docs.facundoitest.space

User Tools

Site Tools

Trace: run_cleanmgr_w_o_confirm_not_silently
mover_roles_fsmo

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
mover_roles_fsmo [2024/06/19 18:11] – [Consideraciones finales] osomover_roles_fsmo [2025/04/16 01:22] (current) – [Sucursales con conexiones lentas o intermitentes] oso
Line 140: Line 140:
   * **RDP o VDI**: Si la infraestructura lo permite, utiliza escritorios remotos o infraestructura de escritorios virtuales (VDI) para reducir la dependencia de la conexión de red.   * **RDP o VDI**: Si la infraestructura lo permite, utiliza escritorios remotos o infraestructura de escritorios virtuales (VDI) para reducir la dependencia de la conexión de red.
   * **Réplica de sólo lectura (RODC)**: En sucursales con conexiones no confiables, usa un RODC para mejorar la seguridad y el rendimiento de autenticación.   * **Réplica de sólo lectura (RODC)**: En sucursales con conexiones no confiables, usa un RODC para mejorar la seguridad y el rendimiento de autenticación.
 +
 +====== Seize de roles FSMO (modo desastre) ======
 +
 +Cuando un Domain Controller con roles FSMO deja de funcionar y **no es posible hacer un `demote` limpio**, hay que tomar los roles por la fuerza desde otro DC.
 +
 +Esta es la versión *menos agraciada* del traspaso.
 +
 +===== Pasos =====
 +
 +==== 1. Seize de roles FSMO con `ntdsutil` ====
 +
 +Desde una consola en el nuevo DC que va a tomar los roles (ej: `BIODC01`):
 +
 +<code>
 +ntdsutil
 +roles
 +connections
 +connect to server BIODC01
 +quit
 +</code>
 +
 +Luego, para cada rol:
 +
 +<code>
 +seize schema master
 +seize naming master
 +seize rid master
 +seize pdc
 +seize infrastructure master
 +</code>
 +
 +Ignore los errores `ldap_modify_sW error 0x34 (...)`, son esperables si el DC original está muerto.
 +
 +Podés verificar qué roles tiene el servidor con:
 +
 +<code>
 +netdom query fsmo
 +</code>
 +
 +==== 2. Borrar el viejo DC desde Sites and Services ====
 +
 +<code>
 +dssite.msc
 +</code>
 +
 +Navegar a:
 +
 +''Sites > Planta > Servers > PDC''
 +
 +
 +Click derecho sobre `PDC` → **Delete**. Aceptar la eliminación de "NTDS Settings" si lo pide.
 +
 +==== 3. Limpieza opcional (pero recomendada) con `ntdsutil` ====
 +
 +<code>
 +ntdsutil
 +metadata cleanup
 +connections
 +connect to server BIODC01
 +quit
 +select operation target
 +list domains
 +select domain <número>
 +list sites
 +select site <número>
 +list servers in site
 +select server <número>
 +quit
 +remove selected server
 +</code>
 +
 +==== 4. Borrar registros DNS obsoletos ====
 +
 +Desde la consola de DNS, revisar las zonas:
 +
 +  * `bio4.local`
 +  * `_msdcs.bio4.local`
 +
 +Borrar:
 +  * Registros A que apunten a `PDC`
 +  * Registros de SRV (`_ldap`, `_kerberos`, `_gc`, etc.)
 +  * Entradas como Nameserver (NS) que mencionen al viejo DC
 +
 +==== 5. Verificación final ====
 +
 +<code>
 +netdom query fsmo
 +repadmin /replsummary
 +dcdiag /v
 +nltest /dclist:bio4.local
 +</code>
 +
 +Si todo se ve bien, podés eliminar o archivar la VM del viejo DC. 💀🧟‍♂️
 +
 +===== Comentario =====
 +
 +Este procedimiento debe usarse **solo si no es posible restaurar ni encender el DC original**. Una vez hecho el `seize`, ese DC **no debe volver a encenderse en la misma red**.
 +
 +Guardar este procedimiento como referencia en caso de futuros eventos catastróficos.
  
mover_roles_fsmo.1718820669.txt.gz · Last modified: 2024/10/17 21:42 (external edit)