viernes, 23 de marzo de 2018

XIV - Roles maestros en el Directorio Activo (FSMO)

Hay una serie de roles que sólo pueden ser ejercidos por un único DC, al tratarse de funciones que requieren ser únicas en el bosque o dominio. El DC que ostenta en un momento dado un rol maestro realiza funciones de moderador o director de esa función.

Un rol maestro puede transferirse de un DC a otro o incluso forzarse el cambio en caso de desastre del DC que lo ostenta, pero en ningún momento puede haber más de un DC con el mismo rol. A estos roles se les conoce como Maestros de operaciones, Maestros Únicos ó FSMO (Flexible Single Master Operations).

Los tipos de roles maestros de operaciones son cinco, dos a nivel bosque y tres en cada dominio del mismo.


  • A nivel de Bosque: localizados siempre en algún DC del dominio raíz del bosque (el primero que montas cuando lo creas) hay dos, Maestro de Esquema y Maestro de Nombres de Dominio.
  • A nivel de Dominio: En cada dominio del bosque hay tres roles maestros, que pueden ser ejercidos por el mismo o por distintos DCs del dominio. Son los siguientes: Emulador de PDC, RID Master y Maestro de Infraestructura


Roles maestros por nivel

Maestro de Esquema

Es el DC que dirige todas las operaciones de cambio en el esquema del AD (la definición de clases de objeto, con sus atributos). Cuando se hace una modificación al esquema, siempre se realiza sobre el maestro de esquema (aunque la consola la lancemos desde otro DC), y a continuación se replica a todos los DCs del bosque. Esto permite asegurar que el esquema sea único para todo el AD.

Sólo puede tener este Rol un DC del Dominio raíz. Si queremos ver quién tiene este rol usando la interfaz gráfica, debemos primero registrar una dll. Desde la consola ejecutamos como administrador el comando : Regsvr32 Schmmgmt.dll

Maestro de Nombres de Dominio

El DC que ostenta este rol es el que controla que los nombres propuestos para nuevos dominios en el bosque no estén en uso, y además que la topología de nombres sea la correcta (por ejemplo, si tenemos un árbol con un dominio de nombre “españa.es”, no podremos crear otro árbol de nombre “sevilla.españa.es”, sino que tendrá que ser un subdominio del anterior.

Maestro Emulador de PDC

En la época de los Dominios con Windows NT, no era como ahora que cualquier Controlador de Dominio acepta cambios en el directorio. Había sólo un Controlador de Dominio por Dominio que aceptaba cambios, y se llamaba “Controlador de Dominio Primario (PDC, Primary Domain Controller). El resto de los Controladores de Dominio eran secundarios (BDC, Backup Domain Controllers). Cualquiera autenticaba usuarios, pero los cambios se hacían en uno en particular (el PDC) y luego se replicaba a los otros (los BDCs)

Actualmente un DC, aunque no existe más como PDC, sigue cumpliendo algunas de las funciones que cumplía el PDC, y otras nuevas. El emulador de PDC cumple funciones de:


  • Es el “Domain Master Browser” (función de completar el Entorno de Red en los clientes hasta W2003/XP)
  • Recibe replicación preferencial de los cambios de contraseña de usuarios y equipos.
  • Es el servidor de horario (Time Server) del Dominio
  • Cuando desde cualquier equipo se crea o modifica una Directiva de Grupo (GPO), la consola de edición se trata de conectar siempre al que tiene este rol.

Maestro RID (Relative Identifier Master)

Al crear un objeto de tipo usuario, grupo o equipo se le asigna un identificador único de seguridad en el dominio, el SID. Este identificador consta de una parte única para todo el dominio y de otra variable dentro del mismo, que le asigna el DC en que se crea el objeto. Para evitar que dos DCs distintos generen el mismo SID para un objeto, el DC que hace de RID master asigna al resto de DCs del dominio un número de IDs (un RID Pool), de tal forma que son distintos en cada DC. Cuando a un DC se le está acabando el número de IDs disponibles, solicita al RID Master que le asigne un nuevo pool de RIDs. Si el RID Master cayese y no forzásemos que otro DC pasase a llevar este rol, llegaría un momento en que no se podrían crear más objetos en el dominio por falta de IDs.


Nota
El SID es un identificador único que nunca es reutilizado, aunque la cuenta original fuera eliminada.

Maestro de Infraestructura

Es el DC responsable de actualizar en otros dominios de su mismo bosque aquellos objetos del dominio propio que son referenciados por objetos de otros dominios. Por poner un ejemplo claro que lo explique, podemos tener un grupo de usuarios en un dominio, al que pertenecen cuentas de usuario de otros dominios. Si en un momento dado cambiamos el nombre al grupo, el Maestro de Infraestructura es el encargado de notificar a los de otros dominios de este cambio. En un dominio, el Maestro de Infraestructura no puede ser al mismo tiempo Catálogo Global, salvo en el caso de un bosque de dominio único, debido al modo como ese DC consulta a los de otros dominios sobre los cambios de este tipo.


Resumen de roles FSMO
Nota
Para saber como están distribuidos los roles entre los DC, aunque lo podemos hacer con la interfaz gráfica, se puede ejecutar desde consola: netdom  query  fsmo

Mover los Roles

De ser necesario, esto roles se pueden mover desde un DC a otro. El procedimiento es muy sencillo, y se puede hacer de dos formas: usando la interfaz gráfica o por línea de comando.

Debemos tener claro que el traspaso no consiste en “empujar”, sino en “tirar”. O sea, no puedo desde A pasar el rol a B, sino que desde B debo transferir el rol que tiene A. Además, con las herramientas gráficas se puede cambiar un rol de servidor siempre que el origen y el destino estén en línea. Si el original hubiese caído, el forzamiento del cambio (seize) sólo se podría hacer desde la línea de comandos con ntdsutil (siguiendo los pasos que describe Microsoft en el artículo: http://support.microsoft.com/kb/255504)

Notas
Para que te aparezca ntdsutil tienes que instalar las support tools del CD del servidor.
Si un DC se apodera forzosamente del rol de otro controlador (seize) Microsoft recomienda que el DC que tenía el rol original no vuelva a la red

Catálogo Global

Un Catálogo Global es un DC que además de tener toda la información de los atributos de todos los objetos de su propio dominio, tiene un subconjunto de los atributos de todos los objetos de todos los dominios del bosque. La réplica de estos datos se realiza de forma independiente entre los Catálogos Globales. El GC no es un rol maestro de operaciones.


Esquema del Catálogo Global
Por defecto, el Directorio Activo tiene marcado en su esquema cuales son los atributos de cada clase de objeto que se tienen que replicar entre Catálogos Globales, pero esto lo podemos modificar si fuera necesario editando las propiedades de cada atributo en el maestro de esquema del bosque.

En cada dominio tiene que haber al menos un GC (el primero que promocionamos al crear un dominio lo será automáticamente, pero al resto se lo tendremos que especificar expresamente en las propiedades del DC en Sitios y Servicios de AD).

Observaciones:

Existen unas reglas para determinar cuantos DCs deben ser Catálogos Globales. En un bosque de dominio único, todos los DCs se pueden configurar como GCs, incluso el Maestro de Infraestructura, ya que éste no tiene realmente nada que hacer como tal. En un bosque de múltiples dominios, en cada Sitio de AD (definido en Sitios y Servicios de AD) tendremos que configurar como GCs la mitad de los DCs de cada dominio en ese Sitio. Además, en este caso el Maestro de Infraestructura de cada dominio no debe ser Catálogo Global, salvo que un dominio no tuviese más que un único DC.

Consideraciones finales
  • Si el Maestro de Esquema no está presente no nos daríamos cuenta excepto que tuviésemos que modificar el Esquema, operación que no es habitual y no forma parte de la administración diaria.
  • Si el Maestro de Nomenclatura de Dominios no estuviera activo nos daríamos cuenta únicamente al agregar o sacar dominios de nuestro bosque, operación como en el caso anterior poco frecuente. "Adding or Removing a Domain During Dcpromo Requires Access to the Domain Naming Master FSMO Role Holder".
  • Si el Maestro RID no estuviera activo, como los rangos son de 500 identificadores es difícil que el DC supere los 450 principales (cuentas de usuario, grupo y equipo) por tanto tampoco lo notaríamos.
  • Si el Maestro de Infraestructura no está presente no se actualizarán las referencias en los Grupos entre dominios. Esto puede provocar problemas puntuales de acceso a los recursos por falta de los permisos correspondientes.
  • Por último si el Maestro Emulador PDC falla o no está presente podríamos tener problemas con máquinas con sistemas anteriores a 2003 Server en cuestiones relacionadas con cambios de contraseña, directivas, o sincronización de hora.

En general, ante la ausencia temporal de alguna de las funciones de estos Maestros de Operaciones todo seguirá funcionando normalmente en nuestro dominio salvo operaciones puntuales. La única función que puede traer consecuencias que notaremos rápidamente es la de Emulador de PDC.

Fuentes
http://blogs.msmvps.com/quilez/2007/07/01/roles-maestros-en-el-directorio-activo
https://windowserver.wordpress.com/2011/05/10/maestros-de-operaciones-fsmo-roles-parte-1