Como transferir funções FSMO de um controlador de domínio inacessível para outro controlador de domínio

Na vida de um consultor nos deparamos todos os dias com pessoas com os mais diversos tipos de skill e a única verdade que podemos tirar disso é: O que é óbvio para um é novidade ou é complicado para outro e se tratando de Active Directory, sempre temos alguma dica para quem está tendo problemas com um DC inacessível, então vamos lá:

Entender as FSMO roles e como e quando fazer a transferência das mesmas tem que ser bem entendido para que tudo funcione bem e rápido em caso de um desastre real ou em caso de uma simulação de DRP.

O que são as FSMO Roles, quais são elas e o que elas fazem:
Determinadas operações de domínio e de toda empresa que não são válidas para atualizações de diversos mestres são executadas por um único controlador de domínio em um domínio ou em uma floresta do Active Directory. Os controladores de domínio atribuídos para executar essas operações exclusivas são chamadas mestres de operações ou detentores de funções FSMO.

A seguinte lista descreve as 5 funções FSMO exclusivas em uma floresta do Active Directory e suas operações dependentes executáveis:

  • Mestre de esquema - A função do mestre de esquema abrange toda a floresta e existe um para cada floresta. Essa função é necessária para estender o esquema de uma floresta do Active Directory ou executar o comando adprep /forestprep.
  • Mestre de nomeação de domínio - A função do mestre de nomeação de domínio abrange toda a floresta e existe um para cada floresta. Essa função é necessária para adicionar ou remover partições de domínios ou de aplicativos ou para uma floresta.
  • Mestre RID - A função do mestre RID abrange todo o domínio e existe um para cada domínio. Essa função é necessária para alocar o pool RID de modo que os controladores de domínio novos ou existentes possam criar contas de usuário, contas de computador ou grupos de segurança.
  • Emulador PDC - A função emulador PDC abrange todo o domínio e existe um para cada domínio. Essa função é necessária para o controlador de domínio que envia atualizações de banco de dados para controladores de domínio de backup do Windows NT. O controlador de domínio que detém essa função também é alvo de determinadas ferramentas e atualizações administrativas para senhas de conta de usuário e conta de computador.
  • Mestre de infra-estrutura - A função do mestre de infra-estrutura abrange todo o domínio e existe uma para cada domínio. Essa função é necessária para que os controladores de domínio executem o comando adprep /domainprep com êxito e atualizem os atributos SID e atributos de nome distinto para objetos citados por domínios.

O Assistente para instalação do Active Directory (Dcpromo.exe) atribui todas as 5 funções FSMO ao primeiro controlador de domínio no domínio raiz da floresta. O primeiro controlador de domínio em cada domínio filho ou árvore novo recebe as três funções que abrangem todo domínio. Controladores de domínio continuam a possuir funções FSMO até que sejam reatribuídos usando um dos seguintes métodos:

  • Um administrador atribui novamente a função usando uma ferramenta administrativa GUI.
  • Um administrador atribui novamente a função usando o comando ntdsutil /roles.
  • Um administrador rebaixa normalmente um controlador de domínio detentor de função usando o Assistente para instalação do Active Directory. Esse assistente atribui novamente quaisquer funções mantidas localmente para um controlador de domínio existente na floresta. Rebaixamentos realizados usando o comando dcpromo /forceremoval deixam funções FSMO em um estado inválido até que sejam atribuídas novamente por um administrador.

O recomendado é que as roles sejam distribuidas entre os DCs do domínio, mas as vezes isso não ocorre e nos deparamos com 1 DC com todas as roles e outro sem nenhuma e como sempre Murphy dá aquela ajuda e o DC com todas as regras tem uma falha de Hardware. Os passos abaixo vão ajudá-lo a sair dessa situação:

 

1.
2. Faça o logon no controlador de domínio para o qual está atribuindo as funções FSMO. O usuário conectado deve ser um membro do grupo Administradores de empresa para transferir as funções de mestre de esquema ou mestre de nomeação de domínio, ou um membro do grupo Administradores de domínio do domínio no qual as funções emulador PDC, mestre RID e mestre de infra-estrutura estão sendo transferidas.

  1. Clique em Iniciar e em Executar, digite ntdsutil na caixa Abrir e clique em OK.

  2. Digite roles e pressione ENTER.

  3. Digite connections e pressione ENTER.

  4. Digite connect to server nome_do_servidor e pressione ENTER no qual, nome_do_servidor é o nome do controlador de domínio para o qual deseja atribuir a função FSMO.

  5. No prompt server connections , digite q e pressione ENTER.

  6. Digite seize função, no qual função é a função que deseja executar. Para obter uma lista de funções que podem ser executadas digite ? no prompt fsmo maintenance e pressione ENTER ou, consulte a lista de funções no início deste artigo. Por exemplo, para executar a função mestre RID, digite seize rid master. A única exceção é para a função emulador PDC do qual, a sintaxe é seize pdc e não seize pdc emulator.
    Nesse caso de perda do DC com todas as funções iremos executar:
    seize domain naming master
    seize infrastructure master
    seize PDC
    seize Rid master
    seize Schema Master
    *Apos cada comando aparecerá uma tela pedindo a confirmação da transferência

  7. No prompt fsmo maintenance digite q e pressione ENTER para obter acesso ao prompt ntdsutil. Digite q e pressione ENTER para fechar o utilitário Ntdsutil.

Nota Importante n1:
Sempre em que for feito o seize das roles: Schema Master, Rid Master ou Domain Naming o DC original deve ser reinstalado

Nota Importante n2:
É necessário efetuar o procedimento descrito no artigo https://support.microsoft.com/kb/216498 para remover os dados do DC antigo do Active Directory.

Fiquem a vontade para postar suas dúvidas/comentários ;) 

Abraços !

Robson Silva
https://blogs.technet.com/robsonsilva/

Comments

  • Anonymous
    January 01, 2003
    Vanderlei, Para alterar o seu dominio atual para nativo, acesse um controlador de dominio e clique em Start -> All Programs -> Administrative Tools -> Active Directory Users and Computers, clique com o botão direito no nome do seu dominio (ex. contoso.com) e selecione a opção "Raise domain functional Level..." e selecione a opção Windows Server 2003 Native. Obs: Recomendamos sempre efetuar o backup antes de proceder com a alteração. Maiores informações podem ser obtidas nos links: http://support.microsoft.com/kb/322692 e http://technet.microsoft.com/en-us/library/cc776703(WS.10).aspx Abraço, Eduardo

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    February 20, 2009
    The comment has been removed

  • Anonymous
    August 14, 2009
    The comment has been removed

  • Anonymous
    August 24, 2009
    Gostaria de uma ajuda, pois estou transferindo o dominio de um servidor 2003 para um 2008, executei o comando ADPREP /FORESTPREP e deu certo, mas na hora que executei o ADPREP /DOMAINPREP deu o seguinte erro o dominio nao se encontra no modo nativo e finalizou o comando o pediu pra colocar o dominio no modo nativo, como que eu faria isso. Desde já agradeço.

  • Anonymous
    January 19, 2010
    The comment has been removed

  • Anonymous
    April 24, 2010
    The comment has been removed

  • Anonymous
    November 10, 2010
    Bom dia Robson, Estou precisando de ajuda pois tinha o controlador de dominio 2003 e estava migrando para outra maquina tambem 2003 so faltava fazer as regras fsmo, foi ai que a maquina que tinhas todas as fsmo deu problema no hd e a maquina não sobe mais. Segui este procedimento acima citado por você mas ao fazer a parte de trasnferencia de fsmo ele deu erro Ao chegar nesta parte ele da erro 3.Digite connect to server nome_do_servidor e pressione ENTER no qual, nome_do_servidor é o nome do controlador de domínio para o qual deseja atribuir a função FSMO. 4.No prompt server connections , digite q e pressione ENTER. Comando executado: connect to server kmsrvos031782 blinding to kmsrvos031782.... Connected to kmsrvos031782 using credentials of locally loggeron user. O que devo fazer...? Por favor ajudar. Obrigado Joao Paulo jpdevito@gmail.com

  • Anonymous
    January 27, 2011
    Pra mim deu tudo certo, valeu, obrigado mesmo