¿Cómo transferir roles de FSMO usando PowerShell? – 2xsoftware

Cuando crea un nuevo dominio de Active Directory, todas las funciones de FSMO se asignan de forma predeterminada al primer controlador de dominio del bosque. Puede transferir roles de FSMO de un DC a otro mediante los complementos de gráficos de Active Directory y el símbolo del sistema de PowerShell.

Existen varias herramientas para administrar roles de FSMO en un dominio de AD: complementos de MMC, utilidad de línea de comandos Ntdsutil.exe y PowerShell. En nuestra opinión, PowerShell es la forma más conveniente de administrar los roles de AD FSMO en la actualidad. Los únicos inconvenientes son la sintaxis inusual. De lo contrario, solo hay cosas positivas, PowerShell le permite transferir o asumir roles con un solo comando.

Active Directory Domain Services tiene 5 roles especiales para los controladores de dominio denominados Operaciones de maestro único flexible (FSMO o Maestro de operaciones).

Los cinco roles de FSMO son:

  • maestro de esquema;
  • Maestro de nombres de dominio;
  • CDP;
  • maestro de grupo RID;
  • Máster en Infraestructura.

Los roles de FSMO se pueden asignar a un solo controlador de dominio o distribuirse entre diferentes DC, según sus requisitos. Puede mover la función FSMO entre controladores de dominio de una de las dos maneras:

  • Transferencia de roles — implica transferir una función del titular de la función original a un nuevo DC cuando ambos servidores están en línea y se consideran en buen estado. Las transferencias de roles ocurren cuando necesita retirar un controlador de dominio, realizar un mantenimiento de rutina en un servidor físico o hardware subyacente;
  • Incautación de roles — transferencia forzada de funciones de FSMO provocada por circunstancias inesperadas, como fallas o caídas del titular de la función.

Transferir funciones de FSMO mediante cmdlets de PowerShell mediante el módulo Active Directory de PowerShell tiene las siguientes ventajas:

  • No necesita conectarse con los complementos de MMC al propietario de la función de origen o de destino;
  • Transferir o asumir roles de FSMO no requiere una conexión con el propietario del rol actual o futuro. Puede ejecutar los cmdlets del módulo AD-PowerShell en un cliente de escritorio de Windows 10 o en un servidor miembro que ejecute Windows Server (con el paquete RSAT instalado);
  • Para asumir el rol de FSMO (si el propietario actual no está disponible), use el parámetro adicional -force.

Búsqueda de titulares de funciones de FSMO de Active Directory con PowerShell

Puede identificar los controladores de dominio con los roles de FSMO mediante la GUI del complemento de Active Directory, pero esto se puede verificar rápidamente mediante el símbolo del sistema y PowerShell.

Importe el módulo de Active Directory a la sesión actual de PowerShell:

Import-Module activedirectory

Consejo. En Windows Server 2012 o posterior, el módulo de Active Directory para PowerShell se carga de forma predeterminada.

Para obtener los titulares de funciones de FSMO a nivel de bosque en el dominio especificado (funciones de maestro de nombres de dominio y maestro de esquema), use el siguiente comando de PowerShell:

Get-ADForest contoso.com| ft DomainNamingMaster, SchemaMaster

Para ver los propietarios de roles de FSMO en todo el dominio (roles de maestro de infraestructura, emulador de PDC y maestro de RID):

Get-ADDomain contoso.com | ft InfrastructureMaster, PDCEmulator, RIDMaster

En este ejemplo, dc01.test.com tiene todos los roles de FSMO.

O puede obtener información sobre todos los roles en su AD usando la siguiente línea de PowerShell:

et-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object {$_.OperationMasterRoles}

Transferir funciones de FSMO mediante PowerShell

Para transferir roles FSMO entre controladores de dominio de Active Directory, use el cmdlet Move-ADDirectoryServerOperationMasterRole de PowerShell. El cmdlet Move-ADDirectoryServerOperationMasterRole permite mover uno o más roles maestros de operaciones a un nuevo servidor de directorio.

Para usar el cmdlet Move-ADDirectoryServerOperationMasterRole, su entorno debe cumplir con los siguientes requisitos:

  • Debe haber al menos un controlador de dominio con una versión de Windows Server 2008 R2 o posterior;
  • PowerShell 3.0 instalado o posterior;
  • Módulo de Active Directory importado (2.0 o posterior).

Compruebe si necesita actualizar la versión del esquema de Active Directory:

Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

mover roles fsmo powershell

En este caso, la objectVersion de AD es 87. Esto corresponde a la versión del esquema de AD en Windows Server 2016, por lo que podemos transferir los roles de FSMO desde PowerShell.

A diferencia del comando Ntdsutil, el cmdlet Move-ADDirectoryServerOperationMasteRole se puede ejecutar desde cualquier equipo de dominio.

Nota. Para migrar los roles de maestro de operaciones, su cuenta debe ser miembro de grupos de dominio privilegiados: administradores de dominio y administradores de empresa.

Por ejemplo, para transferir la función de emulador de PDC a un controlador de dominio denominado dc2, use el comando:

Move-ADDirectoryServerOperationMasterRole -Identity "dc2" PDCEmulator

Puede ejecutar este comando en cualquier controlador de dominio, incluido uno que no sea ni el antiguo ni el nuevo titular de la función.

Es posible transferir varios roles a la vez:

Move-ADDirectoryServerOperationMasterRole -Identity “dc2” –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster

Consejo. Para simplificar el uso del cmdlet Move-ADDirectoryServerOperationMasterRole, puede reemplazar los nombres de las funciones con números del 0 al 4. La correspondencia de nombres y números se proporciona en la siguiente tabla:

PDCEmulador 0
RIDMaster 1
InfraestructuraMáster 2
maestro de esquema 3
Maestro de nombres de dominio 4

Por lo tanto, el último comando puede ser reemplazado por uno más corto:

Move-ADDirectoryServerOperationMasterRole “dc2” –OperationMasterRole 0,1,2,3,4

PowerShell mover roles fsmo

¿Desea mover el rol ‘PDCEmulator’ al servidor ‘dc2.theitbros.loc’?

[Y] Sí [A] Sí a todo [N] No [L] No a todo [S] Suspender [?] Ayuda (el valor predeterminado es «Y»): A

Después de ingresar el comando de transferencia FSMO para todos o varios roles, aparece un mensaje que le pregunta si desea confirmar sus acciones o cancelarlas. Para transferir todos los roles, presione A > Entrar. Para omitir la confirmación, puede agregar el parámetro -Confirm:$false al comando anterior.

Puede mover las funciones de maestro de operaciones de todo el bosque a un servidor de directorio en un dominio diferente en el mismo bosque de AD.

Si desea ejecutar el comando de transferencia FSMO con otra cuenta de usuario, puede usar el parámetro -Credential:

$cred = Get-Credential
Move-ADDirectoryServerOperationMasterRole -OperationMasterRole SchemaMaster -Identity AD -Verbose -Force -Credential $cred

PowerShell transferir roles fsmo

Puede verificar si la tarea de transferencia se completó correctamente ejecutando los cmdlets Get-ADForest y Get-ADDomain nuevamente.

Si recibe un error de «Acceso denegado» cuando ejecuta Move-ADDirectoryServerOperationMasterRole, asegúrese de ser miembro del grupo Administradores de empresa. Agregue su cuenta a este grupo, cierre sesión y vuelva a iniciar sesión.

Move-ADDirectoryServerOperationMasterRole: acceso denegado

En línea: 1 carácter: 1

+ Move-ADDirectoryServerOperationMasterRole -Identidad dc01 …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo: No especificado: (dc02:ADDirectoryServer) [Move-ADDirector…ationMasterRole]Excepción de AD + Id. de error totalmente calificado: ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.MoveADDirectoryServerOperationMasterRole

Aprovechar roles de FSMO mediante PowerShell

Si el propietario actual de uno o todos los roles FSMO falla, puede recibir el siguiente error al intentar usar el cmdlet Move-ADDirectoryServerOperationMasterRole:

Move-ADDirectoryServerOperationMasterRole: el servicio de directorio no está disponible

En este caso, puede forzar la transferencia (apropiación) de roles FSMO usando la opción -Force:

Move-ADDirectoryServerOperationMasterRole -Identity “dc2” –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster –Force

Use el parámetro –force cuando se enfrente al error al mover los roles de FSMO usando los complementos gráficos:

No se puede realizar la transferencia de la función de maestro de operaciones porque: La operación FSMO solicitada falló. No se pudo contactar al actual titular de la función FSMO.

move-addirectoryserveroperationmasterrole

Al transferir o asumir los roles de FSMO, tenga en cuenta las siguientes restricciones:

  • No asigne la función de maestro de infraestructura a un controlador de dominio que sea un servidor de catálogo global, ya que no actualizará la información del objeto en el dominio. El motivo de este comportamiento es que el servidor de catálogo global mantiene réplicas parciales de todos los objetos del bosque;
  • Una vez que se han asumido las funciones de FSMO, el controlador de dominio desde el que se han asumido las funciones nunca debe conectarse al dominio. Asegúrese de eliminar este objeto de computadora DC de su dominio (consulte a continuación).

Para degradar un controlador de dominio después de asumir roles FSMO, debe borrar los metadatos en AD:

  1. Ejecute el complemento Usuarios y equipos de Active Directory (dsa.msc) con permisos de Administrador de dominio;
  2. Expanda el árbol de dominio y seleccione la Unidad de organización denominada controladores de dominio;
  3. Haga clic derecho en el DC y seleccione Borrar.
  4. Aparecerá una advertencia:

    Está intentando eliminar un controlador de dominio sin ejecutar el asistente de eliminación. Para eliminar correctamente el controlador de dominio del dominio, debe ejecutar el Asistente para eliminar funciones y características en el Administrador del servidor, o el Asistente para la instalación de servicios de dominio de Active Directory (DCPromo) para Windows Server 2008 r2 o anterior.

  5. Seleccione la casilla de verificación “Elimine este controlador de dominio de todos modos. Está permanentemente fuera de línea y ya no se puede eliminar con el asistente de eliminación” y haga clic en Eliminar;
    migrar roles fsmo powershell
  6. Luego limpie los metadatos del controlador de dominio eliminado en los sitios y servicios de Active Directory. Ejecute el dssite.msc complemento Localice el controlador de dominio dado de baja en la consola mmc, haga clic con el botón derecho en él y seleccione Borrar.

Pista. A partir de Windows Server 2008, los metadatos del controlador de dominio se limpian automáticamente después de eliminar el controlador de dominio mediante el complemento ADUC. En el servidor Windows Server 2003 o anterior, debe usar la herramienta ntdsutil cmd para realizar la limpieza de metadatos de Active Directory.

Como puede ver, PowerShell le permite realizar tareas de administración de roles de FSMO mucho más rápido y más fácil que las herramientas de Ntdsutil y los complementos de MMC.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *