Planejando posicionamento da função de mestre das operações
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
O AD DS (Active Directory Domain Services) dá suporte à replicação de vários mestres de dados de diretório, o que significa que todos os controladores de domínio podem aceitar as alterações de diretórios e replicar as alterações para todos os outros controladores de domínio. No entanto, é impraticável executar vários mestres de certas alterações como, por exemplo, modificações de esquema. Por esse motivo, determinados controladores de domínio, conhecidos como mestres de operações, têm funções responsáveis por aceitar as solicitações de determinadas alterações específicas.
Observação
Os proprietários de função de mestre de operações devem poder gravar algumas informações no banco de dados do Active Directory. Como o banco de dados do Active Directory é somente leitura em um RODC (controlador de domínio somente leitura), os RODCs não podem atuar como proprietários de função de mestre de operações.
Há três funções de mestre de operações (também conhecidas como operações de mestre único flexível ou FSMO) em cada domínio:
O mestre de operações emulador PDC (controlador de domínio primário) processa todas as atualizações de senha.
O mestre de operações de RID (ID relativo) mantém o pool de RID global para o domínio e aloca pools de RIDs locais para todos os controladores de domínio para garantir que todas as entidades de segurança criadas no domínio tenham um identificador exclusivo.
O mestre de operações de infraestrutura para um determinado domínio mantém uma lista das entidades de segurança de outros domínios que são membros de grupos dentro do domínio.
Além das três funções de mestre de operações em nível de domínio, há duas funções de mestre de operações em cada floresta:
- O mestre de operações do esquema controla as alterações no esquema.
- O mestre de operações de nomenclatura de domínio adiciona e remove domínios e outras partições de diretório (por exemplo, partições de aplicativo de DNS (Sistema de Nomes de Domínio)) de e para a floresta.
Coloque os controladores de domínio que hospedam essas funções de mestre de operações nas áreas em que a confiabilidade da rede é alta e verifique se o emulador controlador de domínio primário e o mestre RID estão disponíveis de forma consistente.
Os proprietários de função de mestre de operações são atribuídos automaticamente quando o primeiro controlador de domínio em um determinado domínio é criado. As duas funções de nível de floresta (mestre de esquema e mestre de nomeação de domínio) são atribuídas ao primeiro controlador de domínio criado em uma floresta. Além disso, as três funções de nível de domínio (mestre RID, emulador PDC e mestre de infraestrutura) são atribuídas ao primeiro controlador de domínio criado em um domínio.
Observação
As atribuições automáticas do proprietário da função de mestre de operações são feitas somente quando um novo domínio é criado e quando um proprietário da função atual é rebaixado. Todas as outras alterações nos proprietários de função deverão ser iniciadas por um administrador.
Essas atribuições de função de mestre de operações automáticas podem causar um uso muito alto da CPU no primeiro controlador de domínio criado na floresta ou no domínio. Para evitar isso, atribua (transferir) funções de mestre de operações a vários controladores de domínio na floresta ou no domínio. Coloque os controladores de domínio que hospedam as funções de mestre de operações nas áreas em que a rede é confiável e onde os mestres de operações podem ser acessados por todos os outros controladores de domínio na floresta.
Também é necessário designar mestres de operações em espera (alternativos) a todas as funções de mestre de operações. Os mestres de operações em espera são os controladores de domínio para os quais será possível transferir as funções de mestre de operações se os detentores de funções originais falharem. Garanta que os mestres de operações em espera sejam parceiros de replicação diretos dos mestres de operações reais.
Planejar o posicionamento do emulador PDC
O emulador PDC processa as alterações de senhas de clientes. Somente um controlador de domínio atua como o emulador PDC em cada domínio na floresta.
Mesmo se todos os controladores de domínio forem atualizados para o Windows 2000, Windows Server 2003 e Windows Server 2008 e o domínio esteja operando no nível funcional do Windows 2000 nativo, o emulador PDC receberá a replicação preferencial de alterações de senha executadas por outros controladores de domínio no domínio. Se uma senha foi alterada recentemente, essa alteração levará tempo para ser replicada para cada controlador de domínio no domínio. Se a autenticação de logon falhar em outro controlador de domínio devido a uma senha inválida, esse controlador de domínio encaminhará a solicitação de autenticação para o emulador PDC antes de decidir se aceitará ou rejeitará a tentativa de logon.
Se necessário, coloque o emulador PDC em um local que contenha um grande número de usuários desse domínio para as operações de encaminhamento de senha. Além disso, verifique se o local está conectado corretamente a outros locais para minimizar a latência de replicação.
Para obter uma planilha para ajudar você a documentar as informações sobre onde você planeja colocar os emuladores PDC e o número de usuários para cada domínio representado em cada local, consulte Auxiliares de trabalho para o kit de implantação do Windows Server 2003, baixe Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip e abra Posicionamento do Controlador de Domínio (DSSTOPO_4.doc).
É necessário consultar as informações sobre os locais necessários para colocar os emuladores PDC ao implantar domínios regionais. Para obter mais informações sobre como implantar domínios regionais, consulte Implantar domínios regionais do Windows Server 2008.
Requisitos para o posicionamento do mestre de infraestrutura
O mestre de infraestrutura atualiza os nomes das entidades de segurança de outros domínios que são adicionados a grupos no próprio domínio. Por exemplo, se um usuário de um domínio for membro de um grupo em um segundo domínio e o nome do usuário for alterado no primeiro domínio, o segundo domínio não será notificado de que o nome do usuário deverá ser atualizado na lista de membros do grupo. Como os controladores de domínio em um domínio não replicam as entidades de segurança para controladores de domínio em outro domínio, o segundo domínio nunca ficará ciente da alteração na ausência do mestre de infraestrutura.
O mestre de infraestrutura monitora constantemente as associações de grupo, procurando as entidades de segurança de outros domínios. Se encontrar um, ele verificará com o domínio da entidade de segurança para conferir se as informações foram atualizadas. Se as informações estiverem desatualizadas, o mestre de infraestrutura executará a atualização e, em seguida, replicará a alteração para os outros controladores de domínio no domínio.
Há duas exceções que se aplicam a essa regra. Primeira, se todos os controladores de domínio forem servidores de catálogo global, o controlador de domínio que hospeda a função de mestre de infraestrutura será insignificante porque os catálogos globais replicarão as informações atualizadas, independentemente do domínio ao qual pertencem. Segunda, se a floresta tiver apenas um domínio, o controlador de domínio que hospeda a função de mestre de infraestrutura será insignificante porque não há entidades de segurança de outros domínios.
Não coloque o mestre de infraestrutura em um controlador de domínio que também seja um servidor de catálogo global. Se o mestre de infraestrutura e o catálogo global estiverem no mesmo controlador de domínio, o mestre de infraestrutura não funcionará. O mestre de infraestrutura nunca encontrará dados desatualizados, portanto, nunca replicará alterações nos outros controladores de domínio no domínio.
Posicionamento do mestre de operações para redes com conectividade limitada
Lembre-se de que, se o ambiente tiver um local central ou um site de hub no qual será possível colocar os proprietários de função de mestre de operações, determinadas operações do controlador de domínio que dependam da disponibilidade desses proprietários de função de mestre de operações poderão ser afetadas.
Por exemplo, suponha que uma organização crie os sites A, B, C e D. Há links de sites entre A e B, entre B e C e entre C e D. A conectividade de rede reflete exatamente a conectividade de rede dos links de sites. Neste exemplo, todas as funções de mestre de operações são colocadas no site A e a opção para Ponte entre todos os links de sites não está selecionada.
Embora essa configuração resulte em replicação bem-sucedida entre todos os sites, as funções de função de mestre de operações têm as seguintes limitações:
- Os controladores de domínio nos sites C e D não podem acessar o emulador PDC no site A para atualizar uma senha ou para verificar se há uma senha que foi atualizada recentemente.
- Os controladores de domínio nos sites C e D não poderão acessar o mestre RID no site A para obter um pool de RID inicial após a instalação do Active Directory e para atualizar os pools de RID conforme se esgotam.
- Os controladores de domínio nos sites C e D não poderão adicionar ou remover diretórios, DNS ou partições de aplicativos personalizados.
- Os controladores de domínio nos sites C e D não poderão fazer alterações de esquema.
Para obter uma planilha para ajudar você a planejar o posicionamento da função de mestre de operações, consulte Auxiliares de trabalho para o kit de implantação do Windows Server 2003, download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip e abra Posicionamento do Controlador de Domínio (DSSTOPO_4.doc).
Será necessário consultar essas informações ao criar o domínio raiz da floresta e os domínios regionais. Para obter mais informações sobre como implantar o domínio raiz da floresta, consulte Implantar um domínio raiz de floresta do Windows Server 2008. Para obter mais informações sobre como implantar domínios regionais, consulte Implantar domínios regionais do Windows Server 2008.
Próximas etapas
Informações adicionais sobre o posicionamento da função FSMO podem ser encontradas no tópico de suporte Posicionamento e otimização de FSMO em controladores de domínio do Active Directory