Administrao de Sistemas Operacionais

de Redes Proprietrios
Aula 10

Os direitos desta obra foram cedidos Universidade Nove de Julho

Este material parte integrante da disciplina oferecida pela UNINOVE.

O acesso s atividades, contedos multimdia e interativo, encontros virtuais, fruns de
discusso e a comunicao com o professor devem ser feitos diretamente no ambiente
virtual de aprendizagem UNINOVE.

Uso consciente do papel.

Cause boa impresso, imprima menos.

Aula 10: Controladores de Dominio, DCs Adicionais, DCs Filhos e

FSMOs.
Objetivo: Capacitar o aluno a instalar e configurar os Controladores de Domnios
Domnios Adicionais, Domnios Filhos e Mestres de Operaes (FSMOs), utilizando
os recursos de mquinas virtuais.

1. Apresentao
A adoo de um controlador de domnio deve ser feita mediante a avaliao
do cenrio de rede em que estamos. Como estudamos anteriormente, ao criarmos o
primeiro DC, conseqentemente, criamos a primeira floresta e a primeira rvore da
floresta. Por este motivo, o domnio primrio conhecido pelo nome de PDC
Primary Domain Controller.
Um DC responsvel por suas prprias regras de acesso, polticas de
segurana, critrios de armazenamento de arquivos, estrutura de pastas e Unidades
Organizacionais, porm, tais regras so sempre definidas pelo administrador da
rede.
Os conceitos abordados nesta aula sero de carter prtico. Vamos montar
um controlador de domnios primrio (DC), em seguida, um controlador de domnio
adicional (DC Adicional) e, por ltimo, um controlado de domnio filho (DC Filho).
Tambm

estudaremos

as

funes

dos

Mestres

de

Operaes

suas

responsabilidades sobre o domnio global.

2. Domnio Adicional
O Domnio Adicional representa um recurso de tolerncia a falhas bastante
confivel. Trata-se de uma rplica do DC, com o mesmo servio e escopo de
diretrios. Como em qualquer rede, um domnio adicional um host e deve ter seu
nome e endereo IP nicos.

Sua principal funo autenticar usurios e controlar a empresa por meio do

AD, juntamente com o DC, em caso de potenciais desastres. O Domnio Adicional
funciona da mesma forma que o DC e tem os mesmo poderes, entretanto, a
autoridade do domnio regulamentada e controlada pelos Mestres de Operaes,
tambm conhecidos pelo nome de FSMOs (Flexible-Single masters Operations).
Ao criarmos um domnio adicional, estamos promovendo um servidor
Windows Server 2003 a um nvel elevado de gerenciamento e, agregando-o ao
domnio primrio por meio da autorizao de um administrador do DC. preciso
tambm, que o DNS seja apontado nas propriedades de rede do servidor candidato
promoo, pois o principal caminho de consulta para a autorizao. Ento,
podemos resumir:
Servidor candidato a Controlador de Domnio adicional:
Deve ter o IP na mesma faixa de endereamento do DC.
Deve ter o endereo DNS do DC, registrado como DNS primrio.
Deve ter a autorizao do administrador do DC para ingressar ao
domnio.
Esses pr requisitos so necessrios, tendo em vista o fato que estamos
atribuindo o controle de um domnio para um novo servidor. Como j discutimos
anteriormente, imprescindvel que o servio DNS esteja funcional e corretamente
configurado na ordem de pesquisa, pois o primeiro servidor que responder
requisio, ser utilizado como primrio.
Visite a plataforma AVA e assista o slide show sobre a concepo passo-a-passo de
um domnio adicional.

3. Domnio Filho
Na aula passada, aprendemos o conceito de Domnio e conclumos que tratase de um limite administrativo e de segurana, ou seja: cada domnio responsvel
por suas prprias regras e cenrios de administrao da rede corporativa. Por

exemplo, podemos organizar o cenrio empresarial com todos os seus setores:

vendas, recursos humanos, financeiro, logstica, transportes, marketing e outros,
atravs de Unidades Organizacionais (OUs) bem definidas, no AD. Os usurios de
cada um desses setores, podem ser agrupados em Grupos Globais e alocados
dentro de suas respectivas OUs.
Entretanto, como podemos imaginar esse cenrio, se a empresa tem mais
filiais ou, se a empresa possui um setor que no possa ser organizado em unidades
Organizacionais, por questes de segurana ou estrutural? Sabemos que, em uma
rede, no devem existir hosts desconectados, logo, os hosts do departamento
FINANCEIRO, no podero permanecer isolados na rede.
Para resolver este problema, podemos adotar a criao de um domnio filho,
sob a responsabilidade do DC. Este tipo de domnio apresenta os mesmos conceitos
de um DC ou DC Adicional e tambm caracteriza um limite administrativo e de
segurana. Entretanto, na floresta, sua posio est abaixo do DC. Isso quer dizer
que uma estao que pertence a um domnio filho, tambm pode ser conectada em
um DC, desde que tenha uma conta vlida neste domnio. Ns apenas temos que
selecionar o domnio correto em que o usurio tem conta cadastrada.
Este tipo de arquitetura amparada por um mecanismo denominado Relao
de Confiana, que garante o acesso de recursos em qualquer domnio confivel,
mediante um processo de autenticao em seu prprio domnio. Estudaremos sobre
Relaes de confiana na prxima aula.
Visite a plataforma AVA e assista o slide show sobre a concepo passo-a-passo de
um domnio filho.

4. Mestres de Operaes (Flexible-Single Masters Operations)

Os Mestres de Operaes so controladores que centralizam as principais
funes dos DCs. Em uma floresta, todos os DCs adicionais, filhos e confiados
possuem seus prprios Mestres de Operaes, porm, todos eles sabem que h
apenas um deles que visto como a autoridade do domnio. Isso garante que as

alteraes que so feitas nos vrios domnios que podem compor a floresta no
impactem sobre determinado servidor. Por exemplo, imagine que um administrador
esteja alterando propriedades de um usurio no DC e que, ao mesmo tempo, outro
administrador esteja excluindo esse mesmo usurio no DC Adicional. evidente que
deva haver um controle eficaz, para que este tipo de alterao no cause problemas
na base de dados dos ADs. Os mestres de Operaes so compostos por 5 regras,
das quais 2 delas impactam diretamente sobre a floresta a qual pertencem.
4.1. Regras que impactam na floresta
4.1.1. Schema Master
Corresponde parte principal do AD e composto por objetos e atributos que
modelam sua estrutura. O SM define os tipos de atributos que cada objeto
carregar. Como exemplo, podemos definir que um usurio do sistema ter um
cdigo de acesso, senha, nome, endereo, telefone, durao de conta etc. O
esquema, logicamente, deve ser o mesmo para toda a floresta Windows 2003 e,
para isso, a regra SCHEMA MASTER faz o gerenciamento e evita que conflitos
potenciais sejam gerados por conta de alteraes.
4.1.2. Domain Naming Master
Esta regra garante que em uma floresta no existam 2 ou mais nomes de
servidores iguais. Em uma floresta, cada nome de rvore deve ser nico.

4.2. Regras que impactam no Domnio

4.2.1. PDC Emulator
Primary Domain Controller Funciona como um emulador de um Primary
Domain Controller. Mantm a compatibilidade entre servidores externos ou mais
antigos, tipo NT 4.0. um item muito importante, pois impacta diretamente nas
relaes de confiana entre domnios e as contas dos usurios e objetos.

4.2.2. RID Master

Relative identification Em qualquer domnio, contas de usurios e objetos

podem ser criados, porm, cada um desses objetos possui um identificador nico,
conhecido como SID. O SID do objeto construdo baseado no SID do domnio,
agregado a um segundo ID relativo. Um DC consegue criar 512 objetos, porm, ao
atingir essa quantidade, dever solicitar ao RID MASTER o dobro dessa quantia,
com a finalidade de evitar que existam objetos com mesmo RID no domnio.
4.2.3. Infrastructure Master
Esta regra assegura que o nome exibido pelos usurios (display name)
pertencentes a um grupo sejam atualizados quando este atributo for alterado. um
item muito importante em uma floresta (vrios domnios), pois a alterao feita em
uma rvore refletir para todas as rvores.
Note que as duas primeiras FSMOs afetam a floresta intera, de modo que,
no h mais que duas em uma floresta. Cada controlador de domnio ter suas
prprias FSMOs, mas todas obedecero hierarquia do domnio.

5. Registrando o Schema
O Schema Master a principal parte do Active Directory e contm todos os
atributos que o modelam. O Schema pode ser customizado e, por questes de
segurana, a Microsoft adotou o padro de disponibilidade mediante a autorizao e
registro pelo administrador da rede. Dessa forma, nativamente, no possvel
transferir as FSMOs para outro domnio, por exemplo, em caso de desastres.
Um desastre um evento inesperado, que pode comprometer potencialmente
as funcionalidades do domnio. Por este motivo, aprendemos que fundamental a
existncia de domnios adicionais, que respondam pelo DC, caso este no possa
autenticar e validar seus usurios. Entretanto, em caso de um desastre, no adianta
somente ter o DC Adicional disponvel, funcionando e autenticando usurios;
preciso transferir toda a autoridade para ele, de modo a promov-lo a DC. O
procedimento a ser executado a transferncia dos 5 Mestres de Operaes para o

DC Adicional, mas para isso, fundamental que o Schema Master esteja funcional e
habilitado.
Para habilit-lo, preciso registrar um arquivo de biblioteca, que
disponibilizado pelo Windows e pode ser feito facilmente atravs do Menu Iniciar. Os
passos para registrar o Schema Master so:
1- Clique em Iniciar Executar e digite regsvr32 schmmgmt.dll
2- Clique em Iniciar Executar e digite mmc
3- No console que se abre, clique sobre o menu Arquivo, escolha
Add/Remover Snap in e escolha Adicionar
4- Na lista, escolha Active Directory Schema e adicione ao console
Depois de habilitada, podemos fazer alteraes e at mesmo transferir suas
funes para outro servidor, tornando-o autoridade. Note que, no console do
Schema, todos os atributos de objetos so listados e podem ser configurados da
maneira que for preciso.

6. Transferindo os Mestres de Operaes

Como estudamos nesta aula, o Controlador de Domnio (DCs) detm as
atribuies de controle de todo o domnio e tambm, a insgnia da autoridade
mxima. Embora existam outros DCs no domnio e, todos eles tenham seus Mestres
de Operaes, todos tm conhecimento entre si, sobre quem a autoridade e como
funciona o domnio. Imagine se houvessem duas ou mais autoridades em um
domnio: enquanto uma decide que um usurio pode ser validado, a outra est
trocando a senha do mesmo usurio, por exemplo. Esse procedimento causaria um
imenso conflito de informaes.
Por este motivo, em um domnio deve haver apenas uma autoridade. Se
houver problemas com esta autoridade, ser preciso nomear outra para decidir e
controlar as alteraes e gerenciamento do domnio, de forma centralizada. Em

outras palavras, se um DC, por qualquer motivo parar de funcionar, seus Mestres de
Operaes tero de ser transferidos para outro DC Adicional, convertendo-o em DC
Primrio.
Por fim, o DC desativado ter que ser efetivamente removido do domnio, pois
os restos de suas funcionalidades continuaro a ser enxergados por todo o
domnio. Aprenderemos a forma correta de efetuar esses procedimentos nas
prximas aulas.

Chegamos ao final de mais uma aula. Agora, visite a plataforma do AVA, resolva os
exerccios e verifique seu conhecimento. Caso fique alguma dvida, leve a questo
ao Frum e divida com seus colegas e professor.

Referncias:
BADDINI, FRANCISCO, Windows Server 2003 em Portugus Implementao e
Administrao, 7 Edio, 4 Reimpresso, rica, So Paulo, 2009.
MINASI MARK...[et al.], Dominando o Windows Server 2003 A Biblia, Pearson
Books, So Paulo, 2003.