3. Roles FSMO. Ubicacion



Con el comando siguiente podemos ver los DC de nuestro dominio que poseen los roles de Maestros de Operaciones.

Netdom /query fsmo

En nuestro caso, actualmente tenemos a DC1 con los Maestros de operaciones correspondientes al bosque ( Schema y Domain Roles) y a DC2 con los Maestros de operaciones correspondientes a dominio (PDC Emulator, Infrastructure, RID Pool).

Debemos recordar en este punto el modelo “multimaestro” (cualquier DC puede actualizar los datos y después replicarlos con el resto de DC’s). Debe existir un control sobre operaciones criticas, aunque ejecutadas a diario, solo pueden hacerlas ciertos DC con el rol designado. Se concreta y controla esa funcion por algunos DC en exclusiva para que no haya conflicto en dichas operaciones, por ello solo 1 DC posee el rol y gobierna en esta operativa sobre los demás.

Lo que debemos tener en cuenta para un óptimo funcionamiento de los Maestros son las “buenas prácticas” de Microsoft, sobre todo la 1:

1.      RID Master y PDC en el mismo DC y que éste DC sea el más potente y estable (el mejor HW posible que tengamos, debido a la carga del PDC). El de Infraestructura puede estar aquí ya que no hará nada de trabajo al tener solo 1 dominio (otra opcion recomendable es tenerlo a parte en otro DC  que no sea GC , pero es en el caso de tener mas de 1 dominio).

2.      El Schema Master y el Domain Naming Master son roles de bosque que es aconsejable tener con el PDC del dominio padre (root domain forest) : En nuestro caso, 1 único dominio que es midominio.com es el root domain forest y es aconsejable que estén junto con el PDC de midominio.com que es el único dominio existente.

3.      El Maestro de Infraestructura es el que controla la adición y eliminación de dominios en el bosque y las referencias cruzadas con AD Externos si existen. En DCs con Windows 2003 o posteriores no deben ser GC.

Si es necesario mover algunos de estos roles, es mejor seguir el procedimiento descrito por microsoft en el siguiente link:
http://support.microsoft.com/kb/324801

Comentarios

Publicar un comentario

Entradas populares de este blog

5. Test con NetDiag a nivel de Red y conexiones.

Netdiag nos ofrece una batería de test de red, en la que testeamos la habilidad de los servidores para operar como por ejemplo el NIC binding ( el orden en el que Windows carga los NICs y cual pone como primario) así como las capacidades Lan/Wan. ¿Qué chequea NETDIAG? Básicamente estas 6 cosas.  Conexión entre servidores Tuneles VPN en la Wan Problemas DNS NIC Binding IPSEC Winsock   LDAP entre DCs. Netdiag /v > c:\netdiag.txt   # con ello lanzamos los test anteriormente descritos El comando arriba indicado lanza todos los test completos , pero se pueden lanzar por separado con  netdiag /test: X    #donde X seria cualquiera de los siguientes Ndis - Netcard queries Test IpConfig - IP config Test Member - Domain membership Test NetBTTransports - NetBT transports Test Autonet - Autonet address Test IpLoopBk - IP loopback ping Test DefGw - Default gateway Test NbtNm - NetBT name Test WINS - WIN...
Leer más

10. Eliminacion de metadatos en Directorio Activo.

En un DC del AD y con el administrador del dominio, ejecutamos los siguientes comandos: ntdsutil metadata cleanup connections connect to DCx                #debemos conectar a otro DC distinto al que queremos eliminar    select operation target    list domains    select domain x                  #dominio del miembro que estoy quitando    list sites    select site x                        #site del miembro que estoy quitando    list servers in site    select server x                    #donde server es el dc que nos ha caido y queremos borrar todo rastro    quit  metada...
Leer más

7.NTP Servers en dominios Microsoft. Chequeos con w32tm y Net Time.

Equipos cliente En la variable de registro siguiente tenemos el setting para el Time Service de nuestros clientes HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters . El valor Type, debe ser en cualquier máquina de nuestro dominio NT5DS y significa que nuestra maquina (sea cliente o servidor miembro, o incluso DC) está cogiendo el tiempo de nuestra jerarquía de dominio, entregado por el PDC Emulator. Si eso no ocurre, haremos lo siguiente, que es básicamente, resetear el Servicio de tiempo en esa máquina que tiene mal dicho servicio. Esto mismo que vamos a hacer es válido en otras situaciones, como por ejemplo, ante un fallo de kerberos el cual se apoya en él (event id 4 o 5) . net stop w32time w32tm /unregister w32tm /register net start w32time Con ello debe haber puesto el valor a NT5DS. Nota: Si encontramos NTPServer en este valor, puede ser porque aún no lo ha cambiado y antes de estar en el dominio lo tenía puesto. Con los comandos de arriba...
Leer más