Descripción de roles FSMO.

El directorio activo es básicamente un sistema multi-master es decir que todos los controladores de dominio pueden escribir los cambios realizados y en caso de que se hayan realizado modificaciones distintas sobre un mismo objeto en dos o mas controladores la que permanece es la ultima que se haya realizado.

Esto ocurre a diferencia del modelo de dominio de NT 4 y 3.51 en el que había un único master (single-master) que era el PDC y por el que debían ser procesados todos los cambios. Sin embargo para ciertas tareas, por su naturaleza, se ha seguido utilizando este modelo en lo que llamamos roles de FSMO (Flexible Single Master Operation). Hay cinco roles distintos, tres que son necesarios a nivel de bosque, mientras que dos son necesarios en cada dominio.

  • Schema master – Maestro de esquema: lleva el control de las actualizaciones que se producen en el esquema del directorio (ldap), no es un servicio muy critico ya que principalmente nos será necesario cuando debamos hacer un adprep ya sea para instalar exchange o para introducir controladores de dominio de 2003 en un entorno Windows 2000. Debe haber uno por bosque.

  • Domain naming master – Maestro de nombres de dominio: Es el responsable de controlar si se añaden o eliminan dominios del bosque. Si tenemos un problema con un dcpromo al añadir un nuevo dominio o eliminarlo es uno de los primeros puntos que debemos revisar.
  • RID master – Maestro de identificadores relativos: hay uno por bosque y es el encargado de suministrar en lotes a los controladores de dominios identificadores relativos (RID), esto se produce cuando el controlador entra en funcionamiento y cuando se queda sin mas. Con el RID y el SID de cada dominio se crean identificadores únicos para cada objeto del dominio.
  • PDC emulator – Emulador de PDC: debe haber un emulador de PDC por dominio. Como parece obvio emulara el PDC si tenemos aun un entorno con BDC’s, si nuestro entorno es 2000/2003 entonces todavía tendrá importantes tareas como llevar la sincronización de la hora y centralizar cambios de passwords, bloqueos de usuarios e intentos fallidos de introducir la contraseña.
  • Infrastructure master – Maestro de infraestructura: Debe haber uno en cada dominio y su función consiste en actualizar la SID y Distinguised Name (DN) de un objeto cuando se hace una referencia entre objetos de diferentes dominios. Este tipo de referencias se hace mediante el GUID, el SID y el DN.

Podemos asignar todos los roles a un mismo controlador de dominio pero dependiendo de las necesidades de nuestro entorno probablemente esto no sea lo mas adecuado, también debemos intentar que estos roles esten en maquinas lo mas estables posible ya que algunos son vitales para un correcto funcionamiento del dominio. Además también hay que tener en cuenta que no debemos asignar el rol de maestro de infraestructura a un controlador de dominio que sea a la vez global catalog a menos que todos los controladores del dominio sean global catalog ya que no actualizaría la información de objetos que no tiene lo que ocurre porque el catalogo global contiene copias parciales de todos los objetos del bosque.

 
 Categorias:    

2 comments

  1. Muy interesante y útil la información, ahora mismo la estoy enlazando para uno de mis artículos sobre la transferencia de estos roles.

    Enhorabuena.

  2. […] Pero bien, si quieres más información: descripción de roles FSMO – julianrv.com […]

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>