Funciones del maestro de operaciones

Funciones del maestro de operaciones

Active Directory admite la replicacin de varios maestros del almacn de datos de directorio entre todos los controladores del dominio, de modo que todos ellos se encuentran, bsicamente, en el mismo nivel. No obstante, hay cambios que no se pueden realizar utilizando la replicacin de varios maestros. En estos casos, un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes para realizar este tipo de cambios. En cada bosque existen, al menos, cinco funciones de maestro de operaciones que se asignan a uno o varios controladores de dominio. Las funciones de maestro de operaciones de todo el bosque deben aparecer una nica vez en cada bosque. Nota

Las funciones de maestro de operaciones tambin se denominan funciones flexibles de operaciones de un solo maestro (FSMO).

Funciones de maestro de operaciones en todo el bosque

Cada bosque debe tener las siguientes funciones:

Maestro de esquema Maestro de nombres de dominio

Estas funciones deben ser nicas en el bosque. Es decir, en todo el bosque slo puede haber un maestro de esquema y un maestro de nombres de dominio.

Maestro de esquema
El controlador de dominio del maestro de esquema controla todas las actualizaciones y los cambios que tienen lugar en el esquema. Para poder actualizar el esquema de un bosque, debe tener acceso al maestro de esquema. Slo puede haber un maestro de esquema en todo el bosque.

Maestro de nombres de dominio

El controlador de dominio con la funcin del maestro de nombres de dominio controla la adicin o eliminacin de los dominios del bosque. Slo puede haber un maestro de nombres de dominio en todo el bosque. Nota

Cualquier controlador de dominio que ejecute Windows Server 2003 puede desempear la funcin de maestro de nombres de dominio. Los controladores de dominio que ejecutan Windows 2000 Server y desempean la funcin de maestro de nombres de dominio deben estar habilitados tambin como servidor de catlogo global.

Funciones de maestro de operaciones en todo el dominio

Cada dominio del bosque debe tener las siguientes funciones:

Maestro de Id. relativo (RID) Maestro emulador del controlador principal de dominio (PDC) Maestro de infraestructuras

Estas funciones deben ser nicas en cada dominio. Esto significa que en cada dominio del bosque slo puede haber un maestro de RID, un maestro emulador del PDC y un maestro de infraestructuras.

Maestro de RID
El maestro de RID asigna secuencias de Id. relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento slo puede haber un controlador de dominio que acte como maestro de RID en cada dominio del bosque. Siempre que un controlador de dominio crea un usuario, un grupo o un objeto de equipo, asigna un Id. de seguridad (SID) nico al objeto creado. Este SID se compone de un SID de dominio, que es el mismo para todos los SID creados en el dominio, y de un RID, que es nico para cada uno de los SID creados en el dominio. Para mover un objeto de un dominio a otro (con Movetree.exe), debe iniciar la operacin en el controlador de dominio que acta como maestro de RID en el dominio que contiene el objeto en ese momento.

Maestro emulador de PDC

Si el dominio contiene equipos que operan sin el software de cliente de Windows 2000 o Windows XP Professional o bien si contiene controladores de dominio de reserva (BDC) de Windows NT, el maestro emulador de PDC acta como controlador principal de dominio de Windows NT. Se ocupa de procesar los cambios de contrasea de los clientes y replica las actualizaciones en los BDC. En todo momento slo puede haber un controlador de dominio que acte como maestro emulador del PDC en cada dominio del bosque. De manera predeterminada, el maestro emulador del PDC tambin se encarga de sincronizar la hora en todos los controladores del dominio. El emulador del PDC de un dominio sincroniza su reloj con el de cualquier otro controlador del dominio principal. El emulador del PDC en el dominio principal se deber configurar para que se sincronice con un recurso de hora externo. La hora del emulador del PDC se puede sincronizar con un servidor externo mediante la ejecucin del comando "net time" con la sintaxis siguiente: net time \\nombreServidor/setsntp:recursoHora El resultado final ser que la hora slo variar unos pocos segundos entre todos los equipos del bosque entero que ejecuten Windows Server 2003 o Windows 2000. El emulador del PDC recibe una replicacin preferencial de los cambios realizados en las contraseas por otros controladores del dominio. Si una contrasea ha cambiado recientemente, ese cambio tarda algn tiempo en replicarse en cada controlador del dominio. Si una autenticacin de inicio de sesin produce un error en otro controlador de dominio debido a una contrasea incorrecta, ese controlador de dominio reenviar la solicitud de autenticacin al emulador del PDC antes de rechazar el intento de inicio de sesin. El controlador de dominio configurado con la funcin de emulador del PDC admite dos protocolos de autenticacin:

el protocolo Kerberos V5 el protocolo NTLM

Maestro de infraestructuras
En todo momento slo puede haber un controlador de dominio que acte como maestro de infraestructuras en cada dominio. El maestro de infraestructuras es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios. El maestro de infraestructuras compara sus datos con los del catlogo global. Los catlogos globales reciben actualizaciones peridicas de los objetos de todos los dominios mediante la replicacin, de forma que los datos de los catlogos globales siempre estn actualizados. Si el maestro de infraestructuras encuentra datos sin actualizar, solicita los datos actualizados a un catlogo global. Despus el maestro de infraestructuras replica los datos actualizados en los otros controladores del dominio. Importante

A menos que haya un nico controlador de dominio en el dominio, la funcin de maestro de infraestructuras no debe asignarse al controlador de dominio que alberga el catlogo global. Si el maestro de infraestructuras y el catlogo global se encuentran en el mismo controlador de dominio, el maestro de infraestructuras no funcionar. El maestro de infraestructuras no encontrar nunca datos no actualizados, por lo que nunca replicar los cambios en los otros controladores del dominio. Si todos los controladores del dominio tambin albergan el catlogo global, todos los controladores de dominio ya tendrn los datos ms actuales y ser irrelevante conocer el controlador de dominio que desempea la funcin de maestro de infraestructuras.

El maestro de infraestructuras tambin es responsable de actualizar las referencias de grupos a usuarios cada vez que hay alguna variacin o cambio de nombre en los miembros de un grupo. Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside en un dominio distinto del grupo), puede que durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grupo de forma que sepa en todo momento el nuevo nombre o ubicacin del miembro. As se evita perder las pertenencias de grupo que estn asociadas a una cuenta de usuario, en caso de mover o cambiar el nombre de dicha cuenta. El maestro de infraestructuras distribuye la actualizacin a travs de la replicacin de varios maestros. La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualizacin del grupo. Slo un administrador que est examinando la pertenencia a ese grupo en particular podra darse cuenta de la falta momentnea de coherencia.