Módulo 12: Gerenciando Controladores de Operações

Módulo 12: Gerenciando Controladores de Operações

Visão Geral

ƒ Introdução aos controladores de operações

ƒ Funções do controlador de operações
ƒ Gerenciando as funções do controlador de operações
ƒ Gerenciando falhas do controlador de operações
ƒ Melhores práticas

O Controlador de operações é um controlador de domínio que realiza uma função

específica no serviço de diretório Microsoft Windows 2003 Active Directory™ e pode
controlar uma serie específica de alterações de diretório. Para cada função, somente o
controlador de domínio mantido naquela função pode fazer as alterações de diretório
associadas. Existem várias maneiras de mover estas funções de um controlador de domínio
para outro, mesmo se um controlador de operações falhar. Conhecendo as funções
específicas do controlador de operações que cada controlador de domínio mantém em uma
rede com o Active Directory pode ajuda-lo a empregar a vantagem da replicação de dados e
de largura de banda de rede.

Depois de terminar este módulo, você será capaz de:

ƒ Definir um controlador de operações e descrever sua importância na rede com o Active
Directory.
ƒ Descrever as funções de cada uma das cinco funções do controlador de operações na
floresta.
ƒ Determinar, transferir e aproveitar uma função do controlador de operações.
ƒ Descrever os efeitos de uma falha do controlador de operações e como responder a ela.
ƒ Aplicar as melhores praticas para gerenciar um controlador de operações.

Introdução aos controladores de operações

„ Only a Domain Controller That Holds a Specific Operations Master

Role Can Perform Associated Active Directory Changes
„ Changes Made by an Operations Master Are Replicated to Other
Domain Controllers
„ Any Domain Controller Can Hold an Operations Master Role
„ Operations Master Roles Can Be Moved to Other Domain Controllers

Single Master Operations

Operations Master Replication

-370-
 Módulo 12: Gerenciando Controladores de Operações
O Active Directory suporta replicação multi-master das alterações de diretórios entre todos
os controladores de domínio em uma floresta. Durante a replicação multi-master, um
conflito de replicação pode ocorrer potencialmente se atualizações originais concorrentes
são realizadas nos mesmos dados em dois controladores de domínio diferentes.
Para evitar estes conflitos, algumas operações são realizadas em um single master – máster
único - (não permite ocorrer em diferentes locais na rede ao mesmo tempo) criado fazendo
um único controlador de domínio responsável pela operação. Estas operações são agrupadas
juntas em funções especificas dentro de uma floresta ou dentro de um domínio. Estas
funções são chamadas de funções do controlador de operações. Para cada função do
controlador de operações, somente o controlador de domínio mantido para aquela função
pode fazer as alterações de diretório associadas. O controlador de domínio responsável por
uma função particular é chamado de um controlador de operações para aquela função.
O Active Directory armazena informações sobre qual controlador de domínio mantém uma
função específica. Os clientes que podem consultar o Active Directory usam esta
informação para entrar em contato com um controlador de operações quando necessário.
Qualquer controlador de domínio pode potencialmente ser configurado como um
controlador de operações. Isto é possível para mover uma função do controlador de
operações para outros controladores de domínio, mesmo quando o proprietário atual da
função do controlador de operações não estiver disponível.

Funções do controlador de operações

ƒ Localizações padrão do controlador de operações

ƒ Controlador de esquema
ƒ Controlador de nome de domínio
ƒ Emulador de PDC
ƒ Controlador de RID
ƒ Controlador de infra-estrutura

O Active Directory define cinco funções para o controlador de operações, cada uma delas
possui uma localização padrão. As cinco funções do controlador de operações são:
ƒ Controlador de esquema
ƒ Controlador de nome de domínio
ƒ Emulador de Controlador de Domínio Primário (PDC)
ƒ Controlador de Identificador relativo (RID)
ƒ Controlador de infra-estrutura

O controlador de esquema e o controlador de nome de domínio são funções através da

floresta, o que significa que existe somente um controlador de esquema e um controlador de
nome de domínio na floresta inteira. As outras funções do controlador de operações são
funções através dos domínios, o que significa que cada domínio na floresta possui o seu
próprio emulador de PDC, Controlador de RID e seu próprio controlador de infra-estrutura.
Então, na floresta que possui somente um domínio, existem cinco funções de controlador de
operações. Em uma floresta com mais do que um domínio, existem mais do que cinco
funções devido às funções através dos domínios necessitarem de existir em cada domínio.

-371-
 Módulo 12: Gerenciando Controladores de Operações
Localizações padrão do controlador de operações

Forest-wide Roles Domain-wide Roles

z Schema master z RID master
z Domain naming z PDC emulator
master z Infrastructure
master

First Domain Controller in

the Forest Root Domain

Domain-wide Roles
z RID master
z PDC emulator
z Infrastructure
master

As funções do controlador de operações são de uma ampla floresta ou de um amplo

domínio.
ƒ As funções de uma ampla floresta são únicas para uma floresta. O controlador de
esquema e o controlador de nome de domínio são funções de uma ampla floresta. Isto
significa que existe somente um controlador de esquema e um controlador de nome de
domínio na floresta inteira.
ƒ As funções de um amplo domínio são únicas para cada domínio na floresta. O emulador
de PDC, o Controlador de RID e o controlador de infra-estrutura são funções de um
amplo domínio. Isto significa que cada domínio na floresta possui o seu próprio
emulador de PDC, Controlador de RID e o seu próprio controlador de infra-estrutura.

Por padrão, o primeiro controlador de domínio de uma nova floresta mantém todas as cinco
funções do controlador de operações. O primeiro controlador de domínio de cada novo
domínio junta-se a uma floresta existente mantendo a arvore de um amplo domínio de
funções do controlador de operações para o novo domínio.

Com a expansão da rede, a localização do controlador de operações deve ser a seguinte:

ƒ Na floresta com somente um domínio, existem cinco funções do controlador de
operações.
ƒ Na floresta com mais de um domínio, existem duas funções do controlador de operações
por floresta. As três funções do controlador de operações por domínio são duplicadas
para cada domínio.

Controlador de esquema

O controlador de esquema controla todas as atualizações originadas para o esquema. O

esquema contem a lista controladora das classes de objetos e atributos que são usados para
criar todos os objetos do Active Directory, como computadores, usuários e impressoras. O
controlador de domínio que mantém a função do controlador de esquema é somente o
controlador de domínio que pode realizar operações de gravação para o esquema do
diretório. Estas atualizações de esquema são replicadas do esquema do controlador de
operações para todos os outros controladores de domínio na floresta. Possuindo somente um
-372-
 Módulo 12: Gerenciando Controladores de Operações
controlador de esquema por floresta previne qualquer conflito que poderia resultar se dois
ou mais controladores de domínio tentassem atualizar ao mesmo tempo o esquema.
Somente o grupo Admin Schema (Administradores do Esquema) podem fazer modificações
no esquema.
„ Controls All Updates to the Schema
„ Replicates Updates to All Domain Controllers in the Forest
„ Allows Only the Members of the Schema Admin Group to Make
Modifications to the Schema

Schema Master Replication

Controlador de nome de domínio

„ Controls the Addition or Removal of Domains in

the Forest

Domain Naming
Master
Global Catalog
Server

New
Domain

O controlador de nome de domínio controla a adição ou remoção dos domínios na floresta.

Existe somente um controlador de nome de domínio por floresta.
Quando você adiciona um novo domínio na floresta, somente o controlador de domínio que
mantém a função de controlador de nome de domínio possui o direito de adicionar o novo
domínio. O controlador de nomes de domínio gerencia este processo, prevenindo que vários
domínios juntos na mesma floresta tenham o mesmo nome de domínio. Quando você usa o
assistente de Instalação do Active Directory para criar um domínio filho, ele comunica-se
com o controlador de nomes de domínio e solicita a adição ou deleção. O controlador de
nomes de domínio é responsável por assegurar que os nomes de domínio sejam únicos. Note
que se um controlador de nomes de domínio não está disponível, você não pode adicionar
ou remover domínios.
O controlador de domínio que mantém a função de controlador de nomes de domínio
também deve ser um servidor de catalogo global. Quando o controlador de nomes de
-373-
 Módulo 12: Gerenciando Controladores de Operações
domínio cria um objeto que representa um novo domínio, ele verifica consultando o
servidor de catalogo global que nenhum outro objeto, incluindo os objetos de domínio,
esteja usando o mesmo nome do novo objeto. Devido ao controlador de nomes de domínio
verificar o nome de um novo objeto consultando o servidor de catalogo global, o catalogo
global deve estar sendo executado no mesmo controlador de domínio do controlador que
mantém a função de controlador de nomes de domínio.

Emulador de PDC

O emulador de PDC atua como um PDC do Microsoft Windows NT para suportar

quaisquer controladores de domínio de backup (BDCs) executando o Windows NT dentro
de um domínio de modo misto. O emulador de PDC é o primeiro controlador de domínio
que é criado em um novo domínio.

O emulador de PDC realiza as seguintes funções:

ƒ Atua como o PDC de quaisquer BDCs.
Se um domínio contem quaisquer BDCs ou computadores clientes que estão executando
versões do Windows anteriores ao Windows Server 2003 , o emulador de PDC funciona
como um PDC do Windows NT. O emulador de PDC serve computadores cliente e
replica as alterações de diretório para qualquer BDC executando o Windows NT.
ƒ Gerencia as alterações de senha dos computadores executando o Windows NT,
Windows 95 ou Windows 98, que necessitam ser gravadas no diretório.
ƒ Minimiza a latência de replicação para as alterações de senha.
A latência de replicação é o tempo necessário para uma alteração feita em um
controlador de domínio ser recebida por qualquer outro controlador de domínio. Quando
a senha de um computador cliente executando o Windows Server 2003 é alterada no
controlador de domínio, aquele controlador de domínio imediatamente passa para
adiante a alteração para o emulador de PDC. Se uma senha que foi recentemente
alterada, aquela alteração leva tempo para ser replicada para cada controlador de
domínio no domínio. Se uma autenticação de logon falha em outro controlador de
domínio devido a uma senha incorreta, aquele controlador de domínio enviará uma
requisição de autenticação para o emulador de PDC antes de rejeitar a tentativa de
logon.
ƒ Sincronize a hora em todos os controladores de domínio por todo o domínio para a hora
atual.
Todos os controladores de domínio no domínio obtém a sincronização da hora para o
relógio do emulador de PDC daquele domínio. O emulador de PDC do domínio obtém a
sua especificação de hora do relógio do emulador do PDC no domínio raiz da floresta. O
emulador do domínio raiz da floresta deve ser configurado para sincronizar com uma
fonte externa de hora. O resultado final é que a hora mantida pelos relógios de todos os
computadores baseados na plataforma do Windows Server 2003 na floresta inteira está
dentro de segundos de cada outro.

Nota: Somente enquanto o domínio está no modo misto que o controlador de domínio
mantém a função de emulador de PDC sincronizado com BDCs executando as versões
4.0 ou 3.51 do Windows NT.

ƒ Previne as possibilidades de sobrescrever objetos de Política de Grupo (GPOs).

-374-
 Módulo 12: Gerenciando Controladores de Operações
O snap-in Política de Grupo, por padrão, executa no controlador de domínio que
mantém a função de emulador de PDC daquele domínio. Isto é feito para reduzir os
conflitos potenciais de replicação. Isto não é requerido, contudo que uma GPO seja
atualizada neste controlador de domínio.

Controlador de RID

„ Allocates Blocks of RIDs to Each

Domain Controller in Its Domain
„ Prevents Object Duplication if Objects
Move from One Domain Controller to
Another

Move Move
RID Master

RID Allocation
Block
Block of
of RIDs
RIDs

Object
Object SID
SID == Domain
Domain SID
SID ++ RID
RID

O controlador de identificador relativo (RID) aloca blocos de RIDs para cada controlador
de domínio no domínio. Toda vez que um controlador de domínio cria uma nova proteção
principal, como um usuário, grupo ou objeto de computador, ele atribui ao objeto um único
identificador de segurança (SID – Security Identifier). Este SID consiste de um SID de
domínio, no qual é o mesmo para todos as proteções principais criadas no domínio, e um
RID, no qual é único para cada proteção principal criada no domínio.

O controlador de RID suporta criar e mover objetos da seguinte forma:

ƒ Criar objetos. Para permitir que de vários controladores criem objetos em qualquer
domínio, o controlador de RID aloca um bloco de RIDs para um controlador de
domínio. Quando um controlador de domínio necessita de um bloco adicional de RIDs,
ele inicia uma comunicação com o controlador de RID. O controlador de RID aloca um
novo bloco de RIDs para o controlador de domínio, com o qual o controlador de
domínio atribui para os novos objetos.
O processo de criação de objetos e comunicação com o controlador de RID para blocos
adicionais de RIDs pode ser repetido quantas vezes for necessário. Se um pool de RID
de um controlador de domínio está vazio, e o controlador de RID não está disponível,
novas proteções principais não podem ser criadas naquele controlador de domínio. Você
pode visualizar o pool de alocação de RID usando o utilitário dcdiag.
ƒ Mover objetos. Quando você move um objeto entre domínios, você deve iniciar a
mudança no controlador de RID que atualmente contem o objeto. Isto previne a
possibilidade de duplicação de objetos. Se um objeto foi movido, mas não havia um
único controlador que mantinha esta informação, então seria possível mover o objeto
para vários domínios sem perceber que uma movimentação prévia já ocupou a posição.
O controlador de RID deleta o objeto de um domínio quando o objeto foi movido
daquele domínio para outro domínio.

-375-
 Módulo 12: Gerenciando Controladores de Operações
Controlador de infra-estrutura

„ Updates References to Objects and Group

Memberships from Other Domains
Group
Group
Membership
Membership List
List
GUID
GUID
SID
SID
Global Group Nested New
New DN
DN
into Domain Local Group

Move

Infrastructure
Master

O controlador de infra-estrutura é usado para atualizar referencias de objetos nos seus

domínios que indicam para o objeto em outro domínio. A referencia de objeto contem o
identificador global único (GUID – globally unique identifier), o nome distinto e
possivelmente uma SID. O nome distinto e a SID na referencia de objeto são atualizadas
periodicamente para refletir as alterações feitas no objeto atual. Estas alterações incluem
mudanças dentro e entre domínios e também a deleção do objeto.

Identificação de membro de grupo

Se a modificação da SID ou do nome distinto de contas de usuários e grupos são feitas em
outros domínios, o membro do grupo para um grupo no seu domínio que faz referencia ao
usuário ou grupo alterado necessitam ser atualizados. O controlador de infraestrutura do
domínio no qual o grupo (ou referencia) reside é responsável por esta atualização; ele
distribui a atualização através da replicação normal por todo o seu domínio.

