Primero, asegúrate de que la replicación entre los controladores de dominio esté funcionando correctamente.

• Ejecuta `dcdiag`: Este comando realiza un diagnóstico completo del controlador de dominio.

dcdiag /v /c /d /e /s:DC_NAME

1. `/v`: Verbose mode (modo detallado).
2. `/c`: Realiza una verificación exhaustiva.
3. `/d`: Incluye los eventos de diagnóstico.
4. `/e`: Realiza pruebas en todos los DCs del bosque.
5. `/s:DC_NAME`: Especifica el DC a probar.

• Ejecuta `repadmin`: Este comando te permitirá verificar el estado de la replicación.

repadmin /replsummary
repadmin /showrepl

1. `/replsummary`: Muestra un resumen de la replicación.
2. `/showrepl`: Muestra los detalles de la replicación.

Se pueden exportar los GPOs a un archivo html:

Get-GPOReport -All -ReportType Html -Path "C:\Temp\All-GPOs.html"

Si todo está en orden y no ves errores, puedes proceder con el movimiento de los roles FSMO.

Primero, necesitas saber en qué controlador de dominio están actualmente los roles FSMO.

netdom query fsmo

Puedes mover los roles usando la consola GUI o comandos PowerShell.

• RID, PDC, y Infrastructure:
  1. Abre “Active Directory Users and Computers”.
  2. Haz clic derecho en el dominio y selecciona “Operations Masters”.
  3. En cada pestaña (RID, PDC, Infrastructure), selecciona “Change” para mover el rol al nuevo servidor.

• Domain Naming Master:
  1. Abre “Active Directory Domains and Trusts”.
  2. Haz clic derecho en “Active Directory Domains and Trusts” y selecciona “Operations Master”.
  3. Haz clic en “Change”.

• Schema Master:
  1. Abre “Active Directory Schema” (necesitarás registrar el `schmmgmt.dll` si no lo has hecho antes).

regsvr32 schmmgmt.dll

1. Abre “MMC” (Microsoft Management Console) y añade el complemento “Active Directory Schema”.
2. Haz clic derecho en “Active Directory Schema” y selecciona “Operations Master”.
3. Haz clic en “Change”.

Abre una ventana de PowerShell como administrador y ejecuta los siguientes comandos para mover cada rol FSMO:

• Schema Master:

Move-ADDirectoryServerOperationMasterRole -Identity "Nuevo_DC" -OperationMasterRole SchemaMaster

• Domain Naming Master:

Move-ADDirectoryServerOperationMasterRole -Identity "Nuevo_DC" -OperationMasterRole DomainNamingMaster

• RID Master:

Move-ADDirectoryServerOperationMasterRole -Identity "Nuevo_DC" -OperationMasterRole RIDMaster

• PDC:

Move-ADDirectoryServerOperationMasterRole -Identity "Nuevo_DC" -OperationMasterRole PDCEmulator

• Infrastructure Master:

Move-ADDirectoryServerOperationMasterRole -Identity "Nuevo_DC" -OperationMasterRole InfrastructureMaster

Después de mover los roles, es importante verificar que todo esté funcionando correctamente.

• Verifica los roles FSMO:

netdom query fsmo

• Ejecuta nuevamente `dcdiag` y `repadmin` para asegurarte de que la replicación y los roles FSMO estén en orden.

• Backups: Asegúrate de tener backups recientes antes de realizar cualquier cambio.
• Tiempo de inactividad: Trata de realizar estos cambios fuera del horario de producción para minimizar el impacto.

Los roles FSMO (Flexible Single Master Operations) son roles críticos en un dominio de Active Directory. Existen cinco roles FSMO, distribuidos en dos categorías:

• Roles de dominio:
  1. PDC Emulator (Emulador de PDC): Maneja la sincronización de tiempo y compatibilidad con NT4.
  2. RID Master (Maestro RID): Asigna identificadores únicos (RIDs) a cada objeto creado.
  3. Infrastructure Master (Maestro de Infraestructura): Actualiza referencias de objetos de otros dominios.

• Roles de forest:
  1. Schema Master (Maestro de Esquema): Controla las actualizaciones y modificaciones del esquema de AD.
  2. Domain Naming Master (Maestro de Nombres de Dominio): Controla la adición y eliminación de dominios en el bosque.

• Centralización: Para simplificar la administración y la recuperación ante desastres, agrupa todos los roles FSMO en un solo servidor si tienes una infraestructura pequeña o mediana.
• Distribución: En infraestructuras más grandes, distribuye los roles FSMO para balancear la carga y aumentar la redundancia. Por ejemplo, podrías mantener los roles de dominio en un DC y los roles de forest en otro.

• Redundancia: Mantén al menos dos controladores de dominio por dominio para garantizar la alta disponibilidad y la redundancia.
• Ubicación: Coloca controladores de dominio en diferentes ubicaciones físicas, si es posible, para asegurar la continuidad del servicio en caso de fallos en una ubicación.

• Controlador de dominio adicional: Considera desplegar un controlador de dominio adicional en la sucursal para que maneje las autenticaciones y solicitudes locales.
• RDP o VDI: Si la infraestructura lo permite, utiliza escritorios remotos o infraestructura de escritorios virtuales (VDI) para reducir la dependencia de la conexión de red.
• Réplica de sólo lectura (RODC): En sucursales con conexiones no confiables, usa un RODC para mejorar la seguridad y el rendimiento de autenticación.