¿Cómo aprovechar los roles de FSMO del controlador de dominio inactivo? – 2xsoftware

Los roles de Flexible Single Master Operations (FSMO) son componentes críticos de un controlador de dominio de Active Directory. Son responsables de administrar varias operaciones dentro del dominio, incluida la creación y eliminación de objetos, actualizaciones de esquemas y cambio de nombre de dominio.

Si un controlador de dominio que tiene un rol FSMO falla, es crucial aprovechar el rol rápidamente para evitar interrupciones en el dominio.

Esta publicación de blog analizará cómo asumir una función FSMO de un controlador de dominio fallido en Active Directory. Le proporcionaremos instrucciones paso a paso y destacaremos cosas importantes a tener en cuenta durante el proceso.

El entorno

Este tutorial demostrará los ejemplos usando dos controladores de dominio.

  • DC1.theitbros.local – El controlador de dominio fallido que es el propietario actual de todas las funciones de FSMO.
  • DC2.theitbros.local – El controlador de dominio adicional al que transferiremos a la fuerza las funciones de FSMO.

Aparte de eso, su cuenta de administrador debe ser miembro de los siguientes grupos de Active Directory:

  • Administradores de dominio
  • Administradores de esquema

Roles de FSMO: Transferencia vs. Incautación

Las dos formas de reasignar roles de FSMO son transferir y aprovechar. Ambos métodos finalmente transfieren los roles de FSMO a otro DC.

  • Transferir — se utiliza para la degradación planificada de un controlador de dominio (por ejemplo, cuando retira un servidor) o cuando un controlador de dominio se desconecta temporalmente mientras realiza tareas de mantenimiento.
  • Aprovechar — se usa cuando el servidor físico ha fallado (y usted no tiene una copia de seguridad actualizada de Active Directory de este DC para realizar una restauración no autorizada de los servicios de dominio de Active Directory) o Windows Server está defectuoso; o después de haber degradado por la fuerza un controlador de dominio a un servidor miembro.

En resumen, puedes graciosamente mover (transferir) roles de FSMO de un DC en funcionamiento a otro o con fuerza agarrar (apoderarse) de los roles FSMO de un DC muerto.

Determinar los roles de FSMO para el propietario

Nota. Los cmdlets de AD PowerShell están disponibles en el módulo de directorio activo 2.0 o posterior en controladores de dominio con Windows Server 2008 R2 o superior.

Suponga que DC1 deja de funcionar y debe transferir las funciones de FSMO que tiene a otro controlador de dominio. Tener roles FSMO en diferentes controladores de dominio es común. Por lo tanto, debe confirmar qué roles de FSMO tiene el servidor inactivo.

Primero, enumeremos los controladores de dominio en nuestro entorno.

# List all DCs 
## Using PowerShell 
Get-ADDomainController -Filter * | Select-Object ` 
HostName, Site, OperatingSystem

## Using DSQUERY 
dsquery server -forest

Como puede ver a continuación, este bosque tiene dos controladores de dominio. Y sabemos que DC1 está muerto. Eso convierte a DC2 en nuestro candidato como nuevo propietario del rol de FSMO.

A continuación, enumere el propietario de las funciones de FSMO utilizando los comandos a continuación.

# List FSMO Roles owners 
## Using PowerShell 
Get-ADDomain | Select-Object PDCEmulator, InfrastructureMaster, RIDMaster 
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

## Using NETDOM 
netdom query fsmo

Como se confirmó, DC1 posee todos los roles de FSMO (emulador de PDC, maestro RID, maestro de infraestructura, maestro de nombres de dominio, maestro de esquema).

aprovechar los roles del controlador de dominio fallido

Cómo transferir roles de FSMO desde un controlador de dominio fallido

Puede asumir funciones de FSMO de tres maneras: PowerShell (Move-ADDirectoryServerOperationMasterRole), NTDSUTIL y la consola de usuarios y equipos de Active Directory (ADUC).

Aproveche los roles de FSMO paso a paso (ADUC)

Inicie sesión en el controlador de dominio que será el nuevo propietario de las funciones FSMO. En este ejemplo, ese servidor es DC2.

Una vez que haya iniciado sesión en DC2, abra la consola ADUC.

cómo aprovechar los roles fsmo del controlador de dominio inactivo

Haga clic en la Unidad organizativa de controladores de dominio (OU) y busque el controlador de dominio fallido (DC1). Haga clic con el botón derecho en el controlador de dominio fallido y haga clic en Borrar.

aprovechando los roles de fsmo de un servidor inactivo

Cuando se le solicite que confirme la eliminación, haga clic en .

transferir roles fsmo cuando dc está inactivo

Recibirá una advertencia de que está eliminando un controlador de dominio sin ejecutar el asistente de eliminación. Pero dado que estamos eliminando un controlador de dominio inactivo, marque la casilla para Eliminar este controlador de dominio de todos modos y haga clic Borrar.

aprovechar los roles de fsmo

Hacer clic para confirmar la eliminación de este controlador de dominio.

cómo aprovechar los roles fsmo

La eliminación detectará que DC1 es el propietario de los roles FSMO. Esas funciones de FSMO se transferirán al controlador de dominio adicional (DC2) cuando haga clic en Aceptar.

aprovechar los roles de controlador de dominio

Una vez que se elimine DC1, haga clic derecho en el dominio y haga clic en Maestros de operaciones.

cómo transferir roles fsmo cuando dc está inactivo

Ahora, haga clic en cada pestaña (RID, PDC e Infraestructura) y confirme que el maestro de operaciones es DC2.

aprovechar el papel de pdc

A continuación, abra la consola de Dominios y confianzas de Active Directory. Hacer clic Acciónmaestro de operaciones.

directorio activo toma roles fsmo

Confirme que DC2 es ahora el maestro de operaciones de nombres de dominio.

transferencia de roles fsmo

Ahora, verifiquemos el rol de maestro de esquema. Ejecute el siguiente comando en una ventana elevada de PowerShell para registrar la consola de administración de esquemas de Active Directory:

regsvr32 schmmgmt.dll

Hacer clic DE ACUERDO,

aprovechar los roles de fsmo paso a paso

A continuación, abra MMC y agregue el Esquema de directorio activo complemento

forzar transferencia de rol fsmo

Haga clic derecho en el Esquema de directorio activo nodo → Maestro de operaciones. Confirme que DC2 es el maestro de esquema actual.

tomando roles fsmo

Usando la GUI, ha asumido con éxito la función FSMO de un controlador de dominio fallido.

Aproveche los roles de FSMO paso a paso (PowerShell)

El método de PowerShell para asumir los roles de FSMO implica menos pasos que los demás, lo que lo convierte en un método de emergencia ideal para romper el cristal.

Inicie sesión en el controlador de dominio (DC2) y abra PowerShell como administrador.

A continuación, defina los roles a asumir. El siguiente código define todos los roles en una variable denominada $fsmoRoles.

$fsmoRoles = @( 
'SchemaMaster', 
'DomainNamingMaster', 
'InfrastructureMaster', 'PDCEmulator', 
'RIDMaster' 
)

También puede sustituir los nombres de los maestros de operaciones con sus números correspondientes.

Nombre del rol del maestro de operaciones Número
PDCEmulador 0
RIDMaster 1
InfraestructuraMáster 2
maestro de esquema 3
Maestro de nombres de dominio 4

Ejecute los siguientes comandos para mover los roles de FSMO a DC2.itbros.local con fuerza. El primer comando obtiene el objeto del controlador de dominio (Get-ADDomainController). El segundo comando ([Move-ADDirectoryServerOperationMasterRole](https://theitbros.com/transfer-fsmo-roles-using-powershell/)) transfiere los roles de FSMO:

$targetDC = Get-ADDomainController -Identity DC2.theitbros.local 
Move-ADDirectoryServerOperationMasterRole ` 
-Identity $targetDC ` 
-OperationMasterRole $fsmoRoles ` 
-Confirm:$false ` 
-Force

Si no hay errores ni resultados en la pantalla, la operación de movimiento del rol FSMO se completó con éxito.

aprovechar todos los roles fsmo

Para confirmar, verifiquemos el nuevo propietario de roles de FSMO.

Get-ADDomain | Format-List PDCEmulator, InfrastructureMaster, RIDMaster 
Get-ADForest | Format-List DomainNamingMaster, SchemaMaster

aprovechar los roles fsmo ntdsutil

Baste decir que el método PowerShell es rápido y conveniente.

