El Catálogo Global es un repositorio de datos distribuido que contiene una representación parcial de cada objeto de cada dominio en una infraestructura de Active Directory. Cuando hablamos de una representación parcial, estamos diciendo que tiene algunas propiedades de los objetos, no todas, dado que tener todas las propiedades de todos los objetos de AD tendría un costo (de transferencia y espacio) muy grande. Esta representación parcial es de solo lectura, y tiene funciones bien identificadas.
Esta función puede ser llevada a cabo por los controladores de dominio que están distinguidos con dicha función. Está presente desde los servicio de Active Directory en Windows 2000, e incluso en Active Directory Domain Services de Windows Server 2012.
Directorio Activo
Esta base de datos, es una base de datos LDAP, dividida en particiones, siendo las principales, la de Dominio, la de Configuración y la de Esquema. En la partición de Dominio se almacenan todos los objetos que los administradores crean en el Dominio, como usuarios, equipos, unidades organizativas, grupos, etc…
En la de Configuración se almacena información de estructura del Forest, como cuantos dominios existen y como se llaman, cuales son sus controladores de dominio, relaciones de confianza que unen a los dominios….,
Por último, en la partición de esquema se guardan las definiciones de todos los objetos que se pueden crear en el directorio activo, es decir que atributos los componen, como por ejemplo que un objeto usuario está definido por un grupo exacto de atributos, como el nombre, apellido, número de empleado etc… Este esquema nos sirve de plantilla cuando deseamos crear un objeto. Cuando creamos un nuevo usuario, el directorio activo busca en el esquema la definición del objeto y saca un duplicado. En ese momento nosotros vemos en pantalla el formulario para introducir los nuevos datos de dicho usuario.
El punto clave radica en como replica la base de datos del directorio activo. La replicación varia dependiendo de la partición. La partición de dominio únicamente replica con los controladores de dominio del mismo dominio, en cambio las particiones de configuración y de esquema replican con todos los controladores de dominio del bosque.
Es decir si alguien realiza una modificación a la partición de configuración, afecta no únicamente a su dominio sino a todo el Forest. También existen aplicaciones que deben extender el esquema con nuevos atributos y objetos, o modificar algunos existentes, lo cual también afecta a todo el Forest.
Vamos a describir los 5 FSMO Roles. Hay dos roles que son a nivel de Bosque, o sea que hay uno de esos roles en todo el Bosque de Active Directory.
Y hay tres roles que son a nivel de Dominio, en cada Dominio Active Directory están esos tres roles.
Para saber qué Controlador de Dominio tiene qué roles, aunque lo podemos hacer con la interfaz gráfica, hay un comando mucho más simple. Desde un CMD.EXE ejecutamos:
NETDOM QUERY FSMO
Maestros de Operación a nivel de Bosque
Maestro de Esquema (Schema Master): Sólo un Controlador de Dominio del Dominio raíz lo va a tener. Cualquier cambio que se haga en el Esquema, no importa desde dónde, la herramienta de edición del Esquema se enfocará en el que tenga este rol
Si queremos ver quién tiene este rol usando la interfaz gráfica, debemos primero registrar una DLL. Desde una línea de comando (CMD.EXE) ejecutada como administrador ejecutar: REGSVR32 SCHMMGMT.DLL
Luego crear una MMC.EXE cargando el componente Esquema de Active Directory
Luego con botón derecho sobre Esquema de Active Directory, elegimos Maestro de Operaciones
Maestro de Nomenclatura de Dominios (Domain Naming Master): La función que provee es garantizar la unicidad de los nombres de los Dominios que se agreguen al Bosque.
Esto es necesario porque podría darse el caso, por ejemplo, que dos administradores “desconectados” entre sí, traten de dar de alta simultáneamente el mismo subdominio
Usando la interfaz gráfica si queremos saber quién tiene el rol, debemos abrir la consola Dominios y Confianzas de Active Directory, y con botón derecho sobre la raíz de la carpeta elegimos Maestros de Operaciones
Maestros de Operación a nivel de Dominio
Maestro RID (RID Master): Primero tenemos que explicar que es RID (Relative Identifier). Las cuentas de usuario, las de grupo, y las de equipo, cuando son creadas en un dominio, se les asigna un SID (Security ID). Lo podemos considerar en forma análoga a un documento personal. Es un identificador único y que nunca es reutilizado, aunque la cuenta original fuera eliminada.
Este SID, tiene tres partes principales. La primera parte (S-1-5-21-..) es un identificador asignado por ISO que especifica que es un identificador de seguridad asignado a Microsoft, para uso en dominios “NT”, etc.
La segunda parte es el identificador del Dominio, todas las cuentas de usuario, grupo y equipo de un dominio comparten estos datos.
La tercera y última (los números que siguen al último “-“ corresponden al RID, que es asignado en forma secuencial a partir del número 1000 a cada cuenta que se crea en el Dominio.
Vamos ahora a lo que nos interesa. Entiendo que todos conocemos que una cuenta puede crearse en cualquier Controlador de Dominio ya que cualquiera de ellos puede escribir en la base de Active Directory, pero sin embargo debemos asegurarnos que no se repitan los SIDs asignados a cada cuenta.
La solución pasa por tener un Controlador de Dominio que es el “dueño” de todos los RIDs, y que a pedido le asigna a cada Controlador de Dominio del Dominio rangos de RIDs. Cuando en un Controlador de Dominio este rango asignado comienza a agotarse (asigna de a 500, y cuando quedan sólo 50 disponibles) los Controladores de Dominio solicitarán al RID Master, otro rango de RIDs
Usando la interfaz gráfica, para ver quién tiene esta función, hay que abrir Usuarios y Equipos de Active Directory, botón derecho sobre el nombre del Dominio y elegir Maestro de Operaciones
Maestro de Infraestructura (Infrastructure Master): Supongamos que nuestro Active Directory consistiera de varios Dominios. En un ambiente como este se puede dar el caso que un usuario de un Dominio-A, esté “dentro” de un grupo de otro Dominio-B.
Por las capacidades propias de Active Directory y necesidad podríamos tener que mover la cuenta del usario (que está en Dominio-A) a otro Dominio-C
En este caso, en los grupos del Dominio-B se deberían actualizar todas las referencias a la cuenta de usuario; antes era “usuario de Dominio-A”, ahora debe ser “usuario de Dominio-C”.
Esta es justamente la función del Maestro de Infraestructura.
Si queremos ver quién tiene el rol usando la interfaz gráfica, es igual que en el caso anterior, sólo que esta vez seleccionamos la ficha Infraestructura
