Explicação e migração das FSMO para Windows Server 2008 R2

Impressão amigável, PDF & E-mail

Neste documento temos a explicação de cada função ou papel FSMO que terão os nossos controladores de domínio. Além disso, veremos como transferir essas funções entre os controladores de domínio e as recomendações a ter em conta.

Mestre de Operações da Floresta

São funções únicas na floresta. Portanto, na floresta só pode haver um Mestre de Esquema e um Mestre de Nomes de Domínio.

Mestre de Esquema ou Schema Master:
É o responsável por modificar o esquema do Active Directory, O esquema do Active Directory está replicado em todos os controladores de domínio, Apenas o controlador de domínio com o papel de 'Schema Master' poderá modificá-lo.

Mestre de Nomes de Domínio ou Domain Naming Master:
O responsável por manter o esquema de nomes de domínio dentro da floresta, além de ser o encarregado de criar e remover domínios.

Mestre de operações de Domínio
São funções únicas em cada domínio. Portanto, em cada domínio da floresta só pode existir um Mestre Emulador do PDC, um Mestre de RID e um Mestre de Infraestruturas

Emulador de PDC ou PDC Emulator:
Responsável por sincronizar as propriedades das contas de utilizador e grupos com controladores de domínio NT 4 (Emula ser o PDC num domínio NT 4) Além disso, é o responsável pela sincronização da hora entre a floresta.

O Emulador do PDC no domínio principal deve ser configurado para sincronizar com um recurso de hora externo. Podemos configurar um servidor externo seguindo este documento: Referências HTTP://www.bujarra.com/?p=1070. É recomendável juntar a função de Emulador de PDC com a de Mestre de RID.

Mestre de RID ou Relative ID Master ou RID Master:
Atribui sequências de IDs ou Id. Relativos (RID) a cada um dos diferentes controladores de domínio. Em qualquer momento só pode haver um controlador de domínio que atue como mestre de RID em cada domínio da floresta. Sempre que um controlador de domínio cria um objeto (utilizador, grupo, computador…) atribuí um ID de segurança (ou SID) único ao objeto criado. Este SID é composto por um SID de domínio, que é o mesmo para todos os SIDs criados no domínio, e de um RID, que é único para cada um dos SID criados no domínio. É recomendável separar este papel do Catálogo Global ou Global Catalog. É recomendável juntar a função de Mestre de RID com a de Emulador de PDC.

Mestre de infraestruturas ou Infrastructure Master:
Responsável pela verificação de pertença a grupos universais em ambientes com múltiplos domínios. Responsável pela atualização de referências de objetos do seu domínio para outros domínios a menos que exista apenas um DC no domínio, a função de mestre de infraestruturas não deve ser atribuída ao controlador de domínio que aloja o catálogo global.

Transferir funções entre os controladores de domínio:

Para transferir una función FSMO a otros controladores de domínio o podremos fazer mediante las herramientas de gestión “Sitios y servicios del Active Directory”, “Usuarios y Equipos de Active Directory” e “Esquema de Active Directory”. O directamente melhor desde linha de comandos gracias a NTDSUTIL. Para fazer isso,, desde linha de comandos o “Símbolo del sistema”, Correr “ntdsutil”, damos a enter; o próximo comando a escrever es “roles”, damos a Enter. Después escribimos “connections” y damos de nuevo al Enter. Depois, nos conectamos al servidor que queremos que tenga el rol a migrar o los roles a migrar, Pôr “connect to server NOMBRE_SERVIDOR”, damos a Enter; una vez conectados salimos poniendo “q” y damos de nuevo a Enter. Agora escrevemos o rol que nos interessa mover a este servidor, siempre precedido de la palabra “transfer”, y los cinco roles serían: “naming master”, “infraestructure master”, “PDC”, “Mestre RID” e “Mestre de esquema”. Seria necessário executar o comando com todos os papéis que quisermos transferir ou migrar, seremos perguntados cada vez que movemos o papel entre os DCs se temos a certeza, e confirmamos com “Sim”.

Se, pelo contrário, a transferência de papéis entre os controladores de domínio falhar, ou diretamente tivermos algum papel desaparecido, perdido ou com algum erro, quer seja porque nos falta um controlador de domínio… poderemos sempre recuperar o papel e realizar uma transferência forçada através do comando “seize”, da mesma forma que migraríamos os papéis, deveríamos tomar posse do papel que temos danificado/perdido.

Uma vez que tais transferências sejam corretas, podremos confirmarlo en el visor de sucesos de cualquier controlador de dominio.

Para mais informação: http://support.microsoft.com/kb/223346.


Postagens recomendadas

Monitorando eventos do Windows a partir do Centreon
Ler
Desplegando Crowdsec en una máquina Windows
Ler
Métricas do Windows com Prometheus e Grafana
Ler
Auditando o acesso a dispositivos de armazenamento removíveis
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Preparando o Active Directory para Windows 2008 R2

20 de Janeiro 2010

Migrando nuestro Directorio Activo a Windows 2008 R2

20 de Janeiro 2010