FSMO (Flexible Single Master Operations)

Algunas operaciones a nivel de dominio y de empresa que no son adecuadas para actualizaciones de varios maestros las realiza un solo controlador de dominio en un dominio o bosque de Active Directory. Los controladores de dominio designados para realizar estas operaciones exclusivas se denominan maestros de operaciones o titulares de la función FSMO.

En la lista siguiente se describen las 5 funciones FSMO exclusivas de un bosque de Active Directory, así como las operaciones dependientes que realizan:

1 Emulador de PDC (PDC Emulator): Afecta a todo el dominio y hay una para cada dominio. Esta función es necesaria para el controlador de dominio que envía actualizaciones de base de datos a los controladores de dominio de reserva de Windows NT. El controlador de dominio propietario de esta función es también el objetivo de ciertas herramientas de administración y actualizaciones de contraseñas de cuentas de usuario y de equipo.

2 Maestro RID (RID Master): Cada objeto debe tener un único numero global, afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para asignar el grupo de RID, con objeto de que los controladores de dominio nuevos o existentes puedan crear cuentas de usuario y de equipo, así como grupos de seguridad.

3 Maestro de infraestructuras (Infrastructure Master): Responsable de chequear objetos en otros dominios “universal group membership” seria un ejemplo importante de esto, afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para que los controladores de dominio puedan ejecutar correctamente el comando adprep /forestprep, así como para actualizar los atributos SID y de nombre completo para los objetos a los que se hace referencia entre varios dominios.

4 Maestro de nombres de dominio (Domain Naming Master): Este asegura que cada “child domain” tenga un nombre único, afecta a todo el bosque y hay uno para cada bosque. Esta función es necesaria para agregar o eliminar dominios o particiones de aplicaciones en un bosque.

5 Maestro de esquema (Schema Master): Realiza las operaciones que expanden por ejemplo las propiedades de usuario, como Exchange 2003 / forestprep que agrega las propiedades de correo al usuario, afecta a todo el bosque y hay uno para cada bosque. Esta función es necesaria para expandir el esquema de un bosque de Active Directory o para ejecutar el comando adprep /forestprep.

El Asistente para instalación de Active Directory (Dcpromo.exe) asigna las 5 funciones FSMO al primer controlador de dominio del dominio raíz del bosque. Las tres funciones específicas del dominio ( Emulador de PDC, Maestro RID y Maestro de infraestructuras) se asignan al primer controlador de dominio de cada nuevo dominio secundario o de árbol, las otras 2 son únicas en el “forest”. Para que quede mas claro, los roles (1. 2. y 3.) van a estar presentes en cada dominio, mientras que el (4. y 5.) son únicos en todo el “forest”. Entonces, si tenes 3 dominios habrán tres Emuladores PDC, pero solo 1 Maestro de esquema.
Los controladores de dominio siguen siendo los propietarios de las funciones FSMO hasta que se reasignen utilizando uno de los métodos siguientes:

• Para reasignar la función, el administrador debe utilizar una herramienta administrativa GUI.

• Para realizar esta operación, debe usar el comando ntdsutil /roles.

• El administrador debe utilizar el Asistente de instalación de Active Directory para degradar correctamente un controlador de dominio contenedor de funciones. Este asistente reasigna las funciones contenidas localmente a un controlador de dominio existente del bosque. Las operaciones de degradación realizadas utilizando el comando dcpromo /forceremoval dejan las funciones FSMO en un estado no válido hasta que son reasignadas por un administrador.

Para cambiar los Roles 1, 2 y 3 tienen que abrir la consola Active Directory Users and Computers. Una vez abierta esta consola pararse sobre el nombre del dominio, botón derecho en Operation Masters, se abrira una pantalla con 3 solapas, RID, PDC, INFRASTRUCTURE. En cada una de las solapas oprimimos change y seleccionamos el domain controller que va a quedar en funcionamiento. Si les tira un error de que tenes que estar conectado al domain controller haces botón derecho sobre el dominio y seleccionas Connect to a Domain Controller y seleccionas el DC al que te queres conectar.
Para cambiar el cuarto rol abrís la consola Active Directory Domains and Trusts. Cuando se abre la pantalla deberán pararse sobre donde dice Active Directory Domains and Trusts, botón derecho, Operation Masters. En la pantalla que aparece daremos Change, así como con los demas roles.
Para modificar el quinto rol deberán registrar la siguiente DLL. schmmgmt.dll. Una vez hecho esto abrir una mmc y agregar el Active Directory Schema Snap In, botón derecho sobre el snap in, seleccionamos Operation Master, se abrirá una ventana como la anterior en donde te deja cambiar el domian controller que vas a designar como Schema Master.

Una vez hechos todos estos pasos deberán correr el comando dcpromo sobre el Domain Controller a remover y seguir las pantallas que prácticamente los guiará solo. Puede tardar un poco esto, así que paciencia.

Nota: para asumir y transferir funciones FSMO también se puede usar el comando ntdsutil.exe desde la línea de comandos.