Active Directory: roles FSMO y Catálogo Global

1.- Las particiones de Active Directory.

La ingente información que maneja AD se divide en particiones las cuales se
almacenan en la BD de AD cuya ubicación física es %systemroot%\NTDS.
En PowerShell, teclea $env:systemroot para ver donde se almacenan el sistema.

Para ver todas las variables, Get-ChildItem env:

Las particiones se crean durante la etapa de promoción. Las particiones de

configuración y de esquema se comparten entre el conjunto de controladores de
dominio
- Partición de dominio. - Contiene la información acerca de los objetos de un
dominio: cuentas, recursos compartidos, unidades organizativas y directivas de grupo.
También contiene la ubicación de los controladores de dominio y los servidores de
catálogo global.
- Partición de configuración. - Describe la topología del directorio. Incluyen una
lista de todos los dominios, arborescencias - árboles - y bosques de dominios, así como
la ubicación de los controladores de dominio y servidores de catálogo global.
- Partición de esquema. - Describe todos los objetos y tipos de datos que se
pueden almacenar en el directorio. El esquema predeterminado incluido en Windows
Server 2012/16 describe objetos de cuenta (usuario, grupo y equipo) y objetos de
recursos compartidos (carpetas e impresoras compartidas). Es posible ampliar este
esquema definiendo nuevos objetos con sus atributos o añadiendo nuevos atributos a
los objetos existentes.
Si el asistente de promoción instaló y configuró el servicio DNS, además
tendremos otra partición más (realmente son dos):
- Partición DNS. - Contiene información básica y registros que se almacenan en
la base o bases de datos de DNS.
Observación: los contextos de nomenclaturas son las particiones.

Página 1 de 8
 Active Directory: roles FSMO y Catálogo Global
Roles FSMO
Todos los bosques AD deben tener estas dos funciones:
Maestro de esquema: controla las actualizaciones y los cambios del esquema
las cuales afectan a todo el bosque. Es único en el seno de un bosque. Este rol es
necesario para expandir el esquema de un bosque de Active Directory. Por ejemplo, si
vamos a agregar un nuevo servicio como Exchange sólo se podrá hacer en el maestro
de esquema.
Para saber qué servidor es el maestro de esquema actual podemos escribir lo
siguiente:
dsquery server –hasfsmo schema

Maestro de nombres de dominio: afecta a todo el bosque y hay una para cada
bosque. Esta función es necesaria para agregar o eliminar dominios o particiones de
aplicaciones en un bosque. Por ejemplo, en el proceso de creación de un subdominio o
un controlador de dominio adicional (en el momento de la promoción), nos pide en un
momento dado las que introduzcamos las credenciales de un administrador de un
equipo que es en este caso, del DC maestro de nombres de dominio. Sólo desde este
equipo se puede realizar esta acción.
Para saber qué servidor es el maestro de nombres de dominio podemos escribir
lo siguiente:
dsquery server –hasfsmo name

Las funciones que afecten a todo el bosque deben ser únicas en el mismo, es
decir, en un mismo bosque sólo puede haber un maestro de esquema y un maestro de
nombres de dominio.
Comando típico a nivel de dominio.

Página 2 de 8
 Active Directory: roles FSMO y Catálogo Global
Comando típico a nivel de bosque.

Las siguientes funciones deben estar disponibles en todos los dominios

Maestro RID: afecta a todo el dominio y hay uno para cada dominio. Asigna
identificadores relativos (RID, RelativeIDentificador) a los controladores de dominio.
Luego, los controladores de dominio asignan un identificador de seguridad único a
cada objeto de cuenta (usuario, grupo o equipo) que se cree. Este identificador de
seguridad usa como prefijo el identificador de seguridad del dominio y como sufijo, un
identificador relativo único asignado por el maestro RID.
Estos identificadores de objetos cuenta se llaman SIDs.

Normalmente, la última parte del SID es un número que se asigna de forma

secuencial empezando por el 1000. Es el RID. Por ejemplo:

La primera parte es un identificador asignado a Microsoft. En este caso

La parte central es el identificador del objeto en el dominio. En este caso:

Para saber qué servidor es el actual maestro RID del dominio podemos escribir lo
siguiente:
Dsquery server –hasfsmo rid

Maestro Emulador de PDC: afecta a todo el dominio y hay una para cada
dominio. El rol más importante es el de sincronizar su reloj con un servidor de
tiempo. A continuación, el resto de los controladores de dominio realizarán la misma
operación tomándolo como maestro o servidor del tiempo. De este modo, el conjunto
de controladores de dominio tendrá el reloj sincronizado. La gestión del tiempo
también es importante para los clientes y servidores. Estos últimos también se
sincronizan mediante los controladores de dominio.
Este rol también sirve como referencia durante los procesos de cambio de
contraseñas y bloqueo de cuentas.
En Windows server 2012/2106 interviene también en lo relativo a los objetos
directiva de grupo.

Página 3 de 8
 Active Directory: roles FSMO y Catálogo Global

Para saber qué servidor es el emulador PDCactualdel dominio podemos escribir lo

siguiente: dsquery server –hasfsmo pdc

Maestro de infraestructuras: afecta a todo el dominio y hay una para cada

dominio. Actualiza las referencias a objetos comparando sus datos con los de un
catálogo global. Si los datos no están actualizados, el maestro de infraestructura
solicita los datos actualizados a un catálogo global y, a continuación, replica los
mismos en los otros controladores de dominio.
Un maestro de infraestructura, en un escenario multidominio, no debería ser
CG ya que siempre estaría actualizado y no replicaría los cambios a los controladores
de dominio.
Para saber qué servidor es el maestro de infraestructura actual del dominio
podemos escribir lo siguiente:
dsquery server –hasfsmo infr

Ejemplo: supongamos que nuestro Active Directory consistiera de varios

Dominios. En un ambiente como este se puede dar el caso que un usuario de un
Dominio-A, esté “dentro” de un grupo de otro Dominio-B. Por las capacidades propias
de Active Directory y necesidad podríamos tener que mover la cuenta del usuario (que
está en Dominio-A) a otro Dominio-C. En este caso, en los grupos del Dominio-B se
deberían actualizar todas las referencias a la cuenta de usuario; antes era “usuario de
Dominio-A”, ahora debe ser “usuario de Dominio-C”. Esta es justamente la función del
Maestro de Infraestructura.

Estas tres funciones que afectan a todos los dominios deben ser únicas en
cada uno de ellos, es decir, sólo se asigna un maestro RID, un maestro emulador de
PDC o un maestro de infraestructura a un dominio en particular.

Página 4 de 8
 Active Directory: roles FSMO y Catálogo Global

El comando netdom query fsmo nos proporciona toda la información.

Roles a nivel de domino

En Usuarios y equipos de AD, botón derecho sobre el dominio y Maestro de
operaciones

Página 5 de 8
 Active Directory: roles FSMO y Catálogo Global
Roles a nivel de bosque.
Estas funciones sólo se pueden transferir entre controladores de dominio del
dominio raíz del bosque.
Ahora, nos vamos a Dominios y Confianzas de AD y en ese objeto, botón
derecho (no en el dominio).

¿Dónde está el maestro de esquema?

No suele estar habilitada esta acción por ser poco habitual. Una forma de
hacerlo es ejecutar una consola mmc y añadir el complemento.
En este caso, añadimos la librería correspondiente ejecutando el comando
regsvr232 y el nombre de la librería, en este caso, schmmgmt.dll

Volvemos a crear la consola y ahora, añadimos el complemento que ya aparece

Observamos qué equipo es el maestro de esquema y si queremos cambiarlo
haríamos lo mismo.

Página 6 de 8
 Active Directory: roles FSMO y Catálogo Global

¿Es mi servidor Catálogo Global?

Voy a Sitios y Servicios de AD.

Página 7 de 8
 Active Directory: roles FSMO y Catálogo Global
4.- El catálogo global.
Se aplica a partir de Windows Server 2008.
El catálogo global es el conjunto de todos los objetos de un bosque de los
Servicios de dominio de Active Directory (AD DS). Un servidor de catálogo global es un
controlador de dominio que almacena una copia completa de todos los objetos del
directorio para su dominio host y una copia parcial de solo lectura de todos los
objetos del resto de dominios del bosque. Los servidores del catálogo global
responden a las consultas del catálogo global.
Los catálogos globales se utilizan durante los inicios de sesión y en las
búsquedas de información. No se podrá iniciar sesión en un dominio que no sea
catálogo global (el Administrador si puede iniciar sesión).

Página 8 de 8