Transferir ou apreender funções do Operation Master em Active Directory Domain Services
Este artigo descreve quando e como transferir ou apreender funções do Operation Master, anteriormente conhecidas como funções FSMO (Operações Mestras Simples Flexíveis).
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Número original do KB: 255504
Mais informações
Em uma AD DS (Active Directory Domain Services), há tarefas específicas que devem ser executadas por apenas um DC (controlador de domínio). Os DCs atribuídos para executar essas operações exclusivas são conhecidos como titulares de função do Operation Master. A tabela a seguir lista as funções Operation Master e sua colocação no Active Directory.
| Role | Escopo | Contexto de nomenclatura (partição do Active Directory) |
|---|---|---|
| Mestre de esquema | Em toda a floresta | CN=Schema,CN=configuration,DC=<domínio raiz da floresta> |
| Mestre de nomeação de domínio | Em toda a floresta | CN=configuration,DC=<domínio raiz da floresta> |
| Emulador PDC | Em todo o domínio | DC=<domínio> |
| Mestre RID | Em todo o domínio | DC=<domínio> |
| Mestre de infraestrutura | Em todo o domínio | DC=<domínio> |
Para obter mais informações sobre os titulares de função do Operation Master e as recomendações para colocar as funções, consulte Posicionamento e otimização do FSMO em controladores de domínio do Active Directory.
Observação
As partições de aplicativo do Active Directory que incluem partições de aplicativo DNS têm links de função Operation Master. Se uma partição de aplicativo DNS definir um proprietário para a função de master de infraestrutura (IM), você não poderá usar Ntdsutil, DCPromo ou outras ferramentas para remover essa partição do aplicativo. Para obter mais informações, consulte rebaixamento DCPROMO falha se não for possível contatar o DNS mestre de infraestrutura.
Quando um DC que tem atuado como um titular de função começa a ser executado (por exemplo, após uma falha ou um desligamento), ele não retoma imediatamente o comportamento como o titular da função. O controlador de domínio aguarda até receber a replicação de entrada para seu contexto de nomenclatura (por exemplo, o proprietário da função mestra de esquema aguarda receber a replicação de entrada da partição de esquema).
As informações que os DCs passam como parte da replicação do Active Directory incluem as identidades dos atuais titulares de função do Operation Master. Quando o DC recém-iniciado recebe as informações de replicação de entrada, ele verifica se ele ainda é o titular da função. Se for, ele retomará as operações típicas. Se as informações replicadas indicarem que outro controlador de domínio está atuando como o proprietário da função, o controlador de domínio recém-iniciado abrirá mão de sua propriedade de função. Esse comportamento reduz a chance de que o domínio ou floresta tenha detentores de função do Operation Master duplicados.
Importante
As operações do AD FS falharão se exigirem um titular de função e se o titular da função recém-iniciado for, de fato, o titular da função e ele não receber a replicação de entrada.
O comportamento resultante é semelhante ao que aconteceria se o proprietário da função estivesse offline.
Determinar quando transferir ou capturar funções
Sob condições normais, todas as cinco funções devem ser atribuídas a controladores de domínio “ativos” na floresta. Quando você cria uma floresta do Active Directory, o Assistente de Instalação do Active Directory (Dcpromo.exe) atribui todas as cinco funções do Operation Master ao primeiro DC que ele cria no domínio raiz da floresta. Quando você cria um domínio filho ou árvore, o mecanismo de criação atribui as três funções em todo o domínio ao primeiro DC no domínio.
Os DCs continuam a possuir funções do Operation Master até serem reatribuídos usando um dos seguintes métodos:
- Um administrador atribui novamente a função usando uma ferramenta administrativa GUI.
- Um administrador atribui novamente a função usando o comando
ntdsutil /roles. - Um administrador rebaixa normalmente um controlador de domínio proprietário de função usando o Assistente para instalação do Active Directory. Esse assistente atribui novamente quaisquer funções mantidas localmente para um controlador de domínio existente na floresta.
- Um administrador rebaixa um DC de funções usando o
Uninstall-ADDSDomainController -ForceRemovalcomando oudcpromo /forceremoval. - O controlador de domínio é desligado e reiniciado. Quando o controlador de domínio é reiniciado, ele recebe informações de replicação de entrada que indicam que outro DC é o titular da função. Nesse caso, o controlador de domínio recém-iniciado abandona a função (conforme descrito anteriormente).
Se um titular de função operation master tiver uma falha ou for retirado de serviço antes que suas funções sejam transferidas, você deverá aproveitar e transferir todas as funções para um DC apropriado e saudável.
Recomendamos transferir funções do Operation Master nos seguintes cenários:
- O titular da função atual está operacional e pode ser acessado na rede pelo novo proprietário da Operação Mestre.
- Você está rebaixando graciosamente um DC que atualmente possui funções do Operation Master que deseja atribuir a um DC específico em sua floresta do Active Directory.
- O DC que atualmente possui funções do Operation Master está sendo retirado offline para manutenção agendada e você precisa atribuir funções específicas do Operation Master para DCs dinâmicos. Talvez seja necessário transferir funções para executar operações que afetam o proprietário da Operação Mestre. Isso é especialmente verdadeiro para a função de Emulator PDC. Esse é um problema menos importante para a função mestra RID, a função mestra de nomenclatura de domínio e as funções mestras de esquema.
Recomendamos que você aproveite as funções do Operation Master nos seguintes cenários:
O titular da função atual está enfrentando um erro operacional que impede que uma operação dependente da Operação Mestre seja concluída com êxito e você não pode transferir a função.
Você usa o
Uninstall-ADDSDomainController -ForceRemovalcomando oudcpromo /forceremovalpara forçar a demote de um DC que possui uma função Operation Master.Importante
O
force-demotecomando pode deixar funções do Operation Master em um estado inválido até que sejam reatribuídas por um administrador.O sistema operacional no computador que detinha uma função específica originalmente não existe mais ou foi reinstalado.
Observação
- Recomendamos que você só aproveite todas as funções quando o titular da função anterior não estiver retornando ao domínio.
- Se as funções Operation Master precisarem ser apreendidas em cenários de recuperação de floresta, consulte a etapa 5 em Executar recuperação inicial sob o Controlador de domínio gravável em cada seção de domínio .
- Após uma transferência ou apreensão de função, o novo titular da função não age imediatamente. Em vez disso, o novo proprietário da função se comporta como um proprietário da função reiniciado e aguarda sua cópia do contexto de nomenclatura para que a função (como a partição de domínio) conclua um ciclo de replicação de entrada bem-sucedido. Esse requisito de replicação ajuda a garantir que o novo proprietário da função esteja o mais atualizado possível antes de agir. Ele também limita a janela de oportunidade para erros. Essa janela inclui apenas as alterações que o proprietário da função anterior não concluiu a replicação para os outros controladores de domínio antes de ficar offline. Para obter uma lista do contexto de nomenclatura para cada função Operation Master, confira a tabela na seção Mais informações .
Identificar um novo titular da função
O melhor candidato para o novo titular da função é um controlador de domínio que atenda aos seguintes critérios:
- Ele reside no mesmo domínio que o titular da função anterior.
- Ele tem a cópia gravável replicada mais recente da partição de função.
Por exemplo, suponha que você tenha que transferir a função mestra de esquema. A função esquema master faz parte da partição de esquema da floresta (CN=Schema,CN=Configuration,DC=<domínio> raiz da floresta). O melhor candidato para um novo titular da função é um controlador de domínio que também reside no domínio raiz da floresta e no mesmo local do Active Directory que o titular da função atual.
Cuidado
A infraestrutura master função não é mais necessária se as seguintes condições forem verdadeiras:
- Todos os controladores de domínio no domínio são GCs (Catálogos Globais). Nesse caso, os GCs recebem atualizações que removem referências entre domínios.
- A Lixeira do AD está habilitada na floresta. Nesse caso, cada DC é responsável por atualizar suas referências.
Recomendamos que você ainda defina um proprietário adequado do master de infraestrutura para evitar erros e avisos de ferramentas de monitoramento.
Se você ainda precisar da função de master de infraestrutura:
Não coloque a função de master de infraestrutura no mesmo DC que o servidor de catálogo global. Se a infraestrutura master for executada em um servidor de catálogo global, ela interromperá a atualização das informações do objeto porque ela não contém referências a objetos que não contém. Isso acontece porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta.
A função de master de infraestrutura não é mais usada quando você habilita a Lixeira do Active Directory. A Lixeira do AD altera a abordagem para lidar com referências de objeto que estão sendo removidas.
Para testar se um DC também é um servidor de catálogo global, siga estas etapas:
Usando sites e serviços do Active Directory:
- Selecione Iniciar>Programas>Ferramentas Administrativas>Sites e Serviços do Active Directory.
- No painel de navegação, clique duas vezes em Sites e localize o site apropriado ou clique em Primeiro-site-padrão se nenhum outro site estiver disponível.
- Abra a pasta Servidores e selecione o DC.
- Na pasta do controlador de domínio, clique duas vezes em Configurações de NTDS.
- No menu Ação, clique em Propriedades.
- Na guia Geral, exiba a caixa catálogo global marcar para ver se ele está selecionado.
Usando Windows PowerShell:
Inicie o PowerShell.
Digite o seguinte cmdlet e ajuste
DC_NAMEcom o nome DC real:(Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalogA saída será
TrueouFalse.
Para saber mais, confira:
- Recuperação de floresta do AD – Captura de uma função mestra de operações
- Planejamento do Posicionamento da função mestra de operações
Aproveitar ou transferir funções do Operation Master
Você pode usar Windows PowerShell ou Ntdsutil para capturar ou transferir funções. Para obter informações e exemplos de como usar o PowerShell para essas tarefas, consulte Move-ADDirectoryServerOperationMasterRole.
Importante
Para evitar o risco de SIDs duplicados no domínio, o Rid Master seizures incrementa o próximo RID disponível no pool quando você aproveita a função RID master. Esse comportamento pode fazer com que sua floresta consuma intervalos disponíveis de valores RID significativamente (também conhecido como queima RID). Portanto, aproveite o Mestre de Livrar somente quando tiver certeza de que o mestre rid atual não pode ser trazido de volta ao serviço.
Se você precisar aproveitar a função RID master, considere os seguintes detalhes:
- O cmdlet Move-ADDirectoryServerOperationMasterRole aumenta o próximo pool Rid em 30.000 do que ele encontra no Active Directory.
- Quando você usa o utilitário Ntdsutil.exe com os comandos de
rolescategoria, ele aumenta o próximo pool de Rid em 10.000.
Para capturar ou transferir as funções do Operation Master usando o utilitário Ntdsutil, siga estas etapas:
Entre em um computador membro que tenha as ferramentas do AD RSAT instaladas ou um DC localizado na floresta onde as funções do Operation Master estão sendo transferidas.
Observação
- Recomendamos que você faça logon no DC ao qual está atribuindo funções do Operation Master.
- O usuário conectado deve ser membro do grupo Administradores empresariais para transferir funções master de master de nomeação de esquema ou de domínio ou membro do grupo Administradores de Domínio do domínio em que o emulador PDC, o RID master e as funções de master de infraestrutura estão sendo transferidos.
Clique em Iniciar>Executar, digite ntdsutil na caixa Abrir e clique em OK.
Digite roles e pressione ENTER.
Observação
Para ver uma lista de comandos disponíveis em qualquer um dos prompts na ferramenta Ntdsutil, digite ? e pressione Enter.
Digite connections e pressione Enter.
Digite connect to server <servername> e pressione Enter.
Observação
Neste comando, <servername> é o nome do DC ao qual você deseja atribuir a função Operation Master.
No prompt server connections, digite q e pressione Enter.
Execute uma das seguintes ações:
Para transferir a função: digite transfer <role> e pressione Enter.
Observação
Nesse comando, <role> é a função que você deseja transferir.
Para capturar a função: digite seize <role> e pressione Enter.
Observação
Nesse comando, <role> é a função que você deseja capturar.
Por exemplo, para executar a função mestre RID, digite seize rid master. As exceções são para a função de emulador PDC, cuja sintaxe é seize pdc e o mestre de nomenclatura de domínio, cuja sintaxe é seize naming master.
Para obter uma lista de funções que podem ser transferidas ou capturadas, digite ? no prompt fsmo maintenance e pressione Enter ou consulte a lista de funções no início deste artigo.
No prompt fsmo maintenance, digite q e pressione Enter para obter acesso ao prompt ntdsutil. Digite q e pressione Enter para fechar o utilitário Ntdsutil.
Considerações ao reparar ou remover os proprietários de função anteriores
Se for possível e se você conseguir transferir as funções em vez de amenizá-las, corrija o titular da função anterior. Se você não puder corrigir o titular da função anterior ou se tiver apreendido as funções, remova o titular da função anterior do domínio.
Importante
Se você planeja usar o computador reparado como um controlador de domínio, recomendamos que você recompile o computador em um controlador de domínio do zero em vez de restaurar o controlador de domínio de um backup. O processo de restauração recria o controlador de domínio como um proprietário da função novamente.
Para retornar o computador reparado à floresta como um DC:
Execute uma das seguintes ações:
- Formate o disco rígido do antigo do proprietário da função e reinstale o Windows no computador.
- Rebaixe à força o antigo proprietário da função para um servidor membro.
Em outro controlador de domínio na floresta, use Ntdsutil para remover os metadados do antigo proprietário da função. Para obter mais informações, consulte Limpar os metadados do servidor usando Ntdsutil.
Depois de limpar os metadados, você pode promover novamente o computador para um controlador de domínio e transferir uma função de volta para ele.
Para remover o computador da floresta depois de apreender suas funções:
- Remova o computador do domínio.
- Em outro controlador de domínio na floresta, use Ntdsutil para remover os metadados do antigo proprietário da função. Para obter mais informações, consulte Limpar os metadados do servidor usando Ntdsutil.
Considerações ao reinserir ilhas de replicação
Quando parte de um domínio ou floresta não pode se comunicar com o restante do domínio ou floresta por um longo tempo, as seções isoladas de domínio ou floresta são conhecidas como ilhas de replicação. Os DCs em uma ilha não podem ser replicados com os DCs em outras ilhas. Em vários ciclos de replicação, as ilhas de replicação ficam fora de sincronização. Se cada ilha tiver seus próprios titulares de função do Operation Master, você poderá ter problemas ao restaurar a comunicação entre as ilhas.
Importante
Na maioria dos casos, você pode aproveitar o requisito de replicação inicial (conforme descrito neste artigo) para remover proprietários de função duplicados. Um proprietário da função reiniciado deve abrir mão da função se detectar um proprietário de função duplicado.
Você pode encontrar circunstâncias que esse comportamento não resolve. Nesses casos, as informações nesta seção podem ser úteis.
A tabela a seguir identifica as funções Operation Master que podem causar problemas se uma floresta ou domínio tiver vários detentores de função para essa função:
| Role | Possíveis conflitos entre vários proprietários de função? |
|---|---|
| Mestre de esquema | Sim |
| Mestre de nomeação de domínio | Sim |
| Mestre RID | Sim |
| Emulador PDC | Não |
| Mestre de infraestrutura | Não |
Esse problema não afeta o master do Emulador PDC nem o master de infraestrutura. Esses titulares de função não persistem dados operacionais. Além disso, o master de infraestrutura não faz alterações com frequência. Portanto, se várias ilhas tiverem esses titulares, você poderá reintegrar as ilhas sem causar problemas a longo prazo.
O Mestre de esquema, o Mestre de nomeação de domínio e o Mestre de RID podem criar objetos e persistir alterações no Active Directory. Cada ilha que tem um desses titulares de função pode ter objetos de esquema, domínios ou pools de RID duplicados e conflitantes no momento em que você restaurar a replicação. Antes de reinserir as ilhas, determine quais titulares de função serão mantidos. Remova todos os Mestres de esquema, Mestre de nomeação de domínio e Mestres de RID duplicados seguindo os procedimentos de reparo, remoção e limpeza mencionados neste artigo.
Referências
Para saber mais, confira:
- Funções FSMO do Active Directory no Windows
- Posicionamento e otimização de FSMO em controladores de domínio no Active Directory
- Processo de captura e transferência do Flexible Single Master Operation
- COMO: usar o Ntdsutil para localizar e limpar identificadores de segurança duplicados no Windows Server
- Fantasmas, lápides e a infraestrutura master
- Solucionar problemas de ID de evento 4013 do DNS: o servidor DNS não pôde carregar zonas DNS integradas ao AD
- O rebaixamento DCPROMO falha se não for possível contatar o mestre de infraestrutura do DNS
- Funções FSMO
- Realizando a configuração inicial
- Recuperação de floresta do AD – Captura de uma função mestra de operações
- Para limpar os metadados do servidor usando o Ntdsutil
- Planejamento do Posicionamento da função mestra de operações
- Move-ADDirectoryServerOperationMasterRole
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários