Windows Server 2012 (R2): Crear un Dominio – “FSMO Roles”: Ver, Mover y Apoderarse (Novedades)

Y seguimos con esta serie de notas progresando con nuestro entorno de pruebas. Específicamente en esta demostración veremos diferentes formas de ver cuál Controlador de Dominio tiene cada uno de los “FSMO Roles” (Maestros de Operaciones), cómo moverlos de un servidor a otro, y describiremos cómo forzar que un Controlador de Dominio, en caso de no poder moverlo, se apropie del mismo

Como veremos, esta última opción ya no será necesaria en la mayoría de los casos; hay novedades que pasan casi desapercibidas

Continuo con la misma infraestructura que estamos usando en las notas anteriores, todas las que comienzan con “Crear Dominio: …), o sea que utilizaremos DC1.ad.guillermod.com.ar y DC2.ad.guillermod.com.ar

Primero vamos a ver cómo podemos ver qué Controlador de Dominio tiene cada uno de los “FSMO Roles” (Maestros de Operaciones)

La funcionalidad de cada uno de ellos está descripta en:

Comenzaré con la forma complicada, como es la interfaz gráfica

Si en “Active Directory Users and Computers” usamos botón derecho sobre el nombre del Dominio nos aparecerá la opción “Operations Masters”

Donde podremos ver cuál es el “RID Master”

Cuál es el “PDC Emulator”

Y el “Infrastructure Master”

De lo anterior hemos visto los tres FSMO que son por cada Dominio, nos falta los dos restantes que son por Bosque (“Forest”)

Debemos abrir ahora “Active Directory Domain and Trusts” y con botón derecho sobre la raíz de la consola

Podremos ver cuál es el “Domain Naming Master”

Para poder ver cuál es el “Schema Master” debemos hacer una configuración adicional: debemos registrar una DLL para poder crear la consola “Active Directory Schema”

Si no registráramos esta DLL no aparecería el correspondiente complemento

Debemos ejecutar como administradores: REGSVR32 SCHMMGMT.DLL

Ahora sí, ya podemos crear la consola correspondiente

Y análogamente a los casos anteriores con botón derecho elegiremos “Operations Masters”

Todo lo anterior fue la forma difícil :)

Todo es mucho más rápido y eficiente si usamos la línea de comandos y ejecutamos: NETDOM QUERY FSMO

 

Veremos ahora como transferir o mover los “FSMO Roles” de un Controlador de Dominio a otro. Para poder hacer esto hay que tener en cuenta dos cosas:

  • Ambos Controladores de Dominio deben estar en línea y conectarse perfectamente
  • Debemos poner el foco de la consola que usemos en el Controlador de Dominio destino de la funcionalidad

Haré la demostración sólo sobre uno de los roles, ya que para cualquier otro el procedimiento es totalmente análogo

Por ejemplo, si abrimos “Active Directory Users and Computers” con botón derecho elegimos la opción “Change Domain Controller …” podremos cambiar el foco de la consola

Debemos seleccionar al Controlador de Dominio al cual le deseemos asignar el rol, DC2 en mi caso

E ingresando nuevamente a la ficha correspondiente en “Operations Masters” usando el botón “Change” hacer el cambio

Confirmamos la operación

Y ya está

De análoga forma se pasaría cualquier otro de los “FSMO Roles”

Siempre podemos verificar desde línea de comandos

 

Por supuesto que este transpaso de roles también se puede hacer desde línea de comandos, aunque en este caso no es un único comando, tampoco es complicado

Debemos abrir la línea de comandos (CMD.EXE) como administradores y utilizar el comando NTDSUTIL.EXE

La secuencia que debemos ejecutar primeramente es:

NTDSUTIL
ACTIVATE INSTANCE NTDS
ROLES
CONNECTIONS
CONNECT TO SERVER <NombreDCDestino>
QUIT

Y si usamos la ayuda (?) podremos ver los comandos disponibles

Para cada uno de los roles tenemos las opciones “Transfer” y “Seize”

Si queremos mover un rol de una máquina a otra debemos utilizar “Transfer” que siempre es la mejor opción

La opción “Seize” que podemos traducir como “apoderarse” la debemos ejecutar únicamente como recomienda Microsoft, si el Controlador de Dominio que originalmente tiene el rol no está disponible y no va a volver nunca más a la red

 

Y ahora la novedad, aunque la veremos en detalle en la siguiente nota: a diferencia de lo que sucedía con versiones anteriores, si se elimina un Controlador de Dominio de Active Directory, pero “por las malas”, esto es, borrando la cuenta de un Controlador de Dominio que no existe más, automáticamente alguno restante asume la funcionalidad

Comento con un poco más de detalle. En la próxima nota voy a mostrar cómo eliminar una cuenta de Controlador de Dominio, que no está presente ni puede recuperarse. Esto anteriormente implicaba que había que apoderarse de los roles que tenía esta máquina, pero actualmente esto se hace en forma automática

Cuando borré la cuenta de DC2, como veremos en la nota próxima, vi que automáticamente DC1 había asumido el rol que tenía DC2

 

Continuaremos en la próxima nota con el procedimiento a ejecutar en caso de tener que reemplazar un Controlador de Dominio que no podemos recuperar desde una copia de seguridad

 

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: