Asumir o transferir los roles FSMO en Active Directory Domain Services

En este artículo se describe cómo transferir o asumir los roles de operaciones de maestro único flexible (FSMO).

Se aplica a:   Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Número KB original:   255504

Más información

Dentro de un bosque de Active Directory Domain Services (AD DS), hay tareas específicas que debe ejecutar solo un controlador de dominio (DC). Los controladores de dominio designados para realizar estas operaciones exclusivas se denominan contenedores de roles FSMO. En la tabla siguiente se enumeran los roles FSMO y su ubicación en Active Directory.

Role Ámbito Contexto de nomenclatura (partición de Active Directory)
Maestro de esquema En todo el bosque CN=Schema,CN=Configuración,DC=<forest root domain>
Maestro de nombres de dominio En todo el bosque CN=Configuración,DC=<forest root domain>
Emulador de PDC En todo el dominio DC=<domain>
Maestro RID En todo el dominio DC=<domain>
Maestro de infraestructura En todo el dominio DC=<domain>

Para obtener más información sobre los contenedores de roles FSMO y las recomendaciones para colocar los roles, consulte Ubicación y optimización del FSMO en los controladores de dominio de Active Directory.

Nota

Las particiones de aplicación de Active Directory que incluyen particiones de aplicación DNS tienen vínculos de rol FSMO. Si una partición de aplicación DNS define un propietario para el rol maestro de infraestructura no se puede usar Ntdsutil, DCPromo u otras herramientas para quitar esa partición de aplicación. Para obtener más información, consulte La degradación de DCPROMO falla si no se puede contactar con el maestro de infraestructura DNS.

Cuando un controlador de dominio que ha estado actuando como contenedor del rol comienza a ejecutarse (por ejemplo, después de un error o un cierre) no reanuda inmediatamente su comportamiento como contenedor del rol. El controlador de dominio espera a recibir la replicación entrante de su contexto de nomenclatura (por ejemplo, el propietario del rol de maestro de esquema espera a recibir la replicación entrante de la partición de esquema).

La información que transmiten los controladores de dominio como parte de la replicación de Active Directory incluye las identidades de los contenedores actuales del rol FSMO. Cuando el controlador de dominio recién iniciado recibe la información de replicación entrante, este comprueba si sigue siendo el contenedor del rol. Si lo es, reanuda sus operaciones habituales. Si la información replicada indica que otro controlador de dominio actúa como contenedor del rol, el controlador de dominio recién iniciado renuncia a su propiedad de rol. Este comportamiento reduce la posibilidad de que el dominio o bosque tenga contenedores del rol FSMO duplicados.

Importante

Las operaciones de AD FS producen un error si requieren un contenedor del rol y si el contenedor del rol recién iniciado es, de hecho, el contenedor del rol y no recibe la replicación entrante.
El comportamiento resultante es similar a lo que sucedería si el contenedor del rol estuviera desconectado.

Determinar cuándo transferir o asumir roles

Bajo condiciones normales, los cinco roles se deben asignar a controladores de dominio "activos" del bosque. Al crear un bosque de Active Directory, el Asistente para instalación de Active Directory (Dcpromo.exe) asigna los cinco roles FSMO al primer controlador de dominio que crea en el dominio raíz del bosque. Al crear un dominio secundario o de árbol, Dcpromo.exe asigna las tres funciones de todo el dominio al primer controlador del dominio en cuestión.

Los controladores de dominio siguen siendo los contenedores de roles FSMO hasta que se reasignen utilizando uno de los métodos siguientes:

  • Para reasignar la función, el administrador debe utilizar una herramienta administrativa GUI.
  • Un administrador reasigna el rol mediante el comando ntdsutil /roles.
  • Un administrador utiliza el Asistente para instalación de Active Directory para degradar correctamente un controlador de dominio contenedor de funciones. Este asistente reasigna las funciones contenidas localmente a un controlador de dominio existente del bosque.
  • Un administrador degrada un controlador de dominio contenedor de funciones mediante el comando dcpromo /forceremoval.
  • El controlador de dominio se apaga y se reinicia. Cuando el controlador de dominio se reinicia, recibe información de replicación entrante que indica que otro controlador de dominio es el contenedor del rol. En este caso, el controlador de dominio recién iniciado renuncia al rol (como se describió anteriormente).

Si el titular de un rol FSMO experimenta un fallo o queda fuera de servicio antes de que sus roles sean transferidos, debe sumir y transferir todos los roles a un DC apropiado y saludable.

Se recomienda transferir los roles FSMO en los escenarios siguientes:

  • El titular de la función actual está operativo y el nuevo propietario de FSMO puede acceder a él en la red.
  • Está degradando correctamente un controlador de dominio que actualmente es propietario de los roles FSMO que desea asignar a un controlador de dominio específico de su bosque de Active Directory.
  • El controlador de dominio que actualmente es propietario de los roles FSMO está desconectado por mantenimiento programado, y usted tiene que asignar los roles FSMO específicos a controladores de dominio activos. Es posible que tenga que transferir roles para realizar operaciones que afecten al propietario de FSMO. Esto es particularmente cierto para el rol de Emulador de PDC. Se trata de un problema menos importante para el rol maestro RID, el rol maestro de nomenclatura de dominio y los roles maestros de esquema.

Se recomienda que asuma las funciones FSMO en los escenarios siguientes:

  • El titular de la función actual está experimentando un error operativo que impide que una operación dependiente del FSMO se complete correctamente y usted no puede transferir el rol.

  • Use el comando dcpromo /forceremoval para forzar la degradación de un controlador de dominio propietario de un rol FSMO.

    Importante

    El comando dcpromo /forceremoval deja los roles FSMO en un estado no válido hasta que un administrador los reasigna.

  • El sistema operativo del equipo que poseía originalmente una función específica ya no existe o se ha reinstalado.

Nota

  • Recomendamos que sólo se asuman todos los roles cuando el anterior titular de rol no regrese al dominio.
  • Si los roles de FSMO se tienen que asumir en escenarios de recuperación de bosques, consulte el paso 5 en Realizar la recuperación inicial en la sección Restaurar el primer controlador de dominio grabable en cada dominio.
  • Después de una transferencia o asunción de un rol, el nuevo titular de rol no actúa inmediatamente. En su lugar, el nuevo titular de rol se comporta como un titular de rol reiniciado y espera a su copia del contexto de nomenclatura para que el rol (como la partición de dominio) complete correctamente un ciclo de replicación entrante. Este requisito de replicación ayuda a asegurar que el nuevo titular de rol esté lo más actualizado posible antes de que lleve a acabo acciones. También limita la ventana de oportunidad para los errores. Esta ventana solo incluye los cambios que el anterior titular de rol no terminó de replicar en los demás controladores de dominio antes de desconectarse. Para obtener una lista del contexto de nomenclatura de cada rol FSMO, consulte la tabla de la sección Más información.

Identificar un nuevo titular de roles

El mejor candidato para el nuevo titular de rol es un controlador de dominio que cumple los siguientes criterios:

  • Reside en el mismo dominio que el anterior titular de rol.
  • Tiene la copia grabable replicada más reciente de la partición de rol.

Por ejemplo, suponga que tiene que transferir el rol de maestro de esquema. El rol maestro de esquema forma parte de la partición de esquema del bosque (cn=Schema,cn=Configuration,dc=<forest root domain>). El mejor candidato para un nuevo titular de rol es un controlador de dominio que también resida en el dominio raíz del bosque y en el mismo sitio de Active Directory que el titular de rol actual.

Precaución

No coloque el rol de maestro de infraestructura en el mismo controlador de dominio que el servidor de catálogo global. Si el maestro de infraestructura se ejecuta en un servidor de catálogo global, se detendrá la actualización de la información de los objetos debido a que no contiene referencias a objetos que no alberga. Esta situación se produce porque un servidor de catálogo global contiene una réplica parcial de cada objeto del bosque.

Para probar si un controlador de dominio es también un servidor de catálogo global siga estos pasos:

  1. Seleccione Iniciar > Programas > Herramientas administrativas > Sitios y servicios de Active Directory.
  2. En el panel de navegación, haga doble clic en Sitios y luego localice el sitio apropiado o haga clic en Nombre-predeterminado-primer-sitio si no hay ningún otro sitio disponible.
  3. Abra la carpeta Servidores y luego seleccione el controlador de dominio.
  4. En la carpeta de los controladores de dominio, haga doble clic en Configuración de NTDS.
  5. En el menú Acción haga clic en Propiedades.
  6. En la pestaña General, compruebe si está seleccionada la casilla Catálogo global.

Para más información, vea:

Asumir o transferir roles FSMO

Puede usar Windows PowerShell o Ntdsutil para asumir o transferir roles. Para obtener información y ejemplos de cómo usar PowerShell para estas tareas, vea Move-ADDirectoryServerOperationMasterRole.

Importante

Si tiene que asumir el rol maestro de RID, considere la posibilidad de usar el cmdlet Move-ADDirectoryServerOperationMasterRole en lugar de la utilidad Ntdsutil.exe.

Para evitar el riesgo de SID duplicados en el dominio, Ntdsutil incrementa 10 000 el siguiente RID disponible en el grupo cuando usted asume el rol maestro de RID. Esta conducta puede hacer que su bosque consuma completamente sus intervalos disponibles para los valores RID (también conocidos como "quemadura RID"). Por el contrario, si usa el cmdlet PowerShell para asumir el rol maestro RID, el siguiente RID disponible no se verá afectado.

Para asumir o transferir los roles FSMO mediante la utilidad Ntdsutil, siga estos pasos:

  1. Inicie sesión en un equipo miembro que tenga instaladas las herramientas de RSAT de AD o en un controlador de dominio que se encuentre en el bosque donde se transfieren los roles de FSMO.

    Nota

    • Se recomienda que inicie sesión en el controlador de dominio al que esté asignando los roles FSMO.
    • El usuario que ha iniciado la sesión deberá ser miembro del grupo de Administradores de organización para poder transferir los roles de maestro de esquema o de maestro de nomenclatura de dominio, o miembro del grupo de Administradores de dominio del dominio adonde se van a transferir los roles de emulador de PDC, maestro de RID y maestro de infraestructura.
  2. Seleccione Inicio > Ejecutar, escriba ntdsutil en el cuadro Abrir y luego seleccione Aceptar.

  3. Escriba roles y presione ENTRAR.

    Nota

    Para ver una lista de comandos disponibles en cualquiera de los símbolos del sistema de la utilidad Ntdsutil, escriba ? y luego presione ENTRAR.

  4. Escriba connections y luego presione ENTRAR.

  5. Escriba conectarse al servidor<servername> y luego presione ENTRAR.

    Nota

    En este comando, <servername> es el nombre del controlador de dominio al que quiere asignar el rol FSMO.

  6. En el símbolo del sistema server connections, escriba q y luego presione ENTRAR.

  7. Realiza una de las siguientes acciones:

    • Para transferir el rol: escriba transfer <role> y luego presione Entrar.

      Nota

      En este comando, <role> es el rol que desea transferir.

    • Para asumir el rol: escriba seize <role> y luego presione Entrar.

      Nota

      En este comando, <role> es el rol que desea asumir.

    Por ejemplo, para asumir el rol de maestro RID, escriba seize rid master. Las excepciones son para el rol del emulador de PDC, cuya sintaxis es seize pdc y el maestro de nomenclatura de dominio, cuya sintaxis es seize naming master.

    Para ver una lista de roles que puede transferir o asumir, escriba ? en el símbolo del sistema fsmo maintenance y luego presione ENTRAR, o consulte la lista de roles incluida al principio de este artículo.

