Ahora que ya sabemos lo que son los FSMO roles, vamos a ver cómo podemos transferirlos o moverlos entre los DCs que tengamos, lo haremos de forma gráfica, por cmd y a través de PowerShell. En nuestro entorno teníamos todos los FSMO roles en el DC1, así pues, lo que vamos a hacer es:
- Los moveremos gráficamente al DC2.
- Una vez en DC2, los moveremos a DC1 vía cmd.
- Una vez en DC1, los moveremos de nuevo al DC2 vía PowerShell.
En general, tenemos que tener en cuenta, como ya habíamos explicado, que la acción de «coger» los roles la hace el DC de destino, por lo tanto, tenemos dos opciones: o bien lanzar las consolas directamente desde el DC de destino, o bien lanzar las consolas desde el DC de origen pero conectándonos con ellas al DC de destino.
Moviendo o transfiriendo los FSMO Roles de forma gráfica:
Desde AD Users and Computers podemos mover los tres FSMO a nivel de dominio: RID, PDC e Infrastructure Master:
- Estando ubicados en DC1, abrimos ADUC (Active Directory Users and Computers) y nos conectamos al DC2:
Seleccionamos el DC2:
Una vez conectados al DC2, hacemos click en propiedades del dominio y vamos a «Operations Masters…»:
Aquí tenemos los tres FSMO roles a nivel de dominio, vemos quien lo tiene y a dónde lo vamos a mover:
Hacemos click en Change… para cada uno de ellos y confirmamos:
Una vez movidos los tres, quedarán así:
Podemos comprobar también que efectivamente se han movido con el comando netdom query fsmo:
Para mover los FSMO Roles a nivel de bosque (Domain Naming Master y Schema Master) tenemos que utilizar dos consolas diferentes:
- Moviendo el Domain Naming Master: Desde el DC1 abrimos la consola AD Domains and Trusts, esta consola siempre se conecta al DC con el FSMO Rol de PDC, de hecho, al abrirla una vez hemos movido el PDC al DC2, ya nos conecta directamente con el DC2:
Como antes, vamos a «Operations Master…» y le damos a «Change…» para mover el rol al DC2:
Confirmamos y cerramos:
Si queremos lo podemos comprobar de nuevo con netdom query fsmo:
- Moviendo el Schema Master: para poder hacerlo tenemos que registrar previamente la dll «schmmgmt.dll», para ello abriremos una mmc:
Aquí tendremos que añadir el Snap-in de AD Schema, pero como podemos ver, si no registramos la dll previamente, no disponemos de ese Snap-in:
Sólo después de registrar la dll «schmmgmt.dll» podremos cargar el Snap-in de AD Schema, para ello ejecutamos desde cmd como administrador :
> regsvr32 schmmgmt.dll
Una vez registrada, ya podemos ver nuestro Snap-in:
La añadimos:
Nos conectamos al DC2:
Y movemos el «Schema Master»:
Como antes decimos que sí y confirmamos:
Comprobando que ya tenemos todos los FSMO en nuestro DC2:
Moviendo o transfiriendo los FSMO roles desde cmd:
Ahora que tenemos todos los FSMO roles en DC2, nos vamos a DC1 . Haremos uso de la herramienta «ntdsutil».
Ésta es la secuencia de comandos que tendremos que escribir (XX sería en nuestro ejemplo el DC1):
Ntdsutil
Roles
Connections
Connect to server XX
Q
Transfer naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master
Q
Q
Es más fácil verlo con unas imágenes, traten de identificar los comandos que voy lanzando y la información que nos va dando el programa ntdsutil:
Una vez movidos todos los FSMO, salimos y comprobamos (en las imágenes sólo he mostrado el «Naming Master» y el «Infrastructure Master» pero los he movido todos):
Moviendo o transfiriendo los FSMO roles vía PowerShell:
Es la forma más sencilla y rápida, y tiene una ventaja sobre los otros dos métodos: no necesitamos conectarnos al futuro FSMO Owner (ni por consola ni físicamente), podemos hacerlo desde cualquier servidor miembro con el modulo de AD cargado o incluso desde un SO cliente con las RSAT instaladas:
Import-module ActiveDirectory
El comando para mover todos los FSMO roles sería:
Move-ADDirectoryServerOperationMasterRole -Identity DC2 PDCEmulator,RIDMaster,DomainNamingMaster,SchemaMaster,InfrastructureMaster
Y lo comprobamos:
Como curiosidad… los FSMO roles también se pueden especificar por número:
| PDCEmulator | 0 |
| RIDMaster | 1 |
| InfrastructureMaster | 2 |
| SchemaMaster | 3 |
| DomainNamingMaster | 4 |
Por lo que también se podrían mover así:
Move-ADDirectoryServerOperationMasterRole -Identity DC1 0,1,2,3,4
«Seize» de los FSMO roles:
Hemos estado viendo las distintas opciones que tenemos para mover o transferir los FSMO roles. Pero hay veces que el DC que posee alguno de los FSMO ya no está disponible por el motivo que sea (no replica, no arranca, etc..), en este caso, podemos optar por hacer lo que se llama un «seize» de los FSMO, que no es más que forzar su transferencia. Para ello, deberemos de apagar o desconectar de la red el DC que tenga el FSMO el cual vamos a hacer «seize», para no volverlo a arrancar y que pueda contactar con el dominio (habría que formatearlo o desconectarlo de la red).
Si lo hacemos con PowerShell deberemos lanzar el comando anterior con el switch -Force:
También se puede hacer un «seize» desde cmd con ntdsutil escribiendo seize "rol" (en vez de transfer "rol" que hacíamos antes), donde rol es «naming master», «infrastructure master», «PDC», etc…
Siempre trataremos de hacer un «transfer» antes que un «seize». El «seize» siempre sería la última opción, es preferible tratar de recuperar el DC que posee los FSMO roles e intentar despromocionarlo primero para luego hacer un «transfer»; que hacer un «seize», eliminar el DC y hacer una limpieza manual posterior de DNS, conectores, réplicas, etc… en el resto de DCs. Aunque ya sabemos que, a veces, es inevitable. 🙂
Esto ha sido todo por hoy, un saludo y ¡gracias por leernos!
Deja una respuesta