Transferencia o incautación de roles de operation master en Servicios de dominio de Active Directory
En este artículo se describe cuándo y cómo transferir o tomar roles de maestro de operación, anteriormente conocidos como roles de operaciones maestras únicas flexibles (FSMO).
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Número KB original: 255504
Más información
Dentro de un bosque de Active Directory Domain Services (AD DS), hay tareas específicas que debe ejecutar solo un controlador de dominio (DC). Los controladores de dominio asignados para realizar estas operaciones únicas se conocen como titulares de roles maestros de operación. En la tabla siguiente se enumeran los roles de maestro de operación y su ubicación en Active Directory.
| Role | Ámbito | Contexto de nomenclatura (partición de Active Directory) |
|---|---|---|
| Maestro de esquema | En todo el bosque | CN=Schema,CN=configuration,DC=<forest root domain> |
| Maestro de nombres de dominio | En todo el bosque | CN=configuration,DC=<forest root domain> |
| Emulador de PDC | En todo el dominio | DC=<domain> |
| Maestro RID | En todo el dominio | DC=<domain> |
| Maestro de infraestructura | En todo el dominio | DC=<domain> |
Para obtener más información sobre los titulares de roles maestros de operación y las recomendaciones para colocar los roles, consulte Selección de ubicación y optimización de FSMO en controladores de dominio de Active Directory.
Nota:
Las particiones de aplicación de Active Directory que incluyen particiones de aplicación DNS tienen vínculos de rol maestro de operación. Si una partición de aplicación DNS define un propietario para el rol maestro de infraestructura (MI), no puede usar Ntdsutil, DCPromo u otras herramientas para quitar esa partición de aplicación. Para obtener más información, consulte La degradación de DCPROMO falla si no se puede contactar con el maestro de infraestructura DNS.
Cuando un controlador de dominio que ha estado actuando como titular de roles comienza a ejecutarse (por ejemplo, después de un error o un apagado), no reanuda inmediatamente el comportamiento como titular del rol. El controlador de dominio espera a recibir la replicación entrante de su contexto de nomenclatura (por ejemplo, el propietario del rol de maestro de esquema espera a recibir la replicación entrante de la partición de esquema).
La información que los controladores de dominio pasan como parte de la replicación de Active Directory incluye las identidades de los titulares de roles maestros de operación actuales. Cuando el controlador de dominio recién iniciado recibe la información de replicación entrante, comprueba si sigue siendo el titular del rol. Si lo es, reanuda sus operaciones habituales. Si la información replicada indica que otro controlador de dominio actúa como contenedor del rol, el controlador de dominio recién iniciado renuncia a su propiedad de rol. Este comportamiento reduce la posibilidad de que el dominio o el bosque tengan titulares de roles maestros de operación duplicados.
Importante
Se produce un error en las operaciones de AD FS si requieren un titular de roles y si el titular del rol recién iniciado es, de hecho, el titular del rol y no recibe la replicación entrante.
El comportamiento resultante es similar a lo que sucedería si el contenedor del rol estuviera desconectado.
Determinar cuándo transferir o asumir roles
Bajo condiciones normales, los cinco roles se deben asignar a controladores de dominio "activos" del bosque. Al crear un bosque de Active Directory, el Asistente para instalación de Active Directory (Dcpromo.exe) asigna los cinco roles de maestro de operación al primer controlador de dominio que crea en el dominio raíz del bosque. Al crear un dominio secundario o de árbol, el mecanismo de creación asigna los tres roles de todo el dominio al primer controlador de dominio del dominio.
Los controladores de dominio siguen siendo propietarios de los roles de Operation Master hasta que se reasignan mediante uno de los métodos siguientes:
- Para reasignar la función, el administrador debe utilizar una herramienta administrativa GUI.
- Un administrador reasigna el rol mediante el comando
ntdsutil /roles. - Un administrador utiliza el Asistente para instalación de Active Directory para degradar correctamente un controlador de dominio contenedor de funciones. Este asistente reasigna las funciones contenidas localmente a un controlador de dominio existente del bosque.
- Un administrador degrada un controlador de dominio que contiene roles mediante el
Uninstall-ADDSDomainController -ForceRemovalcomando odcpromo /forceremoval. - El controlador de dominio se apaga y se reinicia. Cuando el controlador de dominio se reinicia, recibe información de replicación entrante que indica que otro controlador de dominio es el contenedor del rol. En este caso, el controlador de dominio recién iniciado renuncia al rol (como se describió anteriormente).
Si un titular de roles del maestro de operaciones experimenta un error o se quita del servicio antes de transferir sus roles, debe tomar y transferir todos los roles a un controlador de dominio adecuado y correcto.
Se recomienda transferir roles de operación maestra en los siguientes escenarios:
- El titular del rol actual está operativo y el nuevo propietario de Operation Master puede acceder a él en la red.
- Está degradando correctamente un controlador de dominio que actualmente posee los roles de maestro de operación que desea asignar a un controlador de dominio específico en el bosque de Active Directory.
- El controlador de dominio que actualmente posee los roles de maestro de operación se está desconectando para el mantenimiento programado y tiene que asignar roles de maestro de operación específicos a controladores de dominio activos. Es posible que tenga que transferir roles para realizar operaciones que afecten al propietario de operation master. Esto es particularmente cierto para el rol de Emulador de PDC. Se trata de un problema menos importante para el rol maestro RID, el rol maestro de nomenclatura de dominio y los roles maestros de esquema.
Se recomienda que se incaute de los roles de Operation Master en los siguientes escenarios:
El titular del rol actual está experimentando un error operativo que impide que una operación dependiente del patrón de operación se complete correctamente y no se puede transferir el rol.
Use el
Uninstall-ADDSDomainController -ForceRemovalcomando odcpromo /forceremovalpara forzar la degradación forzada de un controlador de dominio propietario de un rol de maestro de operaciones.Importante
El
force-demotecomando puede dejar los roles de maestro de operación en un estado no válido hasta que un administrador los reasigna.El sistema operativo del equipo que poseía originalmente una función específica ya no existe o se ha reinstalado.
Nota:
- Se recomienda que solo se incaute de todos los roles cuando el titular de roles anterior no vuelva al dominio.
- Si los roles maestros de operación se tienen que incautar en escenarios de recuperación de bosques, consulte el paso 5 en Realizar la recuperación inicial en la sección Restaurar el primer controlador de dominio que se puede escribir en cada dominio .
- Después de una transferencia o incautación de roles, el nuevo titular de roles no actúa inmediatamente. En su lugar, el nuevo titular de rol se comporta como un titular de rol reiniciado y espera a su copia del contexto de nomenclatura para que el rol (como la partición de dominio) complete correctamente un ciclo de replicación entrante. Este requisito de replicación ayuda a asegurar que el nuevo titular de rol esté lo más actualizado posible antes de que lleve a acabo acciones. También limita la ventana de oportunidad para los errores. Esta ventana solo incluye los cambios que el anterior titular de rol no terminó de replicar en los demás controladores de dominio antes de desconectarse. Para obtener una lista del contexto de nomenclatura de cada rol De operación maestra, consulte la tabla de la sección Más información .
Identificar un nuevo titular de roles
El mejor candidato para el nuevo titular de rol es un controlador de dominio que cumple los siguientes criterios:
- Reside en el mismo dominio que el anterior titular de rol.
- Tiene la copia grabable replicada más reciente de la partición de rol.
Por ejemplo, suponga que tiene que transferir el rol de maestro de esquema. El rol maestro esquema forma parte de la partición de esquema del bosque (CN=Schema,CN=Configuration,DC=<forest root domain>). El mejor candidato para un nuevo titular de rol es un controlador de dominio que también resida en el dominio raíz del bosque y en el mismo sitio de Active Directory que el titular de rol actual.
Precaución
El rol maestro de infraestructura ya no es necesario si se cumplen las condiciones siguientes:
- Todos los controladores de dominio del dominio son catálogos globales (GC). En este caso, los controladores de dominio obtienen actualizaciones que quitan referencias entre dominios.
- La papelera de reciclaje de AD está habilitada en el bosque. En este caso, cada controlador de dominio es responsable de actualizar sus referencias.
Se recomienda definir un propietario adecuado del maestro de infraestructura para evitar errores y advertencias de las herramientas de supervisión.
Si todavía necesita el rol maestro de infraestructura:
No coloque el rol maestro de infraestructura en el mismo controlador de dominio que el servidor de catálogo global. Si el maestro de infraestructura se ejecuta en un servidor de catálogo global, deja de actualizar la información del objeto porque no contiene ninguna referencia a objetos que no contiene. Esta situación se produce porque un servidor de catálogo global contiene una réplica parcial de cada objeto del bosque.
El rol maestro de infraestructura ya no se usa una vez que se habilita la Papelera de reciclaje de Active Directory. Papelera de reciclaje de AD cambia el enfoque para controlar las referencias de objetos que se están quitando.
Para probar si un controlador de dominio también es un servidor de catálogo global, siga estos pasos:
Uso de sitios y servicios de Active Directory:
- Seleccione Iniciar>Programas>Herramientas administrativas>Sitios y servicios de Active Directory.
- En el panel de navegación, haga doble clic en Sitios y luego localice el sitio apropiado o haga clic en Default-first-site-name si no hay ningún otro sitio disponible.
- Abra la carpeta Servidores y, a continuación, seleccione el controlador de dominio.
- En la carpeta de los controladores de dominio, haga doble clic en Configuración de NTDS.
- En el menú Acción haga clic en Propiedades.
- En la pestaña General , vea la casilla Catálogo global para ver si está seleccionado.
Uso de Windows PowerShell:
Inicie PowerShell.
Escriba el siguiente cmdlet y ajuste
DC_NAMEcon el nombre del controlador de dominio real:(Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalogLa salida será
TrueoFalse.
Para más información, vea:
- Recuperación del bosque de AD: aprovechando un rol de maestro de operaciones
- Colocación del rol maestro de operaciones de planificación
Incautación o transferencia de roles maestros de operación
Puede usar Windows PowerShell o Ntdsutil para apoderarse o transferir roles. Para obtener información y ejemplos de cómo usar PowerShell para estas tareas, vea Move-ADDirectoryServerOperationMasterRole.
Importante
Para evitar el riesgo de sids duplicados en el dominio, las incautaciones de Rid Master incrementan el siguiente RID disponible en el grupo al aprovechar el rol maestro de RID. Este comportamiento puede hacer que el bosque consuma intervalos disponibles de valores de RID significativamente (también conocido como grabación rid). Por lo tanto, aproveche el patrón de rid solo cuando esté seguro de que el patrón de rid actual no se puede volver a poner en servicio.
Si tiene que aprovechar el rol maestro de RID, tenga en cuenta los detalles siguientes:
- El cmdlet Move-ADDirectoryServerOperationMasterRole aumenta el siguiente grupo de Rid en 30 000 desde lo que encuentra en Active Directory.
- Cuando se usa la utilidad Ntdsutil.exe con los
rolescomandos de categoría, aumenta el siguiente grupo de rid en 10 000.
Para apoderarse o transferir los roles de Operation Master mediante la utilidad Ntdsutil, siga estos pasos:
Inicie sesión en un equipo miembro que tenga instaladas las herramientas de RSAT de AD o en un controlador de dominio que se encuentre en el bosque donde se transfieren los roles de Operation Master.
Nota:
- Se recomienda iniciar sesión en el controlador de dominio al que va a asignar roles de operación maestra.
- El usuario que ha iniciado sesión debe ser miembro del grupo Administradores de empresa para transferir roles maestros de esquema o maestro de nomenclatura de dominio, o un miembro del grupo Administradores de dominio del dominio donde se transfieren el emulador de PDC, el maestro de RID y los roles maestros de infraestructura.
Seleccione Inicio>Ejecutar, escriba ntdsutil en el cuadro Abrir y luego seleccione Aceptar.
Escriba roles y presione ENTRAR.
Nota:
Para ver una lista de comandos disponibles en cualquiera de los símbolos del sistema de la utilidad Ntdsutil, escriba ? y luego presione ENTRAR.
Escriba connections y luego presione ENTRAR.
Escriba connect to server <servername> y luego presione ENTRAR.
Nota:
En este comando, <servername> es el nombre del controlador de dominio al que desea asignar el rol Maestro de operaciones.
En el símbolo del sistema server connections, escriba q y luego presione ENTRAR.
Realice una de las acciones siguientes:
Para transferir el rol: escriba transfer <role> y luego presione Entrar.
Nota:
En este comando, <role> es el rol que desea transferir.
Para asumir el rol: escriba seize <role> y luego presione Entrar.
Nota:
En este comando, <role> es el rol que desea asumir.
Por ejemplo, para asumir el rol de maestro RID, escriba seize rid master. Las excepciones son para el rol del emulador de PDC, cuya sintaxis es seize pdc y el maestro de nomenclatura de dominio, cuya sintaxis es seize naming master.
Para ver una la lista de roles que puede transferir o asumir, escriba ? en el símbolo del sistema fsmo maintenance y luego presione ENTRAR, o consulte la lista de roles incluida al principio de este artículo.
En el símbolo del sistema fsmo maintenance, escriba q y luego presione ENTRAR para obtener acceso al símbolo del sistema de ntdsutil. Escriba q y luego presione ENTRAR para salir de la utilidad Ntdsutil.
Consideraciones al reparar o quitar titulares de roles anteriores
Si es posible, y si es capaz de transferir los roles en lugar de apoderarse de ellos, corrija el titular de roles anterior. Si no puede corregir el titular del rol anterior o si ha incautado los roles, quite el titular de roles anterior del dominio.
Importante
Si pretende usar el equipo reparado como un controlador de dominio, se recomienda reconstruir el equipo como un controlador de dominio desde cero en lugar de restaurar el controlador de dominio desde una copia de seguridad. El proceso de restauración vuelve a reconstruir el controlador de dominio como titular del rol.
Para devolver el equipo reparado al bosque como controlador de dominio:
Realice una de las acciones siguientes:
- Formatee el disco duro del anterior titular del rol y vuelva a instalar Windows en el equipo.
- Degrade por la fuerza el antiguo titular del rol a un servidor miembro.
En otro controlador de dominio del bosque, use Ntdsutil para quitar los metadatos del antiguo titular del rol. Para obtener más información, vea Limpiar los metadatos del servidor mediante Ntdsutil.
Después de limpiar los metadatos puede volver a promover el equipo a un controlador de dominio y volver a transferirle un rol.
Para quitar el equipo del bosque después de aprovechar sus roles:
- Quite el equipo del dominio.
- En otro controlador de dominio del bosque, use Ntdsutil para quitar los metadatos del antiguo titular del rol. Para obtener más información, vea Limpiar los metadatos del servidor mediante Ntdsutil.
Consideraciones al reintegrar islas de replicación
Cuando parte de un dominio o bosque no puede comunicarse con el resto del dominio o bosque durante un tiempo prolongado, las secciones aisladas del dominio o bosque se conocen como islas de replicación. Los controladores de dominio de una isla no pueden replicarse con los controladores de dominio de otras islas. Durante varios ciclos de replicación, las islas de replicación no están sincronizadas. Si cada isla tiene sus propios titulares de roles de Operation Master, es posible que tenga problemas al restaurar la comunicación entre las islas.
Importante
En la mayoría de los casos, puede aprovechar el requisito de replicación inicial (como se describe en este artículo) para eliminar los titulares de roles duplicados. Un titular de rol reiniciado debe renunciar al rol si detecta un titular de rol duplicado.
Puede encontrar circunstancias que este comportamiento no resuelve. En tales casos, la información de esta sección puede ser útil.
En la tabla siguiente se identifican los roles de maestro de operación que pueden causar problemas si un bosque o dominio tiene varios titulares de roles para ese rol:
| Role | ¿Posibles conflictos entre varios titulares de roles? |
|---|---|
| Maestro de esquema | Sí |
| Maestro de nombres de dominio | Sí |
| Maestro RID | Sí |
| Emulador de PDC | No |
| Maestro de infraestructura | No |
Este problema no afecta al maestro del emulador de PDC ni al maestro de infraestructura. Estos titulares de roles no conservan los datos operativos. Además, el maestro de infraestructura no realiza cambios con frecuencia. Por lo tanto, si varias islas tienen estos titulares de roles, puede reintegrarlas sin causar problemas a largo plazo.
El maestro de esquema, el maestro de nomenclatura de dominio y el maestro RID pueden crear objetos y conservar los cambios en Active Directory. Cada isla que tenga uno de estos titulares de roles podría tener objetos de esquema, dominios o grupos de RID duplicados y en conflicto en el momento en que restaure la replicación. Antes de integrar las islas, determine qué titulares de roles debe conservar. Quite los maestros de esquema, los maestros de nomenclatura de dominios y los maestros de RID duplicados siguiendo los procedimientos de reparación, eliminación y limpieza que se mencionan en este artículo.
Referencias
Para más información, vea:
- Roles de FSMO de Active Directory en Windows
- Ubicación y optimización del FSMO en los controladores de dominio de Active Directory
- Proceso de transferencia y asunción de Flexible Single Master Operation
- Procedimiento: Usar Ntdsutil para buscar y limpiar identificadores de seguridad duplicados en Windows Server
- Fantasmas, lápidas y el maestro de infraestructura
- Solución de problemas del identificador de evento DNS 4013: el servidor DNS no pudo cargar zonas DNS integradas de AD
- Se produce un error en la degradación de DCPROMO si no se puede ponerse en contacto con el maestro de infraestructura DNS
- Roles de FSMO
- Realizar la recuperación inicial
- Recuperación del bosque de AD: aprovechando un rol de maestro de operaciones
- Limpiar los metadatos del servidor mediante Ntdsutil
- Colocación del rol maestro de operaciones de planificación
- Move-ADDirectoryServerOperationMasterRole
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de