Windows Server 2012 R2: Cambiar o Reinstalar un Controlador de Dominio Que Funciona

Un tema recurrente que he visto muchas veces son las dudas sobre cómo cambiar o reinstalar un Controlador de Dominio, así que vamos a dedicarles dos notas consecutivas donde veremos el tema y sus posibilidades

En esta primera demostración demostraremos el procedimiento a realizar en un ambiente de un único Dominio con dos Controladores de Dominio, donde ambos funcionan correctamente pero se desea cambiar uno de ellos, sea por cambio de hardware, o inclusive podría ser también por cambio de versión del sistema operativo

En la siguiente nota, veremos lo mismo pero cuando uno de los Controladores de Dominio ha dejado de funcionar correctamente, o directamente se ha perdido y no se puede recuperar

Para esta demostración utilizaré solamente dos máquinas virtuales, ambas Controladores de Dominio, llamadas DC1 y DC2 del habitual Dominio utilizado en estas demostraciones “ad.guillermod.com.ar”
DC1 y DC2, ambos son Catálogo Global, y tienen el servicio DNS instalado y configurado

Parto de la situación donde DC1 tiene a su cargo los roles de Maestros de Operaciones (“FSMO Roles”), y que es justamente el que deseo cambiar

Teniendo solamente dos Controladores de Dominio, y si quiero cambiar los roles de Maestros de Operaciones (“FSMO Roles”) la única opción será moverlos desde DC1 a DC2, antes de hacer cualquier cambio

Como la transferencia de roles se hace siempre desde el Controlador de Dominio que los recibirá, comenzaré en DC2 con línea de comandos ejecutada como administrador

Lo primero a comprobar, es que efectivamente hasta el momento, DC1 tiene los 5 roles. Esto lo podemos ver muy fácilmente con el comando “NETDOM QUERY FSMO”

Luego procederemos con NTDSUTIL.EXE a mover los roles desde DC1 hacia DC2

Los comandos a ejecutar los he resaltado en amarillo, e inclusive he dejado líneas en blanco entre cada comando para que sea más fácil la lectura de la pantalla. En color anaranjado están las respuestas del sistema que nos interesa ver

Al llegar a la opción “fsmo maintenance” he utilizado la ayuda (“?”) para que me muestre los comandos disponibles

Por las dudas y por si no ven la pantalla con la suficiente claridad, los comandos ejecutados hasta ahora son:

  • NDTDSUTIL
  • ACTIVATE INSTANCE NTDS
  • ROLES
  • CONNECTIONS
  • CONNECT TO SERVER DC2
  • QUIT
  • ?

Resaltado en anaranjado podemos ver que los comandos para mover los roles son para cada uno de ellos “TRANSFER <NombreRol>”

Comenzaré moviendo el rol “Infrastructure Master” con el comando correspondiente y confirmando la operación

Si leemos la pantalla veremos que se ha movido (transferido) correctamente

De la misma forma procederemos a la transferencia de los cuatro roles restantes:

  • “Naming Master”
  • “PDC”
  • “RID Master”
  • “Schema Master”

Salimos de NTDSUTIL con el comando QUIT (dos veces) y podemos comprobar con “NETDOM QUERY FSMO” que los roles se han transferido, y ahora están en poder de DC2

 

[Nota Importante]
Al estar en un ambiente de demostración, continuaré el procedimiento, pero si fuera ambiente productivo, es el momento de apagar DC1 por un tiempo y verificar que los servicios que provee la red siguen funcionando correctamente
Si todo va bien, recién entonces volvemos a poner en línea a DC1 y ejecutamos los siguientes procedimientos

 

Los siguientes pasos los realizaremos en DC1, que es el Controlador de Dominio que deseamos quitar

No estando más disponible nuestro “viejo DCPROMO” la forma de quitar un Controlador de Dominio es desinstalando el servicio. Por lo tanto procedermos desde “Server Manager” como muestran las siguientes capturas de pantalla

Recién ahora nos indica que el Controlador de Dominio debe ser despromovido antes de quitar el rol. Lo hará automáticamente :)

Observen que en esta pantalla está la opción de forzar el proceso de despromoción. Esta opción la deberíamos marcar si el proceso fallara, aunque después deberemos hacer una “limpieza” en Active Directory. Este proceso lo veremos en la nota siguiente

Hay que esperar unos segundos hasta que el sistema verifica la comunicación con otro Controlador de Dominio, y permite seguir adelante sin forzar el procedimiento

Pide confirmación …

Y nos pedirá que ingresemos cuál será la contraseña del administrador local que quedará en el servidor, ya que esta máquina quedará como servidor miembro del Dominio

Una vez que DC1, ahora servidor miembro reinicia, podemos verificar en DC2 que la remoción se ha completado, y si debemos hacer algo más

Podemos ver que ya no está más la cuenta de máquina en la Unidad Organizativa “Domain Controllers”, sino que quedó en “Computers”

También podemos verificar que se han eliminado las registraciones de Controlador de Dominio de DC1 en la zona “_msdcs”

Pero si revisamos “Active Directory Sites and Services” veremos que ha quedado la máquina, procederemos a su eliminación, lo mismo para el correspondiente objeto replicación

 

En esta nota hemos visto el proceso de despromoción de un Controlador de Dominio, que funcionaba correctamente, pero que deseamos, por el motivo que sea reemplazarlo

Los pasos siguentes serían instalar, configurar y promover al nuevo Controlador de Dominio que reemplazará al que acabamos de sacar

Continuaremos en la siguiente nota “Windows Server 2012 R2: Cambiar o Reinstalar un Controlador de Dominio Que Se Ha Perdido

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Luison  On 16/06/2015 at 13:53

    Muchas gracias, muy bien explicado y redactado, si te digo la verdad, mucho mejor que en Technet, y no lo digo por el idioma.
    Un salu2 y seguiré visitando tu blog. Muchas gracias de nuevo.

  • Cristian Fontenla  On 16/05/2016 at 11:13

    Hola Gillermo, debo reemplazar 1 dominio 2003 por otro 2012R2 y ambos los tengo en produccion. El 2003 es DHCP y tiene todos los roles.. puedo seguir este tutorial sin problemas pero mi duda es que debo reemplazar la IP del nuevo servidor por la del antiguo ya que las maquinas de la empresa tienen configurado ese DNS manualmente.. (y estan el diferentes localidades conectadas a travez de VPN como para poder ajustar cada una)
    Primero libero la IP del 2003 para dejarla disponible y luego al ponerle al 2012 esa IP ya no puedo ingresar al DNS ni sincronizar los cambios en el contenedor de dominio porque me dice acceso denegado con mis credenciales de dominio. :( como si no se encontraran ambos DC en la red..
    Le hago un nslookup al dominio y me resuelve las nuevas IPs asignadas pero no paso mas de este punto…
    Podrias indicarme si es necesario primero pasar los roles antes de reemplazar las IPs o si estoy haciendo alguna otra cosa mal?

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: