Los roles de maestros de operaciones FSMO (Flexible Single Master Operations) es una característica de Active Directory. Se trata de un conjunto de tareas de un controlador de dominio usadas principalmente para la replicación entre controladores de dominio.
Existen 5 roles FSMO en un Active Directory:
Existen 5 roles FSMO en un Active Directory:
- Schema Master (Maestro de Esquema). Uno por Bosque.
- Domain Naming Master (Maestro de Nomenclatura de Dominios). Uno por Bosque.
- RID Master - Relative Identifier Master (Maestro Identificador Relativo). Uno por Dominio.
- Infrastructure Master (Maestro de Infraestructura). Uno por Dominio.
- PDC Emulator - Primary Domain Controller Emulator (Maestro Controlador Principal de Dominio). Uno por Dominio.
 |
| Figura 1: 5 Roles FSMO en Active Directory. |
Comprobar el estado de los controladores de dominio
dcdiag (Domain Controller Diagnostic Tool) es una herramienta con la que podemos analizar el estado de los controladores de dominio de un bosque, ejecutando una serie de verificaciones se podrá diagnosticar su funcionamiento.En el siguiente caso vemos el resultado del análisis en un bosque en el que existen dos controladores de dominio, uno de ellos está activo (SrvDominio Windows Server 2016) y el otro inactivo (apagado, Windows Server 2008 R2).
C:\>dcdiag
... ...
Probando servidor: Nombre-predeterminado-primer-sitio\SRVDOMINIO
Iniciando prueba: Advertising
Advertencia: SRVDOMINIO no se está anunciando como un servidor horario.
......................... SRVDOMINIO no superó la prueba Advertising
Iniciando prueba: FrsEvent
Existen eventos de advertencia o de error en las últimas 24 horas después de compartir SYSVOL. Los problemas
de replicación de SYSVOL incorrecta pueden ocasionar problemas de la directiva de grupo.
......................... SRVDOMINIO superó la prueba FrsEvent
Iniciando prueba: DFSREvent
......................... SRVDOMINIO superó la prueba DFSREvent
Iniciando prueba: SysVolCheck
......................... SRVDOMINIO superó la prueba SysVolCheck
Iniciando prueba: KccEvent
......................... SRVDOMINIO superó la prueba KccEvent
Iniciando prueba: KnowsOfRoleHolders
[ADCONTROL1] Error en DsBindWithSpnEx(): 1722,
El servidor RPC no está disponible..
Advertencia: ADCONTROL1 es Schema Owner, pero no responde al enlace RPC de DS.
Error en la búsqueda de atributos con capacidad de búsqueda LDAP en el servidor ADCONTROL1. Valor devuelto =
81
Advertencia: ADCONTROL1 es Schema Owner, pero no responde al enlace LDAP.
Advertencia: ADCONTROL1 es Domain Owner, pero no responde al enlace RPC de DS.
Advertencia: ADCONTROL1 es Domain Owner, pero no responde al enlace LDAP.
Advertencia: ADCONTROL1 es PDC Owner, pero no responde al enlace RPC de DS.
Advertencia: ADCONTROL1 es PDC Owner, pero no responde al enlace LDAP.
Advertencia: ADCONTROL1 es Rid Owner, pero no responde al enlace RPC de DS.
Advertencia: ADCONTROL1 es Rid Owner, pero no responde al enlace LDAP.
Advertencia: ADCONTROL1 es Infrastructure Update Owner, pero no responde al enlace RPC de DS.
Advertencia: ADCONTROL1 es Infrastructure Update Owner, pero no responde al enlace LDAP.
......................... SRVDOMINIO no superó la prueba KnowsOfRoleHolders
... ...
Transferir roles FSMO entre Domain Controller
Listar los roles FSMO
Consolas de Microsoft
Podemos ver los roles FSMO de forma gráfica a través de las propias consolas de gestión de Microsoft.
