Quantas funções da FSMO existem?

12

Sempre entendi que existem cinco papéis na FSMO, mas às vezes vejo algo que diz que há sete. Quantos realmente existem?

Ala - Restabelecer Monica
fonte

Respostas:

13

A resposta padrão que os administradores do Windows deram a esta pergunta é cinco:

Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)

Mas acontece que existem duas outras funções que geralmente não importam, mas podem causar problemas se o servidor ao qual foram atribuídos for retirado da rede.

Lembrete - quais são as funções da FSMO?

O Active Directory usa principalmente um modelo multimestre para atualizações de diretório: qualquer Controlador de Domínio pode atualizar sua cópia local do diretório e essas alterações serão replicadas para todos os outros controladores de domínio.

No entanto, existem algumas atualizações que são mais críticas e são feitas de maneira de mestre único: apenas um controlador de domínio é capaz de fazer essas atualizações e elas são replicadas desse controlador de domínio para os outros. A capacidade de fazer uma dessas atualizações críticas é chamada de função e essas funções são atribuídas a um controlador de domínio por vez (mestre único), mas é bastante fácil mover um cargo para um controlador de domínio diferente (flexível), o que leva ao nome "Função de operação de mestre único flexível".

As cinco funções da FSMO listadas acima são descritas neste artigo, incluindo uma breve explicação de que tipo de diretório atualiza cada responsável pela função do FSMO (por exemplo, o mestre de esquema é o único controlador de domínio que pode fazer alterações no esquema do AD).

Funções de mestre de infraestrutura

Acontece que, mesmo com um único domínio, há mais de uma função de mestre de infraestrutura. No artigo da MS mencionado acima, ele diz:

Um mestre de infraestrutura separado é criado para cada partição de aplicativo, incluindo as partições de aplicativo padrão em toda a floresta e em todo o domínio criadas pelo Windows Server 2003 e controladores de domínio posteriores.

Não vou explicar partições de diretório e partições de diretório de aplicativos no AD (os links são para um documento do TechNet que as explica melhor do que eu), basta saber que elas existem.

Portanto, se você possui um único domínio do AD, possui 3 mestres de infraestrutura, para um total de sete funções do FSMO.

As funções extras causam problemas?

As vezes...

Não consigo encontrar uma resposta definitiva, mas há fortes evidências circunstanciais de que as funções "extras" da FSMO só podem ser movidas manualmente, por exemplo mensagem de erro ao executar o comando "Adprep / rodcprep" no Windows Server 2008: "O Adprep não pôde entre em contato com uma réplica da partição DC = DomainDnsZones, DC = Contoso, DC = com "

O motivo mais comum para esse erro é que, quando um domínio é configurado, o primeiro controlador de domínio mantém todas as 7 funções, mas as duas funções principais de infraestrutura extra não são movidas por nenhuma das ferramentas usuais (DCPROMO etc.). Portanto, se o original O DC é aposentado, não há servidor mantendo essas funções e a preparação do RODC falha porque ele precisa conversar com eles.

O local em que eu encontrei as funções extras foi no Samba 4: o utilitário samba-tool pode transferir funções FSMO para um controlador de domínio diferente e, antes da versão 4.3, ele informava que todas as funções foram transferidas, mas quando você tentou rebaixar um DC queixaria-se de que o DC ainda mantinha 2 funções na FSMO. Isso foi corrigido agora.

Ala - Restabelecer Monica
fonte
1
Você está muito correto. Há um mestre de infraestrutura para cada NC de domínio e aplicativo em um diretório, como declara o MS-ADTS: msdn.microsoft.com/en-us/library/cc223753.aspx O motivo pelo qual isso raramente causa problemas é porque os NCs que não são de domínio não pode conter objetos parciais, portanto não há fantasmas para atualizar. No entanto, você ainda pode ver esse surgimento ao tentar rebaixar um controlador de domínio que ainda está referenciando uma IM para um NC sem domínio que não existe mais. Nesse caso, basta atualizar esse atributo para apontar para o domínio NC IM. Sem problemas. Essa resposta é boa.
Ryan Ries