• 09/08/2020
  • 11 minutos para ler
    • D
    • x
    • s

Este artigo descreve quando e como transferir ou executar Operações de Mestre Único Flexível (FSMO).,

produto Original versão: Windows Server 2019, o Windows Server Standard De 2016, o Windows Server Essentials 2016, o Windows Server Datacenter 2016
Original KB número: 255504

Mais informações

Dentro de um Serviços de Domínio Active Directory (AD DS) de floresta, há tarefas específicas que devem ser executadas por apenas um controlador de domínio (DC). Os DCs que são designados para realizar estas operações únicas são conhecidos como portadores de papéis FSMO. A tabela seguinte lista os papéis da FSMO, e sua colocação em Diretório Ativo.,

para mais informações sobre os detentores de papéis FSMO e recomendações para a colocação dos papéis, consulte a colocação e otimização FSMO em controladores de domínio de diretórios ativos.

Nota

partições de Aplicação de Directórios activos que incluem partições de aplicações DNS têm ligações de papel FSMO. Se uma partição de Aplicação DNS definir um dono para o papel mestre de infra-estrutura, você não pode usar Ntdsutil, DCPromo, ou outras ferramentas para remover essa partição de Aplicação. Para mais informações, consulte DCPROMO despromotion falha se não for possível contactar o mestre de infra-estrutura do DNS.,

quando uma corrente contínua que tem actuado como titular de funções começa a correr (por exemplo, após uma falha ou uma paragem), não volta imediatamente a comportar-se como titular de funções. A DC espera até receber a replicação de entrada para o seu contexto de nomeação (por exemplo, o dono do Papel Mestre Schema espera receber a replicação de entrada da partição Schema).

a informação que os DCs passam como parte da replicação de diretórios ativos inclui as identidades dos atuais detentores de papéis FSMO., Quando o DC recém-iniciado recebe a informação de replicação de entrada, ele verifica se ele ainda é o titular do papel. Se for, retoma operações típicas. Se a informação replicada indicar que outra DC está a actuar como titular, a DC recém-criada renuncia à sua propriedade. Este comportamento reduz a chance de que o domínio ou floresta terá duplicados Portadores de papéis FSMO.as operações de FS AD

importante

AD FS falham se necessitarem de um titular de papel e se o titular de papel recém-iniciado for, de facto, o titular de papel e não receber replicação de entrada.,
o comportamento resultante se assemelha ao que aconteceria se o titular do papel estivesse offline.

determinar quando transferir ou apreender papéis

em condições típicas, todos os cinco papéis devem ser atribuídos a DCs “vivos” na floresta. Quando criar uma floresta de pastas activa, o Assistente de instalação de pastas activas (Dcpromo.exe) atribui todos os cinco papéis FSMO para o primeiro DC que ele cria no domínio raiz Floresta. Quando você cria um domínio de uma criança ou árvore, Dcpromo.exe atribui os três papéis de domínio para o primeiro DC no domínio.,

DCs continuam a possuir papéis FSMO até que eles sejam reatribuídos usando um dos seguintes métodos:

  • um administrador reatribui o papel usando uma ferramenta administrativa GUI.
  • um administrador reassigns the role by using the ntdsutil /roles command.
  • um administrador representa graciosamente uma função de controlo de corrente contínua, usando o Assistente de instalação de Directórios activo. Este mago recoloca quaisquer funções locais para um DC existente na floresta.
  • um administrador demota uma função de controlo de corrente contínua usando o comando dcpromo /forceremoval.,a corrente contínua desliga-se e recomeça. Quando o DC recomeça, recebe informação de replicação que indica que outro DC é o titular do papel. Neste caso, a DC recém-iniciada renuncia ao papel (como descrito anteriormente).se um titular de papel da FSMO sofrer uma falha ou for retirado de serviço antes de seus papéis serem transferidos, você deve aproveitar e transferir todos os papéis para uma DC adequada e saudável.,

    Nós recomendamos que você transfira papéis FSMO nos seguintes cenários:

    • o atual titular de papel está operacional e pode ser acessado na Rede pelo novo proprietário da FSMO.
    • Você está graciosamente despromovendo um DC que atualmente possui papéis FSMO que você quer atribuir a um DC específico em sua floresta de diretórios ativos.
    • A DC que atualmente possui papéis FSMO está sendo desligada para manutenção programada, e você tem que atribuir papéis específicos FSMO para DCs ao vivo. Você pode ter que transferir papéis para realizar operações que afetam o proprietário da FSMO., Isto é especialmente verdadeiro para o papel do emulador PDC. Esta é uma questão menos importante para o papel de mestre RID, o papel de mestre nome de domínio, e os papéis de Mestre Schema.

    recomendamos que você aproveite as funções do FSMO nos seguintes cenários:

    • O atual titular do papel está experimentando um erro operacional que impede uma operação dependente do FSMO de completar com sucesso, e você não pode transferir o papel.

    • você usa o comandodcpromo /forceremoval para forçar-demote uma DC que possui um papel FSMO.,

      importante

      Odcpromo /forceremoval o comando deixa as funções de FSMO num estado inválido até que sejam reatribuídas por um administrador.

    • O sistema operacional no computador que originalmente possuía uma função específica já não existe ou foi reinstalado.

    Nota

    • recomendamos que você só aproveite todos os papéis quando o titular anterior não está retornando para o domínio.,se os papéis da FSMO tiverem de ser apreendidos em cenários de recuperação florestal, ver Passo 5 em executar a recuperação inicial sob a restauração do primeiro controlador de domínio gravável em cada seção de domínio.após uma transferência ou apreensão de papel, o novo titular não actua imediatamente. Em vez disso, o novo titular de papel se comporta como um titular de papel reiniciado e espera por sua cópia do contexto de nomeação para o papel (como a partição de domínio) para completar um ciclo de replicação de entrada bem sucedido., Este requisito de replicação ajuda a garantir que o novo titular do papel está tão atualizado quanto possível antes de tomar medidas. Ele também limita a janela de oportunidade para erros. Esta janela inclui apenas as alterações que o titular do papel anterior não terminou de replicar aos outros DCs antes de ficar offline. Para uma lista do contexto de nomeação para cada função FSMO, veja a tabela na seção de mais informações.,

    identificar um novo titular de papel

    o melhor candidato para o novo titular de papel é uma DC que cumpre os seguintes critérios:

    • reside no mesmo domínio que o titular de papel anterior.
    • tem a cópia replicada mais recente da partição de papel.

    por exemplo, assuma que você tem que transferir o papel mestre do esquema. O papel principal do Schema é parte da partição esquema da floresta (cn=Schema,cn=Configuração,dc=<domínio raiz florestal>)., O melhor candidato para um novo titular de papel é um DC que também reside no domínio raiz florestal, e no mesmo site de diretório ativo como o atual titular de papel.

    cuidado

    não coloque o papel principal da infra-estrutura no mesmo DC que o servidor de catálogo global. Se o mestre de infra-estrutura funciona em um servidor de catálogo global, ele pára de atualizar a informação do objeto porque ele não contém quaisquer referências a objetos que não possui. Isto é porque um servidor de catálogo global possui uma réplica parcial de cada objeto na floresta.,

    Para testar se um controlador de domínio for um servidor de catálogo global, siga estes passos:

    1. Seleccione Iniciar > Programas > Ferramentas Administrativas > Sites do Active Directory e Serviços.
    2. na área de navegação, Sites de duplo clique e, em seguida, localizar o site apropriado ou selecione o primeiro-site Padrão-Nome, Se não há outros sites disponíveis.
    3. abra a pasta de servidores e, em seguida, selecione o DC.
    4. na pasta do DC, faça duplo-click na configuração do NTDS.
    5. no menu Acção, seleccione as propriedades.,
    6. na página Geral, veja a opção do catálogo Global para ver se está seleccionada.para mais informações, ver: AD Forest Recovery-apreender um papel principal de operações de planeamento colocação de funções de mestre de operações

      7. apreender ou transferir funções de FSMO

      pode utilizar o Windows PowerShell ou Ntdsutil para assumir ou transferir funções. Para obter informações e exemplos de como usar PowerShell para estas tarefas, consulte Move-Addidirectoryserveroperationmasterrol.,

      importante

      Se tiver de assumir o papel principal do RID, considere a utilização do Move-Addirrectoryserveroperationmasterrol cmdlet em vez do Ntdsutil.exe utility.

      para evitar o risco de SIDs duplicados no domínio, o Ntdsutil aumenta o próximo RID disponível na piscina em 10 mil quando você se apodera do papel principal RID. Este comportamento pode fazer com que a sua floresta consuma completamente os seus intervalos disponíveis para os valores RID (também conhecido como rid burn). Em contraste, se você usar o PowerShell cmdlet para assumir o papel de mestre do RID, o próximo RID disponível não é afetado.,

      para apreender ou transferir os papéis FSMO usando o utilitário Ntdsutil, siga estes passos:

      1. assine para um computador membro que tem as ferramentas AD RSAT instaladas, ou uma DC que está localizada na floresta onde os papéis FSMO estão sendo transferidos.

        Nota

        • recomendamos que faça login na DC para a qual está a atribuir funções FSMO.,
        • o usuário assinado deve ser um membro do grupo de Administradores de empresas para transferir funções mestre de esquema ou de nomenclatura de domínio, ou um membro do grupo de Administradores de domínio do domínio onde o emulador PDC, o mestre RID e os papéis mestre de infra-estrutura estão sendo transferidos.

      2. Seleccione Iniciar> Executar, escreva ntdsutil na caixa aberta, e depois seleccione OK.

      3. Type roles, and then press Enter.

        Nota

        para ver uma lista de comandos disponíveis em qualquer uma das instruções no utilitário Ntdsutil, tipo ?,, e depois carregue em Enter.

      4. type connections, and then press Enter.

      5. Type connect to server <servername>, e depois carregue em Enter.

        Nota

        neste comando, <servername> é o nome do controlador de domínio que você deseja atribuir a função FSMO.

      6. na linha de comandos das ligações do servidor, digite q, e depois carregue em Enter.,

      7. uma das seguintes:

        • Para transferir a função: Tipo de transferência de <papel> e, em seguida, prima Enter.

          Nota

          neste comando, <papel> é a função que você deseja transferir.

          • to seize the role: Type seize <role>, and then press Enter.

          Nota

          neste comando, <papel> é a função que você deseja executar.,

        8. por exemplo, para aproveitar o papel principal RID, tipo apreender rid master. A única exceção é para o papel do emulador PDC, cuja sintaxe é apreender pdc, não apreender pdc emulador.

        para ver uma lista de papéis que você pode transferir ou apreender, tipo ? no prompt de manutenção fsmo, e, em seguida, pressione Enter, ou ver a lista de papéis no início deste artigo.

      8. no prompt de manutenção fsmo, tipo q, e, em seguida, pressione Enter para obter acesso ao prompt ntdsutil. Escreva q, e depois carregue em Enter para sair do utilitário Ntdsutil.,

      Se for possível, e se for capaz de transferir os papéis em vez de os apreender, fixe o titular anterior. Se você não pode corrigir o titular de papel anterior, ou se você apreendeu os papéis, remover o titular de papel anterior do domínio.

      importante

      Se você planeja usar o computador reparado como um DC, recomendamos que você reconstrua o computador em um DC do zero, em vez de restaurar o DC a partir de uma cópia de segurança. O processo de restauração reconstrói a DC como um suporte de papel.,

    • to return the repaired computer to the forest as a DC

      1. Do one of the following:

        • Formate the hard disk of the former role holder, and then reinstall Windows on the computer.despromover à força o antigo titular para um servidor de membros.

      2. em outra corrente contínua na floresta, use Ntdsutil para remover os metadados para o antigo titular. Para mais informações, veja para limpar os metadados do servidor usando o Ntdsutil.,

      3. Depois de limpar os metadados, você pode promover o computador para um DC, e transferir um papel de volta para ele.

    • Para remover o computador da floresta após a apreensão de suas funções

      1. Remover o computador do domínio.
      2. em outra DC na floresta, use Ntdsutil para remover os metadados para o ex-titular. Para mais informações, veja para limpar os metadados do servidor usando o Ntdsutil.,quando parte de um domínio ou floresta não consegue comunicar com o resto do domínio ou floresta por um longo período de tempo, as secções isoladas do domínio ou floresta são conhecidas como ilhas de replicação. Os DCs numa ilha não podem replicar-se com os DCs noutras Ilhas. Ao longo de vários ciclos de replicação, as ilhas de replicação estão fora de sincronia. Se cada ilha tem seus próprios detentores de papéis FSMO, você pode ter problemas quando você restaurar a comunicação entre as ilhas.,

        importante

        na maioria dos casos, você pode tirar partido do requisito inicial de replicação (conforme descrito neste artigo) para eliminar porta-papéis duplicados. Um titular de papel reiniciado deve abandonar o papel se detectar um titular de papel duplicado.você pode encontrar circunstâncias que este comportamento não resolve. Em tais casos, as informações nesta seção podem ser úteis.,

        a tabela A seguir identifica o FMSO funções que podem causar problemas se uma floresta ou domínio que tem a função múltipla de suportes para essa função:

        Papel Potenciais conflitos entre as várias funções dos titulares?,
        Schema master Yes
        Domain naming master Yes
        RID master Yes
        PDC emulator No
        Infrastructure master No

        This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Além disso, o mestre de Infraestrutura não faz mudanças muitas vezes. Por isso, se várias ilhas têm estes detentores de Papéis, você pode reintegrar as ilhas sem causar problemas de longo prazo.

        O Mestre do esquema, o mestre da Nomenclatura do domínio, e o mestre do RID podem criar objetos e persistir alterações no diretório ativo. Cada ilha que tem um desses porta-papéis pode ter duplicados e conflitantes objetos schema, domínios, ou pools RID quando você restaurar a replicação. Antes de reintegrar as ilhas, determine quais os detentores de papéis a manter., Remova qualquer duplicate Schema masters, Domain Naming masters, e RID masters seguindo os procedimentos de Reparo, Remoção e limpeza que são mencionados neste artigo.,de iões de Transferência e Apreensão Processo

      3. COMO: Utilizar o Ntdsutil para localizar e limpar o duplicado identificadores de segurança no Windows Server
      4. Solucionar problemas de DNS 4013 de ID de Evento: O servidor de DNS não foi possível carregar ANÚNCIO zonas DNS integradas
      5. DCPROMO rebaixamento falhar se não for possível o contato com a infra-estrutura de DNS master
      6. as Funções FSMO
      7. Executar inicial de recuperação
      8. ANÚNCIO de Recuperação de Floresta – a Apreensão de uma função de mestre de operações
      9. Para limpar metadados do servidor utilizando o Ntdsutil
      10. Planejamento de Função de Mestre de Operações de Colocação
      11. Move-ADDirectoryServerOperationMasterrole

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *