Maestros de Operaciones (FSMO Roles) – Parte 1

En esta ocasión vamos a desarrollar el tema de los Maestros de Operaciones o también conocidos por su denominación en inglés: “FSMO Roles” (Flexible Single Master Operations)

Hay algunas operaciones en Active Directory que deben ejecutarse con ciertas precauciones. Veamos un ejemplo. Imaginemos un administrador haciendo cambios en el Esquema de Active Directory desde un Controlador de Dominio en el sitio “A”. Mientras otro administrador en el sitio “B”, sin saber que ya está en proceso la modificación del Esquema, también hace cambios en el Esquema, sólo que los cambios que se hacen “casi simultáneamente” en los diferentes sitios son incompatibles ¿qué sucederá cuando la replicación trate de hacer la convergencia de datos? … estaríamos en un problema grave.

¿Cómo podríamos evitar situaciones como la anterior? bien, la solución es sencilla: no importa desde qué equipos modifiquen el Esquema, siempre se hará, aún si es necesario remotamente, en un determinado Controlador de Dominio: El Maestro de Esquema.
De esta forma, no se producirán incompatibilidades, si uno es incompatible con otro simplemente uno no se aceptará.

Vamos a describir los 5 FSMO Roles. Hay dos roles que son a nivel de Bosque, o sea que hay uno de esos roles en todo el Bosque de Active Directory.
Y hay tres roles que son a nivel de Dominio, en cada Dominio Active Directory están esos tres roles.

Para saber qué Controlador de Dominio tiene qué roles, aunque lo podemos hacer con la interfaz gráfica, hay un comando mucho más simple. Desde un CMD.EXE ejecutamos: NETDOM QUERY FSMO

Maestros de Operación a nivel de Bosque

Maestro de Esquema (Schema Master): Sólo un Controlador de Dominio del Dominio raíz lo va a tener. Cualquier cambio que se haga en el Esquema, no importa desde dónde, la herramienta de edición del Esquema se enfocará en el que tenga este rol

Si queremos ver quién tiene este rol usando la interfaz gráfica, debemos primero registrar una DLL. Desde una línea de comando (CMD.EXE) ejecutada como administrador ejecutar: REGSVR32 SCHMMGMT.DLL

Luego crear una MMC.EXE cargando el componente Esquema de Active Directory

Luego con botón derecho sobre Esquema de Active Directory, elegimos Maestro de Operaciones

Maestro de Nomenclatura de Dominios (Domain Naming Master): La función que provee es garantizar la unicidad de los nombres de los Dominios que se agreguen al Bosque.

Esto es necesario porque podría darse el caso, por ejemplo, que dos administradores “desconectados” entre sí, traten de dar de alta simultáneamente el mismo subdominio

Usando la interfaz gráfica si queremos saber quién tiene el rol, debemos abrir la consola Dominios y Confianzas de Active Directory, y con botón derecho sobre la raíz de la carpeta elegimos Maestros de Operaciones

Maestros de Operación a nivel de Dominio

Maestro RID (RID Master): Primero tenemos que explicar que es RID (Relative Identifier). Las cuentas de usuario, las de grupo, y las de equipo, cuando son creadas en un dominio, se les asigna un SID (Security ID). Lo podemos considerar en forma análoga a un documento personal. Es un identificador único y que nunca es reutilizado, aunque la cuenta original fuera eliminada.

Este SID, tiene tres partes principales. La primera parte (S-1-5-21-..) es un identificador asignado por ISO que especifica que es un identificador de seguridad asignado a Microsoft, para uso en dominios “NT”, etc.
La segunda parte es el identificador del Dominio, todas las cuentas de usuario, grupo y equipo de un dominio comparten estos datos.
La tercera y última (los números que siguen al último “-“ corresponden al RID, que es asignado en forma secuencial a partir del número 1000 a cada cuenta que se crea en el Dominio.

Vamos ahora a lo que nos interesa. Entiendo que todos conocemos que una cuenta puede crearse en cualquier Controlador de Dominio ya que cualquiera de ellos puede escribir en la base de Active Directory, pero sin embargo debemos asegurarnos que no se repitan los SIDs asignados a cada cuenta.

La solución pasa por tener un Controlador de Dominio que es el “dueño” de todos los RIDs, y que a pedido le asigna a cada Controlador de Dominio del Dominio rangos de RIDs. Cuando en un Controlador de Dominio este rango asignado comienza a agotarse (asigna de a 500, y cuando quedan sólo 50 disponibles) los Controladores de Dominio solicitarán al RID Master, otro rango de RIDs

Usando la interfaz gráfica, para ver quién tiene esta función, hay que abrir Usuarios y Equipos de Active Directory, botón derecho sobre el nombre del Dominio y elegir Maestro de Operaciones

Maestro de Infraestructura (Infrastructure Master): Supongamos que nuestro Active Directory consistiera de varios Dominios. En un ambiente como este se puede dar el caso que un usuario de un Dominio-A, esté “dentro” de un grupo de otro Dominio-B.
Por las capacidades propias de Active Directory y necesidad podríamos tener que mover la cuenta del usario (que está en Dominio-A) a otro Dominio-C
En este caso, en los grupos del Dominio-B se deberían actualizar todas las referencias a la cuenta de usuario; antes era “usuario de Dominio-A”, ahora debe ser “usuario de Dominio-C”.
Esta es justamente la función del Maestro de Infraestructura.

Si queremos ver quién tiene el rol usando la interfaz gráfica, es igual que en el caso anterior, sólo que esta vez seleccionamos la ficha Infraestructura

Maestro Controlador Principal de Dominio (PDC Emulator): en la época de los Dominios con Windows NT, no era como ahora que cualquier Controlador de Dominio aceptaba cambios en el directorio. Había sólo un Controlador de Dominio por Dominio que aceptaba cambios, y se llamaba “Controlador de Dominio Primario (PDC = Primary Domain Controller). El resto de los Controladores de Dominio eran BDCs (Backup Domain Controllers). Cualquera autenticaba usuarios, pero los cambios se hacían en uno en particular (el PDC) y luego se replicaba a los otros (los BDCs)

Esto ya sabemos que no es más así, pero como siempre el tema compatibilidad … Smile

El tema es que aunque no existe más como PDC sigue cumpliendo algunas de las funciones que además cumplía el PDC, y otras nuevas.

El emulador de PDC cumple funciones de:

  • Es el “Domain Master Browser” (función de completar el Entorno de Red en los clientes hasta W2003/XP)
  • Recibe replicación preferencial de los cambios de contraseña de usuarios y equipos
  • Es el servidor de horario (Time Server) del Dominio
  • Cuando desde cualquier equipo se crea o modifica una Directiva de Grupo (GPO), la consola de edición se trata de conectar siempre al que tiene este rol

Usando la interfaz gráfica, e igualemente que en los dos casos anteriores podemos ver quién tiene este rol, sólo debemos cambiarnos a la ficha Controlador Principal de Dominio

Mover los Roles

De ser necesario, esto roles se pueden mover desde un Controlador de Dominio a otro. El procedimiento es muy sencillo, y veremos las dos posibilidades: unsando la interfaz gráfica o por línea de comando.

Lo que debemos tener en claro, es que nunca el transpaso es “empujar”, siempre es “tirar”. O sea, no puedo desde A pasarle el rol a B, sino que desde B debo transferir el rol que tiene A

Entonces, usando la interfaz gráfica, debemos enfocar la consola que usemos (ver capturas de pantalla anteriores) y elegir el botón Cambiar.
Si aparece el mismo nombre de Controlador de Dominio en ambos renglones (como en las figuras anteriores) es que estamos enfocados en el que tiene el rol y por lo tanto no podremos cambiarlo; debemos “re-enfocar” la consola en el Controlador de Dominio destino.

No quiero repetir un procedimiento que ya está claramente documentado, pueden usar:

How to view and transfer FSMO roles in Windows Server 2003:
http://support.microsoft.com/kb/324801
http://support.microsoft.com/kb/324801/es

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller:
http://support.microsoft.com/kb/255504
http://support.microsoft.com/kb/255504/es

Aunque ambos artículos dicen que es válido para W2003, es totalmente válido hasta por lo menos W2008-R2

En una siguiente nota trataremos qué sucede si alguno de estos roles no estuviera presente, por ejemplo por haber sacado un Controlador de Dominio sin haberlo despromovido previamente. Y otros casos como por ejemplo el tener que apoderarse forzadamente de un rol. Y por supuesto las posibles consecuencias.

La continuación de está nota está en Maestros de Operaciones (FSMO Roles) – Parte 2

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Fernando Pineros  On 10/05/2011 at 22:26

    Excelente articulo gracias por compartir el conocimiento

  • moorandrea  On 31/08/2012 at 15:39

    Muy buen articulo y de mucha ayuda gracias :)

  • Lachoni  On 28/01/2013 at 20:24

    Gracias!

  • jaja  On 05/02/2013 at 14:54

    gracias hermano, justo me faltaba repasar para una entrevista…. gracias mill

    • Delprato  On 05/02/2013 at 15:02

      Repasa la parte 2 también, yo te preguntaría sobre eso justamente
      Porque lo importante es cómo detectas la falla y cómo arreglas el problema
      :-)

  • Antonio Hdez  On 16/08/2013 at 15:13

    Muy buen articulo, y excelente explicación.

  • David  On 22/11/2013 at 15:50

    Gracias. tenia la duda con PDC Emulator para sincronizar la hora con mis demas servidores.

  • coldfran  On 21/01/2015 at 19:16

    Me quedó mas o menos claro :)

  • Nicolas Hermida  On 02/02/2015 at 02:20

    Para promover un member server como DC dentro de un dominio existente. ¿Que FSMO se debe asegurar que esté on-line a la hora de la “promoción”? Gracias!

    • Guillermo Delprato  On 02/02/2015 at 07:34

      Hola Nicolás, para que todo funcione correctamente deben estar presentes los 5 “FSMO Roles”, esto es independientemente de lo que quieres hacer :)
      Nunca he hecho esa “prueba rara”, pero por lo menos el “PDC Emulator” seguro, para que obtenga los RIDs

  • rjaimes  On 14/06/2016 at 14:38

    Hola tengo implementado Windows Server 2008 tengo un problema con la creación de nuevos usuarios de Red. Me indica que el controlador de dominio indicado no existe o no esta conectado. De igual manera viendo este Blog

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: