Categoría: Windows 2003

Publicado el

Recordando los 5 Maestros, FSMO, los 5 Roles

Recientemente me han preguntado como transferir algún rol por linea de comando….. me han pillado, ya que es algo que como no se hace, se olvida. Pues me dije vamos a aprovechar el blog para tener siempre a mano los maestros que siempre se nos olvidan. Repasemos:
 

1 empecemos

Hay cinco funciones Flexible Single Master Operations (FSMO) en un bosque de Windows 2003. Hay dos maneras de transferir una función FSMO en Windows 2003. En este artículo se describe cómo transferir las cinco funciones FSMO utilizando complementos de Microsoft Management Console (MMC). Las cinco funciones FSMO son:

1.1.              Maestros

  • Maestro de esquema
  • Maestro de nombres de dominio
  • Maestro de infraestructura
  • Maestro RID
  • Emulador de PDC

1.2.              Comando para listar los roles

Desde una consola en cualquier DC:
#:\netdom query fsmo

2.   Descripción

2.1.              Maestro de esquema:

uno por bosque.
El titular de la función FSMO de maestro de esquema es el controlador de dominio responsable de realizar las actualizaciones al esquema del directorio.

2.2.              Maestro de nombres de dominio:

uno por bosque.
El titular de la función FSMO de maestro de nombres de dominio es el DC responsable de realizar los cambios al espacio de nombres de dominio para todo el bosque del directorio.

2.3.              Maestro de infraestructura:

uno por dominio.
El titular de la función FSMO de maestro de infraestructura es el DC responsable de actualizar el SID y el nombre completo de un objeto en una referencia entre objetos de diferentes dominios.

2.4.              Maestro RID:

uno por dominio.
El titular de la función FSMO de maestro RID es el único DC responsable de procesar las peticiones de grupos RID de todos los DC de un dominio dado.

2.5.              Emulador de PDC:

uno por dominio.
El titular de la función FSMO de emulador de PDC es un DC de Windows 2003 que se anuncia a sí mismo como el controlador principal de dominio (PDC) a las estaciones de trabajo, los servidores miembro y los controladores de dominio de versiones anteriores. También es el examinador principal de dominio y se ocupa de las discrepancias en las contraseñas.
Microsoft Knowledge Base = http://support.microsoft.com/kb/197132/

3.   Transferir funciones de FSMO con herramientas de MMC

Puede transferir las cinco funciones de FSMO mediante la herramienta MMC en Windows 2003. Para que una transferencia se pueda realizar, ambos equipos deben estar disponibles en conexión y se realizara con la consola adecuada desde el Servidor que queremos que asuma el Rol.
Si un equipo ya no existe, su función debe transferirse a otro equipo diferente. Para asumir una función, debe emplear una utilidad denominada Ntdsutil.
(http://support.microsoft.com/kb/255504/) Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio

3.1. Transferir funciones específicas del dominio: RID, PDC y maestro de infraestructura

o      Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
o      Haga clic con el botón secundario del mouse en el icono Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones.
o      En el cuadro de diálogo Cambiar el maestro de operaciones, haga clic en la ficha adecuada (RID, PDC o Infraestructura) para la función que desea transferir.
o      Haga clic en Cambiar en el cuadro de diálogo Cambiar el maestro de operaciones .
o      Haga clic en Aceptar para confirmar que desea transferir la función.

3.2. Transferir la función de maestro de nombres de dominio

o      Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Dominios y confianzas de Active Directory.
o      Haga clic con el botón secundario del mouse en el icono Dominios y confianzas de Active Directory y, a continuación, haga clic en Maestros de operaciones.
o      En el cuadro de diálogo Cambiar el maestro de operaciones, haga clic en Cambiar.
o      Haga clic en Aceptar para confirmar que desea transferir la función.



5. Migrar los roles por linea de comando

Captura de pantalla 2013-02-03 a la(s) 23.31.27
Si en vez de hacerlo siguiendo todos los pasos largos de lo anterior, podemos hacerlo todo por comandos, para ello, desde el servidor destino (el nuevo, el que tendrá los roles), abrimos una ventana de MSDOS y ejecutamos «ntdsutil», damos a enter; el siguiente comando a escribir es «roles», damos a Enter. Después escribimos «connections» y damos de nuevo al Enter. Después, nos conectamos al servidor que queremos que tenga los roles, ponemos «connect to server NOMBRE_SERVIDOR», damos a Enter; salimos poniendo «q» y damos de nuevo a Enter. Ahora escribimos el rol que nos interese mover a este servidor, siempre precedido de la palabra «transfer», y los cinco roles serían: «domain naming master», «infraestructure master», «PDC», «RID master» y «schema master». Habría que ejecutar el comando con todos los roles (o sea, cinco veces) y a la pregunta que nos haga si estamos seguros o no, decimos que «Sí».

      5.  Forzar migración de roles en caso de errores en lo anterior:


Si tenemos algún problema con el Directorio Activo o por lo que sea el servidor origen de alguna función ya no existe o no nos las quiere transferir… siempre podemos forzarlo de la siguiente manera. Desde el servidor destino (el nuevo, el que tendrá los roles), abrimos una ventana de MSDOS y ejecutamos «ntdsutil», damos a enter; el siguiente comando a escribir es «roles», damos a Enter. Después escribimos «connections» y damos de nuevo al Enter. Después, nos conectamos al servidor que queremos que tenga los roles, ponemos «connect to server NOMBRE_SERVIDOR», damos a Enter; salimos poniendo «q» y damos de nuevo a Enter. Ahora escribimos el rol que nos interese mover a este servidor, siempre precedido de la palabra «seize», y los cinco roles serían: «domain naming master», «infraestructure master», «PDC», «RID master» y «schema master». Si queremos estar seguros y no sabemos cual hacer, ejecutamos el comando con todos los roles y a la pregunta que nos haga si estamos seguros o no, decimos que «Sí».

Cuando necesitemos la chuleta…aqui la tendremos a mano.

Publicado el

Añadir un DC nuevo a un dominio remotamente

Añadir un DC nuevo

  • Primero vamos a plantear el escenario y luego veremos los «traspies».
Disponemos de un Dominio 2003 muy simple con un solo DC ubicado en la «central». Este servidor hace entre otras de servidor de RRAS. Evidentemente el DNS esta en este mismo equipo y esta integrado en AD.
Por otro lado tenemos un 2008 nuevecito, el cual queremos unir al dominio. La dificultad radica en que el nuevo servidor está en la «delegación». En la delegación disponemos de un ADSL  de 1Mb/250b de ancho de banda.
  • Preparación del sistema
Primero necesitaremos unir ambos puntos para tener comunicación. Lo haremos mediante una VPN, para ello decidiremos que tipo de VPN vamos a realizar. Como es solo para configurar lo haremos los mas sencillo posible. Usaremos PPTP. Para ello tendremos que configurar 3 puntos: El servidor de RRAS, el router de la Central y la conexion de nuestro servidor en la delegación.
RRAS:
Configuramos
Router:
Redirigiremos los el puerto 1723 TCP hacia nuestro Servidor RRAS (si lo hariamos con L2TP seria el 1701 UDP)
Cliente:

Bueno, esto es un conjunto de pequeños problemas que e ido resolviendo poco a poco.
Todavía en preparación…..