Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva
Los administradores de Windows saben que uno de los aspectos más importantes en la gestión de Active Directory es comprender los diversos roles que los servidores deben desempeñar. En un artículo anterior, hablamos sobre las funciones de los cinco roles de operaciones maestras flexibles (FSMO) en Active Directory. Ahora voy a hablar sobre la ubicación de esos roles dentro del bosque y el dominio, y explicar cómo mover esos roles a otros controladores de dominio, ya sea mediante su transferencia o su confiscación.
![Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Video](https://i.ytimg.com/vi/zK99NWYtNVM/hqdefault.jpg)
Ubicación de los roles FSMO en la red
Como mencioné en el primer artículo, los dos roles a nivel de bosque (máster de esquema y máster de nombre de dominio) se instalan de forma predeterminada en el primer controlador de dominio del bosque. Los tres roles a nivel de dominio (máster RID, emulador PDC y máster de infraestructura) se instalan de forma predeterminada en el primer controlador de dominio del dominio.
En una pequeña oficina con un solo dominio, es muy probable que los cinco roles se encuentren en un solo controlador de dominio. Pero en una red empresarial grande, no se debe permitir que eso suceda. Es mejor asegurarse de que los dos roles a nivel de bosque estén ubicados en su propio controlador de dominio, separados de los roles a nivel de dominio. Si elige instalar los roles en más de un controlador de dominio, esos controladores deben ser socios de replicación.
Al mismo tiempo, no se puede ignorar los controladores de dominio que albergan el catálogo global. Recuerde que el máster de nombre de dominio debe estar en un controlador de dominio que sea anfitrión del catálogo global. Y, a su vez, el máster de infraestructura no debe estar en un controlador de dominio que sea anfitrión del catálogo global. (La única excepción a esto es si todos los controladores de dominio son servidores de catálogo global, lo cual no debería ser el caso en una red empresarial.) Existen numerosas formas de decidir dónde ubicar los roles FSMO. El Figura A muestra un ejemplo.
![Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 1 Newsmatic Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 1 Newsmatic](/wp-content/uploads/transferir-seize-roles-fsmo-active-directory-paso-a-paso-imagen-1.webp)
Figura A: Ejemplo de ubicación de roles FSMO
Transferencia de roles
Existen dos razones principales para mover un role FSMO de un controlador de dominio a otro. Una razón es porque se desea hacerlo. Es decir, el movimiento está planeado por alguna razón, como el decomisionamiento de un servidor que tiene uno o varios roles FSMO. Cuando se lleva a cabo un movimiento planeado, se denomina transferencia del rol.
![](https://newsmatic.com.ar/wp-content/uploads/protege-tu-red-bloquea-mensajes-icmp-maliciosos-para-prevenir-ataques-de-hackers-150x150.png)
La otra razón para mover un rol es porque se debe hacerlo. Por ejemplo, puede ser necesario mover un rol cuando un servidor que tiene uno o varios roles FSMO ha sufrido una falla catastrófica de hardware. Cuando se realiza un movimiento no planeado, se denomina confiscación del rol. Nunca se debe confiscar un rol a menos que sea absolutamente necesario.
Se puede realizar una transferencia de un rol tanto a través de la interfaz gráfica de usuario (GUI) como a través de la interfaz de línea de comandos (CLI), mientras que la confiscación de un rol solo se puede llevar a cabo a través de la línea de comandos.
Tanto si se realiza a través de la GUI como a través de la CLI, el movimiento de un rol se realiza en dos pasos:
- Conectar a un controlador de dominio
- Transferir o confiscar el rol
Veamos primero cómo se realiza la transferencia de un rol a través de la GUI. Después, te mostraré cómo se hace usando la CLI.
Uso de la GUI
Para cambiar un rol a nivel de dominio, haz clic en Inicio | Herramientas administrativas | Usuarios y equipos de Active Directory. Luego, como se muestra en Figura B, haz clic derecho en el dominio y selecciona Conectar al controlador de dominio...
![Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 2 Newsmatic Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 2 Newsmatic](/wp-content/uploads/transferir-seize-roles-fsmo-active-directory-paso-a-paso-imagen-2.webp)
Figura B: Conexión a un controlador de dominio
![](https://newsmatic.com.ar/wp-content/uploads/como-asegurar-tu-servidor-samba-opciones-de-configuracion-clave-para-una-mayor-seguridad-150x150.jpg)
A continuación, verás un cuadro de diálogo en el que puedes especificar a qué controlador de dominio deseas conectarte (ver Figura C).
![Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 3 Newsmatic Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 3 Newsmatic](/wp-content/uploads/transferir-seize-roles-fsmo-active-directory-paso-a-paso-imagen-3.webp)
Figura C: Especificación del controlador de dominio
Una vez que te hayas conectado al controlador de dominio al que transferirás un rol, haz clic derecho nuevamente en el dominio y selecciona "Másters de operaciones...". Esto mostrará el cuadro de diálogo que se ve en Figura D.
![Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 4 Newsmatic Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 4 Newsmatic](/wp-content/uploads/transferir-seize-roles-fsmo-active-directory-paso-a-paso-imagen-4.webp)
Figura D: Transferencia de un rol a nivel de dominio
Este cuadro de diálogo te permitirá transferir un rol a nivel de dominio de un controlador de dominio a otro, siempre y cuando ya te hayas conectado a ese controlador de dominio. Si no te has conectado al controlador de dominio, aparecerá el mismo nombre en ambas casillas. Para cambiar un rol a nivel de bosque, haz clic en Inicio | Herramientas administrativas | Dominios y relaciones de confianza de Active Directory.
A continuación, como se muestra en Figura E, haz clic derecho en Dominios y relaciones de confianza y selecciona Conectar al controlador de dominio...
![](https://newsmatic.com.ar/wp-content/uploads/como-solucionar-un-controlador-que-esta-colgando-tu-sistema-en-windows-nt-150x150.jpg)
![Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 5 Newsmatic Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 5 Newsmatic](/wp-content/uploads/transferir-seize-roles-fsmo-active-directory-paso-a-paso-imagen-5.webp)
Figura E: Conexión a un controlador de dominio
Una vez que te hayas conectado al otro controlador de dominio, haz clic derecho nuevamente en Dominios y relaciones de confianza de Active Directory y selecciona "Másteres de operaciones...". Esto mostrará un cuadro de diálogo similar al que se utilizó para transferir un rol a nivel de dominio (ver Figura F).
![Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 6 Newsmatic Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 6 Newsmatic](/wp-content/uploads/transferir-seize-roles-fsmo-active-directory-paso-a-paso-imagen-6.webp)
Figura F: Transferencia de un rol a nivel de bosque
Uso de la interfaz de línea de comandos
Puedes realizar todas estas mismas operaciones desde la línea de comandos, utilizando la herramienta de diagnóstico de Active Directory, ntdsutil.exe. Esta herramienta es interactiva, es decir, cuando la invocas, tienes varios submenús a tu disposición. En este caso, como estoy hablando de transferir y confiscar roles, utilizaré el submenú "Roles".
Para hacer esto, escribe "ntdsutil" en la línea de comandos. El símbolo del sistema cambiará para reflejar el nivel actual del menú. En este caso, en el símbolo del sistema "ntdsutil", escribirías "roles". El símbolo del sistema cambiará entonces a "Mantenimiento de FSMO" (como se verá a continuación en la Figura G).
Los comandos disponibles en el submenú "Roles" son:
![](https://newsmatic.com.ar/wp-content/uploads/consejo-tecnico-utiliza-ping-para-obtener-el-nombre-de-host-de-una-computadora-imagen-1-150x150.webp)
- Conexiones
- Confiscar el máster de nombre de dominio
- Confiscar el máster de infraestructura
- Confiscar el PDC
- Confiscar el máster RID
- Confiscar el máster de esquema
- Seleccionar el objetivo de operación
- Transferir el máster de nombre de dominio
- Transferir el máster de infraestructura
- Transferir el PDC
- Transferir el máster RID
- Transferir el máster de esquema
![Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 7 Newsmatic Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 7 Newsmatic](/wp-content/uploads/transferir-seize-roles-fsmo-active-directory-paso-a-paso-imagen-7.webp)
Figura G: Conexión a otro controlador de dominio utilizando ntdsutil
La Figura H ilustra cómo utilizar ntdsutil para transferir un rol.
![Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 8 Newsmatic Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 8 Newsmatic](/wp-content/uploads/transferir-seize-roles-fsmo-active-directory-paso-a-paso-imagen-8.webp)
Figura H: Transferencia de un rol utilizando ntdsutil
Confiscación de un rol
La transferencia solo se puede hacer si el controlador de dominio original está activo en la red. Si un controlador de dominio que alberga un único rol de operaciones maestras ya no está disponible (posiblemente debido a una falla catastrófica), no podrás transferir ese rol a otro controlador de dominio. En ese caso, puedes mover ese rol a otro controlador de dominio mediante la confiscación del rol.
La confiscación de un rol solo se puede hacer a través de la interfaz de línea de comandos utilizando ntdsutil.exe. Es extremadamente importante recordar dos cosas acerca de la confiscación de roles FSMO:
- Nunca confiscar un rol a menos que sea tu último recurso. Si un controlador de dominio que alberga un rol solo estará fuera de servicio temporalmente, no te preocupes. Tu red podrá funcionar sin él durante un corto tiempo.
- Si se confiscan los roles de máster de esquema, máster de nombre de dominio o máster RID de un controlador de dominio, nunca se debe permitir que ese controlador de dominio se vuelva a poner en línea.
Toma en serio los roles FSMO
Las redes que utilizan Active Directory aún suelen ser relativamente jóvenes, por lo que es muy probable que hasta ahora los administradores hayan tenido muy poca necesidad de preocuparse por los roles FSMO. Pero a medida que la red envejece y llega el momento de reemplazar servidores, será necesario tener mucho cuidado para preservar la integridad de esos roles. En algún momento, será necesario reemplazar los controladores de dominio que albergan roles FSMO. Los administradores deberán entender dónde se encuentran los roles y cómo transferirlos en caso de un corte planificado, o cómo confiscar un rol si el corte es no planificado.
![](https://newsmatic.com.ar/wp-content/uploads/como-garantizar-la-seguridad-en-las-redes-inalambricas-150x150.jpg)
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados