Colocación de Roles Maestros de Operaciones de Planificación

se Aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Los servicios de dominio de Active Directory (AD DS) admiten la replicación multimaster de datos de directorio, lo que significa que cualquier controlador de dominio puede aceptar cambios de directorio y replicar los cambios en todos los demás controladores de dominio. Sin embargo, ciertos cambios, como las modificaciones de esquemas, no son prácticos para realizar de manera multimaster. Por esta razón, ciertos controladores de dominio, conocidos como maestros de operaciones, tienen roles responsables de aceptar solicitudes para ciertos cambios específicos.

Existen tres roles maestros de operaciones (también conocidos como operaciones maestras únicas flexibles o FSMO) en cada dominio:

• El maestro de operaciones del emulador del controlador de dominio principal (PDC) procesa todas las actualizaciones de contraseñas.

• El maestro de operaciones de ID relativo (RID) mantiene el grupo de RID globales para el dominio y asigna grupos de RID locales a todos los controladores de dominio para garantizar que todas las entidades de seguridad creadas en el dominio tengan un identificador único.

• El maestro de operaciones de infraestructura de un dominio determinado mantiene una lista de las entidades de seguridad de otros dominios que son miembros de grupos dentro de su dominio.

Además de los tres roles de maestro de operaciones a nivel de dominio, existen dos roles de maestro de operaciones en cada bosque:

• El maestro de operaciones de esquema gobierna los cambios en el esquema.
• El maestro de operaciones de nombres de dominio agrega y elimina dominios y otras particiones de directorio (por ejemplo, particiones de aplicaciones del Sistema de Nombres de Dominio (DNS)) hacia y desde el bosque.

Coloque los controladores de dominio que alojan estos roles maestros de operaciones en áreas donde la confiabilidad de la red es alta, y asegúrese de que el emulador de PDC y el maestro RID estén disponibles de manera constante.

Los titulares de roles de maestro de operaciones se asignan automáticamente cuando se crea el primer controlador de dominio en un dominio determinado. Los dos roles a nivel de bosque (maestro de esquema y maestro de nombres de dominio) se asignan al primer controlador de dominio creado en un bosque. Además, los tres roles de nivel de dominio (maestro RID, maestro de infraestructura y emulador de PDC) se asignan al primer controlador de dominio creado en un dominio.

Estas asignaciones de roles maestros de operaciones automáticas pueden causar un uso muy alto de la CPU en el primer controlador de dominio creado en el bosque o el dominio. Para evitar esto, asigne (transfiera) roles maestros de operaciones a varios controladores de dominio en su bosque o dominio. Coloque los controladores de dominio que alojan los roles de maestro de operaciones en áreas donde la red es confiable y donde todos los demás controladores de dominio del bosque pueden acceder a los maestros de operaciones.

También debe designar maestros de operaciones en espera (alternativos) para todos los roles de maestros de operaciones. Los maestros de operaciones en espera son controladores de dominio a los que puede transferir los roles de maestro de operaciones en caso de que fallen los titulares de roles originales. Asegúrese de que los maestros de operaciones en espera sean socios de replicación directa de los maestros de operaciones reales.

Planificación de la colocación del emulador PDC

El emulador PDC procesa los cambios de contraseña del cliente. Solo un controlador de dominio actúa como emulador de PDC en cada dominio del bosque.

Incluso si todos los controladores de dominio se actualizan a Windows 2000, Windows Server 2003 y Windows Server 2008, y el dominio funciona en el nivel funcional nativo de Windows 2000, el emulador de PDC recibe replicación preferencial de los cambios de contraseña realizados por otros controladores de dominio en el dominio. Si se ha cambiado recientemente una contraseña, el cambio tarda en replicarse en todos los controladores de dominio del dominio. Si la autenticación de inicio de sesión falla en otro controlador de dominio debido a una contraseña incorrecta, ese controlador de dominio reenvía la solicitud de autenticación al emulador PDC antes de decidir si acepta o rechaza el intento de inicio de sesión.

Coloque el emulador de PDC en una ubicación que contenga un gran número de usuarios de ese dominio para realizar operaciones de reenvío de contraseñas si es necesario. Además, asegúrese de que la ubicación esté bien conectada a otras ubicaciones para minimizar la latencia de replicación.

Para obtener una hoja de trabajo que le ayude a documentar la información sobre dónde planea colocar los emuladores de PDC y el número de usuarios de cada dominio representado en cada ubicación, consulte Ayudas de trabajo para el Kit de implementación de Windows Server 2003, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.cierre zip y abra la ubicación del Controlador de Dominio (DSSTOPO_4.doc).

Debe consultar la información sobre las ubicaciones en las que debe colocar emuladores de PDC cuando implemente dominios regionales. Para obtener más información sobre la implementación de dominios regionales, consulte Implementación de dominios regionales de Windows Server 2008.

Requisitos para la colocación del maestro de infraestructura

El maestro de infraestructura actualiza los nombres de entidades de seguridad de otros dominios que se agregan a grupos en su propio dominio. Por ejemplo, si un usuario de un dominio es miembro de un grupo en un segundo dominio y el nombre del usuario se cambia en el primer dominio, no se notifica al segundo dominio que el nombre del usuario debe actualizarse en la lista de miembros del grupo. Debido a que los controladores de dominio de un dominio no replican las entidades de seguridad a los controladores de dominio de otro dominio, el segundo dominio nunca se da cuenta del cambio en ausencia del maestro de infraestructura.

El maestro de infraestructura supervisa constantemente las membresías de grupos, buscando entidades de seguridad de otros dominios. Si encuentra uno, comprueba con el dominio del principal de seguridad que la información está actualizada. Si la información está desactualizada, el maestro de infraestructura realiza la actualización y, a continuación, replica el cambio en los demás controladores de dominio de su dominio.

Se aplican dos excepciones a esta regla. En primer lugar, si todos los controladores de dominio son servidores de catálogo global, el controlador de dominio que aloja el rol maestro de infraestructura es insignificante porque los catálogos globales replican la información actualizada independientemente del dominio al que pertenezcan. En segundo lugar, si el bosque solo tiene un dominio, el controlador de dominio que aloja el rol maestro de infraestructura es insignificante porque no existen entidades de seguridad de otros dominios.

No coloque el maestro de infraestructura en un controlador de dominio que también sea un servidor de catálogo global. Si el maestro de infraestructura y el catálogo global están en el mismo controlador de dominio, el maestro de infraestructura no funcionará. El maestro de infraestructura nunca encontrará datos que estén desactualizados; por lo tanto, nunca replicará ningún cambio en los otros controladores de dominio del dominio.

Ubicación del maestro de operaciones para redes con conectividad limitada

Tenga en cuenta que si su entorno tiene una ubicación central o un sitio de concentrador en el que puede colocar los titulares de roles del maestro de operaciones, ciertas operaciones de controlador de dominio que dependen de la disponibilidad de esos titulares de roles del maestro de operaciones podrían verse afectadas.

Por ejemplo, supongamos que una organización crea sitios A, B, C y D. Existen enlaces a sitios entre A y B, entre B y C, y entre C y D. La conectividad de red refleja exactamente la conectividad de red de los enlaces a sitios. En este ejemplo, todos los roles de maestro de operaciones se colocan en el sitio A y la opción de Unir todos los vínculos del sitio no está seleccionada.

Aunque esta configuración da como resultado una replicación exitosa entre todos los sitios, las funciones de rol maestro de operaciones tienen las siguientes limitaciones:

• Los controladores de dominio de los sitios C y D no pueden acceder al emulador de PDC del sitio A para actualizar una contraseña o para comprobar si hay una contraseña que se haya actualizado recientemente.
• Los controladores de dominio de los sitios C y D no pueden acceder al maestro RID en el sitio A para obtener un grupo de RID inicial después de la instalación de Active Directory y para actualizar los grupos de RID a medida que se agotan.
• Los controladores de dominio de los sitios C y D no pueden agregar ni quitar particiones de directorios, DNS o aplicaciones personalizadas.
• Los controladores de dominio de los sitios C y D no pueden realizar cambios de esquema.

Para obtener una hoja de trabajo que le ayude a planificar la colocación de roles de maestro de operaciones, consulte Ayudas de trabajo para el kit de implementación de Windows Server 2003, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.cierre zip y abra la ubicación del Controlador de Dominio (DSSTOPO_4.doc).

Deberá consultar esta información cuando cree el dominio raíz del bosque y los dominios regionales. Para obtener más información acerca de la implementación del dominio raíz del bosque, consulte Implementación de una Implementación de un dominio raíz del bosque de Windows Server 2008. Para obtener más información sobre la implementación de dominios regionales, consulte Implementación de dominios regionales de Windows Server 2008.

Puede encontrar información adicional sobre la colocación de roles de FSMO en el tema de asistencia Colocación y optimización de FSMO en controladores de dominio de Active Directory