Transfer FSMO Roles

In questi giorni mi sono trovato a dover ripristinare un dominio Active Directory che aveva perso il proprio Primary Domain Controller (che era designato per tutti i ruoli FSMO).

Fortunatamente il dominio aveva a disposizione un secondo Domain Controller ed è stato per cui possibile spostare forzatamente i ruoli FSMO sul DC operativo.

Durante la procedura che ho eseguito non mi è stato possibile effettuare gli screen dei vari passaggi, ma li ho recuperati da un post di un blog che ho seguito come guida.

Per prima cosa è necessario assicurarsi di eseguire le attività con un’utenza che abbia i permessi di Domain Admins e Schema Admins.

Collegarsi ad uno dei Domain Controller rimasti operativi e verificare lo stato del dominio con il domando:

dsquery server -forest

seize fsmo roles from dead domain controller 2012 r2

Verificare quali domain controller sono proprietari dei ruoli FSMO:

netdom query fsmo

seize fsmo roles from dead domain controller

Per trasferire i ruoli verso altri domain controller è necessario caricare una DLL specifica, usando il comando:

regsvr32 schmmgmt.dll

Ora è possibile trasferire i ruoli del Domain Controller fallito usando il tool ntdsutil.

Ntdsutil
roles
connections
connect to server DC2
q

In seguito è possibile forzare lo spostamento dei 5 ruoli FSMO usando i seguenti comandi:

seize naming master
seize infrastructure master
seize rid master
seize schema master
seize pdc
q

Ogni processo richiede la conferma, prima dell’avvio della migrazione del ruolo.

Al termine della migrazione dei 5 ruoli è necessario rimuovere i riferimenti al vecchio Domain Controller fallito:

metadata cleanup
connections connect to server DC2
q

Elencare la lista dei siti Active Directory:

select operation target
list sites

Selezionare il sito nel quale è presente il DC fallito:

select site 0
list servers in site

Selezionare il Domain Controller fallito e visualizzare la lista dei domini:

select server 0
list domains

Selezionare il dominio e tornare alla funzione di metadata cleanup:

select domain 0
q

A questo punto rimuovere il Domain Controller fallito:

remove selected server

Ora dobbiamo ripulire l’AD dalle voci rimanenti relative al Domain Controller eliminato.

Apri lo strumento di amministrazione dello snap-in -> Siti e servizi di Active Directory . Espandi il sito in cui si trova il Domain Controller eliminato, selezionalo e scegli Elimina . Conferma la rimozione due volte.

Quindi, aprire lo snap-in DNS e rimuovere i record PTR e A relativi al Domain Controller appena eliminato.

Rimuovere l’oggetto relativo al Domain Controller anche dalla console Active Directory Users and Computers:

Così facendo abbiamo sostato di forza i ruoli FSMO dal Domain Controller fallito e abbiamo rimosso completamente le tracce della sua esistenza da DNS e Active Directory. Il Domain Controller rimasto è diventato il controller di dominio primario (e proprietario di tutti i ruoli di FSMO).

Share with: