En esta ocasión vamos a desarrollar el tema de los Maestros de Operaciones o también conocidos por su denominación en inglés: “FSMO Roles” (Flexible Single Master Operations)
Hay algunas operaciones en Active Directory que deben ejecutarse con ciertas precauciones. Veamos un ejemplo. Imaginemos un administrador haciendo cambios en el Esquema de Active Directory desde un Controlador de Dominio en el sitio “A”. Mientras otro administrador en el sitio “B”, sin saber que ya está en proceso la modificación del Esquema, también hace cambios en el Esquema, sólo que los cambios que se hacen “casi simultáneamente” en los diferentes sitios son incompatibles ¿qué sucederá cuando la replicación trate de hacer la convergencia de datos? … estaríamos en un problema grave.
¿Cómo podríamos evitar situaciones como la anterior? bien, la solución es sencilla: no importa desde qué equipos modifiquen el Esquema, siempre se hará, aún si es necesario remotamente, en un determinado Controlador de Dominio: El Maestro de Esquema.
De esta forma, no se producirán incompatibilidades, si uno es incompatible con otro simplemente uno no se aceptará.
Vamos a describir los 5 FSMO Roles. Hay dos roles que son a nivel de Bosque, o sea que hay uno de esos roles en todo el Bosque de Active Directory.
Y hay tres roles que son a nivel de Dominio, en cada Dominio Active Directory están esos tres roles.
Para saber qué Controlador de Dominio tiene qué roles, aunque lo podemos hacer con la interfaz gráfica, hay un comando mucho más simple. Desde un CMD.EXE ejecutamos: NETDOM QUERY FSMO
Maestros de Operación a nivel de Bosque
Maestro de Esquema (Schema Master): Sólo un Controlador de Dominio del Dominio raíz lo va a tener. Cualquier cambio que se haga en el Esquema, no importa desde dónde, la herramienta de edición del Esquema se enfocará en el que tenga este rol
Si queremos ver quién tiene este rol usando la interfaz gráfica, debemos primero registrar una DLL. Desde una línea de comando (CMD.EXE) ejecutada como administrador ejecutar: REGSVR32 SCHMMGMT.DLL
Luego crear una MMC.EXE cargando el componente Esquema de Active Directory
Luego con botón derecho sobre Esquema de Active Directory, elegimos Maestro de Operaciones
Maestro de Nomenclatura de Dominios (Domain Naming Master): La función que provee es garantizar la unicidad de los nombres de los Dominios que se agreguen al Bosque.
Esto es necesario porque podría darse el caso, por ejemplo, que dos administradores “desconectados” entre sí, traten de dar de alta simultáneamente el mismo subdominio
Usando la interfaz gráfica si queremos saber quién tiene el rol, debemos abrir la consola Dominios y Confianzas de Active Directory, y con botón derecho sobre la raíz de la carpeta elegimos Maestros de Operaciones
Maestros de Operación a nivel de Dominio
Maestro RID (RID Master): Primero tenemos que explicar que es RID (Relative Identifier). Las cuentas de usuario, las de grupo, y las de equipo, cuando son creadas en un dominio, se les asigna un SID (Security ID). Lo podemos considerar en forma análoga a un documento personal. Es un identificador único y que nunca es reutilizado, aunque la cuenta original fuera eliminada.
Este SID, tiene tres partes principales. La primera parte (S-1-5-21-..) es un identificador asignado por ISO que especifica que es un identificador de seguridad asignado a Microsoft, para uso en dominios “NT”, etc.
La segunda parte es el identificador del Dominio, todas las cuentas de usuario, grupo y equipo de un dominio comparten estos datos.
La tercera y última (los números que siguen al último “-“ corresponden al RID, que es asignado en forma secuencial a partir del número 1000 a cada cuenta que se crea en el Dominio.
Vamos ahora a lo que nos interesa. Entiendo que todos conocemos que una cuenta puede crearse en cualquier Controlador de Dominio ya que cualquiera de ellos puede escribir en la base de Active Directory, pero sin embargo debemos asegurarnos que no se repitan los SIDs asignados a cada cuenta.
La solución pasa por tener un Controlador de Dominio que es el “dueño” de todos los RIDs, y que a pedido le asigna a cada Controlador de Dominio del Dominio rangos de RIDs. Cuando en un Controlador de Dominio este rango asignado comienza a agotarse (asigna de a 500, y cuando quedan sólo 50 disponibles) los Controladores de Dominio solicitarán al RID Master, otro rango de RIDs
Usando la interfaz gráfica, para ver quién tiene esta función, hay que abrir Usuarios y Equipos de Active Directory, botón derecho sobre el nombre del Dominio y elegir Maestro de Operaciones
Maestro de Infraestructura (Infrastructure Master): Supongamos que nuestro Active Directory consistiera de varios Dominios. En un ambiente como este se puede dar el caso que un usuario de un Dominio-A, esté “dentro” de un grupo de otro Dominio-B.
Por las capacidades propias de Active Directory y necesidad podríamos tener que mover la cuenta del usario (que está en Dominio-A) a otro Dominio-C
En este caso, en los grupos del Dominio-B se deberían actualizar todas las referencias a la cuenta de usuario; antes era “usuario de Dominio-A”, ahora debe ser “usuario de Dominio-C”.
Esta es justamente la función del Maestro de Infraestructura.
Si queremos ver quién tiene el rol usando la interfaz gráfica, es igual que en el caso anterior, sólo que esta vez seleccionamos la ficha Infraestructura
Maestro Controlador Principal de Dominio (PDC Emulator): en la época de los Dominios con Windows NT, no era como ahora que cualquier Controlador de Dominio aceptaba cambios en el directorio. Había sólo un Controlador de Dominio por Dominio que aceptaba cambios, y se llamaba “Controlador de Dominio Primario (PDC = Primary Domain Controller). El resto de los Controladores de Dominio eran BDCs (Backup Domain Controllers). Cualquera autenticaba usuarios, pero los cambios se hacían en uno en particular (el PDC) y luego se replicaba a los otros (los BDCs)
Esto ya sabemos que no es más así, pero como siempre el tema compatibilidad … 
El tema es que aunque no existe más como PDC sigue cumpliendo algunas de las funciones que además cumplía el PDC, y otras nuevas.
El emulador de PDC cumple funciones de:
- Es el “Domain Master Browser” (función de completar el Entorno de Red en los clientes hasta W2003/XP)
- Recibe replicación preferencial de los cambios de contraseña de usuarios y equipos
- Es el servidor de horario (Time Server) del Dominio
- Cuando desde cualquier equipo se crea o modifica una Directiva de Grupo (GPO), la consola de edición se trata de conectar siempre al que tiene este rol
Usando la interfaz gráfica, e igualemente que en los dos casos anteriores podemos ver quién tiene este rol, sólo debemos cambiarnos a la ficha Controlador Principal de Dominio
Mover los Roles
De ser necesario, esto roles se pueden mover desde un Controlador de Dominio a otro. El procedimiento es muy sencillo, y veremos las dos posibilidades: unsando la interfaz gráfica o por línea de comando.
Lo que debemos tener en claro, es que nunca el transpaso es “empujar”, siempre es “tirar”. O sea, no puedo desde A pasarle el rol a B, sino que desde B debo transferir el rol que tiene A
Entonces, usando la interfaz gráfica, debemos enfocar la consola que usemos (ver capturas de pantalla anteriores) y elegir el botón Cambiar.
Si aparece el mismo nombre de Controlador de Dominio en ambos renglones (como en las figuras anteriores) es que estamos enfocados en el que tiene el rol y por lo tanto no podremos cambiarlo; debemos “re-enfocar” la consola en el Controlador de Dominio destino.
No quiero repetir un procedimiento que ya está claramente documentado, pueden usar:
How to view and transfer FSMO roles in Windows Server 2003:
http://support.microsoft.com/kb/324801
http://support.microsoft.com/kb/324801/es
Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller:
http://support.microsoft.com/kb/255504
http://support.microsoft.com/kb/255504/es
Aunque ambos artículos dicen que es válido para W2003, es totalmente válido hasta por lo menos W2008-R2
En una siguiente nota trataremos qué sucede si alguno de estos roles no estuviera presente, por ejemplo por haber sacado un Controlador de Dominio sin haberlo despromovido previamente. Y otros casos como por ejemplo el tener que apoderarse forzadamente de un rol. Y por supuesto las posibles consecuencias.
La continuación de está nota está en Maestros de Operaciones (FSMO Roles) – Parte 2
WindowServer 
Comentarios
Excelente articulo gracias por compartir el conocimiento
Muy buen articulo y de mucha ayuda gracias :)
¡Gracias a ti por el comentario!
Me alegro que te guste y sea útil
Gracias!
Me alegro que te ha sido útil
:-)
gracias hermano, justo me faltaba repasar para una entrevista…. gracias mill
Repasa la parte 2 también, yo te preguntaría sobre eso justamente
Porque lo importante es cómo detectas la falla y cómo arreglas el problema
:-)
Muy buen articulo, y excelente explicación.
¡Gracias Antonio!
:-)
Gracias. tenia la duda con PDC Emulator para sincronizar la hora con mis demas servidores.
Me alegro te sirviera :)
Me quedó mas o menos claro :)
Me alegro coldfran :)
Para promover un member server como DC dentro de un dominio existente. ¿Que FSMO se debe asegurar que esté on-line a la hora de la «promoción»? Gracias!
Hola Nicolás, para que todo funcione correctamente deben estar presentes los 5 «FSMO Roles», esto es independientemente de lo que quieres hacer :)
Nunca he hecho esa «prueba rara», pero por lo menos el «PDC Emulator» seguro, para que obtenga los RIDs
Hola tengo implementado Windows Server 2008 tengo un problema con la creación de nuevos usuarios de Red. Me indica que el controlador de dominio indicado no existe o no esta conectado. De igual manera viendo este Blog
Hola rjaimes, este no es un sitio de soporte, y estos son comentarios sobre la nota
Buena tarde, antes que nada gracias por las notas.
Tengo 2 controladores de dominio, pero solo puedo unir equipos al dominio cuando el controlador #1 esta online. Tiene algo que ver la que el tenga los roles FSMO? Gracias.
Hola José, no tiene relación con los «FSMO Roles», lo que sí se debe tener en cuenta es que para tener tolerancia a fallas, ambos DCs deben ser Catalogo Global y DNS, y el cliente debe estar apuntando al DNS en línea
Controladores de Dominio: Tolerancia a Fallas | WindowServer
https://windowserver.wordpress.com/2011/05/25/controladores-de-dominio-tolerancia-a-fallas/
Trackbacks
[…] ya vimos en la Parte 1 esta función es la que asigna rango de RIDs al resto de los Controladores de Dominio del Dominio. […]
[…] Maestros de Operaciones (FSMO Roles) – Parte 1 […]
[…] Maestros de Operaciones (FSMO Roles) – Parte 1 […]
[…] Maestros de Operaciones (FSMO Roles) – Parte 1 […]
[…] https://windowserver.wordpress.com/2011/05/10/maestros-de-operaciones-fsmo-roles-parte-1/ […]
[…] os dejo otra píldora formativa de PowerShell y Directorio Activo (AD). ¿Como migrar los roles Flexible Single Master Operations (FSMO) de AD a través de Powershell? En Castellano son los Controladores de Dominio (DC) Maestros de […]
[…] Maestros de Operaciones (FSMO Roles) – Parte 1 […]
[…] Maestros de Operaciones (FSMO Roles) – Parte 1 […]