diretrio e replic-las a todos os outros controladores dedomnio.Noentanto,certasalteraes,comoasmodificaesdeesquema,no podemserexecutadascomvriosmestres.Poressemotivo,certoscontroladoresde domnio,conhecidoscomomestresdeoperaes,mantmfunesresponsveispor aceitar solicitaes para certas alteraes especficas. Existemtrsfunesdemestredeoperaes(tambmconhecidascomooperaesde mestre nico flexveis, ou FSMO) em cada domnio: OmestredeoperaesemuladordePDC(controladordedomnioprimrio) processa todas as atualizaes de senha. OmestredeoperaesRID(IDrelativa)mantmopoolRIDglobalparao domnioealocapoolsRIDlocaisparatodososcontroladoresdedomniopara garantirquetodasasentidadesdeseguranacriadasnodomniotenhamum identificador exclusivo. O mestre de operaes de infra-estrutura para um determinado domnio mantm umalistadasentidadesdeseguranadeoutrosdomniosmembrosdosgrupos desse domnio. Almdastrsfunesdemestredeoperaesemnveldedomnio,existemduas funes de mestre de operaes em cada floresta: O mestre de operaes de esquema controla as alteraes feitas no esquema. O mestre de operaes de nomenclatura de domnio adiciona e remove domnios a outras parties de diretrio (por exemplo, parties de aplicativos DNS) para a floresta e a partir dela. Osproprietriosdefunodemestredeoperaessoatribudosautomaticamente quandooprimeirocontroladordeumdeterminadodomniocriado.Asduasfunes emnveldefloresta(mestredeesquemaemestredenomenclaturadedomnio)so atribudasaoprimeirocontroladordedomniocriadoemumafloresta.Almdisso,as trs funes em nvel de domnio (mestre RID, mestre de infra-estrutura e emulador de PDC) so atribudas ao primeiro controlador criado em um domnio. Essasatribuiesautomticasdefunodemestredeoperaespodemcausaruma utilizao muito alta de CPU no primeiro controlador de domnio criado na floresta ou nodomnio.Paraimpedirisso,atribua(transfira)funesdemestredeoperaesa vrios controladores de domnio de sua floresta ou domnio. Posicione os controladores dedomnioquehospedamfunesdemestredeoperaesemreasondearede confiveleondeosmestresdeoperaespossamseracessadosportodososoutros controladores de domnio da floresta. Voctambmdeveindicarmestresdeoperaesdeespera(alternativos)paratodasas funesdemestredeoperaes.Osmestresdeoperaesdeesperasocontroladores de domnio para os quais voc poderia transferir as funes de mestre de operaes em caso de falha dos proprietrios da funo original. Verifique se os mestres de operaes de espera so parceiros de replicao diretos dos mestres de operaes reais. O emulador de PDC processa alteraes de senhas de cliente. Somente um controlador de domnio age como o emulador de PDC em cada domnio da floresta. Mesmo se todos os controladores de domnio forem atualizados para o Windows 2000, Windows Server 2003eWindowsServer 2008,eseodomnioestiveroperandono nvelfuncionalnativodoWindows 2000,oemuladordePDCreceberareplicao preferencial de alteraes de senha executadas por outros controladores do domnio. Se umasenhafoialteradarecentemente,essamudanalevarcertotempoparaser replicadaatodososcontroladoresdodomnio.Seaautenticaodelogonfalharem outrocontroladordedomniodevidoaumerrodesenha,essecontroladordedomnio encaminhar a solicitao de autenticao ao emulador de PDC antes de decidir se deve aceitar ou rejeitar a tentativa de logon. Omestredeinfra-estruturaatualizaosnomesdasentidadesdeseguranadeoutros domnios adicionados a grupos em seu prprio domnio. Por exemplo, se um usurio de um domnio for membro de um grupo de um segundo domnio e se o nome do usurio foralteradonoprimeirodomnio,osegundonosernotificadodequeonomedo usurio deve ser atualizado na lista de associaodogrupo. Como os controladores de domniodeumdomnionoreplicamentidadesdeseguranaparacontroladoresde domnioemoutrodomnio,osegundodomnionuncaficarsabendodaalteraona ausncia do mestre de infra-estrutura. Omestredeinfra-estruturamonitoraconstantementeasassociaesdegrupo, procurandoporentidadesdeseguranadeoutrosdomnios.Seencontrarum,verifica junto ao domnio da entidade de segurana se suas informaes esto atualizadas. Se as informaesestiveremdesatualizadas,omestredeinfra-estruturaexecutara atualizao e replicar as alteraes para outros controladores de seu domnio. Duas excees se aplicam a essa regra. Primeiro, se todos os controladores de domnio forem servidores de catlogo global, o controlador de domnio que hospeda a funo de mestredeinfra-estruturaserdesnecessrio,jqueoscatlogosglobaisreplicamas informaes atualizadas, a despeito do domnio a qual pertencem. Segundo, se a floresta s tiver um domnio, o controlador de domnio que hospeda a funo de mestre de infra-estruturaserdesnecessrioporquenoexistiroentidadesdeseguranadeoutros domnios. Noposicioneomestredeinfra-estruturaemumcontroladordedomnioquetambm sejaservidordecatlogoglobal.Seomestredeinfra-estruturaeocatlogoglobal estiveremnomesmocontroladordedomnio,omestredeinfra-estruturano funcionar.Omestredeinfra-estruturanuncaencontrarosdadosdesatualizadose, portanto, nunca replicar quaisquer alteraes para os outros controladores do domnio. Definindo cada FSMO Inicialmente,valemencionarqueapenasservidoresdotipo"DomainControllers" (DC)podemserconfiguradosparahospedarumadasFSMO,jqueestesservidores possuem uma cpia do tipo "Escrita" do Active Directory. As FSMO so divididas em 2 grupos: Floresta:soregrasqueafetamtodaumaflorestaWindows2000ou2003e podem ser hospedadas por qualquer DC dentro da floresta. Domnio: so regras que afetam apenas um domnio Windows 2000 ou 2003, e podem ser hospedadas por DCs dentro do domnio. Ao todo, temos cinco FSMO, duas que afetam a floresta como um todo e outras trs que afetam um domnio, conforme explicao abaixo: FlorestaoSchemaMaster:OSchemaocoraodoActiveDirectory.Ele compostodeobjetoseatributos,quemodelamoActiveDirectory. atravsdoSchemaquedizemos,porexemplo,queoobjetodotipo "USURIO"terosatributos"NOME","ENDEREO", "TELEFONE", etc. Como o esquema pode ser customizado e deve ser omesmoemtodaaflorestaWindows,aregra"SchemaMaster"se encarrega de evitar conflitos entre os DCs. oDomainNamingMaster:Sevocadicionaumnovodomnioemuma floresta (por exemplo, se voc adiciona um domnio filho), o nome deste domniodeveserniconafloresta.estaregraresponsvelpor assegurar isto e evitar conflitos entre outros domnios. DomniooPDCEmulator:Comoonomejdiz,umadasfunesdestaregra "emular" um PDC NT 4.0 para manter a compatibilidade com servidores legados(porexemplo,BDCsNT4.0)eclientesmaisantigos.Mesmo quevocmigretodoseuambienteparaWindows2000ou2003,esta regraaindaimportante,poisresponsvelportrataralteraesde contasdeusurios,"lockouts"decontas,relaesdeconfianascom outros domnios e pelo sincronismo do relgio no domnio. oRIDMaster.QualquerDCpodecriarnovosobjetos(usurios,grupos, contasdecomputadores).Cadaobjetodevepossuirumidentificador nico, conhecido como SID. O SID do objeto construdo usando o SID dodomnio,maisumIDrelativo(RID).Porm,apscriar512objetos, umDCprecisacontataroRIDMasterparaconseguirmais512RIDs (atualmente,umDCcontataoRIDMasterquandoelepossuimenosde 100RIDsdisponveis).Istoevitaquedoisobjetosdiferentestenhamo mesmo RID em todo o domnio. oInfrastructureMaster.Estaregramuitasvezesconhecidaapenas como"cosmtica",jquesuafunoseassegurarqueo"Display Name" de usurios pertencentes a umgrupo sejam atualizados caso este atributo seja alterado. Ele mais importante em ambientes que possuem vriosdomnios,poisvaiassegurarquetodososgruposqueum determinado usurio pertena ir refletir o "Display Name" correto. Assim,sevocpossuiumaflorestacomumnicodomnio,voctercincoFSMO (duas das florestas, mais trs do seu nico domnio). J uma floresta com dois domnios, voc ter oito FSMO (duas da floresta, mais trs por cada domnio). ExisteminmerosmtodosdeseverificarquaisDCshospedamasFSMOdentroda florestaoudomnio.Umadelassimplesmenteinstalaro"SupportTools"apartirdo diretrio\Support\ToolsdoCDdeinstalaodoWindows2000/2003edigitaro comando "netdom query fsmo" em um prompt de comando: Problemas com FSMO Se uma das FSMO falhar, com certeza voc ter problemas em seu ambiente. A tabela abaixo ajuda a identificar possveis problemas que possam ocorrer: Sintoma Possvel regra envolvida Explicao Usurios no conseguem fazer logon. PDC EmulatorO relgio do sistema pode no estar sincronizado, o que faz a autenticao Kerberos falhar. No possvel alterar senhas. PDC Emulator Alteraes de senhas necessitam desta regra ativa. "Lockout" de contas no funciona. PDC Emulator Esta operao necessita do PDC Emulator ativo. No possvel "elevar" o nvel funcional de um domnio. PDC Emulator Esta regra precisa estar ativa para o processamento desta operao. No possvel criar novos usurios ou grupos. RID Master RID pool precisa ser renovado, e para isto, necessrio contatar o RID Master. Problemas com membros de grupos universais. Infrastructure Master Esta regra responsvel por atualizar o "Display Name" dos membros de grupos. No possvel adicionar um remover um domnio. Domain Naming Master Alteraes deste porte necessitam desta regra. No possvel promover ou despromover um DC Domain Naming Master Alteraes deste porte necessitam desta regra. No possvel modificar o schema. Schema Master Modificaes no Schema devem ser controladas por esta regra. No possvel "elevar" o nvel funcional de uma floresta. Schema Master Esta regra precisa estar ativa para o processamento desta operao. Regras para configuraes das FSMO DCsirohosped-las.Porpadro,quandovocinstalaoprimeiroDCdasuafloresta (que neste caso tambm o domnio raiz ou root), este DC ir hospedar as cinco FSMO. QuandovocinstalaoprimeiroDCdequalqueroutrodomniodentrodesuafloresta, ele ir hospedar as trs FSMO do domnio. Porm, dependendo da complexidade do seu ambiente,estecomportamentopadropodenoseromaisapropriadoevocdeve transferiralgumasregrasparamquinasdiferentesparaummelhordesempenho.As regras a seguir podem ser usadas na definio das FSMO: 1-PDCEmulatoreRIDMasterdevemestarnamesmamquinaporqueoPDC Emulator um grande consumidor de RIDsDica:ComooPDCEmulatoraregramaisutilizadanumambienteWindows,sea mquinaquehospedaestasduasregrasestcomumaltonveldeutilizao, necessrio mover estas regras para um outro DC (de preferncia que no seja um Global Catalog(GC),jqueestetambmpossuialtautilizao)ourealizarumupgradede hardware. 2-InfrastructureMasternodeveestaremumDCquetambmGC(Global Catalog)Dica:Certifique-sequeoInfrastructureMastereoGCestejamemummesmosite fsicoequeestesdoisDCssejamconfiguradoscomo"ReplicationPartner",usandoo "Active Directory Sites and Services". Exceo1:sevocpossuiapenasumdomnio(SingleDomain),vocpodeterna mesmamquinaoInfrastructureMastereoGC Exceo2:setodososDCsemsuaflorestasotambmGC,vocpodetero Infrastructure Master junto com o GC. 3-Paraumgerenciamentofacilitado,SchemaMastereDomainNamingMaster podem estar na mesma mquina, que deve ser tambm um Global Catalog (GC).4-Detemposemtempos,verifiquesetodasasFSMOestodisponveise funcionando corretamente Movendo PDC Emulator e RID Para transferir o domnio mestre de nomeao 1..AbraActiveDirectoryDomnioseconfianas:NomenuIniciar,apontepara FerramentasAdministrativase,emseguida,ActiveDirectoryDomniose confianas.SeoControledeContadeUsuriocaixadedilogo,forneaas credenciais de Administradores de Empresa, se necessrio, e em seguida, clique em Continuar. 2..Narvoredoconsole,cliquecomoActiveDirectoryDomnioserelaesde confianae,emseguida,cliqueemAlterarcontroladordedomniodoActive Directory. 3..Verifique se o nome de domnio correto est inscrita no Procure neste domnio os controladores de domnio disponveis neste domnio so listados. 4..Na coluna Nome, clique no controlador de domnio para o qual deseja transferir a funo mestre de nomeao de domnio e clique em OK. 5..Notopodarvoredeconsole,cliquecomoActiveDirectoryDomniose relaes de confiana e, em seguida, clique em Mestre de Operaes. 6.6.O nome do mestre de nomeao de domnio atual aparece na primeira caixa de texto.Ocontroladordedomnioparaoqualvocdesejatransferirafuno mestredenomeaodedomniodeveaparecernasegundacaixadetexto.Se este no for o caso, repita os passos 1 a 4. 7.CliqueemAlterar.Paraconfirmaratransfernciadefuno,cliqueemSim. CliqueemOKnovamenteparafecharacaixademensagemindicandoque ocorreu a transferncia. Clique em Fechar para fechar a caixa de dilogo Master Operations. Para transferir um domnio de nvel superior funo de mestre de operaes 1..AbraUsuriosecomputadoresdoActiveDirectory:NomenuIniciar,aponte paraFerramentasAdministrativase,emseguida,ActiveDirectoryUsuriose computadores.SeoControledeContadeUsuriocaixadedilogo,forneaas credenciais Domain Admins, se necessrio, e clique em Continuar. 2..Notopodarvoredeconsole,botodireitodomouseActiveDirectory Usuriosecomputadores,e,emseguida,cliqueemAlterarcontroladorde domnio do Active Directory. 3..Verifique se o nome de domnio correto est inscrita no Procure neste domnio os controladores de domnio disponveis neste domnio so listados. 4..Na coluna Nome, clique no nome do controlador de domnio para o qual deseja transferir a funo e clique em OK. 5..Notopodarvoredeconsole,botodireitodomouseActiveDirectory Usuriosecomputadores,cliqueemAllTasksecliqueemMestrede Operaes.O nome do actual detentor da funo mestre de operaes aparece na caixademestredeoperaes.Onomedocontroladordedomnioparaoqual deseja transferir a funo aparece na caixa inferior. 6..Clique na guia para a funo de mestre de operaes que voc deseja transferir: RID,PDCouinfra-estrutura.Verifiqueosnomesdoscomputadoresque aparecem, em seguida, clique em Alterar. Clique em Sim para transferir a funo e clique em OK. 7..Repita os passos 5 e 6 para cada papel que voc deseja transferir. Para instalar o snap-in Esquema do Active Directory1.Clique em Iniciar, clique com o boto direito do mouse em Prompt de Comando e clique em Executar como administrador.Caso a caixa de dilogo Controle de Conta de Usurio aparea, confirme se a ao exibida a desejada e clique em Continuar. 2.No prompt de comando, digite o seguinte comando e pressione ENTER: regsvr32 schmmgmt.dll3.Clique em OK para fechar a caixa de dilogo que confirma se a operao foi bem-sucedida. 4.Clique em Iniciar e em Executar, digite mmc e clique em OK. Caso a caixa de dilogo Controle de Conta de Usurio aparea, confirme se a ao exibida a desejada e clique em Continuar. 5.No menu Arquivo, clique em Adicionar ou Remover Snap-in. 6.Em Snap-ins disponveis, clique em Esquema do Active Directory, em Adicionar e em OK. 7.Para salvar esse console, clique em Salvar, no menu Arquivo. 8.Na caixa de dilogo Salvar como, siga um destes procedimentos: oPara colocar o snap-in no menu Ferramentas Administrativas, em Nome de arquivo, digite um nome para o snap-in e clique em Salvar. oPara salvar o snap-in em um local que no seja a pasta Ferramentas Administrativas, em Salvar em, navegue para onde deseja que snap-in seja salvo. Em Nome de Arquivo, digite um nome para o snap-in e clique em Salvar. Transferir o mestre de esquema 1.Abra o Active Directory Schema snap-in. 2.Narvoredoconsole,cliquecomobotodireitoemEsquemadoActive Directorye,emseguida,cliqueemAlterarcontroladordedomniodoActive Directory. 3.NacaixaAlterarDirectoryServerdilogo,emMudarpara,cliqueemEste controlador de domnio ou AD LDS. 4.Na lista de controladores de domnio, clique no nome do controlador de domnio paraoqualdesejatransferirafunomestredeesquemae,emseguida,clique em OK. 5.Narvoredoconsole,cliquecomoActiveDirectorySchemaecliqueem MestredeOperaes.AmudanadeesquemacaixaMasterexibeonomedo servidor que ocupa atualmente a funo de mestre de esquema. O controlador de domnio alvo listada na segunda caixa. 6.CliqueemAlterar.CliqueemSimparaconfirmarasuaescolha.Osistema confirmaaoperao.CliqueemOKnovamenteparaconfirmarqueaoperao teve xito. 7.Clique em Fechar para fechar a mudana de esquema caixa de dilogo Master.