  8. En el símbolo del sistema fsmo maintenance, escriba q y luego presione ENTRAR para obtener acceso al símbolo del sistema de ntdsutil. Escriba q y luego presione ENTRAR para salir de la utilidad Ntdsutil.

Consideraciones al reparar o quitar titulares de roles anteriores

Si es posible, y si es capaz de transferir los roles en lugar de asumirlos, corrija el titular del rol anterior. Si no puede corregir el titular del rol anterior o si ha asumido los roles, quite el titular de roles anterior del dominio.

Importante

Si pretende usar el equipo reparado como un controlador de dominio, se recomienda reconstruir el equipo como un controlador de dominio desde cero en lugar de restaurar el controlador de dominio desde una copia de seguridad. El proceso de restauración vuelve a reconstruir el controlador de dominio como titular del rol.

  • Devolver el equipo reparado al bosque como controlador de dominio

    1. Realiza una de las siguientes acciones:

      • Formatee el disco duro del anterior titular del rol y vuelva a instalar Windows en el equipo.
      • Degrade por la fuerza el antiguo titular del rol a un servidor miembro.
    2. En otro controlador de dominio del bosque, use Ntdsutil para quitar los metadatos del antiguo titular del rol. Para obtener más información, vea Limpiar los metadatos del servidor mediante Ntdsutil.

    3. Después de limpiar los metadatos puede volver a promover el equipo a un controlador de dominio y volver a transferirle un rol.

  • Quitar el equipo del bosque después de asumir sus roles

    1. Quite el equipo del dominio.
    2. En otro controlador de dominio del bosque, use Ntdsutil para quitar los metadatos del antiguo titular del rol. Para obtener más información, vea Limpiar los metadatos del servidor mediante Ntdsutil.

Consideraciones al reintegrar islas de replicación

Cuando parte de un dominio o bosque no puede comunicarse con el resto del dominio o bosque durante un tiempo prolongado, las secciones aisladas del dominio o bosque se conocen como islas de replicación. Los controladores de dominio de una isla no pueden replicarse con los controladores de dominio de otras islas. Durante varios ciclos de replicación, las islas de replicación no están sincronizadas. Si cada isla tiene sus propios titulares de roles FSMO, es posible que tenga problemas al restaurar la comunicación entre las islas.

Importante

En la mayoría de los casos, puede aprovechar el requisito de replicación inicial (como se describe en este artículo) para eliminar los titulares de roles duplicados. Un titular de rol reiniciado debe renunciar al rol si detecta un titular de rol duplicado.
Puede encontrar circunstancias que este comportamiento no resuelve. En tales casos, la información de esta sección puede ser útil.

En la tabla siguiente se identifican los roles FMSO que pueden causar problemas si un bosque o dominio tiene varios titulares de roles para ese rol:

Role ¿Posibles conflictos entre varios titulares de roles?
Maestro de esquema
Maestro de nombres de dominio
Maestro RID
Emulador de PDC No
Maestro de infraestructura No

Este problema no afecta al maestro del emulador de PDC ni al maestro de infraestructura. Estos titulares de roles no conservan datos operativos. Además, el maestro de infraestructura no suele realizar cambios. Por lo tanto, si varias islas tienen estos titulares de roles, puede reintegrarlas sin causar problemas a largo plazo.

El maestro de esquema, el maestro de nomenclatura de dominio y el maestro RID pueden crear objetos y conservar los cambios en Active Directory. Cada isla que tenga uno de estos titulares de roles podría tener objetos de esquema, dominios o grupos de RID duplicados y en conflicto en el momento en que restaure la replicación. Antes de integrar las islas, determine qué titulares de roles debe conservar. Quite los maestros de esquema, los maestros de nomenclatura de dominios y los maestros de RID duplicados siguiendo los procedimientos de reparación, eliminación y limpieza que se mencionan en este artículo.

Referencias

Para más información, vea: