Transferir funciones FSMO

A la hora de incorporar nuevos servidores en un directorio activo, debemos revisar que funciones queremos transferir antes de dar de baja alguno. En entornos sencillos en los que un equipo es el único encargado de todos ellos debemos:

  1. Añadir el nuevo servidor al dominio existente
  2. Instalar y configurar los roles de Directorio Activo
  3. Migrar las funciones: RID, Controlador principal de dominio e infraestructura, de forma gráfica podemos hacerlo desde la gestión de «Usuarios y equipos de Active Directory». Pulsaremos sobre «Cambiar» en cada una de las tres pestañas, debemos hacerlo desde el sistema operativo más reciente:
  4. Consultamos las funciones FSMO con el comando: «netdom query fsmo» veremos que todavía queda por transferir «Maestro de esquema». Para realizado desde la interfaz gráfica ejecutamos desde la línea de comandos con permisos de administrador (dependerá de la versión de Windows):
    regsvr32 schmmgmt.dll
  5. Iniciamos «mmc» y añadimos el complemento «Esquema de Active Directory» pulsamos con el botón derecho sobre el nodo y seleccionamos la opción de «Cambiar el controlador de dominio de Active Directory…» y/o «Maestro de operaciones» seleccionado «Cambiar» como en pasos anteriores.

Desde línea de comandos, ejecutamos «ntdsutil.exe«:

roles
connections
connect to server NombreDelServidorDestinoFuncion.local
q
transfer naming master
...

Siempre podemos pulsar «?» en la utilidad para ver que comandos tenemos disponibles

Para comprobar ejecutamos:

netdom query fsmo

ACTUALIZADO: es posible realizarlo mediante Powershell igualmente…

Move-ADDirectoryServerOperationMasterRole -Identity "NombreDelServidorDestinoFuncion.local" PDCEmulator
Move-ADDirectoryServerOperationMasterRole -Identity "NombreDelServidorDestinoFuncion.local" RIDMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NombreDelServidorDestinoFuncion.local" Infrastructuremaster
Move-ADDirectoryServerOperationMasterRole -Identity "NombreDelServidorDestinoFuncion.local" DomainNamingmaster
Move-ADDirectoryServerOperationMasterRole -Identity "NombreDelServidorDestinoFuncion.local" SchemaMaster

get-addomain | select InfrastructureMaster, PDCEmulator, RIDMaster
Get-ADForest | select DomainNamingMaster, SchemaMaster

SYSVOL y NETLOGON en Windows Server

A la hora de migrar, actualizar o eliminar un controlador de dominio hay que tener en cuenta que una vez eliminado los equipos que todavía estén incluidos no tendrán donde verificar sus credenciales, a lo sumo la caché local de las últimas utilizadas en el equipo. El escenario habitual suele darse a la hora de añadir un nuevo servidor y repartir las tareas de verificación y roles entre varios equipos en una infraestructura de red más fiable.

Si nos encontramos ante la situación de no disponer de las carpetas indicadas en un equipo, lo más seguro es que debamos revisar donde residen los roles principales, mediante el comando:

netdom query FSMO

Con el cual obtenemos el listado de los 5 roles y la máquina en la que residen:

– Maestro de esquema
– Maestro nomecl. dominios
– PDC
– Administrador de grupos
– Maestro de infraestructura

A la hora de jubilar un controlador de dominio, debemos tener todas las funciones transferidas, si en un equipo nos tenemos las carpetas del sistema SYSVOL y NETLOGON debemos preparar un DC y eliminar el anterior con DCPROMO.EXE para forzar la sincronización de las carpetas realizaremos los siguientes pasos

En el servidor ANTIGUO:

1. Desde la consola de línea de comandos, ejecutamos:
2. Paramos el servicio «net stop ntfrs»
3. Abrimo el registro de windows REGEDIT
4. Accedemos a la clave
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\
Parameters\Backup\Restore\Process
Startup
5. Editamos el valor «BurFlags» DWORD introduciendo «D4»
6. Volvemos a iniciar el servicio «net start ntfrs»

En el servidor NUEVO debemos ejecutar los mismos pasos pero la clave a sustituir en este caso es:

5. Editamos el valor «BurFlags» DWORD introduciendo «D2»

Reiniciamos los servicios en los dos servidores dos veces para forzar. La sincronización de las carpetas comenzará de inmediato.