Skip to main content

Función de roles FSMO

863 words 5 min
Windows Server PowerShell Active Directory

Los roles FSMO (Flexible Single Master Operations) son roles críticos en un entorno de Active Directory que se asignan a uno o más controladores de dominio para garantizar que ciertas tareas administrativas y de replicación se manejen de manera centralizada. Existen cinco roles FSMO, y cada uno tiene una función específica en el funcionamiento de Active Directory. A continuación, te detallo para qué sirve cada uno:

1. PDC Emulator (Emulador de PDC)

  • Función Principal: Este rol es responsable de emular el comportamiento de un controlador de dominio de Windows NT (PDC), y es utilizado principalmente en entornos mixtos con versiones anteriores de Windows Server (como Windows NT 4.0).
  • Funciones Específicas:
    • Autenticación de contraseñas: Cuando un usuario cambia su contraseña, el PDC Emulator es responsable de realizar la actualización en la base de datos de contraseñas.
    • Sincronización de tiempo: El PDC Emulator es el servidor principal para la sincronización de la hora en el dominio, ya que se asume como la fuente de tiempo para todo el dominio.
    • Políticas de Grupo: Es responsable de manejar ciertos tipos de políticas de grupo y la administración de contraseñas.
    • Copia maestra de cambios en contraseñas: Es el único servidor autorizado a recibir cambios de contraseñas en todo el dominio, lo que significa que si otros DCs tienen problemas de replicación, las contraseñas no se sincronizarán correctamente.

2. RID Master (Master de RID)

  • Función Principal: El Master de RID se encarga de asignar rangos de identificadores únicos (RID) a los controladores de dominio dentro del dominio. Los RID son una parte de la identificación única de un objeto en Active Directory (como un usuario o un grupo).
  • Funciones Específicas:
    • Asignación de RIDs: Cada objeto en Active Directory tiene un RID único que es asignado cuando el objeto es creado. El RID Master es el único que puede asignar bloques de RIDs a otros controladores de dominio.
    • Si el RID Master está fuera de línea por un tiempo, los otros controladores de dominio no podrán crear nuevos objetos en el directorio porque no podrán obtener nuevos RIDs.

3. Infrastructure Master (Master de Infraestructura)

  • Función Principal: El Master de Infraestructura se encarga de mantener las referencias a objetos de otros dominios en Active Directory. Este rol es esencial para las relaciones de confianza entre dominios.
  • Funciones Específicas:
    • Referencias cruzadas entre dominios: Si un objeto en un dominio tiene una referencia a un objeto en otro dominio (por ejemplo, si un usuario está en un grupo de otro dominio), el Infrastructure Master asegura que esas referencias estén actualizadas.
    • Si el Infrastructure Master está en un dominio que es también un Global Catalog Server, entonces no podrá hacer su trabajo correctamente, ya que el Global Catalog ya maneja información de objetos de todo el bosque.

4. Schema Master (Master de Esquema)

  • Función Principal: El Schema Master es responsable de manejar cambios en el esquema de Active Directory. El esquema es la definición de todos los tipos de objetos y atributos que pueden almacenarse en Active Directory.
  • Funciones Específicas:
    • Modificaciones al Esquema: Si se desea agregar un nuevo tipo de objeto o atributo a Active Directory (por ejemplo, un nuevo tipo de cuenta o una nueva propiedad para los usuarios), ese cambio debe ser realizado a través del Schema Master.
    • Modificaciones del esquema: Solo un controlador de dominio que tenga el rol Schema Master puede aplicar cambios al esquema. Los otros controladores de dominio no pueden hacerlo.

5. Domain Naming Master (Master de Nombres de Dominio)

  • Función Principal: El Domain Naming Master es responsable de manejar los cambios en el nombre de dominio dentro del bosque de Active Directory.
  • Funciones Específicas:
    • Creación y eliminación de dominios: Si necesitas agregar un nuevo dominio o eliminar uno en el bosque de Active Directory, el Domain Naming Master es el rol que se encarga de este proceso.
    • Cambios en los nombres de dominio: Cualquier intento de cambiar el nombre de un dominio o la estructura de dominios dentro de un bosque se realiza a través del Domain Naming Master.

Resumen de las Funciones de Cada Rol FSMO

RolFunción Principal
PDC EmulatorSincronización de la hora, gestión de contraseñas, políticas de grupo y emulación de PDC en entornos mixtos.
RID MasterAsigna bloques de RIDs a controladores de dominio para crear objetos.
Infrastructure MasterMantiene las referencias de objetos entre dominios.
Schema MasterRealiza modificaciones en el esquema de Active Directory (agregar nuevos atributos o clases de objetos).
Domain Naming MasterGestiona la creación y eliminación de dominios en un bosque.

¿Cuántos Controladores de Dominio Deben Tener Estos Roles?

  • Idealmente, solo debe haber un controlador de dominio con cada uno de estos roles dentro de un dominio o bosque para evitar conflictos y asegurar que las operaciones se realicen de forma centralizada.
  • Sin embargo, en entornos grandes o complejos, los roles FSMO pueden ser movidos a otros controladores de dominio si es necesario por razones de disponibilidad o rendimiento. Esto se hace generalmente a través de herramientas como ntdsutil o PowerShell.

Verificación de Roles FSMO

Para verificar qué servidor está gestionando cada uno de los roles FSMO, puedes usar el siguiente comando de PowerShell:

netdom query fsmo

Para mover roles puedes consultar en Mover roles FSMO