Prácticas recomendadas para los roles de FSMO de Active Directory

1.3K

Operaciones maestras únicas flexibles (FSMO) es un tipo especial de operación realizada por los controladores de dominio de Active Directory que requiere que un servidor DC sea único en un dominio o bosque. Se pueden realizar varias funciones de FSMO en el mismo controlador de dominio o en varios. Un controlador de dominio con funciones FSMO se denomina Operations Master DC.

Puede realizar la mayoría de las operaciones en Active Directory en cualquiera de los controladores de dominio. El servicio de replicación de AD sincroniza los cambios con otros controladores de dominio, lo que garantiza que la base de datos de AD sea idéntica en todos los DC del dominio. La resolución de conflictos de AD funciona de la siguiente manera: si dos DC intentan cambiar los atributos de un objeto de AD al mismo tiempo, el sistema automático de resolución de conflictos realiza un seguimiento del último cambio realizado.

Sin embargo, hay varias acciones (como cambiar el esquema de AD) en las que no se permiten conflictos de actualización de varios maestros. Evitar tales conflictos es la tarea principal de los controladores de dominio que desempeñan las funciones de FSMO. Por lo tanto, cada rol de FSMO solo puede ejecutarse en uno de los controladores de dominio. Y si es necesario, puede transferir la función FSMO a otro controlador de dominio en cualquier momento.

¿Cuáles son los 5 roles de FSMO en Active Directory?

Hay 5 roles FSMO: 2 roles únicos para el bosque de Active Directory y 3 para cada dominio.

Maestro de esquema: responsable de realizar cambios en el esquema de Active Directory en los controladores de dominio disponibles. Solo puede haber un propietario de función para todo el bosque de dominio.
Maestro de nombres de dominio — responsable del nombre único para un dominio y particiones de aplicaciones en el bosque. Se utiliza para agregar y eliminar dominios del bosque. Solo puede haber uno para todo el bosque de dominio.
Maestro de infraestructura: almacena información sobre usuarios de otros dominios, que se agregan a grupos de seguridad locales de dominio de su dominio. Responsable de actualizar el SID de un objeto específico y actualizar el nombre completo de la referencia del objeto entre diferentes dominios. Puede haber uno para cada dominio en el bosque.
Administrador de grupos RID — responsable de asignar la identificación relativa única (RID), requerida al crear nuevos objetos de dominio (cuentas de usuario y de computadora, grupos, contactos, etc.). Puede haber uno para cada dominio en el bosque.
Emulador de PDC (controlador de dominio principal): responsable de la compatibilidad con el dominio NT4 y los clientes anteriores a Windows 2000, para la sincronización de la hora del dominio en el bosque, la creación de objetos de directiva de grupo (GPO) en AD, cambios de contraseña de usuario y administración de eventos de bloqueo de usuario de AD cuando los usuarios ingresan contraseñas incorrectas. Si el propietario del emulador de PDC deja de estar disponible, esto tendrá el impacto más inmediato en las operaciones normales y los usuarios.

Pista. Hay una sexta función de controlador de dominio FSMO no oficial en AD denominada Catálogo global.

Mejores prácticas recomendadas para la ubicación de roles de FSMO

Cuando instala un nuevo dominio de Active Directory, todas las funciones de FSMO se colocan en un solo servidor (en el primer controlador de dominio promocionado en el dominio). Según la recomendación de Microsoft, la mejor práctica es dividir las funciones de FSMO entre los diferentes controladores de dominio.

Los roles de FSMO de todo el bosque deben colocarse en un DC y los roles de todo el dominio en otro. Si solo tiene un controlador de dominio, se recomienda implementar un controlador de dominio adicional. Por lo tanto, en un dominio AD con una configuración mínima (2 DC), debe colocar el rol FSMO de la siguiente manera:

Coloque los siguientes roles de dominio en un DC1:

Maestro RID;
Maestro de Infraestructura;
Emulador de PDC.

Coloque los roles de bosque en un DC2:

maestro de esquema;
Maestro de dominio.

Considere otras prácticas recomendadas para colocar roles de maestro de operaciones en un dominio:

En entornos de varios dominios, coloque ambos roles de todo el bosque en el PDC del dominio raíz del bosque, que también es un servidor de catálogo global;
Coloque todos los roles de todo el dominio en un servidor con suficiente rendimiento;
Ejecute las funciones de emulador de PDC y maestro RID en el mismo controlador de dominio;
Si todos los DC del dominio tienen la función de catálogo global (actualmente, esta es la configuración recomendada por Microsoft), puede colocar la función de maestro de infraestructura en cualquier controlador de dominio. De lo contrario, mueva la función de maestro de infraestructura a un controlador de dominio que no tenga habilitada la función de catálogo global;
No mueva los roles de FSMO a través del dominio con demasiada frecuencia. Es una mala idea obligar a los clientes de dominio a redescubrir el PDC periódicamente;
Si utiliza controladores de dominio virtualizados, deshabilite la sincronización de tiempo de las máquinas virtuales con funciones FSMO con el hipervisor del host;
No use los controladores de dominio para ninguna tarea que no sea ADDS, su monitoreo y copia de seguridad de Active Directory;
Coloque la función de controlador de dominio principal (PDC) en su mejor hardware en un sitio central confiable.

Pista. Si su dominio tiene habilitada la Papelera de reciclaje de AD, cada DC es responsable de actualizar sus referencias de objetos entre dominios. En este caso, el rol FSMO de infraestructura no es realmente necesario y no importa dónde lo coloque.

Ejecute el siguiente comando para obtener los propietarios de roles FSMO actuales:

netdom query fsmo

En este caso, las funciones de FSMO se dividen entre los dos DC.

También puede encontrar propietarios de roles de FSMO mediante cmdlets de PowerShell. Para obtener el propietario de FSMO de todo el dominio, ejecute:

Get-ADDomain | Select-Object -Property RIDMaster, PDCEmulator, InfrastructureMaster | fl

Para roles de todo el bosque, use:

Get-ADForest | Select-Object -Property SchemaMaster, DomainNamingMaster

O utilice PowerShell one-liner para enumerar todos los propietarios de FSMO:

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object {$_.OperationMasterRoles}

¿Qué sucede si falla el propietario de la función FSMO?

Los roles de todo el bosque son los menos críticos para el funcionamiento de AD. ¿Qué sucede si deja el rol de FSMO fuera de línea durante un período de tiempo prolongado?

Maestro de esquema — no se puede cambiar el esquema de AD. Sin embargo, este procedimiento no se realiza con frecuencia (una o dos veces en varios años) al agregar controladores con una nueva versión de Windows Server al dominio o al instalar algunos productos de servidor (Exchange, Lync / S4B). En la práctica, es posible que no note el maestro de esquema faltante durante años.
Maestro de dominio — es imposible agregar o eliminar un dominio (subdominio). Tampoco es una tarea frecuente.

Los roles de todo el dominio existen en todos los dominios y son más importantes para el funcionamiento general de AD.

Maestro de Infraestructura — si hay varios dominios en los DC que no albergan catálogos globales, es posible que se interrumpa la pertenencia a grupos de dominios locales;
Maestro RID — después de un tiempo será imposible crear un nuevo objeto en AD. El tiempo depende del número restante de SID disponibles, que se emiten en bloques de 500 RID. Si su AD tiene una pequeña cantidad de objetos y no agrega nuevos todos los días, la ausencia del maestro RID pasará desapercibida durante mucho tiempo.
Emulador de PDC — el papel más crítico de FSMO. Si no está disponible, la sincronización de la hora del dominio se detendrá y algunas políticas de bloqueo de contraseña no funcionarán.

Tenga en cuenta que no hay ninguna función FSMO cuya falla provoque una pérdida significativa de la funcionalidad de Active Directory. Incluso si todos los titulares de roles de FSMO fallan, la infraestructura del dominio puede funcionar normalmente en unos pocos días, semanas o incluso meses. Por lo tanto, si va a mantener un DC con uno o todos los roles de FSMO, no es necesario mover los roles al otro DC.

En la siguiente tabla, hemos enumerado varios síntomas que pueden ayudarlo a comprender cuándo algunos titulares de roles de FSMO están desconectados o no funcionan correctamente:

Síntoma	Posibles roles de FSMO involucrados	Causa
No se pueden realizar cambios en el esquema de AD (por ejemplo, agregar un atributo de AD personalizado)	Maestro de esquema
No se puede subir o bajar el nivel funcional del bosque	Maestro de esquema
No se pueden promocionar ni degradar controladores de dominio	Maestro de nombres de dominio
No puedo agregar/eliminar un nuevo dominio	Maestro de nombres de dominio
Problemas de pertenencia a un grupo universal	Maestro de Infraestructura	Las referencias a objetos entre dominios no funcionarán sin el propietario de Infrastructure Master
No se pueden crear nuevos usuarios/grupos, unir computadoras al dominio	Maestro RID	El grupo RID está agotado
No se puede subir o bajar el nivel funcional del dominio	Emulador de PDC
La cuenta de usuario no está bloqueada por las políticas de seguridad del dominio	Emulador de PDC
Los usuarios del dominio no pueden cambiar sus contraseñas	Emulador de PDC
Los usuarios no pueden iniciar sesión en su computadora	Emulador de PDC	La hora del dominio no está sincronizada y la autenticación Kerberos falla

La falla de un controlador de dominio con roles FSMO no conduce al mal funcionamiento de un dominio. Sin embargo, hace que sea imposible realizar muchas operaciones, en realidad cambiando el dominio al modo de «solo lectura». En caso de falla de un controlador de dominio con roles FSMO, puede usar el procedimiento de asumir roles FSMO de un controlador de dominio fallido.

Nota. Si necesita mover la función FSMO a un DC diferente y el titular de la función actual está en línea, debe transferir (no asumir) la función al nuevo DC. Los roles de FSMO solo deben asumirse cuando el titular del rol actual no está disponible. Después de asumir el rol de FSMO, el host titular anterior nunca debe volver a conectarse en su red, ya que esto puede romper su AD.

¿Cómo verificar el estado de los roles de FSMO en el bosque de Active Directory?

Puede utilizar la herramienta dcdiag para comprobar rápidamente el estado de los titulares de roles de FSMO en Active Directory. Ejecute el siguiente comando con las credenciales de administrador de la empresa:

dcdiag.exe /Test:FSMOCheck

O puede verificar solo el propietario de FSMO específico en el dominio:

Dcdiag.exe /TEST:RidManager /v

Starting test: RidManager

* Available RID Pool for the Domain is 1600 to 1073741823

* dc02.theitbros.com is the RID Master

* DsBind with RID Master was successful

* rIDAllocationPool is 1100 to 1599

* rIDPreviousAllocationPool is 1100 to 1599

* rIDNextRID: 1130

......................... DC02 passed test RidManager

Ocasionalmente, verifique si todos los roles de FSMO están disponibles o escriba una secuencia de comandos para hacer esto automáticamente usando el Programador de tareas.

Herramientas de administración para administrar roles FSMO

Para administrar y transferir funciones de FSMO en el dominio de Active Directory, puede utilizar la herramienta de línea de comandos ntdsutil.exe o los complementos MMC de la interfaz gráfica de usuario:

Dominios y fideicomisos de Active Directory — rol de maestro de nombres de dominio;
Directorio activo de usuarios y computadoras — Roles de maestro de ID relativo, maestro de infraestructura y emulador de controlador de dominio principal;
Esquema de directorio activo — Función de maestro de esquema.

Además, puede mover los roles de FSMO con PowerShell:

Move-ADDirectoryServerOperationMasterRole -Identity "dc02" –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster

Puede mover todos los roles de FSMO o solo algunos. En este ejemplo, los 5 roles FSMO se transfieren del propietario actual (dondequiera que estén) al host dc02.

Eso es todo. Esperemos que esto haya ayudado a aclarar un poco la situación con el rol de FSMO. En futuros artículos, analizaremos más de cerca cada uno de los roles de FSMO y sus características.

Valora este artculo post

Prácticas recomendadas para los roles de FSMO de Active Directory – 2xsoftware

¿Cuáles son los 5 roles de FSMO en Active Directory?

Mejores prácticas recomendadas para la ubicación de roles de FSMO

¿Qué sucede si falla el propietario de la función FSMO?

¿Cómo verificar el estado de los roles de FSMO en el bosque de Active Directory?

Herramientas de administración para administrar roles FSMO

Deja una respuesta Cancelar la respuesta

Entradas recientes

Archivos

Categorías

Meta

¿Cuáles son los 5 roles de FSMO en Active Directory?

Mejores prácticas recomendadas para la ubicación de roles de FSMO

¿Qué sucede si falla el propietario de la función FSMO?

¿Cómo verificar el estado de los roles de FSMO en el bosque de Active Directory?

Herramientas de administración para administrar roles FSMO

Related Posts

Uso de Process Monitor (ProcMon) para rastrear cambios en archivos y registros – 2xsoftware

¿Cómo migrar perfiles de usuario con la herramienta de migración de estado de usuario (USMT) en Windows 10? – 2xsoftware

¿Cómo cerrar la sesión del usuario de forma remota con la línea de comandos? – 2xsoftware

Deja una respuesta Cancelar la respuesta

Entradas recientes

Archivos

Categorías

Meta