1,6K
Las funciones de Operaciones maestras únicas flexibles (FSMO) son componentes críticos de un controlador de dominio de Active Directory. Son responsables de gestionar diversas operaciones dentro del dominio, incluida la creación y eliminación de objetos, actualizaciones de esquemas y cambio de nombre de dominio.
Si falla un controlador de dominio que desempeña una función FSMO, es crucial aprovechar el rol rápidamente para evitar interrupciones en el dominio.
Esta publicación de blog discutirá cómo asumir una función FSMO de un controlador de dominio fallido en Active Directory. Proporcionaremos instrucciones paso a paso y resaltaremos aspectos importantes a tener en cuenta durante el proceso.
El entorno
Este tutorial demostrará los ejemplos utilizando dos controladores de dominio.
- DC1.theitbros.local – El controlador de dominio fallido que es el propietario actual de todas las funciones de FSMO.
- DC2.theitbros.local – El controlador de dominio adicional al que transferiremos forzosamente los roles de FSMO.
Aparte de eso, su cuenta de administrador debe ser miembro de los siguientes grupos de Active Directory:
- Administradores de dominio
- Administradores de esquemas
Funciones de la FSMO: transferencia versus incautación
Las dos formas de reasignar roles de FSMO son transferir y aprovechar. En última instancia, ambos métodos transfieren las funciones de FSMO a otro DC.
- Transferir — se utiliza para la degradación planificada de un controlador de dominio (por ejemplo, cuando se desmantela un servidor) o cuando un DC se desconecta temporalmente mientras se realizan tareas de mantenimiento.
- Aprovechar — se utiliza cuando el servidor físico ha fallado (y no tiene una copia de seguridad de Active Directory actualizada de este DC para realizar una restauración no autorizada de los Servicios de dominio de Active Directory) o Windows Server tiene fallas; o después de haber degradado por la fuerza un controlador de dominio a un servidor miembro.
En resumen, puedes graciosamente mover (transferir) roles de FSMO de un DC en funcionamiento a otro o con fuerza agarrar (apoderarse) de los roles FSMO de un DC muerto.
Determinar las funciones de FSMO para el propietario
Nota. Los cmdlets de AD PowerShell están disponibles en el módulo de directorio activo 2.0 o posterior en controladores de dominio con Windows Server 2008 R2 o superior.
Supongamos que DC1 deja de funcionar y usted debe transferir las funciones FSMO que tiene a otro controlador de dominio. Es común tener roles FSMO en diferentes controladores de dominio. Por lo tanto, debe confirmar qué roles FSMO tiene el servidor inactivo.
Primero, enumeremos los controladores de dominio en nuestro entorno.
# List all DCs ## Using PowerShell Get-ADDomainController -Filter * | Select-Object ` HostName, Site, OperatingSystem ## Using DSQUERY dsquery server -forest
Como puede ver a continuación, este bosque tiene dos controladores de dominio. Y sabemos que DC1 está muerto. Eso convierte a DC2 en nuestro candidato como nuevo propietario del rol de FSMO.
A continuación, enumere el propietario de las funciones de FSMO utilizando los siguientes comandos.
# List FSMO Roles owners ## Using PowerShell Get-ADDomain | Select-Object PDCEmulator, InfrastructureMaster, RIDMaster Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster ## Using NETDOM netdom query fsmo
Como se confirmó, DC1 posee todas las funciones de FSMO (emulador de PDC, maestro de RID, maestro de infraestructura, maestro de nombres de dominio, maestro de esquema).
Cómo transferir funciones FSMO desde un controlador de dominio fallido
Puede asumir roles FSMO de tres maneras: PowerShell (Move-ADDirectoryServerOperationMasterRole), NTDSUTIL y la consola de Usuarios y Computadoras de Active Directory (ADUC).
Aproveche los roles de FSMO paso a paso (ADUC)
Inicie sesión en el controlador de dominio que será el nuevo propietario de las funciones FSMO. En este ejemplo, ese servidor es DC2.
Una vez que haya iniciado sesión en DC2, abra la consola ADUC.
Haga clic en la Unidad organizativa (OU) de controladores de dominio y busque el controlador de dominio fallido (DC1). Haga clic derecho en el DC fallido y haga clic Borrar.
Cuando se le solicite confirmar la eliminación, haga clic en Sí.
Recibirá una advertencia indicando que está eliminando un controlador de dominio sin ejecutar el asistente de eliminación. Pero como vamos a eliminar un controlador de dominio inactivo, marque la casilla para Eliminar este controlador de dominio de todos modos y haga clic Borrar.
Hacer clic Sí para confirmar la eliminación de este controlador de dominio.
La eliminación detectará que DC1 es el propietario de los roles FSMO. Esas funciones de FSMO se transferirán al controlador de dominio adicional (DC2) cuando haga clic en Aceptar.
Una vez que se elimina DC1, haga clic derecho en el dominio y haga clic en Maestros de operaciones.
Ahora, haga clic en cada pestaña (RID, PDC e Infraestructura) y confirme que el maestro de operaciones sea DC2.
A continuación, abra la consola Dominios y confianzas de Active Directory. Hacer clic Acción → Maestro de operaciones.
Confirme que DC2 sea ahora el maestro de operaciones de nombres de dominio.
Ahora, verifiquemos la función de Schema Master. Ejecute el siguiente comando en una ventana elevada de PowerShell para registrar la consola de administración de esquemas de Active Directory:
regsvr32 schmmgmt.dll
Hacer clic DE ACUERDO,
A continuación, abra MMC y agregue el Esquema de Directorio Activo complemento.
Haga clic derecho en Esquema de Directorio Activo nodo → Maestro de operaciones. Confirme que DC2 sea el maestro de esquema actual.
Con la GUI, ha obtenido con éxito la función FSMO de un controlador de dominio fallido.
Aproveche los roles de FSMO paso a paso (PowerShell)
El método PowerShell para asumir las funciones de FSMO implica menos pasos que los demás, lo que lo convierte en un método ideal de emergencia para romper vidrios.
Inicie sesión en el controlador de dominio (DC2) y abra PowerShell como administrador.
A continuación, defina los roles a asumir. El siguiente código define todos los roles en una variable denominada $fsmoRoles.
$fsmoRoles = @( 'SchemaMaster', 'DomainNamingMaster', 'InfrastructureMaster', 'PDCEmulator', 'RIDMaster' )
También se pueden sustituir los nombres de los maestros de operaciones por sus números correspondientes.
Nombre del rol del maestro de operaciones | Número |
---|---|
PDCEmulador | 0 |
RIDMaster | 1 |
Maestro de Infraestructura | 2 |
Maestro de esquemas | 3 |
DominioNamingMaster | 4 |
Ejecute los siguientes comandos para mover las funciones de FSMO a DC2.itbros.local con fuerza. El primer comando obtiene el objeto del controlador de dominio (Get-ADDomainController). El segundo comando ([Move-ADDirectoryServerOperationMasterRole](https://theitbros.com/transfer-fsmo-roles-using-powershell/)) transfiere las funciones de FSMO:
$targetDC = Get-ADDomainController -Identity DC2.theitbros.local Move-ADDirectoryServerOperationMasterRole ` -Identity $targetDC ` -OperationMasterRole $fsmoRoles ` -Confirm:$false ` -Force
Si no hay errores ni resultados en la pantalla, la operación de movimiento de rol FSMO se completó con éxito.
Para confirmar, verifiquemos el nuevo propietario de roles FSMO.
Get-ADDomain | Format-List PDCEmulator, InfrastructureMaster, RIDMaster Get-ADForest | Format-List DomainNamingMaster, SchemaMaster
Baste decir que el método PowerShell es rápido y conveniente.
Aproveche los roles de FSMO paso a paso (NTDSUTIL)
En este último método, usaremos la vieja escuela. Este método es interactivo utilizando la herramienta ntdsutil.
Abra PowerShell o el símbolo del sistema como administrador y ejecute el comando ntdsutil.
A continuación, ingrese cada comando a continuación.
roles connections connect to server DC2 q
Ejecute el siguiente comando para asumir la función de maestro de nombres FSMO.
seize naming master
Se le pedirá que confirme la asignación del rol. Verá este cuadro de diálogo de confirmación para cada función de FSMO que esté asumiendo. Hacer clic Sí.
NTDSUTIL primero intentará una transferencia de rol segura. Como era de esperar, la transferencia segura falla porque DC1 ya está muerto. En cambio, se procede a la toma del papel.
Como se muestra a continuación, NTDSUTIL aprovechó con éxito el Maestro de nombres papel para DC2.
Ahora, ejecute cada comando a continuación para asumir los roles restantes de FSMO.
seize infrastructure master seize rid master seize schema master seize pdc q
Ahora, ingresemos al modo de limpieza de metadatos.
metadata cleanup connections connect to server DC2 q
Enumere los sitios de Active Directory existentes:
select operation target list sites
Este dominio tiene solo un sitio AD llamado ESTE-EE.UU.. Escriba el número del sitio al que pertenece el controlador de dominio fallido. Luego, enumere los servidores de ese sitio.
select site 0 list servers in site
Seleccione el controlador fallido (DC1) y muestre la lista de dominios:
select server 0 list domains
Seleccione el dominio y regrese al menú de limpieza de metadatos:
select domain 0 q
Eliminar el servidor seleccionado (DC1):
remove selected server
Y obtendrá este cuadro de diálogo de confirmación. Hacer clic Sí.
¡Uf! ¡Fueron muchos pasos! No creo que use ntdsutil con frecuencia para operaciones de roles FSMO.
Tareas de limpieza posteriores a las incautaciones de FSMO
Una vez que haya asumido con éxito los roles de FSMO, aquí hay algunas tareas que debe realizar.
Eliminar el controlador de dominio fallido
Puede eliminar el DC de los sitios y servicios de Active Directory (dssite.msc).
Hacer clic Sí para confirmar la eliminación.
Eliminar registros DNS
Una vez que haya eliminado el objeto del controlador de dominio, asegúrese de eliminar los registros DNS que apuntan a ese DC.
Puede dejar que la eliminación de DNS se encargue de ello o eliminarlos manualmente utilizando el administrador de DNS. En el siguiente ejemplo, la entrada DNS DC1 ya se elimina automáticamente.
Comprobar errores
Después de capturar las funciones de FSMO, verifique si hay errores en los servicios de directorio y los registros de DNS en el Visor de eventos. Si hay problemas, utilice los siguientes comandos para ayudarle a corregir los errores más comunes automáticamente.
dcdiag /v /fix netdiag /v /fix
Cosas a tener en cuenta
- La asunción de una función FSMO solo debe realizarse como último recurso cuando un controlador de dominio que tiene una función FSMO falla y no se puede recuperar.
- Asumir una función de FSMO puede causar conflictos si el controlador de dominio original se recupera o se vuelve a poner en línea.
- Después de asumir un rol de FSMO, es fundamental asegurarse de que el dominio sea completamente funcional y no tenga problemas.
- Espere a que los cambios se repliquen en todo el bosque de AD.
Conclusión
En conclusión, asumir una función FSMO de un controlador de dominio fallido es una tarea crítica que debe realizarse con cuidado. Si sigue los pasos descritos en esta publicación de blog y está atento a posibles problemas, puede asegurarse de que el dominio siga siendo completamente funcional incluso después de una falla en el controlador de dominio.