En la consola de "Usuarios y equipos de Active Directory" (dsa.msc) podemos ver los siguientes roles de maestros de operaciones:
- Administrador de grupos RID, PDC y Maestro de infraestructura.
 |
| Figura 2: Maestro de operaciones dsa.msc (RID, PDC e Infrastructure). |
En la consola de "Sitios y confianzas de Active Directory" (domain.msc) podemos ver los siguientes roles de maestros de operaciones:
- Maestro de nomenclatura de dominio.
 |
| Figura 3: Sitios y confianzas de Active Directory domain.msc (Maestro de nomenclatura de dominio). |
Para poder gestionar la siguiente consola debemos registrar antes una dll en el sistema.
regsvr32 schmmgmt.dll
Una vez registrada, abrimos una mmc.exe y agregamos el complemento de la consola de "Esquema de Active Directory" donde podemos ver los siguientes roles de maestros de operaciones:
- Maestro de esquema.
 |
| Figura 4: Esquema de Active Directory (Maestro de esquema). |
Obtener Roles FSMO
Opción 1: netdom
Existe otra forma de ver más rápidamente y gestionarlo de forma más cómoda como es utilizar netdom una utilidad de línea de comandos para la administración de Active Directory y Relaciones de confianza.
netdom query fsmo
 |
| Figura 5: netdom query fsmo |
ntdsutil es una utilidad de línea de comandos para la administración de ADDS (Active Directory Domain Services).
Opción 2: PowerShell - Get-ADDomainController y Get-ADForest
Obtener un listado de todos los controladores de dominio de todos los dominios disponibles, comprobar si están habilitados, Hostname e IP (indicar -Domain para indicar un dominio específico).
Get-ADDomainController -Filter * | Select-Object HostName, IPv4Address, Enabled
Obtener un listado de los roles FSMO asociados a los controladores de dominio.
Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator | Format-ListGet-ADForest | Select-Object DomainNamingMaster, SchemaMaster | Format-List
FSMO: ¿Transfer o Seize?
Transferir ROLES de un servidor activo a uno nuevo (de ADCONTROL1 a SRVDOMINIO)C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server SrvDominio
Enlazando a SrvDominio ...
Conectado a SrvDominio usando credenciales de usuario conectado localmente.
server connections: q
fsmo maintenance: transfer naming master
fsmo maintenance: transfer infrastructure master
fsmo maintenance: transfer PDC
fsmo maintenance: transfer RID master
fsmo maintenance: transfer schema master
fsmo maintenance: q
ntdsutil: q
Transferir ROLES de un servidor inactivo (apagado) a uno activo (de ADCONTROL1 a SRVDOMINIO)
C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server SrvDominio
Enlazando a SrvDominio ...
Conectado a SrvDominio usando credenciales de usuario conectado localmente.
server connections: q
fsmo maintenance: seize naming master
fsmo maintenance: seize infrastructure master
fsmo maintenance: seize PDC
fsmo maintenance: seize RID master
fsmo maintenance: seize schema master
fsmo maintenance: q
ntdsutil: q
Una vez transferidos los roles FSMO volvemos a comprobar su estado y que se transfirieron correctamente.
 |
| Figura 6: netdom query fsmo |
Purgado de servicios de Active Directory en el caso de que un DC ya no vaya estar operativo en el dominio
Si se trata de un servidor que ya no estará operativo en el bosque habrá que limpiar o "purgar" el resto de servicios que puedan estar asociados al DC viejo.1. Limpiar registros DNS
Eliminar todos los registros que apunten al DC viejo en toda la jerarquía del Administrador de DNS. |
| Figura 7: Eliminar registros DNS del DC viejo. |
2. Limpiar Sitios y Servicios de Active Directory
Eliminar el servidor DC viejo de "Sitios y Servicios de Active Directory". |
| Figura 8: Eliminar registros de "Sistios y servicios de Active Directory". |
3. Limpiar Active Directory
Eliminar los objetos de equipos de las OU (Organizational Unit) Computers y Domain Controllers. |
| Figura 9: Eliminar los DC de Active Directory. |
4. Cambiar opciones del servicio DHCP
En el caso de tener el rol del servicio DHCP instalado, eliminar de los servidores DNS de las Opciones de ámbito la dirección IP del DC viejo. |
| Figura 10: Eliminar IP del DC del servicio DHCP. |
5. Cambiar direcciones DNS a los equipos de la red interna
Cambiar las direcciones DNS al resto de máquinas de la red interna con ip estática definida Windows o Linux ya sean servidores o equipos clientes.Saludos!
No hay comentarios
Publicar un comentario