Función FSMO

Windows Server 2012R2  Windows Server 2016  Windows Server 2019

Descripción general de los roles de FSMO

En un entorno de Active Directory, hay 5 roles de operación de maestro único flexible (FSMO), dos roles son únicos en el bosque y los otros tres son únicos en un dominio.

Un controlador de dominio puede tener cero o más roles FSMO.

Maestro de atribución de nombres de dominio

Es único en el bosque, es responsable de agregar y eliminar dominios en el bosque.

Maestro de diagrama

Es único en el bosque, administra el esquema de Active Directory que contiene todos los objetos que se pueden crear y los atributos. Él es el único que puede modificar el esquema.

Ejemplo: al agregar el servicio Exchange a su organización, es este rol el que modifica los atributos durante la preparación del AD.

Maestro RID

Es único dentro del dominio, distribuye un grupo de RID a cada controlador de dominio para garantizar que cada SID emitido por un DC sea único.

Emulador de controlador de dominio primario (PDC)

Es único dentro del dominio, se encarga de sincronizar la hora entre los diferentes servidores y computadoras y de modificar las contraseñas así como de bloquear las cuentas.

Infraestructura maestra

Es único dentro del dominio, su función es gestionar las referencias entre dominios.

Ver roles FSMO

Para mostrar los roles FSMO, hay varios comandos disponibles:

En PowerShell, debe usar los cmdlets Get-ADForest y Get-ADDomain.

Desde las consolas:

Abra la consola de Usuarios y equipos de Active Directory para acceder al rol FSMO del dominio, haga clic con el botón derecho en el dominio y haga clic en Maestros de operaciones.

La consola de dominio y confianza de Active Directory proporciona acceso al rol de maestro de operaciones de nombres FSMO. Haga clic derecho en el nombre de la consola y haga clic en Operation master.

La consola de esquema de Active Directory proporciona acceso al rol FSMO de Comprobador de esquema. Haga clic derecho en el nombre de la consola y haga clic en Operation master.

El esquema de Active Directory MMC no está disponible de forma nativa, debe declararse

Transferir roles FSMO

Por varias razones, es posible que deba transferir roles de un controlador a otro. Hay dos métodos:

Normal: use este método preferiblemente si puede, requiere que todos los controladores estén disponibles.

Forzar: utilícelo si desea transferir un rol desde un controlador fuera de línea.

La transferencia se puede hacer usando la herramienta ntdsutil, en powershell con Move-ADDirectoryServerOperationMasterRole o usando las distintas consolas de administración.

Para una transferencia forzada, no es posible hacerlo a través de las consolas gráficas.

NTDSUTIL

Normal

Abra una ventana de comando en el modo «Administrador» e ingrese el siguiente comando:

Ingrese al modo de mantenimiento de roles FSMO:

Ingrese los siguientes comandos para conectarse al servidor que recibirá los roles:

Los comandos para realizar la (s) transferencia (es):

Cada vez que solicite una transferencia, deberá confirmar su acción a través de un cuadro de diálogo.

Salga de ntdsutil ingresando q.

Exemple de transfert :

Transfer with ntdsutil

Forzar

Abra una ventana de comando en el modo «Administrador» e ingrese el siguiente comando:

Ingrese al modo de mantenimiento de funciones FSMO:

Ingrese los siguientes comandos para conectarse al servidor que recibirá los roles:

Los comandos para realizar la (s) transferencia (es):

Cada vez que solicite una transferencia, deberá confirmar su acción a través de un cuadro de diálogo.

Salga de ntdsutil ingresando q.

Ejemplo de entrada (dieciséis):

seize fsmo

PowerShell : Move-ADDirectoryServerOperationMasterRole

La transferencia en PowerShell es más simple, el mismo comando le permite hacer ambos tipos de transferencia. También es posible transferir varios roles en el mismo orden.

Ejemplo de transferencia normal:

Ejemplo de transferencia forzada (dieciséis):

Ejemplo de transferencia de múltiples roles FSMO

En el valor del parámetro -OperationMasterRole, es posible indicar un número que corresponda al rol.

IdentifiantRôle FSMO
0PDC Emulator
1RID master
2Infrastructure master
3Schema master
4Domain naming master

Ejemplo de transferencia utilizando el identificador:





Related Posts


Aplicar un GPO a un grupo de Active Directory

IntroducciónRequisito previoAplicar una política a un grupoConclusión Introducción En este artículo, lo guiaré a través de cómo aplicar la directiva de grupo (GPO) a un grupo de Active Directory que c

Asignación de impresoras: GPO y Script

IntroducciónAsignar una impresora por GPOLimitar la asignación de impresoras a un grupoAsignar una impresora por scriptRestringir la asignación de impresoras a un grupo de Active DirectoryProblemas y

Mapeo de unidades de red: GPO y Script

IntroducciónCómo mapear una unidad de redGPO - Política de grupoLimitar el mapeo a un grupoScript Limitar el mapeo a un grupo por scriptConclusión Introducción Al configurar un Active Directory, una d