Windows Server

Transferindo as roles FSMO para um novo Domain Controller


Domínios Active Directory têm um design específico (Single-Master Model) para evitar conflitos na replicação de dados entre múltiplos domain controllers. Vamos ver quais são as cinco roles e depois apresentaremos as duas seções “Transferindo as roles FSMO”.

Função das roles FSMO

Schema Master: Responsável por realizar atualizações no Schema do domínio. Este servidor é o único responsável por fazer este tipo de atualização e a partir dele todos os outros domain controllers recebem a replicação dos dados atualizados.

Domain Naming Master: Responsável por fazer alterações em toda floresta. É o único que pode adicionar ou remover domínios do diretório.

RID Master: Responsável por alocar/gerenciar RID’s (Relative ID’s – identificação única de objetos utilizada em conjunto com o SID) em todos os outros domain controllers.

PDC Emulator: Responsável por sincronizar o horário entre todos os dispositivos conectados ao domínio. Além disso, controla muitas funções em relação a erros de login, bloqueio de contas, dentre outros.

Infrastructure Role: Responsável por atualizar os SID’s e nomes de objetos entre os domain controllers.

Iremos executar esta atividade, principalmente quando houver o fim do “Life Cycle” de um domain controller – seja por hardware antigo ou fim de suporte da versão do Windows. Outras situações são aplicáveis, como por exemplo um servidor que apresenta blue screen, travamentos, ou qualquer outro problema que demonstre diminuição da confiabilidade do mesmo.

A virtualização minimiza em grande parte as dificuldades de migração de hardware, mas é importante lembrar que as boas práticas da Microsoft ainda recomendam manter pelo menos um domain controller físico.

Transferindo as roles FSMO – Schema Master e Operation Master

O primeiro passo é ter o novo servidor em pleno funcionamento, adicionado ao domínio e promovido a Domain Controller – Instale a Role do AD DS e execute o utilitário dcpromo.exe.

Antes de tudo, adicione seu usuário ao grupo Domain Admins e principalmente ao Schema Admins:

transferindo fsmo

Em seguida, no novo Domain Controller, execute o prompt de comando com privilégios de administrador.

transferindo fsmo

Execute o comando abaixo para registrar a DLL.

# regsvr32 schmmgmt.dll

transferindo fsmo

Caso você veja a mensagem de erro abaixo, certifique-se que realmente adicionou o usuário aos grupos anteriormente citados e se o prompt está sendo executado com a função “Run as Administrator”.

transferindo fsmo

Abra o “Executar” e digite mmc.

transferindo fsmo

Com o MMC aberto, iremos adicionar a Snap-In “Active Directory Schema”, para tal clique em File à Add/Remove Snap-in.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_06

Em seguida selecione a opção “Active Directory Schema”, clique em “Add” e por fim em “OK”.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_07

Clique com o botão direito em Active Directory Schema e selecione a opção “Change Active Directory Domain Controller…”.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_08

Na próxima tela selecione o novo Domain Controller. Neste artigo utilizamos como exemplo o servidor “DCVMAD03”, e clique em “OK”.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_09

A mensagem abaixo irá ser mostrada, clique em OK e continue.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_10

Clique novamente com o botão direito em “Active Directory Schema” e agora selecione a opção “Operations Master…”.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_11

Na tela que foi aberta, apenas clique em “Change” e confirme as próximas mensagens de sucesso. Após isto, este MMC/Snap-In pode ser fechado.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_12

Agora abra a console “Active Directory Domain and Trusts”.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_13

Iremos basicamente executar o mesmo procedimento que foi realizado no mmc anterior. Clique com o botão direito em “Active Directory Domain and Trusts” e em seguida selecione a opção “Change Active Directory Domain Controller…”

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_14

Selecione o novo servidor e clique em OK e confirme as próximas mensagens que podem aparecer.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_15

Clique com o botão direito em “Active Directory Domains and Trusts” e selecione a opção “Operations Master…”.

2014_11_marcelo_tancredi_transferindo_as_roles_fsmo_para_um_novo_domain_controller_16

Na próxima tela clique em “Change” e em seguida em OK.

Transferindo as roles FSMO

Transferindo as roles FSMO – RID/PDC e Infrastructure Masters

Após este procedimento podemos fechar a console. Com isso já temos migrados dois roles FSMO. Os próximos passos precisam apenas de uma única console – “Active Directory Users and Computers”.

Transferindo as roles FSMO

Após abrir a console, clique com o botão direito em “Active Directory Users and Computers”, selecione “All Tasks” e depois “Operations Master…”.

Transferindo as roles FSMO

Nesta tela, teremos três abas (RID, PDC e Infrastructure.), em todas elas iremos clicar em “Change…” e confirmar, assim teremos migrados as três últimas roles. O resultado final deve ficar similar as imagens abaixo.

Transferindo as roles FSMO

Conclusão

Terminando os passos acima, migramos todas as roles FSMO – de grande importância para um domínio Active Directory. Também aumentamos a confiabilidade passando estas atividades para um servidor novo. Caso queira saber mais sobre as Roles FSMO, recomendo o seguinte artigo no TechNet.

Este texto foi originalmente publicado por Marcelo Tancredi no Agility Tech Center.

Marcelo tem mais de 10 anos de experiência na área de TI, vem trabalhando principalmente com virtualização VMware.

View Comments
There are currently no comments.