¿Cómo aprovechar las funciones FSMO del controlador de dominio muerto? – TrucosInformaticos

Powershell

Las funciones de Operaciones maestras únicas flexibles (FSMO) son componentes críticos de un controlador de dominio de Active Directory. Son responsables de gestionar diversas operaciones dentro del dominio, incluida la creación y eliminación de objetos, actualizaciones de esquemas y cambio de nombre de dominio.

Si falla un controlador de dominio que desempeña una función FSMO, es crucial aprovechar el rol rápidamente para evitar interrupciones en el dominio.

Esta publicación de blog discutirá cómo asumir una función FSMO de un controlador de dominio fallido en Active Directory. Proporcionaremos instrucciones paso a paso y resaltaremos aspectos importantes a tener en cuenta durante el proceso.

El entorno

Este tutorial demostrará los ejemplos utilizando dos controladores de dominio.

  • DC1.theitbros.local – El controlador de dominio fallido que es el propietario actual de todas las funciones de FSMO.
  • DC2.theitbros.local – El controlador de dominio adicional al que transferiremos forzosamente los roles de FSMO.

Aparte de eso, su cuenta de administrador debe ser miembro de los siguientes grupos de Active Directory:

  • Administradores de dominio
  • Administradores de esquemas

Funciones de la FSMO: transferencia versus incautación

Las dos formas de reasignar roles de FSMO son transferir y aprovechar. En última instancia, ambos métodos transfieren las funciones de FSMO a otro DC.

  • Transferir — se utiliza para la degradación planificada de un controlador de dominio (por ejemplo, cuando se desmantela un servidor) o cuando un DC se desconecta temporalmente mientras se realizan tareas de mantenimiento.
  • Aprovechar — se utiliza cuando el servidor físico ha fallado (y no tiene una copia de seguridad de Active Directory actualizada de este DC para realizar una restauración no autorizada de los Servicios de dominio de Active Directory) o Windows Server tiene fallas; o después de haber degradado por la fuerza un controlador de dominio a un servidor miembro.

En resumen, puedes graciosamente mover (transferir) roles de FSMO de un DC en funcionamiento a otro o con fuerza agarrar (apoderarse) de los roles FSMO de un DC muerto.

Determinar las funciones de FSMO para el propietario

Nota. Los cmdlets de AD PowerShell están disponibles en el módulo de directorio activo 2.0 o posterior en controladores de dominio con Windows Server 2008 R2 o superior.

Supongamos que DC1 deja de funcionar y usted debe transferir las funciones FSMO que tiene a otro controlador de dominio. Es común tener roles FSMO en diferentes controladores de dominio. Por lo tanto, debe confirmar qué roles FSMO tiene el servidor inactivo.

Primero, enumeremos los controladores de dominio en nuestro entorno.

# List all DCs 
## Using PowerShell 
Get-ADDomainController -Filter * | Select-Object ` 
HostName, Site, OperatingSystem

## Using DSQUERY 
dsquery server -forest

Como puede ver a continuación, este bosque tiene dos controladores de dominio. Y sabemos que DC1 está muerto. Eso convierte a DC2 en nuestro candidato como nuevo propietario del rol de FSMO.

A continuación, enumere el propietario de las funciones de FSMO utilizando los siguientes comandos.

# List FSMO Roles owners 
## Using PowerShell 
Get-ADDomain | Select-Object PDCEmulator, InfrastructureMaster, RIDMaster 
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

## Using NETDOM 
netdom query fsmo

Como se confirmó, DC1 posee todas las funciones de FSMO (emulador de PDC, maestro de RID, maestro de infraestructura, maestro de nombres de dominio, maestro de esquema).

tomar roles del controlador de dominio fallido

Cómo transferir funciones FSMO desde un controlador de dominio fallido

Puede asumir roles FSMO de tres maneras: PowerShell (Move-ADDirectoryServerOperationMasterRole), NTDSUTIL y la consola de Usuarios y Computadoras de Active Directory (ADUC).

Aproveche los roles de FSMO paso a paso (ADUC)

Inicie sesión en el controlador de dominio que será el nuevo propietario de las funciones FSMO. En este ejemplo, ese servidor es DC2.

Una vez que haya iniciado sesión en DC2, abra la consola ADUC.

cómo aprovechar los roles fsmo del controlador de dominio inactivo

Haga clic en la Unidad organizativa (OU) de controladores de dominio y busque el controlador de dominio fallido (DC1). Haga clic derecho en el DC fallido y haga clic Borrar.

aprovechando roles fsmo de un servidor inactivo

Cuando se le solicite confirmar la eliminación, haga clic en .

transferir roles fsmo cuando DC está inactivo

Recibirá una advertencia indicando que está eliminando un controlador de dominio sin ejecutar el asistente de eliminación. Pero como vamos a eliminar un controlador de dominio inactivo, marque la casilla para Eliminar este controlador de dominio de todos modos y haga clic Borrar.

aprovechar roles fsmo

Hacer clic para confirmar la eliminación de este controlador de dominio.

cómo aprovechar los roles de fsmo

La eliminación detectará que DC1 es el propietario de los roles FSMO. Esas funciones de FSMO se transferirán al controlador de dominio adicional (DC2) cuando haga clic en Aceptar.

tomar roles de controlador de dominio

Una vez que se elimina DC1, haga clic derecho en el dominio y haga clic en Maestros de operaciones.

cómo transferir roles fsmo cuando DC está inactivo

Ahora, haga clic en cada pestaña (RID, PDC e Infraestructura) y confirme que el maestro de operaciones sea DC2.

asumir el papel de pdc

A continuación, abra la consola Dominios y confianzas de Active Directory. Hacer clic AcciónMaestro de operaciones.

directorio activo toma roles fsmo

Confirme que DC2 sea ahora el maestro de operaciones de nombres de dominio.

transferencia de roles fsmo

Ahora, verifiquemos la función de Schema Master. Ejecute el siguiente comando en una ventana elevada de PowerShell para registrar la consola de administración de esquemas de Active Directory:

regsvr32 schmmgmt.dll

Hacer clic DE ACUERDO,

aprovechar los roles de fsmo paso a paso

A continuación, abra MMC y agregue el Esquema de Directorio Activo complemento.

forzar la transferencia de roles de fsmo

Haga clic derecho en Esquema de Directorio Activo nodo → Maestro de operaciones. Confirme que DC2 sea el maestro de esquema actual.

aprovechando roles fsmo

Con la GUI, ha obtenido con éxito la función FSMO de un controlador de dominio fallido.

Aproveche los roles de FSMO paso a paso (PowerShell)

El método PowerShell para asumir las funciones de FSMO implica menos pasos que los demás, lo que lo convierte en un método ideal de emergencia para romper vidrios.

Inicie sesión en el controlador de dominio (DC2) y abra PowerShell como administrador.

A continuación, defina los roles a asumir. El siguiente código define todos los roles en una variable denominada $fsmoRoles.

$fsmoRoles = @( 
'SchemaMaster', 
'DomainNamingMaster', 
'InfrastructureMaster', 'PDCEmulator', 
'RIDMaster' 
)

También se pueden sustituir los nombres de los maestros de operaciones por sus números correspondientes.

Nombre del rol del maestro de operaciones Número
PDCEmulador 0
RIDMaster 1
Maestro de Infraestructura 2
Maestro de esquemas 3
DominioNamingMaster 4

Ejecute los siguientes comandos para mover las funciones de FSMO a DC2.itbros.local con fuerza. El primer comando obtiene el objeto del controlador de dominio (Get-ADDomainController). El segundo comando ([Move-ADDirectoryServerOperationMasterRole](https://theitbros.com/transfer-fsmo-roles-using-powershell/)) transfiere las funciones de FSMO:

$targetDC = Get-ADDomainController -Identity DC2.theitbros.local 
Move-ADDirectoryServerOperationMasterRole ` 
-Identity $targetDC ` 
-OperationMasterRole $fsmoRoles ` 
-Confirm:$false ` 
-Force

Si no hay errores ni resultados en la pantalla, la operación de movimiento de rol FSMO se completó con éxito.

aprovechar todos los roles de fsmo

Para confirmar, verifiquemos el nuevo propietario de roles FSMO.

Get-ADDomain | Format-List PDCEmulator, InfrastructureMaster, RIDMaster 
Get-ADForest | Format-List DomainNamingMaster, SchemaMaster

aprovechar los roles de fsmo ntdsutil

Baste decir que el método PowerShell es rápido y conveniente.

Aproveche los roles de FSMO paso a paso (NTDSUTIL)

En este último método, usaremos la vieja escuela. Este método es interactivo utilizando la herramienta ntdsutil.

Abra PowerShell o el símbolo del sistema como administrador y ejecute el comando ntdsutil.

A continuación, ingrese cada comando a continuación.

roles 
connections 
connect to server DC2 
q

transferencia de fuerza roles fsmo

Ejecute el siguiente comando para asumir la función de maestro de nombres FSMO.

seize naming master

Se le pedirá que confirme la asignación del rol. Verá este cuadro de diálogo de confirmación para cada función de FSMO que esté asumiendo. Hacer clic .

aprovechar la línea de comando de roles fsmo

NTDSUTIL primero intentará una transferencia de rol segura. Como era de esperar, la transferencia segura falla porque DC1 ya está muerto. En cambio, se procede a la toma del papel.

Como se muestra a continuación, NTDSUTIL aprovechó con éxito el Maestro de nombres papel para DC2.

cómo mover roles fsmo

Ahora, ejecute cada comando a continuación para asumir los roles restantes de FSMO.

seize infrastructure master 
seize rid master 
seize schema master 
seize pdc 
q

aprovechar los roles de fsmo

transferir roles fsmo

aprovechar fsmo

aprovechar el papel de fsmo

Ahora, ingresemos al modo de limpieza de metadatos.

metadata cleanup 
connections 
connect to server DC2 
q

mover roles fsmo

Enumere los sitios de Active Directory existentes:

select operation target 
list sites

Este dominio tiene solo un sitio AD llamado ESTE-EE.UU.. Escriba el número del sitio al que pertenece el controlador de dominio fallido. Luego, enumere los servidores de ese sitio.

select site 0 
list servers in site

fsmo toma roles

Seleccione el controlador fallido (DC1) y muestre la lista de dominios:

select server 0 
list domains

Seleccione el dominio y regrese al menú de limpieza de metadatos:

select domain 0 
q

asumir roles de controlador de dominio

Eliminar el servidor seleccionado (DC1):

remove selected server

Y obtendrá este cuadro de diálogo de confirmación. Hacer clic .

captura de fsmo

El controlador de dominio toma roles fsmo

¡Uf! ¡Fueron muchos pasos! No creo que use ntdsutil con frecuencia para operaciones de roles FSMO.

Tareas de limpieza posteriores a las incautaciones de FSMO

Una vez que haya asumido con éxito los roles de FSMO, aquí hay algunas tareas que debe realizar.

Eliminar el controlador de dominio fallido

Puede eliminar el DC de los sitios y servicios de Active Directory (dssite.msc).

comando para tomar roles fsmo

Hacer clic para confirmar la eliminación.

apoderarse de roles fsmo

Eliminar registros DNS

Una vez que haya eliminado el objeto del controlador de dominio, asegúrese de eliminar los registros DNS que apuntan a ese DC.

Puede dejar que la eliminación de DNS se encargue de ello o eliminarlos manualmente utilizando el administrador de DNS. En el siguiente ejemplo, la entrada DNS DC1 ya se elimina automáticamente.

fuerza para apoderarse de los roles de fsmo

Comprobar errores

Después de capturar las funciones de FSMO, verifique si hay errores en los servicios de directorio y los registros de DNS en el Visor de eventos. Si hay problemas, utilice los siguientes comandos para ayudarle a corregir los errores más comunes automáticamente.

dcdiag /v /fix 
netdiag /v /fix

Cosas a tener en cuenta

  • La asunción de una función FSMO solo debe realizarse como último recurso cuando un controlador de dominio que tiene una función FSMO falla y no se puede recuperar.
  • Asumir una función de FSMO puede causar conflictos si el controlador de dominio original se recupera o se vuelve a poner en línea.
  • Después de asumir un rol de FSMO, es fundamental asegurarse de que el dominio sea completamente funcional y no tenga problemas.
  • Espere a que los cambios se repliquen en todo el bosque de AD.

Conclusión

En conclusión, asumir una función FSMO de un controlador de dominio fallido es una tarea crítica que debe realizarse con cuidado. Si sigue los pasos descritos en esta publicación de blog y está atento a posibles problemas, puede asegurarse de que el dominio siga siendo completamente funcional incluso después de una falla en el controlador de dominio.

4/5 - (31 votos)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *