Transferir ou capturar funções FSMO nos Serviços de Domínio do Active Directory

Este artigo descreve quando e como transferir ou aproveitar funções FSMO (Operações Mestras Simples Flexíveis).

Aplica-se a:   Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Número KB original:   255504

Mais informações

Em uma floresta dos Serviços de Domínio do Active Directory (AD DS), há tarefas específicas que devem ser executadas por apenas um controlador de domínio (DC). Os DCs atribuídos para executar essas operações exclusivas são conhecidos como titulares de função FSMO. A tabela a seguir lista as funções FSMO e seu posicionamento no Active Directory.

Função Escopo Contexto de nomenis (partição do Active Directory)
Mestre de esquema Floresta em toda a floresta CN=Schema,CN=configuration,DC=<forest root domain>
Domínio nomenmeno mestre Floresta em toda a floresta CN=configuration,DC=<forest root domain>
Emulador PDC Domínio em todo o país DC=<domain>
MESTRE RID Domínio em todo o país DC=<domain>
Mestre de infraestrutura Domínio em todo o país DC=<domain>

Para obter mais informações sobre os titulares de função FSMO e recomendações para a colocação das funções, consulte Posicionamento e otimização do FSMOnos controladores de domínio do Active Directory.

Observação

As partições do Aplicativo do Active Directory que incluem partições de aplicativo DNS têm links de função FSMO. Se uma partição de aplicativo DNS definir um proprietário para a função mestra de infraestrutura, você não poderá usar Ntdsutil, DCPromo ou outras ferramentas para remover essa partição de aplicativo. Para obter mais informações, consulte DcPROMO rebaixamento falhar se nãopuder entrar em contato com o mestre de infraestrutura DNS .

Quando um DC que vem atuando como um detentor de função começa a ser executado (por exemplo, após uma falha ou um desligamento), ele não continua imediatamente se comportando como o titular da função. O DC aguarda até receber replicação de entrada para seu contexto de nomenrção (por exemplo, o proprietário da função mestra esquema aguarda para receber a replicação de entrada da partição esquema).

As informações que os DCs passam como parte da replicação do Active Directory incluem as identidades dos atuais titulares de função FSMO. Quando o DC recém-iniciado recebe as informações de replicação de entrada, verifica se ele ainda é o titular da função. Se estiver, ele retomará operações típicas. Se as informações replicadas indicarem que outro DC está atuando como o titular da função, o DC recém-iniciado abrirá mão de sua propriedade de função. Esse comportamento reduz a chance de que o domínio ou a floresta tenham proprietários de função FSMO duplicados.

Importante

As operações do AD FS falharão se exigirem um titular de função e se o titular da função recém-iniciado for, na verdade, o titular da função e não receber replicação de entrada.
O comportamento resultante se parece com o que aconteceria se o titular da função estivesse offline.

Determinar quando transferir ou capturar funções

Em condições típicas, todas as cinco funções devem ser atribuídas a DCs "ao vivo" na floresta. Quando você cria uma floresta do Active Directory, o Assistente de Instalação do Active Directory (Dcpromo.exe) atribui todas as cinco funções FSMO ao primeiro DC criado no domínio raiz da floresta. Quando você cria um domínio filho ou árvore, Dcpromo.exe atribui as três funções em todo o domínio ao primeiro DC no domínio.

Os DCs continuam a possuir funções FSMO até que sejam reatribuídos usando um dos seguintes métodos:

  • Um administrador reatribui a função usando uma ferramenta administrativa de GUI.
  • Um administrador reatribui a função usando o ntdsutil /roles comando.
  • Um administrador rebaixa normalmente um DC de segurando função usando o Assistente de Instalação do Active Directory. Esse assistente reatribui todas as funções mantidas localmente para um DC existente na floresta.
  • Um administrador rebaixa um DC de segurando função usando o dcpromo /forceremoval comando.
  • O DC é desligado e reiniciado. Quando o DC é reiniciado, ele recebe informações de replicação de entrada que indicam que outro DC é o titular da função. Nesse caso, o DC recém-iniciado renuncia à função (conforme descrito anteriormente).

Se um portador de função FSMO experimenta uma falha ou é retirado do serviço antes que suas funções sejam transferidas, você deve aproveitar e transferir todas as funções para um DC apropriado e ável.

Recomendamos que você transfira funções FSMO nos seguintes cenários:

  • O titular da função atual está operacional e pode ser acessado na rede pelo novo proprietário do FSMO.
  • Você está rebaixando normalmente um DC que atualmente possui funções FSMO que você deseja atribuir a um DC específico em sua floresta do Active Directory.
  • O DC que atualmente possui funções FSMO está sendo offline para manutenção agendada, e você precisa atribuir funções FSMO específicas para DCs em tempo de vida. Talvez seja preciso transferir funções para executar operações que afetam o proprietário do FSMO. Isso é especialmente verdadeiro para a função de Emulator PDC. Este é um problema menos importante para a função mestra RID, a função mestra nomeação domínio e as funções mestras esquema.

Recomendamos que você desemprende funções FSMO nos seguintes cenários:

  • O titular da função atual está enfrentando um erro operacional que impede que uma operação dependente de FSMO seja completada com êxito e você não pode transferir a função.

  • Você usa o dcpromo /forceremoval comando para forçar a rebaixamento de um DC que possui uma função FSMO.

    Importante

    O dcpromo /forceremoval comando deixa funções FSMO em um estado inválido até que sejam reatribuídas por um administrador.

  • O sistema operacional no computador que originalmente possuía uma função específica não existe mais ou foi reinstalado.

Observação

  • Recomendamos que você apenas apodera todas as funções quando o titular da função anterior não está retornando ao domínio.
  • Se as funções FSMO devem ser apreendidas em cenários de recuperação de floresta, consulte a etapa 5 em Executar a recuperação inicial sob o comando Restaurar o primeiro controlador de domínio writeable em cada seção de domínio.
  • Após uma transferência ou apreensão de função, o novo titular da função não age imediatamente. Em vez disso, o novo titular da função se comporta como um detentor de função reiniciado e aguarda sua cópia do contexto de nomenator para que a função (como a partição de domínio) conclua um ciclo de replicação de entrada bem-sucedido. Esse requisito de replicação ajuda a garantir que o novo titular da função seja o mais atualizado possível antes de tomar medidas. Ele também limita a janela de oportunidade para erros. Esta janela inclui apenas alterações que o titular da função anterior não terminou de replicar para os outros DCs antes de ficar offline. Para obter uma lista do contexto de nomenis de cada função FSMO, consulte a tabela na seção Mais informações.

Identificar um novo titular de função

O melhor candidato para o novo titular da função é um DC que atenda aos seguintes critérios:

  • Ele reside no mesmo domínio do titular da função anterior.
  • Ele tem a cópia writable replicada mais recente da partição de função.

Por exemplo, suponha que você tenha que transferir a função mestra esquema. A função mestra Esquema faz parte da partição de esquema da floresta (cn=Schema,cn=Configuration,dc= <forest root domain> ). O melhor candidato para um novo detentor de função é um DC que também reside no domínio raiz da floresta e no mesmo site do Active Directory que o titular da função atual.

Cuidado

Não coloque a função mestra Infraestrutura no mesmo DC do servidor de catálogo global. Se o mestre infraestrutura for executado em um servidor de catálogo global, ele para de atualizar informações de objeto porque não contém referências a objetos que ele não retive. Isso porque um servidor de catálogo global contém uma réplica parcial de cada objeto na floresta.

Para testar se um DC também é um servidor de catálogo global, siga estas etapas:

  1. Selecione Iniciar Programas > Ferramentas > Administrativas Sites e Serviços do Active > Directory.
  2. No painel de navegação, clique duas vezes em Sites e localize o site apropriado ou selecione Default-first-site-name se nenhum outro site estiver disponível.
  3. Abra a pasta Servidores e selecione o DC.
  4. Na pasta do DC, clique duas vezes em NTDS Configurações.
  5. No menu Ação, selecione Propriedades.
  6. Na guia Geral, consulte a caixa de seleção Catálogo Global para ver se ele está selecionado.

Para mais informações, confira:

Aproveitar ou transferir funções FSMO

Você pode usar Windows PowerShell ou Ntdsutil para aproveitar ou transferir funções. Para obter informações e exemplos de como usar o PowerShell para essas tarefas, consulte Move-ADDirectoryServerOperationMasterRole.

Importante

Se você tiver que aproveitar a função mestra RID, considere usar o cmdlet Move-ADDirectoryServerOperationMasterRole em vez do utilitário Ntdsutil.exe.

Para evitar o risco de SIDs duplicados no domínio, Ntdsutil incrementa o próximo RID disponível no pool em 10.000 quando você aproveita a função mestra RID. Esse comportamento pode fazer com que sua floresta consuma completamente seus intervalos disponíveis para valores RID (também conhecidos como queima DE RID). Por outro lado, se você usar o cmdlet do PowerShell para aproveitar a função mestra RID, o próximo RID disponível não será afetado.

Para aproveitar ou transferir as funções FSMO usando o utilitário Ntdsutil, siga estas etapas:

  1. Entre em um computador membro que tenha as ferramentas RSAT do AD instaladas ou um DC localizado na floresta onde as funções FSMO estão sendo transferidas.

    Observação

    • Recomendamos que você faça logoff no DC ao qual você está atribuindo funções FSMO.
    • O usuário ingressado deve ser membro do grupo administradores do Enterprise para transferir funções mestras de esquema ou nomeação de domínio ou membro do grupo Administradores de Domínio do domínio no qual o emulador PDC, mestre RID e as funções mestras de Infraestrutura estão sendo transferidas.
  2. Selecione Iniciar > Executar, digite ntdsutil na caixa Abrir e selecione OK.

  3. Digite funções e pressione Enter.

    Observação

    Para ver uma lista de comandos disponíveis em qualquer um dos prompts no utilitário Ntdsutil, digite ? e pressione Enter.

  4. Digite conexões e pressione Enter.

  5. Digite conectar-se <servername> ao servidor e pressione Enter.

    Observação

    Neste comando, é o nome do DC ao que você deseja atribuir <servername> a função FSMO.

  6. No prompt de conexões do servidor, digite q e pressione Enter.

  7. Faça um dos seguintes:

    • Para transferir a função: Digite transferência <role> e pressione Enter.

      Observação

      Neste comando, <role> é a função que você deseja transferir.

    • Para aproveitar a função: Digite aproveitar <role> e pressione Enter.

      Observação

      Neste comando, <role> é a função que você deseja aproveitar.

    Por exemplo, para aproveitar a função mestra RID, digite mestre de livre captura de captura. As exceções são para a função de emulador PDC, cuja sintaxe é pdc aproveitar e o mestre de nomenpulso de domínio, cuja sintaxe é aproveitar a nomenlagem mestre.

    Para ver uma lista de funções que você pode transferir ou aproveitar, digite ? no prompt de manutenção do fsmo e pressione Enter ou consulte a lista de funções no início deste artigo.

  8. No prompt de manutenção do fsmo, digite q e pressione Enter para obter acesso ao prompt ntdsutil. Digite q e pressione Enter para encerrar o utilitário Ntdsutil.

Considerações ao reparar ou remover os titulares de função anteriores

Se for possível, e se você conseguir transferir as funções em vez de adoecioná-las, corrige o titular da função anterior. Se você não puder corrigir o titular da função anterior ou se tiver aproveitado as funções, remova o titular da função anterior do domínio.

Importante

Se você planeja usar o computador reparado como um DC, recomendamos que você reconstróa o computador em um DC do zero em vez de restaurar o DC de um backup. O processo de restauração reconstrói o DC como um portador de função novamente.

  • Para retornar o computador reparado para a floresta como um DC

    1. Faça um dos seguintes:

      • Formatar o disco rígido do antigo titular da função e reinstalar Windows no computador.
      • Rebaixe à força o antigo titular da função para um servidor membro.
    2. Em outro DC na floresta, use Ntdsutil para remover os metadados do antigo titular da função. Para obter mais informações, consulte To clean up server metadata by using Ntdsutil.

    3. Depois de limpar os metadados, você pode repromotar o computador para um DC e transferir uma função de volta para ele.

  • Para remover o computador da floresta após o uso de suas funções

    1. Remova o computador do domínio.
    2. Em outro DC na floresta, use Ntdsutil para remover os metadados do antigo titular da função. Para obter mais informações, consulte To clean up server metadata by using Ntdsutil.

Considerações ao reinserir as ilhas de replicação

Quando parte de um domínio ou floresta não consegue se comunicar com o restante do domínio ou da floresta por um tempo estendido, as seções isoladas de domínio ou floresta são conhecidas como ilhas de replicação. Os DCs em uma ilha não podem ser replicados com os DCs em outras ilhas. Em vários ciclos de replicação, as ilhas de replicação estão fora de sincronização. Se cada ilha tiver seus próprios titulares de função FSMO, você poderá ter problemas ao restaurar a comunicação entre as ilhas.

Importante

Na maioria dos casos, você pode aproveitar o requisito inicial de replicação (conforme descrito neste artigo) para remediar os proprietários de função duplicados. Um titular de função reiniciado deve abrir mão da função se detectar um detentor de função duplicado.
Você pode encontrar circunstâncias que esse comportamento não resolve. Nesses casos, as informações nesta seção podem ser úteis.

A tabela a seguir identifica as funções FMSO que podem causar problemas se uma floresta ou domínio tiver vários titulares de função para essa função:

Função Possíveis conflitos entre vários titulares de função?
Mestre de esquema Sim
Domínio nomenmeno mestre Sim
MESTRE RID Sim
Emulador PDC Não
Mestre de infraestrutura Não

Esse problema não afeta o pdc Emulator mestre ou o mestre infraestrutura. Esses titulares de função não persistem dados operacionais. Além disso, o mestre infraestrutura não faz alterações com frequência. Portanto, se várias ilhas têm esses titulares de função, você pode reinserir as ilhas sem causar problemas a longo prazo.

O mestre esquema, o mestre de nomenis de domínio e o mestre RID podem criar objetos e persistir alterações no Active Directory. Cada ilha que tenha um desses titulares de função poderia ter objetos de esquema duplicados e conflitantes, domínios ou pools RID no momento em que você restaurar a replicação. Antes de reinserir as ilhas, determine quais titulares de função devem manter. Remova todos os mestres de esquema duplicados, mestres de nomen por domínio e mestres RID seguindo os procedimentos de reparo, remoção e limpeza mencionados neste artigo.

Referências

Para mais informações, confira: