none
Se puede degradar un controlador de dominio si tiene todos los roles FSMO? RRS feed

  • Pregunta

  • Buenas tardes,

    Estoy intentando transferir todos los roles FSMO a otro controlador de dominio pero me dice que es imposible porque el servidor donde estan los roles actualmente esta desconectado.

    Como puedo degradar este controlador de dominio y que transfiera los roles?

    muchas gracias

    viernes, 31 de mayo de 2013 11:12

Respuestas

  • Kubick,

    ¿Como estas? Pueden estar juntos o no, eso va a depender de la infraestructura que tengas por ejemplo dependera si tenes un "Single Forest Domain" o "Multiple Forest Domain".

    Las recomendaciones generales son las siguientes:

    • Ubicar el maestro de esquema en el PDC del dominio raíz del bosque
    • Ubicar el maestro de nombres de dominio en el PDC raíz del bosque
    • Ubicar el PDC en el equipo que mejor hardware tenga
    • Ubicar el maestro de RID en el dominio PDC en el mismo dominio

    Se sugiere tambien en Active Directory  con gran cantidad de objetos ubicar el Infraestruture Master en un servidor que no sea "global catalog"

    Te dejo un link de Microsoft con un explicacion sobre la ubicacion de los roles FSMO:

    http://support.microsoft.com/kb/223346?wa=wsignin1.0

    Saludos,


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta Kubick miércoles, 12 de junio de 2013 9:14
    martes, 4 de junio de 2013 16:45

Todas las respuestas

  • Si no puede conectar con el controlador nunca podrá transferir los roles.

    Lo que puedes hacer es en el controlador que si funciona bien es "asumir" los roles:

    http://support.microsoft.com/kb/255504/es

    Y el controlador que da problemas despromocionarlo con el parámetro /forceremoval.

    Y luego acordarse de limpiar los metadatos correspondientes al DC despromocionado.

    Un saludo.

    viernes, 31 de mayo de 2013 12:01
  • Gracias Javier,

    Si lanzo el comando NETDOM QUERY FSMO  en el servidor que esta operativo y veo que todos los roles ya apuntan al servidor operativo significa que el servidor ha asumido todos los roles de forma correcto, no? Y ya podria hacer utilizar /focerremoval....

    saludos.

    viernes, 31 de mayo de 2013 12:06
  • Cuando intento usar focerremoval me avisa de que tiene el rol rid pero si lo verifico con el comando NETDOM QUERY FSMO en els ervidor operativo si que veo que esta ya transferidoo...

    Pasa algo si devulevo los roles FSMO a un servidor al que previamente se los habia quitado mediante SEIZE?

    gracias


    • Editado Kubick viernes, 31 de mayo de 2013 12:29
    viernes, 31 de mayo de 2013 12:08
  • Kubick,

    ¿Como estas? Sigue este enlace que explica como hacerlo:

    http://www.petri.co.il/forcibly_removing_active_directoy_from_dc.htm

    Una vez que hiciste el SEIZE de los roles, el servidor al cual le quistaste los roles, no podes volver a prenderlo y unirlo a la red.

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!


    viernes, 31 de mayo de 2013 12:55
  • Gracias Nocolás,

    El problema es que ya he vuelto a transferir los roles por SEIZe al servidor original. De momento todo funciona . Qué puedo hacer si he vuelto a migrar los roles al servidor al que se los habias quitado mediante SEIZE?   Monto otro controlador de dominio nuevo y le transfiero todos los roles para quitarlo?

    gracias

    saludos.

    viernes, 31 de mayo de 2013 12:59
  • Kubick,

    ¿Como estas? El riesgo de introducir un antiguo titular de función FSMO cuya función se ha asumido en el bosque es que el titular original de la función puede seguir funcionando como antes hasta que replique de forma entrante el conocimiento de la toma de control de la función. Los riesgos conocidos de dos controladores de dominio que posean las mismas funciones FSMO incluyen la creación de principales de seguridad con grupos RID superpuestos, así como otros problemas.

    Esto lo explica el siguiente articulo:

    http://support.microsoft.com/kb/255504/es

    Te recomendaria que apagues ambos servidores, y vuelvas a levantar un DC limpio y asumas los roles mediante seize.

    Luego eliminar los DC a los cuales le realizaste el seize previamente y limpia la metadata.

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 31 de mayo de 2013 13:20
  • Gracias Nicolás,

    me recomiendsa que cree un nuevo DC dentro del dominio que tengo ahora o de un dominio nuevo?  Entiendo que es en el mismo dominio que tengo ahora.

    POr otra parte no puedo apagarlo hasta que no cree el nuevo DC porque solo me queda "sano" el DC que esta el implicado en SEIZE.

    Cuando tenga el nuevo DC el siguiente paso será eliminar los DC en fallo, realizo en cada servidor a eliminar el procedimiento de DCpromo /force... ?

    Persona tanta pregunta pero como es un tema delicado quiero tener todo bastante claro.

    gracias, saludos.


    • Editado Kubick viernes, 31 de mayo de 2013 13:41
    viernes, 31 de mayo de 2013 13:40
  • Kubick,

    ¿Como estas? Exactamente, los pasos serian los siguientes:

    • Levanta un DC en el dominio que tenes ahora como domain controller adicional
    • Realiza un seize de los roles FSMO
    • Apaga los DC adicionales a los cuales le realizaste el seize
    • Despromove los controladores de dominio apagados (Si tenes Windows Server 2008 lo podes hacer desde la consola de Computadoras y Usuarios de Active Directory) sino siguiendo los pasos del enlace: http://www.petri.co.il/forcibly_removing_active_directoy_from_dc.htm
    • Limpia la metadata de los dc: http://support.microsoft.com/kb/216498/es
    • Si todo esta bien, levanta otro controlador de dominio adicional, ya que lo recomendado es tener por lo menos dos controladores de dominio.

    Recorda que puede haber un tiempo de demora en el cual el servidor asume los roles FSMO!

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!


    viernes, 31 de mayo de 2013 13:58
  • Gracias Nicolás,

    He seguido tus pasos y he eliminado el DC que estaba inaccesible. Ahora tengo un DC nuevo y el DC que habia vuleto a recibir los FSMO.

    Antes de transferir los FSMO al nuevo DC y de eliminar por completo el otro DC tengo una duda sobre las DNS. En el nuevo servidor , a nivel de tcp que DNS debo especificar? a el mismo como DNS principal o las DNS de otro DC?  . Tenia anterior mente un problema y es que un DC no arrancaba de forma correcta si  se tenia a sí mismo como DNS preferido. Y ahora se me presenta esta duda no vaya a ser que quede inaccesible al solo tener un DC y no poder más que poner las DNS propias.

    gracias!!

    viernes, 31 de mayo de 2013 15:46
  • Kubick,

    ¿Como estas? La configuracion DNS de los DC deberia ser la siguiente:

    • Como DNS primario a su IP
    • Como DNS secundario a otro controlador de dominio (Te recomiendo tener dos DC como minimo)
    • Como tercero desde opciones avanzadas a la IP LoopBack (127.0.0.1)

    Aca tenes para validarlo las mejores practicas de configuracion DNS para las placas de red de los controladores de dominio:

    http://technet.microsoft.com/en-us/library/dd391879(v=ws.10).aspx

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 31 de mayo de 2013 15:51
  • Gracias Nicolás, me estas salvando la vida.

    Con las configuración que me recomiendas funciona perfecto. Mi duda es si solo dejo de dns primaria la ip propia? en ese caso deberia de funcionar o no podria funcionar porque no encuentra servidor dns y el controlador de dominio no arranca sin dns (o viceversa...). En caso de que no pudiera arrancar con una sola DNS sería un problema de configuración en alguna parte?

    muy agradecido.

    saludos.

    viernes, 31 de mayo de 2013 15:59
  • Kubick,

    ¿Como estas? Dejando la IP propia del DC que por supuesto es servidor DNS, deberia funcionar correctamente, de hecho debe funcionar asi, el controlador de dominio puede arrancar si falla los DNS, pero no te va a andar nada del servicio de directorio ya que recuerda que DNS es la base de Active Directory.

    Como te dije anteriormente, te recomiendo por lo menos tener dos DC y configurarle las placas de red como te mencione:

    • Como DNS primario a su IP
    • Como DNS secundario a otro controlador de dominio
    • Como tercero desde opciones avanzadas a la IP LoopBack (127.0.0.1)

    Mientras tenga un DNS que funcione correctamente, deberia andar sin problemas.

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 31 de mayo de 2013 16:03
  • Debe tener un problema el servidor de DNS porque si solo dejo como DNS al propio servidor , el controlador de dominio no es capaz de arrancar. Se queda mucho tiempo en "aplicando la configuración al equipo" y luego cuando arrancar no llega a cargar ni el servidor DNS ni DC....

    Siemplemente , tras instalar el DC, he seleccionado en el servidor original la transferencia de la zona del dominio y de _msd... y me han aparecido las dos zonas en el nuevo servidor DNS.  Puede quedar algo pendiente?

    gracias, saludos.

    viernes, 31 de mayo de 2013 16:18
  • Kubick,

    ¿Como estas? Puede que tenga algun problema en el servicio DNS, revisa el Event Log para comprobar si no tenes algun evento de error.

    Solo con promoverlo como DC e instalar el rol DNS alcanza.

    Chequea si los registros SRV estan apuntando correctamente a tu nuevo DC en la zona DNS por si las dudas.

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 31 de mayo de 2013 16:21
  • los SRV apuntan al nuevo DC y al otro que esta operativo....

    Viendo los logs, veo errores que solo aparece si tiene como dns su propia ip (en orden cronológico de aparición)

    -3096 No se puede encontrar el controlador de dominio principal para este dominio

    - 1014 se agoto el tiempo de espera para la resolucion de nombre _ldap._tcp.Nombre-predeterminado-primer-sitio._sites.dc._msdcs.midominio.net despues de que ninguno de los servidores DNS confiugardo respondiese.

    -14550 DFS no pudo iniciar la confianza entre bosques de este dominio.

    - 129 Ntp del mismo nivel en el dominio....

    -5719 no puede establercer una conexion segura con el dominio midomino.net No hay servidores de inicio de sesion disponible.

    - 10154 el servicio WinRM no puede crear los siguientes SPN. WSAM/dc2.midominio.net WSMAN/DC2

    - 5774 Error en el registro dinamico del registro DNS _kerberos._tcp.dc_msdcs.minodminio.net en el dominio DNS: (en blanco) , paquete DNS erróneo.


    - 5781 error en el registro dinamico en la eliminacion de uno o mas registros dns asociados al dominio dns DomainDnsZOnes.midominio.net y lo mismo para forestdnszones y para midominio.net

     

    y al final, tras 25 minutos (aparece en la pantalla aplicando directivas...) termina arrancando y funciona aparentemente todo bien.

    ¿tienes alguna idea?

    muchas gracias

     

     

     

     

     

    viernes, 31 de mayo de 2013 17:05
  • Kubick,

    ¿Como estas? ¿Las consultas DNS mediante cmd por NSLOOKUP desde el DC funcionan correctamente?

    Prueba realizando los siguientes pasos:

    1. Restart the Netlogon service on domain controller.
    2. Run DcDiag /fix
    3. Run NetDiag /ifx
    4. ipconfig /flushdns
    5. ipconfig /registerdns 
    6. reiniciar pc

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 31 de mayo de 2013 17:09
  • Gracias Nicolás,

    He probado los pasos que me idicas, he hecho todo salvo el paso 3 netdiag ya que en 2008R2 no existe ese aplciativo. Tras estos pasos sigue pasando lo mismo, tarda mucho en iniciar la sesión y tras 20 min inicia de forma correcta.

    hay alguna alternativa a netdiag?

    muchas gracias,

    saludos.

    viernes, 31 de mayo de 2013 18:37
  • Kubick,

    ¿Como estas? Chequea estos enlaces y estos hilos de foros que tiene el mismo problema que estas teniendo:

    http://technet.microsoft.com/en-us/library/cc737678(WS.10).aspx

    http://social.technet.microsoft.com/Forums/es-ES/wssmes/thread/f8c313f6-4943-4fb1-94af-932e03ca7365/

    Como indican, claramente es un comportamiento que puede suceder, si tenes un solo DNS y el DC apunta a si mismo, ya que para que Active Directory funcione, primero levanta el servicio DNS, una vez que el servicio levanto podes loguearte correctamente.

    Te diria que intentes levantando un segundo DC y pruebe poniendolo como DNS secundario para comprobar si sigue ocurriendo lo mismo.

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 31 de mayo de 2013 19:01
  • BUenas,

    Seguí los artivculos que comentas y no he conseguido demasiado. El servidor arrancar en unos 10 min (antes eran 25) y funciona todo de forma correcta. Lo malo es que revisando el log veo errores durante el arranque.

    Los errores se restrigen ahora a nivel de DNS: Event Id. 4013 El servidor DNS esta esperando a que los servicios AD DS señalen que se ha completado la sincronizacion inicial del directorio. y A los dos minutos arranca el servidor.

    A nivel de directorio activo muestra: Event Id. 2087 Los servicios de active directory no pudieron resolver la dirección... (que si pruebo a resolverla cuando ha arrancado se resuelve de forma correcta).

