Operaciones flexibles de maestro único (FSMO) – operaciones realizadas por los controladores de dominio del Directorio Activo, que requieren un servidor único obligatorio para cada operación. Se pueden realizar varios tipos de FSMO en el mismo o en varios controladores de dominio. Roles del servidor que operan FSMO conocidos como Maestro de operaciones DC.
La mayoría de las operaciones en AD pueden hacerse en cualquier controlador de dominio. El servicio de replicación de AD copia los cambios en otros controladores de dominio, asegurando la identidad de la base de datos de AD en todos los controladores del mismo dominio. La resolución de conflictos es la siguiente: si los dos DC tratan de cambiar los atributos de un objeto AD al mismo tiempo, la resolución automática de conflictos sуstem mantiene un registro de qué cambio se hizo por última vez.
Sin embargo, hay varias acciones (como cambiar el esquema de AD), en las que los conflictos son inaceptables. La tarea de un servidor con roles FSMO es evitar tales conflictos. Por lo tanto, cada función de la FSMO sólo puede realizarse simultáneamente en un servidor. Y si es necesario, puede ser transferido a otro controlador de dominio en cualquier momento.
Roles de la FSMO
Hay 5 roles del FSMO: 2 roles únicos para el bosque AD y 3 para cada dominio.
- Maestro del esquema – responsable de los cambios en el esquema del Directorio Activo . Sólo puede haber uno para todo el bosque del dominio.
- Domain Naming Master – responsable del nombre único de un dominio y de las particiones de la aplicación en el bosque. Sólo puede haber uno para todo el bosque del dominio.
- Maestro de Infraestructura – almacena datos sobre usuarios de otros dominios, que forman parte de los grupos locales de su dominio. Puede haber uno para cada dominio en el bosque.
- Gestor de la reserva de RID – responsable de asignar el ID relativo único (RID), necesario para crear cuentas de dominio. Puede haber uno para cada dominio en el bosque.
- Emulador del PDC (Primary Domain Controller) – responsable de la compatibilidad con el dominio NT4 y los clientes anteriores a Windows 2000, para la sincronización temporal del dominio en el bosque, para cambiar las contraseñas y los bloqueos de las pistas cuando los usuarios introducen la contraseña incorrecta.
LEER TAMBIÉN Cambiar la contraseña de usuario del directorio local y activo usando PowerShell
Mejores prácticas recomendadas para la colocación de los papeles de la FSMO
Cuando se instala un nuevo dominio de AD, todos los roles de FSMO se colocan en un solo servidor. De acuerdo con la recomendación de Microsoft, la mejor práctica es repartir los roles FSMO entre los diferentes controladores de dominio.
Los papeles del FSMO forestal deben ser colocados en un DC, y el papel del dominio en otro. En ese caso, si sólo tiene un controlador de dominio, se recomienda desplegar 1 DC adicional. Por lo tanto, en un dominio de AD con una configuración mínima (2 DC), es necesario colocar el papel de la FSMO de la siguiente manera:
Coloca los siguientes papeles de dominio en un DC1:
- Maestro RID
- Maestro de Infraestructura
- Emulador PDC
Coloca los papeles del bosque en un DC2:
- Maestro de Esquemas
- Maestro de Dominio
Para determinar los titulares actuales de los Roles FSMO, realice el siguiente comando:
netdom query fsmo
En este caso, los papeles del FSMO se distribuyen entre los dos DC.
Sin embargo, hay que tener en cuenta que no existe un papel de la FSMO cuyo fracaso llevaría a una pérdida significativa de la funcionalidad de la EA. Incluso en caso de fallo de todos los roles del FSMO, la infraestructura puede operar normalmente en unos pocos días, semanas o incluso meses. Por lo tanto, si usted va a traer DC, que contiene algunos o todos los roles a un mantenimiento durante algún tiempo, no hay necesidad de transferir los roles disponibles de la FSMO en el otro DC, su AD algún tiempo funcionará normalmente.
LEER TAMBIÉN Usando la herramienta Ntdsutil para gestionar el Directorio Activo
El fallo de un DC con funciones de FSMO no conduce al mal funcionamiento de un dominio. Sin embargo, hace que sea imposible para muchas operaciones, de hecho cambiando el dominio al modo de «sólo lectura». En caso de fallo de un controlador de dominio con los roles de la FSMO, puede recurrir al procedimiento de aprovechar los roles de la FSMO de un DC que ha fallado .
Herramientas para administrar los roles de la FSMO
Para gestionar y transferir los roles de la FSMO en el dominio de Active Directory utilice una utilidad de línea de comandos NTDSUTIL o los snap-ins de la GUI MMC:
- Directorio Activo de Dominios y Fideicomisos – Rol de Maestro de Nombres de Dominio
- Usuarios del Directorio Activo y Computadoras – Roles de Maestro de Identificación Relativa, Maestro de Infraestructura y Emulador de Controlador de Dominio Primario
- Esquema de Directorio Activo – Rol de Maestro de Esquemas
Eso es todo. Espero que hayamos podido aclarar un poco la situación con el papel de la FSMO. En futuros artículos, veremos más de cerca cada rol de la FSMO y sus características.