RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

2008 & R2 2012 & R2 2016 Review

Roles FSMO de Active Directory {Teoria}

Avatar photo

ByRoberto Di Lello

Abr 10, 2015 , , , ,

El propósito de la siguiente nota es describir la importancia de los servicios de directorio de Windows (Active Directory Services) detallando algunas de sus características, su funcionalidad y los roles FSMO. Sin lugar a dudas Windows Server es un sistema operativo excelente por sus prestaciones, robustez y confiabilidad, pero generalmente se desconoce el por qué, y qué elementos contiene. Este es el caso de Active Directory, uno de los puntos primordiales.

Que es Active Directory?

Podemos decir como definición pura que Active Directory es el servicio de directorio Windows server 2003, que almacena información acerca de los objetos de la red y pone a disposición de los usuarios y administradores de la red dicha información. Ahora bien: qué es un directorio, objetos y demás características?

Debemos definir directorio como una estructura jerárquica en la cual se almacena información acerca de los objetos que componen nuestra red, considerando como objetos todo aquellos elementos que tengan entidad, como ser: un member server, una computadora, un usuario, una impresora, etc. Incluso algunos objetos pueden llegar a ser containers para otros objetos.

Es decir (Active Directory), provee una estructura y las funciones necesarias para organizar, administrar y controlar recursos de forma centralizada, por lo cual toda esta información se almacena también en forma centralizada. Por ejemplo, se almacenan los datos (atributos) acerca de las cuentas de usuarios, recopilando toda la información acerca de un usuario en distintas solapas, como se puede ver en la Figura 1. En esta caso en particular, el Active Directory se encuentra extendido ya que posee las propiedades de un servidor de correo Microsoft Exchange.

Figura01

Asimismo, no solo almacena los datos del usuario y su password, sino también permite a otros usuarios autorizados, a manejar dicha información, admitiendo la delegación de la administración a administradores específicos de ciertos recursos, y no de toda la red de Windows Server 2003.

La estructura Lógica de Active Directory

Como mencionamos anteriormente la estructura de Active Directory es jerárquica. La estructura sería similar a la mostrada en la Figura2.

Figura02

Dentro de la estructura podemos observar los siguientes elementos:

  • Objetos. Estos son los componentes básicos de la estructura lógica.
  • Clases. Son los modelos o las plantillas para los tipos de objetos que se pueden crear en Active Directory. Cada clase de objeto es definida por un grupo de atributos, los cuales identifican los posibles valores que puede tomar cada objeto. Cada objeto tiene una combinación única de los valores de atributos.
  • Unidades Organizativas. Son contenedores de objetos y sirven para organizarlos (con fines netamente administrativos). Se puede delegar la autoridad para administrarlas e incluso asignarles políticas de seguridad especiales a cada una.
  • Dominios. Son las unidades funcionales “Core” de la estructura lógica de AD; se las puede considerar como una colección de los objetos administrativos definidos, que comparten un directorio, políticas de seguridad y relaciones de confianza con otros Dominios.
  • Domain tree. Son Dominios agrupados en estructuras jerárquicas: al agregar un segundo dominio en una estructura, este ultimo se convierte en Child del dominio principal (domain tree)y así sucesivamente. Un ejemplo de ellos sería ba.laboratorio.com.ar (Child), donde el domain tree seria laboratorio.com.ar.
  • Forests. Un Forest es una instancia completa de Active Directory, y consiste en uno o más trees.

Schema

La funcionalidad de Active Directory

DoaminControllerComo describimos anteriormente, Active Directory es el medio, la herramienta para organizar, administrar y controlar de forma centralizada nuestra red y los recursos que hay en ella. Provee al usuario los recursos disponibles, independientemente de su ubicación y de la forma en que este conectada a la red.

Active Directory proporciona distintas herramientas para facilitar las tareas de administración, permitiendo controlar escritorios distribuidos, servicios de red y aplicaciones desde una oficina central, y con consolas centralizadas, disminuyendo dichas tareas.

Dentro de las funcionalidades que presenta Active Directory se encuentran:

  • Posibilidad de funcionar como servicio Non-Operating System. Active Directory in Application Mode (AD/AM) es un feature nuevo de Active Directory de Windows Server 2003, actúa en escenarios de aplicaciones Directory-Enabled. AD/AM funciona como servicio Non-Operating System que, como tal, no requiere instalación sobre un Domain Controller. Este tipo de servicios ejecutan múltiples instancias de AD/AM en un mismo server, a su vez configurando cada una de ellas de forma independiente.
  • Renombrado de Dominios: Existe la posibilidad de renombrar dominios sin modificar la estructura del AD. Este característica facilita mucho las tareas de reestructuración de dominios.
  • ADMT versión 2.0: Con esta utilidad se facilitan las labores a la hora de migrar a Active Directory. Active Directory Migration Tool (ADMT) tiene la opción de migrar passwords desde Microsoft Windows NT 4.0 a Windows 2000 y Windows Server 2003, o desde Windows 2000 a Dominios Windows Server 2003.
  • Schema: Existe la posibilidad de habilitar o deshabilitar atributos y definiciones de clases Active Directory Schema.
  • Group Policy: Existe una consola de administración centralizada de políticas que fue lanzada en forma conjunta con Windows Server 2003, Group Policy Management Console (GPMC). Por medio de ella se pueden administrar las políticas de múltiples dominios, realizar backups y restores de las mismas, activar o desactivar políticas, editarlas, generar reportes para visualizar y analizar las opciones que configura cada política.
  • Relaciones de confianza: Se realizaron mejoras en cuanto a las relaciones de confianza Inter-Forest.
  • Policies de Restricción de Software: Existe la posibilidad proteger los entornos de Software no autorizados.
  • Replicación de miembros en los grupos: Se eliminaron las restricciones de 5000 usuarios por grupo, y se resolvieron los problemas de replicación, ya que ahora cada miembro de un grupo es un atributo en si.
  • Manejo de Sites: El manejo de sites incluye un nuevo algoritmo de Inter-Site Topology Generator (ISTG), eliminando la limitación del número máximo de Sites en 500 a 5000 Sites (Probado en laboratorios de Microsoft 3000

Qué son los Operations Masters?

Figura03

Cuando se efectúa un cambio en un servidor de dominio, este cambio es replicado a todos los Domain Controllers del mismo. Algunos cambios, por ejemplo los que se hacen en el schema, son replicados a todos los domains en el forest. Este tipo de replicación es llamada Multimaster Replication.

Operaciones Single Master

Generalmente se utiliza Single Master Replication, para evitar errores o conflictos durante la réplica. Con este método, solamente un Domain Controller determinado es el que puede realizar los cambios en el Active Directory, evitando así múltiples cambios simultáneos.

Operations Master Roles

Son roles específicos del forest (o del domain) que son utilizados en las operaciones del Single Master Replication. Sólo el Domain Controller que tiene asignado el rol es quien puede realizar los cambios en el directorio.

LDAPCada Domain Controller responsable de un rol especifico es denominado Operation Master Rol, y este es almacenado en el Active Directory. Los Operations Master Roles existen a nivel forest o nivel domain, y Active Directory define cinco de ellos.

Roles Forest-wide.

  • Schema master. Se encarga de controlar las actualizaciones al schema. El schema contiene la definición de clases de objetos y atributos utilizados para crear todos los objetos (usuarios, computadoras, e impresoras).
  • Domain Naming Master. Se encarga de controlar las altas o bajas de dominios del forest. Cuando se agregue un dominio al forest, solamente el Domain Controller que tenga el rol Domain Naming Master, podrá agregarlo.

Existen solamente un Schema Master y un Domain Naming Master por cada forest.

Roles Domain-wide:

  • Primary Domain Controller Emulator (PDC). Este rol actúa como un PDC Windows NT para dar soporte a los Backup Domain Controllers (BDCs) los cuales se ejecutan en dominios Windows NT, en modo mixto. Este tipo de dominios se caracterizan por tener en su infraestructura un Domain Controller con Windows NT 4.0.
  • Relative Identifier Master (RID). Es el rol encargado de vincular el RID a los objetos creados. Esto ocurre de la siguiente manera: cuando un objeto es creado, el Domain Controller genera un Security Principal que lo representa, y le asigna un Unique Security Principal (SID). Este SID es igual para todos los security Principals del dominio, y un Relative Identifier (RID), que es único para cada Security Principal de todo el dominio.
  • Infrastructure Master. Es el encargado de actualizar las referencias de cada objeto dentro del dominio cuando sufre alguna modificación.

Cada dominio en el forest tiene su propio PDC Emulator, RID Master e Infraestructure Master.

Espero que les haya aclarado el panorama. Saludos, Roberto Di Lello.

Links y Lectura Adicional:

Fuente: Revista NextIT#35

Post Relacionados:

  1. Windows Server: Que es? Como Funciona? y Como se implementa el rol de DHCP en Windows Server 2008 {ScreenCast}
  2. Windows Server: Como limpiar la metadata de nuestro Directory Services {ScreenCast}
  3. Windows Server 2012: Replicacion, como hacer troubleshooting – Parte 2 {Tool}
  4. Windows Server 2012 R2: como administrar el resto de nuestros servidores Windows Server 2008 R2 desde el server manager del 2012
  5. FireEye: Solucion al error de seguridad de Internet Explorer para todos sus Sistemas Operativos, incluyendo XP {News}
Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

2012 & R2 2016 2019 Directory Services

C�mo verificar los requisitos de complejidad de las contrase�as en Active Directory [Howto]

Feb 15, 2024 Roberto Di Lello
2008 & R2 2012 & R2 2016

Windows Server: No existe carpetas SYSVOL y Netlogon en nuestro Controlador de�Dominio [segunda opcion]

Oct 10, 2023 Roberto Di Lello
2008 & R2 2012 & R2 2016 2019 Windows 10 Windows 11 Windows 7

Entendiendo el protocolo NTLM: Evaluaci�n de su entorno para la reducci�n de NTLM [Parte4]

Oct 3, 2023 Roberto Di Lello

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

You missed

Azure Windows 365

Como habilitar Password Self Service Portal en el portal Entra ID/Azure para nuestra empresa [Howto]

Abr 12, 2024 Roberto Di Lello
Azure

Microsoft Teams dejará de estar incluido en Office 365 en todo el mundo

Abr 5, 2024 Roberto Di Lello
Windows 365

Windows 365, la introduccion

Mar 25, 2024 Roberto Di Lello
Windows 11 Windows 365

Windows 11: primera gran actualización, mas CoPilot

Mar 22, 2024 Roberto Di Lello