O controlador de infraestrutura atualiza a identificação do objeto, seguindo as seguintes

regras:
ƒ Se o objeto muda totalmente, seu nome distinto será alterado devido ao nome distinto
representa sua localização exata no diretório.
ƒ Se o objeto é movido dentro do domínio, sua SID permanece a mesma.
ƒ Se o objeto é movido para outro domínio, a SID altera-se para incorporar a SID do novo
domínio.
ƒ A GUID não se altera sem levar em consideração a localização (a GUID é única através
dos domínios).

Nota: Em uma única floresta de domínio, o controlador de infraestrutura não precisa

funcionar devido a não existência de referencias de objetos externos para a sua
atualização.

-376-
 Módulo 12: Gerenciando Controladores de Operações
O controlador de infraestrutura e o catálogo global
O controlador de operações de infraestrutura não deve ser o mesmo controlador de domínio
que acomoda o catálogo global. Se isto acontecer, o controlador de infraestrutura não
funcionará devido a ele não conter qualquer referencia aos objetos que ele não mantém.
Neste caso, o domínio reproduz os dados e os dados do servidor de catálogo global não
podem existir no mesmo controlador de domínio.
O controlador de infraestrutura de um domínio periodicamente examina as referencias,
dentro do seu diretório de dados replicados, para objetos não mantidos naquele controlador
de domínio. Ele consulta um servidor de catálogo global para informações atuais sobre o
nome distinto e a SID de cada referencia de objeto. Se esta informação foi alterada, o
controlador de infraestrutura faz as alterações no seu local de replicação. Estas alterações
são replicadas usando a replicação normal para os outros controladores de domínio dentro
do domínio.

Gerenciando as funções do controlador de operações

ƒ Determine o portador das funções de um controlador de operações

ƒ Transferindo uma função do controlador de operações
ƒ Aproveitando as funções do controlador de operações

Quando você cria um domínio Windows Server 2003 , o Windows Server 2003
automaticamente configura todos as funções do controlador de operações. Contudo, pode
ser necessário redefinir as funções do controlador de operações para outro controlador de
domínio na floresta ou no domínio. Para redefinir as funções do controlador de operações
para outro controlador de domínio:
ƒ Determine o portador das funções de um controlador de operações.
ƒ Transfira as funções do controlador de operações.
ƒ Aproveite as funções do controlador de operações.

Determine o portador das funções de um controlador de operações

Antes de você considerar a mudança das funções do controlador de operações, você

necessita determinar qual controlador de domínio mantém a função especifica de
controlador de operações. Os Usuários Autenticados possuem a permissão para determinar
onde o controlador de operações está localizado. Dependendo das funções do controlador de
operações a ser determinado, você usa um dos seguintes consoles do Active Directory:
ƒ Usuários e Computadores do Active Directory
ƒ Domínios e Relações do Active Directory
ƒ Esquema do Active Directory

Determinando o controlador de RID, o emulador de PDC e o controlador de

infraestrutura.
Para determinar qual controlador de domínio mantém as funções de controlador de RID, de
emulador de PDC ou de controlador de infraestrutura, realize os seguintes passos:
1. Abra Usuários e Computadores do Active Directory.
2. Na raiz do console, clique com o botão direito em Usuários e Computadores do Active
Directory, e então clique em Controladores de Operações.
3. Clique na guia RID, PDC ou Infraestrutura.

-377-
 Módulo 12: Gerenciando Controladores de Operações
O nome do controlador de operações atual aparece abaixo de Controlador de
operações.

Determinando o controlador de nomes de domínio

Para determinar qual controlador de domínio mantém a função de controlador de nomes de
domínio, realize os seguintes passos:
1. Abra Domínios e Relações do Active Directory.
2. Clique com o botão direito em Domínios e Relações do Active Directory, e então
clique em Controlador de Operações.
O nome do controlador de nomes de domínio atual aparece na caixa de dialogo Alterar
o Controlador de Operações.

Determinando o controlador de esquema

Para determinar qual controlador de domínio mantém a funções de controlador de esquema,
realize os seguintes passos:
1. Registre o snap-in Esquema do Active Directory executando o seguinte comando:
Regsvr32.exe %raizdosistema%\system32\schmmgmt.dll
2. Clique em OK para fechar a caixa de mensagem que indica que o registro foi bem
sucedido.
3. Crie um console adaptado ao gosto pessoal do Microsoft Management Console (MMC).
4. Adicione o snap-in Esquema do Active Directory ao console.
5. Na raiz do console, clique com o botão direito em Esquema do Active Directory, e
então clique em Controlador de Operações.
O nome do controlador de esquema atual aparece na caixa de dialogo Alterar o
Controlador de Esquema.

Nota: Para identificar um controlador de operações em um domínio diferente, conecte-

se com o domínio antes de clicar em Controladores de Operações. Para identificar o
controlador de operações em uma floresta diferente, conecte-se ao domínio digitando o
nome do domínio da floresta antes de clicar em Controladores de Operações.

Transferindo uma função do controlador de operações

Na maioria dos casos, a localização do controlador de operações na floresta não requere

alterações com o crescimento da floresta, o que significa que os locais das funções não
requerem revisões. Contudo, quando você planeja retirar de serviço um controlador de
domínio, reduzir a conectividade da sua rede, ou alterar o status do servidor de catálogo
global de um controlador de domínio, você necessita rever o seu planejamento e transferir
funções do controlador de operações se necessário. Transferindo um controlador de
operações significa move-lo de um controlador de domínio em funcionamento para outro.
Para transferir funções, ambos os controladores de domínio devem estar ativos e conectados
com a rede.
Não há perda de dados durante a transferência de função. O processo de transferência de
função envolve replicação no diretório do controlador de operações para o novo controlador
de domínio, o que assegura que o novo controlador de operações possua as mais atuais
informações disponíveis. Esta transferência de função de objeto usa o mecanismo normal de
replicação de diretório.

-378-
 Módulo 12: Gerenciando Controladores de Operações
Para transferir as funções do controlador de operações, você deve possuir as permissões
apropriadas para realizar esta tarefa. A tabela seguinte lista os grupos dos quais você deve
ser um membro para possuir permissões de alterar as funções do controlador de operações.

Controlador de operações Grupo autorizado

Controlador de esquema A permissão de Alterar o Controlador de Esquema é
concedida por padrão ao grupo Administradores do Esquema.

Controlador de nomes de A permissão de Alterar o Controlador de Nomes de Domínio

domínio é concedida por padrão ao grupo Administradores da Empresa
(Enterprise Admins).

Emulador de PDC A permissão de Alterar o PDC é concedida por padrão ao

grupo de Administradores do Domínio.
Controlador de RID A permissão de Alterar o Controlador de RID é concedida por
padrão ao grupo de Administradores do Domínio.
Controlador de A permissão de Alterar o Controlador de infraestrutura é
infraestrutura concedida por padrão ao grupo de Administradores do
Domínio.

Importante: Transfira funções somente quando fizer uma alteração maior na infraestrutura
do domínio, como, por exemplo, retirar de serviço um controlador de domínio que mantém
uma função ou adicionar um novo controlador de domínio que é mais bem adaptado para
uma função específica.

Nota: Quando um controlador de domínio é rebaixado a servidor membro, todas as funções

do controlador de operações são cedidas para outros controladores de domínio. Para
controlar a transferência de funções para os outros controladores de domínio, transfira as
funções antes de rebaixa-lo.

Para transferir as funções do controlador de operações, use o mesmo snap-in do Active

Directory que você usou para determinar as funções do controlador de operações.

Transferindo as funções do controlador de RID, do emulador de PDC e do controlador

de infraestrutura
Para transferir as funções do controlador de operações do controlador de RID, do emulador
de PDC ou do controlador de infraestrutura, realize os seguintes passos:
1. Abra o Usuários e Computadores do Active Directory.
2. Na arvore do console, clique com o botão direito em Usuários e Computadores do
Active Directory e então clique em Conectar ao Controlador de Domínio.
3. Na lista disponível de controladores de domínio, clique no controlador de domínio que
se tornará o novo controlador de operações e então clique em OK.
4. Na raiz do console, clique com o botão direito no ícone do controlador de domínio que
se tornará o novo controlador de operações, e então clique em Controladores de
Operações.
5. Clique na guia da função do controlador de operações que você deseja transferir, como
por exemplo, PDC, e então clique em Alterar.

-379-
 Módulo 12: Gerenciando Controladores de Operações
Atenção: Assegure que você não irá transferir a função de controlador de infraestrutura
para um controlador de domínio que mantém o catálogo global.

Transferindo a função de controlador de nomes de domínio

Para transferir a função de controlador de nomes de domínio para outro servidor de catálogo
global, realize os seguintes passos:
1. Abra Domínios e Relações do Active Directory.
2. Na arvore do console, clique com o botão direito em Domínios e Relações do Active
Directory, e então clique em Conectar ao Controlador de Domínio.
3. Na lista de controladores de domínio disponível, clique no controlador de domínio que
se tornará o novo controlador de nomes de domínio, e então clique em OK.
4. Na arvore do console, clique com o botão direito em Domínios e Relações do Active
Directory, e então clique em Controlador de Operações.
5. O nome do controlador de domínio selecionado por você aparece.
6. Clique em Alterar.

Nota: Assegure que o controlador de domínio que mantém a função de controlador de

nomes de domínio também mantém o catálogo global.

Transferindo a função de controlador de esquema

Para transferir a função de controlador de esquema, realize os seguintes passos:
1. Abra Esquema do Active Directory.
2. Na arvore do console, clique com o botão direito em Esquema do Active Directory, e
então clique em Alterar o Controlador de Domínio.
3. Clique em Especificar Nome, digite o nome do controlador de domínio no qual você
deseja transferir a função de controlador do esquema, e então clique em OK.
4. Na arvore do console, clique com o botão direito em Esquema do Active Directory, e
então clique em Controlador de Operações.
5. O nome do controlador de domínio que você digitou aparece.
6. Clique em Alterar.

Nota: Você necessita registrar o snap-in admin esquema, Schmgmt.dll, antes de abrir o
esquema do Active Directory.

Aproveitando uma função do controlador de operações

Aproveitar uma função do controlador de operações significa forçar uma transferência de

uma função do controlador de operações de um controlador de domínio que falhou para um
controlador de domínio ativo.
Aproveitar uma função do controlador de operações é um passo drástico que você deve
considerar somente se o atual controlador de operações nunca estará disponível novamente.
Se a causa da falha é um problema de rede ou uma falha de hardware ou software que você
pode resolver na hora de modo correto, espere pelo portador da função de controlador de
operações tornar-se disponível novamente. Você deve aproveitar uma função somente se ela
não pode ser transferida. Diferente de uma função bloqueada, uma transferência de função
assegura que somente um controlador de domínio mantém a função, e que o portador da
função possui uma especificação de objeto de função atualizada.

-380-
 Módulo 12: Gerenciando Controladores de Operações
Importante: Antes de proceder com o aproveitamento da função, você deve desconectar
permanentemente da rede o controlador de domínio que atualmente mantém a função de
controlador de operações.

Antes de você aproveitar uma função do controlador de operações, você deve determinar
qual controlador de domínio mantém a função de controlador de operações. Depois que
você determinar o atual portador da função, aproveite a função de controlador de operações
usando o console do Active Directory que você usou para determinar ou transferir uma
função, ou o comando ntdsutil. Finalmente, verifique que o controlador de domínio que
está funcionando aceita sua nova função de controlador de operações.

Aproveitando as funções de emulador de PDC e controlador de infraestrutura

Para aproveitar as funções do controlador de operações para emulador de PDC ou
controlador de infraestrutura, realize os seguintes passos:
1. Abra o Usuários e Computadores do Active Directory.
2. Na arvore do console, clique com o botão direito em Usuários e Computadores do
Active Directory, e então clique em Controladores de Operações.

Nota: Isto pode levar algum tempo para os dados serem mostrados devido a ele estar
esperando por uma resposta do portador atual da função do controlador de operações.
Devido ao atual portador da função estar com problemas e não pode responder, a ultima
informação atualizada aparece.

3. Na caixa de dialogo Controladores de Operações, clique na guia da função do

controlador de operações que você deseja aproveitar.
4. Clique em Alterar, e quando aparecer a mensagem indicando que uma transferência não
é possível, clique em Sim na caixa de confirmação.
5. Clique em OK na pagina de aviso, e então clique OK para realizar uma transferência
forçada.
6. Clique em OK para fechar a caixa de dialogo Controladores de Operações.
7. Verifique o novo portador da função de controlador de operações que você aproveitou.

Aproveitando as outras funções do controlador de operações

A perda temporária do controlador de esquema, do controlador de nomes de domínio, ou do
controlador de RID geralmente não é visível para os usuários finais, e isso usualmente não
impede o seu trabalho como um administrador. Portanto, isto não é usualmente um
problema que vale a pena o conserto. No entanto, se você prevenir uma parada
extremamente longa do controlador de domínio que mantém uma dessas funções, você pode
aproveitar esta função para um controlador de domínio controlador de operações em
standby. Mas, aproveitar qualquer uma destas funções é um passo que você deveria fazer
somente quando a parada é permanente, como no caso de um controlador de domínio estiver
fisicamente destruído e não pode ser restaurado a partir de uma mídia de backup.
Um controlador de operações que possui suas funções aproveitadas não deve tornar-se
operacional devido à possibilidade de possuir vários controladores de operações on-line
para a mesma função. Antes de aproveitar a função, você deve assegurar que a parada deste
controlador de domínio é permanente desconectando fisicamente o controlador de domínio
da rede.

-381-
 Módulo 12: Gerenciando Controladores de Operações
Usando o Ntdsutil para aproveitar uma função
Para usar o comando ntdsutil para aproveita uma função do controlador de operações,
realize os seguintes passos:
1. Na caixa Executar, digite cmd e então pressione ENTER.
2. No prompt de comando, digite ntdsutil.
3. No prompt do ntdsutil, digite roles.
4. No prompt do fsmo maintenance (manutenção fsmo), digite connections.
5. No prompt server connections (conexões de servidor), digite connect to server
(conectar ao servidor) seguido pelo nome totalmente qualificado de domínio (FQDN –
fully qualified domain name) do controlador de domínio que será o novo portador da
função.
6. No prompt server connections (conexões de servidor), digite quit.
7. No prompt do fsmo maintenance (manutenção fsmo), digite um dos seguintes
comandos para aproveitar o controlador de operações apropriado:
• Seize RID master (aproveitar controlador de RID)
• Seize PDC (aproveitar PDC)
• Seize infrastructure master (aproveitar controlador de infraestruturar)
• Seize domain naming master (aproveitar controlador de nomes de domínio)
• Seize schema master (aproveitar controlador de esquema)
8. No prompt do fsmo maintenance (manutenção fsmo), digite quit.
9. No prompt do ntdsutil, digite quit.
10. Verifique o novo portador da função de controlador de operações que você aproveitou.

Gerenciando falhas do controlador de operações

ƒ Falha do emulador de PDC ou do controlador de infraestrutura

ƒ Falha dos outros controladores de operações

Os efeitos de uma falha de um controlador de operações na rede dependem da função do

controlador de operações. Algumas das funções do controlador de operações são cruciais
para a operação da rede, enquanto que outras podem não estar disponíveis totalmente por
algum tempo antes da sua ausência tornar-se um problema. Você notará que um controlador
de operações não está disponível quando você tentar realizar algumas funções controladas
particularmente pelo controlador de operações.
Se a causa é um problema de rede ou uma falha do servidor, e o problema será resolvido em
pouco tempo, espere pelo controlador de operações tornar-se disponível novamente. Se o
controlador de domínio que atualmente mantém a função de controlador de operações
possui uma falha, você deve determinar se ele pode ser recuperado e colocado on-line de
volta.
Geralmente, você deseja aproveitar a função do controlador de operações defeituoso para
prevenir um longo período de falha da rede. Para as funções de emulador de PDC e de
controlador de infraestrutura, eles são protegidos para realizar um aproveitamento do que as
outras funções do controlador de operações.

Falha do emulador de PDC ou do controlador de infraestrutura

ƒ A falha de um emulador de PDC afeta seriamente as operações da rede

ƒ A falha de um controlador de infraestrutura não é séria a não ser que as operações
estejam inativas por um longo tempo.
-382-
 Módulo 12: Gerenciando Controladores de Operações

Para recuperar uma falha

ƒ Determine a severidade do problema com o controlador de domínio
ƒ Determine qual controlador de domínio mantém a função de controlador de
operações
ƒ Aproveite a função do controlador de operações e reinstale-o no outro controlador
de domínio
ƒ Verifique se o novo controlador de domínio aceitou a função de controlador de
operações

A falha de um emulador de PDC pode afetar mais seriamente os usuários da rede do que a
falha das outras funções do controlador de operações devido ao emulador de PDC ser uma
função mantida para as operações de rede mais comuns.

Falha do emulador de PDC

A falha do emulador de PDC causa:
ƒ A perda do suporte aos computadores clientes executando as versões anteriores ao
Windows Server 2003 de altera a senha do Windows.
ƒ A perda da redução da latência para atualizações de senhas.
ƒ A possibilidade de perda do numero de sincronizações entre controladores de domínio.

Falha do controlador de infra-estrutura

A falha temporária do controlador de infra-estrutura não é tão seria como a falha do
emulador de PDC. Os usuários finais não podem notar que ele não está funcionando. Sua
função tem um impacto mínimo a não ser que você mova um grande numero de objetos.
Se o controlador de infra-estrutura não ficará disponível por um longo tempo, aproveite a
função e transfira-a para um controlador de domínio que não é um servidor de catálogo
global. Quando o controlador de domínio original retornar ao serviço, você pode ou não
transferir a função de controlador de infra-estrutura de volta para o mesmo.

Gerenciando a falha do emulador de PDC ou do controlador de infra-estrutura

Para recuperar de uma falha o emulador de PDC e o controlador de infra-estrutura, realize
os seguintes passos:
1. Determine qual controlador de domínio mantém a função de controlador.
2. Determine a severidade do problema com o controlador de domínio.
3. Aproveite a função do controlador de operações e tranfira-a para outro controlador de
domínio. No caso do controlador de infra-estrutura, tenha certeza que o controlador de
domínio que está recebendo a função não é um servidor de catálogo global.
4. Verifique que o novo controlador de domínio aceitou a função de controlador de
operações.

Falha dos outros controladores de operações

Para recuperar uma falha dos outros controladores de operações

1. Desconecte permanentemente o atual controlador de operações da rede
2. Espere até todas as atualizações feitas pelo controlador de domínio com a falha ter
sido replicadas para o controlador de domínio que aproveita a função
3. Assegure que o controlador de domínio cuja função foi aproveitada nunca será
restaurado

-383-
 Módulo 12: Gerenciando Controladores de Operações
4. Reformate a partição que contem os arquivos do sistema operacional do
controlador de operações original e reinstale o Windows Server 2003 antes de
reconectar este computador a rede

A indisponibilidade temporária das funções de controlador de esquema, de controlador de

RID e de controlador de nomes de domínio não é imediatamente visível pelos usuários da
rede. Quando possível, é melhor transferir ou restaurar estas funções de controlador de
operações de um backup ao invés de aproveitar a função devido à possibilidade se sempre
haver falhas de replicação nos dados. Considere o aproveitamento da função destes
controladores de operações somente quando todas as outras opções são descartadas.

Se você deve recuperar de uma falha um controlador de RID, um controlador de esquema

ou um controlador de nomes de domínio, use os seguintes passos:
1. Desconecte o controlador de operações atual da rede antes de proceder com o
aproveitamento da função. Para realizar o aproveitamento, use o comando ntdsutil.
2. Espere até que todas as atualizações feitas através do controlador de domínio com a
falha terem sido replicadas para o controlador de domínio que aproveita a função. Isto
assegura que as alterações que foram feitas justamente antes da falha do controlador de
domínio original não sejam perdidas.
3. Assegure que o controlador de domínio cuja função foi aproveitada nunca seja
restaurada. Ele pode possuir atualizações que ele fez, mas que nunca foram replicadas
para os outros controlador de domínio. O computador no qual a função foi aproveitada
deve ser removido do domínio.
4. Reformate a partição que continha os arquivos do sistema operacional do controlador de
operações original e reinstale o Windows Server 2003 antes de reconectá-lo a rede.

Laboratório A: Gerenciando Mestres de Operações

Objetivos

Depois de completar este laboratório, você será capaz de:

ƒ Determinar o mestre de operações para cada uma das cinco funções.
ƒ Transferir uma função de mestre de operações para outro controlador de domínio.
ƒ Substituir a função de um mestre de operações a partir de um controlador de domínio
falho.
ƒ Utilizar o Ntdsutil.exe para gerenciar mestres de operações

Pré-requisitos

Antes de começar este laboratório, você precisa ter conhecimento da latência na replicação do
Active Directory e como iniciar a replicação manualmente.

Exercício 1: Determinando Mestres de Operações

Cenário
A Northwind Traders está desenvolvendo um plano de recuperação de desastres. Uma
consideração importante é a distribuição das funções de mestre de operações. Não existirá
mais do que uma função de mestre de operações em um controlador de domínio. As funções
-384-
 Módulo 12: Gerenciando Controladores de Operações
de mestre de operações serão distribuídas através de múltiplos controladores de domínio para
minimizar o impacto de uma falha em qualquer localização.

Objetivo
Neste exercício, você determinará que controlador de domínio manterá cada uma das duas
funções de mestre de operações da floresta, que são mestre de esquema e mestre de
nomenclatura de domínio. Você também determinará que controlador de domínio mantém
cada uma das três funções de mestre de operações em seu domínio, que são o identificador
relativo (RID, relative identifier), o emulador de controlador de domínio (PDC, primary
domain controller) e o mestre de infra-estrutura. As três tarefas fornecerão a você as
informações necessárias para que você grave seus resultados na seguinte tabela. Nenhuma
transferência ou substituição de função é feita neste exercício.

Mestre de Operações FQDN do Controlador de Domínio

1. Esquema
2. Nomenclatura de domínio
3. RID
4. Emulador de PDC
5. Infraestrutura

Tarefas Passos Detalhados

1. Determinar o mestre de esquema atual a. Efetue o logon como Administrador em seu
utilizando o console Esquema do domínio com a senha senha.
Active Directory (Active Directory b. Na caixa Executar (Run), digite
Schema) regsrv32.exe
%systemroot%\schmmgmt.dll e então
clique em OK para registrar o snap-in
Esquema do Active Directory (Active
Directory Schema). Clique em OK para
fechar a mensagem que indica que o registro
foi bem-sucedido.
c. Na caixa Executar (Run), digite mmc, e
clique em OK para abrir um novo console e
então adicione o snap-in Esquema do
Active Directory (Active Directory
Schema).
d. Na árvore do console, expanda Esquema do
Active Directory (Active Directory
Schema).
e. Na árvore do console, clique com o botão
direito em Esquema do Active Directory
(Active Directory Schema) e então clique
em Mestre de Operações (Operations
Master).
ƒ Se o status do sustentador de função
-385-

Que passo adicional você deve executar para transferir esta função para seu
controlador de domínio?
1. (continuação)
2. Determinar o mestre de nomenclatura
de domínio atual utilizando o console
Domínios e Confianças do Active
Directory (Active Directory Domains
and Trusts).
3. Determinar o sustentador de função
atual para o RID, emulador de PDC e
mestre de infraestrutura utilizando o
console Usuários e Computadores do
Active Directory (Active Directory
Users and Computers).
-386-
Módulo 12: Gerenciando Controladores de Operações
exibe ‘ERROR’, a conexão não foi
tentada. Você deve clicar ou expandir o
nó do Esquema (passo d) antes de clicar
com o botão direito nele (passo e).
f. Utilizando a caixa de diálogo Alterar
Mestre de Esquema (Change Schema
Master), preencha na linha 1 da tabela
acima o nome do mestre de esquema.
Observação: O computador com o foco
atual, por padrão, é o mestre de esquema.
g. Clique em Cancelar (Cancel) para fechar a
caixa de diálogo Alterar Mestre de
Esquema (Change Schema Master) e
então feche o console Esquema do Active
Directory (Active Directory Schema) sem
salvar as alterações.
a. Abra Domínios e Confianças do Active
Directory (Active Directory Domains and
Trusts) a partir do menu Ferramentas
Administrativas (Administrative Tools).
b. Clique com o botão direito em Domínios e
Confianças do Active Directory (Active
Directory Domains and Trusts) e então
clique em Mestre de Operações.
c. Utilizando as informações na caixa de
diálogo Alterar Mestre de Operações
(Change Operations Master), preencha na
linha 2 da tabela no início deste laboratório
com o FQDN para o mestre de nomenclatura
no domínio.
d. Clique em Fechar (Close) para fechar a
caixa de diálogo Alterar Mestre de
Operações (Change Operations Master) e
então feche Domínios e Confianças do
Active Directory (Active Directory Domains
and Trusts).
a. Abra Usuários e Computadores do Active
Directory (Active Directory Users and
Computers) a partir do menu Ferramentas
Administrativas (Administrative Tools).
b. Na árvore do console, clique com o botão
direito em Usuários e Computadores do
Active Directory (Active Directory Users
 Módulo 12: Gerenciando Controladores de Operações
and Computers) e então clique em Mestres
de Operações.
c. Na caixa de diálogo Mestre de Operações
(Operations Master), utilizando as
informações em cada guia, preencha nas
linhas de 3 a 5 da tabela no início deste
laboratório com o FQDN para o RID,
emulador de PDC e mestre de infraestrutura.
d. Clique em Cancelar (Cancel) para fechar a
caixa de diálogo Mestre de Operações
(Operations Master) e deixe o Usuários e
Computadores do Active Directory (Active
Directory Users and Computers) aberto.

Exercício 2: Transferindo a Função de Mestre de Infraestrutura

Cenário
Depois de monitorar consultas ao catálogo global desenvolveu um plano para redistribuir a
função do servidor de catálogo global entre os controladores de domínio. Pelo fato de que o
mestre de infraestrutura não executará corretamente em um catálogo global, o plano também
inclui o posicionamento desta função em controladores de domínio particulares.

Objetivo
Neste exercício, você transferirá a função de mestre de infraestrutura para o controlador de
domínio especificado. É recomendando que o controlador de domínio estivesse no mesmo site
que o servidor de catálogo global, mas isto não deveria ser um servidor de catálogo global.
Isto porque o mestre de infraestrutura freqüentemente contata um servidor de catálogo global.

Observação: Alunos trabalharão em pares agrupados por domínio para completar este
exercício.

Tarefas Passos Detalhados

Importante: Execute a seguinte tarefa tanto em servidorinfra (onde servidorinfra é o
nome do mestre de infraestrutura) como em outroservidor (onde outroservidor é o
nome de outro controlador de domínio neste domínio).
1. Verificar o sustentador atual da função a. Em Usuários e Computadores do Active
de mestre de infraestrutura. Directory (Active Directory Users and
Computers), na árvore do console, clique
com o botão direito em Usuários e
Computadores do Active Directory
(Active Directory Users and Computers) e
então clique em Mestres de Operações
(Operations Masters).
b. Na caixa de diálogo Mestres de Operações
(Operations Masters), clique na guia
Infraestrutura (Infrastructure).
-387-
 Módulo 12: Gerenciando Controladores de Operações
ƒ Repare que o sustentador de função
atual é servidorinfra.
Importante: Execute a seguinte tarefa apenas em outroservidor.
2. Transferir a função de mestre de a. Na caixa de diálogo Mestres de Operações
infraestrutura de servidorinfra para (Operations Masters), clique em Alterar
outroservidor. (Change) e então clique em Sim (Yes) para
fechar a mensagem confirmando a
transferência.
b. Clique em OK para fechar a mensagem
indicando que a função de mestre de
operações foi transferida com sucesso,
clique em OK novamente para fechar o
diálogo Mestres de Operações (Operations
Masters) e então feche Usuários e
Computadores do Active Directory (Active
Directory Users and Computers).
Importante: Execute a seguinte tarefa em servidorinfra depois que a tarefa anterior
for completada.
3. Verificar se servidorinfra foi a. Para atualizar as informações exibidas na
atualizado com as informações que a caixa de diálogo Mestres de Operações
transferência da função de mestre de (Operations Masters), clique em Cancelar
infraestrutura fizeram acontecer. (Cancel) para fechar a caixa de diálogo
Mestres de Operações (Operations
Masters) em Usuários e Computadores do
Active Directory (Active Directory Users
and Computers).
b. Na árvore do console, clique com o botão
direito em Usuários e Computadores do
Active Directory (Active Directory Users
and Computers) e então clique em Mestres
de Operações (Operations Masters).
c. Na caixa de diálogo Mestres de Operações
(Operations Masters), clique na guia
Infraestrutura (Infrastructure). Repare
que outroservidor é agora o sustentador de
função de mestre de infraestrutura.
d. Clique em Cancelar (Cancel) para fechar a
caixa de diálogo Mestres de Operações
(Operations Masters) e então feche
Usuários e Computadores do Active
Directory (Active Directory Users and
Computers).

-388-
 Módulo 12: Gerenciando Controladores de Operações
Exercício 3: Substituindo a Função do Emulador de PDC

Cenário
O Suporte Técnico da Northwind Traders recebeu um número crescente de reclamações de
usuários que executam o Windows NT 4.0 em seus computadores falando que eles não são
capazes de alterar suas senhas. O controlador de domínio mantendo a função de emulador de
PDC que executa esta tarefa falhou. A parte do hardware necessária para reparar o controlador
de domínio falho demorará mais de uma semana para ser adquirida. Devido a esta função
executar operações críticas, o Suporte Técnico decidiu substituir a função do controlador de
domínio. Isto não foi uma decisão difícil porque o domínio estava no modo nativo e não
existiam controladores de domínio de backup (BDCs, backup domain controllers) que
pudessem ter precisado de uma sincronização completa.

Objetivo
Neste exercício, você simulará uma falha de hardware no controlador de domínio desligando
o computador. Então você substuirá o emulador de PDC e determinará esta função a outro
controlador de domínio. Você então corrigirá a falha de hardware simulada e transferirá a
função de emulador de PDC de volta ao controlador de domínio original.

Observação: Alunos trabalharão em pares agrupados por domínio para completar este
exercício.

Tarefas Passos Detalhados

Importante: Execute a seguinte tarefa apenas no servidorPDC (onde servidorPDC é
o nome do emulador de PDC).
1. Simular uma falha de hardware a. Feche todas as janelas abertas.
desligando o servidorPDC. b. Clique em Iniciar (Start), Desligar (Shut
Down) e então clique em OK.
Importante: Execute a seguinte tarefa em outroservidor (onde outroservidor é o
nome de outro controlador de domínio neste domínio) depois que a tarefa anterior for
completada).
2. Verificar o sustentador de função atual a. Abra Usuários e Computadores do Active
do emulador de PDC utilizando Directory (Active Directory Users and
Usuários e Computadores do Active Computers) a partir do menu Ferramentas
Directory (Active Directory Users and Administrativas (Administrative Tools).
Computers). b. Na árvore do console, clique com o botão
direito em Usuários e Computadores do
Active Directory (Active Directory Users
and Computers) e então clique em Mestres
de Operações (Operations Masters).
ƒ A caixa de diálogo Mestres de
Operações (Operations Masters) pode
demorar um momento para aparecer
porque ela está esperando por uma
resposta do sustentador de função de
mestre RID. Espere um atraso similar ao
-389-
 Módulo 12: Gerenciando Controladores de Operações
clicar nas outras duas guias de mestre
de operações.
c. Na caixa de diálogo Mestres de Operações
(Operations Masters), clique na guia PDC.
O outroservidor é capaz de determinar se o sustentador de função de emulador de
PDC está desligado?
3. Substitua a função de emulador de a. Embora uma mensagem indique que a
PDC de servidorPDC e a conceda a função não pode ser transferida, clique em
outroservidor utilizando Usuários e Alterar (Change) e então clique em Sim
Computadores do Active Directory (Yes) para fechar a mensagem de
(Active Directory Users and confirmação.
Computers). b. Clique em OK para fechar a mensagem de
advertência que indica “Transferir a função
de PDC para esta máquina pode causar uma
sincronização completa em todos os BDCs
do NT4” (“Transferring the PDC role to this
machine may cause a full sync on all NT4
BDCS”).
Observação: Esta advertência aparece
porque a transferência de função pode
causar uma quantia potencialmente grande
de tráfego de rede quando os BDCs forem
sincronizados. Esta advertência pode ser
seguramente ignorada porque o domínio está
no modo nativo, significando que a
sincronização do BDC não pode ser
executada.
Qual foi a operação que logo falhou?
3. (continuação) c. Clique em OK para fechar a mensagem
indicando que uma transferência forcada foi
tentada.
ƒ A operação de substituição está sendo
executada.
d. Clique em OK para fechar a mensagem
indicando que a função de mestre de
operações foi transferida com sucesso.
e. Clique em OK para fechar a caixa de
diálogo Mestres de Operações (Operations
Masters) e então feche Usuários e
Computadores do Active Directory (Active
Directory Users and Computers).
4. Iniciar servidorPDC e efetuar o logon a. Inicie servidorPDC e efetue o logon como
como Administrador. Administrador.
5. Iniciar a replicação com outroservidor a. Abra Sites e Serviços do Active Directory
utilizando Sites e Serviços do Active (Active Directory Sites and Services) a
Directory (Active Directory Sites and partir do menu Ferramentas
-390-
 Módulo 12: Gerenciando Controladores de Operações
Services). Administrativas (Administrative Tools).
b. Expanda Sites, expanda Primeiro-Site-
Padrao (Default-First-Site-Name) e então
expanda Servidores (Servers).
c. Expanda o servidorPDC e então clique em
NTDS Settings.
d. Clique com o botão direito em uma conexão
de outroservidor, clique em Replicar Agora
(Replicate Now) e então clique em OK para
fechar a mensagem Replicar Agora
(Replicate Now) indicando que a replicação
ocorreu.
ƒ Se uma mensagem de erro aparece
indicando que o serviço RPC não está
disponível, aguarde um momento e tente
novamente. Pode demorar algum tempo
até que todos os serviços necessários
iniciem depois de reiniciar o
computador.
e. Feche Sites e Serviços do Active Directory
(Active Directory Sites and Services).
6. Verificar se servidorPDC foi a. Abra Usuários e Computadores do Active
atualizado com as informações que a Directory (Active Directory Users and
substituição da função de emulador de Computers) a partir do menu Ferramentas
PDC aconteceu utilizando Usuários e Administrativas (Administrative Tools).
Computadores do Active Directory b. Clique com o botão direito em Usuários e
(Active Directory Users and Computadores do Active Directory
Computers). (Active Directory Users and Computers) e
então clique em Mestres de Operações
(Operations Masters).
c. Na caixa de diálogo Mestres de Operações
(Operations Masters), clique na guia PDC.
Como o servidorPDC sabe que outroservidor é agora o emulador de PDC?
7. Tranferir a função de emulador de PDC a. Na caixa de diálogo Mestres de Operações
de outroservidor de volta para (Operations Masters), clique em Alterar
servidorPDC. (Change) para transferir o sustentador de
função de volta para o servidor original,
servidorPDC.
b. Clique em Sim (Yes) para fechar a
mensagem confirmando a transferência,
clique em OK para fechar a mensagem
indicando que a função de mestre de
operações foi transferida com sucesso e
então clique em OK para fechar a caixa de
diálogo Mestres de Operações (Operations
Masters).
-391-
 Módulo 12: Gerenciando Controladores de Operações
c. Feche Usuários e Computadores do Active
Directory (Active Directory Users and
Computers).
Exercício 4: Utilizando o ntdsutil para Transferir Funções de Mestre de
Operações

Cenário
Um consultor contratado pela Northwind Traders recomendou uma estratégia de
gerenciamento remota que utiliza apenas utilitários de linha de comando. Um objetivo
adicional era executar estas tarefas a partir de uma sessão do telnet.

Objetivo
Neste exercício, você utilizará o utilitário de linha de comando Ntdsutil.exe para determinar
todos os sustentadores de função atuais e para transferir o mestre RID.

Obs: Alunos trabalharão em pares agrupados por domínio para completar este exercício.

Tarefas Passos Detalhados

1. Determinar os mestres de operações a. Abra uma janela de prompt de comando.
atuais utilizando o utilitário ntdsutil. b. No prompt de comando, digite ntdsutil e
então pressione ENTER.
c. No prompt ntdsutil, digite ? e então
pressione ENTER para exibir as
informações de ajuda para este menu.
Observação: Você também pode visualizar
a ajuda de qualquer menu digitando ? ou
Help e então pressionando ENTER.
d. No prompt ntdsutil, digite domain
management e então pressione ENTER
para exibir o prompt de gerenciamento de
domínio.
Observação: Você precisa digitar apenas as
letras suficientes de cada palavra-chave para
distingui-las umas das outras. Por exemplo,
d m seria o atalho para domain management.
Além disto, palavra-chave não são diferentes
em maiúsculas e minúsculas.
e. No prompt domain management, digite
connections e então pressione ENTER para
exibir o prompt de conexoes do servidor.
f. No prompt server connections, digite
connect to server nomedoservidor (onde
nomedoservidor é o nome de seu
computador) e então pressione ENTER.
Observação: Se você quer conectar ao
servidor com credenciais diferentes daquelas
-392-
 Módulo 12: Gerenciando Controladores de Operações
do usuário que efetuou o logon localmente,
utilize set creds %s %s %s. Consulte a
Ajuda para mais informações.
g. No prompt server connections, digite info e
então pressione ENTER para exibir as
informações de conexão atuais.
h. No prompt server connections, digite quit e
então pressione ENTER para retornar ao
prompt de gerenciamento de domínio.
i. No prompt domain management, digite
select operation target e então pressione
ENTER para exibir o prompt de selecionar
destino da operação.
j. No prompt select operation target, digite
list roles for connected server e então
pressione ENTER para exibir todos os
sustentadores de função que este servidor
conhece.
k. No prompt select operation target, digite
quit e então pressione ENTER para retornar
ao prompt de gerenciamento de domínio.
l. No prompt domain management, digite
quit e então pressione ENTER para retornar
ao prompt ntdsutil.
2. Visualizar as opções de manutenção a. No prompt ntdsutil, digite roles e então
disponíveis no utilitário ntdsutil. pressione ENTER para exibir o prompt fsmo
maintenance.
Observação: fsmo (que significa “operação
mestre única flexível” (“flexible single
master operation”)) é o nome anterior para
um mestre de operações.
b. No prompt fsmo maintenance, digite ? e
então pressione ENTER para exibir todas as
opções de manutenção fsmo.
Repare que todas as operações de
substituição e transferência estão
disponíveis.
Importante: Execute a seguinte tarefa em outroservidor depois que a tarefa anterior
for completada.
3. Transferir a função de mestre de RID a. No prompt fsmo maintenance, digite
de servidorRID para outroservidor transfer RID master e então pressione
utilizando o ntdsutil. ENTER.
b. Clique em Sim (Yes) para fechar a
mensagem confirmando a transferência.
Observação: Você pode omitir estas caixas
de diálogo de confirmação para utilização
-393-
 Módulo 12: Gerenciando Controladores de Operações
em automatização ou em uma sessão telnet.
Isto é executado no prompt ntdsutil
digitando popups off.
c. No prompt fsmo maintenance, digite quit e
então pressione ENTER para retornar ao
prompt ntdsutil.
Imporante: Execute a seguinte tarefa tanto em servidorRID como em outroservidor
depois que a última tarefa for completada.
4. Fechar o utilitário ntdsutil e a janela de a. No prompt ntdsutil, digite quit e então
prompt de comando e então efetuar o pressione ENTER para sair do utilitário.
logoff. b. Feche a janela de prompt de comando, feche
todas as outras janelas abertas e então efetue
o logoff.

Práticas Recomendadas

ƒ Não Execute Transferências de Função Freqüentes

ƒ Transfira Funções de Mestre de Operações Antes de Rebaixar um Controlador de
Domínio
ƒ Considere o Tráfego de Rede para Alterações de Senhas ao Atribuir o Emulador de
PDC a um Controlador de Domínio
ƒ Revise o Melhor Posicionamento dos Sustentadores de Função Periodicamente
ƒ Atribua as Funções de Esquema e Mestre de Nomenclatura de Domínio ao Mesmo
Controlador de Domínio
ƒ Posicione um Servidor de Catálogo Global no Mesmo Site do Mestre de
Infraestrutura

Considere as seguintes práticas recomendadas ao utilizar mestres de operações.

ƒ Não execute transferências de função freqüentes. Execute transferências de função apenas
ao fazer uma alteração maior à infraestrutura do domínio, como ao rebaixar um
sustentador de controlador de domínio ou ao adicionar um novo controlador de domínio
que é mais útil para algumas funções que o sustentador atual.
ƒ Transfira funções de mestre de operações sustentadas por um controlador de domínio
antes de rebaixar o controlador de domínio. Isto garante que a transferência de uma função
seja bem-sucedida antes que você rebaixe o controlador de domínio. Isto também permite
que você escolha o novo sustentador de função e verifique se a transferência é bem-
sucedida.
ƒ Considere o tráfego de rede associado a alterações de senhas ao atribuir a função de
mestre de emulador de PDC a um controlador de domínio. Faça isto porque pode haver
tráfego de rede freqüente de outros controladores de domínio e computadores cliente
baseados em pré-Windows Server 2003 devido às alterações de senha de conta de
usuário.
ƒ Revise periodicamente o melhor posicionamento dos sustentadores de função em sua rede.
O posicionamento otimizado dos sustentadores de função pode alterar devido a alterações
da rede, padrões de utilização ou análises de risco.

-394-
 Módulo 12: Gerenciando Controladores de Operações
ƒ Atribua as funções de mestre de esquema e mestre de nomenclatura de domínio ao mesmo
controlador de domínio. É mais fácil proteger um controlador de domínio do que proteger
dois controladores de domínio, como seria necessário se as funções de mestre de esquema
e nomenclatura de domínio estivessem em controladores de domínio separados. Além
disto, o mesmo grupo em uma organização normalmente possui os controladores de
domínio que sustentam as funções de mestre de esquema e mestre de nomenclatura de
domínio.
ƒ Posicione um servidor de catálogo global no mesmo site do mestre de infraestrutura. Isto
reduz o tráfego de rede quando o mestre de infraestrutura enumerar suas referências
externas ao atualizá-las.

Revisão

ƒ Introdução aos Mestres de Operações

ƒ Funções de Mestres de Operações
ƒ Gerenciando Funções de Mestres de Operações
ƒ Gerenciando Falhas de Mestres de Operações
ƒ Práticas Recomendadas

1. Quais mestres de operações são de abrangência de domínio e quais são de abrangência de

floresta?

2. Quais operações utilizam a função de mestre de emulador de PDC?

3. Existe uma forma de obter uma função de mestre de operações novamente on-line
enquanto o controlador de domínio atual sustentando a função estiver danificado sob
reparo?

4. Se o mestre de nomenclatura estivesse indisponível, que operações não poderiam ser

executadas?

5. Porque você não deveria substituir a função de mestre de esquema?

-395-