Crear FSMO si el servidor principal ha caido.

Si tenemos problemas con el Directorio Activo o el servidor principal de alguna función ha caido o no la podemos transferir podemos forzar el traspaso mediante la herramienta ntdsutil:

Desde el servidor nuevo (el que será controlador principal), abrimos una ventana de MSDOS y ejecutamos "ntdsutil", después "roles" y después "connections".
Para conectarnos al servidor que tendrá los roles, ponemos "connect to server NOMBRE_SERVIDOR"; salimos poniendo "q" y Enter.
Ahora escribimos el rol que queremos mover precedido de la palabra "seize". Los cinco roles de las FSMO son: "domain naming master", "infraestructure master", "PDC", "RID master" y "schema master". Por ejemplo "seize infrastructure master" y enter.

Es un poco lento, pero a mi siempre me ha funcionado... mmm tampoco es que lo haya hecho 1000 veces... ;-)

Eliminar un controlador de dominio caido

Eliminar del AD un DC que no responde.
Como no hemos podido hacerle un dcpromo, en el AD sigue constando como controlador de dominio y hay que realizar la eliminación manual del mismo. Pero antes, si era controlador de dominio principal, hay que traspasar (forzando) las funciones FSMO a un nuevo controlador de dominio que ya exista en la red. Esto está explicado en otro articulo.
Después:
1.- Abrir Sitios y Servicios de AD
2.- Pasar por todos los servidores y eliminar las réplicas que hagan con el DC a eliminar. Hay que hacerlo en todos los servidores de todos los sitios, pues es posible que hubiese réplicas inter-site. Además, es necesario asegurarse de que entre los sitios afectados queda al menos un enlace de réplica, y si no generar uno manual con otro DC del dominio. Así mismo, comprobar que todos los DCs del dominio propio están enlazados de forma transitiva con los demás tras la eliminación manual del servidor que hemos quitado. Si no fuera así, crear la réplica de forma conveniente.
3.- Eliminar el servidor caido.
4.- Comprobar cual es el "Intersite topology generator" por si fuera el eliminado. Se ve en las propiedades de NTDS Site Settings del sitio en el que estaba el DC eliminado. Si por casualidad fuera ese el master, forzar el cambio a otro que esté en linea en ese momento (aquel al que estamos conectados con la consola de administración evidentemente lo está). Si no,
dejarlo como está.
5.- Comprobar si es el gestor de licencias del sitio (Licensing Computer en Sitio - Licensing Site Settings), y de ser así forzar el cambio a otro.
6.- Irse a AD Domains & Trusts En las propiedades de la raiz de la consola (no del dominio que aparece) seleccionar "Maestro de Operaciones", y si fuera el estropeado, cambiarlo y decirle cuando pregunte que sí, que fuerzas el cambio. Con esto determinamos quién es el Domain Naming Operations Master, que es el mismo para todo el bosque.
7.- Irse a AD usuarios y equipos y comprobar lo mismo para los masters RID, PDC e Infraestructure. En el OU domain Controllers eliminar el servidor en cuestión. Si no deja, no pasa nada, pues lo podremos eliminar después a más bajo nivel.
8.- Ejecutar el comando mmc /a y añadir los snap-in "Active Directory Schema" y "ADSI Edit" 9.- En AD Schema, ver el Operations Master y comprobar que no sea el DC eliminado. Si lo fuera, forzar el cambio.
10.- En ADSI Edit realizar una conexión a Domain NC (el resto de conexiones
posibles no parecen estar involucradas en esto)
11.- En Domain NC - OU=Domain Controllers borrar el CN del servidor en cuestión. Si nos dejó
borrarlo antes ya no debería aparecer. Si nos dijo antes que no se podía por algún motivo, aquí lo podemos hacer.
12.- Volvemos a AD Usuarios y equipos. Activar Ver Características Avanzadas. Aparecerá una carpeta System. Ir en System a File Replication Service - SYSVOL y eliminar del sistema de réplicas el servidor en cuestión.. Si hemos creado un DFS y el servidor eliminado estaba replicando una raíz DFS, eliminarlo a mano.
13.- Irse al DNS y eliminar a mano TODAS las entradas que refieran al servidor eliminado, sobre todo bajo las definiciones de _gc... (todas las que empiezan por _).

Cambio del controlador de dominio

Como transferir los roles FSMO (Flexible Single Master Operations) entre controladores de dominio.

Anteriormente debemos haber añadido al dominio el nuevo servidor, haberlo promocionado a controlador de dominio mediante un DCPROMO y haberle traspasado las funciones que queramos retirar del servidor antiguo. Tenemos que asegurarnos de que las DNS están bien configuradas.

Hay 5 FSMO roles en un bosque de AD:
Schema Master, Domain Naming Master, Infastructure Master, RID Master y PDC Emulator. De los 2 primeros roles se necesita 1 master por bosque y de los 3 últimos se necesita 1 master por cada dominio.

En este artículo usaremos la consola MMC para transferir los roles. Se necesita a los 2 servidores en linea. Si el servidor antiguo ha caido podemos usar la herramienta Ntdsutil.exe para hacer la transferencia.

Para tranferir los roles del dominio abrimos Usuarios y equipos de Active Directory desde el nuevo controlador. Si estamos trabajando en el antiguo podemos conectarnos al nuevo haciendo click con el boton derecho en el icono principal de la consola, "conectar al controlador del dominio" y elegirlo.
Click de nuevo con el boton de la derecha y seleccionamos maestro de operaciones. En el cuadro de dialogo "cambiar maestro de operaciones" seleccionamos "cambiar" en cada una de las pestañas (RID, PDC e Infraestructura). Confirmamos y cerramos.

Para transferir el rol Domain Naming Master vamos a dominios y confianzas de AD. Igual que antes, debemos conectarnos o estar en el controlador de dominio en el que queremos poner las funciones.
Click con el botón de la derecha en el icono principal y seleccionamos maestro de operaciones. En el cuadro de diálogo "cambiar maestro de operaciones" elégimos "cambiar" y OK para confirmar.

Para transferir el Rol Schema Master necesitamos usar una herramienta cuya DLL debe ser registrada con antelación. (regsvr32 schmmgmt.dll en la linea de comandos) Luego, en inicio --> Ejecutar escribimos mmc y click en aceptar. En el menú, hacemos click en añadir o quitar complemento. Añadimos Active Directory Schema. Cerramos. Si no estamos en el que será nuevo controlador de dominio debemos conectarnos a él como en los pasos anteriores (click con el botón de la derecha en el icono Active Directory Schema y click en Cambiar controlador de dominio.) Ahora click con le botón derecho en Active Directory Schema y click en maestro de operaciones. En el cuadro de diálogo "cambiar Schema Master" click en cambiar. Aceptar para cerrar.

¡Hay que hacer que el nuevo servidor sea catálogo global!

Antes de retirar definitivamente el antiguo controlador es recomendable tenerlo apagado y comprobar en el visor de sucesos del nuevo que no hay tareas pendientes de sincronización de políticas y que la red funciona correctamente.

Es fácil aunque peligroso!