Y seguimos con esta serie de notas progresando con nuestro entorno de pruebas. Específicamente en esta demostración veremos diferentes formas de ver cuál Controlador de Dominio tiene cada uno de los “FSMO Roles” (Maestros de Operaciones), cómo moverlos de un servidor a otro, y describiremos cómo forzar que un Controlador de Dominio, en caso de no poder moverlo, se apropie del mismo
Como veremos, esta última opción ya no será necesaria en la mayoría de los casos; hay novedades que pasan casi desapercibidas
Continuo con la misma infraestructura que estamos usando en las notas anteriores, todas las que comienzan con “Crear Dominio: …), o sea que utilizaremos DC1.ad.guillermod.com.ar y DC2.ad.guillermod.com.ar
Primero vamos a ver cómo podemos ver qué Controlador de Dominio tiene cada uno de los “FSMO Roles” (Maestros de Operaciones)
La funcionalidad de cada uno de ellos está descripta en:
Comenzaré con la forma complicada, como es la interfaz gráfica
Si en “Active Directory Users and Computers” usamos botón derecho sobre el nombre del Dominio nos aparecerá la opción “Operations Masters”
Donde podremos ver cuál es el “RID Master”
Cuál es el “PDC Emulator”
Y el “Infrastructure Master”
De lo anterior hemos visto los tres FSMO que son por cada Dominio, nos falta los dos restantes que son por Bosque (“Forest”)
Debemos abrir ahora “Active Directory Domain and Trusts” y con botón derecho sobre la raíz de la consola
Podremos ver cuál es el “Domain Naming Master”
Para poder ver cuál es el “Schema Master” debemos hacer una configuración adicional: debemos registrar una DLL para poder crear la consola “Active Directory Schema”
Si no registráramos esta DLL no aparecería el correspondiente complemento
Debemos ejecutar como administradores: REGSVR32 SCHMMGMT.DLL
Ahora sí, ya podemos crear la consola correspondiente
Y análogamente a los casos anteriores con botón derecho elegiremos “Operations Masters”
Todo lo anterior fue la forma difícil 🙂
Todo es mucho más rápido y eficiente si usamos la línea de comandos y ejecutamos: NETDOM QUERY FSMO
Veremos ahora como transferir o mover los “FSMO Roles” de un Controlador de Dominio a otro. Para poder hacer esto hay que tener en cuenta dos cosas:
- Ambos Controladores de Dominio deben estar en línea y conectarse perfectamente
- Debemos poner el foco de la consola que usemos en el Controlador de Dominio destino de la funcionalidad
Haré la demostración sólo sobre uno de los roles, ya que para cualquier otro el procedimiento es totalmente análogo
Por ejemplo, si abrimos “Active Directory Users and Computers” con botón derecho elegimos la opción “Change Domain Controller …” podremos cambiar el foco de la consola
Debemos seleccionar al Controlador de Dominio al cual le deseemos asignar el rol, DC2 en mi caso
E ingresando nuevamente a la ficha correspondiente en “Operations Masters” usando el botón “Change” hacer el cambio
Confirmamos la operación
Y ya está
De análoga forma se pasaría cualquier otro de los “FSMO Roles”
Siempre podemos verificar desde línea de comandos
Por supuesto que este transpaso de roles también se puede hacer desde línea de comandos, aunque en este caso no es un único comando, tampoco es complicado
Debemos abrir la línea de comandos (CMD.EXE) como administradores y utilizar el comando NTDSUTIL.EXE
La secuencia que debemos ejecutar primeramente es:
NTDSUTIL
ACTIVATE INSTANCE NTDS
ROLES
CONNECTIONS
CONNECT TO SERVER <NombreDCDestino>
QUIT
Y si usamos la ayuda (?) podremos ver los comandos disponibles
Para cada uno de los roles tenemos las opciones “Transfer” y “Seize”
Si queremos mover un rol de una máquina a otra debemos utilizar “Transfer” que siempre es la mejor opción
La opción “Seize” que podemos traducir como “apoderarse” la debemos ejecutar únicamente como recomienda Microsoft, si el Controlador de Dominio que originalmente tiene el rol no está disponible y no va a volver nunca más a la red
Y ahora la novedad, aunque la veremos en detalle en la siguiente nota: a diferencia de lo que sucedía con versiones anteriores, si se elimina un Controlador de Dominio de Active Directory, pero “por las malas”, esto es, borrando la cuenta de un Controlador de Dominio que no existe más, automáticamente alguno restante asume la funcionalidad
Comento con un poco más de detalle. En la próxima nota voy a mostrar cómo eliminar una cuenta de Controlador de Dominio, que no está presente ni puede recuperarse. Esto anteriormente implicaba que había que apoderarse de los roles que tenía esta máquina, pero actualmente esto se hace en forma automática
Cuando borré la cuenta de DC2, como veremos en la nota próxima, vi que automáticamente DC1 había asumido el rol que tenía DC2
Continuaremos en la próxima nota con el procedimiento a ejecutar en caso de tener que reemplazar un Controlador de Dominio que no podemos recuperar desde una copia de seguridad
Comments
Fatal error: Uncaught Error: Call to undefined function ereg() in F:\blogs.itpro.es\wp-content\themes\notesil\functions.php:333 Stack trace: #0 F:\blogs.itpro.es\wp-content\themes\notesil\functions.php(35): notesil_commenter_link() #1 F:\blogs.itpro.es\wp-includes\class-walker-comment.php(179): notes_comments(Object(WP_Comment), Array, 1) #2 F:\blogs.itpro.es\wp-includes\class-wp-walker.php(145): Walker_Comment->start_el('', Object(WP_Comment), 1, Array) #3 F:\blogs.itpro.es\wp-includes\class-walker-comment.php(139): Walker->display_element(Object(WP_Comment), Array, '5', 0, Array, '') #4 F:\blogs.itpro.es\wp-includes\class-wp-walker.php(387): Walker_Comment->display_element(Object(WP_Comment), Array, '5', 0, Array, '') #5 F:\blogs.itpro.es\wp-includes\comment-template.php(2174): Walker->paged_walk(Array, '5', 0, 0, Array) #6 F:\blogs.itpro.es\wp-content\themes\notesil\comments.php(25): wp_list_comments('type=comment&ca...') #7 F:\blogs.itpro.es\wp-includes\comment-template.php(1512): require('F:\\blogs.itpro....') #8 F:\ in F:\blogs.itpro.es\wp-content\themes\notesil\functions.php on line 333