Nos referimos a
transferencia de un rol FSMO cuando pasamos dicho rol de un Domain Controller a otro. La
operación de transferencia es completamente segura, no conlleva riesgos para la
integridad del Active Directory.
En ocasiones la
transferencia de roles se hace para balancear los roles entre diferentes
controladores de dominio, ya sea por razones de equilibrio de carga o para evitar que la desconexión de un solo DC provoque la indisponibilidad de todos los roles.
Otras veces, el motivo de la transferencia es el reemplazo del DC propietario por un nuevo servidor. En este último caso antes de
degradar el domain controller debemos transferir los roles al nuevo.
Para transferir roles hay que tener los derechos administrativos necesarios. A continuación se
menciona el rol, seguido del grupo que tiene privilegios suficientes para
transferirlo.
- Domain Naming Master – Enterprise Administrator
- Schema Master – Schema Administrator
- PDC, RID e Infrastructure
– Domain Administrator
Para transferir roles
pueden usarse herramientas gráficas o comandos. A continuación vemos los dos métodos.
1- Transferencia mediante Consolas (GUI)
En el post Identificar los propietarios de los roles FSMO, vimos qué consolas usar para ver qué DC alojaba cada uno de los
roles.
Escenario: En este
escenario de prueba hay dos domain controllers
DC01: Propietario de los
cinco roles
SVR01: Servidor al cual se le transferirán los roles
En la consola Active
Directory Users and Computers nos ubicamos sobre el dominio y seleccionamos
la opción para conectarnos al domain controller destino (SVR01)
Seleccionamos el SVR01 que será el nuevo destinatario de los roles
Para el RID Master (pestaña actualmente seleccionada) podemos ver que el SVR01 figura en el
cuadro inferior (se lo conoce como DC "en espera")
Para transferir el rol
simplemente hacemos clic en el botón Change y en la pantalla subsiguiente de
confirmación hacemos clic en Yes
Luego se ve la confirmación que el rol fue transferido exitosamente
A través del comando
Netdom verificamos que el SVR01 es propietario del rol RID Master (RID Pool
Manager)
Así debemos repetir la operación para los otros dos roles (PDC e Infrastructure)
Para los roles de nivel forest,
la operación es idéntica aunque debemos usar las siguientes consolas:
- Active Directory Domains and Trusts para el Domain Naming Master
- Active Directory Schema para el Schema Master
2- Transferencia mediante comandos:
Algunos administradores
preferimos la línea de comandos Ntdsutil para transferir los roles porque puede
hacerse la operación para los cinco roles, sin necesidad de cambiar de consolas.
Para comenzar, ejecutamos Ntdsutil en un CMD o PowerShell elevado.
A continuación escribimos Roles y se abrirá el prompt Fsmo maintenance
Finalmente, mediante ? solicitamos la ayuda del contexto
Dentro de FSMO Maintenance
debemos abrir el contexto Connections para conectarnos con el DC destino (en
nuestro ejemplo SVR01.windowsmct.com)
Volvemos a usar ? para ver la ayuda
Al no especificar credenciales de conexión toma las actuales (como es la del Administrador del Dominio raíz del forest son aptas para transferir todos los roles)
Hay que salir del menú Connections para volver a Fsmo maintenance.
Lo hacemos mediante el comando quit
Estando en el prompt de Fsmo maintenance ejecutamos el
comando transfer para cada uno de los roles:
Transfer Infrastructure Master
Transfer PDC
Transfer RID Master
Transfer Naming Master
Transfer Schema Master
En el ejemplo se muestra
la transferencia del Domain Naming Master (se ve la ejecución del comando Transfer naming master)
Luego de dar la
confirmación, la pantalla final nos muestra la operación realizada, donde resaltamos la línea que indica que SVR01 es el Domain Naming Master
No hay comentarios:
Publicar un comentario