Windows Server 2012 - Lab 2: Parte IV - Transferencia de los 5 roles

maestros al nuevo DC en dominio Windows Server 2008 / Windows

Server 2008 R2
28 diciembre 2012 10:00 by David.Lopez

En esta cuarta parte mostraremos los pasos necesarios para realizar la transferencia de los 5 roles
maestros en el nuevo controlador de dominio con Windows Server 2012 en un dominio existente
con Windows Server 2008 / Windows Server 2008 R2, con el objetivo de realizar la migracin del Active
Directory. Se debe tener en cuenta que en artculos anteriores ya hemos explicado como realizar estas
acciones con Windows Server 2012, y en este artculo volveremos a recordar por si alguno de nuestros
lectores no las ha visto todava.
1. Desde la consola de sistema del servidor con Windows Server 2012 tendremos que ejecutar los
comandos siguientes:
?

1
2
3
4
5
6
7

ntdsutil
roles
connections
connect to server <name_server>

Tendremos que cambiar el valor de <name_server> por el nombre del servidor con Windows Server
2008 / Windows Server 2008 R2.
?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

q
transfer infrastructure master
transfer naming master
transfer PDC
transfer RID master
transfer schema master
q
q

2. Comprobar que los 5 roles maestros han sido transferidos correctamente al nuevo controlador de
dominio en Windows Server 2012.

netdom /query fsmo

3. Seleccionar el controlador de dominio con Windows Server 2008 / Windows Server 2008 R2 y desde
el men contextual seleccionar la opcin Properties.

4. Pulsar el botn NTDS Settings, desmarcar la casilla Global Catalog y pulsar el botn OK.

Ahora tenemos el servidor Windows Server 2012 como catlogo global y controlador de dominio, y
dejamos el servidor Windows Server 2008 / Windows Server 2008 R2 como controlador de dominio.
Os esperamos en el prximo artculo, en el que explicaremos como realizar la degradacin del
controlador de dominio enWindows Server 2008 / Windows Server 2008 R2, despus de que tengamos
promocionado un nuevo controlador de dominio enWindows Server 2012.

Roles
En este artculo se describe cmo utilizar la utilidad Ntdsutil.exe para transferir o asumir las
funciones de operaciones de maestro nico flexible (FSMO, o Flexible Single Master Operations).
Volver arriba | Enviar comentarios

Ms informacin
Algunas operaciones a nivel de dominio y de empresa que no son adecuadas para
actualizaciones de varios maestros las realiza un solo controlador de dominio en un dominio o
bosque de Active Directory. Los controladores de dominio designados para realizar estas
operaciones exclusivas se denominan maestros de operaciones o titulares de la funcin FSMO.
En la lista siguiente se describen las 5 funciones FSMO exclusivas de un bosque de Active
Directory, as como las operaciones dependientes que realizan:
Maestro de esquema: afecta a todo el bosque y hay una para cada bosque. Esta
funcin es necesaria para expandir el esquema de un bosque de Active Directory o
para ejecutar el comando adprep /forestprep.
Maestro de nombres de dominio: afecta a todo el bosque y hay una para cada
bosque. Esta funcin es necesaria para agregar o eliminar dominios o particiones de
aplicaciones en un bosque.
Maestro RID: afecta a todo el dominio y hay una para cada dominio. Esta funcin es
necesaria para asignar el grupo de RID con objeto de que los controladores de
dominio nuevos o existentes puedan crear cuentas de usuario y de equipo, as como
grupos de seguridad.
Emulador de PDC: afecta a todo el dominio y hay una para cada dominio. Esta
funcin es necesaria para el controlador de dominio que enva actualizaciones de
base de datos a los controladores de dominio de reserva de Windows NT. El
controlador de dominio propietario de esta funcin es tambin el objetivo de ciertas
herramientas de administracin y actualizaciones de contraseas de cuentas de
usuario y de equipo.
Maestro de infraestructuras: afecta a todo el dominio y hay una para cada dominio.
Esta funcin es necesaria para que los controladores de dominio puedan ejecutar
correctamente el comando adprep /forestprep, as como para actualizar los
atributos SID y de nombre completo para los objetos a los que se hace referencia
entre varios dominios.
El Asistente para instalacin de Active Directory (Dcpromo.exe) asigna las 5 funciones FSMO al
primer controlador de dominio del dominio raz del bosque. Las tres funciones especficas del
dominio se asignan al primer controlador de dominio de cada nuevo dominio secundario o de
rbol. Los controladores de dominio siguen siendo los propietarios de las funciones FSMO hasta
que se reasignen utilizando uno de los mtodos siguientes:
Para reasignar la funcin, el administrador debe utilizar una herramienta
administrativa GUI.
Para realizar esta operacin, debe usar el comando ntdsutil /roles.
El administrador debe utilizar el Asistente de instalacin de Active Directory para
degradar correctamente un controlador de dominio contenedor de funciones. Este
asistente reasigna las funciones contenidas localmente a un controlador de dominio
existente del bosque. Las operaciones de degradacin realizadas utilizando el
comando dcpromo /forceremovaldejan las funciones FSMO en un estado no vlido
hasta que son reasignadas por un administrador.
Se recomienda transferir las funciones FSMO en los escenarios siguientes:
El titular de la funcin actual est operativo y el nuevo propietario de FSMO puede
acceder a l en la red.
Est degradando correctamente un controlador de dominio que actualmente posee
funciones FSMO que desea asignar a un controlador de dominio especfico de su
bosque de Active Directory.
El controlador de dominio que actualmente posee funciones FSMO se est
desconectando para su mantenimiento peridico y es necesario que se asignen

funciones FSMO especficas a un controlador de dominio "activo". Esto puede ser

necesario para realizar operaciones que se conectan con el propietario de FSMO.
Esto sera especialmente cierto para la funcin de emulador PDC, pero no tanto para
las funciones de maestro RID, de maestro de nombres de dominio y de maestro de
esquema.
Se recomienda que asuma las funciones FSMO en los escenarios siguientes:
El titular de la funcin actual est experimentando un error operativo que impide
que una operacin dependiente de FSMO termine correctamente y dicha funcin no
se puede transferir.
Para degradar por la fuerza a un controlador de dominio que posee una funcin
FSMO, se utiliza el comando dcpromo /forceremoval.
El sistema operativo del equipo que posea originalmente una funcin especfica ya
no existe o se ha reinstalado.
Mientras se produce la replicacin, los controladores de dominio que no son FSMO del dominio o
del bosque son plenamente conscientes de los cambios realizados por los controladores de
dominio que son titulares de funciones FSMO. Si debe transferir una funcin, el controlador de
dominio ms idneo es aqul que est en el dominio apropiado que ha realizado la replicacin
entrante por ltima vez, o la ha realizado recientemente, de una copia modificable de la
particin FSMO desde el titular de la funcin existente. Por ejemplo, el titular de la funcin de
maestro de esquema tiene la ruta de acceso completa
CN=schema,CN=configuration,dc=<dominio de raz de bosque>, lo que significa que las
funciones estn ubicadas en la particin CN=schema y se replican como parte de ella. Si el
controlador de dominio que tiene la funcin de maestro de esquema experimenta un fallo de
hardware o de software, un buen candidato para ser titular de las funciones sera un controlador
de dominio del dominio raz y del mismo sitio Active Directory que el propietario actual. Los
controladores de dominio del mismo sitio Active Directory realizan la replicacin entrante cada 5
minutos o cada 15 segundos.
La particin para cada funcin FSMO est en la lista siguiente:

Funcin FSMO

Particin

Esquema

CN=Schema,CN=configuration,DC=<dominio de raz de bosque>

Maestro de nombres de dominio

CN=configuration,DC=<dominio de raz de bosque>

PDC

DC=<dominio>

RID

DC=<dominio>

Infraestructura

DC=<dominio>

Un controlador de dominio cuyas funciones FSMO se han asumido no debera poder comunicarse
con los controladores de dominio existentes en el bosque. En este escenario, debera formatear
el disco duro y reinstalar el sistema operativo en dichos controladores de dominio o forzar la
degradacin de stos en una red privada y, a continuacin, eliminar sus metadatos en un
controlador de dominio superviviente en el bosque utilizando el comando ntdsutil /metadata
cleanup. El riesgo de introducir un antiguo titular de funcin FSMO cuya funcin se ha asumido
en el bosque es que el titular original de la funcin puede seguir funcionando como antes hasta
que replique de forma entrante el conocimiento de la toma de control de la funcin. Los riesgos
conocidos de dos controladores de dominio que posean las mismas funciones FSMO incluyen la
creacin de principales de seguridad con grupos RID superpuestos, as como otros problemas.

Transferir funciones FSMO

Para transferir las funciones FSMO mediante la utilidad Ntdsutil, siga estos pasos:
1. Inicie una sesin en un equipo o controlador de dominio basado en Windows 2000
Server o Windows Server 2003 que est ubicado en el bosque donde se estn
transfiriendo las funciones FSMO. Se recomienda que inicie una sesin en el
controlador de dominio al que est asignando las funciones FSMO. El usuario que ha
iniciado la sesin debera ser miembro del grupo de administradores de organizacin
para poder transferir las funciones de maestro de esquema o de maestro de
nombres de dominio, o miembro del grupo de administradores de dominio del
dominio donde se van a transferir las funciones de emulador de PDC, de maestro
RID y de maestro de infraestructura.
2. Haga clic en Inicio y en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a
continuacin, haga clic en Aceptar.
3. Escriba roles y presione ENTRAR.

4.
5.
6.
7.

8.

Nota:
Para ver una lista de comandos disponibles en cualquiera de los smbolos del
sistema de la utilidad Ntdsutil, escriba ? y, a continuacin, presione ENTRAR.
Escriba connections y, a continuacin, presione ENTRAR.
Escriba connect to server nombre del servidor y, a continuacin, presione
ENTRAR, donde nombre del servidor es el nombre del controlador de dominio al que
desea asignar la funcin FSMO.
Escriba q en el smbolo del sistema server connections y, a continuacin, presione
ENTRAR.
Escriba transfer funcin, donde funcin es la funcin que desea transferir. Si
desea consultar la lista de funciones que puede transferir, escriba ? en el smbolo
del sistema fsmo maintenance y, a continuacin, presione ENTRAR, o vea la lista
de funciones incluidas al principio de este artculo. Por ejemplo, para transferir la
funcin de maestro RID, escriba transfer rid master. La nica excepcin es para la
funcin de emulador de PDC, cuya sintaxis es transfer pdc, no transfer pdc
emulator.
Escriba q en el smbolo del sistema fsmo maintenance y, a continuacin, presione
ENTRAR para obtener acceso al smbolo del sistema de ntdsutil. Escriba q y, a
continuacin, presione ENTRAR para salir de la utilidad Ntdsutil.

Asumir funciones FSMO

Para asumir las funciones FSMO mediante la utilidad Ntdsutil, siga estos pasos:
1. Inicie una sesin en un equipo o controlador de dominio basado en Windows 2000
Server o Windows Server 2003 que est ubicado en el bosque donde se estn
asumiendo las funciones FSMO. Se recomienda que inicie una sesin en el
controlador de dominio al que est asignando las funciones FSMO. El usuario que ha
iniciado la sesin debera ser miembro del grupo de administradores de organizacin
para poder transferir las funciones de esquema o de maestro de nombres de
dominio, o miembro del grupo de administradores de dominio del dominio donde se
van a transferir las funciones de emulador de PDC, de maestro RID y de maestro de
infraestructura.
2. Haga clic en Inicio y en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a
continuacin, haga clic en Aceptar.
3. Escriba roles y presione ENTRAR.
4. Escriba connections y, a continuacin, presione ENTRAR.
5. Escriba connect to server nombre del servidor y, a continuacin, presione
ENTRAR, donde nombre del servidor es el nombre del controlador de dominio al que
desea asignar la funcin FSMO.
6. Escriba q en el smbolo del sistema server connections y, a continuacin, presione
ENTRAR.
7. Escriba seize funcin, donde funcin es la funcin que desea asumir. Si desea
consultar la lista de funciones que puede asumir, escriba ? en el smbolo del

sistema fsmo maintenance y, a continuacin, presione ENTRAR, o vea la lista de

funciones incluidas al principio de este artculo. Por ejemplo, para asumir la funcin
de maestro RID, escriba seize rid master. La nica excepcin es para la funcin de
emulador de PDC, cuya sintaxis es seize pdc, no seize pdc emulator.
8. Escriba q en el smbolo del sistema fsmo maintenance y, a continuacin, presione
ENTRAR para obtener acceso al smbolo del sistema de ntdsutil. Escriba q y, a
continuacin, presione ENTRAR para salir de la utilidad Ntdsutil.
Notas
Bajo condiciones normales, las cinco funciones se deben asignar a
controladores de dominio activos del bosque. Si un controlador de dominio
que posee una funcin FSMO se lleva fuera de servicio antes de que se
transfieran sus funciones, deber asignar todas ellas a un controlador de
dominio apropiado que est en buenas condiciones. Se recomienda que
solamente asuma todas las funciones cuando el otro controlador de dominio
no vaya a regresar al dominio. Si es posible, repare el controlador de dominio
daado que tiene asignadas las funciones FSMO. Debera determinar qu
funciones deben estar en cada uno de los controladores de dominio restantes
con objeto de que las cinco funciones se asignen a un nico controlador de
dominio. Para obtener ms informacin acerca de la ubicacin de funciones
FSMO, haga clic en el nmero de artculo siguiente para verlo en Microsoft
Knowledge Base:
223346 Ubicacin y optimizacin del FSMO en controladores de dominio
Windows 2000
Si el controlador de dominio que anteriormente tena funciones FSMO no est
presente en el dominio y se han asumido sus funciones siguiendo los pasos
descritos en este artculo, elimnelo del Active Directory realizando el
procedimiento detallado en el siguiente artculo de Microsoft Knowledge Base:
216498 Cmo quitar datos en Active Directory despus de una degradacin
sin xito de un controlador de dominio
La eliminacin de metadatos del controlador de dominio con la versin de
Windows 2000 o de Windows Server 2003 build 3790 del
comando ntdsutil /metadata cleanup no reubica las funciones FSMO
asignadas a controladores de dominio activos. La versin de Windows Server
2003 Service Pack 1 (SP1) de la utilidad Ntdsutil automatiza esta tarea y
elimina elementos adicionales de los metadatos del controlador de dominio.
Algunos clientes prefieren no restaurar las copias de seguridad del estado del
sistema de los titulares de las funciones FSMO en caso de que la funcin haya
sido reasignada desde la realizacin de la copia de seguridad.
No coloque la funcin de maestro de infraestructura en el mismo controlador
de dominio que el servidor de catlogo global. Si el Maestro de infraestructura
se ejecuta en un servidor de catlogo global no se actualizar la informacin
de los objetos, pues no contiene referencias a objetos que no alberga. Esta
situacin se produce porque un servidor de catlogo global contiene una
rplica parcial de cada objeto del bosque.
Para probar si un controlador de dominio es tambin un servidor de catlogo global:
1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a
continuacin, haga clic en Sitios y servicios de Active Directory.
2. Haga doble clic en Sitios en el panel izquierdo y, a continuacin, localice el sitio
apropiado o haga clic en Nombre-predeterminado-primer-sitio si no hay ningn
otro sitio disponible.
3. Abra la carpeta Servidores y, a continuacin, haga clic en el controlador de dominio.
4. En la carpeta del controlador de dominio, haga doble clic en Configuracin de
NTDS.
5. En el men Accin, haga clic en Propiedades.
6. En la ficha General, compruebe si est seleccionada la casilla de
verificacin Catlogo global.

[HOW-TO] Active Directory Domain Services | Como verificar,

transferir o asumir roles FSMO
Posted on 03/02/2013 by Pablo Ariel Di Loreto Posted in Como Hacer y Galera, WS - Active Directory
Domain Services (ADDS) 4 Comments

Si bien Active Directory es un sistema multi-master donde todos los controladores de dominio
pueden realizar todas las tareas, hay algunas de ellas que solo puede realizar un controlador
de dominio a la vez, y solo uno. Estas funciones se conocen como roles FSMO (Flexible Single
Master Operations).
En este tutorial veremos cmo reconocer en que Controlador de Dominio estn estos roles en
nuestra organizacin, como transferirlos entre ellos y, tambin, como realizar un seize, es
decir que un controlador de dominio asuma uno o ms roles que antes tena otro controlador
de dominio pero ahora ya no est disponible.

Tabla de Contenido [Ocultar]

o
o
o

o
o
o
o

Introduccin
Objetivo
Audiencia
Comentarios y Correccin de Errores
Alcance
Objetivo Tcnico
Tecnologas Alcanzadas
Escenario de Trabajo
Tecnologas Alcanzadas
Desarrollo
Verificacin de la ubicacin de Roles FSMO
Verificacin por lnea de comandos
Transferencia de los Roles FSMO de un DC a otro DC
Transferencia por Lnea de Comandos
Transferencia por Interfaz Grfica

Schema Master
RID Master, PDC Emulator, e Infrastructure Masters
Domain Naming Master

Seize de los Roles FSMO

Seize por Lnea de Comandos

Conclusiones
Referencias y Links
Publicaciones Relacionadas
Pablo Ariel Di Loreto

Introduccin
Objetivo
El presente documento tiene como objetivo mostrar cmo verificar, transferir o asumir roles
FSMO (Flexible Single-Master Operations) en Active Directory Domain Services a partir de
Windows 2000.

Audiencia
Este documento est dirigido a Consultores, Profesionales IT y personas que desarrollan
tareas de Consultora, Administracin y Soporte o que simplemente estn interesados en
aprender nuevas cosas.

Comentarios y Correccin de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos
seres humanos. Si deses reportar algn error o darnos feedback de qu te pareci esta
publicacin, por favor no dejes de comunicarte con nosotros a travs de correo electrnico a la
siguiente direccin: info@tectimes.net.

Alcance
Entender cul es el alcance de la publicacin nos ayuda a tener una expectativa real de lo que
encontraremos en la misma, de modo tal que quin lo lee no espere ni ms ni menos de lo que

encontrar. Vamos a describir el escenario de trabajo, tecnologas alcanzadas, la bitcora y el

objetivo tcnico.

Objetivo Tcnico
El objetivo tcnico de esta publicacin es:

Mostrar cmo reconocer los roles FSMO y su ubicacin.

Realizar una transferencia de los roles entre controladores de dominio vivos.

Realizar un seize (robo) de roles entre controladores de dominio.

El requerimiento descrito en el ttulo se ver cerrado cuando:

Podamos verificar el owner de los roles FSMO de Active Directory Domain Services.

Podamos transferir entre controladores de dominio los roles FSMO de Active Directory Domain
Services.

Podamos trasladar entre controladores de dominio los roles FSMO de Active Directory Domain
Services ante la eventual falla de uno de ellos que lo aloja.

Tecnologas Alcanzadas
Esta publicacin puede aplicarse a:

Windows Server 2012 Standard

Windows Server 2012 Datacenter.

Escenario de Trabajo
El escenario de trabajo que tenemos para este tutorial es el siguiente:

Contamos con un dominio de Active Directory llamado ESTUDIOMARTIN.LOCAL de una

empresa de fantasa llamada ESTUDIOMARTIN.

Contamos con dos controladores de dominio:

PDC01.ESTUDIOMARTIN.LOCAL

PDC02.ESTUDIOMARTIN.LOCAL

Tecnologas Alcanzadas
Si bien esta publicacin trata especficamente sobre Active Directory Domain Services partir
de su versin en Windows Server 2008, tambin puede aplicarse con algunas restricciones a:

Windows Server 2000.

Windows Server 2003.

Windows Server 2003 R2.

Desarrollo
A partir de Active Directory en la versin de Windows Server 2000, existen algunos roles que
solo pueden ser ejecutados por un solo controlador de dominio, a veces en el Forest y otras en
el Dominio. Estos roles se conocen como Flexible Single Master Operations (FSMO). Los
Roles FSMO son 5:

Schema Master: puede haber uno en el Forest.

Domain Naming Master: puede haber uno en el Forest.

RID Master: puede haber uno en cada Dominio del Forest.

PDC Emulator: puede haber uno en cada Dominio del Forest.

Infraestructure Master: puede haber uno en cada Dominio del Forest.

El objetivo de este tutorial no es explicar para que sirve cada uno: esta informacin est
disponible en las Publicaciones relacionadas al final del mismo. Solo diremos que cada rol
tiene funciones especficas dentro de nuestro esquema de AD, y a veces por tareas de
mantenimiento o resolucin de incidentes debemos identificar donde estn y transferirlos o
pasarlos a otros controladores de dominio.

Vamos a repasar, en este tutorial, como realizar esas tareas segn el Plan de Trabajo planeado
al inicio.

Verificacin de la ubicacin de Roles FSMO

Existen varias maneras de verificar la ubicacin de los roles FSMO en Active Directory.
Nosotros vamos a dividir estas maneras en: por lnea de comandos y grfica. Aqu solo vamos
a desarrollar la opcin de lnea de comandos, dado que la grfica la desarrollaremos en la
Transferencia de Roles ms adelante.

Verificacin por lnea de comandos

Para verificar la ubicacin de los roles rpidamente, podemos abrir un CMD o PowerShell en
un controlador de dominio y ejecutar el siguiente comando:

1 Netdom query fsmo

Esto dar como resultado la siguiente salida:

Ilustracin 1 Comando para verificar ubicacin de roles FSMO en Windows Server.

Como vemos, este comando nos indica cada rol y su ubicacin (en qu controlador de dominio
se encuentra). En nuestro caso, todos los role estn en el PDC01.

Transferencia de los Roles FSMO de un DC a otro DC

Supongamos que queremos realizar un mantenimiento prolongado del PDC01. Para evitar
disrupcin de servicio en los clientes, vamos a transferir los roles FSMO del PDC01 al PDC02.
Tenemos varias opciones para hacerlo: por lnea de comandos o por interfaz grfica. Vamos a
explorar ambas opciones.

Transferencia por Lnea de Comandos

Para realizar la transferencia por lnea de comandos, es necesario hacer uso del comando
NTDSUTIL. Para ello ingresamos por CMD el siguiente texto:

1 NTDSUTIL

Obteniendo como resultado:

Ilustracin 2 Transferencia por Lnea de Comandos de Roles a travs de NTDSUTIL.

Luego ingresamos:

1 roles

Ilustracin 3 Transferencia por Lnea de Comandos de Roles a travs de NTDSUTIL.

Una vez recibido fsmo maintenance ingresaremos:

1 connections

Ilustracin 4 Transferencia por Lnea de Comandos de Roles a travs de NTDSUTIL.

La respuesta del sistema ser server connections. Ahora debemos conectarnos al controlador
de dominio al cual queremos transferir los roles. En nuestro caso es
PDC02.ESTUDIOMARTIN.LOCAL. Por esta razn, ingresaremos:

1 Connect to Server PDC02.ESTUDIOMARTIN.LOCAL

Ilustracin 5 Transferencia por Lnea de Comandos de Roles a travs de NTDSUTIL.

Ya estando conectados, tipearemos q para ir hacia atrs:

Ilustracin 6 Transferencia por Lnea de Comandos de Roles a travs de NTDSUTIL.

Y ahora comenzaremos a transferir los roles. Para transferir los roles necesitamos ingresar la
siguiente sintaxis:

1 Transfer [nombre de rol]

Por ejemplo, para transferir el Schema Master debemos ingresar:

1 Transfer Schema Master

Ilustracin 7 Transferencia por Lnea de Comandos de Roles a travs de NTDSUTIL.

El sistema nos preguntar si queremos realizar la transferencia, a lo cual respondemos que s

y obtenemos como resultado:

Ilustracin 8 Transferencia por Lnea de Comandos de Roles a travs de NTDSUTIL.

Por cada rol que queremos transferir, este es el comando:

1 Transfer
2 Transfer
3 Transfer
4 Transfer
5 Transfer

infrastructure master
naming master
PDC
RID master
schema master

Transferencia por Interfaz Grfica

Existe otro mtodo para transferir los roles FSMO y es a travs de la interfaz grfica. Vamos a
recorrer cada rol para determinar dicho mtodo por intefaz grfica.

Schema Master
Para poder verificar en forma grfica donde est el Schema Master, primero debemos
conectarnos al controlador de dominio al cual queremos transferirlo. Luego, debemos antes
registrar una DLL en dicho DC. Para esto vamos a ir al CMD e ingresaremos lo siguiente:

1 regsvr32 schmmgmt.dll

Luego de ejecutar el comando, nos debera aparecer el siguiente cartel:

Ilustracin 9 Registro de schmmgmt.dll para verificar el rol Schema Master.

Una vez realizado esto, podemos abrir un MMC (Microsoft Management Console) desde el
men inicio, buscando MMC y haciendo clic en el complemento:

Ilustracin 10 Microsoft Management Console (MMC) para transferir rol Schema Master.

Elegiremos, desde el men File la opcin Add/Remove Snag-in:

Ilustracin 11 Microsoft Management Console (MMC) para transferir rol Schema Master.

Seleccionaremos y agregaremos el complemento Active Directory Schema:

Ilustracin 12 Microsoft Management Console (MMC) para transferir rol Schema Master.

Una vez agregado el complemento, aceptamos y hacemos botn derecho sobre el mdulo,
seleccionando la opcin Operations Master

Ilustracin 13 Microsoft Management Console (MMC) para transferir rol Schema Master.

Nos aparecer un cuadro con la posibilidad de cambiar (Change) la ubicacin del rol.

Ilustracin 14 Microsoft Management Console (MMC) para transferir rol Schema Master.

Cuando hacemos clic en Change nos pedir confirmacin:

Ilustracin 15 Microsoft Management Console (MMC) para transferir rol Schema Master.

Una vez confirmada la opcin, el rol se habr transferido.

Ilustracin 16 Microsoft Management Console (MMC) para transferir rol Schema Master.

Si por algn motivo no tenemos la opcin Change disponible, es porque nos hemos
conectado al DC que aloja actualmente el rol. Recordar conectarse al DC al que QUEREMOS
TRANSFERIR el rol!

RID Master, PDC Emulator, e Infrastructure Masters

Estos tres roles se transfieren desde el mismo lugar. Vamos a ingresar a la consola Active
Directory Users and Computers desde el controlador de dominio al cual queremos transferir
los roles, all haremos botn derecho sobre el dominio y elegiremos Operations Masters:

Ilustracin 17 Active Directory Users and Computers para transferir roles RID Master, PDC Emulator, and Infrastructure
Masters.

Una vez all, nos aparecer un cuadro con la posibilidad de cambiar la ubicacin de estos tres
roles:

Ilustracin 18 Active Directory Users and Computers para transferir roles RID Master, PDC Emulator, and Infrastructure
Masters.

Slo debemos ir a cada solapa y elegir Change.

Domain Naming Master

Para transferir este rol, debemos ir a la consola Active Directory Domains and Trusts, hacer
botn derecho en la raz de la consola (no el nombre del dominio, sino un paso ms arriba) y
hacer clic en Operations Master:

Ilustracin 19 Active Directory Domains and Trusts para transferir rol de Domain Naming.

All aparecer un cuadro donde podemos transferir este rol haciendo clic en el botn Change:

Ilustracin 20 Active Directory Domains and Trusts para transferir rol de Domain Naming.

Seize de los Roles FSMO

Existen escenarios donde no es posible transferir los roles, dado que el controlador de dominio
donde estaban alojados tiene problemas, ya no existe o no puede replicar.
En estos escenarios, debemos realizar un Seize de los roles. Esto significa que otro
controlador de dominio asumir, en forma forzada, los roles. Cabe destacar algo muy
importante: una vez hecho un seize, el controlador de dominio que alojaba antes los roles no
puede volver a ser encendido, debiendo volver a promoverlo (previa despromocin forzada) de
su rol de Domain Controller.
Para realizar el seize de roles debemos utilizar la lnea de comandos y el comando NTDSUTIL
utilizado para la transferencia de roles que antes vimos.

Seize por Lnea de Comandos

Para realizar el seize o robo de roles, debemos utilizar s o s la lnea de comandos. Vamos a
hacer uso del comando NTDSUTIL. Para ello ingresamos por CMD el siguiente texto:

1 NTDSUTIL

Obteniendo como resultado:

Ilustracin 21 Seize de Roles por Lnea de Comandos a travs de NTDSUTIL.

Luego ingresamos:

1 roles

Ilustracin 22 Seize de Roles por Lnea de Comandos a travs de NTDSUTIL.

Una vez recibido fsmo maintenance ingresaremos:

1 connections

Ilustracin 23 Seize de Roles por Lnea de Comandos a travs de NTDSUTIL.

La respuesta del sistema ser server connections. Ahora debemos conectarnos al controlador
de dominio al cual queremos robar los roles. En nuestro caso es
PDC02.ESTUDIOMARTIN.LOCAL. Por esta razn, ingresaremos:

1 Connect to Server PDC02.ESTUDIOMARTIN.LOCAL

Ilustracin 24 Seize de Roles por Lnea de Comandos a travs de NTDSUTIL.

Ya estando conectados, tipearemos q para ir hacia atrs:

Ilustracin 25 Seize de Roles por Lnea de Comandos a travs de NTDSUTIL.

Y ahora comenzaremos a hacer seize de los roles. Para hacer el seize de los roles
necesitamos ingresar la siguiente sintaxis:

1 Seize [nombre de rol]

Por ejemplo, para hacer el seize del Schema Master debemos ingresar:

1 Seize Schema Master

Ilustracin 26 Seize de Roles por Lnea de Comandos a travs de NTDSUTIL.

El sistema nos preguntar si queremos realizar el seize, a lo cual respondemos que s. Por
cada rol que queremos hacer seize, este es el comando:

1 Seize
2 Seize
3 Seize
4 Seize
5 Seize

infrastructure master
naming master
PDC
RID master
schema master

Es importante RECORDAR que una vez hecho un Seize de algn rol, el controlador de dominio
que alojaba dicho rol no puede volver a ser encendido y debe ser removido forzadamente.

Conclusiones
Como hemos visto, los roles FSMO pueden ser transferidos y alocados forzadamente en otra
ubicacin. Estas operaciones nos permiten:

En el caso de transferencia:
o

Hacer mantenimientos programados.

Reiniciar controladores de dominio con seguridad.

Realizar tareas varias de mantenimiento y salud.

En el caso de seizce:
o

Realizar remediaciones ante imprevistos.

Realizar correcciones ante roturas de hardware en DCs que alojaban roles.