Skip to main content

Mover roles FSMO

427 words 3 min
Windows Server PowerShell Active Directory

¿Por qué es necesario mover los roles FSMO?

En un entorno de Active Directory, no todos los Controladores de Dominio (DCs) son iguales. Aunque la mayoría de las tareas se replican de forma multidireccional, existen cinco funciones críticas denominadas FSMO (Flexible Single Master Operation) que solo puede ejecutar un servidor a la vez para evitar conflictos de escritura y corrupción en la base de datos ntds.dit.

Mover estos roles no es solo un capricho administrativo; es una necesidad operativa en los siguientes escenarios:

Mantenimiento o Decomiso de Servidores: Si planeas apagar permanentemente un controlador de dominio viejo (como parte de una migración de Windows Server 2012 a 2022), debes transferir los roles FSMO a un servidor nuevo antes de ejecutar el Uninstall-ADDSDomainController.

Optimización de Topología: Para mejorar la velocidad de respuesta, el rol de PDC Emulator (que gestiona los cambios de contraseñas y la sincronización de tiempo) debe estar en el servidor con mejor conectividad y hardware.

Continuidad del Negocio (Disaster Recovery): Si el servidor que ostenta los roles falla físicamente y no puede ser recuperado, es obligatorio realizar un “Seize” (toma de fuerza) de los roles en un DC saludable para que el dominio siga funcionando correctamente.

Los 5 Roles en Juego:

  • Schema Master: Controla las actualizaciones del esquema del bosque (vital para instalaciones de Exchange).

  • Domain Name Master: Gestiona la adición o eliminación de dominios en el bosque.

  • PDC Emulator: El “jefe” de la sincronización de tiempo y contraseñas.

  • RID Master: Reparte bloques de IDs para que los DCs puedan crear nuevos usuarios o grupos.

  • Infrastructure Master: Se encarga de traducir los GUID/SID entre dominios.

Comprobar roles

netdom query fsmo

alt text


Move-ADDirectoryServerOperationMasterRole -Identity "mxlitdc01" -OperationMasterRole 0,1,2,3,4

alt text

En este comando:

  • 0 corresponde al PDC Emulator.
  • 1 corresponde al RID Master.
  • 2 corresponde al Infrastructure Master.
  • 3 corresponde al Schema Master.
  • 4 corresponde al Domain Naming Master.

Este enfoque es válido y mucho más rápido porque usa los números de los roles FSMO en lugar de escribir cada nombre de rol manualmente. Es una forma abreviada y eficiente de mover todos los roles FSMO de una vez. Detalles:

  • 0,1,2,3,4: Estos números corresponden a los roles FSMO en el siguiente orden:
    1. 0 = PDC Emulator
    2. 1 = RID Master
    3. 2 = Infrastructure Master
    4. 3 = Schema Master
    5. 4 = Domain Naming Master

Para obtener más detalles sobre cada rol consulta aquí Función de roles FSMO

Si se omiten los números, el comando no movería los roles FSMO de forma completa, por lo que es importante incluir todos los números que quieras mover. Ejemplo completo:


Move-ADDirectoryServerOperationMasterRole -Identity "mxlitdc01" -OperationMasterRole 0,1,2,3,4

alt text