Transferencia y apoderamiento de roles FSMO

Hola! Nuevamente estoy presente para compartir un tema de contingencia en el servicio de Directorio Activo. Como lo comentaba en el post anterior, en un ambiente de producción donde existan Controladores de dominios debe existir un plan de contingencia o de Disaster Recovery. Uno de los puntos necesarios para mantener un ambiente de Controladores de dominio tolerante a fallas es la distribución de roles FSMO así como un plan para la transferencia y apoderamiento de roles FSMO entre controladores de dominio. Algo muy común son las fallas de hardware en los DCs, es en estos momentos donde se transfieren o un DC se apodera de los roles FSMO.

Vamos a hablar un poco sobre los roles FSMO, son 5 roles FSMO, a nivel de dominio y de forest.

Schema Master: DC que se encarga de controlar todas las actualizaciones al esquema del forest. Por ejemplo cuando realizamos un forestprep para instalar Exchange o un adprep para hacer un updagre al dominio, este servidor se encarga de replicar los cambios a todos los DCs del forest. Este rol sólo lo posee un DC en el forest.
Domain Naming Master: Controla la remoción o adición de Controladores de dominio en el forest. Este servidor se encarga de controlar la remoción o adición en el Directorio. Este también puede remover las referencias con otros dominios externos. Sólo puede haber un DC que tenga este rol en el forest.
Infrastructure Master: Se encarga de la actualización del GUID, SID y DN de los obetos del Active Directory. Sólo debe haber un DC que contenga este rol en el dominio. Se recomienda que este rol no lo posea un DC que sea Global Catalog.
RID Master: es resposanble de asignar un SID a un objeto del Active Directory. Cuando creamos un usuario el RID Master se encarga de asignar un identificado que es el SID. Debe existir uno por dominio.
PDC Emulator: Se encarga de brindar el tiempo a los miembros del dominio. Esto permite que Kerberos funcione correctamente asignando los tickets para seguridad. El PDC también se encarga de la réplica de passwords, procesamiento de bloqueos de cuentas, la copia de la GPOs se realiza del directorio SYSVOL del PDC, finalmente cumple todas las funciones de un servidor PDC que corría en Windows NT 4.0.

Mayor información sobre los roles FSMO pueden ser hallados en: http://support.microsoft.com/kb/197132.

Transferencia de roles:

Escenario Inicial: Debemos realiza la transferencia de roles FSMO.

Escenario Final: Debe existir un balance de roles FSMO entre los 02 Controladores de dominio.

Pasos:

Ingresar al cmd desde un Controlador de dominio.
Ejecutar ntdsutil.
Escribir roles, luego connections.
En la opción Connections, luego escribir connect to server xxxxxx (nombre del servidor al cual se transferirán los roles). Escribir quit.
Para transferir los roles podemos escribir cualquiera de las 05 opciones:
transfer schema master.
transfer domain naming master.
transfer rid master.
transfer pdc.
transfer infrastructure master.
En esta ocasión transferiremos el rol RID Master:
Cada vez que se intente transferir un rol aparecerá un mensaje de información, debemos hacer clic en Aceptar.

Apoderamiento de roles:

Escenario Inicial: Apoderamiento de roles en un sólo servidor, debido a la falla de otro DC. Un DC debe apoderarse de todos los roles FSMO.

Ingresar al cmd desde el Controlador de dominio el cual se apoderará los roles FSMO.
Ejecutar ntdsutil.
Escribir roles, luego connections.
En la opción Connections, luego escribir connect to server xxxxxx (nombre del servidor el cual se apoderará los roles). Escribir quit.
Para realizar el apoderamientolos roles podemos escribir cualquiera de las 05 opciones:
seize schema master
seize domain naming master
seize rid master
seize pdc
seize infrastructure master.
Cada vez que se intente apoderarse de un rol aparecerá un mensaje de información, debemos hacer clic en Aceptar.
En esta ocasión nos apoderaremos de todos los roles FSMO.

Podemos comprobar que servidor posee los roles FSMO usando el siguiente comando: netdom query FSMO en Controladores de dominio con Windows 2003 y con Support Tools instalado. El Support Tools se encuentra en la unidad de CD: Unidad:\Support\Tools\suptools.msi.

También podemos realizar el movimiento de roles FSMO vía modo gráfico desde el AD users and computer.

Video:

Espero que este post sea de su ayuda!

5 comentarios:

Anónimo dijo...: Muy bueno el aticulo, una consulta el procedimiento es igual o algo mas hay que hacer en el caso que nuestro dc1 (Master DC)se muere y se necesita pasar los roles al dc02.; 15 de diciembre de 2007, 12:20
Jorge Córdova dijo...: Hola, lo que necesitas realizar en caso de que un DC maestro muera: Seize o apoderamiento de roles FSMO, y debes asegurarte que sea Global Catalog. Finalmente luego de que tu DC Master esta caído debes realizar una limpieza al Active Directory, usando ntdsutil. Este tema pronto lo prepararé y lo publicaré en el Blog, Saludos.; 15 de diciembre de 2007, 17:58
vitibull dijo...: excelente articulo, muchas gracias me fu e muy clarificador y de gran ayuda; 14 de enero de 2009, 14:32
Patricio dijo...: Un saludo a todos,tengo un problema: tengo un servidor de dominio migrado pero no se despromovio al antigua, quiero hacer una limpieza del servidor antiguo del servidor actual, cuales son los pasos exactos que tengo que seguir; 21 de enero de 2012, 20:34
Alvaro U. dijo...: Muy buena publicacion y sobre todo bien explicada...muchas gracias me sirvio bastante.; 23 de enero de 2014, 23:31