Transferir ou capturar funções de Mestre de Operação nos Serviços de Domínio Active Directory
Este artigo descreve quando e como transferir ou aproveitar as funções do Mestre de Operações, anteriormente conhecidas como funções FSMO (Operações Mestras Únicas Flexíveis).
Número original do KB: 255504
Mais informações
Em uma AD DS (Active Directory Domain Services), há tarefas específicas que devem ser executadas por apenas um DC (controlador de domínio). Os DCs atribuídos para executar essas operações exclusivas são conhecidos como proprietários da função Mestre da Operação. A tabela a seguir lista as funções do Mestre de Operações e seu posicionamento no Active Directory.
| Função | Escopo | Contexto de nomenclatura (partição do Active Directory) |
|---|---|---|
| Mestre de esquema | Em toda a floresta | CN=Esquema,CN=configuração,DC=<domínio raiz da floresta> |
| Mestre de nomeação de domínios | Em toda a floresta | CN=configuração,DC=<domínio raiz da floresta> |
| Emulador de PDC | Em todo o domínio | DC=<domínio> |
| Mestre de RID do | Em todo o domínio | DC=<domínio> |
| Mestre de infraestrutura | Em todo o domínio | DC=<domínio> |
Para obter mais informações sobre os titulares da função Mestre de Operações e recomendações para colocar as funções, consulte Posicionamento e otimização de FSMO em controladores de domínio do Active Directory.
Observação
As partições de aplicativo do Active Directory que incluem partições de aplicativo DNS têm links de função Mestre de Operação. Se uma partição de aplicativo DNS definir um proprietário para a função de IM (mestre de infraestrutura), você não poderá usar Ntdsutil, DCPromo ou outras ferramentas para remover essa partição de aplicativo. Para obter mais informações, consulte rebaixamento DCPROMO falha se não for possível contatar o DNS mestre de infraestrutura.
Quando um controlador de domínio que está atuando como um proprietário de função começa a ser executado (por exemplo, após uma falha ou um desligamento), ele não retoma imediatamente o comportamento como o proprietário da função. O controlador de domínio aguarda até receber a replicação de entrada para seu contexto de nomenclatura (por exemplo, o proprietário da função mestra de esquema aguarda receber a replicação de entrada da partição de esquema).
As informações que os DCs passam como parte da replicação do Active Directory incluem as identidades dos atuais proprietários da função Mestre de Operações. Quando o controlador de domínio recém-iniciado recebe as informações de replicação de entrada, ele verifica se ainda é o proprietário da função. Se for, ele retomará as operações típicas. Se as informações replicadas indicarem que outro controlador de domínio está atuando como o proprietário da função, o controlador de domínio recém-iniciado abrirá mão de sua propriedade de função. Esse comportamento reduz a chance de que o domínio ou a floresta tenha proprietários de função Operation Master duplicados.
Importante
As operações do AD FS falharão se exigirem um titular de função e se o proprietário de função recém-iniciado for, de fato, o proprietário de função e não receber replicação de entrada.
O comportamento resultante é semelhante ao que aconteceria se o proprietário da função estivesse offline.
Determinar quando transferir ou capturar funções
Sob condições normais, todas as cinco funções devem ser atribuídas a controladores de domínio “ativos” na floresta. Quando você cria uma floresta do Active Directory, o Assistente de Instalação do Active Directory (Dcpromo.exe) atribui todas as cinco funções de Mestre de Operações ao primeiro controlador de domínio criado no domínio raiz da floresta. Quando você cria um domínio filho ou de árvore, o mecanismo de criação atribui as três funções em todo o domínio ao primeiro controlador de domínio no domínio.
Os DCs continuam a possuir funções de Mestre de Operações até serem reatribuídos usando um dos seguintes métodos:
- Um administrador atribui novamente a função usando uma ferramenta administrativa GUI.
- Um administrador atribui novamente a função usando o comando
ntdsutil /roles. - Um administrador rebaixa normalmente um controlador de domínio proprietário de função usando o Assistente para instalação do Active Directory. Esse assistente atribui novamente quaisquer funções mantidas localmente para um controlador de domínio existente na floresta.
- Um administrador rebaixa um controlador de domínio com função usando o
Uninstall-ADDSDomainController -ForceRemovalcomando ordcpromo /forceremoval. - O controlador de domínio é desligado e reiniciado. Quando o controlador de domínio é reiniciado, ele recebe informações de replicação de entrada que indicam que outro DC é o titular da função. Nesse caso, o controlador de domínio recém-iniciado abandona a função (conforme descrito anteriormente).
