Llega un momento en la carrera de cualquier administrador de Active Directory (AD) en el que debe transferir los roles FSMO (o apropiarse de ellos). Los controladores de dominio (DC) van y vienen y los roles FSMO alojados en esos DC deben moverse.
En este tutorial, aprenderás cómo transferir y apropiarte de todos los roles FSMO de AD, paso a paso. Verás cómo mover los roles FSMO a través de varias herramientas GUI y PowerShell.
¡Empecemos!
Prerrequisitos
Si quieres seguir, asegúrate de tener lo siguiente:
- Al menos dos DC: Este tutorial utilizará Windows Server 2019 con un nivel funcional de bosque de Windows Server 2016, aunque no ha cambiado mucho.
- A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly
Relacionado: Cómo instalar e importar el módulo de PowerShell de Active Directory
- Windows PowerShell v5.1
- Inicia sesión con una cuenta de AD en un equipo conectado al Dominio. Para consultar los roles, no se requieren privilegios especiales. Sin embargo, se requieren privilegios adicionales para transferir o apropiarse de los roles.
Transferir Roles FSMO con la GUI
Hay dos formas de transferir roles FSMO: la GUI y PowerShell. Primero, veamos cómo transferir roles FSMO a través de algunos complementos MMC diferentes.
Maestro de RID, PDCe e Infraestructura Master
Primero, resolvamos los roles FSMO específicos del dominio.
- Abre ADUC (dsa.msc), haz clic derecho en el dominio y elige Controladores de operaciones. Aquí encontrarás todos los roles FSMO únicos para el dominio (Maestro RID, PDCe e Infraestructura) representados a través de las pestañas RID, PDC y Infraestructura.
2. Haz clic en cada pestaña. Notarás el titular actual del rol FSMO (maestro de operaciones) y un botón de Cambiar.
3. Haz clic en el botón Cambiar bajo cada pestaña y selecciona el nuevo DC para realizar transferencias de los roles FSMO de Maestro RID, PDCe e Infraestructura.
Maestro de Nombres de Dominio
A continuación, pasemos al rol de Maestro de Nombres de Dominio. Puedes ver y cambiar este rol FSMO en la Consola de Dominios y Confianzas de Active Directory.
- Abre la Consola de Dominios y Confianzas de Active Directory (domain.msc).
2. Haz clic derecho en el nodo principal de Domínios y Confianzas de Active Directory y haz clic en Controlador de operaciones. Aquí verás el DC actual que tiene este rol descrito como maestro de operaciones de nombres de dominio.
3. Haz clic en el botón Cambiar y elige el DC al que deseas transferirlo.
Maestro de Esquema
Por último, pero no menos importante, está el rol de Maestro de Esquema. Para cambiar este rol, necesitarás el complemento MMC de Esquema de Active Directory.
Antes de comenzar, asegúrate de haber iniciado sesión con una cuenta que esté en el grupo de administradores de esquema de AD.
- Abre un símbolo del sistema elevado o una consola de PowerShell y ejecuta
regsvr32.exe "schmmgmt.dll". El complemento Esquema de Active Directory no está disponible por defecto. Este comando registra la DLL necesaria para la gestión del esquema.
2. Abre la utilidad mmc.exe.
3. Haz clic en Archivo —> Agregar o quitar complemento.
4. Selecciona Esquema de Active Directory de los Complementos disponibles y haz clic en Agregar > y Aceptar.
5. Una vez en el complemento, haz clic con el botón derecho en Active Directory Schema [<nombre de tu dominio>] y elige Maestro de operaciones para ver el Maestro de Esquema actual en la ventana emergente.
6. Haz clic en Cambiar y selecciona el nuevo controlador de dominio para transferir la función de Maestro de Esquema.
Transferencia de Roles FSMO con PowerShell
Si prefieres la línea de comandos, PowerShell puede ayudarte.
Visualización de los Actuales Titulares de Roles FSMO
Primero, aprendamos a ver los actuales titulares de roles FSMO antes de transferir con PowerShell. Para ello, abre una consola de Windows PowerShell elevada y ejecuta Get-ADDomain y Get-ADForest para encontrar a cada uno de los actuales titulares de roles FSMO, como se muestra a continuación.
Get-ADDomain
Get-ADForestTransferencia de Roles FSMO
Una vez que sepas qué DCs tienen los roles FSMO actuales, también puedes transferirlos. Para hacerlo en Windows PowerShell, ejecuta el comando Move-ADDirectoryServerOperationMasterRole utilizando el parámetro Identity para el DC al que deseas transferir el rol FSMO (ChildDC1 en este caso), seguido por el nombre del rol FSMO. El siguiente ejemplo está transfiriendo el rol RID Master.
Para el nombre del rol FSMO, puedes usar
PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMasteryDomainNamingMaster.
También puedes transferir más de un rol a la vez definiendo cada nombre de rol separado por una coma, por ejemplo
Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.
Tal vez seas realmente perezoso y no quieras escribir esos nombres largos. En ese caso, también puedes usar solo números, siendo cada rol FSMO correspondiente a un número específico.
| Role Name | Number |
| PDCEmulator | 0 |
| RIDMaster | 1 |
| InfrastructureMaster | 2 |
| SchemaMaster | 3 |
| DomainNamingMaster | 4 |
Usando los identificadores en lugar de los nombres de los roles, el comando para transferir el rol PDCE es tan corto como Move-ADDirectoryServerOperationMasterRole ChildDc2 0
Se te preguntará sobre la transferencia del nombre del rol FSMO, solo para asegurarte de que sepas lo que estás haciendo. Dado que esta no es una tarea frecuente, es posible que desees considerar usar el nombre completo de los roles que deseas transferir. Especialmente si estás utilizando el comando en un script que alguien más usará; es más fácil de entender.
Tomando los Roles FSMO con la GUI
Si necesitas mover un rol FSMO de un controlador de dominio (DC) a otro, la transferencia de roles siempre es la mejor opción. La transferencia asegura que el rol FSMO se elimine por completo del antiguo DC y se transfiera al nuevo DC. Pero las cosas no siempre salen según lo planeado.
Si un DC ya no está en línea o ha fallado de alguna manera, puedes tomar roles FSMO, lo que básicamente crea un nuevo rol FSMO en un nuevo DC sin eliminar el antiguo.
Solo toma un rol FSMO cuando estés seguro de que no puedes volver a poner en línea al titular actual del rol. Una vez que se toma el rol, asegúrate de que el antiguo titular del rol FSMO nunca vuelva a estar en línea.
La toma de roles con la interfaz gráfica se realiza eliminando una cuenta de computadora de un DC dentro de la consola de Usuarios y Computadoras de Active Directory (ADUC). Para hacerlo:
- Primero, conecta ADUC al DC al que deseas transferir el rol FSMO. Para hacerlo, en ADUC, haz clic derecho en el nodo raíz de Usuarios y Computadoras de Active Directory y haz clic en Cambiar controlador de dominio.
2. Busca el DC al que deseas conectarte y conéctate a él.
3. Haz clic en la Unidad Organizativa Controladores de Dominio.
4. Haz clic derecho en el DC del cual deseas tomar el rol FSMO y haz clic en Eliminar.
5. Luego, haz clic en Sí en las dos primeras alertas.
6. Finalmente, recibirás una notificación indicándote que el DC era un titular de roles FSMO y que el o los roles se moverán a otro DC. Este será el DC al que está conectada tu Consola de ADUC. Haz clic en OK y la cuenta de equipo del DC sin conexión será eliminada, y los roles serán confiscados y trasladados al nuevo DC.
Confiscando Roles FSMO con PowerShell
Para confiscar roles FSMO con PowerShell, asegúrate de tener Windows PowerShell abierto y ejecuta Move-ADDirectoryServerOperationMasterRole proporcionando el nombre del nuevo DC como valor del parámetro Identity junto con el parámetro Force.
El ejemplo a continuación está confiscando el rol de RID Master y asignándolo al DC NewDC3.
Los mismos nombres de roles FSMO utilizados para transferir también se aplican al cmdlet
Move-ADDirectoryServerOperationMasterRole.
Conclusión
Mover roles FSMO no es una tarea diaria, pero cuando estás promocionando nuevos DC, degradando DC antiguos y retirando servidores, necesitarás conocer los roles FSMO.
Sigue los pasos de este tutorial ¡para ayudarte a tachar esta tarea de tu lista!