1.4K
Los roles de Flexible Single Master Operations (FSMO) son componentes críticos de un controlador de dominio de Active Directory. Son responsables de administrar varias operaciones dentro del dominio, incluida la creación y eliminación de objetos, actualizaciones de esquemas y cambio de nombre de dominio.
Si un controlador de dominio que tiene un rol FSMO falla, es crucial aprovechar el rol rápidamente para evitar interrupciones en el dominio.
Esta publicación de blog analizará cómo asumir una función FSMO de un controlador de dominio fallido en Active Directory. Le proporcionaremos instrucciones paso a paso y destacaremos cosas importantes a tener en cuenta durante el proceso.
El entorno
Este tutorial demostrará los ejemplos usando dos controladores de dominio.
- DC1.theitbros.local – El controlador de dominio fallido que es el propietario actual de todas las funciones de FSMO.
- DC2.theitbros.local – El controlador de dominio adicional al que transferiremos a la fuerza las funciones de FSMO.
Aparte de eso, su cuenta de administrador debe ser miembro de los siguientes grupos de Active Directory:
- Administradores de dominio
- Administradores de esquema
Roles de FSMO: Transferencia vs. Incautación
Las dos formas de reasignar roles de FSMO son transferir y aprovechar. Ambos métodos finalmente transfieren los roles de FSMO a otro DC.
- Transferir — se utiliza para la degradación planificada de un controlador de dominio (por ejemplo, cuando retira un servidor) o cuando un controlador de dominio se desconecta temporalmente mientras realiza tareas de mantenimiento.
- Aprovechar — se usa cuando el servidor físico ha fallado (y usted no tiene una copia de seguridad actualizada de Active Directory de este DC para realizar una restauración no autorizada de los servicios de dominio de Active Directory) o Windows Server está defectuoso; o después de haber degradado por la fuerza un controlador de dominio a un servidor miembro.
En resumen, puedes graciosamente mover (transferir) roles de FSMO de un DC en funcionamiento a otro o con fuerza agarrar (apoderarse) de los roles FSMO de un DC muerto.
Determinar los roles de FSMO para el propietario
Nota. Los cmdlets de AD PowerShell están disponibles en el módulo de directorio activo 2.0 o posterior en controladores de dominio con Windows Server 2008 R2 o superior.
Suponga que DC1 deja de funcionar y debe transferir las funciones de FSMO que tiene a otro controlador de dominio. Tener roles FSMO en diferentes controladores de dominio es común. Por lo tanto, debe confirmar qué roles de FSMO tiene el servidor inactivo.
Primero, enumeremos los controladores de dominio en nuestro entorno.
# List all DCs ## Using PowerShell Get-ADDomainController -Filter * | Select-Object ` HostName, Site, OperatingSystem ## Using DSQUERY dsquery server -forest
Como puede ver a continuación, este bosque tiene dos controladores de dominio. Y sabemos que DC1 está muerto. Eso convierte a DC2 en nuestro candidato como nuevo propietario del rol de FSMO.
A continuación, enumere el propietario de las funciones de FSMO utilizando los comandos a continuación.
# List FSMO Roles owners ## Using PowerShell Get-ADDomain | Select-Object PDCEmulator, InfrastructureMaster, RIDMaster Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster ## Using NETDOM netdom query fsmo
Como se confirmó, DC1 posee todos los roles de FSMO (emulador de PDC, maestro RID, maestro de infraestructura, maestro de nombres de dominio, maestro de esquema).
Cómo transferir roles de FSMO desde un controlador de dominio fallido
Puede asumir funciones de FSMO de tres maneras: PowerShell (Move-ADDirectoryServerOperationMasterRole), NTDSUTIL y la consola de usuarios y equipos de Active Directory (ADUC).
Aproveche los roles de FSMO paso a paso (ADUC)
Inicie sesión en el controlador de dominio que será el nuevo propietario de las funciones FSMO. En este ejemplo, ese servidor es DC2.
Una vez que haya iniciado sesión en DC2, abra la consola ADUC.
Haga clic en la Unidad organizativa de controladores de dominio (OU) y busque el controlador de dominio fallido (DC1). Haga clic con el botón derecho en el controlador de dominio fallido y haga clic en Borrar.
Cuando se le solicite que confirme la eliminación, haga clic en Sí.
Recibirá una advertencia de que está eliminando un controlador de dominio sin ejecutar el asistente de eliminación. Pero dado que estamos eliminando un controlador de dominio inactivo, marque la casilla para Eliminar este controlador de dominio de todos modos y haga clic Borrar.
Hacer clic Sí para confirmar la eliminación de este controlador de dominio.
La eliminación detectará que DC1 es el propietario de los roles FSMO. Esas funciones de FSMO se transferirán al controlador de dominio adicional (DC2) cuando haga clic en Aceptar.
Una vez que se elimine DC1, haga clic derecho en el dominio y haga clic en Maestros de operaciones.
Ahora, haga clic en cada pestaña (RID, PDC e Infraestructura) y confirme que el maestro de operaciones es DC2.
A continuación, abra la consola de Dominios y confianzas de Active Directory. Hacer clic Acción → maestro de operaciones.
Confirme que DC2 es ahora el maestro de operaciones de nombres de dominio.
Ahora, verifiquemos el rol de maestro de esquema. Ejecute el siguiente comando en una ventana elevada de PowerShell para registrar la consola de administración de esquemas de Active Directory:
regsvr32 schmmgmt.dll
Hacer clic DE ACUERDO,
A continuación, abra MMC y agregue el Esquema de directorio activo complemento
Haga clic derecho en el Esquema de directorio activo nodo → Maestro de operaciones. Confirme que DC2 es el maestro de esquema actual.
Usando la GUI, ha asumido con éxito la función FSMO de un controlador de dominio fallido.
Aproveche los roles de FSMO paso a paso (PowerShell)
El método de PowerShell para asumir los roles de FSMO implica menos pasos que los demás, lo que lo convierte en un método de emergencia ideal para romper el cristal.
Inicie sesión en el controlador de dominio (DC2) y abra PowerShell como administrador.
A continuación, defina los roles a asumir. El siguiente código define todos los roles en una variable denominada $fsmoRoles.
$fsmoRoles = @( 'SchemaMaster', 'DomainNamingMaster', 'InfrastructureMaster', 'PDCEmulator', 'RIDMaster' )
También puede sustituir los nombres de los maestros de operaciones con sus números correspondientes.
Nombre del rol del maestro de operaciones | Número |
---|---|
PDCEmulador | 0 |
RIDMaster | 1 |
InfraestructuraMáster | 2 |
maestro de esquema | 3 |
Maestro de nombres de dominio | 4 |
Ejecute los siguientes comandos para mover los roles de FSMO a DC2.itbros.local con fuerza. El primer comando obtiene el objeto del controlador de dominio (Get-ADDomainController). El segundo comando ([Move-ADDirectoryServerOperationMasterRole](https://theitbros.com/transfer-fsmo-roles-using-powershell/)) transfiere los roles de FSMO:
$targetDC = Get-ADDomainController -Identity DC2.theitbros.local Move-ADDirectoryServerOperationMasterRole ` -Identity $targetDC ` -OperationMasterRole $fsmoRoles ` -Confirm:$false ` -Force
Si no hay errores ni resultados en la pantalla, la operación de movimiento del rol FSMO se completó con éxito.
Para confirmar, verifiquemos el nuevo propietario de roles de FSMO.
Get-ADDomain | Format-List PDCEmulator, InfrastructureMaster, RIDMaster Get-ADForest | Format-List DomainNamingMaster, SchemaMaster
Baste decir que el método PowerShell es rápido y conveniente.
Aprovechar los roles de FSMO paso a paso (NTDSUTIL)
En este último método, iremos a la vieja escuela. Este método es interactivo mediante la herramienta ntdsutil.
Abra PowerShell o el símbolo del sistema como administrador y ejecute el comando ntdsutil.
Luego, ingrese cada comando a continuación.
roles connections connect to server DC2 q
Ejecute el siguiente comando para asumir la función FSMO de maestro de nombres.
seize naming master
Se le pedirá que confirme la incautación del rol. Verá este cuadro de diálogo de confirmación para cada rol de FSMO que esté adquiriendo. Hacer clic Sí.
NTDSUTIL primero intentará una transferencia de rol segura. Como era de esperar, la transferencia segura falla porque DC1 ya está muerto. Se procede a la incautación del papel en su lugar.
Como se muestra a continuación, NTDSUTIL se apoderó con éxito de la Maestro de nombres papel a DC2.
Ahora, ejecute cada comando a continuación para aprovechar los roles FSMO restantes.
seize infrastructure master seize rid master seize schema master seize pdc q
Ahora, entremos en el modo de limpieza de metadatos.
metadata cleanup connections connect to server DC2 q
Enumere los sitios de Active Directory existentes:
select operation target list sites
Este dominio tiene solo un sitio de AD llamado ESTE DE EE. UU.. Escriba el número de sitio al que pertenece el controlador de dominio fallido. Luego, enumere los servidores en ese sitio.
select site 0 list servers in site
Seleccione el controlador fallido (DC1) y muestre la lista de dominios:
select server 0 list domains
Seleccione el dominio y regrese al menú de limpieza de metadatos:
select domain 0 q
Eliminar el servidor seleccionado (DC1):
remove selected server
Y obtendrá este cuadro de diálogo de confirmación. Hacer clic Sí.
¡Uf! ¡Fueron muchos pasos! No creo que use ntdsutil a menudo para operaciones de roles FSMO.
Tareas de limpieza posteriores a la incautación de FSMO
Una vez que haya asumido con éxito los roles de FSMO, aquí hay algunas tareas que debe realizar.
Eliminar el controlador de dominio fallido
Puede eliminar el controlador de dominio de los sitios y servicios de Active Directory (dssite.msc).
Hacer clic Sí para confirmar la eliminación.
Eliminar registros DNS
Una vez que haya eliminado el objeto del controlador de dominio, asegúrese de eliminar los registros DNS que apuntan a ese DC.
Puede dejar que la limpieza de DNS se encargue de ello o eliminarlos manualmente mediante el administrador de DNS. En el siguiente ejemplo, la entrada DC1 DNS ya se eliminó automáticamente.
Comprobar errores
Después de capturar los roles de FSMO, compruebe si hay errores en los registros de servicios de directorio y DNS en el visor de eventos. Si hay problemas, use los siguientes comandos para ayudarlo a corregir los errores más comunes automáticamente.
dcdiag /v /fix netdiag /v /fix
Cosas a tener en cuenta
- La adopción de una función FSMO solo debe realizarse como último recurso cuando un controlador de dominio que tiene una función FSMO falla y no se puede recuperar.
- Asumir un rol de FSMO puede causar conflictos si el controlador de dominio original se recupera o vuelve a estar en línea.
- Después de asumir un rol de FSMO, es crucial asegurarse de que el dominio sea completamente funcional y no tenga problemas.
- Espere a que los cambios se repliquen en todo el bosque de AD.
Conclusión
En conclusión, asumir una función FSMO de un controlador de dominio fallido es una tarea crítica que debe realizarse con cuidado. Si sigue los pasos descritos en esta publicación de blog y está atento a los posibles problemas, puede asegurarse de que el dominio siga siendo completamente funcional incluso después de una falla del controlador de dominio.