El blog de IT College: Asumir roles FSMO

Transferir un rol FSMO (transfer) significa pasar un rol de un Domain Controller a otro. Puede hacerse siempre que el propietario del rol originario esté disponible y funcione correctamente.

La transferencia de roles se trató en el post Transferencia de los roles FSMO

Asumir (seize) un rol es una operación de último recurso y se basa en tomar por la fuerza el rol debido a que el propietario del mismo no está disponible.

Es recomendable agotar todos los medios para recuperar el DC original y hacer una transferencia segura.

En los casos que no se pueda hacer, no tendremos otra opción que asumir los roles que este DC tenía.

Asumir trae aparejado riesgos, menores o mayores dependiendo del rol. Por ejemplo el RID Master es riesgoso de asumir porque podría darse que el resto de los DCs no tengan información completamente actualizada del Active Directory. En ese caso el DC que asume el rol de RID Master tendría como siguiente RID a asignar un valor que ya fue usado. Si esto sucede corremos el riesgo de tener objetos de Active Directory con SIDs duplicados.

Escenario del ejemplo:

En el dominio WindowsMCT.com tenemos dos domain controllers.

SVR01: Está en línea y es el propietario de todos los roles a excepción del Schema Master

DC01: Está fuera de línea y es el actual propietario del rol Schema Master

Como DC01 no puede recuperarse, procederemos a asumir el rol de Schema Master en SVR01

El procedimiento se hace con Ntdsutil y es similar al que vimos para transferir los roles, en este caso en lugar del comando Transfer se ejecuta el comando Seize.

Luego damos la confirmación para asumir

Siempre que usemos el comando Seize, Active Directory intentará primero hacer una transferencia segura (como si hubiéramos ejecutado transfer). Finalmente al no poder contactarse con el DC originario aplicará el Seize.

En la pantalla siguiente vemos la leyenda "The current FSMO holder could not be contacted" (no puede ser contactado el propietario actual del rol FSMO) y más adelante dice "Proceeding with seizure" (procediendo a asumir por la fuerza).

Luego de completado el proceso, mediante netdom query fsmo verificamos que el Schema Master es el domain controller SVR01

Eliminar el Domain Controller offline del Active Directory

Cuando se asume un rol, la mejor práctica es no volver a iniciar el propietario original del rol si es que hemos recuperado el servidor. Lo más frecuente es que si asumimos, el propietario original del rol permanecerá offline.

Cualquiera sea el caso, una vez asumido el rol debemos eliminar el DC offline de la base de datos de Active Directory.

Este procedimiento puede hacerse por GUI o mediante comandos.

Eliminar el Domain Controller mediante consola gráfica:

Desde la consola de Active Directory Users and Computers, sobre la cuenta de equipo del DC offline seleccionamos Delete

NOTA: este procedimiento también puede hacerse desde la consola Active Directory Sites and Services.

Seguidamente aceptamos la confirmación

En la pantalla siguiente nos advierte que un Domain Controller debe ser eliminado mediante un proceso normal de degradación (demotion). Es decir quitando el rol AD DS y ejecutando el Wizard de desinstalación posterior. En este caso no podemos seguir ese procedimiento porque nuestro DC originario no está disponible.

Para eliminarlo definitivamente debemos marcar el check box “Delete this Domain Controller Anyway¨

En nuestro ejemplo cancelamos este procedimiento y lo haremos mediante comandos (algunos administradores consideran que es más seguro).

Eliminar el Domain Controller mediante comandos:

Se usa el comando Ntdsutil, con el contexto Metadata Cleanup.

El procedimiento consiste en la ejecución de una serie de comandos hasta llegar a listar los domain controllers presentes en la base de datos de AD.

Luego se selecciona el DC que está offline (DC01 en nuestro caso) y finalmente se ejecuta el comando Remove Selected Server. En la pantalla siguiente se puede ver todo el proceso