Schema Master (Maestro de Esquema)

Ubicacin y Funcin

Solo un controlador de dominio a nivel bosque (del Forest Root Domain) lo puede albergar. Es el responsable de procesar cualquier cambio que se realice en el Esquema de Active Directory, sin importar desde donde se lance el cambio (desde que equipo). La ausencia de ste rol en la operatoria diaria puede pasar desapercibido, debe estar disponible cuando son necesarios realizar cambios en el Esquema de Active Directory. La no disponibilidad del rol genera errores en los updates de esquema, por ejemplo si estamos realizando los cambios en una instalacin de Exchange Server.

No disponibilidad

Domain Naming Master (Maestro de Nombres de Dominio)

Ubicacin y Funcin

Solo un controlador de dominio a nivel bosque (del Forest Root Domain) lo puede albergar. Es el responsable de procesar las adiciones y remociones de dominios y particiones de aplicacin en un bosque. La ausencia de ste rol en la operatoria diaria puede pasar desapercibido, debe estar disponible cuando se agregan o quitan dominios o aplicaciones que requieran cambios en la particin de aplicacin. La no disponibilidad del rol genera la imposibilidad de agregar o quitar dominios del forest o modificar la particin de aplicacin.

No disponibilidad

Primary Domain Controller (Maestro Emulador de Controlador de Dominio Primario)

Ubicacin y Funcin

Solo un controlador de dominio a nivel dominio lo puede albergar. En el caso de un esquema de varios dominios en un forest, habr tantos controladores de dominio que albergan este rol como dominios existan. Recibe las actualizaciones de contraseas cuando son cambiadas por la computadora del usuario y por cuentas de usuario que estn en el resto de los controladores de dominio. Recibe consultas por el resto de controladores de dominio ante eventos de ingreso errneo de contraseas (recibe consultas para verificar la ltima contrasea del usuario vigente). Es el controlador de dominio destino por defecto ante cambios en Polticas de Grupo. Es el controlador de dominio destino por defecto para aplicaciones que realizan operaciones de escritura sobre el servicio de directorio. Es el controlador de dominio destino por defecto para algunas herramientas administrativas de Active Directory que realizan operaciones de escritura sobre el servicio de directorio. Mantiene la coordinacin de hora para el dominio, en el que se basan las decisiones para identificar el ltimo horario de escritura para objetos y resolver conflictos. Es utilizado por equipos clientes que no soportan el esquema multi-master, como Windows 98. La ausencia de ste rol en la operatoria diaria no pasa desapercibido y puede generar algunos dolores de cabeza a los administradores. Es recomendable que est online las 24 horas del da los 365 das del ao. La no disponibilidad del rol genera: Demoras ante ingresos errneos de contrasea. No-coordinacin de horario entre controladores de dominio. No-operacin de algunas herramientas administrativas de Active Directory. Errores en la herramienta Entorno de Red en equipos con hasta Windows 2003 y XP. Otros dolores de cabeza en la operatoria diaria!

No disponibilidad

RID Master (Maestro RID)

Ubicacin y Funcin

Solo un controlador de dominio a nivel dominio lo puede albergar. Es el responsable de alocar los grupos activos y en espera de RID (Relative Identifier) a los restantes controladores de dominio en el mismo dominio.

No disponibilidad

La ausencia de ste rol en la operatoria diaria puede pasar desapercibido, debe estar disponible cuando se necesitan asignar RIDs a los controlares de dominio del mismo dominio. Cuando un controlador de dominio tiene pocos RIDs disponibles, ste le debe solicitar al RID Master otro rango de RIDs. Si no est disponible y dicho controlador de dominio se quedan sin RIDs disponibles, la generacin de objetos tendr como resultado error desde dicho controlador de dominio. Cuando se promueve un nuevo controlador de dominio en un dominio existente, de no estar disponible este rol dicho controlador de dominio generar errores.

Infraestructure Master (Maestro de Infraestructura)

Ubicacin y Funcin

Solo un controlador de dominio a nivel dominio lo puede albergar. Es el responsable de actualizar las referencias entre dominios. Es el responsable de traducir los SID a nombres en las referencias de cuentas entre dominios. La ausencia de ste rol en la operatoria diaria puede pasar desapercibido, salvo en casos de cambios de referencias o pertenencias a grupos de usuario entre dominios. La no disponibilidad de este rol puede provocar que las referencias a objetos entre dominios no muestre los datos del usuario, sino su SID.

No disponibilidad

Ubicacin y Disponibilidad de los Roles FSMO en la infraestructura de Active Directory

La instalacin inicial de Active Directory ubica los roles en el primer controlador de dominio del forest/dominio. Para infraestructuras single-domain con pocos controladores de dominio esta ubicacin es frecuentemente correcta y la recomendada por Microsoft con el fin de mantener el esquema de operacin y comprensin simple y fcil. Para infraestructuras con ms controladores de dominio o ms complejas, no siempre es lo aconsejado. En trminos generales, las siguientes son las recomendaciones generales para la ubicacin de los roles FSMO:

Ubicar el Schema Master en el mismo lugar que el PDC Emulator del Forest Root Domain. Ubicar el Domain Naming Master en el mismo lugar que el PDC Emulator del Forest Root Domain. Ubicar el PDC Emulator en el controlador de dominio con mejor hardware y alta disponibilidad disponible, y en el mismo sitio donde exista otro controlador de dominio replica. Ubicar el RID Master en el PDC Emulator del mismo dominio. En relacin al Infraestructure Master, es importante tener en cuenta lo siguiente: En infraestructuras de tipo Single Domain Forest: El Maestro de Infraestructura no tiene funcin. Puede ser ubicado en cualquier controlador de dominio. En infraestructuras de tipo Multidomain Forest: Si todos los DC del dominio son Global Catalog, se puede ubicar en cualquiera de ellos. Si no todos los DC del dominio son Global Catalog, se debera ubicar en un DC que no sea Global Catalog. Por supuesto, la disponibilidad de los equipos que alojan algn rol FSMO es importante. Existe la posibilidad de transferir los roles entre controladores de dominio (role transfer) o de robar los roles FSMO ante algn fallo del DC que originalmente los aloja (Seize Roles). En el ltimo caso, el controlador de dominio que originalmente tena el rol robado no podr ser vuelto a poner en lnea, debiendo ser reinstalado.

Active Directory est formado por controladores de dominio con funciones multi-master. Esto significa que casi todas las operaciones pueden ser realizadas desde cualquier DC, y sern replicados a los restantes mediante mecanismos de replicacin. Sin embargo hay algunas funciones que no pueden ser realizadas por cualquier controlador de dominio, debiendo realizarse desde solo uno. A esto se lo conoce como roles FSMO. Los roles FSMO (Flexible Single Master Operation) tienen funciones crticas dentro de la infraestructura de Active Directory. Es importante conocer estas funciones y saber el impacto que pueden tener dentro de nuestra infraestructura la no-disponibilidad de alguna de ellas.