Transferir o aprovechar roles FSMO en servicios de dominio de Active Directory

En este artículo se describe cuándo y cómo transferir o aprovechar roles de operaciones maestras únicas flexibles (FSMO).

Se aplica a:   Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Número KB original:   255504

Más información

Dentro de un bosque de Servicios de dominio de Active Directory (AD DS), hay tareas específicas que solo debe realizar un controlador de dominio (DC). Los DCs que se asignan para realizar estas operaciones únicas se conocen como titulares de roles FSMO. En la tabla siguiente se enumeran los roles FSMO y su ubicación en Active Directory.

Role Ámbito Contexto de nomenclatura (partición de Active Directory)
Maestro de esquema Todo el bosque CN=Schema,CN=configuration,DC=<forest root domain>
Patrón de nomenclatura de dominio Todo el bosque CN=configuration,DC=<forest root domain>
Emulador PDC Todo el dominio DC=<domain>
Patrón de RID Todo el dominio DC=<domain>
Maestro de infraestructura Todo el dominio DC=<domain>

Para obtener más información sobre los titulares de roles de FSMO y las recomendaciones para colocar los roles, vea FSMO placement and optimization on Active Directory domain controllers.

Nota

Las particiones de aplicación de Active Directory que incluyen particiones de aplicación DNS tienen vínculos de función FSMO. Si una partición de aplicación DNS define un propietario para el rol de maestro de infraestructura, no puede usar Ntdsutil, DCPromo u otras herramientas para quitar esa partición de aplicación. Para obtener más información, vea DCPROMO demotion fails if unable to contact the DNS infrastructure master.

Cuando un controlador de dominio que ha estado actuando como un titular de funciones comienza a ejecutarse (por ejemplo, después de un error o un apagado), no se reanuda inmediatamente como el titular de la función. El controlador de dominio espera hasta que recibe la replicación entrante para su contexto de nomenclatura (por ejemplo, el propietario del rol maestro de esquema espera para recibir la replicación entrante de la partición esquema).

La información que los DCs pasan como parte de la replicación de Active Directory incluye las identidades de los titulares de roles FSMO actuales. Cuando el controlador de dominio recién iniciado recibe la información de replicación entrante, comprueba si sigue siendo el titular de la función. Si es así, reanuda las operaciones típicas. Si la información replicada indica que otro controlador de dominio actúa como el titular de la función, el DC recién iniciado renuncia a su propiedad de función. Este comportamiento reduce la posibilidad de que el dominio o bosque tenga titulares de roles FSMO duplicados.

Importante

Se producirá un error en las operaciones de AD FS si requieren un titular de funciones y si el titular de roles recién iniciado es, de hecho, el titular de la función y no recibe replicación entrante.
El comportamiento resultante es similar a lo que ocurriría si el titular de la función estaba sin conexión.

Determinar cuándo transferir o aprovechar roles

En condiciones típicas, los cinco roles deben asignarse a los DCs "vivos" del bosque. Al crear un bosque de Active Directory, el Asistente para la instalación de Active Directory (Dcpromo.exe) asigna los cinco roles FSMO al primer CONTROLADOR de dominio que crea en el dominio raíz del bosque. Al crear un dominio secundario o de árbol, Dcpromo.exe asigna los tres roles de todo el dominio al primer controlador de dominio del dominio.

Los DCs siguen siendo propietarios de roles FSMO hasta que se reasignan mediante uno de los métodos siguientes:

  • Un administrador reasigna el rol mediante una herramienta administrativa de la GUI.
  • Un administrador reasigna el rol mediante el ntdsutil /roles comando.
  • Un administrador degrada correctamente un CONTROLADOR de dominio de retención de roles mediante el Asistente para la instalación de Active Directory. Este asistente reasigna los roles mantenidos localmente a un controlador de dominio existente en el bosque.
  • Un administrador degrada un CONTROLADOR de dominio de retención de roles mediante el dcpromo /forceremoval comando.
  • El controlador de dominio se apaga y se reinicia. Cuando el controlador de dominio se reinicia, recibe información de replicación entrante que indica que otro controlador de dominio es el titular de la función. En este caso, el DC recién iniciado renuncia al rol (como se describió anteriormente).

Si un titular de roles FSMO experimenta un error o se desafuerza de otro modo antes de transferir sus roles, debe aprovechar y transferir todos los roles a un CONTROLADOR de dominio adecuado y correcto.

Se recomienda transferir roles FSMO en los siguientes escenarios:

  • El nuevo propietario de FSMO puede tener acceso al titular de la función actual en la red.
  • Está degradando correctamente un CONTROLADOR de dominio que actualmente posee roles FSMO que desea asignar a un CONTROLADOR de dominio específico en el bosque de Active Directory.
  • El DC que actualmente posee roles FSMO se está desconectando para el mantenimiento programado y debe asignar roles FSMO específicos a los DCs vivos. Es posible que tenga que transferir roles para realizar operaciones que afecten al propietario de FSMO. Esto es especialmente cierto para el rol Emulator PDC. Este es un problema menos importante para el rol de patrón RID, la función maestra de nomenclatura de dominio y las funciones maestras de esquema.

Se recomienda aprovechar los roles FSMO en los siguientes escenarios:

  • El titular de la función actual está experimentando un error operativo que impide que una operación dependiente de FSMO se complete correctamente y no se puede transferir el rol.

  • El comando se dcpromo /forceremoval usa para forzar la degradación de un controlador de dominio que es propietario de un rol FSMO.

    Importante

    El dcpromo /forceremoval comando deja los roles FSMO en un estado no válido hasta que un administrador los reasigna.

  • El sistema operativo del equipo que originalmente tenía un rol específico ya no existe o se ha reinstalado.

Nota

  • Se recomienda que solo se acalojen todos los roles cuando el titular de la función anterior no vuelva al dominio.
  • Si los roles FSMO deben aprovecharse en escenarios de recuperación de bosques, vea el paso 5 en Realizar la recuperación inicial en la sección Restaurar el primer controlador de dominio que se puede escribir en cada dominio.
  • Después de la transferencia o la incautación de funciones, el nuevo titular de la función no actúa inmediatamente. En su lugar, el nuevo titular de roles se comporta como un titular de roles reiniciado y espera a que su copia del contexto de nomenclatura para que el rol (como la partición de dominio) complete un ciclo de replicación entrante correcto. Este requisito de replicación ayuda a asegurarse de que el nuevo titular de la función esté lo más actualizado posible antes de que tome medidas. También limita la ventana de oportunidad para los errores. Esta ventana solo incluye los cambios que el titular de la función anterior no terminó de replicar en los otros DCs antes de que se desconectara. Para obtener una lista del contexto de nomenclatura para cada rol FSMO, vea la tabla en la sección Más información.

Identificar un nuevo titular de roles

El mejor candidato para el nuevo titular de roles es un DC que cumple los siguientes criterios:

  • Reside en el mismo dominio que el titular de la función anterior.
  • Tiene la copia grabable replicada más reciente de la partición de roles.

Por ejemplo, supongamos que tiene que transferir el rol maestro esquema. La función maestra Esquema forma parte de la partición de esquema del bosque (cn=Schema,cn=Configuration,dc= <forest root domain> ). El mejor candidato para un nuevo titular de roles es un CONTROLADOR de dominio que también reside en el dominio raíz del bosque y en el mismo sitio de Active Directory que el titular de la función actual.

Precaución

No coloque el rol maestro infraestructura en el mismo CONTROLADOR de dominio que el servidor de catálogo global. Si el patrón de infraestructura se ejecuta en un servidor de catálogo global, deja de actualizar la información del objeto porque no contiene referencias a objetos que no contiene. Esto se debe a que un servidor de catálogo global contiene una réplica parcial de todos los objetos del bosque.

Para probar si un DC es también un servidor de catálogo global, siga estos pasos:

  1. Seleccione Iniciar programas > Herramientas > administrativas Sitios y servicios de Active > Directory.
  2. En el panel de navegación, haga doble clic en Sitios y, a continuación, busque el sitio adecuado o seleccione Default-first-site-name si no hay otros sitios disponibles.
  3. Abra la carpeta Servidores y, a continuación, seleccione el controlador de dominio.
  4. En la carpeta de DC, haga doble clic en NTDS Configuración.
  5. En el menú Acción, seleccione Propiedades.
  6. En la ficha General, vea la casilla Catálogo global para ver si está seleccionado.

Para más información, vea:

Aprovechar o transferir roles FSMO

Puede usar Windows PowerShell Ntdsutil para aprovechar o transferir roles. Para obtener información y ejemplos de cómo usar PowerShell para estas tareas, vea Move-ADDirectoryServerOperationMasterRole.

Importante

Si tiene que aprovechar la función maestra de RID, considere la posibilidad de usar el cmdlet Move-ADDirectoryServerOperationMasterRole en lugar de la utilidad Ntdsutil.exe ridiculización.

Para evitar el riesgo de sid duplicados en el dominio, Ntdsutil incrementa el siguiente RID disponible en el grupo en 10.000 cuando se aprovecha el rol maestro de RID. Este comportamiento puede hacer que el bosque consuma completamente sus intervalos disponibles para los valores de RID (también conocido como grabación de RID). Por el contrario, si usa el cmdlet de PowerShell para aprovechar la función maestra de RID, el siguiente RID disponible no se verá afectado.

Para aprovechar o transferir los roles FSMO mediante la utilidad Ntdsutil, siga estos pasos:

  1. Inicie sesión en un equipo miembro que tenga instaladas las herramientas RSAT de AD o un CONTROLADOR de dominio que se encuentra en el bosque donde se transfieren los roles FSMO.

    Nota

    • Se recomienda iniciar sesión en el controlador de dominio al que va a asignar roles FSMO.
    • El usuario que ha iniciado sesión debe ser miembro del grupo Administradores de Enterprise para transferir roles de patrón de esquema o patrón de nomenclatura de dominio, o un miembro del grupo Administradores de dominio del dominio en el que se transfieren el emulador PDC, el patrón RID y los roles de maestro de infraestructura.
  2. Seleccione Iniciar > ejecución, escriba ntdsutil en el cuadro Abrir y, a continuación, seleccione Aceptar.

  3. Escriba roles y, a continuación, presione ENTRAR.

    Nota

    Para ver una lista de comandos disponibles en cualquiera de los mensajes de la utilidad Ntdsutil, escriba ? y, a continuación, presione ENTRAR.

  4. Escriba connections y, a continuación, presione ENTRAR.

  5. Escriba conectarse <servername> al servidor y, a continuación, presione ENTRAR.

    Nota

    En este comando, es el nombre del controlador de dominio al que desea asignar el rol <servername> FSMO.

  6. En el símbolo del sistema de conexiones del servidor, escriba q y, a continuación, presione ENTRAR.

  7. Realice una de las siguientes acciones:

    • Para transferir el rol: escriba transferencia <role> y, a continuación, presione ENTRAR.

      Nota

      En este comando, <role> es el rol que desea transferir.

    • Para aprovechar el rol: escriba aprovechar <role> y, a continuación, presione ENTRAR.

      Nota

      En este comando, <role> es el rol que desea aprovechar.

    Por ejemplo, para aprovechar el rol de patrón rid, escriba seize rid master. Las excepciones son para el rol de emulador PDC, cuya sintaxis es seize pdc, y el patrón de nomenclatura domain, cuya sintaxis es aprovechar el patrón de nomenclatura.

    Para ver una lista de roles que puede transferir o aprovechar, escriba ? en el símbolo del sistema de mantenimiento de fsmo y, a continuación, presione ENTRAR o vea la lista de roles al principio de este artículo.

