Funciones de lmaestro de operaciones
Active Directory admite la replicación de varios maestros del almacén de datos de directorio entre todos los controladores del dominio, de modo que todos ellos se encuentran, básicamente, en el mismo nivel. No obstante, hay cambios que no se pueden realizar utilizando la replicación de varios maestros. En estos casos, un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes para realizar este tipo de cambios.
En cada bosque existen, al menos, cinco funciones de maestro de operaciones que se asignan a uno o varios controladores de dominio. Las funciones de maestro de operaciones de todo el bosque deben aparecer una única vez en cada bosque. Las funciones de maestro de operaciones de todo el dominio deben aparecer una única vez en cada dominio del bosque.
Nota
* Las funciones de maestro de operaciones también se denominan funciones flexibles de operaciones de un solo maestro (FSMO).
Funciones de maestro de operaciones en todo el bosque
Cada bosque debe tener las siguientes funciones:
* Maestro de esquema
* Maestro de nombres de dominio
Estas funciones deben ser únicas en el bosque. Es decir, en todo el bosque sólo puede haber un maestro de esquema y un maestro de nombres de dominio.
Maestro de esquema
El controlador de dominio del maestro de esquema controla todas las actualizaciones y los cambios que tienen lugar en el esquema. Para poder actualizar el esquema de un bosque, debe tener acceso al maestro de esquema. Sólo puede haber un maestro de esquema en todo el bosque.
Maestro de nombres de dominio
El controlador de dominio con la función del maestro de nombres de dominio controla la adición o eliminación de los dominios del bosque. Sólo puede haber un maestro de nombres de dominio en todo el bosque.
Nota
* Cualquier controlador de dominio que ejecute Windows Server 2003 puede desempeñar la función de maestro de nombres de dominio. Los controladores de dominio que ejecutan Windows 2000 Server y desempeñan la función de maestro de nombres de dominio deben estar habilitados también como servidor de catálogo global.
Funciones de maestro de operaciones en todo el dominio
Cada dominio del bosque debe tener las siguientes funciones:
* Maestro de Id. relativo (RID)
* Maestro emulador del controlador principal de dominio (PDC)
* Maestro de infraestructuras
Estas funciones deben ser únicas en cada dominio. Esto significa que en cada dominio del bosque sólo puede haber un maestro de RID, un maestro emulador del PDC y un maestro de infraestructuras.
Maestro de RID
El maestro de RID asigna secuencias de Id. relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento sólo puede haber un controlador de dominio que actúe como maestro de RID en cada dominio del bosque.
Siempre que un controlador de dominio crea un usuario, un grupo o un objeto de equipo, asigna un Id. de seguridad (SID) único al objeto creado. Este SID se compone de un SID de dominio, que es el mismo para todos los SID creados en el dominio, y de un RID, que es único para cada uno de los SID creados en el dominio.
Para mover un objeto de un dominio a otro (con Movetree.exe), debe iniciar la operación en el controlador de dominio que actúa como maestro de RID en el dominio que contiene el objeto en ese momento.
Maestro emulador de PDC
Si el dominio contiene equipos que operan sin el software de cliente de Windows 2000 o Windows XP Professional o bien si contiene controladores de dominio de reserva (BDC) de Windows NT, el maestro emulador de PDC actúa como controlador principal de dominio de Windows NT. Se ocupa de procesar los cambios de contraseña de los clientes y replica las actualizaciones en los BDC. En todo momento sólo puede haber un controlador de dominio que actúe como maestro emulador del PDC en cada dominio del bosque.
De manera predeterminada, el maestro emulador del PDC también se encarga de sincronizar la hora en todos los controladores del dominio. El emulador del PDC de un dominio sincroniza su reloj con el de cualquier otro controlador del dominio principal. El emulador del PDC en el dominio principal se deberá configurar para que se sincronice con un recurso de hora externo. La hora del emulador del PDC se puede sincronizar con un servidor externo mediante la ejecución del comando "net time" con la sintaxis siguiente:
net time \\nombreServidor/setsntp:recursoHora
El resultado final será que la hora sólo variará unos pocos segundos entre todos los equipos del bosque entero que ejecuten Windows Server 2003 o Windows 2000.
El emulador del PDC recibe una replicación preferencial de los cambios realizados en las contraseñas por otros controladores del dominio. Si una contraseña ha cambiado recientemente, ese cambio tarda algún tiempo en replicarse en cada controlador del dominio. Si una autenticación de inicio de sesión produce un error en otro controlador de dominio debido a una contraseña incorrecta, ese controlador de dominio reenviará la solicitud de autenticación al emulador del PDC antes de rechazar el intento de inicio de sesión.
El controlador de dominio configurado con la función de emulador del PDC admite dos protocolos de autenticación:
* el protocolo Kerberos V5
* el protocolo NTLM
Maestro de infraestructuras
En todo momento sólo puede haber un controlador de dominio que actúe como maestro de infraestructuras en cada dominio. El maestro de infraestructuras es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios. El maestro de infraestructuras compara sus datos con los del catálogo global. Los catálogos globales reciben actualizaciones periódicas de los objetos de todos los dominios mediante la replicación, de forma que los datos de los catálogos globales siempre están actualizados. Si el maestro de infraestructuras encuentra datos sin actualizar, solicita los datos actualizados a un catálogo global. Después el maestro de infraestructuras replica los datos actualizados en los otros controladores del dominio.
Importante
* A menos que haya un único controlador de dominio en el dominio, la función de maestro de infraestructuras no debe asignarse al controlador de dominio que alberga el catálogo global. Si el maestro de infraestructuras y el catálogo global se encuentran en el mismo controlador de dominio, el maestro de infraestructuras no funcionará. El maestro de infraestructuras no encontrará nunca datos no actualizados, por lo que nunca replicará los cambios en los otros controladores del dominio.
Si todos los controladores del dominio también albergan el catálogo global, todos los controladores de dominio ya tendrán los datos más actuales y será irrelevante conocer el controlador de dominio que desempeña la función de maestro de infraestructuras.
El maestro de infraestructuras también es responsable de actualizar las referencias de grupos a usuarios cada vez que hay alguna variación o cambio de nombre en los miembros de un grupo. Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside en un dominio distinto del grupo), puede que durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grupo de forma que sepa en todo momento el nuevo nombre o ubicación del miembro. Así se evita perder las pertenencias de grupo que están asociadas a una cuenta de usuario, en caso de mover o cambiar el nombre de dicha cuenta. El maestro de infraestructuras distribuye la actualización a través de la replicación de varios maestros.
La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualización del grupo. Sólo un administrador que esté examinando la pertenencia a ese grupo en particular podría darse cuenta de la falta momentánea de coherencia.
