Explicación y migración de las FSMO a Windows Server 2008 R2

En este documento tenemos la explicación de cada función o rol FSMO que tendrán nuestros controladores de dominio. Además veremos cómo transferir dichas funciones entre los controladores de dominio y las recomendaciones a tener en cuenta.

Maestro de operaciones de bosque

Son funciones únicas en el bosque. Por lo tanto en el bosque sólo puede haber un Maestro de Esquema y un Maestro de Nombres de Dominio.

Maestro de Esquema o Schema Master:
Es el encargado de modificar el esquema del Active Directory, el esquema del Directorio Activo esta replicado en todos los controladores de dominio, solo el controlador de domino con el rol de ‘Schema Master’ podrá modificarlo.

Maestro de Nombres de Dominio o Domain Naming Master:
El responsable de mantener el esquema de nombres de dominio dentro del bosque además de ser el encargado de dar de alta y baja dominós.

Maestro de operaciones de Dominio
Son funciones únicas en cada dominio. Por lo tanto en cada dominio del bosque sólo puede existirán un Maestro Emulador del PDC, un Maestro de RID y un Maestro de Infraestructuras

Emulador de PDC o PDC Emulator:
Encargado de sincronizar las propiedades de la cuentas de usuario y grupos con controladores de domino NT 4 (Emula ser el PDC en un dominio NT 4) Además es el responsable de la sincronización de hora entre el bosque.

El Emulador del PDC en el dominio principal se deberá configurar para que se sincronice con un recurso de hora externo. Podemos configurar un servidor externo siguiendo este documento: http://www.bujarra.com/?p=1070. Es recomendable juntar la función de Emulador de PDC con la de Maestro de RID.

Maestro de RID o Relative ID Master o RID Master:
Asigna secuencias de ID’s o Id. Relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento sólo puede haber un controlador de dominio que actúe como maestro de RID en cada dominio del bosque. Siempre que un controlador de dominio crea un objeto (usuario, grupo, equipo…) asigna un ID de seguridad (o SID) único al objeto creado. Este SID se compone de un SID de dominio, que es el mismo para todos los SID creados en el dominio, y de un RID, que es único para cada uno de los SID creados en el dominio. Es recomendable separar este rol del Catálogo Global o Global Catalog. Es recomendable juntar la función de Maestro de RID con la de Emulador de PDC.

Maestro de infraestructuras o Infrastructure Master:
Responsable de la comprobación de pertenencia a grupos universales en entornos multidominio. Responsable de la actualización de referencias de objetos de su dominio a otros dominios a menos que haya un único DC en el dominio, la función de maestro de infraestructuras no debe asignarse al controlador de dominio que alberga el catálogo global.

Transferir roles entre los controladores de dominio:

Para transferir una función FSMO a otros controladores de dominio lo podremos hacer mediante las herramientas de gestión “Sitios y servicios del Active Directory”, “Usuarios y Equipos de Active Directory” y “Esquema de Active Directory”. O directamente mejor desde línea de comandos gracias a NTDSUTIL. Para ello, desde línea de comandos o “Símbolo del sistema”, ejecutamos “ntdsutil”, damos a enter; el siguiente comando a escribir es “roles”, damos a Enter. Después escribimos “connections” y damos de nuevo al Enter. Después, nos conectamos al servidor que queremos que tenga el rol a migrar o los roles a migrar, ponemos “connect to server NOMBRE_SERVIDOR”, damos a Enter; una vez conectados salimos poniendo “q” y damos de nuevo a Enter. Ahora escribimos el rol que nos interese mover a este servidor, siempre precedido de la palabra “transfer”, y los cinco roles serían: “naming master”, “infraestructure master”, “PDC”, “RID master” y “schema master”. Habría que ejecutar el comando con todos los roles que querramos transferir o migrar, nos preguntará cada vez que movamos el rol entre los DC’s si estamos seguros, y confirmamos con “Sí”.

Si por el contrario, nos falla la transferencia de roles entre los controladores de dominio, o directamente tenemos algún rol desaparecido, perdido o con algún error, ya sea por que nos falta un controlador de dominio… podremos siempre recuperar el rol y realizar una transferencia forzosa mediante el comando “seize”, de igual forma que migraríamos los roles, deberíamos tomar posesión del rol que tengamos dañado/perdido.

Una vez dichas transferencias sean correctas, podremos confirmarlo en el visor de sucesos de cualquier controlador de dominio.

Para más información: http://support.microsoft.com/kb/223346.


Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!