Planear la ubicación del rol de maestro de operaciones

Active Directory Domain Services (AD DS) admite la replicación multimaestro de datos de directorio, lo que significa que cualquier controlador de dominio puede aceptar cambios de directorio y replicar los cambios en los demás controladores de dominio. Sin embargo, algunos cambios, como las modificaciones de esquema, no es práctico realizarlos en modo multimaestro. Por este motivo, determinados controladores de dominio, conocidos como maestros de operaciones, hacen que los roles sean responsables de aceptar las solicitudes de determinados cambios.

Nota

Los titulares de roles de maestro de operaciones deben poder escribir información en la base de datos de Active Directory. Debido a la naturaleza de solo lectura de la base de datos de Active Directory en un controlador de dominio de solo lectura (RODC), los RODC no pueden actuar como titulares de roles de maestro de operaciones.

Hay tres roles de maestro de operaciones (llamadas también operaciones de maestro único flexible o FSMO) en cada dominio:

  • El maestro de operaciones del emulador del controlador de dominio principal (PDC) procesa todas las actualizaciones de contraseñas.

  • El maestro de operaciones de identificador relativo (RID) mantiene el grupo de RID global para el dominio y asigna grupos de RID locales a todos los controladores de dominio, para asegurarse de que todas las entidades de seguridad creadas en el dominio tengan un identificador único.

  • El maestro de operaciones de infraestructura de un determinado dominio mantiene una lista de las entidades de seguridad de otros dominios que son miembros de grupos dentro de su dominio.

Además de los tres roles de maestro de operaciones a nivel de dominio, existen dos roles de maestro de operaciones en cada bosque:

  • El maestro de operaciones de esquema administra los cambios en el esquema.
  • El maestro de operaciones de nomenclatura de dominios agrega y quita dominios y otras particiones de directorio (por ejemplo, particiones de aplicación del Sistema de nombres de dominio (DNS)) en el bosque.

Coloque los controladores de dominio que hospedan estos roles de maestro de operaciones en áreas donde la confiabilidad de la red sea alta y asegúrese de que el emulador de PDC y el maestro RID estén disponibles de forma coherente.

Los titulares de roles de maestro de operaciones se asignan automáticamente cuando se crea el primer controlador de dominio en un determinado dominio. Los dos roles a nivel de bosque (maestro de esquema y maestro de nomenclatura de dominio) se asignan al primer controlador de dominio creado en un bosque. Además, los tres roles a nivel de dominio (maestro RID, maestro de infraestructura y emulador de PDC) se asignan al primer controlador de dominio creado en un dominio.

Nota

Las asignaciones automáticas de titulares de roles de maestro de operaciones solo se realizan cuando se crea un nuevo dominio y cuando se degrada un titular de roles actual. Los demás cambios en los propietarios de roles debe iniciarlos un administrador.

Estas asignaciones de roles de maestro de operaciones automáticas pueden provocar un uso de CPU muy elevado en el primer controlador de dominio creado en el bosque o el dominio. Para evitarlo, asigne (transfiera) roles de maestro de operaciones a varios controladores de dominio del bosque o dominio. Coloque los controladores de dominio que hospedan los roles de maestro de operaciones en áreas donde la red sea confiable y donde los demás controladores de dominio del bosque puedan acceder a los maestros de operaciones.

También debe designar maestros de operaciones en espera (alternativos) para todos los roles de maestro de operaciones. Los maestros de operaciones en espera son controladores de dominio a los que puede transferir los roles de maestro de operaciones en el caso de que los titulares de roles originales fallen. Asegúrese de que los maestros de operaciones en espera sean asociados de replicación directa de los maestros de operaciones reales.

Planificación de la ubicación del emulador de PDC

El emulador de PDC procesa los cambios de contraseña de clientes. Solo un controlador de dominio actúa como emulador de PDC en cada dominio del bosque.

Aunque todos los controladores de dominio se actualicen a Windows 2000, Windows Server 2003 y Windows Server 2008, y el dominio opere con el nivel funcional nativo de Windows 2000, el emulador de PDC recibe la replicación preferencial de los cambios de contraseña realizados por otros controladores en el dominio. Si se ha cambiado recientemente una contraseña, ese cambio tarda tiempo en replicarse en cada controlador del dominio. Si se produce un error en la autenticación de inicio de sesión en otro controlador de dominio debido a una contraseña incorrecta, ese controlador de dominio reenvía la solicitud de autenticación al emulador de PDC antes de decidir si aceptar o rechazar el intento de inicio de sesión.

Coloque el emulador de PDC en una ubicación que contenga un gran número de usuarios de ese dominio para las operaciones de reenvío de contraseñas, si es necesario. Asimismo, asegúrese de que la ubicación esté bien conectada a otras ubicaciones para minimizar la latencia de replicación.

