{"id":2079,"date":"2013-03-15T09:00:00","date_gmt":"2013-03-15T12:00:00","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=2079"},"modified":"2015-09-18T19:23:42","modified_gmt":"2015-09-18T22:23:42","slug":"roles-fsmo-de-active-directory-review","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=2079","title":{"rendered":"Roles FSMO de Active Directory {ReView}"},"content":{"rendered":"<p align=\"justify\"><font size=\"2\">El prop\u00f3sito de la siguiente nota es describir la importancia de los servicios de directorio de Windows (<i>Active Directory Services<\/i>) detallando algunas de sus caracter\u00edsticas, su funcionalidad y los roles FSMO. Sin lugar a dudas Windows Server es un sistema operativo excelente por sus prestaciones, robustez y confiabilidad, pero generalmente se desconoce el por qu\u00e9, y qu\u00e9 elementos contiene. Este es el caso de <i>Active Directory,<\/i> uno de los puntos primordiales.<\/font><\/p>\n<h3>Que es <i>Active Directory?<\/i><\/h3>\n<p align=\"justify\"><font size=\"2\">Podemos decir como definici\u00f3n pura que <i>Active Directory<\/i> es el servicio de directorio Windows server 2003, que almacena informaci\u00f3n acerca de los objetos de la red y pone a disposici\u00f3n de los usuarios y administradores de la red dicha informaci\u00f3n. Ahora bien: qu\u00e9 es un directorio, objetos y dem\u00e1s caracter\u00edsticas? <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Debemos definir <i>directorio<\/i> como una estructura jer\u00e1rquica en la cual se almacena informaci\u00f3n acerca de los objetos que componen nuestra red, considerando como objetos todo aquellos elementos que tengan entidad, como ser: un member server, una computadora, un usuario, una impresora, etc. Incluso algunos objetos pueden llegar a ser containers para otros objetos.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Es decir (<i>Active Directory<\/i>), provee una estructura y las funciones necesarias para organizar, administrar y controlar recursos de forma centralizada, por lo cual toda esta informaci\u00f3n se almacena tambi\u00e9n en forma centralizada. Por ejemplo, se almacenan los datos (atributos) acerca de las cuentas de usuarios, recopilando toda la informaci\u00f3n acerca de un usuario en distintas solapas, como se puede ver en la Figura 1. En esta caso en particular, el <i>Active Directory<\/i> se encuentra extendido ya que posee las propiedades de un servidor de correo Microsoft Exchange.<\/font><\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/Figura01.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"Figura01\" style=\"border-left-width: 0px; border-right-width: 0px; background-image: none; border-bottom-width: 0px; padding-top: 0px; padding-left: 0px; margin: 5px; display: inline; padding-right: 0px; border-top-width: 0px\" border=\"0\" alt=\"Figura01\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/Figura01_thumb.jpg\" width=\"544\" height=\"672\" \/><\/a><\/p>\n<p align=\"justify\"><font size=\"2\">Asimismo, no solo almacena los datos del usuario y su password, sino tambi\u00e9n permite a otros usuarios autorizados, a manejar dicha informaci\u00f3n, admitiendo la delegaci\u00f3n de la administraci\u00f3n a administradores espec\u00edficos de ciertos recursos, y no de toda la red de Windows Server 2003.<\/font><\/p>\n<h3>La estructura L\u00f3gica de Active Directory<\/h3>\n<p align=\"justify\"><font size=\"2\">Como mencionamos anteriormente la estructura de <i>Active Directory<\/i> es jer\u00e1rquica. La estructura ser\u00eda similar a la mostrada en la Figura2.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/Figura02.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"Figura02\" style=\"border-left-width: 0px; border-right-width: 0px; background-image: none; border-bottom-width: 0px; padding-top: 0px; padding-left: 0px; margin: 5px; display: inline; padding-right: 0px; border-top-width: 0px\" border=\"0\" alt=\"Figura02\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/Figura02_thumb.jpg\" width=\"544\" height=\"569\" \/><\/a><\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Dentro de la estructura podemos observar los siguientes elementos:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Objetos.