Explicació i migració de les FSMO a Windows Server 2008 R2

Print Friendly, PDF i correu electrònic

En aquest document tenim l'explicació de cada funció o rol FSMO que tindran els nostres controladors de domini. A més veurem com transferir aquestes funcions entre els controladors de domini i les recomanacions a tenir en compte.

Mestre d'operacions del bosc

Són funcions úniques al bosc. Per tant, en el bosc només pot haver-hi un Mestre d'Esquema i un Mestre de Noms de Dominis.

Mestre d'Esquema o Schema Master:
És l'encarregat de modificar l'esquema de l'Active Directory, l'esquema del Directori Actiu està replicat a tots els controladors de domini, només el controlador de domini amb el rol de 'Schema Master' podrà modificar-ho.

Mestre de Noms de Domini o Domain Naming Master:
El responsable de mantenir l'esquema de noms de domini dins del bosc a més de ser l'encarregat de donar d'alta i baixa dominis.

Mestre d'operacions de Domini
Són funcions úniques a cada domini. Per tant, en cada domini del bosc només pot existir un Mestre Emulador del PDC, un Mestre de RID i un Mestre d'Infraestructures

Emulador de PDC o PDC Emulator:
Encara de sincronitzar les propietats de les comptes d'usuari i grups amb controladors de domini NT 4 (Emula ser el PDC en un domini NT 4) A més és el responsable de la sincronització d'hora entre el bosc.

L'Emulador del PDC en el domini principal s'ha de configurar perquè es sincronitzi amb un recurs de hora extern. Podem configurar un servidor extern seguint aquest document: http://www.bujarra.com/?p=1070. És recomanable unir la funció d'Emulador de PDC amb la de Mestre de RID.

Mestre de RID o Relative ID Master o RID Master:
Assigna seqüències d'ID o Ids. Relatius (RID) a cadascun dels diferents controladors del domini. En tot moment només pot haver-hi un controlador de domini que actuï com a mestre de RID en cada domini del bosc. Sempre que un controlador de domini crea un objecte (usuari, grup, equip…) assigna un ID de seguretat (o SID) únic a l'objecte creat. Aquest SID es compon d'un SID de domini, que és el mateix per a tots els SID creats en el domini, i d'un RID, que és únic per a cadascun dels SID creats en el domini. És recomanable separar aquest paper del Catàleg Global o Global Catalog. És recomanable unir la funció de Mestre de RID amb la d'Emulador de PDC.

Mestre d'infraestructures o Infrastructure Master:
Responsable de la comprovació de pertinença a grups universals en entorns multidomini. Responsable de l'actualització de referències d'objectes del seu domini a altres dominis a menys que hi hagi un únic DC al domini, la funció de mestre d'infraestructures no s'ha d'assignar al controlador de domini que alberga el catàleg global.

Transferir rols entre els controladors de domini:

Per transferir una funció FSMO a altres controladors de domini, ho podrem fer mitjançant les eines de gestió “Llocs i serveis de l'Active Directory”, “Usuaris i Equips de l'Active Directory” y “Esquema de l'Active Directory”. O directament millor des de línia de comandes gràcies a NTDSUTIL. Per a això, des de línia de comandes o “Símbol del sistema”, executem “ntdsutil”, premem Enter; el següent comando a escriure és “rols”, premem Enter. Després escrivim “connections” i premem de nou Enter. Després, ens connectem al servidor que volem que tingui el rol a migrar o els rols a migrar, posem “connect to server NOM_SERVIDOR”, premem Enter; un cop connectats sortim posant “q” i premem de nou Enter. Ara escrivim el rol que ens interessa moure a aquest servidor, sempre precedit de la paraula “transfer”, i els cinc rols serien: “naming master”, “infrastructure master”, “PDC”, “mestre RID” y “mestre d'esquema”. S'hauria d'executar la comanda amb tots els rols que vulguem transferir o migrar, ens preguntarà cada vegada que movem el rol entre els DC's si estem segurs, i confirmem amb “Sí”.

Si al contrari, ens falla la transferència de rols entre els controladors de domini, o directament tenim algun rol desaparegut, perdut o amb algun error, ja sigui perquè ens falta un controlador de domini… podrem sempre recuperar el rol i realitzar una transferència forçada mitjançant la comanda “seize”, d'igual forma que migraríem els rols, hauríem de fer-nos càrrec del rol que tinguem danyat/perdut.

Un cop dites transferències siguin correctes, podrem confirmar-ho al visor d'esdeveniments de qualsevol controlador de domini.

Per a més informació: http://support.microsoft.com/kb/223346.


Posts recomanats

Mètriques de Windows amb Prometheus i Grafana
Llegir
Desplegant Crowdsec en una màquina Windows
Llegir
Monitoritzant Esdeveniments de Windows des de Centreon
Llegir
Auditant els accessos a dispositius d' emmagatzematge extraïbles
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Preparació del Directori Actiu per a Windows 2008 R2

20 de January de 2010

Migrar el nostre Directori Actiu a Windows 2008 R2

20 de January de 2010