Se um proprietário da função Mestre de Operações apresentar uma falha ou for retirado de serviço antes que suas funções sejam transferidas, você deverá aproveitar e transferir todas as funções para um controlador de domínio apropriado e íntegro.
Recomendamos que você transfira as funções do Mestre de Operações nos seguintes cenários:
- O proprietário da função atual está operacional e pode ser acessado na rede pelo novo proprietário do Operation Master.
- Você está rebaixando normalmente um controlador de domínio que atualmente possui funções de Mestre de Operação que você deseja atribuir a um controlador de domínio específico em sua floresta do Active Directory.
- O controlador de domínio que atualmente possui funções de Mestre de Operações está sendo colocado offline para manutenção agendada e você precisa atribuir funções específicas de Mestre de Operações a controladores de domínio ativos. Talvez seja necessário transferir funções para executar operações que afetam o proprietário do Mestre de Operações. Isso é especialmente verdadeiro para a função de Emulator PDC. Esse é um problema menos importante para a função mestra RID, a função mestra de nomenclatura de domínio e as funções mestras de esquema.
Recomendamos que você assuma as funções do Mestre de Operações nos seguintes cenários:
O proprietário da função atual está enfrentando um erro operacional que impede que uma operação dependente do Mestre de Operações seja concluída com êxito e você não pode transferir a função.
Você usa o comando ou
dcpromo /forceremovalpara forçar oUninstall-ADDSDomainController -ForceRemovalrebaixamento de um controlador de domínio que possui uma função de Mestre de Operações.Importante
O
force-demotecomando pode deixar as funções do Mestre de Operações em um estado inválido até que sejam reatribuídas por um administrador.O sistema operacional no computador que detinha uma função específica originalmente não existe mais ou foi reinstalado.
Observação
- Recomendamos que você só aproveite todas as funções quando o proprietário da função anterior não estiver retornando ao domínio.
- Se as funções do Mestre de Operação precisarem ser capturadas em cenários de recuperação de floresta, consulte a etapa 5 em Executar a recuperação inicial na seção Restaurar o primeiro controlador de domínio gravável em cada domínio.
- Após uma transferência ou apreensão de função, o novo titular da função não age imediatamente. Em vez disso, o novo proprietário da função se comporta como um proprietário da função reiniciado e aguarda sua cópia do contexto de nomenclatura para que a função (como a partição de domínio) conclua um ciclo de replicação de entrada bem-sucedido. Esse requisito de replicação ajuda a garantir que o novo proprietário da função esteja o mais atualizado possível antes de agir. Ele também limita a janela de oportunidade para erros. Essa janela inclui apenas as alterações que o proprietário da função anterior não concluiu a replicação para os outros controladores de domínio antes de ficar offline. Para obter uma lista do contexto de nomenclatura para cada função do Mestre de Operações, consulte a tabela na seção Mais informações .
Identificar um novo titular da função
O melhor candidato para o novo titular da função é um controlador de domínio que atenda aos seguintes critérios:
- Ele reside no mesmo domínio que o titular da função anterior.
- Ele tem a cópia gravável replicada mais recente da partição de função.
Por exemplo, suponha que você tenha que transferir a função mestra de esquema. A função Schema master faz parte da partição de esquema da floresta (CN=Schema,CN=Configuration,DC=<forest root domain>). O melhor candidato para um novo titular da função é um controlador de domínio que também reside no domínio raiz da floresta e no mesmo local do Active Directory que o titular da função atual.
Cuidado
A função de mestre de infraestrutura não será mais necessária se as seguintes condições forem verdadeiras:
- Todos os controladores de domínio no domínio são GCs (Catálogos Globais). Nesse caso, os GCs obtêm atualizações que removem referências entre domínios.
- A Lixeira do AD está habilitada na floresta. Nesse caso, cada CD é responsável por atualizar suas referências.
Recomendamos que você ainda defina um proprietário adequado do mestre de infraestrutura para evitar erros e avisos de ferramentas de monitoramento.
Se você ainda precisar da função de mestre de infraestrutura:
Não coloque a função de mestre de infraestrutura no mesmo controlador de domínio que o servidor de catálogo global. Se o mestre de infraestrutura for executado em um servidor de catálogo global, ele interromperá a atualização das informações do objeto porque não contém nenhuma referência a objetos que não contém. Isso acontece porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta.
A função mestra de infraestrutura não é mais usada depois que você habilita a Lixeira do Active Directory. A Lixeira do AD altera a abordagem para lidar com referências de objeto que estão sendo removidas.
Para testar se um controlador de domínio também é um servidor de catálogo global, siga estas etapas:
Usando sites e serviços do Active Directory:
- Selecione Iniciar>Programas>Ferramentas Administrativas>Sites e Serviços do Active Directory.
- No painel de navegação, clique duas vezes em Sites e localize o site apropriado ou clique em Primeiro-site-padrão se nenhum outro site estiver disponível.
- Abra a pasta Servidores e selecione o DC.
- Na pasta do controlador de domínio, clique duas vezes em Configurações de NTDS.
- No menu Ação, clique em Propriedades.
- Na guia Geral , exiba a caixa de seleção Catálogo Global para ver se ela está selecionada.
Usando o Windows PowerShell:
Inicie o PowerShell.
Digite o seguinte cmdlet e ajuste
DC_NAMEcom o nome real do DC:(Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalogA saída será
TrueouFalse.
Para saber mais, veja:
- Recuperação de floresta do AD – Captura de uma função mestra de operações
- Como planejar o posicionamento da função de mestre das operações
Capturar ou transferir funções do Mestre de Operações
Você pode usar o Windows PowerShell ou o Ntdsutil para capturar ou transferir funções. Para obter informações e exemplos de como usar o PowerShell para essas tarefas, consulte Move-ADDirectoryServerOperationMasterRole.
Importante
Para evitar o risco de SIDs duplicados no domínio, as convulsões do Rid Master incrementam o próximo RID disponível no pool quando você assume a função de mestre do RID. Esse comportamento pode fazer com que sua floresta consuma significativamente os intervalos disponíveis de valores de RID (também conhecido como queima de RID). Portanto, pegue o Rid Master apenas quando tiver certeza de que o Rid Master atual não pode ser colocado de volta em serviço.
Se você tiver que assumir a função de mestre RID, considere os seguintes detalhes:
- O cmdlet Move-ADDirectoryServerOperationMasterRole aumenta o próximo pool Rid em 30.000 em relação ao que ele encontra no Active Directory.
- Quando você usa o utilitário Ntdsutil.exe com os
rolescomandos category, ele aumenta o próximo pool Rid em 10.000.
Para capturar ou transferir as funções do Mestre de Operações usando o utilitário Ntdsutil, siga estas etapas:
Entre em um computador membro que tenha as ferramentas RSAT do AD instaladas ou em um controlador de domínio localizado na floresta para a qual as funções do Mestre de Operações estão sendo transferidas.
Observação
- Recomendamos que você faça logon no controlador de domínio ao qual está atribuindo funções de Mestre de Operações.
- O usuário conectado deve ser membro do grupo Administradores Corporativos para transferir as funções Mestre de esquema ou Mestre de nomenclatura de domínio, ou membro do grupo Administradores de Domínio do domínio em que as funções de emulador PDC, mestre RID e mestre de infraestrutura estão sendo transferidas.
Clique em Iniciar>Executar, digite ntdsutil na caixa Abrir e clique em OK.
Digite roles e pressione ENTER.
Observação
Para ver uma lista de comandos disponíveis em qualquer um dos prompts na ferramenta Ntdsutil, digite ? e pressione Enter.
Digite connections e pressione Enter.
Digite connect to server <servername> e pressione Enter.
Observação
Nesse comando, <servername> é o nome do controlador de domínio ao qual você deseja atribuir a função Mestre de Operações.
No prompt server connections, digite q e pressione Enter.
Execute uma dessas ações:
Para transferir a função: Digite transferir <função> e pressione Enter.
Observação
Nesse comando, <role> é a função que você deseja transferir.
Para assumir a função: Digite apreender <função> e pressione Enter.
Observação
Neste comando, <role> é a função que você deseja aproveitar.
Por exemplo, para executar a função mestre RID, digite seize rid master. As exceções são para a função de emulador PDC, cuja sintaxe é seize pdc e o mestre de nomenclatura de domínio, cuja sintaxe é seize naming master.
Para ver uma lista de funções que você pode transferir ou capturar, digite ? no prompt de manutenção do FSMO e pressione Enter ou consulte a lista de funções no início deste artigo.
No prompt fsmo maintenance, digite q e pressione Enter para obter acesso ao prompt ntdsutil. Digite q e pressione Enter para fechar o utilitário Ntdsutil.
