Único flexible Maestro de operaciones ( FSMO , M es a veces "flotando"; pronunciado Fiz-mo), o simplemente sola operación maestra o maestro de operaciones , es una característica de Microsoft 's Active Directory (AD). [1] A partir de 2005, el término FSMO se ha desaprobado en favor de los maestros de operaciones. [ cita requerida ]
FSMO es un conjunto de tareas de controlador de dominio (DC) especializado, que se utiliza cuando los métodos estándar de transferencia y actualización de datos son inadecuados. AD normalmente se basa en varios controladores de dominio del mismo nivel, cada uno con una copia de la base de datos de AD, que se sincroniza mediante la replicación de múltiples maestros . Las tareas que no son adecuadas para la replicación multimaestro y que solo son viables con una base de datos de un solo maestro son los FSMO. [2]
Roles FSMO
Roles por dominio
Estos roles son aplicables a nivel de dominio (es decir, hay uno de cada uno para cada dominio en un bosque):
- El emulador de PDC (controlador de dominio primario): esta función es la más utilizada de todas las funciones de FSMO y tiene la gama más amplia de funciones. El controlador de dominio que desempeña la función de emulador de PDC es fundamental en un entorno mixto donde todavía están presentes los BDC de Windows NT 4.0. Esto se debe a que la función de emulador de PDC emula las funciones de un PDC de Windows NT 4.0. Incluso si todos los controladores de dominio de Windows NT 4.0 se han migrado a Windows 2000 o posterior, el controlador de dominio que tiene la función de emulador de PDC todavía hace mucho. El emulador de PDC es la fuente de dominio para la sincronización de tiempo para todos los demás controladores de dominio; en un bosque de varios dominios, el emulador de PDC de cada dominio se sincroniza con el emulador de PDC raíz del bosque. Todos los demás equipos miembros del dominio se sincronizan con sus respectivos controladores de dominio. [3] Es de vital importancia que los relojes de las computadoras estén sincronizados en todo el bosque porque una desviación excesiva del reloj hace que falle la autenticación Kerberos . Además, todos los cambios de contraseña ocurren en el emulador de PDC y reciben replicación de prioridad. [4]
- El maestro de RID : (ID relativo) Este propietario de la función FSMO es el único controlador de dominio responsable de procesar las solicitudes de grupo de RID de todos los controladores de dominio dentro de un dominio determinado. También es responsable de mover un objeto de un dominio a otro durante un movimiento de objeto entre dominios. Cuando un DC crea un objeto principal de seguridad, como un usuario o grupo, adjunta un SID único al objeto. Este SID consta de un SID de dominio (el mismo para todos los SID creados en un dominio) y un ID relativo (RID) que es único para cada SID principal de seguridad creado en un dominio. A cada DC de un dominio se le asigna un grupo de RID que puede asignar a los principales de seguridad que crea. Cuando el grupo RID asignado de un DC cae por debajo de un umbral, ese DC emite una solicitud de RID adicionales al propietario del rol FSMO maestro de RID del dominio, el propietario del rol FSMO maestro RID responde a la solicitud recuperando los RID del grupo RID no asignado del dominio y los asigna al grupo del DC solicitante.
- El maestro de infraestructura : el propósito de esta función es garantizar que las referencias a objetos entre dominios se manejen correctamente. Por ejemplo, si un usuario de un dominio se agrega a un grupo de seguridad de un dominio diferente, el maestro de infraestructura se asegura de que esto se haga correctamente. Sin embargo, si la implementación de Active Directory tiene un solo dominio, entonces el rol de maestro de infraestructura no funciona en absoluto, e incluso en un entorno de múltiples dominios, rara vez se usa, excepto cuando se realizan tareas complejas de administración de usuarios. Esto se aplica solo a la partición del dominio (contexto de nomenclatura predeterminado).
netdom query fsmo
yntdsutil
solo consultará la partición del dominio. Sin embargo, cada partición de la aplicación, incluidas las zonas de dominio DNS de nivel de dominio y de bosque, tiene su propio maestro de infraestructura. El titular de este rol se almacena en elfSMORoleOwner
atributo delInfrastructure
objeto en la raíz de la partición, se puede modificar conADSIEdit
, por ejemplo, se puede modificar elfSMORoleOwner
atributo delCN=Infrastructure,DC=DomainDnsZones,DC=yourdomain,DC=tld
objeto aCN=NTDSSettings,CN=Name_of_DC,CN=Servers,CN=DRSite,CN=Sites,CN=Configuration,DC=Yourdomain,DC=TLD
. [5]
Roles por bosque
Estos roles son únicos a nivel de bosque (ambos se encuentran en el dominio raíz del bosque):
- El maestro de esquema : el propósito de esta función es replicar los cambios de esquema en todos los demás controladores de dominio del bosque. Sin embargo, dado que el esquema de Active Directory rara vez se cambia, la función de maestro de esquema rara vez funcionará. Este rol generalmente está involucrado en la implementación de Exchange Server y Skype for Business Server, así como en los controladores de dominio de una versión a otra, ya que todas estas situaciones implican realizar cambios en el esquema de Active Directory.
- El maestro de nombres de dominio : el otro rol FSMO específico del bosque es el maestro de nombres de dominio, y este rol también reside en el dominio raíz del bosque. El rol de Maestro de nombres de dominio procesa todos los cambios en el espacio de nombres, por ejemplo, para agregar el dominio secundario vancouver.mycompany.com al dominio raíz del bosque mycompany.com requiere que este rol esté disponible. El hecho de que este rol no funcione correctamente puede evitar la adición de un nuevo dominio secundario o un nuevo árbol de dominios.
Mover roles FSMO entre controladores de dominio
De forma predeterminada, AD asigna todas las funciones de maestro de operaciones al primer controlador de dominio creado en un bosque. Para proporcionar tolerancia a errores, debe haber varios controladores de dominio disponibles dentro de cada dominio del bosque. Si se crean nuevos dominios en el bosque, el primer controlador de dominio de un nuevo dominio tiene todas las funciones FSMO de todo el dominio. Esta no es una posición satisfactoria si el dominio tiene una gran cantidad de controladores de dominio. Microsoft recomienda la división cuidadosa de las funciones de FSMO, con controladores de dominio en espera listos para asumir cada función. El emulador de PDC y el maestro RID deben estar en el mismo DC, si es posible. El maestro de esquema y el maestro de nombres de dominio también deben estar en el mismo controlador de dominio.
Cuando un rol de FSMO se transfiere a un DC diferente, el titular de FSMO original y el nuevo titular de FSMO se comunican para garantizar que no se pierdan datos durante la transferencia. Si el titular de la FSMO original experimentó una falla irrecuperable, se puede hacer que otro DC "se apodere" de los roles perdidos; sin embargo, existe el riesgo de pérdida de datos debido a la falta de comunicaciones. Asumir roles de un controlador de dominio en lugar de transferirlo evita que ese controlador de dominio aloje ese rol FSMO nuevamente, excepto para los roles de Operación Maestra de Infraestructura y Emulador de PDC. La corrupción puede ocurrir dentro de Active Directory. Los roles de FSMO se pueden mover fácilmente entre DC usando los complementos de AD a la MMC o usando ntdsutil
, que es una herramienta basada en la línea de comandos. [6]
Funciones de FSMO y catálogo global
Ciertos roles FSMO dependen de que el controlador de dominio sea también un servidor de catálogo global (GC) . Cuando se crea inicialmente un bosque, el primer controlador de dominio es un servidor de catálogo global de forma predeterminada. El catálogo global proporciona varias funciones. El GC almacena información de datos de objetos, gestiona consultas de estos objetos de datos y sus atributos, así como también proporciona datos para permitir el inicio de sesión en la red.
A menudo, todos los controladores de dominio son también servidores de catálogo global. Si este no es el caso, la función de maestro de infraestructura no debe estar alojada en un controlador de dominio que también alberga una copia del catálogo global en un bosque de varios dominios, ya que la combinación de estas dos funciones en el mismo host provocará ( y potencialmente dañino) comportamiento en un entorno multidominio. [7] [8] Sin embargo, el rol de maestro de nombres de dominio debe estar alojado en un DC que también es un GC.
Referencias
- ^ "Comprensión de las funciones de FSMO en Active Directory - Petri" . petri.co.il . 8 de enero de 2009 . Consultado el 22 de julio de 2016 .
- ^ "Roles FSMO de Windows 2000 Active Directory" . Corporación Microsoft. 2007-02-23.
Para evitar conflictos de actualizaciones en Windows 2000, Active Directory realiza actualizaciones de ciertos objetos de una manera de un solo maestro. [...] Dado que una función de Active Directory no está vinculada a un único controlador de dominio, se la denomina función de Operación de maestro único flexible (FSMO).
- ^ "Configuración del servicio de tiempo en DC con el rol FSMO del emulador de PDC - Artículos de TechNet - Estados Unidos (inglés) - Wiki de TechNet" . microsoft.com . Consultado el 22 de julio de 2016 .
- ^ "[MS-ADTS]: Función FSMO del emulador de PDC" . microsoft.com . Consultado el 22 de julio de 2016 .
- ^ "TechNet: ForestDNSZones y DomainDNSZones tienen un registro de función de infraestructura incorrecto" . Archivado desde el original el 12 de enero de 2018 . Consultado el 12 de enero de 2018 .
- ^ "Uso de Ntdsutil.exe para transferir o tomar roles FSMO a un controlador de dominio" . support.microsoft.com . Consultado el 18 de enero de 2017 .
- ^ "Fantasmas, lápidas y el maestro de infraestructura" . support.microsoft.com . Consultado el 18 de enero de 2017 .
- ^ "Colocación y optimización de FSMO en controladores de dominio de Active Directory" . support.microsoft.com . Consultado el 18 de enero de 2017 .
enlaces externos
- "6.1.5.3 Rol de FSMO maestro de RID" . [MS-ADTS]: Especificación técnica de Active Directory . Microsoft .
- "Cómo ver y transferir roles FSMO en Windows Server 2003" . Soporte . Microsoft. 11 de septiembre de 2011.
- Tulloch, Mitch (15 de marzo de 2005). "Cómo ver y transferir roles FSMO en Windows Server 2003" . WindowsNetworking.com . TechGenix.
- "Transferencia de roles FSMO en Windows Server 2008" . TechNetWiki . Microsoft .
- Arik, Ertugrul (23 de diciembre de 2014). "Cómo determinar el titular de la función fsmo (atributo fsmoRoleOwner)" . Codificación de Active Directory .