Transferir y aprovechar funciones de FSMO en PowerShell

Name: Transferir y aprovechar funciones de FSMO en PowerShell
Uploaded: 2024-09-24T00:00:00
Duration: 6 min
Description: En este video, se ilustra cómo transferir e incautar roles de operaciones maestras únicas flexibles (FSMO) de Active Directory (AD) mediante comandos de PowerShell.

Publicado el SEPT 24, 2024

En este video, se ilustra cómo transferir e incautar roles de operaciones maestras únicas flexibles (FSMO) de Active Directory (AD) mediante comandos de PowerShell.

Hola, soy David. Soy un ingeniero principal en Dell.

En este video, hablaré sobre la transferencia y la obtención de funciones de FSMO de Active Directory en PowerShell. Si ya ha trabajado con Active Directory durante algún tiempo, es muy probable que sepa cómo transferir y asumir los roles de FSMO con las herramientas “GUI de AD” o el antiguo método “ntdsutil”.

Sin embargo, PowerShell puede ahorrarle tiempo y esfuerzo en algunas situaciones, y espero demostrar eso aquí. En este momento, tengo un entorno simple con dos controladoras de dominio que ejecutan Datacenter 2019.

Si ejecuto “netdom query dc”, puedo ver sus nombres, “DC1” y “NEWDC”. Y, ahora, si ejecuto “netdom query fsmo”, puede ver que, actualmente, los cinco roles están en “DC1”.

El comando para transferir los roles de FSMO en PowerShell es bastante largo. Es “Move-ADDirectoryServerOperationMasterRole”. Listo. Como puede ver, la finalización con tabulación es muy útil, como suele serlo en PowerShell.

El comando requiere un par de switches. El switch “Identity” se utiliza para designar la controladora de dominio de destino. Es decir, es aquella a la que desea mover el rol. En este caso, especificaremos “newdc”.

Y, por supuesto, tenemos que especificar qué rol o roles queremos mover. Revisaremos los roles para que pueda ver cómo se designan en PowerShell.

Existen "DomainNamingMaster", "InfrastructureMaster", PDCEmulator, "RIDMaster" y "SchemaMaster". Supongamos que queremos mover “RIDMaster” a “newdc”.

Regresaremos a él y presionaremos “Intro”. Se le pedirá que confirme. Seleccione “Yes”. Es un proceso casi instantáneo. Podemos confirmar que funcionó ejecutando nuevamente “netdom query fsmo”.

Y ahora podemos ver que “newdc” contiene “RIDMaster”. DC1 todavía contiene los otros cuatro roles. Voy a volver a devolverlo con rapidez. Es solo cambiar el destino y confirmar otra vez.

Ahora, ¿qué sucede si queremos mover más de un rol? Digamos, por ejemplo, que queremos mover los cinco roles a un DC. En ese caso, PowerShell puede ahorrarle mucho tiempo y esfuerzo.

Volvemos a cambiar el destino a “newdc” y podemos escribir todos los nombres de los roles si así lo queremos, o bien utilizar este atajo. De hecho, existen designadores numéricos para los cinco roles.

Cero representa el emulador de PDC. Uno representa el maestro RID. Dos representa la maestro de infraestructura. Tres representa el maestro de esquema. Y cuatro es el maestro de nomenclatura de dominios.

Si vamos a mover los cinco roles, podemos tan solo escribir “0,1,2,3,4”, y se le pedirá que los confirme. Puedes decir "Sí" a todas, si no quieres responder a todas y cada una de ellas.

Pero me parece mejor mostrarles los cinco avisos. Solo estoy especificando “Yes” para cada uno. Y eso es todo, está listo. Lo confirmaremos nuevamente con “netdom query fsmo”, y podrá ver que “newdc” ahora contiene los cinco roles.

Así se transfieren los roles de FSMO en PowerShell. Asumir roles es bastante similar. Para demostrarlo, voy a dar de baja “newdc”. No podrá verlo, pero le aseguro que estoy en ello ahora. Ya está.

Ni siquiera está como no disponible, se eliminó. Si ingresamos “ping newdc”, no hay respuesta. Y, por supuesto, la falta de respuesta a un ping no le dice nada. Pero te prometo que newdc es solo un agujero humeante en el suelo en este momento.

Ya que contenía todos nuestros roles de FSMO, debemos recuperarlos. Y para asumirlos en PowerShell, usamos el mismo comando, pero con una pequeña adición.

Una vez más, es “Move-ADDirectoryServerOperationMasterRole” y cambiaremos el destino, ya que los asumimos en DC1. Para especificar que los estamos asumiendo, debemos agregar el switch “force” al final, y se mostrará el aviso de los cinco roles.

Puedes decir "Sí" a todas, pero nuevamente, solo quería mostrarte todas las indicaciones. Lo que no mostraré es cuánto tiempo demora esto. Si ha asumido roles antes mediante otro método, sabe que tarda un poco más que una transferencia porque, primero, trata de realizar una transferencia sencilla mediante un contacto al contenedor original de los roles.

Y si ese titular del rol no responde, espera un período de tiempo de espera antes de decidir, Esta cosa debe haber desaparecido realmente. Ese período de tiempo de espera parece ser de aproximadamente un minuto y medio.

No lo sé con exactitud, pero es lo que he visto en mi experiencia. No quiere quedarse aquí esperando a que pase un minuto y medio cinco veces.

Así que lo apresuraré un poco. Solo tenga en cuenta que, por lo general, asumir roles tarda un poco más de lo que se muestra aquí. Ese es el segundo aviso para “RIDMaster”. Como dije, tarda alrededor de un minuto y medio.

Tercer aviso para “InfrastructureMaster” y “SchemaMaster” y, al final, “DomainNamingMaster”. Y están todos listos. Si ejecutamos “netdom query fsmo”, confirmamos nuevamente que los roles están de vuelta en DC1.

Así se transfieren y asumen roles de FSMO en PowerShell. Soy David, y gracias por su tiempo.