Para obtener una hoja de cálculo que le ayude a documentar la información sobre dónde tiene previsto colocar los emuladores de PDC y el número de usuarios para cada dominio representado en cada ubicación, consulte Kit de implementación de Ayudas al trabajo para Windows Server 2003, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra Ubicación del controlador de dominio (DSSTOPO_4.doc).

Tendrá que consultar la información sobre las ubicaciones en las que necesita colocar los emuladores de PDC al implementar dominios regionales. Para obtener más información sobre la implementación de dominios regionales, consulte Implementación de dominios regionales de Windows Server 2008.

Requisitos para la ubicación del maestro de infraestructura

El maestro de infraestructura actualiza los nombres de las entidades de seguridad de otros dominios que se agregan a los grupos en su propio dominio. Por ejemplo, si un usuario de un dominio es miembro de un grupo en un segundo dominio y el nombre del usuario se cambia en el primer dominio, no se notifica al segundo dominio que el nombre del usuario debe actualizarse en la lista de pertenencia del grupo. Como los controladores de dominio de un dominio no replican entidades de seguridad en controladores de dominio en otro dominio, el cambio nunca se notifica al segundo dominio en ausencia del maestro de infraestructura.

El maestro de infraestructura supervisa constantemente las pertenencias a grupos, buscando entidades de seguridad de otros dominios. Si encuentra una, comprueba en el dominio de la entidad de seguridad que la información se actualiza. Si la información no está actualizada, el maestro de infraestructura realiza la actualización y, a continuación, replica el cambio en los demás controladores en su dominio.

Se aplican dos excepciones a esta regla. En primer lugar, si todos los controladores de dominio son servidores de catálogo global, el controlador de dominio que hospeda el rol de maestro de infraestructura es insignificante porque los catálogos globales replican la información actualizada independientemente del dominio al que pertenecen. En segundo lugar, si el bosque tiene solo un dominio, el controlador de dominio que hospeda el rol de maestro de infraestructura es insignificante porque no existen entidades de seguridad de otros dominios.

No coloque el maestro de infraestructura en un controlador de dominio que también sea un servidor de catálogo global. Si el maestro de infraestructura y el catálogo global están en el mismo controlador de dominio, el maestro de infraestructura no funcionará. El maestro de infraestructura nunca encontrará datos obsoletos; por lo tanto, nunca replicará ningún cambio en los demás controladores en el dominio.

Ubicación del maestro de operaciones para redes con conectividad limitada

Tenga en cuenta que si su entorno tiene una ubicación o un sitio central donde puede colocar los titulares de roles de maestros de operaciones, es posible que se vean afectadas determinadas operaciones de controlador de dominio que dependen de la disponibilidad de esos titulares de roles de maestros de operaciones.

Por ejemplo, supongamos que una organización crea los sitios A, B, C y D. Existen vínculos del sitio entre A y B, entre B y C, y entre C y D. La conectividad de red refleja exactamente la conectividad de red de los vínculos del sitio. En este ejemplo, todos los roles de maestros de operaciones se colocan en el sitio A y la opción Enlazar todos los vínculos a sitios no está seleccionada.

Aunque esta configuración da como resultado una replicación correcta entre todos los sitios, las funciones de rol de maestro de operaciones tienen las siguientes limitaciones:

  • Los controladores de dominio de los sitios C y D no pueden acceder al emulador de PDC en el sitio A para actualizar una contraseña o para comprobar si hay una contraseña que se ha actualizado recientemente.
  • Los controladores de dominio de los sitios C y D no pueden acceder al maestro RID del sitio A para obtener un grupo de RID inicial después de la instalación de Active Directory y actualizar los grupos de RID a medida que se agotan.
  • Los controladores de dominio de los sitios C y D no pueden agregar ni quitar particiones de directorio, DNS o aplicaciones personalizadas.
  • Los controladores de dominio de los sitios C y D no pueden realizar cambios de esquema.

Para obtener una hoja de cálculo que le ayude a planificar la ubicación de roles de maestros de operaciones, consulte Kit de implementación de Ayudas al trabajo para Windows Server 2003, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra Ubicación del controlador de dominio (DSSTOPO_4.doc).

Deberá hacer referencia a esta información cuando cree el dominio raíz del bosque y los dominios regionales. Para obtener más información sobre cómo implementar el dominio raíz del bosque, consulte Implementación de un dominio raíz del bosque de Windows Server 2008. Para obtener más información sobre la implementación de dominios regionales, consulte Implementación de dominios regionales de Windows Server 2008.

Pasos siguientes

Puede encontrar información adicional sobre la ubicación de roles de FSMO en el tema de soporte técnico Ubicación y optimización de FSMO en controladores de dominio de Active Directory