  8. En el símbolo del sistema de mantenimiento de fsmo, escriba q y, a continuación, presione Entrar para obtener acceso al símbolo del sistema ntdsutil. Escriba q y, a continuación, presione Entrar para salir de la utilidad Ntdsutil.

Consideraciones al reparar o quitar los titulares de roles anteriores

Si es posible y si puede transferir los roles en lugar de aprovecharlos, corrija el titular de la función anterior. Si no puede corregir el titular de la función anterior o si ha aceptado los roles, quite el titular de la función anterior del dominio.

Importante

Si tiene previsto usar el equipo reparado como un controlador de dominio, le recomendamos que recompile el equipo en un CONTROLADOR de dominio desde cero en lugar de restaurarlo a partir de una copia de seguridad. El proceso de restauración vuelve a generar el controlador de dominio como un titular de roles.

  • Para devolver el equipo reparado al bosque como un controlador de dominio

    1. Realice una de las siguientes acciones:

      • Dar formato al disco duro del antiguo titular de la función y, a continuación, volver a Windows en el equipo.
      • Degradar por la fuerza el anterior titular de roles a un servidor miembro.
    2. En otro controlador de dominio del bosque, use Ntdsutil para quitar los metadatos del antiguo titular de la función. Para obtener más información, vea Para limpiar los metadatos del servidor mediante Ntdsutil.

    3. Después de limpiar los metadatos, puede volver a degradar el equipo a un controlador de dominio y transferir un rol de nuevo a él.

  • Para quitar el equipo del bosque después de aprovechar sus roles

    1. Quite el equipo del dominio.
    2. En otro controlador de dominio del bosque, use Ntdsutil para quitar los metadatos del antiguo titular de la función. Para obtener más información, vea Para limpiar los metadatos del servidor mediante Ntdsutil.

Consideraciones al reintegrar islas de replicación

Cuando parte de un dominio o bosque no puede comunicarse con el resto del dominio o bosque durante un tiempo prolongado, las secciones aisladas de dominio o bosque se conocen como islas de replicación. Los DCs de una isla no se pueden replicar con los DCs de otras islas. En varios ciclos de replicación, las islas de replicación no se sincronizan. Si cada isla tiene sus propios titulares de roles FSMO, es posible que tenga problemas al restaurar la comunicación entre las islas.

Importante

En la mayoría de los casos, puede aprovechar el requisito de replicación inicial (como se describe en este artículo) para eliminar los titulares de roles duplicados. Un titular de roles reiniciado debe renunciar al rol si detecta un titular de función duplicado.
Es posible que se encuentren circunstancias en las que este comportamiento no se resuelva. En tales casos, la información de esta sección puede ser útil.

En la tabla siguiente se identifican los roles FMSO que pueden causar problemas si un bosque o dominio tiene varios titulares de roles para ese rol:

Role ¿Posibles conflictos entre varios titulares de roles?
Maestro de esquema
Patrón de nomenclatura de dominio
Patrón de RID
Emulador PDC No
Maestro de infraestructura No

Este problema no afecta al pdc Emulator principal o al maestro de infraestructura. Estos titulares de funciones no conservan los datos operativos. Además, el maestro de infraestructura no realiza cambios con frecuencia. Por lo tanto, si varias islas tienen estos titulares de roles, puede volver a integrar las islas sin causar problemas a largo plazo.

El patrón de esquema, el patrón de nomenclatura dominio y el patrón RID pueden crear objetos y conservar los cambios en Active Directory. Cada isla que tenga uno de estos titulares de roles podría tener objetos de esquema, dominios o grupos de SERVIDORES RID duplicados y conflictivas para el momento en que restaure la replicación. Antes de volver a integrar las islas, determine qué titulares de roles conservar. Quite los patrones de esquema duplicados, los patrones de nomenclatura de dominio y los patrones DE RID siguiendo los procedimientos de reparación, eliminación y limpieza que se mencionan en este artículo.

Referencias

Para más información, vea: