3.9K
Operaciones maestras únicas flexibles (FSMO) es un tipo especial de operación realizada por los controladores de dominio de Active Directory que requiere que un servidor DC sea único en un dominio o bosque. Se pueden realizar varias funciones de FSMO en el mismo o en varios controladores de dominio. Un controlador de dominio con cualquier función FSMO se denomina DC maestro de operaciones.
Puede realizar la mayoría de las operaciones en Active Directory en cualquiera de los controladores de dominio. El servicio de replicación de AD sincroniza los cambios con otros controladores de dominio, lo que garantiza que la base de datos de AD sea idéntica en todos los controladores de dominio del dominio. La resolución de conflictos de AD funciona de la siguiente manera: si dos controladores de dominio intentan cambiar los atributos de un objeto de AD al mismo tiempo, el sistema de resolución automática de conflictos realiza un seguimiento de qué cambio se realizó en último lugar.
Sin embargo, hay varias acciones (como cambiar el esquema de AD) en las que no se permiten conflictos de actualización multimaestro. Evitar tales conflictos es la tarea principal de los controladores de dominio que desempeñan las funciones de FSMO. Por tanto, cada función de FSMO sólo puede ejecutarse en uno de los controladores de dominio. Y si es necesario, puedes transferir la función FSMO a otro controlador de dominio en cualquier momento.
¿Cuáles son las cinco funciones de FSMO en Active Directory?
Hay cinco roles FSMO: 2 roles únicos para el bosque de Active Directory y 3 para cada dominio.
- Maestro de esquema: responsable de realizar cambios en el esquema de Active Directory en los controladores de dominio disponibles. Sólo puede haber un propietario de función para todo el bosque de dominio.
- Maestro de nombres de dominio — responsable del nombre único de un dominio y de las particiones de la aplicación en el bosque. Se utiliza para agregar y eliminar dominios al bosque. Sólo puede haber uno para todo el bosque de dominio.
- Maestro de infraestructura: almacena información sobre los usuarios de otros dominios, que se agregan a los grupos de seguridad locales del dominio. Responsable de actualizar el SID de un objeto específico y actualizar el nombre completo de la referencia del objeto entre diferentes dominios. Puede haber uno para cada dominio del bosque.
- Administrador del grupo RID — responsable de asignar el ID relativo único (RID), necesario al crear nuevos objetos de dominio (cuentas de usuario y de computadora, grupos, contactos, etc.). Puede haber uno para cada dominio del bosque.
- Emulador de PDC (controlador de dominio principal): responsable de la compatibilidad con el dominio NT4 y los clientes anteriores a Windows 2000, para la sincronización horaria del dominio en el bosque, la creación de objetos de política de grupo (GPO) en AD, los cambios de contraseña de usuario y la gestión de eventos de bloqueo de usuarios de AD. cuando los usuarios ingresan contraseñas incorrectas. Si el propietario del emulador de PDC deja de estar disponible, esto tendrá el impacto más inmediato en las operaciones y usuarios normales.
Pista. Existe una sexta función de controlador de dominio FSMO no oficial en AD llamada Catálogo global.
Mejores prácticas recomendadas para la asignación de roles de FSMO
Cuando instala un nuevo dominio de Active Directory, todas las funciones de FSMO se colocan en un único servidor (en el primer controlador de dominio promocionado del dominio). Según la recomendación de Microsoft, la mejor práctica es dividir las funciones de FSMO entre los diferentes controladores de dominio.
Las funciones de FSMO de todo el bosque deben ubicarse en un DC y las funciones de todo el dominio en otro. Si solo tiene un controlador de dominio, se recomienda implementar un controlador de dominio adicional. Por lo tanto, en un dominio AD con una configuración mínima (2 DC), debe colocar el rol FSMO de la siguiente manera:
Coloque las siguientes funciones de dominio en un DC1:
- Maestro RID;
- Maestro de Infraestructura;
- Emulador PDC.
Coloque los roles del bosque en un DC2:
- Maestro de esquemas;
- Maestro de Dominio.
