Maestros de Operaciones (FSMO Roles) Parte 1

En esta ocasin vamos a desarrollar el tema de los Maestros de Operaciones o tambin conocidos por
su denominacin en ingls: FSMO Roles (Flexible Single Master Operations)
Hay algunas operaciones en Active Directory que deben ejecutarse con ciertas precauciones. Veamos
un ejemplo. Imaginemos un administrador haciendo cambios en el Esquema de Active Directory
desde un Controlador de Dominio en el sitio A. Mientras otro administrador en el sitio B, sin
saber que ya est en proceso la modificacin del Esquema, tambin hace cambios en el Esquema,
slo que los cambios que se hacen casi simultneamente en los diferentes sitios son incompatibles
qu suceder cuando la replicacin trate de hacer la convergencia de datos? estaramos en un
problema grave.
Cmo podramos evitar situaciones como la anterior? bien, la solucin es sencilla: no importa desde
qu equipos modifiquen el Esquema, siempre se har, an si es necesario remotamente, en un
determinado Controlador de Dominio: El Maestro de Esquema.
De esta forma, no se producirn incompatibilidades, si uno es incompatible con otro simplemente
uno no se aceptar.
Vamos a describir los 5 FSMO Roles. Hay dos roles que son a nivel de Bosque, o sea que hay uno de
esos roles en todo el Bosque de Active Directory.
Y hay tres roles que son a nivel de Dominio, en cada Dominio Active Directory estn esos tres roles.
Para saber qu Controlador de Dominio tiene qu roles, aunque lo podemos hacer con la interfaz
grfica, hay un comando mucho ms simple. Desde un CMD.EXE ejecutamos: NETDOM QUERY
FSMO

Maestros de Operacin a nivel de Bosque

Maestro de Esquema (Schema Master): Slo un Controlador de Dominio del Dominio raz lo va a
tener. Cualquier cambio que se haga en el Esquema, no importa desde dnde, la herramienta de
edicin del Esquema se enfocar en el que tenga este rol
Si queremos ver quin tiene este rol usando la interfaz grfica, debemos primero registrar una DLL.
Desde una lnea de comando (CMD.EXE) ejecutada como administrador ejecutar: REGSVR32
SCHMMGMT.DLL

Luego crear una MMC.EXE cargando el componente Esquema de Active Directory

Luego con botn derecho sobre Esquema de Active Directory, elegimos Maestro de Operaciones

Maestro de Nomenclatura de Dominios (Domain Naming Master): La funcin que provee es

garantizar la unicidad de los nombres de los Dominios que se agreguen al Bosque.
Esto es necesario porque podra darse el caso, por ejemplo, que dos administradores desconectados
entre s, traten de dar de alta simultneamente el mismo subdominio
Usando la interfaz grfica si queremos saber quin tiene el rol, debemos abrir la consola Dominios y
Confianzas de Active Directory, y con botn derecho sobre la raz de la carpeta elegimos Maestros
de Operaciones

Maestros de Operacin a nivel de Dominio

Maestro RID (RID Master): Primero tenemos que explicar que es RID (Relative Identifier). Las
cuentas de usuario, las de grupo, y las de equipo, cuando son creadas en un dominio, se les asigna un
SID (Security ID). Lo podemos considerar en forma anloga a un documento personal. Es un
identificador nico y que nunca es reutilizado, aunque la cuenta original fuera eliminada.
Este SID, tiene tres partes principales. La primera parte (S-1-5-21-..) es un identificador asignado por
ISO que especifica que es un identificador de seguridad asignado a Microsoft, para uso en dominios
NT, etc.
La segunda parte es el identificador del Dominio, todas las cuentas de usuario, grupo y equipo de un
dominio comparten estos datos.
La tercera y ltima (los nmeros que siguen al ltimo - corresponden al RID, que es asignado en
forma secuencial a partir del nmero 1000 a cada cuenta que se crea en el Dominio.
Vamos ahora a lo que nos interesa. Entiendo que todos conocemos que una cuenta puede crearse en
cualquier Controlador de Dominio ya que cualquiera de ellos puede escribir en la base de Active
Directory, pero sin embargo debemos asegurarnos que no se repitan los SIDs asignados a cada
cuenta.
La solucin pasa por tener un Controlador de Dominio que es el dueo de todos los RIDs, y que a
pedido le asigna a cada Controlador de Dominio del Dominio rangos de RIDs. Cuando en un
Controlador de Dominio este rango asignado comienza a agotarse (asigna de a 500, y cuando quedan
slo 50 disponibles) los Controladores de Dominio solicitarn al RID Master, otro rango de RIDs
Usando la interfaz grfica, para ver quin tiene esta funcin, hay que abrir Usuarios y Equipos de
Active Directory, botn derecho sobre el nombre del Dominio y elegir Maestro de Operaciones

Maestro de Infraestructura (Infrastructure Master): Supongamos que nuestro Active Directory

consistiera de varios Dominios. En un ambiente como este se puede dar el caso que un usuario de un
Dominio-A, est dentro de un grupo de otro Dominio-B.
Por las capacidades propias de Active Directory y necesidad podramos tener que mover la cuenta
del usario (que est en Dominio-A) a otro Dominio-C
En este caso, en los grupos del Dominio-B se deberan actualizar todas las referencias a la cuenta de
usuario; antes era usuario de Dominio-A, ahora debe ser usuario de Dominio-C.
Esta es justamente la funcin del Maestro de Infraestructura.
Si queremos ver quin tiene el rol usando la interfaz grfica, es igual que en el caso anterior, slo que
esta vez seleccionamos la ficha Infraestructura

Maestro Controlador Principal de Dominio (PDC Emulator): en la poca de los Dominios con
Windows NT, no era como ahora que cualquier Controlador de Dominio aceptaba cambios en el
directorio. Haba slo un Controlador de Dominio por Dominio que aceptaba cambios, y se llamaba
Controlador de Dominio Primario (PDC = Primary Domain Controller). El resto de los
Controladores de Dominio eran BDCs (Backup Domain Controllers). Cualquera autenticaba
usuarios, pero los cambios se hacan en uno en particular (el PDC) y luego se replicaba a los otros
(los BDCs)
Esto ya sabemos que no es ms as, pero como siempre el tema compatibilidad
El tema es que aunque no existe ms como PDC sigue cumpliendo algunas de las funciones que
adems cumpla el PDC, y otras nuevas.
El emulador de PDC cumple funciones de:

Es el Domain Master Browser (funcin de completar el Entorno de Red en los clientes

hasta W2003/XP)

Recibe replicacin preferencial de los cambios de contrasea de usuarios y equipos

Es el servidor de horario (Time Server) del Dominio

Cuando desde cualquier equipo se crea o modifica una Directiva de Grupo (GPO), la consola
de edicin se trata de conectar siempre al que tiene este rol

Usando la interfaz grfica, e igualemente que en los dos casos anteriores podemos ver quin tiene
este rol, slo debemos cambiarnos a la ficha Controlador Principal de Dominio

Mover los Roles

De ser necesario, esto roles se pueden mover desde un Controlador de Dominio a otro. El
procedimiento es muy sencillo, y veremos las dos posibilidades: unsando la interfaz grfica o por
lnea de comando.
Lo que debemos tener en claro, es que nunca el transpaso es empujar, siempre es tirar. O sea, no
puedo desde A pasarle el rol a B, sino que desde B debo transferir el rol que tiene A
Entonces, usando la interfaz grfica, debemos enfocar la consola que usemos (ver capturas de
pantalla anteriores) y elegir el botn Cambiar.
Si aparece el mismo nombre de Controlador de Dominio en ambos renglones (como en las figuras
anteriores) es que estamos enfocados en el que tiene el rol y por lo tanto no podremos cambiarlo;
debemos re-enfocar la consola en el Controlador de Dominio destino.
No quiero repetir un procedimiento que ya est claramente documentado, pueden usar:
How to view and transfer FSMO roles in Windows Server 2003:
http://support.microsoft.com/kb/324801
http://support.microsoft.com/kb/324801/es
Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller:
http://support.microsoft.com/kb/255504
http://support.microsoft.com/kb/255504/es

Aunque ambos artculos dicen que es vlido para W2003, es totalmente vlido hasta por lo menos
W2008-R2

Asumir funciones FSMO

Para asumir las funciones FSMO mediante la utilidad Ntdsutil, siga estos pasos:
1.

Inicie una sesin en un equipo o controlador de dominio basado en Windows 2000 Server o Windows
Server 2003 que est ubicado en el bosque donde se estn asumiendo las funciones FSMO. Se
recomienda que inicie una sesin en el controlador de dominio al que est asignando las funciones
FSMO. El usuario que ha iniciado la sesin debera ser miembro del grupo de administradores de
organizacin para poder transferir las funciones de esquema o de maestro de nombres de dominio, o
miembro del grupo de administradores de dominio del dominio donde se van a transferir las funciones
de emulador de PDC, de maestro RID y de maestro de infraestructura.

2.

Haga clic en Inicio y en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a continuacin, haga clic en
Aceptar.

3.

Escriba roles y presione ENTRAR.

4.

Escriba connections y, a continuacin, presione ENTRAR.

5.

Escriba connect to server nombre del servidor y, a continuacin, presione ENTRAR, donde nombre
del servidor es el nombre del controlador de dominio al que desea asignar la funcin FSMO.

6.

Escriba q en el smbolo del sistema server connections y, a continuacin, presione ENTRAR.

7.

Escriba seize funcin, donde funcin es la funcin que desea asumir. Si desea consultar la lista de
funciones que puede asumir, escriba ? en el smbolo del sistema fsmo maintenance y, a
continuacin, presione ENTRAR, o vea la lista de funciones incluidas al principio de este artculo. Por
ejemplo, para asumir la funcin de maestro RID, escriba seize rid master. La nica excepcin es para
la funcin de emulador de PDC, cuya sintaxis es seize pdc, no seize pdc emulator.

8.

Escriba q en el smbolo del sistema fsmo maintenance y, a continuacin, presione ENTRAR para
obtener acceso al smbolo del sistema de ntdsutil. Escriba q y, a continuacin, presione ENTRAR para
salir de la utilidad Ntdsutil.