En caso de que el controlador de dominio, que tiene roles FSMO (Operación maestra única flexible), falle (ataque de virus, problemas fatales de software o falla catastrófica de hardware, etc.), debe transferir los roles FSMO de un dominio fallido a otro (adicional). controlador (para el correcto funcionamiento del dominio de Active Directory). Considere este tutorial sobre cómo hacerlo.
¿Cómo aprovechar los roles de FSMO de un controlador de dominio inactivo?
Supongamos que tenemos dos controladores de dominio de Windows Server 2012 R2 en nuestro dominio de Active Directory.
-
PDC: dc1.root.contoso.com;
- DC secundario: dc2.root.contoso.com.
Después de la falla de DC1, debemos transferir los roles de FSMO de DC1 a un controlador de dominio secundario. Luego, en DC2, debemos eliminar todas las referencias al controlador antiguo dc1.root.contoso.com.
Hay dos formas de reasignar funciones de FSMO en Active Directory:
- Transferir funciones de FSMO — se usa para la degradación planificada de un controlador de dominio (por ejemplo, cuando retira un servidor) o cuando un controlador de dominio se desconecta temporalmente mientras realiza tareas de mantenimiento en un servidor físico;
- Aprovechar los roles de FSMO — se usa cuando el servidor físico ha fallado (y usted no tiene una copia de seguridad actualizada de Active Directory de este DC para realizar una restauración no autorizada de los servicios de dominio de Active Directory) o Windows Server está defectuoso; o después de haber degradado por la fuerza un controlador de dominio a un servidor miembro mediante el comando dcpromo /forceremoval.
¡Importante! Antes de comenzar, asegúrese de que su cuenta sea miembro de los siguientes grupos de AD: Administradores de dominio y Administradores de esquema.
Conéctese a un DC2 y ejecute un símbolo del sistema elevado (se recomienda realizar todos los pasos en el controlador de dominio al que desea transferir las funciones de FSMO). Asegúrese de que haya dos controladores de dominio en este dominio:
dsquery server -forest
Luego verifique qué controlador de dominio es el propietario de los roles FSMO:
netdom query fsmo
Puede ver que el propietario de todos los roles de FSMO es dc1.root.contoso.com.
Nota. Cuando crea un nuevo dominio de Active Directory, todas las funciones de FSMO se asignan al primer controlador de dominio del bosque.
La transferencia de roles se realiza mediante la herramienta de consola NTDSUTIL (herramienta de gestión y servicio ADDS).
Nota. Los administradores deben tener especial cuidado al asumir funciones de FSMO. Debe asumir el rol de FSMO solo como último recurso, cuando no pueda respaldar su antiguo DC con el rol de FSMO en línea. Si el controlador de dominio que aloja la función FSMO no está disponible temporalmente, no se preocupe. Su red de Active Directory sobrevivirá sin ella durante uno o dos días.
Antes de transferir las funciones de FSMO en el controlador de dominio adicional, debe registrar la biblioteca de administración de esquemas de Active Directory. En caso de que no lo haga, no podrá transferir la función de maestro de esquema. En el símbolo del sistema, ejecute:
regsvr32 schmmgmt.dll
Ahora está listo para asumir los roles de un DC1 fallido. Ejecute el símbolo del sistema como administrador y ejecute el siguiente comando:
ntdsutil
Cambie al espacio de nombres de administración de funciones y conéctese al servidor (DC2), que asumirá las funciones:
roles connections connect to server DC2 q
Después de conectarse al servidor DC2, asuma las 5 funciones de FSMO:
seize naming master seize infrastructure master seize rid master seize schema master seize pdc q
Durante la asunción de cada función, se le pedirá que confirme.
Diálogo de confirmación de toma de rol
¿Desea que el servidor dc2 asuma el rol de nombre de dominio con el valor a continuación?
Ingrese al modo de limpieza de metadatos y conéctese al servidor (DC2):
metadata cleanup connections connect to server DC2 q
Enumere los sitios de Active Directory existentes:
select operation target list sites
Este dominio tiene solo un sitio de AD llamado Boulder. Seleccione un sitio, que se encuentra en el controlador de dominio fallido DC1, y muestre una lista de controladores de dominio en el sitio:
select site 0 list servers in site
Seleccione el controlador fallido (DC1) y muestre la lista de dominios:
select server 0 list domains
Seleccione el dominio y regrese al menú de limpieza de metadatos:
Insinuación. La limpieza de metadatos en Active Directory solo debe realizarse en versiones anteriores de Windows Server. En Windows Server 2012 R2 y posteriores, basta con eliminar la cuenta del controlador de dominio mediante el complemento ADUC gráfico.
select domain 0 q
Eliminar el servidor seleccionado (DC1):
remove selected server
En el cuadro de diálogo "¿Está seguro de que desea eliminar el objeto de servidor...", confirme la eliminación de un controlador de dominio.
Ahora necesitamos limpiar el AD de las entradas restantes en el DC1 eliminado.
Abre el Herramientas administrativas > Sitios y servicios de Active Directory complemento (dssite.msc). Expanda el sitio que contiene el DC1 eliminado, selecciónelo y elija Borrar. Confirme la eliminación de un DC1 dos veces.
Luego, abra el complemento DNS mmc (dnsmgmt.msc) y elimine los registros PTR y A restantes del servidor DC1.
Ahora, abra el complemento mmc de usuarios y equipos de Active Directory (dsa.msc) y expanda la unidad organizativa (OU) de "Controladores de dominio". Si solo se muestra DC2 allí, entonces todo está bien. Y si DC1 está presente en ese contenedor, debe eliminarlo de Active Directory (poco probable, pero compruébelo).
Por lo tanto, tomamos los roles de FSMO de fuerza de DC1 y eliminamos por completo sus entradas del DNS y Active Directory. DC2 se convirtió en el controlador de dominio principal (el propietario de todos los roles de FSMO).
Aprovechar roles de FSMO mediante PowerShell
El módulo de PowerShell de Active Directory tiene un cmdlet especial que hace que sea mucho más fácil asumir roles de FSMO sin usar la herramienta ntdsutil. El cmdlet Move-ADDirectoryServerOperationMasterRole se puede usar para transferir o asumir roles FSMO desde cualquier controlador de dominio.
Insinuación. El cmdlet Move-ADDirectoryServerOperationMasterRole está disponible en el módulo Active Directory 2.0 o posterior en controladores de dominio con Windows Server 2008 R2 o superior.
Importe el módulo ActiveDirectory a su sesión de PowerShell:
Import-Module ActiveDirectory
Utilice los siguientes comandos para averiguar qué DC tiene el rol de FSMO en su bosque de AD:
Get-ADDomain | Select PDCEmulator, RIDMaster, InfrastructureMaster | Format-List Get-ADForest | Select SchemaMaster, DomainNamingMaster | Format-List
El siguiente comando de PowerShell se usa para asumir roles de FSMO desde el controlador de dominio no operativo original a un controlador de dominio operativo diferente:
Move-ADDirectoryServerOperationMasterRole -Identity dc02 –OperationMasterRole 0,1,2,3,4 -Force
- -Identidad — especifica el DC de destino al que se debe asignar la función FSMO
- -OperationMasterRole — aquí se indica qué roles de FSMO transferir (puede usar los números de rol o sus nombres de la tabla a continuación)
- -Fuerza — el parámetro se usa para asumir los roles de FSMO cuando el controlador de dominio de origen está fuera de línea
Para aceptar el tipo de transferencia de roles UN > Entrar.
| Nombre del rol del maestro de operaciones | Número |
| PDCEmulador | 0 |
| RIDMaster | 1 |
| InfraestructuraMáster | 2 |
| maestro de esquema | 3 |
| Maestro de nombres de dominio | 4 |
Si se asumen las funciones de FSMO, el controlador de dominio que anteriormente poseía esas funciones nunca debería volver a conectarse y comunicarse con el controlador de dominio existente en el bosque de AD. De lo contrario, surgirá un conflicto que puede causar serios problemas en el dominio.
Después de capturar los roles de FSMO, compruebe si hay errores en los registros de servicios de directorio y DNS en el visor de eventos. Si tiene problemas, primero use los siguientes comandos para ayudarlo a corregir los errores más comunes automáticamente:
dcdiag /v /fix netdiag /v /fix
Una vez que haya completado la toma de las funciones de FSMO, debe cerrar el símbolo del sistema y esperar a que los cambios se repliquen en todo el bosque de AD. La transferencia de roles FSMO desde el controlador de dominio fallido ahora está completa.
Recomendado para ti
Artículos relacionados:
REVISIÓN: No se pudo contactar con un controlador de…- Cómo instalar un controlador de dominio secundario…
- Cómo permitir el escritorio remoto (RDP) para…
- REVISIÓN: El valor de LmCompatibilityLevel vuelve a…
- REVISIÓN: No se puede conectar a Synology NAS desde…
- Corrección: no se puede conectar al escritorio…
