Chega um momento na carreira de qualquer administrador do Active Directory (AD) em que ele ou ela deve transferir as funções FSMO (ou tomar posse delas). Os controladores de domínio (DCs) vêm e vão, e as funções FSMO hospedadas nesses DCs devem ser movidas.
Neste tutorial, você aprenderá como transferir e tomar posse de todas as funções FSMO do AD, passo a passo. Você verá como mover as funções FSMO por meio de várias ferramentas GUI e PowerShell.
Vamos começar!
Pré-requisitos
Se você deseja seguir junto, certifique-se de ter o seguinte:
- Pelo menos dois DCs – Este tutorial usará o Windows Server 2019 com um nível funcional de floresta do Windows Server 2016, embora não tenha mudado muito.
- A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly
Relacionado: Como Instalar e Importar o Módulo PowerShell do Active Directory
- Windows PowerShell v5.1
- Conecte-se com uma conta do AD a um computador conectado ao Domínio. Para consultar as funções, não são necessários privilégios especiais. Privilégios adicionais são necessários para transferir ou tomar posse das funções.
Transferindo Funções FSMO com a GUI
Há duas maneiras de transferir as funções FSMO; a GUI e o PowerShell. Vamos primeiro passar pela transferência das funções FSMO via algumas snap-ins MMC diferentes.
Mestre RID, PDCe e Mestre de Infraestrutura
Vamos primeiro lidar com as funções FSMO específicas do domínio.
- Abrir o ADUC (dsa.msc), clicar com o botão direito no domínio e escolher Mestres de Operações. Aqui você encontrará todas as funções FSMO exclusivas para o domínio (Mestre RID, PDCe e Mestre de Infraestrutura) representadas nas guias RID, PDC e Infraestrutura.
2. Clicar em cada guia. Você notará o atual detentor da função FSMO (Mestre de Operações) e um botão Alterar.
3. Clicar no botão Alterar em cada guia e selecionar o novo DC para realizar transferências para as funções FSMO de Mestre RID, PDCe e Mestre de Infraestrutura.
Mestre de Nome de Domínio
Em seguida, vamos para a função de Mestre de Nome de Domínio. Você pode visualizar e alterar essa função FSMO no Console de Domínios e Confianças do Active Directory.
- Abrir o Console de Domínios e Confianças do Active Directory (domain.msc).
2. Clicar com o botão direito no nó pai de Domínios e Confianças do Active Directory e clicar em Mestre de Operações. Aqui você verá o DC atual que detém essa função descrito como Mestre de operações de nome de domínio.
3. Clicar no botão Alterar e escolher o DC para o qual deseja transferir.
Mestre de Esquema
Em seguida e finalmente, temos a função de Mestre de Esquema. Para alterar essa função, você precisará do snap-in MMC de Esquema do Active Directory.
Antes de começar, certifique-se de estar conectado com uma conta que esteja no grupo de administradores de esquema do AD.
- Abra um prompt de comando elevado ou console do PowerShell e execute
regsvr32.exe "schmmgmt.dll". O snap-in do Esquema do Active Directory não está disponível por padrão. Este comando registra a DLL necessária para o gerenciamento do esquema.
2. Abra o utilitário mmc.exe.
3. Clique em Arquivo —> Adicionar/Remover Snap-in.
4. Selecione Active Directory Schema nos Snap-ins disponíveis e clique em Adicionar > e OK.
5. Uma vez no snap-in, clique com o botão direito em Active Directory Schema [<nome do seu domínio>] e escolha Mestre de operações para visualizar o Mestre do Esquema atual na janela pop-up.
6. Clique em Alterar e selecione o novo DC para transferir a função de Mestre do Esquema.
Transferindo Funções FSMO com PowerShell
Se você estiver mais inclinado para a linha de comando, o PowerShell está aqui para ajudar.
Visualizando Titulares Atuais de Função FSMO
Vamos primeiro aprender como visualizar os atuais titulares de função FSMO antes de transferir com o PowerShell. Para fazer isso, abra um console elevado do Windows PowerShell e execute Get-ADDomain e Get-ADForest para encontrar cada um dos titulares atuais de função FSMO, como mostrado abaixo.
Get-ADDomain
Get-ADForestTransferindo as Funções FSMO
Uma vez que você saiba quais DCs detêm as funções FSMO atualmente, você pode transferi-las também. Para fazer isso no Windows PowerShell, execute o comando Move-ADDirectoryServerOperationMasterRole usando o parâmetro Identity para o DC para o qual deseja transferir a função FSMO (no caso, ChildDC1), seguido pelo nome da função FSMO. O exemplo abaixo está transferindo a função Mestre RID.
Para o nome da função FSMO, você pode usar
PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMastereDomainNamingMaster.
Você também pode transferir mais de uma função de uma vez, definindo cada nome de função separado por uma vírgula, por exemplo:
Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.
Talvez você esteja realmente com preguiça e não queira digitar esses nomes longos. Nesse caso, você também pode usar números, sendo que cada função FSMO corresponde a um número específico.
| Role Name | Number |
| PDCEmulator | 0 |
| RIDMaster | 1 |
| InfrastructureMaster | 2 |
| SchemaMaster | 3 |
| DomainNamingMaster | 4 |
Usando os identificadores em vez dos nomes das funções, o comando para transferir a função PDCE fica tão simples quanto Move-ADDirectoryServerOperationMasterRole ChildDc2 0
Você será solicitado sobre a transferência do nome da função FSMO, apenas para garantir que você saiba o que está fazendo. Como esta não é uma tarefa frequente, você pode considerar usar o(s) nome(s) completo(s) da(s) função(ões) que deseja transferir, especialmente se estiver usando o comando em um script que outra pessoa utilizará; é mais fácil de entender.
Assumindo as Funções FSMO com a Interface Gráfica do Usuário
Se você precisar mover uma função FSMO de um DC para outro, transferir as funções é sempre a melhor opção. A transferência garante que a função FSMO seja completamente removida do DC antigo e transferida para o novo DC. Mas nem sempre as coisas saem como planejado.
Se um DC não estiver mais online ou tiver falhado de alguma forma, você pode assumir as funções FSMO, o que essencialmente cria uma nova função FSMO em um novo DC sem remover a antiga.
Assuma uma função FSMO apenas quando tiver certeza de que não pode trazer de volta o atual titular da função. Uma vez que a função é assumida, certifique-se de que o antigo titular da função FSMO nunca seja reinstalado.
A tomada de posse de funções com a GUI é feita removendo uma conta de computador DC dentro do console de Usuários e Computadores do Active Directory (ADUC). Para fazer isso:
- Primeiro, conecte o ADUC ao DC para o qual deseja transferir a função FSMO. Para isso, no ADUC, clique com o botão direito do mouse no nó raiz Usuários e Computadores do Active Directory e clique em Alterar Controlador de Domínio.
2. Procure pelo DC ao qual deseja se conectar e conecte-se a ele.
3. Clique na OU Controladores de Domínio.
4. Clique com o botão direito do mouse no DC do qual deseja assumir a função FSMO e clique em Excluir.
5. Em seguida, clique em Sim nas duas primeiras mensagens.
6. Finalmente, você receberá um aviso informando que o DC era um titular de função FSMO e a(s) função(ões) serão movidas para outro DC. Este será o DC ao qual o Console ADUC está conectado. Clique em OK e a conta de computador do DC offline será excluída e as funções serão assumidas e movidas para o novo DC.
Assumindo Funções FSMO com PowerShell
Para assumir funções FSMO com PowerShell, certifique-se de ter o Windows PowerShell aberto e execute Move-ADDirectoryServerOperationMasterRole fornecendo o nome do novo DC como valor do parâmetro Identity juntamente com o parâmetro Force.
O exemplo abaixo está assumindo a função Mestre RID e atribuindo-a ao DC NewDC3.
Os mesmos nomes de função FSMO usados para transferência também se aplicam ao cmdlet
Move-ADDirectoryServerOperationMasterRole.
Conclusão
Mover funções FSMO não é uma tarefa diária, mas quando você está promovendo novos DCs, rebaixando DCs antigos e descomissionando servidores, você precisa saber sobre as funções FSMO.
Siga os passos neste tutorial para ajudá-lo a concluir esta tarefa da sua lista!