Mover roles FSMO entre servidores de Active Directory

Os dejo un artículo que es bastante claro sobre que son los roles FSMO de AD y como moverlos de un servidor a otro:

Los  roles son:

Rol Descripción
Schema Master El servidor que posea este rol es el encargado de controlar las modificaciones y actualizaciones al schema. Solo puede haber uno por forest.
Domain naming master Controla la adición o remoción de dominios al forest
Infraestructure Master actualiza las referencias de objetos desde su propio dominio con otros dominios del forest. Solo puede haber uno por dominio (al mismo tiempo)
Relative ID (RID) Master Procesa el pool de requerimientos RID de los servidores del dominio. Solo puede haber uno por dominio (al mismo tiempo)
PDC Emulator Es el servidor que se publica a si mismo como un PDC (primary domain controller) para estaciones de trabajo utilizando versiones de windows anteriores a Windows XP o Windows 2000. Además es el que actua como Master Browser. Solo uno por dominio.

Utilidades

El movimiento de roles FSMO puede hacerse con la utilidad de comando Ntdsutil.exe o con los snap-in de la consola MMC. Si el servidor que posee el rol ya no existe, entonces debe usarse la utilidad de línea de comando para tomar el rol.

Para ver que servidor (o servidores) posee los roles FSMO, puede utilizarse la utilidad netdom de la siguiente forma:

C:\Documents and Settings\Administrator>netdom query fsmo pdc.midominio
Schema owner pdc.midominio
Domain role owner pdc.midominio
PDC role pdc.midominio
RID pool manager pdc.midominio
Infrastructure owner pdc.midominio
Infrastructure owner pdc.midominio
The command completed successfully.

Transferir Schema Master rol

  1. Primero debe registrase la librería “schmmgmt.dll“, para esto ejecutar en una ventana de comando (o en el cuadro de diálogo “Ejecutar” ) el comando C:\Windows\System32\regsvr32 schmmgmt.dll
  2. Luego abrir la consola ejecutando “mmc”. En el menú “File“, seleccionar “Add/Remove snap-in”. Seleccionar “Add” y elegir“Active Directory Schema”Add, Close Ok.
  3. En el árbol de la consola, hacer click derecho sobre “Active Directory Schema” y seleccionar “Change Domain Controller”
  4. Tipear el nombre del servidor que será el nuevo poseedor del rol Schema Master.
  5. En el árbol de la consola, hacer click derecho sobre “Active Directory Schema” y seleccionar “Operations Master”
  6. Seleccionar “Change”
  7. Confirmar y cerrar la consola.

Transferir Domain Naming Master rol:

  1. Ejecutar “Active Directory Domain and Trusts” en Herramientas Administrativas.
  2. Botón derecho sobre el nodo “Active Directory Domain and Trusts” y seleccionar “Connect to Domain Controller”
  3. Seleccionar el servidor al que se va a transferir el rol
  4. Nuevamente botón derecho sobre el nodo “Active Directory Domain and Trusts” y seleccionar “Opeartions Master “
  5. Seleccionar “Change” y confirmar.

Transferir el resto de los roles

  1. Ejecutar “Active Directory Users and Computers ” en Herramientas Administrativas.
  2. Botón derecho sobre el nodo “Active Directory Users and Computers” y seleccionar “Connect to Domain Controller”
  3. Seleccionar el servidor al que se va a transferir el rol
  4. Nuevamente botón derecho sobre el nodo “Active Directory Users and Computers” y seleccionar “Opeartions Master “
  5. Elegir cada una de las pestañas del rol a transferir y hacer click en “Change”
  6. Confirmar la operación .

Microsoft nos da una serie de recomendaciones sobre la distribución de roles entre varios servidores:

  • Ubique las funciones del emulador de PDC y de RID en el mismo controlador de dominio. También es más fácil mantener el seguimiento de las funciones de FSMO si las agrupa en menos equipos.Si la carga del FSMO principal justifica un cambio, ubique las funciones de emulador de controlador de dominio principal y de RID en controladores de dominio independientes del mismo dominio y sitio de Active Directory que sean asociados de replicación directos entre sí.
  • Como regla general, el maestro de infraestructura debería ser un servidor de catálogo que no fuera global y que tuviera un objeto de conexión directa con algún catálogo global del bosque, preferentemente en el mismo sitio de Active Directory. Dado que el servidor de catálogo global contiene una réplica parcial de cada objeto del bosque, el maestro de infraestructura, si se ubica en un servidor de catálogo global, nunca actualizará nada, porque no tiene ninguna referencia a los objetos que no contiene. Hay dos excepciones a la regla “no ubicar el maestro de infraestructura en un servidor de catálogo global”:
    • Bosque de dominio único:En un bosque que contiene un único dominio de Active Directory, no hay ningún fantasma y por tanto el maestro de infraestructura no tiene ningún trabajo que hacer. El maestro de infraestructura se puede ubicar en cualquier controlador de dominio del dominio, independientemente de si hospeda el catálogo global o no.
    • Un bosque con varios dominios donde cada controlador de dominio de un dominio contiene el catálogo global:Si cada controlador de dominio de un dominio que forma parte de un bosque con varios dominios también hospeda el catálogo global, no hay ningún fantasma ni ningún trabajo que el maestro de infraestructura tenga que realizar. El maestro de infraestructura se puede ubicar en cualquier controlador de dominio de ese dominio.
  • En el bosque, las funciones de maestro de esquema y maestro de nombres de dominio se deben ubicar en el mismo controlador de dominio ya que se utilizan en muy pocas ocasiones y se deben controlar muy de cerca. Además, el FSMO del maestro de nombres de dominio también debería ser un servidor de catálogo global. Se producirá un error en ciertas operaciones que utilizan el maestro de nombres de dominio, como crear dominios secundarios de otros secundarios, si éste no es el caso.En un bosque en Windows Server 2003 del nivel funcional del bosque, no tiene que ubicar el maestro de nombres de dominio en un catálogo global.

Y, lo que es más importante, confirme que todas las funciones FSMO están disponibles mediante una de las consolas de administración (como Dsa.msc o Ntdsutil.exe).

 

Fuente: http://novatechinfo.com/docs/fsmo.php

Más info mover roles: Microsoft

Más info recomendaciones distribución roles: Microsoft

Esta entrada fue publicada en Sin categoría. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s