Maestros de Operaciones (FSMO Roles) – Parte 2

En la nota anterior (Parte 1) describimos cada una de las funciones de los Maestros de Operaciones; en esta segunda parte vamos a ver qué sucede si alguno de los roles no estuviera funcionando, algunas consideraciones respecto al consumo de recursos, y las posibles consecuencias de tener que forzar apoderarse de alguno de estos roles.

Maestro de Esquema (Schema Master):

Como comentamos anteriormente, esta función es necesaria para modificar el Esquema.

Consumo de Recursos
Creo que estamos todos de acuerdo en que esto no forma parte de la administración diaria; se usa sólo en muy pocas ocasiones. Por ejemplo cuando instalamos aplicaciones que requieran ampliación del Esquema como puede ser el caso de Exchange, o cuando vamos a poner el primer Controlador de Dominio con una vesión de sistema operativo más nuevo (ADPREP), o en todo caso si en nuestra organización se creara una aplicación personal que requiera ampliación del mismo.

Por lo tanto, el uso es realmente esporádico, y el Controlador de Dominio que tiene dicha función realmente no tiene un consumo elevado de recursos.

¿Qué sucede si no está funcionando?
Si esta función no está presente, o funcionando, realmente no nos daríamos cuenta, salvo que tuviéramos que modificar el Esquema

Consecuencias de apoderarse de la función
Realmente es muy poco probable o casi imposible que tengamos consecuencias de apoderarnos forzadamente de esta función.
Cuando vamos a crear una instancia de un objeto basado en una modificación del Esquema, si un Controlador de Dominio detecta que debe replicar “algo que no conoce” automáticamente dispara una replicación del Esquema, por lo tanto es imposible que contenga una instancia de objeto que no esté validad por el Esquema.
Y por lo tanto, no pueden existir instancias de objeto en un Controlador de Dominio que no cumplan con la validación de la copia local del Esquema.
Si a alguno de los lectores se le ocurre una situación donde pueda producirse el problema agradeceré la deje en los comentarios.

Maestro de Nomenclatura de Dominios (Domain Naming Master):

Esta función es necesaria solamente cuando se agregan o sacan Dominios de nuestro Bosque.

Consumo de Recursos
Es fácil darse cuenta que, igual que en el caso anterior, esta no es una operación frecuente, y por lo tanto, no es para tener en cuenta en el consumo de recursos por mantener esta función.

¿Qué sucede si no está funcionando?
Si no estuviera activa esta función, nos daríamos cuenta únicamente cuando agreguemos o saquemos Dominios de nuestro Bosque, porque no nos dejará completar la operación:
Adding or Removing a Domain During Dcpromo Requires Access to the Domain Naming Master FSMO Role Holder:
http://support.microsoft.com/kb/254933
http://support.microsoft.com/kb/254933/es (cuidadado con la traducción automática)

Consecuencias de apoderarse de la función
Como vemos del enlace anterior, no hay posibilidad de que se produzcan inconsistencias, ya que no se podrán hacer las operaciones correspondientes a la función.

Maestro RID (RID Master):

Como ya vimos en la Parte 1 esta función es la que asigna rango de RIDs al resto de los Controladores de Dominio del Dominio. El RID Master le asigna a cada Controlador de Dominio, rangos de 500 identificadores. Cuando un Controlador de de Dominio usé 450 de los 500 disponibles, solicitará más.

Consumo de Recursos
Igual que en los casos anteriores, no es una operación frecuente ni que consuma recursos.

¿Qué sucede si no está funcionando?
También podemos observar que en muchos Dominios nunca será necesaria su función, porque los Controladores de Dominio no crearán más de 450 “security principals” (cuentas de Usuario, Grupo, y Equipo).

Consecuencias de apoderarse de la función
En este caso, a diferencia de los anteriores, si forzamos a un Controlador de Dominio para que asuma la función, podemos tener consecuencias, y por lo tanto esto lo debemos hacer sólo si decidimos que el Controlador de Dominio que tenía la función NO va a volver a la red.
Es una operación sencilla la verificación y limpieza de SIDs duplicados:
HOW TO: Find and Clean Up Duplicate Security Identifiers with Ntdsutil in Windows Server 2003:
http://support.microsoft.com/kb/816099
http://support.microsoft.com/kb/816099/es (cuidado con la traducción automática)

Maestro de Infraestructura
(Infrastructure Master):

Como ya vimos esta función se encarga de actualizar los SIDs en los grupos cuando una cuenta es movida entre diferentes Dominios.

Consumo de Recursos
Igual que en los casos anteriores, no es una operación frecuente ni que consuma recursos.

¿Qué sucede si no está funcionando?
En este caso no se actualizarán las referencias en los Grupos hasta que la función no esté presente nuevamente.
Podrían producirse problemas de acceso a los recursos por falta de los permisos correspondientes.
Para que esta función esté activa, el Controlador de Dominio que la cumple NO debe ser Catálogo Global, así que en la configuración por omisión esta función no está activa.

Consecuencias de apoderarse de la función
No tiene consecuencias.

Maestro Controlador Principal de Dominio (PDC Emulator):

Esta función cumple como ya vimos varios servicios y en forma casi continua, por lo que será la única que debemos tener en cuenta el consumo de recursos, y su disponibilidad.

Consumo de Recursos
Esta es la única función que implica un consumo moderado de recursos, aunque no es mayor. Analicemos cada una de las funcionalidades que provee:

  • Domain Master Browser (Examinador Principal de Dominio): Acá debemos diferenciar entre Windows 2008 y las versiones anteriores. A partir de Windows 2008 el servicio está desabilitado (Examinador/Browser) y el Entorno de Red fue reemplazado por otro servicio mucho más eficiente (LLTD) así que no debemos tenerlo en cuenta. En cambio en W2003 y anteriores, está función no sólo consume recursos cada vez que alguien accede al Entorno de Red, sino cada vez que un equipo se pone en funcionamiento.
  • Replicación Preferencial de Cambios de Contraseña: puede afectar el consumo de recursos sólo si nuestro Dominio fuera muy grande y los cambios de contraseña fueran numerosos y constantes.
  • Servidor Horario del Dominio: esta función sincroniza la hora de los equipos cliente que autentican con él, y la sincronización horaria del resto de los Controladores de Domino del Dominio. Actúa sólo durante el arranque de los otros Controladores de Dominio, y eventualmente de los equipos que autentica. No tiene mucho consumo de recursos.
  • Creación y Modificación de GPOs: recordemos que cuando se crean o modifican directivas la consola se enfoca en el Controlador de Dominio que cumple esta función. Estimo que durante la operación normal de un Dominio, y por las características propias del cambio el consumo de recursos es muy bajo.

Recomendaciones

Como hemos visto, en la mayoría de los casos, ante la ausencia temporal de alguna de las funciones de estos Maestros de Operaciones todo seguirá funcionando normalmente en nuestro Dominio, salvo operaciones puntuales. El único que puede traer una consecuencia de la que nos daremos cuenta en poco tiempo es el Maestro Controlador Principal de Dominio (PDC Emulator), por lo que en general ante un apagado transitorio de cualquiera que cumpla estas funciones no debemos hacer nada en especial.

Lo que sí deberíamos tener en cuenta, son las recomendaciones específicas de Microsoft sobre el tema: Si un Controlador de Dominio asume forzadamente la función de otro (no transferencia normal), es decir se apodera de la función (“seize”), que el Controlador de Dominio que previamente tenía la función NO vuelva a la red.

By Guillermo Delprato, on 15 mayo, 2011 at 12:26, under Active Directory - Directorio Activo. Tags: . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *