¿qué son los Roles FSMO en Active Directory?

Active Directory permite que las creaciones, actualizaciones y eliminaciones de objetos se confirmen en cualquier controlador de dominio autorizado. Esto es posible porque cada controlador de dominio de Active Directory mantiene una copia de escritura de la partición de su propio dominio, excepto, por supuesto, los controladores de dominio de solo lectura. Después de confirmar un cambio, se replica automáticamente a otros controladores de dominio a través de un proceso llamado replicación multi-maestro., Este comportamiento permite que la mayoría de las operaciones sean procesadas de forma fiable por varios controladores de dominio y proporciona altos niveles de redundancia, disponibilidad y accesibilidad dentro de Active Directory.

se aplica una excepción a este comportamiento a ciertas operaciones de Active Directory que son lo suficientemente sensibles como para que su ejecución esté restringida a un controlador de dominio específico. Active Directory aborda estas situaciones a través de un conjunto especial de roles., Microsoft ha comenzado a referirse a estos roles como los roles de Operation Masters, pero son más comúnmente referidos por su nombre original, roles de operador Flexible de un solo maestro («FSMO»).

¿qué son los Roles FSMO?

Active Directory tiene cinco roles FSMO (generalmente pronunciados «Fizz-mo»), dos de los cuales son de nivel empresarial (es decir, uno por bosque) y tres de los cuales son de nivel de dominio (es decir, uno por dominio). Los roles FSMO de nivel empresarial se denominan maestro de esquema y maestro de nombres de dominio., Los roles FSMO a nivel de dominio se denominan emulador de controlador de dominio principal, maestro de identificador relativo y maestro de infraestructura.

los siguientes comandos se pueden utilizar para identificar a los propietarios de roles FSMO. Símbolo del sistema:

netdom query fsmo /domain:<DomainName>

PowerShell:

en un nuevo bosque de Active Directory, los cinco roles de FSMO se asignan al controlador de dominio inicial en el dominio raíz del bosque recién creado.,

cuando se agrega un nuevo dominio a un bosque existente, solo los tres roles FSMO de nivel de dominio se asignan al controlador de dominio inicial en el dominio recién creado; los dos roles FSMO de nivel empresarial ya existen en el dominio raíz del bosque.

los roles FSMO a menudo permanecen asignados a sus controladores de dominio originales, pero se pueden transferir si es necesario.,

los 5 Roles FSMO de Active Directory

maestro de esquema

El Maestro de esquema es un rol es solo un maestro de esquema en un bosque de Active Directory.

el propietario del rol maestro de esquema es el único controlador de dominio en un bosque de Active Directory que contiene una partición de esquema de escritura. Como resultado, el controlador de dominio que posee el rol maestro de esquema FSMO debe estar disponible para modificar el esquema de su bosque., Esto incluye actividades como elevar el nivel funcional del bosque y actualizar el sistema operativo de adomain controller a una versión superior a la que existe actualmente en el bosque,cualquiera de las cuales introducirá actualizaciones al esquema de Active Directory.

el rol maestro de esquema tiene poca sobrecarga y se puede esperar que su pérdida resulte en poco o ningún impacto operativo inmediato; los cambios en el esquema no son necesarios, puede permanecer fuera de línea indefinidamente sin efecto nototiceable., El rol maestro de esquema solo debe ser tomado cuando el controlador domaincontroller que posee el rol no puede volver a estar en línea. Volver a poner en línea al propietario de la función principal de Chema después de que se le haya arrebatado la función puede introducir graves problemas de inconsistencia e integridad de los datos en el bosque.

Domain Naming Master

El domain Naming Master es un rol de nivel empresarial; solo hay un Domain Naming Master en un bosque de Active Directory.,

el propietario del rol maestro de nombres de dominio es el único controlador de dominio en un bosque de Active Directory que es capaz de agregar nuevos dominios y particiones de aplicación al bosque. Su disponibilidad también es necesaria para eliminar dominios existentes y particiones de aplicaciones del bosque.

el rol maestro de nombres de dominio tiene poca sobrecarga y se puede esperar que su pérdida resulte en poco o ningún impacto operativo, ya que la adición y eliminación de dominios y particiones se realizan con poca frecuencia y rara vez son operaciones críticas en el tiempo., En consecuencia, el rol maestro de nombres de dominio solo debería ser confiscado cuando el controlador de dominio que posee el rol no pueda volver a estar en línea.