Considerações ao reparar ou remover os proprietários de função anteriores
Se for possível, e se você puder transferir as funções em vez de aproveitá-las, corrija o titular da função anterior. Se você não puder corrigir o titular da função anterior ou se tiver capturado as funções, remova o proprietário da função anterior do domínio.
Importante
Se você planeja usar o computador reparado como um controlador de domínio, recomendamos que você recompile o computador em um controlador de domínio do zero em vez de restaurar o controlador de domínio de um backup. O processo de restauração recria o controlador de domínio como um proprietário da função novamente.
Para retornar o computador reparado para a floresta como um controlador de domínio:
Execute uma dessas ações:
- Formate o disco rígido do antigo do proprietário da função e reinstale o Windows no computador.
- Rebaixe à força o antigo proprietário da função para um servidor membro.
Em outro controlador de domínio na floresta, use Ntdsutil para remover os metadados do antigo proprietário da função. Para obter mais informações, consulte Limpar os metadados do servidor usando Ntdsutil.
Depois de limpar os metadados, você pode promover novamente o computador para um controlador de domínio e transferir uma função de volta para ele.
Para remover o computador da floresta depois de assumir suas funções:
- Remova o computador do domínio.
- Em outro controlador de domínio na floresta, use Ntdsutil para remover os metadados do antigo proprietário da função. Para obter mais informações, consulte Limpar os metadados do servidor usando Ntdsutil.
Considerações ao reinserir ilhas de replicação
Quando parte de um domínio ou floresta não pode se comunicar com o restante do domínio ou floresta por um longo período, as seções isoladas do domínio ou da floresta são conhecidas como ilhas de replicação. As CDs em uma ilha não podem ser replicadas com as CDs em outras ilhas. Em vários ciclos de replicação, as ilhas de replicação ficam fora de sincronia. Se cada ilha tiver seus próprios detentores de função de Mestre de Operações, você poderá ter problemas ao restaurar a comunicação entre as ilhas.
Importante
Na maioria dos casos, você pode aproveitar o requisito de replicação inicial (conforme descrito neste artigo) para remover proprietários de função duplicados. Um proprietário da função reiniciado deve abrir mão da função se detectar um proprietário de função duplicado.
Você pode encontrar circunstâncias que esse comportamento não resolve. Nesses casos, as informações nesta seção podem ser úteis.
A tabela a seguir identifica as funções do Mestre de Operações que podem causar problemas se uma floresta ou domínio tiver vários detentores de função para essa função:
| Função | Possíveis conflitos entre vários proprietários de função? |
|---|---|
| Mestre de esquema | Sim |
| Mestre de nomeação de domínios | Sim |
| Mestre de RID do | Sim |
| Emulador de PDC | Não |
| Mestre de infraestrutura | Não |
Esse problema não afeta o mestre do emulador PDC ou o mestre de infraestrutura. Esses detentores de função não persistem dados operacionais. Além disso, o mestre de infraestrutura não faz alterações com frequência. Portanto, se várias ilhas tiverem esses titulares, você poderá reintegrar as ilhas sem causar problemas a longo prazo.
O Mestre de esquema, o Mestre de nomeação de domínio e o Mestre de RID podem criar objetos e persistir alterações no Active Directory. Cada ilha que tem um desses titulares de função pode ter objetos de esquema, domínios ou pools de RID duplicados e conflitantes no momento em que você restaurar a replicação. Antes de reinserir as ilhas, determine quais titulares de função serão mantidos. Remova todos os Mestres de esquema, Mestre de nomeação de domínio e Mestres de RID duplicados seguindo os procedimentos de reparo, remoção e limpeza mencionados neste artigo.
Referências
Para saber mais, veja:
- Funções FSMO do Active Directory no Windows
- Posicionamento e otimização de FSMO em controladores de domínio no Active Directory
- Processo de captura e transferência do Flexible Single Master Operation
- COMO: usar o Ntdsutil para localizar e limpar identificadores de segurança duplicados no Windows Server
- Fantasmas, lápides e o mestre de infraestrutura
- Solucionar problemas de ID de evento 4013 do DNS: o servidor DNS não pôde carregar zonas DNS integradas ao AD
- O rebaixamento DCPROMO falha se não for possível contatar o mestre de infraestrutura do DNS
- Funções FSMO
- Executar a recuperação inicial
- Recuperação de floresta do AD – Captura de uma função mestra de operações
- Para limpar os metadados do servidor usando o Ntdsutil
- Como planejar o posicionamento da função de mestre das operações
- Move-ADDirectoryServerOperationMasterRole