terça-feira, 3 de maio de 2011

NTDSUTIL: Utilizando Seize e Metadata Cleanup


Como transferir os mestres de operações para outro controlador de domínio quando o mestre de operações de origem está off-line ou foi destruído

Para que o Active Directory funcione de forma estável, é necessário que:
  • A resolução de nomes DNS seja feita com sucesso;
  • Pelo menos um controlador de domínio esteja on-line e respondendo, inclusive disponibilizando os compartilhamentos SYSVOL e NETLOGON;
  • Pelo menos um catálogo global esteja on-line e respondendo;
  • Os cinco mestres de operações estejam atribuídos aos controladores de domínios on-line.
É muito comum administradores de rede descartarem um controlador de domínio mais antigo (normalmente o primeiro que foi instalado), substituindo o computador por outro controlador de domínio mais novo e eficiente, mas encontrarem problemas com o Active Directory a partir da remoção do primeiro controlador de domínio da rede.

Isso ocorre porque o primeiro controlador de domínio instalado recebe as cinco funções de mestres de operações do Active Directory. Logo, mesmo que o novo controlador seja promovido a catálogo global, faltarão na rede os cinco mestres de operações e o Active Directory passará a ficar instável.
Existe um procedimento que traz as funções dos mestres de operações para um servidor, sem a necessidade de o servidor que originalmente contém as funções estar presente na rede (on-line). Siga o procedimento para definir as cinco funções a um controlador de domínio, caso o que continha as funções originalmente estiver off-line por qualquer motivo:
  1. No controlador de domínio disponível, faça o logon com um usuário administrativo e clique em Iniciar, Executar... .
  2. Digite cmd e clique em OK.
  3. Digite NTDSUTIL e tecle ENTER.
  4. A ferramenta NTDSUTIL foi criada para uma manutenção de baixo nível no Active Directory. Ela é baseada em um prompt de comandos (assim como ferramentas como o NSLOOKUP). A qualquer momento, você pode entrar com o comando HELP (ou?) para obter uma lista dos comandos disponíveis no menu atual. Inicie usando o comando ROLES: digite ROLES e tecle ENTER.
  5. Para efetuar alguma operação, é necessário primeiro se conectar ao controlador de domínio. Para isso digite Connections e tecle ENTER.
  6. Agora digite Connect to server servidor e tecle ENTER. Por exemplo: Connect to server servidor.empresa.br ENTER.
  7. Você será conectado ao controlador de domínio indicado no comando. Digite então QUIT e tecle ENTER para voltar ao menu anterior.
  8. Finalmente, você pode atribuir os mestres de operações ao controlador disponível. O comando TRANSFER é usado quando o controlador que detém a função de mestre de operações está on-line, íntegro. Já o comando SEIZE é o usado quando o controlador que detém a função de mestre de operações está off-line ou foi destruído.
  9. Para atribuir a função de mestre de operações de Esquema, digite SEIZE SCHEMA MASTER e tecle ENTER. Observe a figura a seguir que exibe a seqüência de comandos e a tela pop-up que é aberta para que você confirme a operação de "Seize" do mestre de operações.

Confirmação de captura de função de mestre de operações.
  1. Clique em Sim para confirmar a operação.
  2. O processo tenta primeiro realizar a transferência segura da função. Caso não consiga devido ao controlador "dono" da função estar off-line, ele força a captura da função, indicando após a mensagem de erro as cinco funções que o controlador conectado conhece. Será exibida uma mensagem de erro, mas isso não quer dizer que o processo de SEIZE não funcionou. Você deve observar a lista das funções que o servidor conhece, na qual deve aparecer agora o nome do controlador conectado na função que você acabou de transferir.
  3. Agora digite HELP e tecle ENTER. Serão exibidos os comandos para a operação das outras quatro funções de mestres de operações. Entre com os comandos um de cada vez até que as cinco funções sejam transferidas para o servidor conectado. Ao término dos cinco comandos, as funções já estarão definidas no controlador de domínio e na próxima replicação a informação será disseminada para outros controladores de domínio.
Removendo o objeto obsoleto (Windows Server 2003)
  1. Caso o controlador tenha sido "destruído" e não voltará mais à rede, é importantíssimo que o objeto do controlador de domínio seja excluído da base do Active Directory. Comece o processo acessando a ferramenta Usuários e Computadores do Active Directory, expandindo o domínio e selecionando o contêiner Domain Controllers. Coloque o ponteiro do mouse no objeto do controlador de domínio que não existe mais, dê um clique com o botão direito e selecione Excluir.
  2. Clique em Sim. Será exibida uma caixa de diálogo: selecione a terceira e a última opções. Esse controlador de domínio está permanentemente off-line e não pode mais ser rebaixado pelo "Assistente de Instalação do Active Directory" (DCPROMO).
  3. Clique em Excluir e clique em Sim para confirmar. Feche a ferramenta.
  4. Abra agora o Prompt de Comandos e digite NTDSUTIL ENTER.
  5. Será iniciada a ferramenta NTDSUTIL. Digite os comandos seguintes sempre teclando ENTER após cada comando listado. Substitua servidor pelo nome do controlador de domínio atual e os itens id pelo número mostrado na listagem dos domínios, sites e servidores (após cada comando LIST):
METADATA CLEANUP
SELECT OPERATION TARGET
CONNECTIONS
CONNECT TO SERVER servidor
QUIT
LIST DOMAINS
SELECT DOMAIN id
LIST SITES
SELECT SITE id
LIST SERVERS IN SITE
SELECT SERVER id
QUIT
REMOVE SELECTED SERVER
  1. Será exibida uma caixa de diálogo solicitando a confirmação da exclusão; clique em Sim para confirmar. Após a confirmação do item removido, utilize o comando QUIT por duas vezes.
  2. Pronto, você saiu da ferramenta. Agora digite EXIT e tecle ENTER para sair do Prompt de Comando.
Observação
  1. Pode ser necessário eliminar o objeto na ferramenta Serviços e Sites do Active Directory (Sites e Serviços do Active Directory no Windows 2000 Server). Verifique acessando a ferramenta e expandindo o site do qual o servidor fazia parte até o contêiner Servers. Caso ele esteja presente, clique com o botão direito do mouse e selecione Excluir. O item deve ser removido.
  2. Verifique também se este ou algum controlador na rede possui o serviço DNS em execução, com a zona primária do domínio criada. Caso não esteja rodando, instale o serviço DNS (em Adicionar/Remover Programas > Adicionar/Remover Componentes do Windows > Serviços de Rede) e crie uma zona primária com o mesmo nome do domínio do Active Directory e do tipo "integrada ao Active Directory". Configure a duplicação para apenas os controladores de domínios do Active Directory. Em seguida, reinicie o serviço Logon de Rede para que os registros sejam criados automaticamente

Nenhum comentário:

Postar um comentário