Escolar Documentos
Profissional Documentos
Cultura Documentos
12 Controladores de Operaþao
12 Controladores de Operaþao
-370-
Módulo 12: Gerenciando Controladores de Operações
O Active Directory suporta replicação multi-master das alterações de diretórios entre todos
os controladores de domínio em uma floresta. Durante a replicação multi-master, um
conflito de replicação pode ocorrer potencialmente se atualizações originais concorrentes
são realizadas nos mesmos dados em dois controladores de domínio diferentes.
Para evitar estes conflitos, algumas operações são realizadas em um single master – máster
único - (não permite ocorrer em diferentes locais na rede ao mesmo tempo) criado fazendo
um único controlador de domínio responsável pela operação. Estas operações são agrupadas
juntas em funções especificas dentro de uma floresta ou dentro de um domínio. Estas
funções são chamadas de funções do controlador de operações. Para cada função do
controlador de operações, somente o controlador de domínio mantido para aquela função
pode fazer as alterações de diretório associadas. O controlador de domínio responsável por
uma função particular é chamado de um controlador de operações para aquela função.
O Active Directory armazena informações sobre qual controlador de domínio mantém uma
função específica. Os clientes que podem consultar o Active Directory usam esta
informação para entrar em contato com um controlador de operações quando necessário.
Qualquer controlador de domínio pode potencialmente ser configurado como um
controlador de operações. Isto é possível para mover uma função do controlador de
operações para outros controladores de domínio, mesmo quando o proprietário atual da
função do controlador de operações não estiver disponível.
O Active Directory define cinco funções para o controlador de operações, cada uma delas
possui uma localização padrão. As cinco funções do controlador de operações são:
Controlador de esquema
Controlador de nome de domínio
Emulador de Controlador de Domínio Primário (PDC)
Controlador de Identificador relativo (RID)
Controlador de infra-estrutura
-371-
Módulo 12: Gerenciando Controladores de Operações
Localizações padrão do controlador de operações
Domain-wide Roles
z RID master
z PDC emulator
z Infrastructure
master
Por padrão, o primeiro controlador de domínio de uma nova floresta mantém todas as cinco
funções do controlador de operações. O primeiro controlador de domínio de cada novo
domínio junta-se a uma floresta existente mantendo a arvore de um amplo domínio de
funções do controlador de operações para o novo domínio.
Controlador de esquema
Domain Naming
Master
Global Catalog
Server
New
Domain
Emulador de PDC
Nota: Somente enquanto o domínio está no modo misto que o controlador de domínio
mantém a função de emulador de PDC sincronizado com BDCs executando as versões
4.0 ou 3.51 do Windows NT.
-374-
Módulo 12: Gerenciando Controladores de Operações
O snap-in Política de Grupo, por padrão, executa no controlador de domínio que
mantém a função de emulador de PDC daquele domínio. Isto é feito para reduzir os
conflitos potenciais de replicação. Isto não é requerido, contudo que uma GPO seja
atualizada neste controlador de domínio.
Controlador de RID
Move Move
RID Master
RID Allocation
Block
Block of
of RIDs
RIDs
Object
Object SID
SID == Domain
Domain SID
SID ++ RID
RID
O controlador de identificador relativo (RID) aloca blocos de RIDs para cada controlador
de domínio no domínio. Toda vez que um controlador de domínio cria uma nova proteção
principal, como um usuário, grupo ou objeto de computador, ele atribui ao objeto um único
identificador de segurança (SID – Security Identifier). Este SID consiste de um SID de
domínio, no qual é o mesmo para todos as proteções principais criadas no domínio, e um
RID, no qual é único para cada proteção principal criada no domínio.
-375-
Módulo 12: Gerenciando Controladores de Operações
Controlador de infra-estrutura
Move
Infrastructure
Master
-376-
Módulo 12: Gerenciando Controladores de Operações
O controlador de infraestrutura e o catálogo global
O controlador de operações de infraestrutura não deve ser o mesmo controlador de domínio
que acomoda o catálogo global. Se isto acontecer, o controlador de infraestrutura não
funcionará devido a ele não conter qualquer referencia aos objetos que ele não mantém.
Neste caso, o domínio reproduz os dados e os dados do servidor de catálogo global não
podem existir no mesmo controlador de domínio.
O controlador de infraestrutura de um domínio periodicamente examina as referencias,
dentro do seu diretório de dados replicados, para objetos não mantidos naquele controlador
de domínio. Ele consulta um servidor de catálogo global para informações atuais sobre o
nome distinto e a SID de cada referencia de objeto. Se esta informação foi alterada, o
controlador de infraestrutura faz as alterações no seu local de replicação. Estas alterações
são replicadas usando a replicação normal para os outros controladores de domínio dentro
do domínio.
Quando você cria um domínio Windows Server 2003 , o Windows Server 2003
automaticamente configura todos as funções do controlador de operações. Contudo, pode
ser necessário redefinir as funções do controlador de operações para outro controlador de
domínio na floresta ou no domínio. Para redefinir as funções do controlador de operações
para outro controlador de domínio:
Determine o portador das funções de um controlador de operações.
Transfira as funções do controlador de operações.
Aproveite as funções do controlador de operações.
-377-
Módulo 12: Gerenciando Controladores de Operações
O nome do controlador de operações atual aparece abaixo de Controlador de
operações.
-378-
Módulo 12: Gerenciando Controladores de Operações
Para transferir as funções do controlador de operações, você deve possuir as permissões
apropriadas para realizar esta tarefa. A tabela seguinte lista os grupos dos quais você deve
ser um membro para possuir permissões de alterar as funções do controlador de operações.
Importante: Transfira funções somente quando fizer uma alteração maior na infraestrutura
do domínio, como, por exemplo, retirar de serviço um controlador de domínio que mantém
uma função ou adicionar um novo controlador de domínio que é mais bem adaptado para
uma função específica.
-379-
Módulo 12: Gerenciando Controladores de Operações
Atenção: Assegure que você não irá transferir a função de controlador de infraestrutura
para um controlador de domínio que mantém o catálogo global.
Nota: Você necessita registrar o snap-in admin esquema, Schmgmt.dll, antes de abrir o
esquema do Active Directory.
-380-
Módulo 12: Gerenciando Controladores de Operações
Importante: Antes de proceder com o aproveitamento da função, você deve desconectar
permanentemente da rede o controlador de domínio que atualmente mantém a função de
controlador de operações.
Antes de você aproveitar uma função do controlador de operações, você deve determinar
qual controlador de domínio mantém a função de controlador de operações. Depois que
você determinar o atual portador da função, aproveite a função de controlador de operações
usando o console do Active Directory que você usou para determinar ou transferir uma
função, ou o comando ntdsutil. Finalmente, verifique que o controlador de domínio que
está funcionando aceita sua nova função de controlador de operações.
Nota: Isto pode levar algum tempo para os dados serem mostrados devido a ele estar
esperando por uma resposta do portador atual da função do controlador de operações.
Devido ao atual portador da função estar com problemas e não pode responder, a ultima
informação atualizada aparece.
-381-
Módulo 12: Gerenciando Controladores de Operações
Usando o Ntdsutil para aproveitar uma função
Para usar o comando ntdsutil para aproveita uma função do controlador de operações,
realize os seguintes passos:
1. Na caixa Executar, digite cmd e então pressione ENTER.
2. No prompt de comando, digite ntdsutil.
3. No prompt do ntdsutil, digite roles.
4. No prompt do fsmo maintenance (manutenção fsmo), digite connections.
5. No prompt server connections (conexões de servidor), digite connect to server
(conectar ao servidor) seguido pelo nome totalmente qualificado de domínio (FQDN –
fully qualified domain name) do controlador de domínio que será o novo portador da
função.
6. No prompt server connections (conexões de servidor), digite quit.
7. No prompt do fsmo maintenance (manutenção fsmo), digite um dos seguintes
comandos para aproveitar o controlador de operações apropriado:
• Seize RID master (aproveitar controlador de RID)
• Seize PDC (aproveitar PDC)
• Seize infrastructure master (aproveitar controlador de infraestruturar)
• Seize domain naming master (aproveitar controlador de nomes de domínio)
• Seize schema master (aproveitar controlador de esquema)
8. No prompt do fsmo maintenance (manutenção fsmo), digite quit.
9. No prompt do ntdsutil, digite quit.
10. Verifique o novo portador da função de controlador de operações que você aproveitou.
A falha de um emulador de PDC pode afetar mais seriamente os usuários da rede do que a
falha das outras funções do controlador de operações devido ao emulador de PDC ser uma
função mantida para as operações de rede mais comuns.
-383-
Módulo 12: Gerenciando Controladores de Operações
4. Reformate a partição que contem os arquivos do sistema operacional do
controlador de operações original e reinstale o Windows Server 2003 antes de
reconectar este computador a rede
Objetivos
Pré-requisitos
Antes de começar este laboratório, você precisa ter conhecimento da latência na replicação do
Active Directory e como iniciar a replicação manualmente.
Cenário
A Northwind Traders está desenvolvendo um plano de recuperação de desastres. Uma
consideração importante é a distribuição das funções de mestre de operações. Não existirá
mais do que uma função de mestre de operações em um controlador de domínio. As funções
-384-
Módulo 12: Gerenciando Controladores de Operações
de mestre de operações serão distribuídas através de múltiplos controladores de domínio para
minimizar o impacto de uma falha em qualquer localização.
Objetivo
Neste exercício, você determinará que controlador de domínio manterá cada uma das duas
funções de mestre de operações da floresta, que são mestre de esquema e mestre de
nomenclatura de domínio. Você também determinará que controlador de domínio mantém
cada uma das três funções de mestre de operações em seu domínio, que são o identificador
relativo (RID, relative identifier), o emulador de controlador de domínio (PDC, primary
domain controller) e o mestre de infra-estrutura. As três tarefas fornecerão a você as
informações necessárias para que você grave seus resultados na seguinte tabela. Nenhuma
transferência ou substituição de função é feita neste exercício.
Cenário
Depois de monitorar consultas ao catálogo global desenvolveu um plano para redistribuir a
função do servidor de catálogo global entre os controladores de domínio. Pelo fato de que o
mestre de infraestrutura não executará corretamente em um catálogo global, o plano também
inclui o posicionamento desta função em controladores de domínio particulares.
Objetivo
Neste exercício, você transferirá a função de mestre de infraestrutura para o controlador de
domínio especificado. É recomendando que o controlador de domínio estivesse no mesmo site
que o servidor de catálogo global, mas isto não deveria ser um servidor de catálogo global.
Isto porque o mestre de infraestrutura freqüentemente contata um servidor de catálogo global.
Observação: Alunos trabalharão em pares agrupados por domínio para completar este
exercício.
-388-
Módulo 12: Gerenciando Controladores de Operações
Exercício 3: Substituindo a Função do Emulador de PDC
Cenário
O Suporte Técnico da Northwind Traders recebeu um número crescente de reclamações de
usuários que executam o Windows NT 4.0 em seus computadores falando que eles não são
capazes de alterar suas senhas. O controlador de domínio mantendo a função de emulador de
PDC que executa esta tarefa falhou. A parte do hardware necessária para reparar o controlador
de domínio falho demorará mais de uma semana para ser adquirida. Devido a esta função
executar operações críticas, o Suporte Técnico decidiu substituir a função do controlador de
domínio. Isto não foi uma decisão difícil porque o domínio estava no modo nativo e não
existiam controladores de domínio de backup (BDCs, backup domain controllers) que
pudessem ter precisado de uma sincronização completa.
Objetivo
Neste exercício, você simulará uma falha de hardware no controlador de domínio desligando
o computador. Então você substuirá o emulador de PDC e determinará esta função a outro
controlador de domínio. Você então corrigirá a falha de hardware simulada e transferirá a
função de emulador de PDC de volta ao controlador de domínio original.
Observação: Alunos trabalharão em pares agrupados por domínio para completar este
exercício.
Cenário
Um consultor contratado pela Northwind Traders recomendou uma estratégia de
gerenciamento remota que utiliza apenas utilitários de linha de comando. Um objetivo
adicional era executar estas tarefas a partir de uma sessão do telnet.
Objetivo
Neste exercício, você utilizará o utilitário de linha de comando Ntdsutil.exe para determinar
todos os sustentadores de função atuais e para transferir o mestre RID.
Obs: Alunos trabalharão em pares agrupados por domínio para completar este exercício.
Práticas Recomendadas
-394-
Módulo 12: Gerenciando Controladores de Operações
Atribua as funções de mestre de esquema e mestre de nomenclatura de domínio ao mesmo
controlador de domínio. É mais fácil proteger um controlador de domínio do que proteger
dois controladores de domínio, como seria necessário se as funções de mestre de esquema
e nomenclatura de domínio estivessem em controladores de domínio separados. Além
disto, o mesmo grupo em uma organização normalmente possui os controladores de
domínio que sustentam as funções de mestre de esquema e mestre de nomenclatura de
domínio.
Posicione um servidor de catálogo global no mesmo site do mestre de infraestrutura. Isto
reduz o tráfego de rede quando o mestre de infraestrutura enumerar suas referências
externas ao atualizá-las.
Revisão
3. Existe uma forma de obter uma função de mestre de operações novamente on-line
enquanto o controlador de domínio atual sustentando a função estiver danificado sob
reparo?
-395-