Recordando los 5 Maestros, FSMO, los 5 Roles

Recientemente me han preguntado como transferir algún rol por linea de comando….. me han pillado, ya que es algo que como no se hace, se olvida. Pues me dije vamos a aprovechar el blog para tener siempre a mano los maestros que siempre se nos olvidan. Repasemos:
 

1 empecemos

Hay cinco funciones Flexible Single Master Operations (FSMO) en un bosque de Windows 2003. Hay dos maneras de transferir una función FSMO en Windows 2003. En este artículo se describe cómo transferir las cinco funciones FSMO utilizando complementos de Microsoft Management Console (MMC). Las cinco funciones FSMO son:

1.1.              Maestros

  • Maestro de esquema
  • Maestro de nombres de dominio
  • Maestro de infraestructura
  • Maestro RID
  • Emulador de PDC

1.2.              Comando para listar los roles

Desde una consola en cualquier DC:
#:\netdom query fsmo

2.   Descripción

2.1.              Maestro de esquema:

uno por bosque.
El titular de la función FSMO de maestro de esquema es el controlador de dominio responsable de realizar las actualizaciones al esquema del directorio.

2.2.              Maestro de nombres de dominio:

uno por bosque.
El titular de la función FSMO de maestro de nombres de dominio es el DC responsable de realizar los cambios al espacio de nombres de dominio para todo el bosque del directorio.

2.3.              Maestro de infraestructura:

uno por dominio.
El titular de la función FSMO de maestro de infraestructura es el DC responsable de actualizar el SID y el nombre completo de un objeto en una referencia entre objetos de diferentes dominios.

2.4.              Maestro RID:

uno por dominio.
El titular de la función FSMO de maestro RID es el único DC responsable de procesar las peticiones de grupos RID de todos los DC de un dominio dado.

2.5.              Emulador de PDC:

uno por dominio.
El titular de la función FSMO de emulador de PDC es un DC de Windows 2003 que se anuncia a sí mismo como el controlador principal de dominio (PDC) a las estaciones de trabajo, los servidores miembro y los controladores de dominio de versiones anteriores. También es el examinador principal de dominio y se ocupa de las discrepancias en las contraseñas.
Microsoft Knowledge Base = http://support.microsoft.com/kb/197132/

3.   Transferir funciones de FSMO con herramientas de MMC

Puede transferir las cinco funciones de FSMO mediante la herramienta MMC en Windows 2003. Para que una transferencia se pueda realizar, ambos equipos deben estar disponibles en conexión y se realizara con la consola adecuada desde el Servidor que queremos que asuma el Rol.
Si un equipo ya no existe, su función debe transferirse a otro equipo diferente. Para asumir una función, debe emplear una utilidad denominada Ntdsutil.
(http://support.microsoft.com/kb/255504/) Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio

3.1. Transferir funciones específicas del dominio: RID, PDC y maestro de infraestructura

o      Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
o      Haga clic con el botón secundario del mouse en el icono Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones.
o      En el cuadro de diálogo Cambiar el maestro de operaciones, haga clic en la ficha adecuada (RID, PDC o Infraestructura) para la función que desea transferir.
o      Haga clic en Cambiar en el cuadro de diálogo Cambiar el maestro de operaciones .
o      Haga clic en Aceptar para confirmar que desea transferir la función.

3.2. Transferir la función de maestro de nombres de dominio

o      Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Dominios y confianzas de Active Directory.
o      Haga clic con el botón secundario del mouse en el icono Dominios y confianzas de Active Directory y, a continuación, haga clic en Maestros de operaciones.
o      En el cuadro de diálogo Cambiar el maestro de operaciones, haga clic en Cambiar.
o      Haga clic en Aceptar para confirmar que desea transferir la función.



5. Migrar los roles por linea de comando

Captura de pantalla 2013-02-03 a la(s) 23.31.27
Si en vez de hacerlo siguiendo todos los pasos largos de lo anterior, podemos hacerlo todo por comandos, para ello, desde el servidor destino (el nuevo, el que tendrá los roles), abrimos una ventana de MSDOS y ejecutamos «ntdsutil», damos a enter; el siguiente comando a escribir es «roles», damos a Enter. Después escribimos «connections» y damos de nuevo al Enter. Después, nos conectamos al servidor que queremos que tenga los roles, ponemos «connect to server NOMBRE_SERVIDOR», damos a Enter; salimos poniendo «q» y damos de nuevo a Enter. Ahora escribimos el rol que nos interese mover a este servidor, siempre precedido de la palabra «transfer», y los cinco roles serían: «domain naming master», «infraestructure master», «PDC», «RID master» y «schema master». Habría que ejecutar el comando con todos los roles (o sea, cinco veces) y a la pregunta que nos haga si estamos seguros o no, decimos que «Sí».

      5.  Forzar migración de roles en caso de errores en lo anterior:


Si tenemos algún problema con el Directorio Activo o por lo que sea el servidor origen de alguna función ya no existe o no nos las quiere transferir… siempre podemos forzarlo de la siguiente manera. Desde el servidor destino (el nuevo, el que tendrá los roles), abrimos una ventana de MSDOS y ejecutamos «ntdsutil», damos a enter; el siguiente comando a escribir es «roles», damos a Enter. Después escribimos «connections» y damos de nuevo al Enter. Después, nos conectamos al servidor que queremos que tenga los roles, ponemos «connect to server NOMBRE_SERVIDOR», damos a Enter; salimos poniendo «q» y damos de nuevo a Enter. Ahora escribimos el rol que nos interese mover a este servidor, siempre precedido de la palabra «seize», y los cinco roles serían: «domain naming master», «infraestructure master», «PDC», «RID master» y «schema master». Si queremos estar seguros y no sabemos cual hacer, ejecutamos el comando con todos los roles y a la pregunta que nos haga si estamos seguros o no, decimos que «Sí».

Cuando necesitemos la chuleta…aqui la tendremos a mano.