Ubicaci�n y optimizaci�n del FSMO en controladores de dominio de Active Directory

Id. de art�culo: 223346 - Ver los productos a los que se aplica este art�culo

Los controladores de dominio de Active Directory admiten actualizaciones con varios maestros para la replicaci�n de objetos (como las cuentas de usuario y de equipo) en Active Directory. En un modelo con varios maestros, los objetos y sus propiedades pueden originarse en cualquier controlador de dominio del dominio y convertirse en "autoritativos" con replicaci�n.

En este art�culo se describe la ubicaci�n de las funciones de maestro �nico flexible (FSMO, Flexible Single-Master) de Active Directory en el dominio y el bosque.

Volver al principio | Enviar comentarios

M�s informaci�n

Ciertas operaciones de los dominios y de las empresas que no son adecuadas para la ubicaci�n en varios maestros residen en un �nico controlador de dominio del dominio o el bosque. La ventaja de las operaciones de maestro �nico es evitar la introducci�n de conflictos mientras un maestro de operaciones est� sin conexi�n, en lugar de provocar conflictos potenciales y tener que resolverlos posteriormente. Disponer de un maestro de operaci�n �nico significa, sin embargo, que el propietario de la funci�n FSMO debe estar disponible cuando tengan lugar actividades dependientes en el dominio, o para hacer cambios en el directorio asociados a esa funci�n.

El Asistente para instalaci�n de Active Directory (Dcpromo.exe) define cinco funciones FSMO: maestro de esquema, maestro del dominio, maestro RID, emulador de PDC e infraestructura. El maestro de esquema y el maestro de nombres de dominio son funciones espec�ficas de cada bosque. Las tres funciones restantes, maestro RID, emulador de PDC y maestro de infraestructura se definen para cada dominio.

Un bosque con un dominio tiene cinco funciones. Cada dominio adicional del bosque agrega tres funciones para todo el dominio. El n�mero de funciones FSMO en un bosque y los potenciales propietarios de las funciones FSMO se pueden determinar con la f�rmula ((N�mero de dominios * 3) +2).

Un bosque con tres dominios (A.com, con los dominios secundarios y los dominios secundarios de �stos B.A.com y C.B.A.com) tiene once funciones FSMO:

1 maestro de esquema - A.COM para todo el bosque
1 maestro de nombres de dominio - A.COM para todo el bosque
3 emuladores de PDC (A.com, B.A.com y C.B.A.com)
3 maestros RID (A.com, B.A.com y C.B.A.com)
3 maestros de infraestructura para cada dominio respectivo. (A.com, B.A.com y C.B.A.com)

Al crear el primer controlador de dominio de Active Directory de un bosque, Dcpromo.exe le asigna las cinco funciones. Al crear el primer controlador de dominio de Active Directory de un nuevo dominio en un bosque existente, el sistema le asigna las tres funciones del dominio. En un dominio de modo mixto que contiene controladores de dominio de Microsoft Windows NT 4.0, s�lo los que ejecutan Microsoft Windows Server 2003 o Microsoft Windows 2000 Server pueden hospedar cualesquiera de las funciones FSMO para todo el dominio o el bosque.

Disponibilidad y ubicaci�n de FSMO

Dcpromo.exe realiza la ubicaci�n inicial de las funciones en los controladores de dominio. Esta ubicaci�n suele ser correcta para directorios con pocos controladores de dominio. En un directorio con muchos controladores de dominio es muy poco probable que la ubicaci�n predeterminada se corresponda de la mejor forma con la red.

Si se utiliza como base el dominio, seleccione los controladores de dominio FSMO principal y de reserva en caso de que se produzca un error en el propietario de FSMO principal. Adem�s, puede ser conveniente seleccionar los propietarios de reserva fuera del sitio por si se produce una situaci�n de desastre espec�fica de un sitio. Considere lo siguiente en sus criterios de selecci�n:

Si un dominio tiene s�lo un controlador de dominio, �ste contiene todas las funciones para cada dominio.
Si un dominio tiene m�s de un controlador de dominio, utilice el Administrador de sitios y servicios de Active Directory para seleccionar los asociados de replicaci�n directos con v�nculos persistentes, "bien conectados".
El servidor de reserva puede estar en el mismo sitio que el servidor de FSMO principal para que la coherencia de la convergencia de la replicaci�n sea m�s r�pida a trav�s de un grupo grande de equipos, o en un sitio remoto por si se produce un desastre espec�fico del sitio en la ubicaci�n principal.
Cuando el controlador de dominio de reserva est� en un sitio remoto, aseg�rese de que la conexi�n se configura para la replicaci�n continua sobre un v�nculo persistente.

Recomendaciones generales para la ubicaci�n de FSMO

Ubique las funciones del emulador de PDC y de RID en el mismo controlador de dominio. Tambi�n es m�s f�cil mantener el seguimiento de las funciones de FSMO si las agrupa en menos equipos.

Si la carga del FSMO principal justifica un cambio, ubique las funciones de emulador de controlador de dominio principal y de RID en controladores de dominio independientes del mismo dominio y sitio de Active Directory que sean asociados de replicaci�n directos entre s�.
Como regla general, el maestro de infraestructura deber�a ser un servidor de cat�logo que no fuera global y que tuviera un objeto de conexi�n directa con alg�n cat�logo global del bosque, preferentemente en el mismo sitio de Active Directory. Dado que el servidor de cat�logo global contiene una r�plica parcial de cada objeto del bosque, el maestro de infraestructura, si se ubica en un servidor de cat�logo global, nunca actualizar� nada, porque no tiene ninguna referencia a los objetos que no contiene. Hay dos excepciones a la regla "no ubicar el maestro de infraestructura en un servidor de cat�logo global":
- Bosque de dominio �nico:
  
  En un bosque que contiene un �nico dominio de Active Directory, no hay ning�n fantasma y por tanto el maestro de infraestructura no tiene ning�n trabajo que hacer. El maestro de infraestructura se puede ubicar en cualquier controlador de dominio del dominio, independientemente de si hospeda el cat�logo global o no.
- Un bosque con varios dominios donde cada controlador de dominio de un dominio contiene el cat�logo global:
  
  Si cada controlador de dominio de un dominio que forma parte de un bosque con varios dominios tambi�n hospeda el cat�logo global, no hay ning�n fantasma ni ning�n trabajo que el maestro de infraestructura tenga que realizar. El maestro de infraestructura se puede ubicar en cualquier controlador de dominio de ese dominio.
En el bosque, las funciones de maestro de esquema y maestro de nombres de dominio se deben ubicar en el mismo controlador de dominio ya que se utilizan en muy pocas ocasiones y se deben controlar muy de cerca. Adem�s, el FSMO del maestro de nombres de dominio tambi�n deber�a ser un servidor de cat�logo global. Se producir� un error en ciertas operaciones que utilizan el maestro de nombres de dominio, como crear dominios secundarios de otros secundarios, si �ste no es el caso.

En un bosque en Windows Server 2003 del nivel funcional del bosque, no tiene que ubicar el maestro de nombres de dominio en un cat�logo global.

Y, lo que es m�s importante, confirme que todas las funciones FSMO est�n disponibles mediante una de las consolas de administraci�n (como Dsa.msc o Ntdsutil.exe).

Volver al principio | Enviar comentarios