Maestros de Operaciones (FSMO Roles) – Parte 2

En la nota anterior (Parte 1) describimos cada una de las funciones de los Maestros de Operaciones; en esta segunda parte vamos a ver qué sucede si alguno de los roles no estuviera funcionando, algunas consideraciones respecto al consumo de recursos, y las posibles consecuencias de tener que forzar apoderarse de alguno de estos roles.

Maestro de Esquema (Schema Master):

Como comentamos anteriormente, esta función es necesaria para modificar el Esquema.

Consumo de Recursos
Creo que estamos todos de acuerdo en que esto no forma parte de la administración diaria; se usa sólo en muy pocas ocasiones. Por ejemplo cuando instalamos aplicaciones que requieran ampliación del Esquema como puede ser el caso de Exchange, o cuando vamos a poner el primer Controlador de Dominio con una vesión de sistema operativo más nuevo (ADPREP), o en todo caso si en nuestra organización se creara una aplicación personal que requiera ampliación del mismo.

Por lo tanto, el uso es realmente esporádico, y el Controlador de Dominio que tiene dicha función realmente no tiene un consumo elevado de recursos.

¿Qué sucede si no está funcionando?
Si esta función no está presente, o funcionando, realmente no nos daríamos cuenta, salvo que tuviéramos que modificar el Esquema

Consecuencias de apoderarse de la función
Realmente es muy poco probable o casi imposible que tengamos consecuencias de apoderarnos forzadamente de esta función.
Cuando vamos a crear una instancia de un objeto basado en una modificación del Esquema, si un Controlador de Dominio detecta que debe replicar “algo que no conoce” automáticamente dispara una replicación del Esquema, por lo tanto es imposible que contenga una instancia de objeto que no esté validad por el Esquema.
Y por lo tanto, no pueden existir instancias de objeto en un Controlador de Dominio que no cumplan con la validación de la copia local del Esquema.
Si a alguno de los lectores se le ocurre una situación donde pueda producirse el problema agradeceré la deje en los comentarios.

Maestro de Nomenclatura de Dominios (Domain Naming Master):

Esta función es necesaria solamente cuando se agregan o sacan Dominios de nuestro Bosque.

Consumo de Recursos
Es fácil darse cuenta que, igual que en el caso anterior, esta no es una operación frecuente, y por lo tanto, no es para tener en cuenta en el consumo de recursos por mantener esta función.

¿Qué sucede si no está funcionando?
Si no estuviera activa esta función, nos daríamos cuenta únicamente cuando agreguemos o saquemos Dominios de nuestro Bosque, porque no nos dejará completar la operación:
Adding or Removing a Domain During Dcpromo Requires Access to the Domain Naming Master FSMO Role Holder:
http://support.microsoft.com/kb/254933
http://support.microsoft.com/kb/254933/es (cuidadado con la traducción automática)

Consecuencias de apoderarse de la función
Como vemos del enlace anterior, no hay posibilidad de que se produzcan inconsistencias, ya que no se podrán hacer las operaciones correspondientes a la función.

Maestro RID (RID Master):

Como ya vimos en la Parte 1 esta función es la que asigna rango de RIDs al resto de los Controladores de Dominio del Dominio. El RID Master le asigna a cada Controlador de Dominio, rangos de 500 identificadores. Cuando un Controlador de de Dominio usé 450 de los 500 disponibles, solicitará más.

Consumo de Recursos
Igual que en los casos anteriores, no es una operación frecuente ni que consuma recursos.

¿Qué sucede si no está funcionando?
También podemos observar que en muchos Dominios nunca será necesaria su función, porque los Controladores de Dominio no crearán más de 450 “security principals” (cuentas de Usuario, Grupo, y Equipo).

Consecuencias de apoderarse de la función
En este caso, a diferencia de los anteriores, si forzamos a un Controlador de Dominio para que asuma la función, podemos tener consecuencias, y por lo tanto esto lo debemos hacer sólo si decidimos que el Controlador de Dominio que tenía la función NO va a volver a la red.
Es una operación sencilla la verificación y limpieza de SIDs duplicados:
HOW TO: Find and Clean Up Duplicate Security Identifiers with Ntdsutil in Windows Server 2003:
http://support.microsoft.com/kb/816099
http://support.microsoft.com/kb/816099/es (cuidado con la traducción automática)

Maestro de Infraestructura
(Infrastructure Master):

Como ya vimos esta función se encarga de actualizar los SIDs en los grupos cuando una cuenta es movida entre diferentes Dominios.

Consumo de Recursos
Igual que en los casos anteriores, no es una operación frecuente ni que consuma recursos.

¿Qué sucede si no está funcionando?
En este caso no se actualizarán las referencias en los Grupos hasta que la función no esté presente nuevamente.
Podrían producirse problemas de acceso a los recursos por falta de los permisos correspondientes.
Para que esta función esté activa, el Controlador de Dominio que la cumple NO debe ser Catálogo Global, así que en la configuración por omisión esta función no está activa.

Consecuencias de apoderarse de la función
No tiene consecuencias.

Maestro Controlador Principal de Dominio (PDC Emulator):

Esta función cumple como ya vimos varios servicios y en forma casi continua, por lo que será la única que debemos tener en cuenta el consumo de recursos, y su disponibilidad.

Consumo de Recursos
Esta es la única función que implica un consumo moderado de recursos, aunque no es mayor. Analicemos cada una de las funcionalidades que provee:

  • Domain Master Browser (Examinador Principal de Dominio): Acá debemos diferenciar entre Windows 2008 y las versiones anteriores. A partir de Windows 2008 el servicio está desabilitado (Examinador/Browser) y el Entorno de Red fue reemplazado por otro servicio mucho más eficiente (LLTD) así que no debemos tenerlo en cuenta. En cambio en W2003 y anteriores, está función no sólo consume recursos cada vez que alguien accede al Entorno de Red, sino cada vez que un equipo se pone en funcionamiento.
  • Replicación Preferencial de Cambios de Contraseña: puede afectar el consumo de recursos sólo si nuestro Dominio fuera muy grande y los cambios de contraseña fueran numerosos y constantes.
  • Servidor Horario del Dominio: esta función sincroniza la hora de los equipos cliente que autentican con él, y la sincronización horaria del resto de los Controladores de Domino del Dominio. Actúa sólo durante el arranque de los otros Controladores de Dominio, y eventualmente de los equipos que autentica. No tiene mucho consumo de recursos.
  • Creación y Modificación de GPOs: recordemos que cuando se crean o modifican directivas la consola se enfoca en el Controlador de Dominio que cumple esta función. Estimo que durante la operación normal de un Dominio, y por las características propias del cambio el consumo de recursos es muy bajo.

Recomendaciones

Como hemos visto, en la mayoría de los casos, ante la ausencia temporal de alguna de las funciones de estos Maestros de Operaciones todo seguirá funcionando normalmente en nuestro Dominio, salvo operaciones puntuales. El único que puede traer una consecuencia de la que nos daremos cuenta en poco tiempo es el Maestro Controlador Principal de Dominio (PDC Emulator), por lo que en general ante un apagado transitorio de cualquiera que cumpla estas funciones no debemos hacer nada en especial.

Lo que sí deberíamos tener en cuenta, son las recomendaciones específicas de Microsoft sobre el tema: Si un Controlador de Dominio asume forzadamente la función de otro (no transferencia normal), es decir se apodera de la función (“seize”), que el Controlador de Dominio que previamente tenía la función NO vuelva a la red.

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • John Marin  On 05/10/2013 at 10:54

    Excelente informacion muchas gracias por estos aportes tan interesantes.

  • Diego Villada  On 28/01/2015 at 15:30

    Muchas gracias por tus aportes, demasiado útiles!!!

  • hector david  On 06/04/2015 at 13:22

    gracias por estos artículos. he leído muchos y en particular estos dos me han ayudado, pero aún tengo una duda sobre este asunto. he agregado un servidor secundario a mi dominio y hasta ahí todo bien, el problema es que después de pasar los roles fsmo no puedo apagar el servidor antiguo porque el que ahora tiene los roles no tiene las bases de datos del ad. mi pregunta es como le hago para que estas estén en ambos servidores y funcione la tolerancia a fallas?? gracias de ante mano.

    • Guillermo Delprato  On 06/04/2015 at 16:36

      Hola Héctor, te haz apurado demasiado :)
      Antes de mover los roles hay que asegurarse que se haya replicado toda la información, esto es muy importante. Además que no existan errores sobre todo relacionados a Active Directory
      Para tener tolerancia a fallas recuerda tres cosas:
      – Que ambos sean Catálogo Global. Demora hasta que se replica la información unos minutos
      – Que todos tengan el servicio DNS. Y que la información esté replicada
      – Que los clientes tengan configurado para usar como servidor DNS a ambos

      ¿Si haces un NETDOM QUERY FSMO informa que los roles se han movido? porque ahí pueden pasar “cosas raras”. Eventualmente podrías apoderarse de los roles (“Seize”) según indican los artículos de la nota
      Esperar que replique y que no tengas errores, y recién luego mover los roles
      Dependiendo de la topología y configuración de la red cualquier cambio demora unos minutos en propagarse a todos los Controladores de Dominio

  • jaime  On 10/11/2015 at 11:44

    Hola, agradezco mucho tu dedicación a estos temas mas conceptuales y que siempre son de gran ayuda.
    Me quedo una duda al leer esta segunda parte, en caso del rol de infraestructura dice “el Controlador de Dominio que la cumple NO debe ser Catálogo Global” esto significa que este rol debe si o si estar presente en un DC que no sea GC para que su función este activa? que impacto tiene si se encuentra en un DC que también es GC?
    Gracias por cualquier explicación o link que tenga la respuesta.

    Te felicito por tu excelente colaboración y éxito en tus futuros aportes.

    • Guillermo Delprato  On 10/11/2015 at 12:08

      Hola Jaime, gracias por el comentario :)
      El rol “Infrastructure Master” cumple función únicamente cuando se mueve una cuenta de usario, entre Dominios diferentes del mismo Bosque. Por lo tanto, si no tienes más de un Dominio en tu Bosque, o nunca mueves cuentas de usuario entre Dominios, al igual que muchos otros ni te das cuenta si ese rol lo estaba cumpliendo algún servidor o no
      Si hicieras esta operación de mover cuentas, y no estuviera el rol, la consecuencia es que no se actualizaría la membresía en los grupos originales, quedaría sólo el SID que no podrá resolverse a su nombre
      El tema de tener el rol en un Controlador de Dominio que no sea Catálogo Global, es porque de otra forma no detecta la inconsistencia del movido de cuentas, es como si el rol no estuviera activo
      Es uno de los roles más desconocidos, y prácticamente nunca utilizado

  • Manuel Alejandro  On 21/10/2016 at 12:47

    Hola Guillermo, tengo el siguiente problema, tengo un controlador de dominio en Windows Server 2003R2, agrege uno nuevo en Windows Server 2012R2, luego le tranferi los FSMO, ahora bien si apago monmentaniamente el 2003, el 2012r2 no deja a ningun usuario del dominio logearse. dice que no hay servidor de logon disponible.. el caso es que desde el 2012r2 puedo hacer cambios en el AD tanto como en dns pero si apago el 2003 no se qeda respondiendo …tenog habilitado el catalogo global en los dos server 2003 y 2012, otra cosa es que desde el 2012r2 no puedo editar las GPO, Failed to Open GPO, you might not have the appropiate rights ..network name cannot be found.

    • Guillermo Delprato  On 21/10/2016 at 13:03

      Hola Manual Alejandro, revisa varias cosas:
      – Que el DNS en el W2012R2 tenga las zonas correspondientes creadas
      – Que los clientes tengan configurado para usar como DNS al W2012R2
      – Que los Controladores de Dominio tengan configurado para usar como DNS primero a sí mismo, y al otro como alternativo
      – También habría que ver si la replicación se completó correctamente …

  • Edgar  On 10/11/2016 at 14:29

    Buenas tardes, tengo un problema en mi red, se daño el disco duro de mi servidor maestro y estoy trabajando con uno imagen o replica, tuve que generar o transferir todos los roles a este servidor para continuar con la operatividad de la empresa, todo me funciona bien menos las replicas entre sedes y cuando vence la contraseña de un usuario este no puede cambiar la misma, le sale error Acceso Denegado, por ende llaman a sistemas y nosotros tenemos que realizar el cambio, ante de que se dañara el maestro esto no ocurria, alguien sabe como puedo solventar esto?, muchas gracias.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: