Roles de Maestro de Operaciones (Operaciones de Maestro Único Flexible – FSMO)
Los roles maestros de operaciones (también conocidos como operaciones maestras únicas flexibles o FSMO) son roles especiales asignados a uno o más controladores de dominio en un dominio de Active Directory.
Active Directory admite la replicación de varios maestros del almacén de datos de directorio entre todos los controladores de dominio del dominio. Por lo tanto, todos los controladores de dominio de un dominio se consideran esencialmente pares. Sin embargo, los conflictos de replicación ocurren durante la replicación de Active Directory. Algunas operaciones que se realizan en un Active Directory de Windows Server 2003 podrían ser perjudiciales si se produjeran conflictos. En el caso de estas operaciones, Windows 2003 vuelve a utilizar un modelo maestro único. Esto significa que un único Controlador de dominio en la red asume la responsabilidad de realizar una tarea específica y estos Controladores de dominio se denominan Maestros de Operaciones.
Hay cinco roles Operation Master, dos de ellos a nivel de bosque y tres a nivel de dominio. La siguiente tabla enumera los roles de Maestro de Operaciones y su ámbito.
|
Maestro de Operaciones |
Alcance |
|
Maestro de Esquema |
Bosque de ancho |
|
Maestro de nombres de Dominio |
Bosque de ancho |
|
Controlador de Dominio Principal (PDC) Emulador |
en todo el Dominio |
|
Identificador Relativo (RID) Maestro |
en todo el Dominio |
|
Maestro de Infraestructura |
en todo el Dominio |
Maestro de esquema
El esquema de Active Directory define lo que puede existir dentro del directorio. Administrar el proceso de actualización con nuevos objetos y atributos debe ser un proceso monitoreado de cerca. Solo hay una copia de lectura/escritura del esquema en la red de Windows Server 2003, almacenada en el maestro de esquema.
El controlador de dominio asignado al rol maestro de esquema controla todas las actualizaciones y modificaciones del esquema. Para actualizar el esquema de un bosque, debe tener acceso al maestro de esquemas.
Solo hay un Maestro de esquema en todo el bosque en cualquier momento.
Maestro de nombres de dominio
Todos los objetos de AD deben ser únicos. No podemos crear dos objetos en un contenedor con el mismo nombre, y los nombres distinguidos de todos los objetos deben ser únicos. Domain Naming Master garantiza que los nuevos dominios agregados a su bosque de Windows Server 2003 tengan nombres únicos.
Solo hay un único Maestro de nombres de dominio en todo el bosque en cualquier momento.
Emulador de PDC (Controlador de dominio principal)
El emulador de PDC presta servicios a clientes de red que no tienen software de cliente de Active Directory instalado y replica los cambios de directorio en cualquier controlador de dominio de copia de seguridad (BDC) de Microsoft Windows NT en el dominio.
Incluso el dominio funciona a nivel funcional de Windows 2003, se requiere el emulador PDC para realizar ciertas tareas.
El emulador de PDC recibe replicación preferencial de los cambios de contraseña realizados por otros controladores de dominio en el dominio.
Si se ha cambiado recientemente una contraseña, el cambio tarda en replicarse en todos los controladores de dominio del dominio. Si falla una autenticación de inicio de sesión en otro controlador de dominio debido a una contraseña incorrecta, ese controlador de dominio reenvía la solicitud de autenticación al emulador PDC antes de rechazar el intento de inicio de sesión.
Solo hay un emulador de PDC por dominio.
Maestro de ID relativo (RID)
Una entidad de seguridad es un objeto de Active Directory al que se pueden asignar permisos dentro de una red de Windows Server 2003. Ejemplos de objetos Principales de seguridad son usuarios, grupos y equipos. A cada Entidad de seguridad se le asigna un Identificador de seguridad (SID) para que pueda identificarse.
Un Identificador de seguridad (SID) se compone de dos componentes. El primer componente, el SID de dominio, es común a todas las entidades de seguridad de un dominio. La singularidad en SID proviene de la adición de un segundo número, el Identificador Relativo (RID). El RID se asigna a partir de un grupo de RID almacenados en cada Controlador de dominio. Los RID de este grupo son asignados a cada Controlador de dominio por el Maestro RID.
El formato de SID sigue este patrón: S-R-IA-SA-SA-RID.
* S representa un identificador SID.
* R representa la Revisión. Todos los SID generados por Windows utilizan un nivel de revisión de 1.
•IA representa la autoridad emisora.
•SA representa una subautoridad, y
* RID es el ID relativo
Un SID de usuario típico se ve así: S-1-5-21-1683771067-1221355100-624655392-1001.
Los RID se asignan a cada DC en bloques de 500 RID. Cuando el bloque de RID se agota, el DC solicita otro bloque al Maestro RID. Para garantizar la singularidad, el Maestro RID realiza un seguimiento de los bloques RID asignados.
Si el grupo de RID en un DC se agota y el Maestro de RID no está disponible, no podrá crear entidades de seguridad (por ejemplo, un usuario) en ese servidor.
Solo hay un único Maestro RID por dominio.
Leave a Reply