viernes, 30 de diciembre de 2011

Mover 'ROLES' de AD de un servidor a otro (FSMO)


Resulta que mirando mis entradas, tenía ésta en borradores desde hacía más de 2 años. Le he echado un vistazo y me parece muy interesante como para dejarlo en el olvido. Espero que os sirva.

FSMO es el acrónimo de "Flexible Single Master Operations"

El AD no deja de ser una base de datos distribuida que contine toda la información del dominio/bosque y que se divide en 4 particiones principales: Esquema, Configuración, Dominio y Aplicaciones.

Active Directory (AD)o Directotio Activo, ha cambiado la forma de trabajar con dominios. Los que conocimos NT 5.51/4.0 estamos acostumbrados a los PDC/BDC y su simpleza de uso, a los demás les sonará a chino. Ahora AD tiene una serie de roles que se asignan a los diferentes servidores que componen el bosque. Además, cada controlador podría asumir cualquier 'rol' sobre la base de datos del AD, que es distribuida, excepto los 5 roles que solo se pueden ejecutar en un único servidor para evitar conflictos. Estos 5 roles únicos son:

A nivel de dominio

- PDC emulator: Emulador del PDC tradicional. Se publica a si mismo como un PDC (primary domain controller) para estaciones de trabajo utilizando versiones de windows anteriores a Windows XP o Windows 2000. Además es el que actua como Master Browser.

- RID master: (RID= Relative ID) Es el encargado de procesar todas las peticiones de grupos RID de todos los DC de un dominio. También es responsable de quitar objetos de un dominio y ponerlos en otro durante una operación de movimiento de objetos. Cuando un DC crea un objeto principal de seguridad, como un usuario o un grupo, adjunta al objeto un Identificador de seguridad exclusivo (SID). El SID está formado por un SID de dominio (que es igual para todos los SID creados en el mismo dominio) y un Id. relativo (RID) único para cada SID principal de seguridad creado en un dominio.

- Infrastructure master: Cuando un objeto de un dominio hace referencia a otro objeto de otro dominio, la referencia se representa mediante el GUID, el SID (si se trata de una referencia a un principal de seguridad) y el DN del objeto al que se hace referencia. El DC titular de la función FSMO Infraestructure es el responsable de actualizar el SID y el nombre completo de un objeto en una referencia entre objetos de diferentes dominios.

 A nivel de bosque

- Schema master: es el DC responsable de realizar las actualizaciones en el esquema del directorio (es decir, el contexto de nomenclatura del esquema o LDAP://cn=esquema,cn=configuración,dc=). Este DC es el único que puede procesar las actualizaciones al esquema del directorio. Una vez completada la actualización del Esquema, se replica desde el maestro de esquema a todos los demás DC del directorio.


- Domain Naming master: Es el responsable de realizar los cambios en el espacio de nombres de dominio del bosque del directorio (es decir, en el contexto de nomenclatura Particiones\Configuración o en LDAP://CN=Particiones, CN=Configuración, DC=) Este DC es el único que puede agregar o quitar un dominio del directorio. También puede agregar o quitar referencias cruzadas a dominios en directorios externos.


Una vez explicados los roles únicos, vamos a ver como se pueden mover. Para ello se pueden utilizar tanto NTDSUTIL.EXE, como la MMC después de registrar 'schmmgmt.dll'.  Si el servidor que posee el rol ya no existe, entonces debe usarse la utilidad de línea de comando para tomar el rol ya que desde la MMC no es posible hacerlo.

Para ver que servidor (o servidores) posee los roles FSMO, puede utilizarse la utilidad netdom de la siguiente forma:

C:\Documents and Settings\Administrator>netdom query fsmo pdc.midominio

Schema owner pdc.midominio
Domain role owner pdc.midominio
PDC role pdc.midominio
RID pool manager pdc.midominio
Infrastructure owner pdc.midominio
Infrastructure owner pdc.midominio
The command completed successfully.

Transferir Schema Master rol

1. Primero debe registrase la librería "schmmgmt.dll", para esto ejecutar en una ventana de comando (o en el cuadro de diálogo "Ejecutar" ) el comando C:\Windows\System32\regsvr32 schmmgmt.dll
2. Luego abrir la consola ejecutando "mmc". En el menú "File", seleccionar "Add/Remove snap-in". Seleccionar "Add" y elegir "Active Directory Schema", Add, Close y Ok.
3. En el árbol de la consola, hacer click derecho sobre "Active Directory Schema" y seleccionar "Change Domain Controller"
4. Tipear el nombre del servidor que será el nuevo poseedor del rol Schema Master.
5. En el árbol de la consola, hacer click derecho sobre "Active Directory Schema" y seleccionar "Operations Master"
6. Seleccionar "Change"
7. Confirmar y cerrar la consola.

Transferir Domain Naming Master rol

1. Ejecutar "Active Directory Domain and Trusts" en Herramientas Administrativas.
2. Botón derecho sobre el nodo "Active Directory Domain and Trusts" y seleccionar "Connect to Domain Controller"
3. Seleccionar el servidor al que se va a transferir el rol
4. Nuevamente botón derecho sobre el nodo "Active Directory Domain and Trusts" y seleccionar "Opeartions Master "
5. Seleccionar "Change" y confirmar.

Transferir el resto de los roles

1. Ejecutar "Active Directory Users and Computers " en Herramientas Administrativas.
2. Botón derecho sobre el nodo "Active Directory Users and Computers" y seleccionar "Connect to Domain Controller"
3. Seleccionar el servidor al que se va a transferir el rol
4. Nuevamente botón derecho sobre el nodo "Active Directory Users and Computers" y seleccionar "Opeartions Master "
5. Elegir cada una de las pestañas del rol a transferir y hacer click en "Change"
6. Confirmar la operación .

1 comentario:

Anónimo dijo...

No estoy plenamente deacuerdο сοn la
forma de еxpгesarlo, sin embargo si eѕtoy deacuerdo еl contenidо.
Bien hecho

Nοticiаs relaсionadas Saul