Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva

Los administradores de Windows saben que uno de los aspectos más importantes en la gestión de Active Directory es comprender los diversos roles que los servidores deben desempeñar. En un artículo anterior, hablamos sobre las funciones de los cinco roles de operaciones maestras flexibles (FSMO) en Active Directory. Ahora voy a hablar sobre la ubicación de esos roles dentro del bosque y el dominio, y explicar cómo mover esos roles a otros controladores de dominio, ya sea mediante su transferencia o su confiscación.

Índice de Contenido
  1. Ubicación de los roles FSMO en la red
  2. Transferencia de roles
    1. Uso de la GUI
    2. Uso de la interfaz de línea de comandos
  3. Confiscación de un rol
  4. Toma en serio los roles FSMO

Ubicación de los roles FSMO en la red

Como mencioné en el primer artículo, los dos roles a nivel de bosque (máster de esquema y máster de nombre de dominio) se instalan de forma predeterminada en el primer controlador de dominio del bosque. Los tres roles a nivel de dominio (máster RID, emulador PDC y máster de infraestructura) se instalan de forma predeterminada en el primer controlador de dominio del dominio.

En una pequeña oficina con un solo dominio, es muy probable que los cinco roles se encuentren en un solo controlador de dominio. Pero en una red empresarial grande, no se debe permitir que eso suceda. Es mejor asegurarse de que los dos roles a nivel de bosque estén ubicados en su propio controlador de dominio, separados de los roles a nivel de dominio. Si elige instalar los roles en más de un controlador de dominio, esos controladores deben ser socios de replicación.

Al mismo tiempo, no se puede ignorar los controladores de dominio que albergan el catálogo global. Recuerde que el máster de nombre de dominio debe estar en un controlador de dominio que sea anfitrión del catálogo global. Y, a su vez, el máster de infraestructura no debe estar en un controlador de dominio que sea anfitrión del catálogo global. (La única excepción a esto es si todos los controladores de dominio son servidores de catálogo global, lo cual no debería ser el caso en una red empresarial.) Existen numerosas formas de decidir dónde ubicar los roles FSMO. El Figura A muestra un ejemplo.

Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 1 Newsmatic

Figura A: Ejemplo de ubicación de roles FSMO

Transferencia de roles

Existen dos razones principales para mover un role FSMO de un controlador de dominio a otro. Una razón es porque se desea hacerlo. Es decir, el movimiento está planeado por alguna razón, como el decomisionamiento de un servidor que tiene uno o varios roles FSMO. Cuando se lleva a cabo un movimiento planeado, se denomina transferencia del rol.

Protege tu red: Bloquea mensajes ICMP maliciosos para prevenir ataques de hackers

La otra razón para mover un rol es porque se debe hacerlo. Por ejemplo, puede ser necesario mover un rol cuando un servidor que tiene uno o varios roles FSMO ha sufrido una falla catastrófica de hardware. Cuando se realiza un movimiento no planeado, se denomina confiscación del rol. Nunca se debe confiscar un rol a menos que sea absolutamente necesario.

Se puede realizar una transferencia de un rol tanto a través de la interfaz gráfica de usuario (GUI) como a través de la interfaz de línea de comandos (CLI), mientras que la confiscación de un rol solo se puede llevar a cabo a través de la línea de comandos.

Tanto si se realiza a través de la GUI como a través de la CLI, el movimiento de un rol se realiza en dos pasos:

  1. Conectar a un controlador de dominio
  2. Transferir o confiscar el rol

Veamos primero cómo se realiza la transferencia de un rol a través de la GUI. Después, te mostraré cómo se hace usando la CLI.

Uso de la GUI

Para cambiar un rol a nivel de dominio, haz clic en Inicio | Herramientas administrativas | Usuarios y equipos de Active Directory. Luego, como se muestra en Figura B, haz clic derecho en el dominio y selecciona Conectar al controlador de dominio...

Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 2 Newsmatic

Figura B: Conexión a un controlador de dominio

Cómo asegurar tu servidor Samba: opciones de configuración clave para una mayor seguridad

A continuación, verás un cuadro de diálogo en el que puedes especificar a qué controlador de dominio deseas conectarte (ver Figura C).

Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 3 Newsmatic

Figura C: Especificación del controlador de dominio

Una vez que te hayas conectado al controlador de dominio al que transferirás un rol, haz clic derecho nuevamente en el dominio y selecciona "Másters de operaciones...". Esto mostrará el cuadro de diálogo que se ve en Figura D.

Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 4 Newsmatic

Figura D: Transferencia de un rol a nivel de dominio

Este cuadro de diálogo te permitirá transferir un rol a nivel de dominio de un controlador de dominio a otro, siempre y cuando ya te hayas conectado a ese controlador de dominio. Si no te has conectado al controlador de dominio, aparecerá el mismo nombre en ambas casillas. Para cambiar un rol a nivel de bosque, haz clic en Inicio | Herramientas administrativas | Dominios y relaciones de confianza de Active Directory.

A continuación, como se muestra en Figura E, haz clic derecho en Dominios y relaciones de confianza y selecciona Conectar al controlador de dominio...

Cómo solucionar un controlador que está colgando tu sistema en Windows NT
Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 5 Newsmatic

Figura E: Conexión a un controlador de dominio

Una vez que te hayas conectado al otro controlador de dominio, haz clic derecho nuevamente en Dominios y relaciones de confianza de Active Directory y selecciona "Másteres de operaciones...". Esto mostrará un cuadro de diálogo similar al que se utilizó para transferir un rol a nivel de dominio (ver Figura F).

Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 6 Newsmatic

Figura F: Transferencia de un rol a nivel de bosque

Uso de la interfaz de línea de comandos

Puedes realizar todas estas mismas operaciones desde la línea de comandos, utilizando la herramienta de diagnóstico de Active Directory, ntdsutil.exe. Esta herramienta es interactiva, es decir, cuando la invocas, tienes varios submenús a tu disposición. En este caso, como estoy hablando de transferir y confiscar roles, utilizaré el submenú "Roles".

Para hacer esto, escribe "ntdsutil" en la línea de comandos. El símbolo del sistema cambiará para reflejar el nivel actual del menú. En este caso, en el símbolo del sistema "ntdsutil", escribirías "roles". El símbolo del sistema cambiará entonces a "Mantenimiento de FSMO" (como se verá a continuación en la Figura G).

Los comandos disponibles en el submenú "Roles" son:

Cómo utilizar la utilidad Ping para obtener el nombre del host de una dirección IP en Windows 9x
  • Conexiones
  • Confiscar el máster de nombre de dominio
  • Confiscar el máster de infraestructura
  • Confiscar el PDC
  • Confiscar el máster RID
  • Confiscar el máster de esquema
  • Seleccionar el objetivo de operación
  • Transferir el máster de nombre de dominio
  • Transferir el máster de infraestructura
  • Transferir el PDC
  • Transferir el máster RID
  • Transferir el máster de esquema
Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 7 Newsmatic

Figura G: Conexión a otro controlador de dominio utilizando ntdsutil

La Figura H ilustra cómo utilizar ntdsutil para transferir un rol.

Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva - Redes | Imagen 8 Newsmatic

Figura H: Transferencia de un rol utilizando ntdsutil

Confiscación de un rol

La transferencia solo se puede hacer si el controlador de dominio original está activo en la red. Si un controlador de dominio que alberga un único rol de operaciones maestras ya no está disponible (posiblemente debido a una falla catastrófica), no podrás transferir ese rol a otro controlador de dominio. En ese caso, puedes mover ese rol a otro controlador de dominio mediante la confiscación del rol.

La confiscación de un rol solo se puede hacer a través de la interfaz de línea de comandos utilizando ntdsutil.exe. Es extremadamente importante recordar dos cosas acerca de la confiscación de roles FSMO:

  1. Nunca confiscar un rol a menos que sea tu último recurso. Si un controlador de dominio que alberga un rol solo estará fuera de servicio temporalmente, no te preocupes. Tu red podrá funcionar sin él durante un corto tiempo.
  2. Si se confiscan los roles de máster de esquema, máster de nombre de dominio o máster RID de un controlador de dominio, nunca se debe permitir que ese controlador de dominio se vuelva a poner en línea.

Toma en serio los roles FSMO

Las redes que utilizan Active Directory aún suelen ser relativamente jóvenes, por lo que es muy probable que hasta ahora los administradores hayan tenido muy poca necesidad de preocuparse por los roles FSMO. Pero a medida que la red envejece y llega el momento de reemplazar servidores, será necesario tener mucho cuidado para preservar la integridad de esos roles. En algún momento, será necesario reemplazar los controladores de dominio que albergan roles FSMO. Los administradores deberán entender dónde se encuentran los roles y cómo transferirlos en caso de un corte planificado, o cómo confiscar un rol si el corte es no planificado.

Cómo garantizar la seguridad en las redes inalámbricas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Maestría en Active Directory: Traspaso y Apoderamiento de Roles FSMO de forma Sencilla y Efectiva , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.