docs.facundoitest.space

User Tools

Site Tools

Trace: graficar_respuesta_del_barrido_en_frecuencia_con_python generar_certificado_y_claves_autofirmados_con_openssl backups_comprimidos_de_docker_volumes limpiar_cache_apt_e_imagenes_docker run_cleanmgr_w_o_confirm_not_silently template_de_solicitudes mover_roles_fsmo cv_-_about_me sintetizador_fm_para_archivos_midi_en_python
mover_roles_fsmo

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
mover_roles_fsmo [2024/06/19 18:04] – [Paso 1: Validar la replicación] osomover_roles_fsmo [2025/04/16 01:22] (current) – [Sucursales con conexiones lentas o intermitentes] oso
Line 113: Line 113:
   * **Backups**: Asegúrate de tener backups recientes antes de realizar cualquier cambio.   * **Backups**: Asegúrate de tener backups recientes antes de realizar cualquier cambio.
   * **Tiempo de inactividad**: Trata de realizar estos cambios fuera del horario de producción para minimizar el impacto.   * **Tiempo de inactividad**: Trata de realizar estos cambios fuera del horario de producción para minimizar el impacto.
 +
 +===== ¿Qué son los roles FSMO? =====
 +Los roles FSMO (Flexible Single Master Operations) son roles críticos en un dominio de Active Directory. Existen cinco roles FSMO, distribuidos en dos categorías:
 +
 +  * **Roles de dominio**:
 +    - **PDC Emulator (Emulador de PDC)**: Maneja la sincronización de tiempo y compatibilidad con NT4.
 +    - **RID Master (Maestro RID)**: Asigna identificadores únicos (RIDs) a cada objeto creado.
 +    - **Infrastructure Master (Maestro de Infraestructura)**: Actualiza referencias de objetos de otros dominios.
 +
 +  * **Roles de forest**:
 +    - **Schema Master (Maestro de Esquema)**: Controla las actualizaciones y modificaciones del esquema de AD.
 +    - **Domain Naming Master (Maestro de Nombres de Dominio)**: Controla la adición y eliminación de dominios en el bosque.
 +
 +===== Buenas prácticas para FSMO y AD =====
 +
 +==== Agrupación de roles FSMO ====
 +  * **Centralización**: Para simplificar la administración y la recuperación ante desastres, agrupa todos los roles FSMO en un solo servidor si tienes una infraestructura pequeña o mediana.
 +  * **Distribución**: En infraestructuras más grandes, distribuye los roles FSMO para balancear la carga y aumentar la redundancia. Por ejemplo, podrías mantener los roles de dominio en un DC y los roles de forest en otro.
 +
 +==== Número de réplicas de controladores de AD ====
 +  * **Redundancia**: Mantén al menos dos controladores de dominio por dominio para garantizar la alta disponibilidad y la redundancia.
 +  * **Ubicación**: Coloca controladores de dominio en diferentes ubicaciones físicas, si es posible, para asegurar la continuidad del servicio en caso de fallos en una ubicación.
 +
 +==== Sucursales con conexiones lentas o intermitentes ====
 +  * **Controlador de dominio adicional**: Considera desplegar un controlador de dominio adicional en la sucursal para que maneje las autenticaciones y solicitudes locales.
 +  * **RDP o VDI**: Si la infraestructura lo permite, utiliza escritorios remotos o infraestructura de escritorios virtuales (VDI) para reducir la dependencia de la conexión de red.
 +  * **Réplica de sólo lectura (RODC)**: En sucursales con conexiones no confiables, usa un RODC para mejorar la seguridad y el rendimiento de autenticación.
 +
 +====== Seize de roles FSMO (modo desastre) ======
 +
 +Cuando un Domain Controller con roles FSMO deja de funcionar y **no es posible hacer un `demote` limpio**, hay que tomar los roles por la fuerza desde otro DC.
 +
 +Esta es la versión *menos agraciada* del traspaso.
 +
 +===== Pasos =====
 +
 +==== 1. Seize de roles FSMO con `ntdsutil` ====
 +
 +Desde una consola en el nuevo DC que va a tomar los roles (ej: `BIODC01`):
 +
 +<code>
 +ntdsutil
 +roles
 +connections
 +connect to server BIODC01
 +quit
 +</code>
 +
 +Luego, para cada rol:
 +
 +<code>
 +seize schema master
 +seize naming master
 +seize rid master
 +seize pdc
 +seize infrastructure master
 +</code>
 +
 +Ignore los errores `ldap_modify_sW error 0x34 (...)`, son esperables si el DC original está muerto.
 +
 +Podés verificar qué roles tiene el servidor con:
 +
 +<code>
 +netdom query fsmo
 +</code>
 +
 +==== 2. Borrar el viejo DC desde Sites and Services ====
 +
 +<code>
 +dssite.msc
 +</code>
 +
 +Navegar a:
 +
 +''Sites > Planta > Servers > PDC''
 +
 +
 +Click derecho sobre `PDC` → **Delete**. Aceptar la eliminación de "NTDS Settings" si lo pide.
 +
 +==== 3. Limpieza opcional (pero recomendada) con `ntdsutil` ====
 +
 +<code>
 +ntdsutil
 +metadata cleanup
 +connections
 +connect to server BIODC01
 +quit
 +select operation target
 +list domains
 +select domain <número>
 +list sites
 +select site <número>
 +list servers in site
 +select server <número>
 +quit
 +remove selected server
 +</code>
 +
 +==== 4. Borrar registros DNS obsoletos ====
 +
 +Desde la consola de DNS, revisar las zonas:
 +
 +  * `bio4.local`
 +  * `_msdcs.bio4.local`
 +
 +Borrar:
 +  * Registros A que apunten a `PDC`
 +  * Registros de SRV (`_ldap`, `_kerberos`, `_gc`, etc.)
 +  * Entradas como Nameserver (NS) que mencionen al viejo DC
 +
 +==== 5. Verificación final ====
 +
 +<code>
 +netdom query fsmo
 +repadmin /replsummary
 +dcdiag /v
 +nltest /dclist:bio4.local
 +</code>
 +
 +Si todo se ve bien, podés eliminar o archivar la VM del viejo DC. 💀🧟‍♂️
 +
 +===== Comentario =====
 +
 +Este procedimiento debe usarse **solo si no es posible restaurar ni encender el DC original**. Una vez hecho el `seize`, ese DC **no debe volver a encenderse en la misma red**.
 +
 +Guardar este procedimiento como referencia en caso de futuros eventos catastróficos.
  
mover_roles_fsmo.1718820297.txt.gz · Last modified: 2024/10/17 21:42 (external edit)