Funciones de FSMO de Active Directory de Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 197132 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Microsoft Windows 2000 Active Directory es el repositorio central en el que se almacenan todos los objetos de una empresa y sus atributos respectivos. Se trata de una base de datos jerárquica habilitada para varios maestros, capaz de almacenar millones de objetos. La posibilidad de trabajar con varios maestros permite que los cambios realizados en la base de datos se procesen en cualquier controlador de dominio (DC) de la empresa, tanto si está conectado a la red como si está desconectado.

Más información

Modelo de Windows 2000 con varios maestros

Las bases de datos compatibles con varios maestros, como Active Directory, permiten que los cambios se realicen en cualquier DC de la empresa, pero esta opción también introduce la posibilidad de que se produzcan conflictos que podrían derivar en problemas cuando los datos se repliquen al resto de la empresa. Uno de los métodos que utiliza Windows 2000 para solucionar los conflictos en las actualizaciones consiste en utilizar un algoritmo de resolución de conflictos que controla las discrepancias en los valores, eligiendo los de aquél DC en el que se escribieron los cambios en último lugar (es decir, "el último escrito gana") y descartando los cambios de todos los demás DC. Aunque este método de resolución puede ser aceptable en algunos casos, hay ocasiones en las que los conflictos son demasiado difíciles de resolver utilizando el método "el último escrito gana". En casos como éste, es mejor evitar que se produzca el conflicto que intentar resolverlo cuando ya se ha producido.

Para determinados tipos de cambios, Windows 2000 incorpora métodos para evitar que se produzcan actualizaciones contradictorias en Active Directory.

Modelo de maestro único de Windows 2000

Para evitar que en Windows 2000 se produzcan actualizaciones conflictivas, Active Directory realiza las actualizaciones de ciertos objetos en un modo de maestro único. En el modelo de maestro único, sólo uno de los DC del directorio tiene permiso para procesar las actualizaciones. Se trata de una función similar a la del controlador de dominio principal (PDC, primary domain controller) en las versiones anteriores de Windows (como Microsoft Windows NT 3.51 y 4.0), en las que el PDC era el responsable de procesar todas las actualizaciones de un dominio.

Windows 2000 Active Directory amplía el modelo de maestro único de versiones anteriores de Windows, incluyendo ahora varias funciones y la capacidad de transferir dichas funciones a cualquier controlador de dominio (DC) de la empresa. Como las funciones de Active Directory no están enlazadas a un único DC, se denominan funciones de Operaciones de maestro único flexible (FSMO, Flexible Single Master Operation). Actualmente, en Windows 2000 hay cinco funciones FSMO:

  • Maestro de esquema
  • Maestro de nombres de dominio
  • Maestro RID
  • Emulador de PDC
  • Demonio de infraestructura

Función FSMO de maestro de esquema

El titular de la función FSMO de maestro de esquema es el DC responsable de realizar las actualizaciones en el esquema del directorio (es decir, el contexto de nomenclatura del esquema o LDAP://cn=esquema,cn=configuración,dc=<dominio>). Este DC es el único que puede procesar las actualizaciones al esquema del directorio. Una vez completada la actualización del Esquema, se replica desde el maestro de esquema a todos los demás DC del directorio. Únicamente hay un maestro de esquema por cada directorio.

Función FSMO de maestro de nombres de dominio

El DC titular de la función FSMO de maestro de nombres de dominio es responsable de realizar los cambios en el espacio de nombres de dominio del bosque del directorio (es decir, en el contexto de nomenclatura Particiones\Configuración o en LDAP://CN=Particiones, CN=Configuración, DC=<dominio>) Este DC es el único que puede agregar o quitar un dominio del directorio. También puede agregar o quitar referencias cruzadas a dominios en directorios externos.

Función FSMO de maestro RID

El DC titular de la función FSMO de maestro RID es el único responsable de procesar las peticiones de grupos RID de todos los DC de un dominio. También es responsable de quitar objetos de un dominio y ponerlos en otro durante una operación de movimiento de objetos.

Cuando un DC crea un objeto principal de seguridad, como un usuario o un grupo, adjunta al objeto un Identificador de seguridad exclusivo (SID). El SID está formado por un SID de dominio (que es igual para todos los SID creados en el mismo dominio) y un Id. relativo (RID) único para cada SID principal de seguridad creado en un dominio.

A cada DC de Windows 2000 de un dominio se le asigna un grupo de RID que puede asignar a los principales de seguridad que crea. Cuando el conjunto de RID asignado a un DC supera un determinado umbral, el DC envía al maestro RID una petición para obtener RID adicionales. El maestro RID del dominio responde a la petición obteniendo un conjunto de RID de entre aquellos del dominio que no habían sido asignados aún y asociándolo al conjunto correspondiente al DC que realizó la petición. Hay un único maestro RID por cada dominio en un directorio.

Función FSMO de emulador PDC

El emulador PDC es necesario para sincronizar la hora en una empresa. Windows 2000 incluye el servicio de hora W32Time (hora de Windows), requerido por el protocolo de autenticación Kerberos. Todos los equipos de una empresa basados en Windows 2000 utilizan la misma hora. La función del servicio de hora es permitir que el servicio de hora de Windows utilice una relación jerárquica que controle las relaciones de autoridad y no permita la creación de bucles, de forma que se garantice el uso de una hora común.

El emulador PDC de un dominio tiene autoridad en todo el dominio. El emulador PDC de la raíz del bosque tiene autoridad en toda la empresa, y debe configurarse para obtener la hora de una fuente externa. Todos los titulares de la función FSMO PDC obedecen la jerarquía de dominios al seleccionar los asociados de hora.

En un dominio de Windows 2000, el titular de la función emulador PDC conserva las funciones siguientes:
  • Los cambios de contraseña realizados por otros DC del dominio se replican de forma preferente al emulador PDC.
  • Los errores de autenticación que se producen en un determinado DC de un dominio debidos al uso incorrecto de contraseñas se reenvían al emulador PDC antes de mostrar al usuario un mensaje de error por contraseña incorrecta.
  • El bloqueo de cuentas se procesa en el emulador PDC.
  • El emulador PDC ejecuta todas las funcionalidades que un PDC basado en servidor de Microsoft Windows NT 4.0 o un PDC anterior ejecuta para los clientes basados en Windows NT 4.0 o versiones anteriores.
Esta parte de la función del emulador PDC se vuelve innecesaria cuando todas las estaciones de trabajo, servidores miembro y controladores de dominio que están ejecutando Windows NT 4.0 o una versión anterior se actualizan todos a Windows 2000. El emulador PDC sigue ejecutando las demás funciones tal como se describen en un ambiente de Windows 2000.

En la información siguiente se describen los cambios que ocurren durante el proceso de actualización:
  • Los clientes Windows 2000 (estaciones de trabajo y servidores miembro) y los clientes de versiones anteriores en los que se haya instalado el paquete de cliente de servicios distribuidos no realizarán las tareas de escritura en el directorio (como cambios de contraseña) preferiblemente en el DC que se haya anunciado como PDC, sino que utilizarán cualquier DC del dominio.
  • Una vez que se actualizan a Windows 2000 los controladores de dominio de reserva (BDC) en los dominios de bajo nivel, el emulador PDC no recibe ninguna solicitud de réplica de bajo nivel.
  • Los clientes de Windows 2000 (estaciones de trabajo y servidores del miembro) y los clientes de bajo nivel que han instalado el paquete de cliente de servicios distribuidos utilizan Active Directory para buscar los recursos de red. No requieren el servicio Examinador de Windows NT.

Función FSMO Infraestructura

Cuando un objeto de un dominio hace referencia a otro objeto de otro dominio, la referencia se representa mediante el GUID, el SID (si se trata de una referencia a un principal de seguridad) y el DN del objeto al que se hace referencia. El DC titular de la función FSMO Infraestructura es el responsable de actualizar el SID y el nombre completo de un objeto en una referencia entre objetos de diferentes dominios.

NOTA: la función del Maestro de infraestructura (IM) debe asignarse a un controlador de dominio que no sea un servidor de catálogo global (GC). Si el Maestro de infraestructura se ejecuta en un servidor de catálogo global no se actualizará la información de los objetos, pues no contiene referencias a objetos que no alberga. Esta situación se produce porque un servidor de catálogo global contiene una réplica parcial de cada objeto del bosque. Como resultado, no se actualizarán las referencias de objeto de diferentes dominios y se registrará una advertencia a tal efecto en el registro de sucesos del DC.

Si todos los controladores de dominio de un dominio organizan también el catálogo global, todos los controladores de dominio tienen datos actuales y no importa qué controlador de dominio contiene la función de maestro de infraestructura.

Propiedades

Id. de artículo: 197132 - Última revisión: jueves, 17 de noviembre de 2005 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palabras clave: 
kbinfo KB197132

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com