Active Directory funciones FSMO en Windows

Seleccione idioma Seleccione idioma
Id. de artículo: 197132 - Ver los productos a los que se aplica este artículo
Aviso
En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. La Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para el planeamiento de la estrategia de migración de Windows 2000. Para obtener más información, consulte la Directiva de ciclo de vida de soporte técnico de Microsoft.
Expandir todo | Contraer todo

En esta página

Resumen

Active Directory es el repositorio central en el que todos los objetos en una empresa y se almacenan sus atributos respectivos. Es una base jerárquica habilitada para varios maestros, capaz de almacenar millones de objetos. Dado que es de múltiples maestro, los cambios realizados en la base de datos pueden procesarse en cualquier controlador de dominio (DC) de la empresa, independientemente de si el controlador de dominio está conectado o desconectado de la red.

Más información

Modelo de varios maestros

Una base de datos habilitada múltiples maestro como Active Directory, proporciona la flexibilidad de permitir que los cambios se produzcan en cualquier DC de la empresa, pero también presenta la posibilidad de conflictos que podrían derivar en problemas una vez que los datos se replican en el resto de la empresa. Una forma de Windows se ocupa de las actualizaciones en conflicto es tener un algoritmo de resolución de conflictos que controla las discrepancias en los valores mediante la resolución en el controlador de dominio a la que se escribieron los cambios última (es decir, "el último escrito gana"), y descartando los cambios en otros controladores de dominio. Aunque este método de resolución puede ser aceptable en algunos casos, hay veces en que los conflictos son demasiado difíciles de resolver utilizando el enfoque "el último escrito gana". En estos casos, es mejor evitar que se produzca el conflicto que intentar resolverlo después del hecho.

Para ciertos tipos de cambios, Windows incorpora métodos para evitar actualizaciones conflictivas de Active Directory.

Modelo de maestro único

Para evitar conflictos durante actualizaciones en Windows, Active Directory realiza actualizaciones en determinados objetos en un modo de maestro único. En un modelo de maestro único, sólo un DC en todo el directorio puede procesar actualizaciones. Esto es similar a la función proporcionada a un controlador de dominio principal (PDC) en versiones anteriores de Windows (como Microsoft Windows NT 3.51 y 4.0), en el que el PDC es responsable de procesar todas las actualizaciones en un dominio dado.

Active Directory amplía el modelo de maestro único de versiones anteriores de Windows para incluir múltiples roles y la capacidad de transferir roles a cualquier controlador de dominio (DC) de la empresa. Dado que un rol de Active Directory no está asociado a un único DC, se conoce como una función de operación de maestro único Flexible (FSMO). Actualmente en Windows hay cinco funciones FSMO:

  • Maestro de esquema
  • Maestro de nombres de dominio
  • Maestro de RID
  • Emulador de PDC
  • Maestro de infraestructura

Función FSMO de maestro de esquema

El titular de la función FSMO de maestro de esquema es el DC responsable de performingupdates al esquema del directorio (es decir, la orLDAP://cn=schema de contexto de nomenclatura de esquema, cn = configuration, dc =<domain>). Este DC es el único que puede procesar actualizaciones al esquema del directorio. Una vez completa las updateis del esquema, se replica desde el maestro de esquema a todos los controladores en el directorio. Hay sólo un maestro de esquema por cada directorio.</domain>

Función FSMO de maestro de nombres de dominio

Titular de la función FSMO de maestro de nombres de dominio es el hacer responsable de DC cambia para el espacio de nombres de dominio del bosque del directorio (es decir, el Particiones\Configuración nomenclatura contexto orLDAP://CN=Partitions, CN = Configuration, DC =<domain>). Este DC es el único que puede agregar o quitar un dominio del directorio. También puede addor quitar referencias cruzadas a dominios en directorios externos.</domain>

Función FSMO de maestro de RID

El titular de la función FSMO de maestro de RID es las único DC responsable procesamientos grupo RID las solicitudes de todos los DC de un dominio dado. Se isalso responsable de quitar un objeto de su dominio y poner el dominio viejorefunfuñón durante el traslado de un objeto.

Cuando un controlador de dominio crea un objeto principal de seguridad como un usuario o grupo, itattaches un identificador de seguridad único (SID) para el objeto. Este SID consta de adomain SID (el mismo para todos los SID creados en un dominio) y un ID(RID) relativo que es único para cada SID principal de seguridad creado en un dominio.

Cada controlador de dominio de Windows en un dominio se le asigna un grupo de RID que se pueden asignar a los principales de seguridad que crea. Al asigna un controlador de dominio conjunto de RID cae por debajo del umbral, DC envía una solicitud para adicionales RID el maestro RID. El maestro de RID del dominio responde a la solicitud recuperando RID de sin asignar grupo de RID del dominio y los asigna al grupo del controlador de dominio solicitante. No hay un único maestro RID por cada dominio en un directorio.

Función FSMO de emulador PDC

El emulador de PDC es necesario para sincronizar la hora en una empresa. Windows incluye el W32Time servicio de hora (hora de Windows) que es requerido por el protocolo de autenticación Kerberos. Todos los equipos basados en Windows dentro de una organización utilicen la misma hora. El propósito de este servicio es para asegurarse de que el servicio de hora de Windows utiliza una relación jerárquica que controla la autoridad y no permite bucles, para garantizar la hora correcta.

El emulador PDC de un dominio tiene autoridad para el dominio. El emulador de PDC en la raíz del bosque tiene autoridad en toda la empresa y debe configurarse para obtener la hora de un origen externo. Todos los titulares de funciones FSMO PDC siguen la jerarquía de dominios al seleccionar los asociados de hora.

En un dominio de Windows, el titular de la función de emulador PDC conserva las funciones siguientes:
  • Los cambios de contraseña realizados por otros DC del dominio se replican preferentemente en el emulador de PDC.
  • Errores de autenticación que se producen en un determinado DC de un dominio debido a una contraseña incorrecta se reenvían al emulador de PDC antes de que se informa al usuario de un mensaje de error de contraseña incorrecta.
  • El bloqueo de cuentas se procesa en el emulador de PDC.
  • El emulador de PDC realiza todas las funciones que realiza un PDC basado en Microsoft Windows NT 4.0 Server o un PDC anterior para los clientes basados en Windows NT 4.0 o versiones anteriores.
Esta parte de la función de emulador PDC se convierte en innecesaria cuando todas las estaciones de trabajo, servidores miembro y los controladores de dominio que ejecutan Windows NT 4.0 o anteriores son todos se actualizan a Windows 2000. El emulador de PDC realiza las demás funciones tal como se describe en un entorno de Windows 2000.

La siguiente información describe los cambios que se producen durante el proceso de actualización:
  • Los clientes de Windows (estaciones de trabajo y servidores miembro) y los clientes de nivel inferior que se han instalado el paquete de cliente de servicios distribuidos no realizan escrituras de directorio (como cambios de contraseña) preferencial en el controlador de dominio que se haya anunciado como PDC; utilizan cualquier controlador de dominio para el dominio.
  • Una vez que los controladores de dominio de reserva (BDC) en dominios de nivel inferior se actualizan a Windows 2000, el emulador PDC no recibe ninguna solicitud de réplica de bajo nivel.
  • Los clientes de Windows (estaciones de trabajo y servidores miembro) y los clientes de nivel inferior que se han instalado el paquete de cliente de servicios distribuidos utilizan Active Directory para localizar los recursos de red. No requieren el servicio Examinador de Windows NT.

Función FSMO infraestructura

Cuando se hace referencia a un objeto en un dominio de otro objeto en anotherdomain, representa la referencia por el GUID, el SID (para los principales de seguridad existe) y el DN del objeto al que se hace referencia. Titular de la función Theinfrastructure FSMO es el DC responsable de actualizar el SID y el nombre completo en una referencia de objeto entre dominios de anobject.

Nota: la función de maestro de la infraestructura (IM) debe asignarse a un controlador de dominio que no es un server(GC) de catálogo Global. Si el maestro de infraestructura se ejecuta en un servidor de catálogo Global dejará de actualizar información de objetos porque no contiene referencias a objetos que no alberga. Esto es porque un servidor de catálogo Global contiene una réplica parcial de cada objeto del bosque. Como resultado, hace referencia objeto entre dominios en que no se actualizará el dominio y una advertencia a tal efecto se registrará en el registro de sucesos del controlador de dominio.

Si todos los controladores de dominio en un dominio también alojan el catálogo global, todos los controladores de dominio tienen datos actuales y no es importante qué controlador de dominio desempeña la función de maestro de infraestructura.

Cuando está habilitada la característica opcional de la Papelera de reciclaje, cada controlador de dominio es responsable de actualizar las referencias de objeto entre dominios cuando se mueve, cambia el nombre o elimine el objeto de referencia. En este caso, no hay ninguna tarea asociada con la función FSMO de infraestructura, y no es importante qué controlador de dominio posee la función de maestro de infraestructura. Para obtener más información, consulte 6.1.5.5 función de FSMO de infraestructura en el http://msdn.Microsoft.com/en-us/library/cc223753.aspx

Propiedades

Id. de artículo: 197132 - Última revisión: miércoles, 23 de abril de 2014 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Palabras clave: 
kbinfo kbmt KB197132 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 197132

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com