Considere otras prácticas recomendadas para colocar roles de maestro de operaciones en un dominio:
- En entornos de múltiples dominios, coloque ambas funciones para todo el bosque en el PDC del dominio raíz del bosque, que también es un servidor de catálogo global;
- Coloque todos los roles de todo el dominio en un servidor con rendimiento suficiente;
- Ejecute las funciones de PDC Emulator y RID master en el mismo DC;
- Si todos los DC del dominio tienen la función de Catálogo global (hoy esta es la configuración recomendada por Microsoft), puede colocar la función de Maestro de infraestructura en cualquier controlador de dominio. De lo contrario, mueva la función de Maestro de infraestructura a un controlador de dominio que no tenga habilitada la función de Catálogo global;
- No mueva los roles de FSMO a través del dominio con demasiada frecuencia. Es una mala idea obligar a los clientes de dominio a redescubrir el PDC periódicamente;
- Si utiliza controladores de dominio virtualizados, deshabilite la sincronización horaria de las máquinas virtuales con roles FSMO con el hipervisor del host;
- No utilice los controladores de dominio para ninguna tarea que no sea ADDS, su monitoreo y respaldo de Active Directory;
- Coloque la función de controlador de dominio principal (PDC) en su mejor hardware en un sitio central confiable.
Pista. Si su dominio tiene habilitada la Papelera de reciclaje de AD, cada DC es responsable de actualizar sus referencias de objetos entre dominios. En este caso, la función FSMO de infraestructura en realidad no es necesaria y no importa dónde la coloque.
Ejecute el siguiente comando para obtener los propietarios actuales de los roles FSMO:
netdom query fsmo
En este caso, las funciones de FSMO se dividen entre los dos DC.
También puede encontrar propietarios de roles FSMO mediante cmdlets de PowerShell. Para obtener el propietario de FSMO de todo el dominio, ejecute:
Get-ADDomain | Select-Object -Property RIDMaster, PDCEmulator, InfrastructureMaster | fl
Para funciones en todo el bosque, utilice:
Get-ADForest | Select-Object -Property SchemaMaster, DomainNamingMaster
O utilice el resumen de PowerShell para enumerar todos los propietarios de FSMO:
Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object {$_.OperationMasterRoles}
¿Qué sucede si falla el propietario de la función FSMO?
Los roles a nivel de todo el bosque son los menos críticos para el funcionamiento de DA. ¿Qué sucede si deja la función FSMO fuera de línea durante un período prolongado?
- Maestro de esquemas — no se puede cambiar el esquema de AD. Sin embargo, este procedimiento no se realiza con frecuencia (una o dos veces en varios años) al agregar controladores con una nueva versión de Windows Server al dominio o al instalar algunos productos de servidor (Exchange, Lync / S4B). En la práctica, es posible que no notes el maestro de esquema que falta durante años.
- Maestro de dominio — es imposible agregar o eliminar un dominio (subdominio). Tampoco es una tarea frecuente.
Las funciones de todo el dominio existen en todos los dominios y son más importantes para el funcionamiento general de AD.
- Maestro de Infraestructura — si hay varios dominios en los DC que no alojan catálogos globales, es posible que se interrumpa la membresía en grupos de dominios locales;
- Maestro de eliminación — después de un tiempo será imposible crear un nuevo objeto en AD. El tiempo depende del número restante de SID disponibles, que se emiten en bloques de 500 RID. Si su AD tiene una pequeña cantidad de objetos y no agrega nuevos todos los días, la ausencia del maestro RID pasará desapercibida durante mucho tiempo.
- Emulador PDC – el papel más crítico de la FSMO. Si no está disponible, la sincronización horaria del dominio se detendrá y algunas políticas de bloqueo de contraseña no funcionarán.
Tenga en cuenta que no existe ninguna función FSMO cuyo fallo resulte en una pérdida significativa de la funcionalidad de Active Directory. Incluso si todos los titulares de funciones de FSMO fallan, la infraestructura del dominio puede funcionar normalmente en unos pocos días, semanas o incluso meses. Por lo tanto, si va a mantener un DC con uno o todos los roles de FSMO, no es necesario trasladar roles al otro DC.
En la siguiente tabla, enumeramos varios síntomas que pueden ayudarlo a comprender cuándo algunos titulares de funciones de FSMO están desconectados o no funcionan correctamente:
Síntoma | Posibles roles de FSMO involucrados | Causa |
No se pueden realizar cambios en el esquema de AD (por ejemplo, agregar un atributo de AD personalizado) | Maestro de esquemas | |
No se puede aumentar o disminuir el nivel funcional del bosque | Maestro de esquemas | |
No se pueden promover ni degradar controladores de dominio | Maestro de nombres de dominio | |
No puedo agregar/eliminar un nuevo dominio | Maestro de nombres de dominio | |
Problemas de membresía de grupo universal | Maestro de Infraestructura | Las referencias a objetos entre dominios no funcionarán sin el propietario del maestro de infraestructura |
No se pueden crear nuevos usuarios/grupos, unir computadoras al dominio | Maestro RID | El grupo RID está agotado |
No se puede subir o bajar el nivel funcional del dominio | Emulador PDC | |
La cuenta de usuario no está bloqueada por las políticas de seguridad del dominio. | Emulador PDC | |
Los usuarios del dominio no pueden cambiar sus contraseñas | Emulador PDC | |
Los usuarios no pueden iniciar sesión en su computadora. | Emulador PDC | La hora del dominio no está sincronizada y la autenticación Kerberos falla |
El fallo de un DC con funciones FSMO no provoca un mal funcionamiento de un dominio. Sin embargo, hace que sea imposible realizar muchas operaciones y, de hecho, cambia el dominio al modo de «solo lectura». En caso de falla de un controlador de dominio con las funciones FSMO, puede utilizar el procedimiento para tomar funciones FSMO desde un DC fallido.
Nota. Si necesita trasladar la función de FSMO a un DC diferente y el titular de la función actual está en línea, debe transferir (no asumir) la función al nuevo DC. Los roles de FSMO solo deben asumirse cuando el titular del rol actual no está disponible. Después de asumir el rol de FSMO, el host titular anterior nunca debe volver a conectarse a su red, ya que esto puede dañar su AD.
¿Cómo comprobar el estado de las funciones de FSMO en el bosque de Active Directory?
Puede utilizar la herramienta dcdiag para comprobar rápidamente el estado de los titulares de funciones FSMO en Active Directory. Ejecute el siguiente comando utilizando las credenciales de administrador empresarial:
dcdiag.exe /Test:FSMOCheck
O puede verificar solo el propietario de FSMO específico en el dominio:
Dcdiag.exe /TEST:RidManager /v
Starting test: RidManager * Available RID Pool for the Domain is 1600 to 1073741823 * dc02.theitbros.com is the RID Master * DsBind with RID Master was successful * rIDAllocationPool is 1100 to 1599 * rIDPreviousAllocationPool is 1100 to 1599 * rIDNextRID: 1130 ......................... DC02 passed test RidManager
De vez en cuando, compruebe si todos los roles de FSMO están disponibles o escriba un script para hacerlo automáticamente utilizando el Programador de tareas.
Herramientas de administración para gestionar roles de FSMO
Para administrar y transferir roles FSMO en el dominio de Active Directory, puede utilizar la herramienta de línea de comandos ntdsutil.exe o los complementos MMC de la interfaz gráfica de usuario:
- Dominios y confianzas de Active Directory — función del Maestro de nombres de dominio;
- Usuarios y computadoras de Active Directory — Funciones de maestro de ID relativo, maestro de infraestructura y emulador de controlador de dominio primario;
- Esquema de Directorio Activo — Función de maestro de esquemas.
Además, puedes mover los roles de FSMO con PowerShell:
Move-ADDirectoryServerOperationMasterRole -Identity "dc02" –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster
Puede mover todos los roles de FSMO o solo algunos. En este ejemplo, las 5 funciones FSMO se transfieren del propietario actual (dondequiera que esté) al host dc02.
Eso es todo. Esperemos que esto haya ayudado a aclarar un poco la situación con el papel de FSMO. En artículos futuros, analizaremos más de cerca cada una de las funciones de FSMO y sus características.