Cuales son los 5 roles FSMO y cuales necesito transferir?

Los cinco roles FSMO son: Maestro de Esquema (a nivel de bosque), Maestro de Nomenclatura de Dominio (a nivel de bosque), Emulador PDC (por dominio), Maestro RID (por dominio) y Maestro de Infraestructura (por dominio). Al desmantelar un controlador de dominio, debes transferir todos los roles FSMO que posea a otro DC antes de degradarlo. El Emulador PDC es el rol mas critico en terminos de tiempo ya que maneja cambios de contrasena, sincronizacion de hora y Directivas de Grupo.

Cual es la diferencia entre transferir y capturar roles FSMO?

La transferencia es el metodo elegante donde el titular actual del rol se comunica con el nuevo titular y entrega el rol de forma limpia. La captura es el metodo forzado que se usa solo cuando el titular actual del rol esta permanentemente fuera de linea o es irrecuperable. Un titular de rol capturado nunca debe volver a conectarse a la red. Siempre intenta transferir primero.

Necesito ejecutar dcpromo en Windows Server moderno?

No. El comando dcpromo fue descontinuado en Windows Server 2012. En Server 2012 y posteriores, usa el Asistente de Instalacion de AD DS en Server Manager o el cmdlet Install-ADDSDomainController de PowerShell para promover un servidor a controlador de dominio. Para la degradacion, usa Uninstall-ADDSDomainController.

Como transferir tu dominio AD de un servidor a otro

Migrar un dominio de Active Directory de un servidor a otro es una operacion critica que requiere transferir los roles FSMO (Flexible Single Master Operations), asegurar la replicacion adecuada y desmantelar limpiamente el antiguo controlador de dominio. Esta guia te acompana a traves del proceso completo, desde la comprension de los roles FSMO hasta la realizacion de la transferencia y la limpieza posterior.

Entendiendo los roles FSMO

Active Directory usa un modelo de replicacion multi-maestro donde la mayoria de los cambios se pueden realizar en cualquier controlador de dominio. Sin embargo, cinco operaciones especificas requieren un unico servidor autoritativo para evitar conflictos. Estos son los roles FSMO.

Roles a nivel de bosque (uno por bosque)

Rol	Proposito
Maestro de Esquema	Controla todas las modificaciones del esquema (agregar atributos, clases). Solo un DC puede modificar el esquema a la vez.
Maestro de Nomenclatura de Dominio	Controla la adicion y eliminacion de dominios en el bosque. Debe estar disponible al crear o eliminar dominios.

Roles a nivel de dominio (uno por dominio)

Rol	Proposito
Emulador PDC	Maneja cambios de contrasena, bloqueos de cuenta, sincronizacion de hora y actualizaciones de Directivas de Grupo. El rol mas critico para las operaciones diarias.
Maestro RID	Asigna pools de Identificadores Relativos (RIDs) a los controladores de dominio. Cada objeto de seguridad (usuario, grupo, equipo) necesita un RID unico.
Maestro de Infraestructura	Actualiza las referencias entre dominios (por ejemplo, cuando un usuario de un dominio es miembro de un grupo en otro dominio).

Identificar los titulares actuales de roles FSMO

Usando PowerShell (recomendado):

# Show all FSMO role holders for the domain
Get-ADDomain | Select-Object InfrastructureMaster, PDCEmulator, RIDMaster

# Show forest-wide role holders
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster

# Quick view of all roles
netdom query fsmo

Usando la interfaz grafica:

Maestro de Esquema: Abre el snap-in de Esquema (registra schmmgmt.dll primero con regsvr32 schmmgmt.dll), haz clic derecho en “Active Directory Schema” > Operations Master
Maestro de Nomenclatura de Dominio: Active Directory Domains and Trusts > clic derecho en la raiz > Operations Master
Emulador PDC, Maestro RID, Maestro de Infraestructura: Active Directory Users and Computers > clic derecho en el dominio > Operations Masters

Proceso de migracion paso a paso

Paso 1: Preparar el nuevo servidor

Instala el nuevo Windows Server y configura:

Direccion IP estatica y configuracion DNS correcta (apuntando al DC actual)
Nombre de host del servidor
Actualizaciones de Windows aplicadas

Paso 2: Promover el nuevo servidor a controlador de dominio

Windows Server 2012 y posteriores (Asistente de Instalacion de AD DS):

Abre Server Manager > Add Roles and Features
Selecciona Active Directory Domain Services
Despues de la instalacion, haz clic en la bandera de notificacion y selecciona Promote this server to a domain controller
Elige Add a domain controller to an existing domain
Ingresa el nombre del dominio y las credenciales
Configura las opciones de DNS y Catalogo Global
Completa el asistente y reinicia

Usando PowerShell:

# Install the AD DS role
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

# Promote to domain controller
Install-ADDSDomainController `
    -DomainName "corp.example.com" `
    -InstallDns:$true `
    -Credential (Get-Credential) `
    -SiteName "Default-First-Site-Name" `
    -DatabasePath "C:\Windows\NTDS" `
    -LogPath "C:\Windows\NTDS" `
    -SysvolPath "C:\Windows\SYSVOL" `
    -NoGlobalCatalog:$false `
    -Force:$true

Legado: dcpromo (Windows Server 2008 R2 y anteriores):

dcpromo /ReplicaOrNewDomain:Replica /ReplicaDomainDNSName:corp.example.com /ConfirmGc:Yes /UserName:CORP\admin /Password:*

Paso 3: Verificar la replicacion

Antes de transferir roles, asegurate de que la replicacion de AD este saludable entre los DCs antiguo y nuevo:

# Check replication status
repadmin /replsummary

# Show replication partners
repadmin /showrepl

# Force replication
repadmin /syncall /AdeP

# Check replication with PowerShell
Get-ADReplicationPartnerMetadata -Target "newdc01.corp.example.com"

Espera hasta que la replicacion no muestre errores antes de continuar.

Paso 4: Transferir roles FSMO

Metodo A: Usando PowerShell (Recomendado)

# Transfer all five roles to the new DC
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" `
    -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

# Confirm when prompted

Para transferir roles individualmente:

Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole PDCEmulator
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole RIDMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole InfrastructureMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole SchemaMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" -OperationMasterRole DomainNamingMaster

Metodo B: Usando ntdsutil (Linea de comandos)

ntdsutil
roles
connections
connect to server NEWDC01.corp.example.com
quit
transfer schema master
transfer naming master
transfer pdc
transfer rid master
transfer infrastructure master
quit
quit

Cada comando de transferencia solicitara confirmacion.

Metodo C: Usando la interfaz grafica

Emulador PDC, Maestro RID, Maestro de Infraestructura:
1. Abre Active Directory Users and Computers
2. Clic derecho en el dominio > Change Domain Controller > Selecciona el nuevo DC
3. Clic derecho en el dominio > Operations Masters
4. Transfiere cada rol en su respectiva pestana
Maestro de Nomenclatura de Dominio:
1. Abre Active Directory Domains and Trusts
2. Cambia el enfoque al nuevo DC
3. Clic derecho > Operations Master > Change
Maestro de Esquema:
1. Registra el snap-in: regsvr32 schmmgmt.dll
2. Abre un MMC y agrega el snap-in de Active Directory Schema
3. Cambia el enfoque al nuevo DC
4. Clic derecho en Active Directory Schema > Operations Master > Change

Paso 5: Verificar la transferencia

# Confirm new role holders
netdom query fsmo

# Should show NEWDC01 for all roles
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster

Captura de roles FSMO (Solo en emergencias)

Si el DC antiguo esta permanentemente fuera de linea y no puede ser recuperado, debes capturar los roles en lugar de transferirlos:

ntdsutil
roles
connections
connect to server NEWDC01.corp.example.com
quit
seize schema master
seize naming master
seize pdc
seize rid master
seize infrastructure master
quit
quit

O usando PowerShell:

Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC01" `
    -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster `
    -Force

Advertencia: Un controlador de dominio cuyos roles han sido capturados nunca debe reconectarse a la red. Esto causaria conflictos en el directorio.

Degradacion del antiguo controlador de dominio

Una vez que todos los roles esten transferidos y verificados:

Windows Server 2012 y posteriores:

# Demote the old DC
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -Force

# After reboot, remove the AD DS role
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Legado (Windows Server 2008 R2 y anteriores):

dcpromo /forceremoval

Despues de la degradacion

Verifica que el DC antiguo ya no aparezca en Active Directory Sites and Services
Elimina cualquier registro DNS que apunte al DC antiguo
Verifica que los recursos compartidos SYSVOL y NETLOGON funcionen en el nuevo DC

Limpieza de metadatos

Si el DC antiguo no fue degradado correctamente (se colgo, fue removido forzosamente), limpia sus metadatos:

ntdsutil
metadata cleanup
connections
connect to server NEWDC01.corp.example.com
quit
select operation target
list domains
select domain 0
list sites
select site 0
list servers in site
select server [number of old DC]
quit
remove selected server
quit
quit

O usa PowerShell para eliminar la cuenta del equipo y los registros DNS:

# Remove the old DC's computer object
Get-ADDomainController -Identity "OLDDC01" | Remove-ADDomainController -Force

# Clean up DNS records manually
# Open DNS Manager and remove A, CNAME, SRV records for the old DC

Consideraciones de DNS

DNS esta estrechamente integrado con Active Directory. Durante la migracion:

Asegurate de que el nuevo DC sea un servidor DNS — Instala el rol DNS durante la promocion del DC.
Verifica que las zonas DNS integradas en AD se esten replicando al nuevo DC.
Actualiza DHCP — Si DHCP distribuye direcciones de servidor DNS, actualiza para apuntar al nuevo DC.
Actualiza la configuracion DNS de los clientes — Las maquinas que usan la IP del DC antiguo para DNS necesitan ser actualizadas.
Verifica los registros SRV — Asegurate de que _ldap._tcp, _kerberos._tcp y otros registros SRV apunten al nuevo DC:
```
nslookup -type=srv _ldap._tcp.dc._msdcs.corp.example.com
```

Resumen

Transferir un dominio AD de un servidor a otro implica promover un nuevo DC, verificar la replicacion, transferir los cinco roles FSMO y degradar limpiamente el DC antiguo. Usa Move-ADDirectoryServerOperationMasterRole de PowerShell para la transferencia de roles mas facil, y siempre verifica con netdom query fsmo despues. Si el DC antiguo es irrecuperable, captura los roles y realiza la limpieza de metadatos. Presta especial atencion al DNS durante todo el proceso, ya que AD depende completamente de una configuracion DNS adecuada.