<\/i><\/b> Estos son los componentes b\u00e1sicos de la estructura l\u00f3gica. <\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Clases. <\/i><\/b>Son los modelos o las plantillas para los tipos de objetos que se pueden crear en <i>Active Directory<\/i>. Cada clase de objeto es definida por un grupo de atributos, los cuales identifican los posibles valores que puede tomar cada objeto. Cada objeto tiene una combinaci\u00f3n \u00fanica de los valores de atributos.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Unidades Organizativas. <\/i><\/b>Son contenedores de objetos y sirven para organizarlos (con fines netamente administrativos). Se puede delegar la autoridad para administrarlas e incluso asignarles pol\u00edticas de seguridad especiales a cada una.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Dominios. <\/i><\/b>Son las unidades funcionales \u201c<i>Core<\/i>\u201d de la estructura l\u00f3gica de AD; se las puede considerar como una colecci\u00f3n de los objetos administrativos definidos, que comparten un directorio, pol\u00edticas de seguridad y relaciones de confianza con otros Dominios.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Domain tree.<\/i><\/b> Son Dominios agrupados en estructuras jer\u00e1rquicas: al agregar un segundo dominio en una estructura, este ultimo se convierte en Child del dominio principal (domain tree)y as\u00ed sucesivamente. Un ejemplo de ellos ser\u00eda ba.laboratorio.com.ar (Child), donde el domain tree seria laboratorio.com.ar.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Forests. <\/i><\/b>Un Forest es una instancia completa de Active Directory, y consiste en uno o m\u00e1s trees. <\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/Schema.png\"><img loading=\"lazy\" decoding=\"async\" title=\"Schema\" style=\"border-left-width: 0px; border-right-width: 0px; background-image: none; border-bottom-width: 0px; padding-top: 0px; padding-left: 0px; margin: 5px; display: inline; padding-right: 0px; border-top-width: 0px\" border=\"0\" alt=\"Schema\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/Schema_thumb.png\" width=\"544\" height=\"380\" \/><\/a><\/p>\n<h3>La funcionalidad de Active Directory<\/h3>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/DoaminController.png\"><img loading=\"lazy\" decoding=\"async\" title=\"DoaminController\" style=\"border-left-width: 0px; border-right-width: 0px; background-image: none; border-bottom-width: 0px; float: left; padding-top: 0px; padding-left: 0px; margin: 5px; display: inline; padding-right: 0px; border-top-width: 0px\" border=\"0\" alt=\"DoaminController\" align=\"left\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/DoaminController_thumb.png\" width=\"244\" height=\"553\" \/><\/a><font size=\"2\">Como describimos anteriormente, <i>Active Directory<\/i> es el medio, la herramienta para organizar, administrar y controlar de forma centralizada nuestra red y los recursos que hay en ella. Provee al usuario los recursos disponibles, independientemente de su ubicaci\u00f3n y de la forma en que este conectada a la red.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\"><i>Active Directory<\/i> proporciona distintas herramientas para facilitar las tareas de administraci\u00f3n, permitiendo controlar escritorios distribuidos, servicios de red y aplicaciones desde una oficina central, y con consolas centralizadas, disminuyendo dichas tareas. <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Dentro de las funcionalidades que presenta <i>Active Directory<\/i> se encuentran:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Posibilidad de funcionar como servicio Non-Operating System.<\/i><\/b> Active Directory in Application Mode (AD\/AM) es un feature nuevo d<i>e Active Directory<\/i> de Windows Server 2003, act\u00faa en escenarios de aplicaciones Directory-Enabled. AD\/AM funciona como servicio Non-Operating System que, como tal, no requiere instalaci\u00f3n sobre un Domain Controller. Este tipo de servicios ejecutan m\u00faltiples instancias de AD\/AM en un mismo server, a su vez configurando cada una de ellas de forma independiente.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Renombrado de Dominios: <\/i><\/b>Existe la posibilidad de renombrar dominios sin modificar la estructura del AD. Este caracter\u00edstica facilita mucho las tareas de reestructuraci\u00f3n de dominios. <\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>ADMT versi\u00f3n 2.0<\/i><\/b>: Con esta utilidad se facilitan las labores a la hora de migrar a Active Directory. Active Directory Migration Tool (ADMT) tiene la opci\u00f3n de migrar passwords desde Microsoft Windows NT 4.0 a Windows 2000 y Windows Server 2003, o desde Windows 2000 a Dominios Windows Server 2003.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Schema: <\/i><\/b>Existe la posibilidad de habilitar o deshabilitar atributos y definiciones de clases Active Directory Schema.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Group Policy: <\/i><\/b>Existe una consola de administraci\u00f3n centralizada de pol\u00edticas que fue lanzada en forma conjunta con Windows Server 2003, Group Policy Management Console (GPMC). Por medio de ella se pueden administrar las pol\u00edticas de m\u00faltiples dominios, realizar backups y restores de las mismas, activar o desactivar pol\u00edticas, editarlas, generar reportes para visualizar y analizar las opciones que configura cada pol\u00edtica.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Relaciones de confianza: <\/i><\/b>Se realizaron mejoras en cuanto a las relaciones de confianza Inter-Forest.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Policies de Restricci\u00f3n de Software<\/i><\/b>: Existe la posibilidad proteger los entornos de Software no autorizados.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Replicaci\u00f3n de miembros en los grupos: <\/i><\/b>Se eliminaron las restricciones de 5000 usuarios por grupo, y se resolvieron los problemas de replicaci\u00f3n, ya que ahora cada miembro de un grupo es un atributo en si.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Manejo de Sites<\/i><\/b>: El manejo de sites incluye un nuevo algoritmo de Inter-Site Topology Generator (ISTG), eliminando la limitaci\u00f3n del n\u00famero m\u00e1ximo de Sites en 500 a 5000 Sites (Probado en laboratorios de Microsoft 3000<\/font><\/div>\n<\/li>\n<\/ul>\n<h3>Qu\u00e9 son los Operations Masters?<\/h3>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/Figura03.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"Figura03\" style=\"border-left-width: 0px; border-right-width: 0px; background-image: none; border-bottom-width: 0px; padding-top: 0px; padding-left: 0px; margin: 5px; display: inline; padding-right: 0px; border-top-width: 0px\" border=\"0\" alt=\"Figura03\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/Figura03_thumb.jpg\" width=\"544\" height=\"391\" \/><\/a><\/p>\n<p align=\"justify\"><font size=\"2\">Cuando se efect\u00faa un cambio en un servidor de dominio, este cambio es replicado a todos los <i>Domain Controllers<\/i> del mismo. Algunos cambios, por ejemplo los que se hacen en el schema, son replicados a todos los domains en el forest. Este tipo de replicaci\u00f3n es llamada <b><i>Multimaster Replication<\/i><\/b>.<\/font><\/p>\n<h2>Operaciones Single Master<\/h2>\n<p align=\"justify\"><font size=\"2\">Generalmente se utiliza <i>Single Master Replication<\/i>, para evitar errores o conflictos durante la r\u00e9plica. Con este m\u00e9todo, solamente un Domain Controller determinado es el que puede realizar los cambios en el <i>Active Directory<\/i>, evitando as\u00ed m\u00faltiples cambios simult\u00e1neos.<\/font><\/p>\n<h2>Operations Master Roles<\/h2>\n<p align=\"justify\"><font size=\"2\">Son roles espec\u00edficos del forest (o del domain) que son utilizados en las operaciones del <i>Single Master Replication<\/i>. S\u00f3lo el Domain Controller que tiene asignado el rol es quien puede realizar los cambios en el directorio. <\/font><\/p>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/LDAP.png\"><img loading=\"lazy\" decoding=\"async\" title=\"LDAP\" style=\"border-left-width: 0px; border-right-width: 0px; background-image: none; border-bottom-width: 0px; float: left; padding-top: 0px; padding-left: 0px; margin: 5px; display: inline; padding-right: 0px; border-top-width: 0px\" border=\"0\" alt=\"LDAP\" align=\"left\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/f9d7839e6038_8F40\/LDAP_thumb.png\" width=\"244\" height=\"119\" \/><\/a><font size=\"2\">Cada Domain Controller responsable de un rol especifico es denominado <i>Operation Master Rol<\/i>, y este es almacenado en el <i>Active Directory<\/i>. Los Operations Master Roles existen a nivel forest o nivel domain, y <i>Active Directory <\/i>define cinco de ellos.<\/font><\/p>\n<h2><b>Roles Forest-wide.<\/b><\/h2>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Schema master.<\/i><\/b> Se encarga de controlar las actualizaciones al schema. El schema contiene la definici\u00f3n de clases de objetos y atributos utilizados para crear todos los objetos (usuarios, computadoras, e impresoras).<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Domain Naming Master.<\/i><\/b> Se encarga de controlar las altas o bajas de dominios del forest. Cuando se agregue un dominio al forest, solamente el Domain Controller que tenga el rol Domain Naming Master, podr\u00e1 agregarlo.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Existen solamente un Schema Master y un Domain Naming Master por cada forest.<\/font><\/p>\n<h2><b>Roles Domain-wide:<\/b><\/h2>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Primary Domain Controller Emulator (PDC).<\/i><\/b> Este rol act\u00faa como un PDC Windows NT para dar soporte a los Backup Domain Controllers (BDCs) los cuales se ejecutan en dominios Windows NT, en modo mixto. Este tipo de dominios se caracterizan por tener en su infraestructura un Domain Controller con Windows NT 4.0.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Relative Identifier Master (RID).<\/i><\/b> Es el rol encargado de vincular el RID a los objetos creados. Esto ocurre de la siguiente manera: cuando un objeto es creado, el Domain Controller genera un <i>Security Principal<\/i> que lo representa, y le asigna un <i>Unique Security Principal<\/i> (SID). Este SID es igual para todos los <i>security Principals<\/i> del dominio, y un <i>Relative Identifier<\/i> (RID), que es \u00fanico para cada <i>Security Principal<\/i> de todo el dominio.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><b><i>Infrastructure Master. <\/i><\/b>Es el encargado de actualizar las referencias de cada objeto dentro del dominio cuando sufre alguna modificaci\u00f3n. <\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Cada dominio en el forest tiene su propio PDC Emulator, RID Master e Infraestructure Master.<\/font><\/p>\n<p>Espero que les haya aclarado el panorama. Saludos, Roberto Di Lello.<\/p>\n<h4>Links y Lectura Adicional:<\/h4>\n<ul>\n<li><a href=\"http:\/\/www.microsoft.com\/technet\/prodtechnol\/windowsserver2003\/es\/library\/ServerHelp\/a9d684f0-90b1-4c67-8dca-7ebf803a003d.mspx?mfr=true\">Microsoft Windows Server 2003 TechCenter \u2013 Active Directory<\/a> <\/li>\n<li><a href=\"http:\/\/www.microsoft.com\/technet\/prodtechnol\/windowsserver2003\/es\/library\/ServerHelp\/77a19ae8-bffe-42ca-a841-3d18ea62dc9b.mspx?mfr=true\">Microsoft Windows Server 2003 TechCenter \u2013 Conceptos de Active Directory<\/a> <\/li>\n<li><a href=\"http:\/\/www.microsoft.com\/windowsserver2003\/technologies\/directory\/activedirectory\/default.mspx\">Windows Server 2003 R2 \u2013 Windows Server 2003 Active Directory (Ingles)<\/a> <\/li>\n<li><a href=\"http:\/\/www.microsoft.com\/windowsserver2003\/evaluation\/overview\/technologies\/activedirectory.mspx\">Windows Server 2003 R2 \u2013 What\u2019s New in Active Directory (Ingles)<\/a> <\/li>\n<li><a href=\"http:\/\/support.microsoft.com\/default.aspx?scid=kb;en-us;324801\">Proceso de transferencia de roles FSMO<\/a> <\/li>\n<li><a href=\"http:\/\/www.microsoft.com\/windowsserver2003\/techinfo\/overview\/adam.mspx\">ADAM (Active Directory Aplication Mode)<\/a> <\/li>\n<li>Fuente: Revista NextIT#35 <\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>El prop\u00f3sito de la siguiente nota es describir la importancia de los servicios de directorio&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[12,11,158,14],"tags":[217,225,295,194,195,243],"class_list":["post-2079","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2003-r2","category-2008-r2","category-windows-server-2012","category-review","tag-ad-domain-services","tag-fsmo","tag-review","tag-windows-server-2003-r2","tag-windows-server-2008-r2","tag-windows-server-2012-r2"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/2079","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2079"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/2079\/revisions"}],"predecessor-version":[{"id":2084,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/2079\/revisions\/2084"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2079"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2079"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2079"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}