Ntsdutil para transferir roles de controladores de Dominio Windows
En un Active Directory Windows 2000 o Windows 2003, deberíamos tener 2 o mas Controladores de Dominio (DC), mas que funcionalidad de validación de usuarios, por seguridad. Existen 5 roles en un Active Directory que tienen que poseer, al menos, uno de nuestros DCs, estos son:
1.Schema Master. Responsable de las actualizaciones del Active Directory.
2.Domain Naming Master. Se encarga de realizar los cambios de nombre a nivel de Bosque.
3.Infrastruture Master. Actualiza los SIDs a nombres de objetos a través de los dominios.
4.Rid Master. Se encarga de administrar los números RID para los demás controladores del dominio.
5.Pdc Emulator. Emula el PDC para los clientes pre-Windows 2000/Xp.
Existe también la figura de Global Catalog (Catalogo Global) que es una parte de la base de datos de nuestro Active Directory usado para realizar búsquedas en este.
Cuando el DC que tiene los roles, no funciona correctamente, tenemos que transferir los roles a otro servidor que si este funcionando adecuadamente. Podemos usar las diferentes herramientas graficas de administración para realizarlo (255690) o podemos usar en línea de comandos el comando ntdsutil para completar la acción.
En Inico/Ejecutar escribir cmd. Aceptar.
Escribir ntdsutil. Esto nos dará acceso a la herramienta de administración mediante línea de comandos.
Podremos ver los comandos disponibles con ? o help.
El que nos interesa es Roles, para entrar simplemente escribimos roles y pulsamos entrar.
Esta es la parte que nos interesa, lo primero que tenemos que hacer es conectarnos al DC al cual vamos a trasferir los roles, para ello escribimos:
connections
connect to server \\nuestrodc
una vez establecida la conexión escribimos
quit
para volver a la pantalla anterior (Roles).
Ahora transferimos los roles. Tenemos 2 opciones:
•Utilizar Transfer Rol que poniéndose en contacto con el otro DC trasfiere el rol al que estamos conectados. Esta opcion la usaremos cuando tengamos 2 Domain controller encendidos y queramos pasar los roles de uno a otro.
•Seize Rol que fuerza a que el servidor adopte el Rol. Esta es la que usaremos en el caso de que el servidor que tenia los roles este apagado (o fuera de cobertura)
Es decir: si ejecutamos los comandos:
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
Forzaremos al servidor al que estamos conectados a adoptar estos roles, si el que los tenia no esta operativo y si ejecutamos:
Transfer domain naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master
Nuestro servidor se pondrá en contacto con el DC dueño del rol correspondiente para adoptar ese rol (Útil cuando queremos que un servidor mejor, cumpla ese cometido).
En cualquiera de las 2 opciones nos pedirá confirmación de la trasferencia con un mensaje de Windows, dejándonos un evento en el visor de sucesos. Cuando hayamos terminado escribiremos quit para salir de ntsdutil y exit para salir de la consola
Solo nos queda definir quien va a ser nuestro Global Catalog, esto solo podemos hacerlos desde la herramienta Active Directory Sites and Services (Sitios y Servicos del Active Directory) que suele estar en Herramientas Administrativas. Aquí expandiremos Nombre-predeterminado-primer-sitio / Servers / NuestroServidor, sobre NTDS Settings botón derecho, marcaremos la casilla Catalogo Global y aceptar.
Eso es todo, con estos pasos tendremos el servidor con los roles, podemos confirmarlo desde las herramientas administrativas.
1.Schema Master. Responsable de las actualizaciones del Active Directory.
2.Domain Naming Master. Se encarga de realizar los cambios de nombre a nivel de Bosque.
3.Infrastruture Master. Actualiza los SIDs a nombres de objetos a través de los dominios.
4.Rid Master. Se encarga de administrar los números RID para los demás controladores del dominio.
5.Pdc Emulator. Emula el PDC para los clientes pre-Windows 2000/Xp.
Existe también la figura de Global Catalog (Catalogo Global) que es una parte de la base de datos de nuestro Active Directory usado para realizar búsquedas en este.
Cuando el DC que tiene los roles, no funciona correctamente, tenemos que transferir los roles a otro servidor que si este funcionando adecuadamente. Podemos usar las diferentes herramientas graficas de administración para realizarlo (255690) o podemos usar en línea de comandos el comando ntdsutil para completar la acción.
En Inico/Ejecutar escribir cmd. Aceptar.
Escribir ntdsutil. Esto nos dará acceso a la herramienta de administración mediante línea de comandos.
Podremos ver los comandos disponibles con ? o help.
El que nos interesa es Roles, para entrar simplemente escribimos roles y pulsamos entrar.
Esta es la parte que nos interesa, lo primero que tenemos que hacer es conectarnos al DC al cual vamos a trasferir los roles, para ello escribimos:
connections
connect to server \\nuestrodc
una vez establecida la conexión escribimos
quit
para volver a la pantalla anterior (Roles).
Ahora transferimos los roles. Tenemos 2 opciones:
•Utilizar Transfer Rol que poniéndose en contacto con el otro DC trasfiere el rol al que estamos conectados. Esta opcion la usaremos cuando tengamos 2 Domain controller encendidos y queramos pasar los roles de uno a otro.
•Seize Rol que fuerza a que el servidor adopte el Rol. Esta es la que usaremos en el caso de que el servidor que tenia los roles este apagado (o fuera de cobertura)
Es decir: si ejecutamos los comandos:
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
Forzaremos al servidor al que estamos conectados a adoptar estos roles, si el que los tenia no esta operativo y si ejecutamos:
Transfer domain naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master
Nuestro servidor se pondrá en contacto con el DC dueño del rol correspondiente para adoptar ese rol (Útil cuando queremos que un servidor mejor, cumpla ese cometido).
En cualquiera de las 2 opciones nos pedirá confirmación de la trasferencia con un mensaje de Windows, dejándonos un evento en el visor de sucesos. Cuando hayamos terminado escribiremos quit para salir de ntsdutil y exit para salir de la consola
Solo nos queda definir quien va a ser nuestro Global Catalog, esto solo podemos hacerlos desde la herramienta Active Directory Sites and Services (Sitios y Servicos del Active Directory) que suele estar en Herramientas Administrativas. Aquí expandiremos Nombre-predeterminado-primer-sitio / Servers / NuestroServidor, sobre NTDS Settings botón derecho, marcaremos la casilla Catalogo Global y aceptar.
Eso es todo, con estos pasos tendremos el servidor con los roles, podemos confirmarlo desde las herramientas administrativas.
Subscribe to:
Posts (Atom)