none
Tranferir roles FSMO de un DC a otro de respaldo

    Pregunta

  • Hola, buen dia.

    Para tranferir los 5 roles de un domain controler(servidor 1) hacia un servidor de dominio de respaldo(Servidor 2) para convertirlo en principal, es necesario que el primero este encendido? o basta con que haya replicado bien y luego desconectarlo de la red para dentro del servidor dos aplicar los comandos de ntdsutil.??

    Explico un poco lo que quiero hacer, Deseo hacer unas pruebas de migración pero no quiero tocar mi Server principal de produccion, por tal motivo deseo crear un nuevo Server con todas sus caracteristicas, que al principio sea directorio activo de respaldo para que desde el server principal replique todos los objectos y luego transferir los 5 roles para que se convierta en directorio activo principal pero todo esto lo quiero hacer una vez que  haya replicado todo del server 1 hacia el 2, luego desconectar de la red al principal para que no sufra ninguna moficicación, despues en el server 2 aplicar los comandos de ntdutils para transferir los roles y entonces empezar a hacer mis pruebas con este ultimo, mi duda es repito, si debe estar encendido el server 1 a la hora de transferir roles y si es necesario, qué implicaciones tiene en el server principal este cambio.

     

    desde ya muchas gracias por su ayuda.
    Saludos cordiales,

    AOrtega

    martes, 08 de marzo de 2011 16:30

Respuestas

  • Hola,

    Es totalmente recomendable migrar a un dominio de cero si esta en tu posibilidad.-

    Salu2


    Leonardo Ponti
    MCSE (Windows Server 2003)
    MCSA (Windows Server 2003)
    MVA
    MAP 2010/2011
    • Marcado como respuesta aortega miércoles, 09 de marzo de 2011 22:16
    miércoles, 09 de marzo de 2011 20:28

Todas las respuestas

  • Hola,

    Entiendo lo que quieres hacer y no se que tan critico en tu empresa es el dominio que administras, pero si me permites un consejo, no es para nada recomendable lo que deseas hacer como para "hacer una prueba". Para tal fin, te recomiendo instales un nuevo Dominio independiente al productivo y ehi si hacer todas las pruebas que deseas, sin afectar para nada tu dominio productivo y a mi entender, con la criticidad que el mismo amerita.

    Igualmente, respondo tu consulta, comentandote que el pasaje de roles pueden hacerse con o sin el DC de origen encendido y operativo (vuelvo aclarar que lo que tienes pensado realizar, no es una buena practica).

    Te paso los links de como hacer el pase de roles:
    Transferir roles por consola: http://support.microsoft.com/kb/324801
    Transferir roles con Ntdsutil: http://support.microsoft.com/kb/255504

    Salu2


    Leonardo Ponti MCSA - MCSE - MVA - MAP
    martes, 08 de marzo de 2011 17:41
  • Hola Leo,

    Antes que nada te agradezco mucho tu respuesta.

    No entiendo porque dices que no es una buena practica, me ayudas explicandome un poco acerca del tema por favor? al hacer esto lo que deseo es no tocar mi ambiente productivo. Lo puedo dejar fuera de linea por un par de horas al dia sin afectar a mis usuarios y con esto hacer mis pruebas. Quiero replicar la configuración del servidor actual en uno de prueba para poder hacer desde ahi todo y si algo sale mal no tener problemas. 

    Lo que deseo hacer es migrar todo mi active directory desde Windows Server 2003 hacia un nuevo Server que tendra Windows 2008 SBS, Tengo un documento de MS que me indica algunas a tareas a realizar como son elevar el nivel del bosque y correr una herramienta en 2003 para preparar el dominio, con esto crear un archivo de respuesta en una USB que el Servidor nuevo con SBS 2008 tomara datos y configuración de todo, como puedes ver deseo que todo quede en el mismo dominio y para ello quiero tener una replica de mi ambiente de producccion actaul en otro disco duro para hacer toda la migración y si algo no sale bien, simplemente  colocar en el Server el disco duro anterior y todo vuelve a la normalidad, a fin de evitar algún contratiempo en la configuración del actual.

    Nuevamente gracias por tus comentarios

    martes, 08 de marzo de 2011 17:55
  • Hola,

    Te realizo el siguiente planteo segun lo que quieras realizar, supongamos que en tu DC actual, promueves uno nuevo y pasas los roles de un DC al otro, estando el inicial prendido o no (es viable y hasta ahi todo sin problema), ahora bien, apagas el DC "inicial" para comenzar a trabajar sobre el nuevo, realizas todas las pruebas que deseas y si algo sale mal, quitas el equipo en linea y listo, vuelves a encender el DC apagado que habiamos dejado como backup... que crees que suceda?

    Para empezar, nuevamente tienes que forzar los roles fsmo, luego depurar manualmente toda referencia del DC que promoviste para hacer "pruebas" y que ya no tienes mas en linea (recordemos que el DC original lo apagamos teniendo el nuevo equipo ya en la infraestructura de AD), todo trabajo generando errores en produccion que no me parecen necesarios, por eso es mi recomendacion de implementar un dominio totalmente independiente para hacer las pruebas de migracion y una ves que estas seguro de los pasos a seguir, ahi trabajar sobre produccion, vuelvo a recordarte que es una recomendacion, lo que quieres hacer es viable asimilando las trabajos a realizar y los posibles riesgos...

    Salu2


    Leonardo Ponti
    MCSE (Windows Server 2003)
    MCSA (Windows Server 2003)
    MVA
    MAP 2010/2011
    martes, 08 de marzo de 2011 18:02
  • Hola, tienes razón, de hecho ya hice en una ocasión este escenario y no me paso bien un rol de schema master en el Serve dos,(teniendo apagado el 1) me marco errores y por esto no me dejo hacer la migración. entonces ahora tengo "basura" que limpiar en mi SErver y lo peor que no sé como hacerlo, qué implicaciones tiene esto (recordemos que el DC original lo apagamos teniendo el nuevo equipo ya en la infraestructura de AD). yo pensé que al estar apagado el Server 1 no habría problemas, ahora, que tendría que hacer para: 1) limpiar mi server actual, que todo quede bien, aunque al día de hoy no me ha dado problemas. 2) al crear un dominio nuevo, cómo puedo pasar todos mis usuarios de AD de un dominio a otro para poder entonces ahora si hacer pruebas. Realmente no es grande la cosa, son 30 usuarios de AD en un Server actual con Win 2003 con AD, DHCP, DNS y WINS, tengo un nuevo Server mas potente y mi licencia de SBS 2008 y otra lic. de Win 2008 Std. lo que deseo es implementar el SBS 2008 en el nuevo y el Server actual migrarlo de 2003 a Win 2008 std pero queria hacerlo todo con el mismo dominio y sin crear nuevamente usuarios en un dominio nuevo, porque eso puede ser lo mas sencillo, instalar el SBS 2008 con un nuevo dominio y crear todos los usuarios y volver a unir los equipos, despues en el Server viejo instalar Win Std Server 2008 y que trabaje como directorio activo de respaldo del nuevo, pero yo te digo que se puede hacer porque mi red es pequeña, pero que pasaría si estuvieramos hablando de una red de mas de 100 usuarios? el tema no es facil, por eso estoy tratando de hacerlo de esta manera, pero tal ves por mas que me aferre no se pueda.. que me comentas?? Agradezco mucho tu tiempo y atencion, Saludos cordiales,
    martes, 08 de marzo de 2011 18:28
  • Hola, tienes razón, de hecho ya hice en una ocasión este escenario y no me paso bien un rol de schema master en el Serve dos,(teniendo apagado el 1) me marco errores y por esto no me dejo hacer la migración. entonces ahora tengo "basura" que limpiar en mi SErver y lo peor que no sé como hacerlo, qué implicaciones tiene esto (recordemos que el DC original lo apagamos teniendo el nuevo equipo ya en la infraestructura de AD). yo pensé que al estar apagado el Server 1 no habría problemas, ahora, que tendría que hacer para:
    1) limpiar mi server actual, que todo quede bien, aunque al día de hoy no me ha dado problemas.
    2) al crear un dominio nuevo, cómo puedo pasar todos mis usuarios de AD de un dominio a otro para poder entonces ahora si hacer pruebas.

    Realmente no es grande la cosa, son 30 usuarios de AD en un Server actual con Win 2003 con AD, DHCP, DNS y WINS, tengo un nuevo Server mas potente y mi licencia de SBS 2008 y otra lic. de Win 2008 Std. lo que deseo es implementar el SBS 2008 en el nuevo y el Server actual migrarlo de 2003 a Win 2008 std pero queria hacerlo todo con el mismo dominio y sin crear nuevamente usuarios en un dominio nuevo, porque eso puede ser lo mas sencillo, instalar el SBS 2008 con un nuevo dominio y crear todos los usuarios y volver a unir los equipos, despues en el Server viejo instalar Win Std Server 2008 y que trabaje como directorio activo de respaldo del nuevo, pero yo te digo que se puede hacer porque mi red es pequeña, pero que pasaría si estuvieramos hablando de una red de mas de 100 usuarios? el tema no es facil, por eso estoy tratando de hacerlo de esta manera, pero tal ves por mas que me aferre no se pueda.. que me comentas??

    Agradezco mucho tu tiempo y atencion,
    Saludos cordiales,

    martes, 08 de marzo de 2011 18:28
  • Hola,

    Antes que nada respondo las consultas que realizas:

    1) Para limpiar los datos del controlador de dominio inexistente, puede ayudarte el siguiente articulo: http://support.microsoft.com/kb/216498

    2) Para pasar los usuarios de un dominio a otro, equipos, grupos, etc, puedes utilizar la herramienta ADMT: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6F86937B-533A-466D-A8E8-AFF85AD3D212 - http://www.microsoft.com/downloads/en/details.aspx?FamilyID=20c0db45-db16-4d10-99f2-539b7277ccdb - http://technet.microsoft.com/en-us/library/cc974332(WS.10).aspx

    Sobre el punto de como migrar tu estructura el dia de mañana, te comento que con la Tool ADMT, podrias migrar los objetos de tu actual dominio a uno creado desde cero, sin tener que volver a poner en nuevo dominio los equipos que estan en tu empresa, de esta forma, pasarias a tener el dominio limpio y sin errores como actualmente tienes, no olvides que si haces un Upgrade de tu actual version, estas tambien "migrando" los errores que actualmente tienes, cosa que no pasaria si creas un dominio desde cero y migras los objetos. Esto que te comento ahora, es por el caso de migrar tu estructura en produccion, no para hacer pruebas, vuelvo aclarar para que no tengas los imprevistos que ya sufriste como comentas, es separar las etapas de "test" con "produccion".

    Con respecto a la cantidad de usuarios en la empresa y lo complejo que puede ser hacer una migracion, te comento que la cantidad de objetos en tu dominio influye, pero tambien hay un factor de criticidad importante que es "costo vs beneficio", es decir, que para hacer lo que deseas, tienes que duplicar tu estructura, cosa que depende del dinero que tengas para poderlo realizar o no, para instalar un nuevo dominio y migrar los usuarios y computadoras, tienes que pensar en duplicar hard (o virtuales), licencias, etc y eso para una empresa es mucho costo, hablando de una empresa con dos o tres DCs no es mucho, pero empresas que tienen 300, 400 o mas Controladores de dominio, estamos hablando de un costo importante que la empresa tendria que asumir para la migracion, ahi ya no es tanto cantidad de usuarios, sino costo de migracion...

    Segun la empresa, disponibilidades, tiempos, recursos, estado del dominio y demas, es lo que define la metodologia de migracion, cosa que son todas viables y vas a llegar a un mismo fin.-

    Espero haya quedado clara la explicacion...

    Salu2


    Leonardo Ponti
    MCSE (Windows Server 2003)
    MCSA (Windows Server 2003)
    MVA
    MAP 2010/2011
    martes, 08 de marzo de 2011 21:34
  • ok Leo,

    Ya estuve revisando la informacion que me dices y veo dos versiones distintas del ADMT, la 3.0 que corre en Windows 2003 y la 3.2 que correo unicamente en 2008, la pregunta es: debo instalar cada una en el Servidor correspondiente? es decir la 3.0 en mi Server con 2003 y la 3.2 en mi Server con 2008? o puedo primero extraer mis usuarios desde mi Server con 2003 después instalar todo nuevo en otro disco duro con 2008 e importar mis objetos y por ultimo promoverlo como AD principal? ya sea con el mismo dominio o con otro... es correcto?

     

    gracias por tus valiosos aportes

    Saludos

    martes, 08 de marzo de 2011 22:16
  • Hola,

    Lo que tienes que hacer es implementar el nuevo forest, generar la relacion de confianza correspondiente para tener conexion entre los mismos y puedes instalarte el ADMT 3.2 en el nuevo forest para migrarte los objetos, no hay que instalar el ADMT en ambos, te paso el siguiente link que de seguro sera de ayuda: http://technet.microsoft.com/es-es/library/cc974370(WS.10).aspx

    Salu2


    Leonardo Ponti
    MCSE (Windows Server 2003)
    MCSA (Windows Server 2003)
    MVA
    MAP 2010/2011
    martes, 08 de marzo de 2011 23:57
  • Ok Leo, Windows SBS 2008 soporta relaciones de confianza entre windows 2003 o windows 2008 para migrar usuaarios con ADMT 3.2? Gracias y saludos. Analice a detalle tus valiosos comentarios que para cada migración existe un escenario diferente para lleavarlo a cabo y que este depende de muchos aspectos de cada organización. Tal vez una opción mas adecuada sería instalar mi nuevo Servidor SBS 2008 con nuevo dominio y de manera manual migrar equipos y dar de alta nuevamente a los usuarios, esto lo puedo hacer al ser una red pequeña con 30, en la parte de GPO´s solo tengo un par creadas y las puedo volver a hacer, una vez que este Server este al 100 % con todos los usarios y equipos instalar en el actual (que tiene Win 2003) mi licencia de Win 2008 Std. para que sea Directorio Activo de respaldo. y lo hago en un nuevo disco duro para tener el actual de respaldo por un par de semanas en lo que valido que todo marcha bien. Qué opinas Leo? nuevamente gracias
    miércoles, 09 de marzo de 2011 15:49
  • Ok Leo,

    Windows SBS 2008 soporta relaciones de confianza entre windows 2003  o windows 2008 para migrar usuaarios con ADMT 3.2?

    Gracias y saludos.

    Analice a detalle tus valiosos comentarios que para cada migración existe un escenario diferente para lleavarlo a cabo y que este depende de muchos aspectos de cada organización.

    Tal vez una opción mas adecuada sería instalar mi nuevo Servidor SBS 2008 con nuevo dominio y de manera manual migrar equipos y dar de alta nuevamente a los usuarios, esto lo puedo hacer al ser una red pequeña con 30, en la parte de GPO´s solo tengo un par creadas y las puedo volver a hacer, una vez que este Server este al 100 % con todos los usarios y equipos instalar en el actual (que tiene Win 2003) mi licencia de Win 2008 Std. para que sea Directorio Activo de respaldo. y lo hago en un nuevo disco duro para tener el actual de respaldo por un par de semanas en lo que valido que todo marcha bien.  Qué opinas Leo?

    nuevamente gracias

    miércoles, 09 de marzo de 2011 15:49
  • Hola,

    Pero vas a migrar a un Win2008 SBS o STD?, en tu post anterior habia entendido que era STD no SBS...

    Tienes que configurar la relacion de confianza para poder hacer la migracion y poder migrar las cuentas, con algunas limitaciones si migras a Windows Server 2008 SBS..., te invito a pasar por el siguiente link donde presenta en detalle una posible migracion: http://blogs.technet.com/b/sbs/archive/2009/05/01/sbs-2003-to-sbs-2008-migration-to-a-different-domain-name.aspx

    Con respecto a la migracion que puedes encarar por la infraestructura que tienes, puedes hacer el generar las cuentas nuevamente y hacer una instalacion limpia en un nuevo dominio, obviamente con los tiempos que eso amerita ya que hay que hacer una tarea en todos los clientes Computer como tambien en los usuarios, teniendo en cuenta si tambien tienes aplicaciones, recursos compartidos, correo, etc que consultan a tu actual dominio. Con respecto a las GPOs, puedes hacer un backup del dominio actual y un import en el nuevo dominio, para no tener que generar a mano todas las GPOs..., una ves que vas migrando, no solo vas chequeando que los clientes tengan buenos resultados, sino tambien que no se presenten errores en el nuevo Controlador de Dominio y es mas que recomendable, el aplicar un segundo DC para tener respaldo de la infraestructura por mas chica que sea, si tienes los recursos, hay que aprovecharlos...

    Salu2


    Leonardo Ponti
    MCSE (Windows Server 2003)
    MCSA (Windows Server 2003)
    MVA
    MAP 2010/2011
    miércoles, 09 de marzo de 2011 17:46
  • Hola Leo, efectivamente la migracion es  desde un Win 2003 Server hacia un Win SBS 2008.

    Es mas recomendable hacer todo en limpio verdad??

    miércoles, 09 de marzo de 2011 19:05
  • Hola,

    Es totalmente recomendable migrar a un dominio de cero si esta en tu posibilidad.-

    Salu2


    Leonardo Ponti
    MCSE (Windows Server 2003)
    MCSA (Windows Server 2003)
    MVA
    MAP 2010/2011
    • Marcado como respuesta aortega miércoles, 09 de marzo de 2011 22:16
    miércoles, 09 de marzo de 2011 20:28
  • Ok Leo, asi lo haré, voy a crear un dominio desde cero con Win SBS 2008 y voy a dar de alta nuevamente a todos los usuarios y una vez hecho esto sacaré del dominio actual a los equipos y los unire al nuevo. después instalaré Win 2008 en el server que actualmente tiene Win 2003 como Directorio Activo de respaldo.

     

    Muchas gracias por tu valiosa ayuda y por tu tiempo.

    Saludos cordiales,

    AOrtega

    miércoles, 09 de marzo de 2011 22:16