Active Directory con Windows 2008 (y anteriores también)

Aunque tengo pendiente un par de posts sobre linux, y una curiosidad sobre un cambio de comportamiento de mkfs.ext3 de un tiempo a esta parte, hoy vuelve a tocar hablar de windows. Estoy haciendo un curso de migración a Windows 2008, y he querido recoger aquí algunos comandos curiosos.

Antes de empezar, un breve resumen sobre los roles en el AD: en total hay 5 roles (Flexible Single Master Operation role, o sea: FSMO role para empezar a googlear). Tres son a nivel de dominio (RiD master, PDC, Infrastructure master) y dos se dan a nivel de bosque: Naming master y Schema master.

Así que por cada dominio tendremos un pdc, un infrastructure master, un Rid master, pero puede que no tengamos ningún schema o naming master en el dominio, ya que sólo hay un Domain Controler (DC) que tenga ese rol en todo el bosque de dominios. Esto es así porque todo el bosque debe tener el mismo schema del AD por una parte, y por otra porque sólo un equipo debe gestionar los nombres asignados a los dominios para evitar colisiones.

Para ver más sobre los roles buscar FSMO roles wikipedia.

Para ver desde línea de comandos quien tiene asignado los roles:
C:> netdom query fsmo

Para transferir roles desde línea de comandos de un servidor activo a otro activo:
C:> ntdsutil roles
fsmo maintenance: ?

y aquí elegimos un comando con transfer. Si hemos perdido el servidor que ostentaba uno de esos roles, podemos forzar que el servidor en que estamos lo asuma:

C:> ntdsutil roles
fsmo maintenance: seize ...

las opciones que empiezan por seize fuerzan al servidor a asumir el rol, y sólo deben usarse cuando el servidor que ostentaba dichos roles es irrecuperable. En este caso debe además realizarse un metadata cleanup completo tal y como indican aquí: http://support.microsoft.com/kb/216498. Ojo a la distinción entre w2003sp1 y posteriores, y w2000 y w2003.

Buenas noches.