Funciones FSMO de Active Directory en Windows

  • Artículo

Este artículo le ayuda principalmente a obtener información sobre las funciones de Flexible Single Master Operation (FSMO) en Active Directory.

Se aplica a: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Número KB original: 197132

Resumen

Active Directory es el repositorio central en el que se almacenan todos los objetos de una empresa y sus atributos respectivos. Es una base de datos jerárquica y multimaestro que puede almacenar millones de objetos. Los cambios en la base de datos se pueden procesar en cualquier controlador de dominio (DC) de la empresa, independientemente de si el controlador de dominio está conectado o desconectado de la red.

Modelo multimaestro

Una base de datos multimaestro, como Active Directory, proporciona la flexibilidad de permitir que se produzcan cambios en cualquier controlador de dominio de la empresa. Pero también presenta la posibilidad de conflictos que pueden dar lugar a problemas una vez que los datos se repliquen en el resto de la empresa. Una manera de la que Windows se encarga de las actualizaciones en conflicto es teniendo un algoritmo de resolución de conflictos que controle las discrepancias en los valores. Se hace acudiendo al controlador de dominio en el que se escribieron los cambios en último lugar, esto se llama victoria del último escritor. Los cambios en el resto de controladores de dominio se descartan. Aunque este método puede ser aceptable en algunos casos, hay ocasiones en las que los conflictos son demasiado difíciles de resolver mediante el enfoque victoria del último escritor. En tales casos, es mejor evitar que se produzca el conflicto en lugar de intentar resolverlo después.

Para ciertos tipos de cambios, Windows incorpora métodos para evitar que se produzcan actualizaciones de Active Directory en conflicto.

Modelo de maestro único

Para evitar que en Windows se produzcan actualizaciones conflictivas, Active Directory realiza las actualizaciones de ciertos objetos en un modo de maestro único. En el modelo de maestro único, solo uno de los DC del directorio tiene permiso para procesar las actualizaciones. Es similar al rol dado de controlador de dominio principal (PDC) en versiones anteriores de Windows, como Microsoft Windows NT 3.51 y 4.0. En versiones anteriores de Windows, el PDC es responsable de procesar todas las actualizaciones de un dominio determinado.

Active Directory extiende el modelo de maestro único de versiones anteriores de Windows para incluir varias funciones y la capacidad de transferir funciones a cualquier controlador de dominio de la empresa. Dado que los roles de Active Directory no están enlazados a un único controlador de dominio, se conocen como roles FSMO. Actualmente, en Windows hay cinco funciones FSMO:

  • Maestro de esquema
  • Maestro de nombres de dominio
  • Maestro RID
  • Emulador de PDC
  • Maestro de infraestructura

Por lo general, la propiedad de la función FSMO solo se ejecuta cuando el controlador de dominio ha replicado el contexto de nomenclatura (NC) donde se almacena la propiedad desde que se inició el servicio de directorio. Asegúrese de que una asunción de la función FSMO llegue al propietario anterior antes de que se use el rol.

Función FSMO de maestro de esquema

El titular ddel rol FSMO del maestro de esquema es el controlador de dominio responsable de realizar actualizaciones en el esquema de directorio; es decir, el contexto de nomenclatura del esquema o LDAP://cn=schema,cn=configuration,dc=<domain>. Este controlador de dominio es el único que puede procesar las actualizaciones del esquema de directorio. Una vez completada la actualización de esquema, se replica desde el maestro de esquema a todos los demás controladores de dominio del directorio. Solo hay un maestro de esquema por bosque.

Requisitos de conectividad y replicación iniciales

  • Este titular de funciones FSMO solo está activo cuando el propietario de la función ha replicado correctamente de forma entrante el NC de esquema desde que se inició Directory Service.
  • Los controladores de dominio y los miembros del bosque solo se ponen en contacto con la función FSMO cuando actualizan el esquema.

Función FSMO de maestro de nombres de dominio

El titular del rol FSMO del maestro de maestro de nomenclatura de dominios es el controlador de dominio responsable de realizar cambios en el espacio de nombres de dominio de todo el bosque del directorio; es decir, el contexto de nomenclatura Particiones\Configuración o LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Este controlador de dominio es el único que puede añadir o quitar un dominio del directorio. También puede agregar o quitar referencias cruzadas a dominios de directorios externos.

Requisitos de conectividad y replicación iniciales

  • Este titular de roles FSMO solo está activo cuando el propietario del rol ha replicado correctamente el configuración NC desde que se inició el servicio de directorio.

  • Los miembros del dominio del bosque solo se ponen en contacto con el titular de la función FSMO cuando actualizan las referencias cruzadas. Los controladores de dominio se comunican con el titular de la función FSMO cuando:

    • Los dominios se añaden o quitan en el bosque.
    • Se agregan nuevas instancias de particiones de directorio de aplicación en controladores de dominio. Por ejemplo, se ha dado de alta un servidor DNS para las particiones predeterminadas del directorio de la aplicación DNS.

Rol FSMO maestro de RID

El contenedor del rol FSMO de maestro de RID es el único controlador de dominio responsable de procesar las solicitudes del grupo de RID de todos los controladores de dominio dentro de un dominio determinado. También es responsable de quitar un objeto de su dominio y colocarlo en otro durante un movimiento de objetos.

Cuando un controlador de dominio crea un objeto de entidad de seguridad, como un usuario o un grupo, le asocia un identificador de seguridad (SID) único. Este SID consta de lo siguiente:

  • Un SID de dominio que es el mismo para todos los SID creados en un dominio.
  • Un identificador relativo (RID) único para cada SID de entidad de seguridad creado en un dominio.

A cada controlador de dominio de Windows de un dominio se le asigna un grupo RID que puede asignar a las entidades de seguridad que crea. Cuando el grupo de RID asignado de un controlador de dominio cae por debajo de un umbral, ese controlador de dominio emite una solicitud de RID adicionales al maestro de RID del dominio. El maestro de RID del dominio responde a la solicitud mediante la recuperación de identificadores de dominio del grupo de RID sin asignar del dominio y los asigna al grupo del controlador de dominio solicitante. Hay un maestro de RID por dominio en un directorio.

Requisitos de conectividad y replicación iniciales

  • Este contenedor del rol FSMO solo está activo cuando el propietario del rol ha replicado correctamente el dominio NC desde que se inició el servicio de directorio.
  • Los controladores de dominio se ponen en contacto con el contenedor del rol FSMO cuando recuperan un nuevo grupo RID. El nuevo grupo RID se entrega a los controladores de dominio a través de la replicación de AD.

Rol FSMO del emulador de PDC

El emulador de PDC es necesario para sincronizar la hora en una empresa. Windows incluye el servicio de tiempo W32Time (Hora de Windows) necesario para el protocolo de autenticación Kerberos. Todos los equipos basados en Windows dentro de una empresa usan un tiempo común. El propósito del servicio de hora es asegurarse de que el servicio Hora de Windows emplea una relación jerárquica que controla la autoridad. No permite bucles para garantizar el uso del tiempo común adecuado.

El emulador de PDC de un dominio es autoritativo para el dominio. El emulador de PDC en la raíz del bosque se convierte en autoritativo para la empresa y debe configurarse para recopilar la hora de un origen externo. Todos los contenedores de roles FSMO de PDC obedecen la jerarquía de dominios al seleccionar los asociados de hora.

En un dominio Windows, el contenedor del rol del emulador de PDC conserva las siguientes funciones:

  • Los cambios de contraseña efectuados por otros controladores de dominio del dominio se replican, de forma preferente, en el emulador de PDC.
  • Cuando se producen errores de autenticación en un controlador de dominio determinado debido a una contraseña incorrecta, los errores se reenvía al emulador de PDC antes de que se notifique al usuario un mensaje de error de contraseña incorrecta.
  • El bloqueo de cuenta se procesa en el emulador de PDC.
  • El emulador de PDC lleva a cabo todas las funciones que ejecuta un PDC Windows NT 4.0 basado en servidor o un PDC anterior para clientes basados en Windows NT 4.0 o anteriores.

Esta parte del rol del emulador de PDC se vuelve innecesaria en la siguiente situación:
Todas las estaciones de trabajo, servidores miembros y controladores de dominio (DC) que ejecutan Windows NT 4.0 o versiones anteriores se actualizan a Windows 2000.

El emulador de PDC sigue realizando las otras funciones como se describe en un entorno de Windows 2000.

En la siguiente información se describen los cambios que se producen durante el proceso de actualización:

  • Los clientes Windows (estaciones de trabajo y servidores miembros) y clientes de nivel inferior que han instalado el paquete de cliente de servicios distribuidos no realizan escrituras de directorios (como cambios de contraseña) de forma preferente en el controlador de dominio que se ha anunciado como el PDC. Usan cualquier controlador de dominio para el dominio.
  • Una vez que los controladores de dominio de reserva (BDC) en dominios de nivel inferior se actualizan a Windows 2000, el emulador de PDC no recibe ninguna solicitud de réplica de nivel inferior.
  • Los clientes Windows (estaciones de trabajo y servidores miembros) y clientes de nivel inferior que han instalado el paquete de cliente de servicios distribuidos usan Active Directory para buscar recursos de red. No requieren el servicio de explorador Windows NT.

Requisitos de conectividad y replicación iniciales

  • Este contenedor del rol FSMO siempre está activo cuando el emulador de PDC encuentra el atributo fSMORoleOwner del encabezado NC del dominio apunta a sí mismo. No hay ningún requisito de replicación de entrada.

  • Los controladores de dominio se ponen en contacto con el contenedor del rol FSMO cuando tienen una nueva contraseña o se produce un error en la comprobación de contraseña local. No hay ningún error cuando no se puede alcanzar el emulador de PDC o si el valor del Registro AvoidPdcOnWan está establecido en 1.

  • Puede usar el siguiente cmdlet para ejecutar los requisitos previos para degradar un controlador de dominio.

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl

    Este es un ejemplo de salida cuando no se puede acceder al emulador de PDC.

    Mensaje : Falló la verificación de los requisitos previos para la promoción del controlador de dominio. Indicó que este controlador de dominio de Active Directory no es el último controlador de dominio para el dominio "contoso.com". Sin embargo, no se puede establecer contacto con otros controladores de dominio en el dominio. Si continúa, los cambios de los Servicios de dominio de Active Directory realizados en este controlador de dominio se perderán. Para continuar de todas formas, especifique la opción 'IgnoreLastDCInDomainMismatch'.
    Contexto : Test.VerifyDcPromoCore.DCPromo.General.50
    RebootRequired: False
    Estado : Error

Rol FSMO maestro de infraestructura

Cuando otro objeto de otro dominio hace referencia a un objeto de un dominio, representa la referencia mediante lo siguiente:

  • El GUID
  • El SID (para referencias a entidades de seguridad)
  • El DN del objeto al que se hace referencia

El contenedor del rol FSMO de infraestructura es el controlador de dominio responsable de actualizar el SID y el nombre distintivo de un objeto en una referencia de objeto entre dominios.

Nota:

El rol maestro de infraestructura (MI) debe estar en poder de un controlador de dominio que no sea un servidor de catálogo global (GC). Si el Maestro de infraestructura se ejecuta en un servidor de Catálogo global no se actualizará la información de los objetos, pues no contiene referencias a objetos que no alberga. Esta situación se produce porque un servidor de Catálogo global contiene una réplica parcial de cada objeto del bosque. Como resultado, las referencias de objetos entre dominios en ese dominio no se actualizarán y se registrará una advertencia en ese efecto en el registro de eventos de ese controlador de dominio.

Si todos los controladores de dominio de un dominio también hospedan el catálogo global, todos tienen los datos actuales. No es importante qué controlador de dominio tiene el rol maestro de infraestructura.

Cuando la característica opcional Papelera de reciclaje está habilitada, cada controlador de dominio es responsable de actualizar sus referencias de objetos entre dominios cuando se mueve, cambia el nombre o se elimina el objeto al que se hace referencia. En este caso, no hay ninguna tarea asociada al rol FSMO de infraestructura. Y no es importante qué controlador de dominio posee el rol maestro de infraestructura. Para obtener más información, vea Rol FSMO de infraestructura 6.1.5.5.

Requisitos de conectividad y replicación iniciales

  • Este contenedor del rol FSMO solo está activo cuando el propietario del rol ha replicado correctamente el dominio NC desde que se inició el servicio de directorio.
  • No hay ningún requisito de conectividad para este contenedor del rol FSMO. Es una funcionalidad de limpieza interna del bosque.