Operación flexible con un solo maestro

Característica del Directorio Activo de Microsoft

Operaciones maestras flexibles ( FSMO , F a veces es "flotante"; se pronuncia Fiz-mo), o simplemente operaciones maestras únicas o maestros de operaciones , es una característica de Active Directory (AD) de Microsoft . ^[1] A partir de 2005, el término FSMO ha quedado obsoleto en favor de maestros de operaciones. ^{[ cita requerida ] [2]}

FSMO es un conjunto de tareas de controlador de dominio (DC) especializado que se utiliza cuando los métodos estándar de transferencia y actualización de datos son inadecuados. AD normalmente depende de múltiples DC de pares, cada uno con una copia de la base de datos de AD, que se sincronizan mediante replicación multimaestro . Las tareas que no son adecuadas para la replicación multimaestro y que solo son viables con una base de datos de un solo maestro son los FSMO. ^[3]

Funciones de FSMO

Roles por dominio

Estos roles son aplicables a nivel de dominio (es decir, hay uno de cada uno para cada dominio en un bosque):

• El emulador PDC (controlador de dominio primario): este rol es el más utilizado de todos los roles FSMO y tiene la gama más amplia de funciones. El controlador de dominio que tiene el rol de emulador PDC es crucial en un entorno mixto donde aún hay BDC de Windows NT 4.0. Esto se debe a que el rol de emulador PDC emula las funciones de un PDC de Windows NT 4.0. Incluso si todos los controladores de dominio de Windows NT 4.0 se han migrado a Windows 2000 o posterior, el controlador de dominio que tiene el rol de emulador PDC aún hace mucho. El emulador PDC es la fuente de dominio para la sincronización horaria de todos los demás controladores de dominio; en un bosque de varios dominios, el emulador PDC de cada dominio se sincroniza con el emulador PDC raíz del bosque. Todos los demás equipos miembros del dominio se sincronizan con sus respectivos controladores de dominio. ^[4] Es de vital importancia que los relojes de los equipos estén sincronizados en todo el bosque porque un desfase excesivo del reloj hace que falle la autenticación Kerberos . Además, todos los cambios de contraseña ocurren en el emulador PDC y reciben replicación prioritaria. ^[5]
• El propietario de la función FSMO de RID Master (ID relativa) es el único DC responsable de procesar las solicitudes de grupo de RID de todos los DC dentro de un dominio determinado. También es responsable de mover un objeto de un dominio a otro durante un movimiento de objetos entre dominios. Cuando un DC crea un objeto de entidad de seguridad, como un usuario o un grupo, le asigna un SID único . Este SID consta de un SID de dominio (el mismo para todos los SID creados en un dominio) y un ID relativo (RID) que es único para cada SID de entidad de seguridad creado en un dominio. A cada DC de un dominio se le asigna un grupo de RID que puede asignar a los principales de seguridad que crea. Cuando el grupo de RID asignado de un DC cae por debajo de un umbral, ese DC emite una solicitud de RID adicionales al propietario de la función FSMO de RID Master del dominio, que responde a la solicitud recuperando los RID del grupo de RID no asignado del dominio y los asigna al grupo del DC solicitante.
• El maestro de infraestructura : el propósito de esta función es garantizar que las referencias a objetos entre dominios se gestionen correctamente. Por ejemplo, si se agrega un usuario de un dominio a un grupo de seguridad de un dominio diferente, el maestro de infraestructura se asegura de que esto se haga correctamente. Sin embargo, si la implementación de Active Directory tiene un solo dominio, entonces la función de maestro de infraestructura no funciona en absoluto, e incluso en un entorno de varios dominios, rara vez se usa, excepto cuando se realizan tareas complejas de administración de usuarios. Esto se aplica solo a la partición de dominio (contexto de nombres predeterminado) netdom query fsmoy ntdsutilsolo consultará la partición de dominio. Sin embargo, cada partición de aplicación, incluidas las zonas de dominio DNS de nivel de dominio y bosque, tiene su propio maestro de infraestructura. El titular de esta función se almacena en el fSMORoleOwneratributo del Infrastructureobjeto en la raíz de la partición, se puede modificar con ADSIEdit, por ejemplo, se puede modificar el fSMORoleOwneratributo del CN=Infrastructure,DC=DomainDnsZones,DC=yourdomain,DC=tldobjeto a CN=NTDSSettings,CN=Name_of_DC,CN=Servers,CN=DRSite,CN=Sites,CN=Configuration,DC=Yourdomain,DC=TLD. ^[6]

Roles por bosque

Estos roles son únicos a nivel de bosque (ambos están ubicados en el dominio raíz del bosque):

• Maestro de esquema : el propósito de esta función es replicar los cambios de esquema en todos los demás controladores de dominio del bosque. Sin embargo, dado que el esquema de Active Directory rara vez se modifica, la función Maestro de esquema rara vez realizará algún trabajo. Esta función suele estar involucrada en la implementación de Exchange Server y Skype for Business Server, así como en la conversión de controladores de dominio de una versión a otra, ya que todas estas situaciones implican realizar cambios en el esquema de Active Directory.
• El maestro de nombres de dominio : el otro rol FSMO específico del bosque es el maestro de nombres de dominio, y este rol también reside en el dominio raíz del bosque. El rol de maestro de nombres de dominio procesa todos los cambios en el espacio de nombres, por ejemplo, agregar el dominio secundario vancouver.mycompany.com al dominio raíz del bosque mycompany.com requiere que este rol esté disponible. Si este rol no funciona correctamente, puede impedir la adición de un nuevo dominio secundario o un nuevo árbol de dominios.

Traslado de funciones FSMO entre controladores de dominio

De forma predeterminada, AD asigna todos los roles de maestro de operaciones al primer controlador de dominio creado en un bosque. Para proporcionar tolerancia a errores, debe haber varios controladores de dominio disponibles dentro de cada dominio del bosque. Si se crean nuevos dominios en el bosque, el primer controlador de dominio de un nuevo dominio contiene todos los roles de FSMO de todo el dominio. Esta no es una posición satisfactoria si el dominio tiene una gran cantidad de controladores de dominio. Microsoft recomienda la división cuidadosa de los roles de FSMO, con controladores de dominio en espera listos para asumir cada rol. El emulador de PDC y el maestro de RID deben estar en el mismo controlador de dominio, si es posible. El maestro de esquema y el maestro de nombres de dominio también deben estar en el mismo controlador de dominio.

Cuando se transfiere una función FSMO a un controlador de dominio diferente, el titular original de la función FSMO y el nuevo titular de la función FSMO se comunican para garantizar que no se pierdan datos durante la transferencia. Si el titular original de la función FSMO experimentó una falla irrecuperable, se puede hacer que otro controlador de dominio "se apodere" de las funciones perdidas; sin embargo, existe el riesgo de pérdida de datos debido a la falta de comunicación. Tomar funciones de un controlador de dominio en lugar de transferirlas evita que ese controlador de dominio vuelva a alojar esa función FSMO, excepto las funciones de Emulador de PDC y Operación maestra de infraestructura. La corrupción puede ocurrir dentro de Active Directory. Las funciones FSMO se pueden mover fácilmente entre controladores de dominio mediante los complementos de AD a MMC o mediante ntdsutil, que es una herramienta basada en la línea de comandos. ^[7]

Roles y catálogo global de FSMO

Ciertas funciones de FSMO dependen de que el controlador de dominio también sea un servidor de catálogo global (GC) . Cuando se crea un bosque inicialmente, el primer controlador de dominio es un servidor de catálogo global de manera predeterminada. El catálogo global proporciona varias funciones. El GC almacena información de datos de objetos, administra consultas de estos objetos de datos y sus atributos, y proporciona datos para permitir el inicio de sesión en la red.

A menudo, todos los controladores de dominio también son servidores de catálogo global. Si este no es el caso, la función de maestro de infraestructura no debe estar alojada en un controlador de dominio que también albergue una copia del catálogo global en un bosque multidominio, ya que la combinación de estas dos funciones en el mismo host provocará un comportamiento inesperado (y potencialmente dañino) en un entorno multidominio. ^{[8] [9]} Sin embargo, la función de maestro de nombres de dominio debe estar alojada en un controlador de dominio que también sea un GC.

Referencias

1. "Comprensión de los roles FSMO en Active Directory - Petri". petri.co.il . 8 de enero de 2009. Archivado desde el original el 20 de agosto de 2011 . Consultado el 22 de julio de 2016 .
2. "Transferir o tomar posesión de funciones de Operation Master en los servicios de dominio de Active Directory". 15 de junio de 2023.
3. "Funciones FSMO de Active Directory de Windows 2000". Microsoft Corporation. 23 de febrero de 2007. Para evitar actualizaciones conflictivas en Windows 2000, Active Directory realiza actualizaciones de determinados objetos de forma que funcione con un solo maestro. [...] Debido a que una función de Active Directory no está vinculada a un solo controlador de dominio, se la denomina función de operación flexible con un solo maestro (FSMO).
4. "Configuración del servicio de hora en el controlador de dominio con la función FSMO del emulador PDC - Artículos de TechNet - Estados Unidos (inglés) - Wiki de TechNet". microsoft.com . Consultado el 22 de julio de 2016 .
5. "[MS-ADTS]: Función FSMO del emulador PDC". microsoft.com . Consultado el 22 de julio de 2016 .
6. "TechNet: ForestDNSZones y DomainDNSZones tienen un registro de rol de infraestructura incorrecto". Archivado desde el original el 12 de enero de 2018. Consultado el 12 de enero de 2018 .
7. "Uso de Ntdsutil.exe para transferir o apropiarse de funciones FSMO a un controlador de dominio". support.microsoft.com . Consultado el 18 de enero de 2017 .
8. "Fantasmas, lápidas y el maestro de la infraestructura". support.microsoft.com . Consultado el 18 de enero de 2017 .
9. "Ubicación y optimización de FSMO en controladores de dominio de Active Directory". support.microsoft.com . Consultado el 18 de enero de 2017 .

Enlaces externos

• "6.1.5.3 Función FSMO de maestro RID". [MS-ADTS]: Especificación técnica de Active Directory . Microsoft . 30 de marzo de 2020.
• "Cómo ver y transferir roles FSMO en Windows Server 2003". Soporte . Microsoft. 11 de septiembre de 2011.
• Tulloch, Mitch (15 de marzo de 2005). "Cómo ver y transferir funciones FSMO en Windows Server 2003". WindowsNetworking.com . TechGenix.
• "Transferencia de funciones FSMO en Windows Server 2008". TechNetWiki . Microsoft .
• Arik, Ertugrul (23 de diciembre de 2014). "Cómo determinar el titular de la función fsmo (atributo fsmoRoleOwner)". Codificación de Active Directory .