DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 255504 - Última revisão: sexta-feira, 29 de março de 2013 - Revisão: 1.0

Nesta página

Sumário

Este artigo descreve com usar a ferramenta Ntdsutil.exe para executar ou transferir funções FSMO (Flexible Single Master Operations).

Mais Informações

Determinadas operações de domínio e de toda empresa que não são válidas para atualizações de diversos mestres são executadas por um único controlador de domínio em um domínio ou em uma floresta do Active Directory. Os controladores de domínio atribuídos para executar essas operações exclusivas são chamadas mestres de operações ou detentores de funções FSMO.

A seguinte lista descreve as 5 funções FSMO exclusivas em uma floresta do Active Directory e suas operações dependentes executáveis:
  • Mestre de esquema - A função do mestre de esquema abrange toda a floresta e existe um para cada floresta. Essa função é necessária para estender o esquema de uma floresta do Active Directory ou executar o comando adprep /domainprep.
  • Mestre de nomeação de domínio - A função do mestre de nomeação de domínio abrange toda a floresta e existe um para cada floresta. Essa função é necessária para adicionar ou remover partições de domínios ou de aplicativos ou para uma floresta.
  • Mestre RID - A função do mestre RID abrange todo o domínio e existe um para cada domínio. Essa função é necessária para alocar o pool RID de modo que os controladores de domínio novos ou existentes possam criar contas de usuário, contas de computador ou grupos de segurança.
  • Emulador PDC - A função emulador PDC abrange todo o domínio e existe um para cada domínio. Essa função é necessária para o controlador de domínio que envia atualizações de banco de dados para controladores de domínio de backup do Windows NT. O controlador de domínio que detém essa função também é alvo de determinadas ferramentas e atualizações administrativas para senhas de conta de usuário e conta de computador.
  • Mestre de infra-estrutura - A função do mestre de infra-estrutura abrange todo o domínio e existe uma para cada domínio. Essa função é necessária para que os controladores de domínio executem o comando adprep /forestprep com êxito e atualizem os atributos SID e atributos de nome distinto para objetos citados por domínios.
O Assistente para instalação do Active Directory (Dcpromo.exe) atribui todas as 5 funções FSMO ao primeiro controlador de domínio no domínio raiz da floresta. O primeiro controlador de domínio em cada domínio filho ou árvore novo recebe as três funções que abrangem todo domínio. Controladores de domínio continuam a possuir funções FSMO até que sejam reatribuídos usando um dos seguintes métodos:
  • Um administrador atribui novamente a função usando uma ferramenta administrativa GUI.
  • Um administrador atribui novamente a função usando o comando ntdsutil /roles.
  • Um administrador rebaixa normalmente um controlador de domínio detentor de função usando o Assistente para instalação do Active Directory. Esse assistente atribui novamente quaisquer funções mantidas localmente para um controlador de domínio existente na floresta. Rebaixamentos realizados usando o comando dcpromo /forceremoval deixam funções FSMO em um estado inválido até que sejam atribuídas novamente por um administrador.
Recomendamos a transferência das funções FSMO nas seguintes situações:
  • O detentor da função atual está operacional e pode ser acessado na rede pelo novo proprietário de FSMO.
  • Você está rebaixando normalmente um controlador de domínio que detém atualmente funções FSMO que deseja atribuir para um controlador de domínio específico na sua floresta do Active Directory.
  • O controlador de domínio que detém atualmente funções FSMO vai ficar offline para manutenção programada e você precisa que funções FSMO específicas sejam atribuídas a um controlador de domínio “ativo”. Nesse caso pode ser necessário para executar operações que se conectam ao proprietário FSMO. Isso seria bem verdadeiro para o Emulador PDC, porém menos verdadeiro para as funções mestre RID, mestre de nomeação de domínio e mestre de esquema.
Recomendamos a execução das funções FSMO nas seguintes situações:
  • O detentor atual da função está enfrentando um erro operacional que impede que, uma operação dependente de FSMO, seja concluída com êxito e essa função não pode ser transferida.
  • Um controlador de domínio que detém uma função FSMO é rebaixado de maneira forçada usando o comando dcpromo /forceremoval.
  • O sistema operacional no computador que detinha uma função específica originalmente não existe mais ou foi reinstalado.
Na medida em que a replicação ocorre, controladores de domínio que não são FSMO no domínio ou floresta têm ciência total das alterações feitas pelos controladores de domínio detentores de FSMO. Se for necessário transferir uma função, o controlador de domínio mais adequado é um que está no domínio apropriado que realizou duplicação de entrada por último, ou que realizou recentemente duplicação de entrada de um cópia gravável da “partição FSMO” de um detentor de função existente. Por exemplo, o mestre de esquema detentor de função possui um caminho de nome distinto de CN=schema,CN=configuration,dc=<forest root domain> e isso significa que as funções residem e são replicadas como parte da partição CN=schema. Se o controlador de domínio que detém a função de mestre de esquema enfrentar uma falha de hardware ou de software, um bom candidato para detentor da função seria um controlador de domínio no domínio raiz e no mesmo site do Active Directory do que o proprietário atual. Controladores de domínio no mesmo site de Active Directory realizam replicação de entrada a cada 5 minutos ou 15 segundos.

A partição para cada função FSMO está na seguinte lista:

Recolher esta tabelaExpandir esta tabela
Função FSMOPartição
EsquemaCN=Schema,CN=configuration,DC=<domínio raiz da floresta>
Mestre de nomeação de domínioCN=configuration,DC=<domínio raiz da floresta>
PDCDC=<domínio>
RIDDC=<domínio>
Infra-estruturaDC=<domínio>


Um controlador de domínio do qual as funções FSMO foram executadas não deve ser permitido para comunicar com controladores de domínio existentes na floresta. Nessa situação, é necessário formatar o disco rígido e reinstalar o sistema operacional em tais controladores de domínio ou rebaixar forçadamente tais controladores de domínio em uma rede privada e remover seus metadados em um controlador de domínio sobrevivente na floresta usando o comando ntdsutil /metadata cleanup. O risco de introduzir um detentor de função FSMO antigo do qual a função foi executada na floresta é que o detentor de função original pode continuar a operar como antes até que tenha conhecimento, por meio de replicação de entrada da execução da função. Riscos conhecidos de dois controladores de domínio possuindo as mesmas funções FSMO incluem a criação de novos principais de segurança que possuem pools de RID sobrepostos e outros problemas.

Transferir funções FSMO

Para transferir as funções FSMO usando o utilitário Ntdsutil, execute as seguintes etapas:
  1. Faça o logon em um computador ou controlador de domínio membro com Windows 2000 Server ou com Windows Server 2003 localizado na floresta no qual as funções FSMO estão sendo transferidas. Recomendamos que faça o logon no controlador de domínio para o qual está atribuindo as funções FSMO. O usuário conectado deve ser um membro do grupo Administradores de empresa para transferir as funções de mestre de esquema ou mestre de nomeação de domínio, ou um membro do grupo Administradores de domínio do domínio no qual as funções emulador PDC, mestre RID e mestre de infra-estrutura estão sendo transferidas.
  2. Clique em Iniciar e em Executar, digite ntdsutil na caixa Abrir e clique em OK.
  3. Digite roles e pressione ENTER.

    Observação Para ver uma lista de comandos disponíveis em qualquer um dos prompts na ferramenta Ntdsutil, digite ? e pressione ENTER.
  4. Digite connections e pressione ENTER.
  5. Digite connect to server nome_do_servidor e pressione ENTER, onde nome_do_servidor é o nome do controlador de domínio ao qual você deseja atribuir a função FSMO.
  6. No prompt server connections , digite q e pressione ENTER.
  7. Digite transfer função, onde função é a função que você deseja transferir. Para obter uma lista de funções que podem ser transferidas, digite ? no prompt fsmo maintenance e pressione ENTER ou, consulte a lista de funções no início deste artigo. Por exemplo, para transferir a função mestre RID digite transfer rid master. A única exceção é para a função emulador PDC do qual a sintaxe é transfer pdc e não transfer pdc emulator.
  8. No prompt fsmo maintenance digite q e pressione ENTER para obter acesso ao prompt ntdsutil. Digite q e pressione ENTER para fechar o utilitário Ntdsutil.

Executar funções FSMO

Para executar as funções FSMO usando o utilitário Ntdsutil, execute as seguintes etapas:
  1. Faça o logon em um computador ou controlador de domínio membro com Windows 2000 Server ou com Windows Server 2003 localizado na floresta no qual as funções FSMO estão sendo executadas. Recomendamos que faça o logon no controlador de domínio para o qual está atribuindo as funções FSMO. O usuário conectado deve ser um membro do grupo Administradores de empresa para transferir as funções de mestre de esquema ou mestre de nomeação de domínio, ou um membro do grupo Administradores de domínio do domínio no qual as funções emulador PDC, mestre RID e mestre de infra-estrutura estão sendo transferidas.
  2. Clique em Iniciar e em Executar, digite ntdsutil na caixa Abrir e clique em OK.
  3. Digite roles e pressione ENTER.
  4. Digite connections e pressione ENTER.
  5. Digite connect to server nome_do_servidor e pressione ENTER, onde nome_do_servidor é o nome do controlador de domínio ao qual você deseja atribuir a função FSMO.
  6. No prompt server connections , digite q e pressione ENTER.
  7. Digite seize função, onde função é a função que você deseja executar. Para obter uma lista de funções que podem ser executadas digite ? no prompt fsmo maintenance e pressione ENTER ou, consulte a lista de funções no início deste artigo. Por exemplo, para executar a função mestre RID, digite seize rid master. A única exceção é para a função emulador PDC do qual, a sintaxe é seize pdc e não seize pdc emulator.
  8. No prompt fsmo maintenance digite q e pressione ENTER para obter acesso ao prompt ntdsutil. Digite q e pressione ENTER para fechar o utilitário Ntdsutil.

    Observações
    • Sob condições normais, todas as cinco funções devem ser atribuídas a controladores de domínio “ativos” na floresta. Se um controlador de domínio que detém uma função FSMO for retirado de serviço antes de suas funções serem transferidas, você deverá executar todas as funções para um controlador de domínio apropriado e íntegro. Recomendamos que apenas execute todas as funções quando o outro controlador de domínio não estiver retornando ao domínio. Se isso for possível, corrija o controlador de domínio inválido que recebeu as funções FSMO. Você deve determinar quais funções devem estar nos controladores de domínio restantes de modo que todas as cinco funções sejam atribuídas a um único controlador de domínio. Para obter informações adicionais sobre o posicionamento de funções FSMO, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
      223346  (http://support.microsoft.com/kb/223346/pt-br/ ) Posicionamento e otimização de FSMO em controladores de domínio do Windows 2000
    • Se o controlador de domínio que mantinha anteriormente qualquer função FSMO não estiver presente no domínio e se as suas funções tiverem sido executadas por meio das etapas neste artigo, remova-o do Active Directory seguindo o procedimento descrito no seguinte artigo da Base de Dados de Conhecimento da Microsoft:
      216498  (http://support.microsoft.com/kb/216498/pt-br/ ) Como remover dados do Active Directory após uma falha no rebaixamento do controlador de domínio
    • A remoção de metadados do controlador de domínio com a versão do Windows 2000 ou com a versão do Windows Server 2003 de compilação 3790 do comando ntdsutil /metadata cleanup não muda funções FSMO atribuídas a controladores de domínio ativos. A versão para Windows Server 2003 Service Pack 1 (SP1) do utilitário Ntdsutil automatiza essa tarefa e remove elementos adicionais dos metadados do controlador de domínio.
    • Alguns clientes preferem não restaurar os backups do estado do sistema dos detentores de funções FSMO no caso da função ter sido reatribuída desde que o backup foi feito.
    • Não coloque a função mestre de infra-estrutura no mesmo controlador de domínio que o servidor de catálogo global. Se o mestre de infra-estrutura for executado em um servidor do catálogo global, ele deixará de atualizar informações do objeto porque não contém nenhuma referência a objetos os quais não porta. Isso acontece porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta.
Para testar se um controlador de domínio também é um servidor de catálogo global:
  1. Clique em Iniciar, aponte para Todos os programas, Ferramentas administrativas e clique em Sites e serviços do Active Directory.
  2. Clique duas vezes em Sites no painel esquerdo e localize o site apropriado ou clique em Primeiro-site-padrão se nenhum outro site estiver disponível.
  3. Abra a pasta Servers e clique no controlador de domínio.
  4. Na pasta do controlador de domínio, clique duas vezes em NTDS Settings.
  5. No menu Ação, clique em Propriedades.
  6. Na guia Geral, verifique se a caixa de seleção Catálogo global está marcada.
Para obter informações adicionais sobre funções FSMO, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
197132  (http://support.microsoft.com/kb/197132/pt-br/ ) Funções FSMO do Active Directory do Windows 2000
223787  (http://support.microsoft.com/kb/223787/pt-br/ ) Processo de transferência e execução FSMO (Flexible Single Master Operation)

Etapas para reproduzir o problema

Execute DCPROMO em um computador Windows Server 2008 para ingressar em um domínio em que o mestre RID esteja offline. Você receberá um aviso informando que você precisa ter um mestre RID ativo. Em seguida, você verá uma referência ao artigo 255504 da KB.
Observação: este é um artigo de “PUBLICAÇÃO RÁPIDA” criado diretamente pela organização de suporte da Microsoft. As informações aqui contidas são fornecidas no presente estado, em resposta a questões emergentes. Como resultado da velocidade de disponibilização, os materiais podem incluir erros tipográficos e poderão ser revisados a qualquer momento, sem aviso prévio. Consulte os Termos de Uso (http://go.microsoft.com/fwlink/?LinkId=151500) para ver outras informações.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbhowto KB255504
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store