En caso de que el controlador de dominio, que tiene roles FSMO (Operación maestra única flexible), falle (ataque de virus, problemas fatales de software o falla catastrófica de hardware, etc.), debe transferir los roles FSMO de un dominio fallido a otro (adicional). controlador (para el correcto funcionamiento del dominio de Active Directory). Considere este tutorial sobre cómo hacerlo.

¿Cómo aprovechar los roles de FSMO de un controlador de dominio inactivo?

Supongamos que tenemos dos controladores de dominio de Windows Server 2012 R2 en nuestro dominio de Active Directory.

  • PDC: dc1.root.contoso.com;

  • DC secundario: dc2.root.contoso.com.

Después de la falla de DC1, debemos transferir los roles de FSMO de DC1 a un controlador de dominio secundario. Luego, en DC2, debemos eliminar todas las referencias al controlador antiguo dc1.root.contoso.com.

Hay dos formas de reasignar funciones de FSMO en Active Directory:

  • Transferir funciones de FSMO — se usa para la degradación planificada de un controlador de dominio (por ejemplo, cuando retira un servidor) o cuando un controlador de dominio se desconecta temporalmente mientras realiza tareas de mantenimiento en un servidor físico;
  • Aprovechar los roles de FSMO — se usa cuando el servidor físico ha fallado (y usted no tiene una copia de seguridad actualizada de Active Directory de este DC para realizar una restauración no autorizada de los servicios de dominio de Active Directory) o Windows Server está defectuoso; o después de haber degradado por la fuerza un controlador de dominio a un servidor miembro mediante el comando dcpromo /forceremoval.

¡Importante! Antes de comenzar, asegúrese de que su cuenta sea miembro de los siguientes grupos de AD: Administradores de dominio y Administradores de esquema.

Conéctese a un DC2 y ejecute un símbolo del sistema elevado (se recomienda realizar todos los pasos en el controlador de dominio al que desea transferir las funciones de FSMO). Asegúrese de que haya dos controladores de dominio en este dominio:

dsquery server -forest

aprovechar los roles fsmo del controlador de dominio inactivo

Luego verifique qué controlador de dominio es el propietario de los roles FSMO:

netdom query fsmo

Puede ver que el propietario de todos los roles de FSMO es dc1.root.contoso.com.

Nota. Cuando crea un nuevo dominio de Active Directory, todas las funciones de FSMO se asignan al primer controlador de dominio del bosque.

cómo aprovechar los roles fsmo de un dc muerto

La transferencia de roles se realiza mediante la herramienta de consola NTDSUTIL (herramienta de gestión y servicio ADDS).

Nota. Los administradores deben tener especial cuidado al asumir funciones de FSMO. Debe asumir el rol de FSMO solo como último recurso, cuando no pueda respaldar su antiguo DC con el rol de FSMO en línea. Si el controlador de dominio que aloja la función FSMO no está disponible temporalmente, no se preocupe. Su red de Active Directory sobrevivirá sin ella durante uno o dos días.

Antes de transferir las funciones de FSMO en el controlador de dominio adicional, debe registrar la biblioteca de administración de esquemas de Active Directory. En caso de que no lo haga, no podrá transferir la función de maestro de esquema. En el símbolo del sistema, ejecute:

regsvr32 schmmgmt.dll

aprovechar los roles de fsmo

Ahora está listo para asumir los roles de un DC1 fallido. Ejecute el símbolo del sistema como administrador y ejecute el siguiente comando:

ntdsutil

Cambie al espacio de nombres de administración de funciones y conéctese al servidor (DC2), que asumirá las funciones:

roles

connections

connect to server DC2

q

el controlador de dominio principal falló

Después de conectarse al servidor DC2, asuma las 5 funciones de FSMO:

seize naming master

seize infrastructure master

seize rid master

seize schema master

seize pdc

q

Durante la asunción de cada función, se le pedirá que confirme.

forzar transferencia de rol fsmo

Diálogo de confirmación de toma de rol

¿Desea que el servidor dc2 asuma el rol de nombre de dominio con el valor a continuación?

Ingrese al modo de limpieza de metadatos y conéctese al servidor (DC2):

metadata cleanup

connections

connect to server DC2

q

Enumere los sitios de Active Directory existentes:

select operation target

list sites

transferir roles fsmo cuando dc está inactivo

Este dominio tiene solo un sitio de AD llamado Boulder. Seleccione un sitio, que se encuentra en el controlador de dominio fallido DC1, y muestre una lista de controladores de dominio en el sitio:

select site 0

list servers in site

apoderarse del maestro de esquema

Seleccione el controlador fallido (DC1) y muestre la lista de dominios:

select server 0

list domains

Seleccione el dominio y regrese al menú de limpieza de metadatos:

Insinuación. La limpieza de metadatos en Active Directory solo debe realizarse en versiones anteriores de Windows Server. En Windows Server 2012 R2 y posteriores, basta con eliminar la cuenta del controlador de dominio mediante el complemento ADUC gráfico.

select domain 0 q

Eliminar el servidor seleccionado (DC1):

remove selected server

En el cuadro de diálogo "¿Está seguro de que desea eliminar el objeto de servidor...", confirme la eliminación de un controlador de dominio.

aprovechando los roles de fsmo de un servidor inactivo

Ahora necesitamos limpiar el AD de las entradas restantes en el DC1 eliminado.

Abre el Herramientas administrativas > Sitios y servicios de Active Directory complemento (dssite.msc). Expanda el sitio que contiene el DC1 eliminado, selecciónelo y elija Borrar. Confirme la eliminación de un DC1 dos veces.

cómo aprovechar los roles fsmo

Luego, abra el complemento DNS mmc (dnsmgmt.msc) y elimine los registros PTR y A restantes del servidor DC1.

Ahora, abra el complemento mmc de usuarios y equipos de Active Directory (dsa.msc) y expanda la unidad organizativa (OU) de "Controladores de dominio". Si solo se muestra DC2 allí, entonces todo está bien. Y si DC1 está presente en ese contenedor, debe eliminarlo de Active Directory (poco probable, pero compruébelo).

apoderarse de fsmo

Por lo tanto, tomamos los roles de FSMO de fuerza de DC1 y eliminamos por completo sus entradas del DNS y Active Directory. DC2 se convirtió en el controlador de dominio principal (el propietario de todos los roles de FSMO).

Aprovechar roles de FSMO mediante PowerShell

El módulo de PowerShell de Active Directory tiene un cmdlet especial que hace que sea mucho más fácil asumir roles de FSMO sin usar la herramienta ntdsutil. El cmdlet Move-ADDirectoryServerOperationMasterRole se puede usar para transferir o asumir roles FSMO desde cualquier controlador de dominio.

Insinuación. El cmdlet Move-ADDirectoryServerOperationMasterRole está disponible en el módulo Active Directory 2.0 o posterior en controladores de dominio con Windows Server 2008 R2 o superior.

Importe el módulo ActiveDirectory a su sesión de PowerShell:

Import-Module ActiveDirectory

Utilice los siguientes comandos para averiguar qué DC tiene el rol de FSMO en su bosque de AD:

Get-ADDomain | Select PDCEmulator, RIDMaster, InfrastructureMaster | Format-List

Get-ADForest | Select SchemaMaster, DomainNamingMaster | Format-List

El siguiente comando de PowerShell se usa para asumir roles de FSMO desde el controlador de dominio no operativo original a un controlador de dominio operativo diferente:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 –OperationMasterRole 0,1,2,3,4  -Force
  • -Identidad — especifica el DC de destino al que se debe asignar la función FSMO
  • -OperationMasterRole — aquí se indica qué roles de FSMO transferir (puede usar los números de rol o sus nombres de la tabla a continuación)
  • -Fuerza — el parámetro se usa para asumir los roles de FSMO cuando el controlador de dominio de origen está fuera de línea

Para aceptar el tipo de transferencia de roles UN > Entrar.

forzar la transferencia de roles fsmo

Nombre del rol del maestro de operaciones Número
PDCEmulador 0
RIDMaster 1
InfraestructuraMáster 2
maestro de esquema 3
Maestro de nombres de dominio 4

Si se asumen las funciones de FSMO, el controlador de dominio que anteriormente poseía esas funciones nunca debería volver a conectarse y comunicarse con el controlador de dominio existente en el bosque de AD. De lo contrario, surgirá un conflicto que puede causar serios problemas en el dominio.

Después de capturar los roles de FSMO, compruebe si hay errores en los registros de servicios de directorio y DNS en el visor de eventos. Si tiene problemas, primero use los siguientes comandos para ayudarlo a corregir los errores más comunes automáticamente:

dcdiag /v /fix

netdiag /v /fix

Una vez que haya completado la toma de las funciones de FSMO, debe cerrar el símbolo del sistema y esperar a que los cambios se repliquen en todo el bosque de AD. La transferencia de roles FSMO desde el controlador de dominio fallido ahora está completa.

Recomendado para ti

RebajasBestseller No. 1
Rii X1 Mini Teclado inalámbrico 2.4GHz con ratón táctil, Control Remoto.Mini Wireless Keyboard - Compatible con Smart TV, Mini PC Android, Playstation, Xbox, HTPC, PC, Raspberry Pi (Layout español)
  • Manejable, portable, elegante y moderno. Un gran accesorio para tu ordenador portátil y de sobremesa, para PS3 o para Wii videoconsolas
  • Dispositivo inalámbrico 2.4 Ghz con receptor integrado. (Para Samsung TV, nuestro producto no funciona con la mayoría de ellos, pero si su TV es compatible con teclado, también es compatible con nuestro producto.)
  • Es el primer mando en incluir el diseño Touchpad 90º Flip-Design, para usar el touchpad tanto en vertical como en horizontal.
  • Con un touchpad real, como el de un Notebook. Diseño del teclado QWERTY. Control multimedia de Windows. Además de un control perfecto de otras características multimedia de tu ordenador.
  • Requerimientos del Sistema: Windows 2000, Windows XP, Windows Vista, Windows CE, Windows 7, Linux.¡OJO! Si tiene algún problema mientras usándolo, primero recárgalo completamente después probarlo otra vez. Si sigue teniendo problema, contáctanos mediante el mensaje de comrpador porfa.
RebajasBestseller No. 2