    He probado a poner otro DC como secundario y al hacerlo así arranca sin errores y de forma rápida.

    gracias,

    saludos.

    lunes, 3 de junio de 2013 16:22
  • Como vas Kubick!! una acotación!! tu RECORD SOA, fue actualizado tal vez?, esto se tuvo hacer de manera automática, pero aveces no sucede, revisa en tu zona del dominio si el Record SOA es el nuevo servidor, y que no es el antiguo.!!
    lunes, 3 de junio de 2013 19:30
  • gracias Luis,

    he revisado los registros SOA y parece que estan bien apuntados.

    He visto que en la zona midomini.net , _msdcs el registro del servidor de nombres solo apunta hacia el servidor DNS principal y no tiene referencias al servidor secundario, no se si esto puede influir...?

    gracias!

    martes, 4 de junio de 2013 9:37
  • Kubick,

    ¿Como estas? El registro de Name Server, debe apuntar a tus dos controladores de dominio.

    Saludos!!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    martes, 4 de junio de 2013 13:28
  • Qué tal Nicolás,

    Ok he agregado mis dos DC en el registro Name server de    _msdcs .

    Pero sigue tardando unos 11 minutos en iniciar.

    he lido un articulo "DNS Server becomes an island" http://support.microsoft.com/kb/275278/ y he seguido los dos metedos. El unico que me funciona es poner en las DNS como principal a él mismo y de secundaria a otro DC operativo.

    Me duda es sí es normal que se demore tanto en arrancar si solo se tiene a sí mismo con servidor DNS y si es una buena practica tener como dns secundaria a otro servidor DC , con esta opción no se que pasaria si tuviera que encender los dos servidores estando apagados...

    gracias

    saludos.



    • Editado Kubick martes, 4 de junio de 2013 14:26
    martes, 4 de junio de 2013 14:25
  • Kubick,

    ¿Como estas? Puede que se demore si solo se tiene a si mismo como servidor DNS ya que el servicio de directorio necesita del servicio de DNS.

    Por otro lado, porsupuesto que es un buena practica tener como DNS secundario a otro servidor.

    Puedes segui este enlance donde explican las buenas practicas de la configuracion DNS para controladores de dominio:

    http://technet.microsoft.com/en-us/library/dd391879(v=ws.10).aspx

    Saludos


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    martes, 4 de junio de 2013 14:34
  • Pero un DC que es único en un dominio, lo normal es que arranque sin demoras. No se porque al haber varios DC les cuesta arrancar (al final terminan arrancando tras 15 min...)

    Entiendo que es buena practica tener en las DNS varios DC, pero que pasa  si todos los DC se apagan? cuando los vuelva a encender,  El primero que encienda volvera a iniciar sin problemas  (despues de una demora) pese a que solo este el mismo operativo o por el contrario se pueden presentar problemas? esa es la duda que tengo sobre las best practices de las DNS en los DC.

    gracias Nicolás.

    martes, 4 de junio de 2013 14:40
  • Kubick,

    ¿Como estas? El primero que enciende, volvera a encender sin problemas.

    Lo que si debes tener en cuenta que si necesitas aplicar algun operacion en las cuales intervengan los roles FSMO, debereas tener un orden de encendido de los DC.

    Primero encendiendo el servidor que contenga los roles FSMO a nivel dominio, luego los restantes DC.

    Puede que le cueste arrancar por un error en la red con los DNS, quizas si puedes utilizar algun software como Wireshark para capturar trafico de la red, quizas tengas una pista de lo que puede estar pasando.

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!


    martes, 4 de junio de 2013 14:57
  • Gracias Nicolás.

    Dentro de los FSMO, PDC y RID deben estar juntos, no? y el resto separados o tambien juntos?

    gracias!

    martes, 4 de junio de 2013 16:32
  • Kubick,

    ¿Como estas? Pueden estar juntos o no, eso va a depender de la infraestructura que tengas por ejemplo dependera si tenes un "Single Forest Domain" o "Multiple Forest Domain".

    Las recomendaciones generales son las siguientes:

    • Ubicar el maestro de esquema en el PDC del dominio raíz del bosque
    • Ubicar el maestro de nombres de dominio en el PDC raíz del bosque
    • Ubicar el PDC en el equipo que mejor hardware tenga
    • Ubicar el maestro de RID en el dominio PDC en el mismo dominio

    Se sugiere tambien en Active Directory  con gran cantidad de objetos ubicar el Infraestruture Master en un servidor que no sea "global catalog"

    Te dejo un link de Microsoft con un explicacion sobre la ubicacion de los roles FSMO:

    http://support.microsoft.com/kb/223346?wa=wsignin1.0

    Saludos,


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta Kubick miércoles, 12 de junio de 2013 9:14
    martes, 4 de junio de 2013 16:45