Chega um momento na carreira de qualquer administrador do Active Directory (AD) em que ele ou ela deve transferir as funções FSMO (ou apoderar-se delas). Controladores de domínio (DCs) vão e vêm e as funções FSMO hospedadas nesses DCs devem ser movidas.
Neste tutorial, você aprenderá como transferir e apoderar-se de todas as funções AD FSMO, passo a passo. Você verá como mover as funções FSMO por meio de várias ferramentas GUI e PowerShell.
Vamos começar!
Pré-requisitos
Se você quiser acompanhar, certifique-se de ter o seguinte:
- Pelo menos dois DCs – Este tutorial usará o Windows Server 2019 com um nível funcional de floresta do Windows Server 2016, embora não tenha mudado muito.
- A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly
Relacionado: Como instalar e importar o módulo do Active Directory PowerShell
- Windows PowerShell v5.1
- Faça login com uma conta AD em um computador conectado ao domínio. Para consultar as funções, não são necessários privilégios especiais. No entanto, são necessários privilégios adicionais para transferir ou apoderar-se das funções.
Transferindo funções FSMO com a GUI
Há duas maneiras de transferir as funções FSMO; a GUI e o PowerShell. Vamos primeiro ver como transferir as funções FSMO por meio de alguns snap-ins MMC diferentes.
RID Master, PDCe e Infrastructure Master
Vamos primeiro lidar com as funções FSMO específicas do domínio.
- Abra o ADUC (dsa.msc), clique com o botão direito no domínio e escolha Operadores Mestres. Aqui você encontrará todas as funções FSMO exclusivas do domínio (Mestre RID, PDCe e Mestre de Infraestrutura) representadas nas guias RID, PDC e Infraestrutura.
2. Clique em cada guia. Você notará o atual detentor da função FSMO (Mestre de operações) e um botão Alterar.
3. Clique no botão Alterar em cada guia e selecione o novo DC para realizar transferências das funções FSMO de Mestre RID, PDCe e Mestre de Infraestrutura.
Mestre de Nomenclatura de Domínio
Agora, vamos para a função de Mestre de Nomenclatura de Domínio. Você pode visualizar e alterar essa função FSMO no Console de Domínios e Confianças do Active Directory.
- Abra o Console de Domínios e Confianças do Active Directory (domain.msc).
2. Clique com o botão direito no nó pai Domínios e Confianças do Active Directory e clique em Operadores Mestres. Aqui você verá o DC atual que detém essa função descrito como Mestre de operações de nomenclatura de domínio.
3. Clique no botão Alterar e escolha o DC para o qual deseja transferir.
Mestre de Esquema
Por fim, temos a função de Mestre de Esquema. Para alterar essa função, você precisará do complemento MMC Esquema do Active Directory.
Antes de começar, certifique-se de estar logado com uma conta que está no grupo AD de Administradores de Esquema.
- Abra um prompt de comando elevado ou console do PowerShell e execute
regsvr32.exe "schmmgmt.dll". O snap-in do Esquema do Active Directory não está disponível por padrão. Este comando registra a DLL necessária para o gerenciamento do esquema.
2. Abra o utilitário mmc.exe.
3. Clique em Arquivo —> Adicionar/Remover Snap-in.
4. Selecione Active Directory Schema nos snap-ins disponíveis e clique em Adicionar > e OK.
5. Uma vez no snap-in, clique com o botão direito em Active Directory Schema [<nome do seu domínio>] e escolha Master de Operações para visualizar o Master de Esquema atual na janela pop-up.
6. Clique em Alterar e selecione o novo DC para transferir a função de Master de Esquema.
Transferindo Funções FSMO com PowerShell
Se você está mais inclinado para a linha de comando, o PowerShell está ao seu alcance.
Visualizando os Titulares Atuais de Função FSMO
Vamos primeiro aprender como visualizar os titulares atuais de função FSMO antes de transferir com o PowerShell. Para fazer isso, abra um console elevado do Windows PowerShell e execute Get-ADDomain e Get-ADForest para encontrar cada um dos titulares atuais de função FSMO conforme mostrado abaixo.
Get-ADDomain
Get-ADForestTransferindo as Funções FSMO
Uma vez que você sabe quais DCs possuem as funções FSMO atualmente, você também pode transferi-las. Para fazer isso no Windows PowerShell, execute o comando Move-ADDirectoryServerOperationMasterRole usando o parâmetro Identity para o DC para o qual deseja transferir a função FSMO (ChildDC1 neste caso), seguido pelo nome da função FSMO. O exemplo abaixo está transferindo a função Mestre de RID.
Para o nome da função FSMO, você pode usar
PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMastereDomainNamingMaster.
Você também pode transferir mais de uma função de uma vez, definindo cada nome de função separado por vírgula, por exemplo:
Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.
Talvez você seja realmente preguiçoso e não queira digitar esses nomes longos. Nesse caso, você também pode usar apenas números, com cada função FSMO correspondendo a um número específico.
| Role Name | Number |
| PDCEmulator | 0 |
| RIDMaster | 1 |
| InfrastructureMaster | 2 |
| SchemaMaster | 3 |
| DomainNamingMaster | 4 |
Usando os identificadores em vez dos nomes das funções, o comando para transferir a função PDCE é tão curto quanto Move-ADDirectoryServerOperationMasterRole ChildDc2 0
Você será solicitado sobre a transferência do nome da função FSMO, apenas para ter certeza de que sabe o que está fazendo. Como esta não é uma tarefa frequente, você pode querer considerar o uso do nome completo da(s) função(ões) que deseja transferir. Especialmente se estiver usando o comando em um script que outra pessoa irá utilizar; é mais fácil de entender.
Tomando as Funções FSMO com a GUI
Se precisar mover uma função FSMO de um Controlador de Domínio (DC) para outro, a transferência de funções é sempre a melhor opção. A transferência garante que a função FSMO seja completamente removida do antigo DC e transferida para o novo DC. No entanto, nem sempre as coisas ocorrem conforme planejado.
Se um DC não estiver mais online ou falhar de alguma forma, você pode assumir as funções FSMO, o que essencialmente cria uma nova função FSMO em um novo DC sem remover a antiga.
Apenas assuma uma função FSMO quando tiver certeza de que não pode trazer o atual detentor da função de volta online. Uma vez que a função é assumida, certifique-se de que o antigo detentor da função FSMO nunca seja restaurado.
Assumir funções com a interface gráfica é feito removendo a conta de computador de um DC dentro do console do Active Directory Users and Computers (ADUC). Para fazer isso:
- Primeiro, conecte o ADUC ao DC para o qual deseja transferir a função FSMO. Para fazer isso, no ADUC, clique com o botão direito do mouse no nó raiz Active Directory Users and Computers e clique em Change Domain Controller.
2. Procure o DC ao qual deseja se conectar e conecte-se a ele.
3. Clique na OU Domain Controllers.
4. Clique com o botão direito no DC do qual deseja assumir a função FSMO e clique em Delete.
5. Em seguida, clique em Sim nas duas primeiras mensagens.
6. Finalmente, você receberá um aviso informando que o DC era um titular de função FSMO e a(s) função(ões) serão movidas para outro DC. Este será o DC ao qual o seu Console ADUC está conectado. Clique em OK e a conta do computador do DC offline será excluída, e as funções serão assumidas e transferidas para o novo DC.
Assumindo as Funções FSMO com PowerShell
Para assumir funções FSMO com o PowerShell, certifique-se de que o Windows PowerShell está aberto e execute Move-ADDirectoryServerOperationMasterRole fornecendo o nome do novo DC como valor do parâmetro Identity junto com o parâmetro Force.
O exemplo abaixo está assumindo a função de Mestre RID e atribuindo-a ao DC NewDC3.
Os mesmos nomes de função FSMO usados para transferência também se aplicam ao cmdlet
Move-ADDirectoryServerOperationMasterRole.
Conclusão
Mover funções FSMO não é uma tarefa diária, mas quando você está promovendo novos DCs, rebaixando DCs antigos e desativando servidores, será necessário conhecer as funções FSMO.
Siga as etapas deste tutorial para ajudá-lo a concluir essa tarefa da sua lista!