Entender as FSMO roles e como e quando fazer a transferência das mesmas tem que ser bem entendido para que tudo funcione bem e rápido em caso de um desastre real ou em caso de uma simulação de DRP.
O que são as FSMO Roles, quais são elas e o que elas fazem:
Determinadas operações de domínio e de toda empresa que não são válidas para atualizações de diversos mestres são executadas por um único controlador de domínio em um domínio ou em uma floresta do Active Directory. Os controladores de domínio atribuídos para executar essas operações exclusivas são chamadas mestres de operações ou detentores de funções FSMO.
A seguinte lista descreve as 5 funções FSMO exclusivas em uma floresta do Active Directory e suas operações dependentes executáveis:
· Mestre de esquema – A função do mestre de esquema abrange toda a floresta e existe um para cada floresta. Essa função é necessária para estender o esquema de uma floresta do Active Directory ou executar o comando adprep /forestprep.
· Mestre de nomeação de domínio – A função do mestre de nomeação de domínio abrange toda a floresta e existe um para cada floresta. Essa função é necessária para adicionar ou remover partições de domínios ou de aplicativos ou para uma floresta.
· Mestre RID – A função do mestre RID abrange todo o domínio e existe um para cada domínio. Essa função é necessária para alocar o pool RID de modo que os controladores de domínio novos ou existentes possam criar contas de usuário, contas de computador ou grupos de segurança.
· Emulador PDC – A função emulador PDC abrange todo o domínio e existe um para cada domínio. Essa função é necessária para o controlador de domínio que envia atualizações de banco de dados para controladores de domínio de backup do Windows NT. O controlador de domínio que detém essa função também é alvo de determinadas ferramentas e atualizações administrativas para senhas de conta de usuário e conta de computador.
· Mestre de infra-estrutura – A função do mestre de infra-estrutura abrange todo o domínio e existe uma para cada domínio. Essa função é necessária para que os controladores de domínio executem o comando adprep /domainprep com êxito e atualizem os atributos SID e atributos de nome distinto para objetos citados por domínios.
O Assistente para instalação do Active Directory (Dcpromo.exe) atribui todas as 5 funções FSMO ao primeiro controlador de domínio no domínio raiz da floresta. O primeiro controlador de domínio em cada domínio filho ou árvore novo recebe as três funções que abrangem todo domínio. Controladores de domínio continuam a possuir funções FSMO até que sejam reatribuídos usando um dos seguintes métodos:· Um administrador atribui novamente a função usando uma ferramenta administrativa GUI.
· Um administrador atribui novamente a função usando o comando ntdsutil /roles.
· Um administrador rebaixa normalmente um controlador de domínio detentor de função usando o Assistente para instalação do Active Directory. Esse assistente atribui novamente quaisquer funções mantidas localmente para um controlador de domínio existente na floresta. Rebaixamentos realizados usando o comando dcpromo /forceremoval deixam funções FSMO em um estado inválido até que sejam atribuídas novamente por um administrador.
O recomendado é que as roles sejam distribuidas entre os DCs do domínio, mas as vezes isso não ocorre e nos deparamos com 1 DC com todas as roles e outro sem nenhuma e como sempre Murphy dá aquela ajuda e o DC com todas as regras tem uma falha de Hardware. Os passos abaixo vão ajudá-lo a sair dessa situação:1. Faça o logon no controlador de domínio para o qual está atribuindo as funções FSMO. O usuário conectado deve ser um membro do grupo Administradores de empresa para transferir as funções de mestre de esquema ou mestre de nomeação de domínio, ou um membro do grupo Administradores de domínio do domínio no qual as funções emulador PDC, mestre RID e mestre de infra-estrutura estão sendo transferidas.
2. Clique em Iniciar e em Executar, digite ntdsutil na caixa Abrir e clique em OK.
3. Digite roles e pressione ENTER.
4. Digite connections e pressione ENTER.
5. Digite connect to server nome_do_servidor e pressione ENTER no qual, nome_do_servidor é o nome do controlador de domínio para o qual deseja atribuir a função FSMO.
6. No prompt server connections , digite q e pressione ENTER.
7. Digite seize função, no qual função é a função que deseja executar. Para obter uma lista de funções que podem ser executadas digite ? no prompt fsmo maintenance e pressione ENTER ou, consulte a lista de funções no início deste artigo. Por exemplo, para executar a função mestre RID, digite seize rid master. A única exceção é para a função emulador PDC do qual, a sintaxe é seize pdc e não seize pdc emulator.
Nesse caso de perda do DC com todas as funções iremos executar:
seize domain naming master
seize infrastructure master
seize PDC
seize Rid master
seize Schema Master
*Apos cada comando aparecerá uma tela pedindo a confirmação da transferência
Nesse caso de perda do DC com todas as funções iremos executar:
seize domain naming master
seize infrastructure master
seize PDC
seize Rid master
seize Schema Master
*Apos cada comando aparecerá uma tela pedindo a confirmação da transferência
8. No prompt fsmo maintenance digite q e pressione ENTER para obter acesso ao prompt ntdsutil. Digite q e pressione ENTER para fechar o utilitário Ntdsutil.
Nota Importante n1:
Sempre em que for feito o seize das roles: Schema Master, Rid Master ou Domain Naming o DC original deve ser reinstalado do zero.
Nota Importante n2:
É necessário efetuar o procedimento descrito no artigo http://support.microsoft.com/kb/216498 para remover os dados do DC antigo do Active Directory.
Nenhum comentário:
Postar um comentário