lunes, 11 de noviembre de 2024

Funciones FSMO de Active Directory en Windows

Descarga aquí el ejercicio

https://learn.microsoft.com/es-es/troubleshoot/windows-server/identity/fsmo-roles

Existen 5 FSMO roles, 2 de ellos son a nivel de bosque, y 3 a nivel de dominio. En un bosque sólo puede haber un Schema Master y un Domain Naming Master. Y por cada dominio del bosque existirá un PDC Emulator, un RID Master y un Infrastructure Master.

FSMO roles a nivel de bosque:

  • Schema Master (Maestro de Esquema): El DC que tenga este rol es el único autorizado para modificar el esquema de AD. Cualquier cambio en el esquema, no importa desde que DC lo hagamos, siempre estará «conectado» al DC con el FSMO rol de Schema Master. Y éste tiene que estar siempre online cuando actualicemos el esquema.
  • Domain Naming Master (Maestro de Nombres de Dominio): Se encarga de autorizar el alta o baja de dominios en el bosque, así como de mantener una lista actualizada de todos los dominios existentes (para que, por ejemplo, no se dé el caso de intentar crear dos dominios con el mismo nombre al mismo tiempo). También tiene la función de añadir o eliminar particiones de aplicación en AD. Tiene que estar online cuando añadimos o eliminamos dominios o particiones de aplicación.

Es recomendable que el Schema Master, el Domain Naming Master y el PDC Emulator residan en el mismo DC del bosque raíz.

FSMO roles a nivel de dominio:

  • PDC Emulator (Emulador de PDC – Primary Domain Controller). Tiene varias funciones:

– Recibe las actualizaciones de las contraseñas de usuarios y equipos.
– Crea y actualiza las políticas de grupo (cuando modificamos las políticas del dominio desde la GPMC (Group Policy Management Console), ésta trata de conectarse siempre al DC con el FSMO rol de PDC).
– Sincroniza tiempos, sólo él puede sincronizar la hora con un servidor externo. Los demás DCs sincronizarán la hora con él.
– Debe estar siempre online y accesible.

Es recomendable que el PDC Emulator y el RID Master residan en el mismo DC.

  • RID Master (Relative Master ó Maestro de RID): En un dominio, cuando se crea un objeto (sea un usuario, un grupo o un equipo), se le asigna un SID (Security IDentifier) que es único y que nunca es reutilizado incluso aunque el objeto sea eliminado. Haciendo una analogía, es algo así como el documento de identidad personal. Un SID consta de tres partes:

  • Infrastructure Master (Maestro de Infraestructuras): En un entorno multidominio, es el responsable de actualizar las referencias de los objetos de un dominio en los objetos de otros dominios. En otras palabras, se encarga de traducir los GUIDs (Global Unique IDentifiers), los SIDs y los DNs (Distinguished Names) de los objetos de otros dominios. Si alguna vez habéis echado un vistazo a los miembros de un grupo local de un dominio el cual tiene miembros de otros dominios, a veces podéis encontraros con que esos usuarios y grupos del otro dominio se listan sólo por su SID, el Infrastructure Master del dominio en el que están esos objetos es el responsable de su traducción.

– Este rol sólo tiene «trabajo» cuando estamos en un entorno multidominio, y nunca debería estar ubicado en un DC que sea a su vez Global Catalog (GC, ó Catálogo Global). Cuando un DC es Catálogo Global, éste recibe actualizaciones periódicas de los objetos de todos los dominios mediante la replicación, de forma que la información sobre esos objetos siempre está actualizada.

– Si el maestro de infraestructuras encuentra objetos sin actualizar, solicita la información actualizada a un GC y después los replica a los otros DCs del dominio. 

– Si el maestro de infraestructuras y el GC se encuentran en el mismo DC, el maestro de infraestructuras no funcionará ya que nunca encontrará información no actualizada, por lo que nunca replicará los cambios a otros DCs del dominio.

Si todos los DCs son GC, todos tendrán los datos más actuales y será irrelevante conocer el DC que disponga el rol de maestro de infraestructuras.

Podemos ver los atributos de cualquier cuenta de usuario de dominio y sus valores utilizando la consola ADUC o la herramienta ADSIEdit.msc

– Registrar la dll del complemento desde una ventana de comandos, ejecutando lo siguiente: regsvr32 schmmgmt.dll. Aparecerá un mensaje confirmando el registro.

Registro dll esquema del directorio activo
Registro dll esquema del directorio activo

– Una vez registrada la dll, debemos abrir la consola mmc desde la búsqueda del sistema ejecutando mmc y seleccionar la opción Add/Remove Snap-in del menú File. Ahí, precisamente encontraremos la nueva consola registrada denominada Active Directory Schema.

Opción Snap-in de la consola MMC para crear nuevas consolas personalizadas
Opción Snap-in de la consola MMC para crear nuevas consolas personalizadas

– La añadimos y ya tenemos acceso a la consola del esquema del directorio activo donde podemos crear/modificar clases y atributos del esquema del directorio activo y cambiar el maestro de esquema.

Complemento de esquema del directorio activo
Complemento de esquema del directorio activo


Si un Controlador de Dominio asume forzadamente la función de otro (no transferencia normal), es decir se apodera de la función (“seize”), el Controlador de Dominio que previamente tenía la función es recomendable que NO vuelva a la red.

Fuente:https://itadmins.es/conceptos-ad-fsmo-roles/



FSMO Role

Alcance

Función y requerimientos

Maestro de Esquema

(Schema Master)

Organización
  • Lleva el control de las actualizaciones que se producen en el esquema de Active Directory.
  • El servicio debe estar disponible cuando debamos hacer una modificación del esquema, por ejemplo, al ejecutar adprep /forestprep, al instalar exchange o para introducir controladores de dominio.
  • Debe haber uno por bosque.

Domain naming master

(Maestro de nombres de dominio)

Organización
  • Es responsable de controlar si se agregan o eliminan dominios al bosque.
  • Si tenemos un problema agregando o eliminando un nuevo dominio del bosque, es uno de los primeros puntos que debemos revisar.
  • Debe haber uno por bosque.

RID master

(Maestro de identificadores relativos)

Dominio
  • Es el encargado de suministrar de bloques de RID activos y de reserva a los controladores de dominio del mismo dominio
  • Debe estar disponible cuando un controlador entra en funcionamiento y cuando necesite actualizar su bloque de RIDs.
  • Debe haber uno por dominio.

PDC emulator

(Emulador de PDC)

Dominio
  • Recibe y procesa los cambios de contraseñas de los usuarios y de las máquinas.
  • Es consultado por los controladores de dominio réplica cuando estos reciben solicitudes de autenticación con claves que no concuerdan.
  • Los cambios de las GPOs se realizan por defecto en el controlador que tenga este rol.
  • Debe estar disponible las 24 horas del día.
  • Debe haber uno por dominio.

Infrastructure master

(Maestro de infraestructura)

Dominio
  • Actualiza referencias y objetos fantasma del catálogo global en ambientes de múltiples dominios.
  • Debe haber uno por dominio

Cuando promueves el primer controlador de dominio del bosque, este por defecto tendrá los 5 roles FSMO.

Si creas otro dominio dentro del mismo bosque, el primer controlador de dominio de este nuevo dominio tendrá los 3 roles FSMO de dominio (domain-wide) y usará los otros 2 roles FSMO del controlador de dominio del dominio raíz.

Como recomendaciones generales:

  • A nivel de bosque, trata de mantener el Schema Master y el Domain Naming Master en el mismo controlador de dominio.
  • Adicionalmente el Domain Naming Master debe ser un catálogo global.
  • A nivel de dominio trata de mantener el RID y el PDC en el mismo controlador de dominio.
  • El rol de Infraestructura debe estar separado del rol de catálogo global (esto aplica únicamente si tienes varios dominios, de lo contrario pueden estar juntos). En un bosque que tiene un único dominio, no hay objetos fantasmas, por lo tanto, el rol de infraestructura no tiene nada que hacer.

 


Publicado por en