Aprovechar los roles de FSMO paso a paso (NTDSUTIL)

En este último método, iremos a la vieja escuela. Este método es interactivo mediante la herramienta ntdsutil.

Abra PowerShell o el símbolo del sistema como administrador y ejecute el comando ntdsutil.

Luego, ingrese cada comando a continuación.

roles 
connections 
connect to server DC2 
q

forzar la transferencia de roles fsmo

Ejecute el siguiente comando para asumir la función FSMO de maestro de nombres.

seize naming master

Se le pedirá que confirme la incautación del rol. Verá este cuadro de diálogo de confirmación para cada rol de FSMO que esté adquiriendo. Hacer clic .

aprovechar la línea de comando de roles fsmo

NTDSUTIL primero intentará una transferencia de rol segura. Como era de esperar, la transferencia segura falla porque DC1 ya está muerto. Se procede a la incautación del papel en su lugar.

Como se muestra a continuación, NTDSUTIL se apoderó con éxito de la Maestro de nombres papel a DC2.

cómo mover roles fsmo

Ahora, ejecute cada comando a continuación para aprovechar los roles FSMO restantes.

seize infrastructure master 
seize rid master 
seize schema master 
seize pdc 
q

tomar roles fsmo

transferir roles fsmo

apoderarse de fsmo

aprovechar el papel de fsmo

Ahora, entremos en el modo de limpieza de metadatos.

metadata cleanup 
connections 
connect to server DC2 
q

mover roles fsmo

Enumere los sitios de Active Directory existentes:

select operation target 
list sites

Este dominio tiene solo un sitio de AD llamado ESTE DE EE. UU.. Escriba el número de sitio al que pertenece el controlador de dominio fallido. Luego, enumere los servidores en ese sitio.

select site 0 
list servers in site

fsmo aprovechar roles

Seleccione el controlador fallido (DC1) y muestre la lista de dominios:

select server 0 
list domains

Seleccione el dominio y regrese al menú de limpieza de metadatos:

select domain 0 
q

aprovechar las funciones del controlador de dominio

Eliminar el servidor seleccionado (DC1):

remove selected server

Y obtendrá este cuadro de diálogo de confirmación. Hacer clic .

apoderarse de fsmo

controlador de dominio toma roles fsmo

¡Uf! ¡Fueron muchos pasos! No creo que use ntdsutil a menudo para operaciones de roles FSMO.

Tareas de limpieza posteriores a la incautación de FSMO

Una vez que haya asumido con éxito los roles de FSMO, aquí hay algunas tareas que debe realizar.

Eliminar el controlador de dominio fallido

Puede eliminar el controlador de dominio de los sitios y servicios de Active Directory (dssite.msc).

comando para tomar roles fsmo

Hacer clic para confirmar la eliminación.

toma de roles fsmo

Eliminar registros DNS

Una vez que haya eliminado el objeto del controlador de dominio, asegúrese de eliminar los registros DNS que apuntan a ese DC.

Puede dejar que la limpieza de DNS se encargue de ello o eliminarlos manualmente mediante el administrador de DNS. En el siguiente ejemplo, la entrada DC1 DNS ya se eliminó automáticamente.

forzar la toma de roles fsmo

Comprobar errores

Después de capturar los roles de FSMO, compruebe si hay errores en los registros de servicios de directorio y DNS en el visor de eventos. Si hay problemas, use los siguientes comandos para ayudarlo a corregir los errores más comunes automáticamente.

dcdiag /v /fix 
netdiag /v /fix

Cosas a tener en cuenta

  • La adopción de una función FSMO solo debe realizarse como último recurso cuando un controlador de dominio que tiene una función FSMO falla y no se puede recuperar.
  • Asumir un rol de FSMO puede causar conflictos si el controlador de dominio original se recupera o vuelve a estar en línea.
  • Después de asumir un rol de FSMO, es crucial asegurarse de que el dominio sea completamente funcional y no tenga problemas.
  • Espere a que los cambios se repliquen en todo el bosque de AD.

Conclusión

En conclusión, asumir una función FSMO de un controlador de dominio fallido es una tarea crítica que debe realizarse con cuidado. Si sigue los pasos descritos en esta publicación de blog y está atento a los posibles problemas, puede asegurarse de que el dominio siga siendo completamente funcional incluso después de una falla del controlador de dominio.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *