none
Restaurar FSMO ROLES ? RRS feed

  • Pergunta

  • Olá pessoal,

    Se eu tiver o seguinte cenário dc-01 principal (parado) dc-02 secundário (funcionado).

    Caso o meu dc-01 parar pelo que andei estudando no fórum teria que usar esses esquemas para trasnferir as Fsmo Roles com o Ntdsutil:

    http://www.petri.co.il/seizing_fsmo_roles.htm
    http://support.microsoft.com/kb/255504/pt-br

    Eu também poderia usar o modo gráfico como neste tutorial com meu dc principal parado ?

    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=146

    Ou só poderia usar os que eu citei acima do Ntdsutil ?

    Abraço.

     

    quinta-feira, 5 de agosto de 2010 19:18

Respostas

  • Ok pessoal,

    Seguindo então a linha do tutorial abaixo:

    http://support.microsoft.com/kb/255504/pt-br

    Surgiram várias dúvidas em relação a esse procedimento, alguém pode me ajudar.

    1) Quando o passo a passo diz:
    Executar funções FSMO
    Para executar as funções FSMO usando o utilitário Ntdsutil, execute as seguintes etapas:  ...

    É necessário mesmo executar essas funções ? Se sim porque ?

    Sim, segue explicação

    http://www.itcentral.com.br/default.asp?id=15&ACT=5&content=146&mnu=15

    2) Vi que depois de transferir as funções para o dc-02 ainda terei ainda que retirar o controlador de domínio antigo dc-01 que parou com o procedimento: http://support.microsoft.com/kb/216498/pt-br ; Terei mesmo que fazer isso ? Sim, para limpar os registros do servidor que ficou inativo, pois um dos problemas é erro de autenticação, pois será consultado um controlador que não existe mais.

    3) O passo a passo também fala em observações:
    - Não coloque a função mestre de infra-estrutura no mesmo controlador de domínio que o servidor de catálogo global. Se o mestre de infra-estrutura for executado em um servidor do catálogo global, ele deixará de atualizar informações do objeto porque não contém nenhuma referência a objetos os quais não porta. Isso acontece porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta.

    A recomendação da Microsoft é que a função infraestructure master não esteja em um DC que seja também catálogo global.

    "pois o Infrastratucture Master quando tem algum objeto desatualizado, contata o Global Catalog em busca das informações atuais. Estando no mesmo controlador, ele não tem como saber se as informações na sua base de dados já estão atualizadas ou não, então nunca irá buscar novas atualizações." http://www.linhadecodigo.com.br/ArtigoImpressao.aspx?id=2109

    Exceto se todos os DC's estejam habilitados como Catálogo Global ou se houver somente um DC na rede (não recomendado somente 1 DC na rede, minimo 2).

     

    Minha recomendação e acredito que de muitos Analistas

    Mantém todas as funções em 1 DC e habilita todos os DC's como Catálogo Global e seja feliz


    Seguindo esse tópico, o meu dc-01 e dc-02 são catálogos globais, devo levar essa observação em conta ? Não, UP

    Porque até mesmo quando instalamos o AD, o dc principal fica como catálogo global e com a função mestre de infra-estrutura, não sei porque ele fala que o mestre de infra-estrutura não pode ter o catálogo global, realmente não entendi esta observação ! E além disso como o meu dc-02 é o único vivo, então a função mestre de infra-estrutura terá que ficar com ele mesmo correto ! Correto, UP




    Pensar grande, começar pequeno e avançar rápido.
    sexta-feira, 6 de agosto de 2010 13:34
    Moderador
  •  

    Ok Felipe, vlw mesmo pela ajuda.

    Bom, para conhecimento do pessoal, segue os textos do prompt a qual executei a tarefa de limpeza com ntdsutil do dc principal que simulei a quebra. É meio enrolado porque tem muito texto, mas é bom para saber o que aparece na hora né:

    C:\Arquivos de programas\Support Tools>ntdsutil
    ntdsutil: metadata cleanup
    metadata cleanup: select operation target
    select operation target: connections
    server connections: connect to server dc-teste
    Vinculando a dc-teste ...
    Conectado a dc-teste usando credenciais de usuário que fez logon localmente.
    server connections: quit
    select operation target: list domains
    Encontrado(s) 1 domínio(s)
    0 - DC=federal,DC=local
    select operation target: select domain 0
    Nenhum site atual
    Domínio - DC=federal,DC=local
    Nenhum servidor atual
    Nenhum contexto de nome atual
    select operation target: list sites
    Encontrado(s) 1 site(s)
    0 - CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=federal,DC=local
    select operation target: select site 0
    Site - CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=federal,DC=local
    Domínio - DC=federal,DC=local
    Nenhum servidor atual
    Nenhum contexto de nome atual
    select operation target: list servers in site
    Encontrado(s) 2 servidor(es)
    0 - CN=DC-01,CN=Servers,CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=fed
    eral,DC=local
    1 - CN=DC-TESTE,CN=Servers,CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=
    federal,DC=local
    select operation target: select server 0
    Site - CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=federal,DC=local
    Domínio - DC=federal,DC=local
    Servidor - CN=DC-01,CN=Servers,CN=Primeiro-site-padrao,CN=Sites,CN=Configuration
    ,DC=federal,DC=local
            objeto DSA - CN=NTDS Settings,CN=DC-01,CN=Servers,CN=Primeiro-site-padra
    o,CN=Sites,CN=Configuration,DC=federal,DC=local
            Nome de host DNS - dc-01.federal.local
    Nenhum contexto de nome atual
    select operation target: quit
    metadata cleanup: remove selected server
    Transferindo/Executando funções FSMO do servidor selecionado.
    Removendo metadados FRS do servidor selecionado.
    Não foi possível encontrar a referência em "CN=DC-01,CN=Servers,CN=Primeiro-site
    -padrao,CN=Sites,CN=Configuration,DC=federal,DC=local".
    LDAP erro 0x5e(94 (Nenhum resultado presente nesta mensagem).
    )
    "CN=DC-01,CN=Servers,CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=federa
    l,DC=local" removido do servidor "dc-teste"
    metadata cleanup:


    Abraço.
    terça-feira, 10 de agosto de 2010 01:50

Todas as Respostas

  • Faz tempo que não venho aqui... :)

    Se o seu DC com as FSMO morreu e vc não vai conseguir voltar ele pra funcionamento vc tem que fazer o seizing mesmo. Esse tutorial pelo que olhei por cima só mostra como mover as roles pra outro servidor, mas não em caso de perda do principal.

    []s


    Tiago Souza MCSA+M | MCTS - contato@tiagosouza.net - http://www.portaltecnologia.net
    quinta-feira, 5 de agosto de 2010 19:28
    Moderador
  • No caso do DC mestre de operações ficar fora de operação definitivamente

    tem que utilizar a ferramenta NTDSUTIL para rodar o SEIZE em um outro DC da rede para assumir as funções

    esse procedimento somente em linha de comando.


    Pensar grande, começar pequeno e avançar rápido.
    quinta-feira, 5 de agosto de 2010 19:38
    Moderador
  • Ok pessoal,

    Seguindo então a linha do tutorial abaixo:

    http://support.microsoft.com/kb/255504/pt-br

    Surgiram várias dúvidas em relação a esse procedimento, alguém pode me ajudar.

    1) Quando o passo a passo diz:
    Executar funções FSMO
    Para executar as funções FSMO usando o utilitário Ntdsutil, execute as seguintes etapas:  ...

    É necessário mesmo executar essas funções ? Se sim porque ?

    2) Vi que depois de transferir as funções para o dc-02 ainda terei ainda que retirar o controlador de domínio antigo dc-01 que parou com o procedimento: http://support.microsoft.com/kb/216498/pt-br ; Terei mesmo que fazer isso ?

    3) O passo a passo também fala em observações:
    - Não coloque a função mestre de infra-estrutura no mesmo controlador de domínio que o servidor de catálogo global. Se o mestre de infra-estrutura for executado em um servidor do catálogo global, ele deixará de atualizar informações do objeto porque não contém nenhuma referência a objetos os quais não porta. Isso acontece porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta.

    Seguindo esse tópico, o meu dc-01 e dc-02 são catálogos globais, devo levar essa observação em conta ?

    Porque até mesmo quando instalamos o AD, o dc principal fica como catálogo global e com a função mestre de infra-estrutura, não sei porque ele fala que o mestre de infra-estrutura não pode ter o catálogo global, realmente não entendi esta observação ! E além disso como o meu dc-02 é o único vivo, então a função mestre de infra-estrutura terá que ficar com ele mesmo correto !


    quinta-feira, 5 de agosto de 2010 20:59
  • Ok pessoal,

    Seguindo então a linha do tutorial abaixo:

    http://support.microsoft.com/kb/255504/pt-br

    Surgiram várias dúvidas em relação a esse procedimento, alguém pode me ajudar.

    1) Quando o passo a passo diz:
    Executar funções FSMO
    Para executar as funções FSMO usando o utilitário Ntdsutil, execute as seguintes etapas:  ...

    É necessário mesmo executar essas funções ? Se sim porque ?

    Sim, segue explicação

    http://www.itcentral.com.br/default.asp?id=15&ACT=5&content=146&mnu=15

    2) Vi que depois de transferir as funções para o dc-02 ainda terei ainda que retirar o controlador de domínio antigo dc-01 que parou com o procedimento: http://support.microsoft.com/kb/216498/pt-br ; Terei mesmo que fazer isso ? Sim, para limpar os registros do servidor que ficou inativo, pois um dos problemas é erro de autenticação, pois será consultado um controlador que não existe mais.

    3) O passo a passo também fala em observações:
    - Não coloque a função mestre de infra-estrutura no mesmo controlador de domínio que o servidor de catálogo global. Se o mestre de infra-estrutura for executado em um servidor do catálogo global, ele deixará de atualizar informações do objeto porque não contém nenhuma referência a objetos os quais não porta. Isso acontece porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta.

    A recomendação da Microsoft é que a função infraestructure master não esteja em um DC que seja também catálogo global.

    "pois o Infrastratucture Master quando tem algum objeto desatualizado, contata o Global Catalog em busca das informações atuais. Estando no mesmo controlador, ele não tem como saber se as informações na sua base de dados já estão atualizadas ou não, então nunca irá buscar novas atualizações." http://www.linhadecodigo.com.br/ArtigoImpressao.aspx?id=2109

    Exceto se todos os DC's estejam habilitados como Catálogo Global ou se houver somente um DC na rede (não recomendado somente 1 DC na rede, minimo 2).

     

    Minha recomendação e acredito que de muitos Analistas

    Mantém todas as funções em 1 DC e habilita todos os DC's como Catálogo Global e seja feliz


    Seguindo esse tópico, o meu dc-01 e dc-02 são catálogos globais, devo levar essa observação em conta ? Não, UP

    Porque até mesmo quando instalamos o AD, o dc principal fica como catálogo global e com a função mestre de infra-estrutura, não sei porque ele fala que o mestre de infra-estrutura não pode ter o catálogo global, realmente não entendi esta observação ! E além disso como o meu dc-02 é o único vivo, então a função mestre de infra-estrutura terá que ficar com ele mesmo correto ! Correto, UP




    Pensar grande, começar pequeno e avançar rápido.
    sexta-feira, 6 de agosto de 2010 13:34
    Moderador
  • Felipe,

    Segui os passos e deu certo, consegui transferir as FSMO ROLES para a outra máquina.

    Sobre o passo a passo da microsoft que fala para tirar o lixo do controlador de domínio.

    http://support.microsoft.com/kb/216498/pt-br

    Ele fala também para tirar registros da entrada dns na mão do dc que deu problema.
    Enfim nesse local do dns coninuou o dc-01. Devo alterá-lo para o meu dc-02, que fico ativo agora ?

    Segue foto do menu:

    http://i241.photobucket.com/albums/ff44/robson_rj/technet/dns-1.jpg

    Abraço.

     

    sexta-feira, 6 de agosto de 2010 20:34
  • Não, a ferramenta ntdsutil (cleanup metadata) limpa esses registros, mas é bom verificar se há alguma entrada no DNS desse antigo servidor.

    não precisa alterar para o dc-02, se você verificar , já existe os registros para o dc-02 no dns indicando que o mesmo possui serviços _ldap e _gc , sendo um

    controlador de dominio.

     

    abs,

     


    Pensar grande, começar pequeno e avançar rápido.
    sábado, 7 de agosto de 2010 14:11
    Moderador
  • Ok Felipe, eu fiz o processo na sexta-feira passada e realmente pelo que me lembro tive que tirar algumas entradas na mão do dns referentes ao dc-01. Apesar de quando rodei o ntdsutil todo o procedimento foi em frente sem dar problemas.

    Esse campo da foto (msdcs) é usado para que no dns ? Então não preciso mecher nele correto ?
    http://i241.photobucket.com/albums/ff44/robson_rj/technet/dns-1.jpg

    Abraço.
    segunda-feira, 9 de agosto de 2010 14:56
  • Isso ocorre quando você levanta o AD e manda instalar o DNS automaticamente

    não precisa alterar nada ali. apenas se houver entradas do DC inativo , ai você remove.

     

    abs,

     


    Pensar grande, começar pequeno e avançar rápido.
    segunda-feira, 9 de agosto de 2010 16:04
    Moderador
  • Isso ocorre quando você levanta o AD e manda instalar o DNS automaticamente

    não precisa alterar nada ali. apenas se houver entradas do DC inativo , ai você remove.

     

    abs,

     


    Pensar grande, começar pequeno e avançar rápido.

    Ok, então o dc-01 é o dc que ficou inativo certo. Aquela entrada ali é referente a ele, deixo ela ali mesmo, apago ela ou substituo pelo dc-02 ?

     

    segunda-feira, 9 de agosto de 2010 19:18
  • deixa ela quietinha lá.. rs.. apenas retira as referências do dc-01 se ainda houver.

    Segue uma explicação : http://technet.microsoft.com/pt-br/library/cc771849%28WS.10%29.aspx

    abs.

     

     


    Pensar grande, começar pequeno e avançar rápido.
    segunda-feira, 9 de agosto de 2010 21:04
    Moderador
  •  

    Ok Felipe, vlw mesmo pela ajuda.

    Bom, para conhecimento do pessoal, segue os textos do prompt a qual executei a tarefa de limpeza com ntdsutil do dc principal que simulei a quebra. É meio enrolado porque tem muito texto, mas é bom para saber o que aparece na hora né:

    C:\Arquivos de programas\Support Tools>ntdsutil
    ntdsutil: metadata cleanup
    metadata cleanup: select operation target
    select operation target: connections
    server connections: connect to server dc-teste
    Vinculando a dc-teste ...
    Conectado a dc-teste usando credenciais de usuário que fez logon localmente.
    server connections: quit
    select operation target: list domains
    Encontrado(s) 1 domínio(s)
    0 - DC=federal,DC=local
    select operation target: select domain 0
    Nenhum site atual
    Domínio - DC=federal,DC=local
    Nenhum servidor atual
    Nenhum contexto de nome atual
    select operation target: list sites
    Encontrado(s) 1 site(s)
    0 - CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=federal,DC=local
    select operation target: select site 0
    Site - CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=federal,DC=local
    Domínio - DC=federal,DC=local
    Nenhum servidor atual
    Nenhum contexto de nome atual
    select operation target: list servers in site
    Encontrado(s) 2 servidor(es)
    0 - CN=DC-01,CN=Servers,CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=fed
    eral,DC=local
    1 - CN=DC-TESTE,CN=Servers,CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=
    federal,DC=local
    select operation target: select server 0
    Site - CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=federal,DC=local
    Domínio - DC=federal,DC=local
    Servidor - CN=DC-01,CN=Servers,CN=Primeiro-site-padrao,CN=Sites,CN=Configuration
    ,DC=federal,DC=local
            objeto DSA - CN=NTDS Settings,CN=DC-01,CN=Servers,CN=Primeiro-site-padra
    o,CN=Sites,CN=Configuration,DC=federal,DC=local
            Nome de host DNS - dc-01.federal.local
    Nenhum contexto de nome atual
    select operation target: quit
    metadata cleanup: remove selected server
    Transferindo/Executando funções FSMO do servidor selecionado.
    Removendo metadados FRS do servidor selecionado.
    Não foi possível encontrar a referência em "CN=DC-01,CN=Servers,CN=Primeiro-site
    -padrao,CN=Sites,CN=Configuration,DC=federal,DC=local".
    LDAP erro 0x5e(94 (Nenhum resultado presente nesta mensagem).
    )
    "CN=DC-01,CN=Servers,CN=Primeiro-site-padrao,CN=Sites,CN=Configuration,DC=federa
    l,DC=local" removido do servidor "dc-teste"
    metadata cleanup:


    Abraço.
    terça-feira, 10 de agosto de 2010 01:50