RID Master

El identificador relativo Master («RID Master») es un rol a nivel de dominio; hay un RID Master en cada dominio en un bosque de ActiveDirectory.

el propietario del rol maestro RID es responsable de asignar grupos de identificadores relativos activos y en espera («rid») A controladores de dominio en itsdomain. Las piscinas RID consisten en una gama única y contigua de rid., Estos RID se utilizan durante la creación del objeto para generar el identificador de seguridad único(«SID») del nuevo objeto. El maestro RID también es responsable de mover objetos de un dominio a otro dentro de un bosque.

en dominios maduros, la sobrecarga generada por el maestro RID es insignificante. Como el PDC en un dominio normalmente recibe la mayor atención de los administradores, dejar este rol asignado al PDC del dominio ayuda a garantizar una disponibilidad confiable., También es importante asegurarse de que los controladores de dominio existentes y los controladores de dominio recientemente promocionados, especialmente los promocionados en sitios remotos o de prueba, tengan conectividad de red con el maestro RID y puedan obtener grupos RID activos y en espera.

la pérdida del maestro RID de un dominio eventualmente dará lugar a una incapacidad para crear nuevos objetos dentro del dominio a medida que se agoten los grupos RID de los controladores de dominio restantes., Mientras que la indisponibilidad del controlador de dominio que posee el rol maestro RID puede parecer como si causara una disrupción operativa significativa, el volumen relativamente bajo de eventos de creación de objetos en un entorno maduro tiende a resultar en que el impacto de tal evento sea tolerable durante un período de tiempo considerable. Volver a poner un RIDMaster en línea después de haber asumido su papel puede potencialmente introducir a los RIDs duplicados en el dominio. En consecuencia, este rol solo debe ser confiscado de un controlador de dominio si el controlador de dominio que posee el rol no puede volver a estar en línea.,

maestro de infraestructura

El Maestro de infraestructura es un rol a nivel de dominio; hay un maestro de infraestructura en cada dominio en un bosque de Active Directory.

el propietario del rol maestro de infraestructura es el controlador de dominio en cada dominio que es responsable de administrar los objetos phantom.Los objetos Phantom se utilizan para rastrear y administrar referencias persistentes a objetos eliminados y atributos con valor de enlace que se refieren a objetos en otro dominio dentro del bosque (por ejemplo, un grupo de seguridad de dominio local con un usuario miembro de otro dominio).,

El Maestro de infraestructura se puede colocar en cualquier domaincontroller de un dominio a menos que el bosque de Active Directory incluya DomainController que no sean hosts de catálogo global. En ese caso, InfrastructureMaster debe colocarse en un controlador de dominio que no sea un host de catálogo global.

la pérdida del controlador de dominio que posee el rol InfrastructureMaster solo es probable que sea notoria para los administradores y puede ser tolerada durante un período prolongado., Si bien su ausencia dará lugar a que los nombres de los enlaces de objetos entre dominios no se resuelvan correctamente, la capacidad de utilizar membresías de grupos entre dominios no se verá afectada.

emulador de PDC

el emulador de controlador de dominio principal («emulador de PDC» o»PDCE») es un rol a nivel de dominio; hay un PDCE en cada dominio en un bosque de ActiveDirectory.

el propietario del rol PDCE es responsable de varias operaciones cruciales:

• compatibilidad con versiones anteriores. El PDCE imita el comportamiento de un solo maestro de un controlador de dominio primario de Windows NT., Para resolver los problemas de compatibilidad con versiones anteriores, el PDCE se registra como controlador de dominio de destino para las aplicaciones heredadas que realizan operaciones de escritura y ciertas herramientas administrativas que desconocen el comportamiento de varios maestros de los controladores de dominio de Active Directory.
• sincronización de tiempo. Cada PDCE sirve como la fuente de tiempo maestra dentro de su dominio. El PDCE en el dominio raíz del bosque sirve como el servidor de protocolo de tiempo de red preferido («NTP») en el bosque., El PDCE en todos los demás dominios dentro del bosque sincroniza su reloj con el PDCE raíz del bosque, los controladores de dominio no PDCE sincronizan sus relojes con el PDCE de su dominio, y los hosts Unidos al dominio sincronizan sus relojes con su controlador de dominio preferido.nota: el protocolo de autenticación Kerberos incluye información de marca de tiempo y es un ejemplo de la importancia de la sincronización de tiempo dentro de un bosque de Active Directory., La autenticación Kerberos fallará si la diferencia entre el reloj de un host solicitante y el reloj del controlador de dominio de autenticación supera los 5 minutos (esta tolerancia es configurable, pero la recomendación de mejores prácticas de Microsoft es mantener el valor predeterminado de 5 minutos en la tolerancia máxima para la configuración de sincronización de reloj del equipo). Este comportamiento está destinado a contrarrestar ciertas actividades maliciosas, como «ataques de repetición».
• procesamiento de actualización de contraseña., Cuando un controlador de dominio que no es PDCE cambia o restablece las contraseñas del equipo y del usuario, la actualización confirmada se replica inmediatamente en el PDCE del dominio. Si una cuenta intenta autenticarse con un controlador de dominio que aún no ha recibido un cambio de contraseña reciente a través de la replicación programada, la solicitud se pasa al PDCE del dominio. El PDCE intentará procesar la solicitud de autenticación e indicará al controlador de dominio solicitante que acepte o rechace la solicitud de autenticación., Este comportamiento garantiza que las contraseñas se puedan procesar de forma fiable incluso si los cambios recientes no se han propagado por completo a través de la replicación programada. El PDCE también es responsable de procesar los bloqueos de cuentas, ya que todas las autenticaciones de contraseñas fallidas se pasan al PDCE.
• actualizaciones de directivas de grupo. Todas las actualizaciones de objetos de directiva de grupo («GPO») se confirman en el PDCE del dominio. Esto evita la posibilidad de conflictos de versiones que podrían ocurrir si se modificara un GPO en dos controladores de dominio aproximadamente al mismo tiempo.
• Sistema de Archivos Distribuido., De forma predeterminada, los servidores raíz del sistema de archivos distribuido («DFS») solicitarán periódicamente información actualizada del espacio de nombres DFS del PDCE. Mientras que este comportamiento puede conducir a la botella de recursos-necking, lo que permite el Dfsutil.el parámetro de escalabilidad raíz exe permitirá a los servidores raíz DFS solicitar actualizaciones desde el controlador de dominio más cercano(consulte https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) para más información).

como consecuencia de sus responsabilidades, el PDCE debe ubicarse en un controlador domaincontroller altamente accesible, bien conectado y de alto rendimiento., Además, el emulador de PDC del dominio raíz del bosque debe configurarse con una fuente de tiempo externa confiable.

mientras que la pérdida del controlador de dominio que posee el rol de Pdcemulador puede esperarse que tenga un impacto inmediato y significativo en las operaciones, la naturaleza de sus responsabilidades da como resultado que la incautación del rol de pdcce tenga menos implicaciones para el dominio que la incautación de otros roles. La incautación del rol PDCE se considera una mejor práctica recomendada en el caso de que un controlador de dominio que posee el rol PDCE no esté disponible como resultado de una interrupción no programada.,

transferir Roles FSMO

como se mencionó anteriormente en este post, los roles FSMO son necesarios para realizar ciertas operaciones importantes y no son redundantes. Como resultado, puede ser deseable o necesario mover roles FSMO de un controlador de dominio a otro.

un método para transferir roles FSMO es degradar el controlador de dominio que posee los roles. Cuando un controlador de dominio es degradado, intentará transferir cualquier rol FSMO que posea a los controladores de dominio adecuados en el mismo sitio., Los roles de nivel de dominio solo se pueden transferir a los controladores de dominio del mismo dominio, pero los roles de nivel empresarial se pueden transferir a cualquier controlador de dominio adecuado en el bosque. Si bien hay reglas que revelan cómo el controlador de dominio que se está degradando decidirá dónde transferir sus roles FSMO, no hay forma de controlar directamente dónde se transferirán sus roles FSMO.

el método ideal para mover un rol FSMO es transferirlo activamente utilizando la consola de administración, PowerShell o ntdsutil.exe., Durante una transferencia anual, el controlador de dominio de origen se sincronizará con el controlador de dominio de destino antes de transferir el rol.

la cuenta que realiza un rol maestro de esquema debe ser miembro del grupo Administradores de esquema y administradores de empresa. La pertenencia al grupo Administradores de empresa es necesaria para transferir el rol maestro de nombres de dominio. Los roles PDCE, RID Master y Infrastructure Master se pueden transferir mediante una cuenta que sea miembro del grupo Administradores de dominio del dominio al que se transfieren los roles.,

consola de administración

la transferencia de roles FSMO mediante la consola de administración puede requerir el uso de hasta tres módulos de complemento diferentes.

transferencia del rol maestro de esquema

el rol maestro de esquema se puede transferir mediante el complemento ActiveDirectory Schema Management.

si no se encuentra entre los complementos de Consola de administración disponibles, deberá registrarse. Para registrar la consola de administración de esquemas de Active Directory, abra un símbolo del sistema con privilegios elevados, escriba regsvr32 schmmgmt.,dll y pulse Intro:

Una vez registrada la DLL, ejecute la consola de administración como usuario miembro del grupo Administradores de esquemas y agregue el complemento esquema de Active Directory a la consola de administración:

haga clic con el botón derecho en el nodo de esquema de Active Directory y seleccione «Cambiar controlador de dominio de Active Directory».,div id=»51e1a53e4d»>

Haga clic con el botón derecho en el nodo de esquema de Active Directory nuevamente y seleccione «Operations Master»:

haga clic en el botón «Cambiar» para comenzar la transferencia del rol maestro de esquema al controlador de dominio de destino:

transferir el rol maestro de nombres de dominio

el rol se puede transferir mediante el complemento consola de administración de dominios y confianzas de Active Directory.,

ejecute la consola de administración como usuario miembro del grupo Administradores de empresa y agregue el complemento dominios y confianzas de Active Directory a la consola de administración:

Haga clic con el botón secundario en el nodo dominios y confianzas de Active Directory y seleccione «Cambiar controlador de dominio de Active Directory»., de nuevo y seleccione «Operations Master»:

Haga clic en el botón «Cambiar» para comenzar la transferencia del rol maestro de nombres de dominio al controlador de dominio de destino:

transferir los roles de maestro RID, maestro de infraestructura o emulador de PDC

los roles de maestro RID, maestro de infraestructura y emulador de PDC se pueden transferir adentro.,

ejecute la consola de administración como un usuario miembro del grupo Administradores de dominio en el dominio al que se transfieren los roles de FSMO y agregue el complemento Usuarios y equipos de Active Directory a la consola de administración:

Haga clic con el botón secundario en el nodo de dominio o en el nodo Usuarios y equipos de Active Directory y seleccione «Cambiar controlador de dominio de Active Directory».,v id=»0c7ce01ed8″>

Haga clic con el botón derecho en el nodo Usuarios y equipos de Active Directory y haga clic en «Operations Masters»:

seleccione la pestaña apropiada y haga clic en el botón «Cambiar» para comenzar la transferencia del rol FSMO al controlador de dominio de destino:

PowerShell

el cmdlet Move-addirectoryserveroperationmasterrole de PowerShell se puede usar para transferir roles FSMO., Los roles que se transfieren se especifican usando el parámetro-OperationMasterRole:

Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster

ntdsutil.exe

ndtsutil.exe es una herramienta ligera de línea de comandos que puede realizar una serie de funciones útiles, incluida la transferencia de roles FSMO.

los roles FSMO se pueden transferir mediante los siguientes pasos:

1. abrir un símbolo del sistema con privilegios elevados.
2. escriba ntdsutil y pulse Intro. Se abrirá una nueva ventana.
3. En el indicador ntdsutil, escriba roles y presione ENTRAR.
4. En el indicador de mantenimiento de fsmo, escriba conexiones y presione ENTRAR.,
5. En el símbolo del servidor de conexiones, escriba connect to server <DC> (reemplazando <DC> con el nombre de host del controlador de dominio que se están transfiriendo los roles FSMO to) y pulse Intro. Esto vinculará ntdsutil al controlador de dominio de destino.
6. escriba quit y pulse Intro.
7. En el símbolo del sistema de mantenimiento de fsmo, introduzca los comandos apropiados para cada rol de FSMO que se transfiere:
   • para transferir el rol de maestro de esquema de FSMO, escriba transfer schema master y pulse Intro.,
   • para transferir el rol maestro de nombres de dominio FSMO, escriba transfer naming master y presione Intro.
   • para transferir el rol RID Master FSMO, escriba transfer RID master y pulse Intro.
   • para transferir el rol maestro de infraestructura FSMO, escriba transfer infrastructure master y presione Intro.
   • para transferir el rol FSMO del emulador PDC, escriba transfer pdc y presione Enter.
8. para salir de la solicitud de mantenimiento de fsmo, escriba quit y presione Intro.
9. Para salir del indicador ntdsutil, escriba quit y presione Intro.,

tomar Roles FSMO

transferir roles FSMO requiere que tanto el controlador de dominio de origen como los controladores de dominio de destino estén en línea y sean funcionales. Si un controlador de dominio que posee uno o más roles FSMO se pierde o no estará disponible durante un período significativo, sus roles FSMO pueden ser «confiscados» a otro controlador de dominio.

en la mayoría de los casos, los roles FSMO solo deben ser aprovechados si el propietario original del rol FSMO no puede ser devuelto al entorno., La reintroducción de un propietario de rol FSMO después de la toma de sus roles puede causar daños significativos al dominio o al bosque. Esto es especialmente cierto para los roles SchemaMaster y RID Master.

el cmdlet Move-ADDirectoryServerOperationMasterrole permite el uso del parámetro a-Force que se puede utilizar para aprovechar roles FSMO. El uso del parámetro-Force dirigirá al cmdlet a intentar una transferencia de roles FSMO y luego a aprovechar los roles si el intento de transferencia falla.

las siguientes instrucciones se pueden utilizar para aprovechar los roles FSMO con el ntdsutil.,utilidad exe:

1. abra un símbolo del sistema con privilegios elevados.
2. escriba ntdsutil y pulse Intro. Se abrirá una nueva ventana.
3. En el indicador ntdsutil, escriba roles y presione ENTRAR.
4. En el indicador de mantenimiento de fsmo, escriba conexiones y presione ENTRAR.
5. En el símbolo del servidor de conexiones, escriba connect to server <DC> (reemplazando <DC> con el nombre de host del controlador de dominio que se están incautando los roles FSMO to) y pulse Intro., Esto vinculará ntdsutil al controlador de dominio de destino.
6. escriba quit y pulse Intro.
7. En el símbolo del sistema de mantenimiento de fsmo, introduzca los comandos apropiados para cada rol de FSMO que se transfiere:
   • para transferir el rol de maestro de esquema FSMO, escriba seize schema master y presione Intro.
   • para transferir el rol maestro de nombres de dominio FSMO, escriba seize naming master y presione Intro.
   • para transferir el rol RID Master FSMO, escriba seize RID master y presione Intro.
   • para transferir el rol maestro de infraestructura FSMO, escriba aprovechar maestro de infraestructura y presione ENTRAR.,
   • para transferir el rol FSMO del emulador PDC, escriba seize pdc y presione Enter.
8. para salir de la solicitud de mantenimiento de fsmo, escriba quit y presione Intro.
9. Para salir del indicador ntdsutil, escriba quit y presione Intro.

resumen

Como cada rol solo existe una vez en un bosque o dominio, es importante comprender no solo la ubicación de cada propietario de rol FSMO y las responsabilidades de cada rol FSMO, sino también el impacto operativo introducido por la falta de disponibilidad de un controlador de dominio propietario de rol FSMO., Dicha información es valiosa en situaciones en las que un controlador de dominio no está disponible, ya sea debido a eventos imprevistos o al programar y realizar actualizaciones y mantenimiento planificados.