Descripción general de los roles de FSMO
En un entorno de Active Directory, hay 5 roles de operación de maestro único flexible (FSMO), dos roles son únicos en el bosque y los otros tres son únicos en un dominio.
Un controlador de dominio puede tener cero o más roles FSMO.
Maestro de atribución de nombres de dominio
Es único en el bosque, es responsable de agregar y eliminar dominios en el bosque.
Maestro de diagrama
Es único en el bosque, administra el esquema de Active Directory que contiene todos los objetos que se pueden crear y los atributos. Él es el único que puede modificar el esquema.
Ejemplo: al agregar el servicio Exchange a su organización, es este rol el que modifica los atributos durante la preparación del AD.
Maestro RID
Es único dentro del dominio, distribuye un grupo de RID a cada controlador de dominio para garantizar que cada SID emitido por un DC sea único.
Emulador de controlador de dominio primario (PDC)
Es único dentro del dominio, se encarga de sincronizar la hora entre los diferentes servidores y computadoras y de modificar las contraseñas así como de bloquear las cuentas.
Infraestructura maestra
Es único dentro del dominio, su función es gestionar las referencias entre dominios.
Ver roles FSMO
Para mostrar los roles FSMO, hay varios comandos disponibles:
netdom query fsmo
En PowerShell, debe usar los cmdlets Get-ADForest y Get-ADDomain.
Get-ADDomain Get-ADForest
Desde las consolas:
Abra la consola de Usuarios y equipos de Active Directory para acceder al rol FSMO del dominio, haga clic con el botón derecho en el dominio y haga clic en Maestros de operaciones.
RID PDC Infrastructure master
La consola de dominio y confianza de Active Directory proporciona acceso al rol de maestro de operaciones de nombres FSMO. Haga clic derecho en el nombre de la consola y haga clic en Operation master.
La consola de esquema de Active Directory proporciona acceso al rol FSMO de Comprobador de esquema. Haga clic derecho en el nombre de la consola y haga clic en Operation master.
El esquema de Active Directory MMC no está disponible de forma nativa, debe declararse
Transferir roles FSMO
Por varias razones, es posible que deba transferir roles de un controlador a otro. Hay dos métodos:
Normal: use este método preferiblemente si puede, requiere que todos los controladores estén disponibles.
Forzar: utilícelo si desea transferir un rol desde un controlador fuera de línea.
La transferencia se puede hacer usando la herramienta ntdsutil, en powershell con Move-ADDirectoryServerOperationMasterRole o usando las distintas consolas de administración.
Para una transferencia forzada, no es posible hacerlo a través de las consolas gráficas.
NTDSUTIL
Normal
Abra una ventana de comando en el modo «Administrador» e ingrese el siguiente comando:
ntdsutil
Ingrese al modo de mantenimiento de roles FSMO:
roles
Ingrese los siguientes comandos para conectarse al servidor que recibirá los roles:
connections connect to server nom_du_dc q
Los comandos para realizar la (s) transferencia (es):
# Maitre d'attribution transfer naming master # Contrôleur de schéma transfer schema master # Maitre RID transfer RID master # Emulateur PDC transfer pdc # Maitre infrastructure transfer infrastructure master
Cada vez que solicite una transferencia, deberá confirmar su acción a través de un cuadro de diálogo.
Salga de ntdsutil ingresando q.
Exemple de transfert :
Forzar
Abra una ventana de comando en el modo «Administrador» e ingrese el siguiente comando:
ntdsutil
Ingrese al modo de mantenimiento de funciones FSMO:
roles
Ingrese los siguientes comandos para conectarse al servidor que recibirá los roles:
connections connect to server nom_du_dc q
Los comandos para realizar la (s) transferencia (es):
# Maitre d'attribution seize naming master # Contrôleur de schéma seize schema master # Maitre RID seize RID master # Emulateur PDC seize pdc # Maitre infrastructure seize infrastructure master
Cada vez que solicite una transferencia, deberá confirmar su acción a través de un cuadro de diálogo.
Salga de ntdsutil ingresando q.
Ejemplo de entrada (dieciséis):
PowerShell : Move-ADDirectoryServerOperationMasterRole
La transferencia en PowerShell es más simple, el mismo comando le permite hacer ambos tipos de transferencia. También es posible transferir varios roles en el mismo orden.
Ejemplo de transferencia normal:
Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC2" -OperationMasterRole PDCEmulator
Ejemplo de transferencia forzada (dieciséis):
Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC2" -OperationMasterRole InfrastructureMaster -Force
Ejemplo de transferencia de múltiples roles FSMO
Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC1" -OperationMasterRole PDCEmulator, InfrastructureMaster
En el valor del parámetro -OperationMasterRole, es posible indicar un número que corresponda al rol.
| Identifiant | Rôle FSMO |
| 0 | PDC Emulator |
| 1 | RID master |
| 2 | Infrastructure master |
| 3 | Schema master |
| 4 | Domain naming master |
Ejemplo de transferencia utilizando el identificador:
Move-ADDirectoryServerOperationMasterRole -Identity "LAB-DC2" -OperationMasterRole 0,2
