Transferir ou apreender funções de Mestre de Operação nos Serviços de Domínio do Active Directory

Este artigo descreve quando e como transferir ou apreender funções de Mestre da Operação, anteriormente conhecidas como Funções de Operações Mestres Únicas Flexíveis (FSMO).

Número original do KB: 255504

Mais informações

Em uma AD DS (Active Directory Domain Services), há tarefas específicas que devem ser executadas por apenas um DC (controlador de domínio). Os DCs atribuídos para efetuar estas operações exclusivas são conhecidos como titulares de funções do Mestre da Operação. A tabela seguinte lista as funções do Modelo Global de Operações e a respetiva colocação no Active Directory.

Role	Escopo	Contexto de nomenclatura (partição do Active Directory)
Mestre de esquema	Em toda a floresta	CN=Schema,CN=configuration,DC=<domínio raiz da floresta>
Mestre de nomeação de domínio	Em toda a floresta	CN=configuration,DC=<domínio raiz da floresta>
Emulador PDC	Em todo o domínio	DC=<domínio>
Mestre RID	Em todo o domínio	DC=<domínio>
Mestre de infraestrutura	Em todo o domínio	DC=<domínio>

Para obter mais informações sobre os detentores de funções do Mestre da Operação e recomendações para colocar as funções, veja Colocação e otimização do FSMO em controladores de domínio do Active Directory.

Observação

As partições da Aplicação do Active Directory que incluem partições de aplicações DNS têm ligações de função Do Mestre da Operação. Se uma partição de aplicação DNS definir um proprietário para a função de mestre de infraestrutura (MI), não poderá utilizar Ntdsutil, DCPromo ou outras ferramentas para remover essa partição de aplicação. Para obter mais informações, consulte rebaixamento DCPROMO falha se não for possível contatar o DNS mestre de infraestrutura.

Quando um DC que tem agido como titular da função começa a ser executado (por exemplo, após uma falha ou um encerramento), não retoma imediatamente o comportamento como titular da função. O controlador de domínio aguarda até receber a replicação de entrada para seu contexto de nomenclatura (por exemplo, o proprietário da função mestra de esquema aguarda receber a replicação de entrada da partição de esquema).

As informações que os DCs transmitem como parte da replicação do Active Directory incluem as identidades dos atuais titulares de funções do Mestre da Operação. Quando o DC recém-iniciado recebe as informações de replicação de entrada, verifica se continua a ser o titular da função. Se for, ele retomará as operações típicas. Se as informações replicadas indicarem que outro controlador de domínio está atuando como o proprietário da função, o controlador de domínio recém-iniciado abrirá mão de sua propriedade de função. Este comportamento reduz a probabilidade de o domínio ou floresta ter titulares de funções duplicadas do Mestre da Operação.

Importante

As operações do AD FS falham se precisarem de um titular da função e se o recém-iniciado titular for, de facto, o titular da função e não receber a replicação de entrada.
O comportamento resultante é semelhante ao que aconteceria se o proprietário da função estivesse offline.

Determinar quando transferir ou capturar funções

Sob condições normais, todas as cinco funções devem ser atribuídas a controladores de domínio “ativos” na floresta. Quando cria uma floresta do Active Directory, o Assistente de Instalação do Active Directory (Dcpromo.exe) atribui as cinco funções de Mestre de Operação ao primeiro DC que criar no domínio de raiz da floresta. Quando cria um domínio subordinado ou de árvore, o mecanismo de criação atribui as três funções ao nível do domínio ao primeiro DC no domínio.

Os DCs continuam a ser as próprias funções do Operation Master até serem reatribuídos através de um dos seguintes métodos:

• Um administrador atribui novamente a função usando uma ferramenta administrativa GUI.
• Um administrador atribui novamente a função usando o comando ntdsutil /roles.
• Um administrador rebaixa normalmente um controlador de domínio proprietário de função usando o Assistente para instalação do Active Directory. Esse assistente atribui novamente quaisquer funções mantidas localmente para um controlador de domínio existente na floresta.
• Um administrador despromoverá um DC de detenção de funções com o Uninstall-ADDSDomainController -ForceRemoval comando ou dcpromo /forceremoval .
• O controlador de domínio é desligado e reiniciado. Quando o controlador de domínio é reiniciado, ele recebe informações de replicação de entrada que indicam que outro DC é o titular da função. Nesse caso, o controlador de domínio recém-iniciado abandona a função (conforme descrito anteriormente).

Se um titular da função Mestre da Operação sofrer uma falha ou for retirado do serviço antes de as respetivas funções serem transferidas, tem de apreender e transferir todas as funções para um DC adequado e em bom estado de funcionamento.

Recomendamos que transfira as funções do Mestre da Operação nos seguintes cenários:

• O titular da função atual está operacional e pode ser acedido na rede pelo novo proprietário do Modelo Global de Operações.
• Está a despromover corretamente um DC que detém atualmente funções do Operation Master que pretende atribuir a um DC específico na sua floresta do Active Directory.
• O DC que detém atualmente as funções do Mestre da Operação está a ser offline para manutenção agendada e tem de atribuir funções específicas do Mestre da Operação a DCs dinâmicos. Poderá ter de transferir funções para efetuar operações que afetam o proprietário do Operation Master. Isso é especialmente verdadeiro para a função de Emulator PDC. Esse é um problema menos importante para a função mestra RID, a função mestra de nomenclatura de domínio e as funções mestras de esquema.

Recomendamos que apreenda as funções do Mestre da Operação nos seguintes cenários:

• O titular da função atual está a deparar-se com um erro operacional que impede que uma operação dependente do Mestre da Operação seja concluída com êxito e não pode transferir a função.

• Utilize o Uninstall-ADDSDomainController -ForceRemoval comando ou dcpromo /forceremoval para forçar a despromover um DC que possua uma função de Mestre de Operações.

  Importante

  O force-demote comando pode deixar as funções de Mestre da Operação num estado inválido até serem reatribuídas por um administrador.

• O sistema operacional no computador que detinha uma função específica originalmente não existe mais ou foi reinstalado.

Observação

• Recomendamos que apreenda apenas todas as funções quando o titular da função anterior não voltar ao domínio.
• Se as funções do Mestre da Operação tiverem de ser apreendidas em cenários de recuperação de floresta, veja o passo 5 em Executar a recuperação inicial na secção Restaurar o primeiro controlador de domínio gravável em cada domínio .
• Após uma transferência ou apreensão de funções, o novo titular do cargo não atua imediatamente. Em vez disso, o novo proprietário da função se comporta como um proprietário da função reiniciado e aguarda sua cópia do contexto de nomenclatura para que a função (como a partição de domínio) conclua um ciclo de replicação de entrada bem-sucedido. Esse requisito de replicação ajuda a garantir que o novo proprietário da função esteja o mais atualizado possível antes de agir. Ele também limita a janela de oportunidade para erros. Essa janela inclui apenas as alterações que o proprietário da função anterior não concluiu a replicação para os outros controladores de domínio antes de ficar offline. Para obter uma lista do contexto de nomenclatura para cada função de Mestre de Operações, consulte a tabela na secção Mais informações .

Identificar um novo titular da função

O melhor candidato para o novo titular da função é um controlador de domínio que atenda aos seguintes critérios:

• Ele reside no mesmo domínio que o titular da função anterior.
• Ele tem a cópia gravável replicada mais recente da partição de função.

Por exemplo, suponha que você tenha que transferir a função mestra de esquema. A função mestre de esquema faz parte da partição de esquema da floresta (CN=Schema,CN=Configuration,DC=<forest root domain>). O melhor candidato para um novo titular da função é um controlador de domínio que também reside no domínio raiz da floresta e no mesmo local do Active Directory que o titular da função atual.

Cuidado

A função principal da infraestrutura já não é necessária se as seguintes condições forem verdadeiras:

• Todos os controladores de domínio no domínio são Catálogos Globais (GCs). Neste caso, os GCs obtêm atualizações que removem referências entre domínios.
• A Reciclagem do AD está ativada na floresta. Neste caso, cada DC é responsável por atualizar as respetivas referências.

Recomendamos que defina ainda um proprietário adequado do mestre de infraestrutura para evitar erros e avisos das ferramentas de monitorização.

Se ainda precisar da função de mestre de infraestrutura:
Não coloque a função de mestre de infraestrutura no mesmo DC que o servidor de catálogo global. Se o mestre de infraestrutura for executado num servidor de catálogo global, deixa de atualizar as informações do objeto porque não contém quaisquer referências a objetos que não contenham. Isso acontece porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta.

A função de mestre de infraestrutura já não é utilizada depois de ativar a Reciclagem do Active Directory. A Reciclagem do AD altera a abordagem ao processamento de referências de objetos que estão a ser removidas.

Para testar se um DC também é um servidor de catálogo global, siga estes passos:

Utilizar Os Serviços e Sites do Active Directory:

1. Selecione Iniciar>Programas>Ferramentas Administrativas>Sites e Serviços do Active Directory.
2. No painel de navegação, clique duas vezes em Sites e localize o site apropriado ou clique em Primeiro-site-padrão se nenhum outro site estiver disponível.
3. Abra a pasta Servidores e, em seguida, selecione o DC.
4. Na pasta do controlador de domínio, clique duas vezes em Configurações de NTDS.
5. No menu Ação, clique em Propriedades.
6. No separador Geral , veja a caixa de verificação Catálogo Global para ver se está selecionado.

Utilizar o Windows PowerShell:

1. Inicie o PowerShell.

2. Escreva o seguinte cmdlet e ajuste-o DC_NAME com o seu nome DC real:

   (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog
   

3. O resultado será True ou False.

Para saber mais, confira:

• Recuperação de floresta do AD – Captura de uma função mestra de operações
• Planejamento do Posicionamento da função mestra de operações

Apreender ou transferir funções de Mestre da Operação

Pode utilizar o Windows PowerShell ou o Ntdsutil para apreender ou transferir funções. Para obter informações e exemplos de como usar o PowerShell para essas tarefas, consulte Move-ADDirectoryServerOperationMasterRole.

Importante

Para evitar o risco de SIDs duplicados no domínio, as convulsões do Mestre de Rid incrementam o próximo RID disponível no conjunto quando aproveita a função principal de RID. Este comportamento pode fazer com que a floresta consuma significativamente intervalos de valores de RID disponíveis (também conhecidos como queimaduras de RID). Por isso, agarre o Mestre de Rid apenas quando tiver a certeza de que o Mestre de Rid atual não pode voltar ao serviço.

Se tiver de aproveitar a função principal de RID, considere os seguintes detalhes:

• O cmdlet Move-ADDirectoryServerOperationMasterRole aumenta o conjunto de Rid seguinte em 30 000 em função do que encontra no Active Directory.
• Quando utiliza o utilitário Ntdsutil.exe com os roles comandos de categoria, aumenta o conjunto rid seguinte em 10 000.

Para apreender ou transferir as funções do Mestre da Operação com o utilitário Ntdsutil, siga estes passos:

1. Inicie sessão num computador membro que tenha as ferramentas do AD RSAT instaladas ou um DC localizado na floresta onde as funções do Mestre da Operação estão a ser transferidas.

   Observação

   • Recomendamos que inicie sessão no DC ao qual está a atribuir funções de Mestre da Operação.
   • O utilizador com sessão iniciada deve ser membro do grupo Administradores da Empresa para transferir funções mestre de esquema ou Mestre de nomenclatura de domínio ou membro do grupo Administradores de Domínio do domínio em que o emulador PDC, o mestre de RID e as funções mestras de infraestrutura estão a ser transferidos.

2. Clique em Iniciar>Executar, digite ntdsutil na caixa Abrir e clique em OK.

3. Digite roles e pressione ENTER.

   Observação

   Para ver uma lista de comandos disponíveis em qualquer um dos prompts na ferramenta Ntdsutil, digite ? e pressione Enter.

4. Digite connections e pressione Enter.

5. Digite connect to server <servername> e pressione Enter.

   Observação

   Neste comando, <servername> é o nome do DC ao qual pretende atribuir a função Mestre da Operação.

6. No prompt server connections, digite q e pressione Enter.

7. Execute uma das seguintes ações:

   • Para transferir a função: digite transfer <role> e pressione Enter.

     Observação

     Nesse comando, <role> é a função que você deseja transferir.

   • Para capturar a função: digite seize <role> e pressione Enter.

     Observação

     Nesse comando, <role> é a função que você deseja capturar.

   Por exemplo, para executar a função mestre RID, digite seize rid master. As exceções são para a função de emulador PDC, cuja sintaxe é seize pdc e o mestre de nomenclatura de domínio, cuja sintaxe é seize naming master.

   Para obter uma lista de funções que podem ser transferidas ou capturadas, digite ? no prompt fsmo maintenance e pressione Enter ou consulte a lista de funções no início deste artigo.

8. No prompt fsmo maintenance, digite q e pressione Enter para obter acesso ao prompt ntdsutil. Digite q e pressione Enter para fechar o utilitário Ntdsutil.

Considerações ao reparar ou remover os proprietários de função anteriores

Se for possível e se conseguir transferir as funções em vez de as apreender, corrija o titular da função anterior. Se não conseguir corrigir o titular da função anterior ou se tiver apreendido as funções, remova o titular da função anterior do domínio.

Importante

Se você planeja usar o computador reparado como um controlador de domínio, recomendamos que você recompile o computador em um controlador de domínio do zero em vez de restaurar o controlador de domínio de um backup. O processo de restauração recria o controlador de domínio como um proprietário da função novamente.

• Para devolver o computador reparado à floresta como um DC:

  1. Execute uma das seguintes ações:

     • Formate o disco rígido do antigo do proprietário da função e reinstale o Windows no computador.
     • Rebaixe à força o antigo proprietário da função para um servidor membro.

  2. Em outro controlador de domínio na floresta, use Ntdsutil para remover os metadados do antigo proprietário da função. Para obter mais informações, consulte Limpar os metadados do servidor usando Ntdsutil.

  3. Depois de limpar os metadados, você pode promover novamente o computador para um controlador de domínio e transferir uma função de volta para ele.

• Para remover o computador da floresta depois de tomar as respetivas funções:

  1. Remova o computador do domínio.
  2. Em outro controlador de domínio na floresta, use Ntdsutil para remover os metadados do antigo proprietário da função. Para obter mais informações, consulte Limpar os metadados do servidor usando Ntdsutil.

Considerações ao reinserir ilhas de replicação

Quando parte de um domínio ou floresta não consegue comunicar com o resto do domínio ou floresta durante um longo período de tempo, as secções isoladas de domínio ou floresta são conhecidas como ilhas de replicação. Os DCs numa ilha não podem ser replicados com os DCs noutras ilhas. Ao longo de vários ciclos de replicação, as ilhas de replicação ficam dessincronizadas. Se cada ilha tiver os seus próprios detentores de funções Do Mestre da Operação, poderá ter problemas ao restaurar a comunicação entre as ilhas.

Importante

Na maioria dos casos, você pode aproveitar o requisito de replicação inicial (conforme descrito neste artigo) para remover proprietários de função duplicados. Um proprietário da função reiniciado deve abrir mão da função se detectar um proprietário de função duplicado.
Você pode encontrar circunstâncias que esse comportamento não resolve. Nesses casos, as informações nesta seção podem ser úteis.

A tabela seguinte identifica as funções do Mestre da Operação que podem causar problemas se uma floresta ou domínio tiver vários titulares de funções para essa função:

Role	Possíveis conflitos entre vários proprietários de função?
Mestre de esquema	Sim
Mestre de nomeação de domínio	Sim
Mestre RID	Sim
Emulador PDC	Não
Mestre de infraestrutura	Não

Este problema não afeta o mestre do Emulador PDC ou o mestre de infraestrutura. Estes titulares de funções não mantêm os dados operacionais. Além disso, o mestre de Infraestrutura não faz alterações com frequência. Portanto, se várias ilhas tiverem esses titulares, você poderá reintegrar as ilhas sem causar problemas a longo prazo.

O Mestre de esquema, o Mestre de nomeação de domínio e o Mestre de RID podem criar objetos e persistir alterações no Active Directory. Cada ilha que tem um desses titulares de função pode ter objetos de esquema, domínios ou pools de RID duplicados e conflitantes no momento em que você restaurar a replicação. Antes de reinserir as ilhas, determine quais titulares de função serão mantidos. Remova todos os Mestres de esquema, Mestre de nomeação de domínio e Mestres de RID duplicados seguindo os procedimentos de reparo, remoção e limpeza mencionados neste artigo.

Referências

Para saber mais, confira:

• Funções FSMO do Active Directory no Windows
• Posicionamento e otimização de FSMO em controladores de domínio no Active Directory
• Processo de captura e transferência do Flexible Single Master Operation
• COMO: usar o Ntdsutil para localizar e limpar identificadores de segurança duplicados no Windows Server
• Fantasmas, lápides e o mestre da infraestrutura
• Solucionar problemas de ID de evento 4013 do DNS: o servidor DNS não pôde carregar zonas DNS integradas ao AD
• O rebaixamento DCPROMO falha se não for possível contatar o mestre de infraestrutura do DNS
• Funções FSMO
• Realizando a configuração inicial
• Recuperação de floresta do AD – Captura de uma função mestra de operações
• Para limpar os metadados do servidor usando o Ntdsutil
• Planejamento do Posicionamento da função mestra de operações
• Move-ADDirectoryServerOperationMasterRole