DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 255504 - Última revisão: quinta-feira, 30 de Janeiro de 2014 - Revisão: 1.0

Nesta página

Sumário

Este artigo descreve como usar o utilitário Ntdsutil.exe para capturar ou transferir as funções FSMO (Flexible Single Master Operations).

Mais Informação

Algumas operações globais ao domínio e à toda a empresa que não se adequam à actualização em vários mestres são executadas por um único controlador de domínio num domínio ou floresta do Active Directory. Os controladores de domínio aos quais é atribuída a execução destas operações únicas são denominados mestres de operações ou detentores de função FSMO.

A lista que se segue descreve as 5 funções FSMO únicas numa floresta do Active Directory e as operações dependentes que estas executam:
  • Mestre de esquema (Schema master) - A função de mestre de esquema abrange toda a floresta, existindo um para cada floresta. Esta função é necessária para expandir o esquema de uma floresta do Active Directory ou para executar o comando adprep /domainprep.
  • Mestre de atribuição de nomes de domínio (Domain naming master) - A função de mestre de atribuição de nomes de domínio abrange toda a floresta, existindo um para cada floresta. Esta função é necessária para adicionar ou remover domínios ou partições de aplicações, de ou a uma floresta.
  • Mestre de RID (RID master) - A função de mestre de RID abrange todo o domínio, existindo um para cada domínio. Esta função é necessária para atribuir o conjunto de RID de modo a que controladores de domínio novos ou existentes possam criar contas de utilizador, contas de computador ou grupos de segurança.
  • Emulador de PDC (PDC emulator) - A função de emulador de PDC abrange todo o domínio, existindo um para cada domínio. Esta função é necessária para o controlador de domínio que envia actualizações da base de dados para controladores de domínio secundários do Windows NT. O controlador de domínio que detém esta função também é o alvo de acções de determinadas ferramentas de administração e de actualizações de contas de utilizador e palavras-passe de contas de computador.
  • Mestre de infra-estrutura (Infrastructure master) - A função de mestre de infra-estrutura abrange todo o domínio, existindo um para cada domínio. Esta função é necessária para que os controladores de domínio executem o comando adprep /forestprep com êxito e para actualizar atributos SID e atributos de nome distinto de objectos que são referenciados nos domínios.
O assistente de instalação do Active Directory (Dcpromo.exe) atribui todas as 5 funções FSMO ao primeiro controlador do domínio raiz da floresta. As três funções de todo o domínio são atribuídas ao primeiro controlador de domínio em cada novo domínio subordinado ou da árvore. Os controladores de domínio continuam a deter funções FSMO até estas serem reatribuídas utilizando um dos seguintes métodos:
  • Um administrador reatribui a função utilizando uma ferramenta administrativa da GUI.
  • Um administrador reatribui a função utilizando o comando ntdsutil /roles.
  • Um administrador despromove graciosamente um controlador de domínio que detém uma função utilizando o assistente de instalação do Active Directory. Este assistente reatribui todas as funções locais de um controlador de domínio existente na floresta. As despromoções que são executadas com o comando dcpromo /forceremoval deixam as funções FSMO num estado inválido até serem reatribuídas por um administrador.
A Microsoft recomenda que transfira as funções FSMO nos seguintes cenários:
  • O detentor de função actual está operacional e pode ser acedido na rede pelo novo proprietário da FSMO.
  • Está a despromover graciosamente um controlador de domínio que detém actualmente funções FSMO que pretende atribuir a um controlador de domínio específico na floresta do Active Directory.
  • O controlador de domínio que actualmente detém funções FSMO está a ser colocado offline para uma manutenção agendada e é necessário atribuir funções FSMO específicas a um controlador de domínio activo. Isto pode ser necessário para executar operações que liguem ao proprietário da FSMO. Isto seria especialmente verdadeiro para a função de emulador de PDC, mas menos verdadeiro para a função de mestre de RID, a função de mestre de atribuição de nomes de domínio e as funções de mestre de esquema.
A Microsoft recomenda que capture as funções FSMO nos seguintes cenários:
  • O detentor actual da função tem um erro de funcionamento que impede a conclusão com êxito de uma operação dependente de FSMO e essa função não pode ser transferida.
  • Um controlador de domínio que detenha uma função FSMO é despromovido utilizando o comando dcpromo /forceremoval.
  • O sistema operativo do computador que originalmente detinha uma função específica já não existe ou foi reinstalado.
Ocorre uma replicação e os controladores de domínio que não são FSMO no domínio ou na floresta obtêm conhecimento total das alterações que são efectuadas pelos controladores de domínio detentores de FSMO. Se for necessário transferir uma função, o controlador de domínio mais adequado é aquele que se encontrar no domínio apropriado e que tenha sido o último alvo de replicação ou que tenha recentemente sido alvo de replicação de uma cópia disponível para escrita da "partição FSMO" do detentor da função existente. Por exemplo, o detentor da função de mestre de esquema tem um caminho de nome distinto de CN=schema,CN=configuration,dc=<domínio raiz da floresta>, o que significa que as funções residem em e são replicadas como parte de CN=schema partition. Se o controlador de domínio que detém a função de mestre de esquema detectar uma falha de hardware ou de software, um detentor de funções adequado seria um controlador de domínio do domínio raiz e do mesmo local do Active Directory que o proprietário actual. Os controladores de domínio do mesmo local do Active Directory são alvo de replicação a cada 5 minutos ou 15 segundos.

A partição de cada função FSMO está na seguinte lista:

Reduzir esta tabelaExpandir esta tabela
Função FSMOPartição
EsquemaCN=Schema,CN=configuration,DC=<domínio raiz da floresta>
Mestre de atribuição de nomes de domínioCN=configuration,DC=<domínio raiz da floresta>
PDCDC=<domínio>
RIDDC=<domínio>
Infra-estruturaDC=<domínio>


Um controlador de domínio cujas funções FSMO tenham sido capturadas não deve poder comunicar com controladores de domínio existentes na floresta. Neste cenário, deverá formatar o disco rígido e reinstalar o sistema operativo nesses controladores de domínio ou despromovê-los em redes privadas e remover os respectivos metadados de um controlador de domínio sobrevivente na floresta utilizando o comando ntdsutil /metadata cleanup. O risco de introduzir um antigo detentor de função FSMO, cuja função tenha sido capturada, na floresta consiste no facto de o detentor original da função poder continuar a funcionar como anteriormente até ser alvo de uma replicação de informações sobre a captura da função. Os riscos conhecidos de dois controladores de domínio deterem as mesmas funções FSMO incluem a criação de principais de segurança com conjuntos de RID sobrepostos, entre outros problemas.

Transferir funções FSMO

Para transferir as funções FSMO usando o utilitário Ntdsutil, siga estes passos:
  1. Inicie sessão num servidor baseado no Windows 2000 ou num computador membro ou controlador de domínio baseado no Windows Server 2003, localizado na floresta onde as funções FSMO vão ser transferidas. A Microsoft recomenda que inicie sessão no controlador de domínio a que esteja a atribuir funções FSMO. O utilizador com sessão iniciada deverá ser membro do grupo de administradores da empresa para transferir funções de mestre de esquema ou de mestre de atribuição de nomes de domínio, ou membro do grupo de administradores do domínio em que vão ser transferidas as funções de emulador de PDC, de mestre de RID e de mestre de infra-estruturas.
  2. Clique em Iniciar (Start), clique em Executar (Run), escreva ntdsutil na caixa Abrir (Open) e clique em OK.
  3. Escreva roles e prima ENTER.

    Nota: para consultar uma lista de comandos disponíveis em qualquer uma das linhas de comandos do utilitário Ntdsutil, escreva ? e prima ENTER.
  4. Escreva connections e prima ENTER.
  5. Escreva ligar ao servidor nome_do_servidor e prima ENTER, em que nome_do_servidor é o nome do controlador de domínio a que pretende atribuir a função FSMO.
  6. Na linha de comandos server connections, escreva q e prima ENTER.
  7. Escreva transferir função, em que função é a função que pretende transferir. Para obter uma lista de funções que pode transferir, escreva ? na linha de comandos fsmo maintenance e prima ENTER, ou consulte a lista de funções no início deste artigo. Por exemplo, para transferir uma função de mestre de RID, escreva transfer rid master. A única excepção é para a função de emulador de PDC, cuja sintaxe é transfer pdc e não transfer pdc emulator.
  8. Na linha de comandos fsmo maintenance, escreva q e prima ENTER para obter acesso à linha de comandos ntdsutil. Escreva q e prima ENTER para sair do utilitário Ntdsutil.

Capturar funções FSMO

Para capturar as funções FSMO usando o utilitário Ntdsutil, siga estes passos:
  1. Inicie sessão num servidor baseado no Windows 2000 ou num computador membro ou controlador de domínio baseado no Windows Server 2003, localizado na floresta onde as funções FSMO vão ser capturadas. A Microsoft recomenda que inicie sessão no controlador de domínio a que esteja a atribuir funções FSMO. O utilizador com sessão iniciada deverá ser um membro do grupo de administradores da empresa para transferir funções de mestre de esquema ou de mestre de atribuição de nomes de domínio, ou membro do grupo de administradores do domínio onde vão ser transferidas as funções de emulador de PDC, de mestre de RID e de mestre de infra-estruturas.
  2. Clique em Iniciar (Start), clique em Executar (Run), escreva ntdsutil na caixa Abrir (Open) e clique em OK.
  3. Escreva roles e prima ENTER.
  4. Escreva connections e prima ENTER.
  5. Escreva ligar ao servidor nome_do_servidor e prima ENTER, em que nome_do_servidor é o nome do controlador de domínio a que pretende atribuir a função FSMO.
  6. Na linha de comandos ligações ao servidor, escreva q e prima ENTER.
  7. Escreva capturar função, em que função é a função que pretende capturar. Para obter uma lista de funções que pode capturar, escreva ? na linha de comandos fsmo maintenance e prima ENTER, ou consulte a lista de funções no início deste artigo. Por exemplo, para capturar uma função de mestre de RID, escreva seize rid master. A única excepção é para a função de emulador de PDC, cuja sintaxe é seize pdc e não seize pdc emulator.
  8. Na linha de comandos fsmo maintenance, escreva q e prima ENTER para obter acesso à linha de comandos ntdsutil. Escreva q e prima ENTER para sair do utilitário Ntdsutil.

    Notas
    • Em condições normais, as cinco funções têm de ser atribuídas a controladores de domínio activos na floresta. Se um controlador de domínio que detenha uma função FSMO for desactivado antes de as suas funções serem transferidas, terá de capturar todas as funções para um controlador de domínio adequado e em boas condições. A Microsoft recomenda a captura de todas as funções apenas quando o outro controlador não voltar para o domínio. Se for possível, repare o controlador de domínio danificado a que estão atribuídas às funções FSMO. Deverá determinar que funções deverão estar em que controladores de domínio restantes de modo a que todas as cinco funções sejam atribuídas a um único controlador de domínio. Para obter mais informações sobre a localização de funções FSMO, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
      223346  (http://support.microsoft.com/kb/223346/pt/ ) Colocação e optimização do FSMO em controladores de domínio do Windows 2000
    • Se o controlador de domínio que anteriormente detinha a função FSMO não estiver presente no domínio e se as suas funções tiverem sido capturadas utilizando os passos deste artigo, remova-o do Active Directory seguindo o procedimento descrito no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
      216498  (http://support.microsoft.com/kb/216498/pt/ ) Como remover dados do Active Directory após uma despromoção sem êxito de um controlador de domínio
    • Remover os metadados do controlador de domínio com a versão do Windows 2000 ou a compilação 3790 do Windows Server 2003 do comando ntdsutil /metadata cleanup não desloca as funções FSMO atribuídas a controladores de domínio activos. A versão do Windows Server 2003 Service Pack 1 (SP1) do utilitário Ntdsutil automatiza esta tarefa e remove elementos adicionais dos metadados de controladores de domínio.
    • Alguns clientes preferem não restaurar cópias de segurança do estado do sistema de detentores de funções FSMO no caso de a função ter sido reatribuída depois de a cópia de segurança ser efectuada.
    • Não coloque a função de mestre de infra-estrutura no mesmo controlador de domínio que o servidor de catálogo global. Se o mestre de infra-estrutura for executado num servidor de catálogo global, deixará de efectuar a actualização de informações de objectos dado que não contém quaisquer referências a objectos que não estejam na sua posse. Isto deve-se ao facto de o servidor de catálogo global ter uma réplica parcial de todos os objectos da floresta.
Para testar se um controlador de domínio é também um servidor de catálogo global:
  1. Clique em Iniciar (Start), aponte para Programas (Programs), aponte para Ferramentas administrativas (Administrative Tools) e clique em Serviços e locais do Active Directory (Active Directory Sites and Services).
  2. Faça duplo clique em Sites, no painel do lado esquerdo, e localize o local apropriado ou clique em Nome-de-primeiro-site-predefinido (Default-first-site-name) se não estiverem disponíveis outros sites.
  3. Abra a pasta Servidores (Servers) e clique no controlador de domínio.
  4. Na pasta do controlador de domínio, faça duplo clique em Definições NTDS (NTDS Settings).
  5. No menu Acção (Action), clique em Propriedades (Properties).
  6. No separador Geral (General), visualize a caixa de verificação Catálogo global (Global Catalog) para verificar se está seleccionada.
Para obter mais informações sobre as funções FSMO, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
197132  (http://support.microsoft.com/kb/197132/pt/ ) Funções FSMO do Active Directory do Windows 2000
223787  (http://support.microsoft.com/kb/223787/pt/ ) Processo de transferência e captura de Flexible Single Master Operation

Passos para reproduzir o problema

Execute o DCPROMO num computador com o Windows Server 2008 para unir um domínio no qual o mestre de RID esteja offline. Irá receber um aviso dizendo que precisa de ter um mestre de RID activo. De seguida verá uma referência ao artigo 255504 da BDC.
Nota Este é um artigo de “PUBLICAÇÃO RÁPIDA” criado directamente a partir da organização de suporte da Microsoft. As informações contidas neste artigo são fornecidas “tal como estão” em resposta a problemas recentes. Devido à urgência em disponibilizar este artigo, os materiais poderão incluir erros tipográficos e ser revistos em qualquer altura sem aviso prévio. Consulte os Termos de Utilização (http://go.microsoft.com/fwlink/?LinkId=151500) para outras considerações.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbhowto KB255504
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft