viernes, 23 de julio de 2010

FSMO FAQ

En los últimos años me preguntaron en varias ocasiones sobres los roles FSMO. Aquí trato de hacer un listado de las preguntas que más se repitieron.

¿Qué son los FSMO?
Son roles especiales que cumple algún DC en el dominio o forest. Aunque el modelo de replicación de AD es multi-master y los cambios se pueden hacer en cualquier DC, algunos cambios específicos o controles no. El ejemplo más simple es que no puede haber dos DC con passwords diferentes de un mismo usuario, porque un atacante podría utilizar un password viejo para ganar acceso a un recurso.

¿Cuántos FSMO hay?
Son cinco roles diferentes. El Domain Master y el Schema Master son únicos en el Forest, por lo cual no importa cuántos dominios tenemos, siempre hay uno de cada uno. El PDC Emulator, Infrastructure Master y el RID son únicos en el dominio, por lo que si tenemos dos dominios tendremos dos de cada uno de estos tres.

¿Cuántos DC necesito para ejecutar estos roles?
Todos pueden convivir en el mismo DC, pero según el tamaño de la implementación de AD, podemos ponerlos en diferentes DC.

Ni sabía que existían, ¿cómo hago para instalarlos ahora que ya tengo mi AD en producción?
Cuando se instala el primer DC los 5 roles se instalan en forma automática en ese DC. De igual manera, cuando se instala el primer DC de un nuevo dominio, los 3 roles propios del dominio se instalan en ese DC.

¿Qué pasa si apagué mi primer DC, perdí los roles?
No necesariamente, si la decomisión del equipo se hizo en forma correcta, cuando se ejecuta DCpromo.exe para sacar la función de DC de un equipo, los roles son transferidos a otro DC que pueda ocupar ese rol.

¿Cómo puedo pasar el rol a otro equipo?
Los roles PDC Emulator, Infrastructure Master y RID, desde la herramienta "Active Directory User and Computers", el Domain Master desde "Active Directory Domain a Trusts" y el Schema Master desde "Active Directory Schema"

¿Dónde está el "Active Directory Schema"?
El Schema de AD es algo que normalmente no se debería modificar, por lo que antes de poder ver la herramienta "Active Direcroty Schema" se debe registrar una dll ejecutando desde un CMD:
"regsvr32 schmmgmt.dll"

Si apagué mal mi DC, se me rompió, me lo robaron... ¿Perdí los roles?
Si tu DC tenía algún rol, es probable que esa función no la esté cumpliendo ningún equipo. Puede pasar algún tiempo hasta que la falta de esa función afecte la operatoria de la empresa.

Si apagué mal mi DC, se me rompió, me lo robaron... ¿Cómo paso un rol a otro equipo?
En este caso hay que forzar el paso del rol utilizando la herramienta "ntdsutil", como lo indica el link:
http://technet.microsoft.com/en-us/library/cc757500(WS.10).aspx

¿Cualquier DC puede tener cualquier rol?
No, los RODC no pueden tener ninguno de estos roles. Tampoco se puede ejecutar el rol de Infrastructure Master en un DC que es Global Catalog, exceptuando que todos los DC sean Global Catalog.

¿Y si tengo un solo DC?, entonces mi DC es Global Catalog, ¿verdad?
Si, pero también entonces todos tus DC son Global Catalog.

¿Qué función cumple y qué pasa si no se ejecuta el rol del Domain Master?
El Domain Master guarda la información de dominios dentro del forest, si no se está ejecutando, no se puede agregar nuevos dominios al forest.

¿Qué función cumple y qué pasa si no se ejecuta el rol del Schema Master?
El Schema Master guarda la información del esquema de AD, si no se está ejecutando, no se puede modificar el esquema de AD.

¿Qué función cumple y qué pasa si no se ejecuta el rol del PDC Emulator?
El PDC Emulator sirve para que equipos con NT 4.0 (espero que nadie los siga usando) pueden autenticarse en la red como si fuese un PDC NT 4.0 y es el DC encargado de mantener actualizados los passwords de los usuarios y equipos en AD. Si no se está ejecutando, un equipo con NT 4.0 no va a poder autenticarse y los usuarios o equipos no van a poder cambiar su contraseña.

¿Qué función cumple y qué pasa si no se ejecuta el rol del RID?
El RID reparte los números de SID dentro del dominio. Si el RID no se está ejecutando y un DC quiere crear un objeto nuevo dentro de AD pero no tiene numero de SID para asignarle, no se podrá crear el objeto en ese DC. (Nota: el SID es el identificador de seguridad, un número único que tiene cada objeto de AD)

¿ Qué función cumple y qué pasa si no se ejecuta el rol del Insfrastructure Master ?
El Infrastructure Master se encarga de mantener las referencia de pertenencia de grupo de los usuarios en los diferentes dominios. Si el rol no está disponible, no se podrán mover usuarios entre diferentes dominios.

¿Cómo puedo ver dónde están ejecutándose los roles?
Utilizando las mismas herramientas gráficas que se utilizan para moverlos o ejecutando desde un CMD:
netdom query fsmo

3 comentarios:

Anónimo dijo...

Muy buena la informacion

Unknown dijo...

Estimado,

Consulta,

Puedo tener los mismos roles en el servidor 1ero y 2do?, me refiero a esto para evitar que si uno falla, el otro levante sin problema los servicios?

Gracias por su respuesta

Esteban De Leo dijo...

Hola Victor gracias por tu consulta!

No se puede tener los FSMO en mas de un equipo a la vez. Si uno falla igualmente los problemas no son inmediatos, lo mas rápido en presentarse es que los usuarios no podrán cambiar el password si el PDC emulator no está funcionando.

Esteban