Funciones del maestro de operaciones

Hay cinco funciones de maestro de operaciones, dos se asignan al

bosque y tres al dominio. Las funciones de maestro de operaciones
también se denominan FSMO (Flexible Single Master of Operation).

Funciones de maestro de operaciones para el bosque

Estas funciones deben ser únicas en el bosque. Esto significa que

en un bosque sólo puede haber un maestro de esquema y un maestro
de nombres de dominio.

1. Maestro de esquema

El controlador de dominio del maestro de esquema controla todas

las actualizaciones y los cambios que tienen lugar en el
esquema. Para poder actualizar el esquema de un bosque, se debe
tener acceso al maestro de esquema. Sólo puede haber un maestro
de esquema en todo el bosque.

2. Maestro de nombres de dominio

El controlador de dominio con la función del maestro de nombres

de dominio controla la adición o eliminación de los dominios
del bosque. Sólo puede haber un maestro de nombres de dominio
en todo el bosque.

Nota

 Cualquier controlador de dominio que ejecute

Windows Server 2003 puede desempeñar la función de maestro
de nombres de dominio. Los controladores de dominio que
ejecutan Windows 2000 Server y desempeñan la función de

1 de 6
 maestro de nombres de dominio deben estar habilitados
también como servidor de catálogo global.

Funciones de maestro de operaciones del dominio

Cada dominio del bosque debe tener las siguientes funciones:

 Maestro de Id. relativo (RID)

 Maestro emulador del controlador principal de dominio (PDC)

 Maestro de infraestructuras
Estas funciones deben ser únicas en cada dominio. Esto significa
que en cada dominio del bosque sólo puede haber un maestro de RID,
un maestro emulador del PDC y un maestro de infraestructuras.

3. Maestro de RID

El maestro de RID asigna secuencias de Id. relativos (RID) a

cada uno de los distintos controladores del dominio. En todo
momento sólo puede haber un controlador de dominio que actúe
como maestro de RID en cada dominio del bosque.

Siempre que un controlador de dominio crea un usuario, un grupo

o un objeto de equipo, asigna un Id. de seguridad (SID) único
al objeto creado. Este SID se compone de un SID de dominio, que
es el mismo para todos los SID creados en el dominio, y de un
RID, que es único para cada uno de los SID creados en el
dominio.

Para mover un objeto de un dominio a otro (con Movetree.exe),

debe iniciar la operación en el controlador de dominio que
actúa como maestro de RID en el dominio que contiene el objeto
en ese momento.

2 de 6
4. Maestro emulador de PDC

Si el dominio contiene equipos que operan con clientes NT

Workstation o bien si contiene controladores de dominio basados
en Windows NT Server (Backup Domain Controler, BDC), el maestro
emulador de PDC (Primary Domain Controler) actúa como
controlador principal de dominio de Windows NT. Se ocupa de
procesar los cambios de contraseña de los clientes y replica
las actualizaciones en los BDC. En todo momento sólo puede
haber un controlador de dominio que actúe como maestro emulador
del PDC en cada dominio del bosque.

De manera predeterminada, el maestro emulador del PDC también

se encarga de sincronizar la hora en todos los controladores
del dominio. El emulador del PDC de un dominio sincroniza su
reloj con el de cualquier otro controlador del dominio
principal. El emulador del PDC en el dominio principal se
deberá configurar para que se sincronice con un recurso de hora
externo. La hora del emulador del PDC se puede sincronizar con
un servidor externo mediante la ejecución del comando "net
time" con la sintaxis siguiente:

net time \\nombreServidor/setsntp:recursoHora

El resultado final será que la hora sólo variará unos pocos

segundos entre todos los equipos del bosque entero que ejecuten
Windows Server 2003 o Windows 2000.

El emulador del PDC recibe una replicación preferencial de los

cambios realizados en las contraseñas por otros controladores
del dominio. Si una contraseña ha cambiado recientemente, ese
cambio tarda algún tiempo en replicarse en cada controlador del
dominio. Si una autenticación de inicio de sesión produce un
error en otro controlador de dominio debido a una contraseña
incorrecta, ese controlador de dominio reenviará la solicitud
3 de 6
 de autenticación al emulador del PDC antes de rechazar el
intento de inicio de sesión.

El controlador de dominio configurado con la función de

emulador del PDC admite dos protocolos de autenticación:

 el protocolo Kerberos V5

 el protocolo NTLM

5. Maestro de infraestructuras

En todo momento sólo puede haber un controlador de dominio que

actúe como maestro de infraestructuras en cada dominio. El
maestro de infraestructuras es el responsable de actualizar las
referencias de los objetos de su dominio en los objetos de los
otros dominios. El maestro de infraestructuras compara sus
datos con los del catálogo global. Los catálogos globales
reciben actualizaciones periódicas de los objetos de todos los
dominios mediante la replicación, de forma que los datos de los
catálogos globales siempre están actualizados. Si el maestro de
infraestructuras encuentra datos sin actualizar, solicita los
datos actualizados a un catálogo global. Después el maestro de
infraestructuras replica los datos actualizados en los otros
controladores de su dominio.

Importante

 A menos que haya un único controlador de dominio en

el dominio, la función de maestro de infraestructuras no
debe asignarse al controlador de dominio que alberga el
catálogo global. Si el maestro de infraestructuras y el
catálogo global se encuentran en el mismo controlador de
dominio, el maestro de infraestructuras no funcionará. El
4 de 6
 maestro de infraestructuras no encontrará nunca datos no
actualizados, por lo que nunca replicará los cambios en
los otros controladores del dominio.
Si todos los controladores del dominio también albergan el
catálogo global, todos los controladores de dominio ya
tendrán los datos más actuales y será irrelevante conocer
el controlador de dominio que desempeña la función de
maestro de infraestructuras.
El maestro de infraestructuras también es responsable de
actualizar las referencias de grupos a usuarios cada vez que
hay alguna variación o cambio de nombre en los miembros de un
grupo. Al cambiar de nombre o mover un miembro de un grupo (si
el miembro reside en un dominio distinto del grupo), puede que
durante un tiempo parezca que el grupo no contiene ese miembro.
El maestro de infraestructuras del dominio del grupo es
responsable de actualizar el grupo de forma que sepa en todo
momento el nuevo nombre o ubicación del miembro. Así se evita
perder las pertenencias de grupo que están asociadas a una
cuenta de usuario, en caso de mover o cambiar el nombre de
dicha cuenta. El maestro de infraestructuras distribuye la
actualización a través de la replicación de varios maestros.

La seguridad no se pone en peligro durante el tiempo que

transcurre entre el cambio de nombre de un miembro y la
actualización del grupo. Sólo un administrador que esté
examinando la pertenencia a ese grupo en particular podría
darse cuenta de la falta momentánea de coherencia.

Para obtener información acerca de cómo transferir las

funciones de maestro de operaciones, vea Transferir funciones
de maestro de operaciones. Para obtener información acerca de
cómo actuar en caso de error en un maestro de operaciones, vea
Responder a errores del maestro de operaciones.

5 de 6
6 de 6