Planear la ubicación del rol de maestro de operaciones

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Active Directory Domain Services (AD DS) admite la replicación multimaster de datos de directorio, lo que significa que cualquier controlador de dominio puede aceptar cambios de directorio y replicar los cambios en todos los demás controladores de dominio. Sin embargo, ciertos cambios, como las modificaciones del esquema, no son prácticos para realizarse de forma multimaster. Por este motivo, determinados controladores de dominio, conocidos como maestros de operaciones, tienen roles responsables de aceptar solicitudes para determinados cambios específicos.

Existen tres roles maestros de operaciones (también conocidos como operaciones maestras únicas flexibles o FSMO) en cada dominio:

• El maestro de operaciones del emulador del controlador de dominio principal (PDC) procesa todas las actualizaciones de contraseñas.

• El maestro de operaciones de identificador relativo (RID) mantiene el grupo de RID global para el dominio y asigna grupos de RID locales a todos los controladores de dominio para asegurarse de que todas las entidades de seguridad creadas en el dominio tienen un identificador único.

• El maestro de operaciones de infraestructura para un dominio determinado mantiene una lista de las entidades de seguridad de otros dominios que son miembros de grupos dentro de su dominio.

Además de los tres roles maestros de operaciones de nivel de dominio, existen dos roles maestros de operaciones en cada bosque:

• El maestro de operaciones de esquema rige los cambios en el esquema.
• El maestro de operaciones de nomenclatura de dominio agrega y quita dominios y otras particiones de directorio (por ejemplo, particiones de aplicación del Sistema de nombres de dominio (DNS) hacia y desde el bosque.

Coloque los controladores de dominio que hospedan estos roles maestros de operaciones en áreas donde la confiabilidad de la red es alta y asegúrese de que el emulador de PDC y el maestro rid estén disponibles de forma coherente.

Los titulares de roles maestros de operaciones se asignan automáticamente cuando se crea el primer controlador de dominio de un dominio determinado. Los dos roles de nivel de bosque (maestro de esquema y maestro de nomenclatura de dominio) se asignan al primer controlador de dominio creado en un bosque. Además, los tres roles de nivel de dominio (maestro rid, maestro de infraestructura y emulador de PDC) se asignan al primer controlador de dominio creado en un dominio.

Estas asignaciones de roles maestros de operaciones automáticas pueden provocar un uso muy elevado de CPU en el primer controlador de dominio creado en el bosque o en el dominio. Para evitar esto, asigne (transfiera) roles maestros de operaciones a varios controladores de dominio del bosque o dominio. Coloque los controladores de dominio que hospedan los roles maestros de operaciones en áreas en las que la red es confiable y donde todos los demás controladores de dominio del bosque pueden acceder a los maestros de operaciones.

También debe designar maestros de operaciones en espera (alternativos) para todos los roles maestros de operaciones. Los maestros de operaciones en espera son controladores de dominio a los que puede transferir los roles maestros de operaciones en caso de que se presente un error en los titulares de roles originales. Asegúrese de que los maestros de operaciones en espera son asociados de replicación directa de los maestros de operaciones reales.

Planeamiento de la selección de ubicación del emulador de PDC

El emulador de PDC procesa los cambios de contraseña de cliente. Solo un controlador de dominio actúa como emulador de PDC en cada dominio del bosque.

Incluso si todos los controladores de dominio se actualizan a Windows 2000, Windows Server 2003 y Windows Server 2008, y el dominio funciona en el nivel funcional nativo de Windows 2000, el emulador de PDC recibe la replicación preferente de los cambios de contraseña realizados por otros controladores de dominio del dominio. Si se cambió recientemente una contraseña, ese cambio tarda tiempo en replicarse en todos los controladores de dominio del dominio. Si se produce un error en la autenticación de inicio de sesión en otro controlador de dominio debido a una contraseña incorrecta, dicho controlador reenvía la solicitud de autenticación al emulador de PDC antes de decidir si acepta o rechaza el intento de inicio de sesión.

Coloque el emulador de PDC en una ubicación que contenga un gran número de usuarios de ese dominio para las operaciones de reenvío de contraseñas si es necesario. Además, asegúrese de que la ubicación está bien conectada a otras ubicaciones para minimizar la latencia de replicación.

Para obtener una hoja de cálculo que le ayude a documentar la información sobre dónde planea colocar emuladores de PDC y el número de usuarios para cada dominio representado en cada ubicación, vea Ayuda para trabajos para el Kit de implementación de Windows Server 2003,descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra Selección de ubicación del controlador de dominio (DSSTOPO_4.doc).

Debe consultar la información sobre las ubicaciones en las que debe colocar emuladores de PDC al implementar dominios regionales. Para obtener más información sobre la implementación de dominios regionales, vea Deploying Windows Server 2008 Regional Domains.

Requisitos para la selección de ubicación del maestro de infraestructura

El maestro de infraestructura actualiza los nombres de las entidades de seguridad de otros dominios que se agregan a grupos en su propio dominio. Por ejemplo, si un usuario de un dominio es miembro de un grupo de un segundo dominio y el nombre del usuario cambia en el primer dominio, no se notifica al segundo dominio que el nombre del usuario debe actualizarse en la lista de pertenencia del grupo. Dado que los controladores de dominio de un dominio no replican entidades de seguridad en controladores de dominio de otro dominio, el segundo dominio nunca es consciente del cambio en ausencia del maestro de infraestructura.

El maestro de infraestructura supervisa constantemente las pertenencias a grupos y busca entidades de seguridad de otros dominios. Si encuentra una, comprueba con el dominio de la entidad de seguridad para comprobar que la información está actualizada. Si la información no está actualizada, el maestro de infraestructura realiza la actualización y, a continuación, replica el cambio en los demás controladores de dominio de su dominio.

Se aplican dos excepciones a esta regla. En primer lugar, si todos los controladores de dominio son servidores de catálogo global, el controlador de dominio que hospeda el rol maestro de infraestructura es insignificante porque los catálogos globales replican la información actualizada independientemente del dominio al que pertenezcan. En segundo lugar, si el bosque tiene solo un dominio, el controlador de dominio que hospeda el rol maestro de infraestructura es insignificante porque las entidades de seguridad de otros dominios no existen.

No coloque el maestro de infraestructura en un controlador de dominio que también sea un servidor de catálogo global. Si el maestro de infraestructura y el catálogo global están en el mismo controlador de dominio, el maestro de infraestructura no funcionará. El maestro de infraestructura nunca encontrará datos que no están actualizados; por lo tanto, nunca replicará ningún cambio en los demás controladores de dominio del dominio.

Ubicación del maestro de operaciones para redes con conectividad limitada

Tenga en cuenta que si su entorno tiene una ubicación central o un sitio central en el que puede colocar los titulares de roles maestros de operaciones, ciertas operaciones de controlador de dominio que dependen de la disponibilidad de esos titulares de roles maestros de operaciones podrían verse afectadas.

Por ejemplo, supongamos que una organización crea sitios A, B, C y D. Existen vínculos de sitio entre A y B, entre B y C, y entre C y D. La conectividad de red refleja exactamente la conectividad de red de los vínculos de sitios. En este ejemplo, todos los roles maestros de operaciones se colocan en el sitio A y la opción Puente de todos los vínculos de sitio no está seleccionada.

Aunque esta configuración da como resultado una replicación correcta entre todos los sitios, las funciones de rol maestro de operaciones tienen las siguientes limitaciones:

• Los controladores de dominio de los sitios C y D no pueden acceder al emulador de PDC en el sitio A para actualizar una contraseña o comprobar si hay una contraseña que se haya actualizado recientemente.
• Los controladores de dominio de los sitios C y D no pueden acceder al maestro rid del sitio A para obtener un grupo de RID inicial después de la instalación de Active Directory y para actualizar los grupos de RID a medida que se agotan.
• Los controladores de dominio de los sitios C y D no pueden agregar ni quitar particiones de directorio, DNS o aplicaciones personalizadas.
• Los controladores de dominio de los sitios C y D no pueden realizar cambios de esquema.

Para obtener una hoja de cálculo que le ayude a planear la colocación de roles maestros de operaciones, vea Ayuda para trabajos para el Kit de implementación de Windows Server 2003,descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra Selección de ubicación del controlador de dominio (DSSTOPO_4.doc).

Tendrá que hacer referencia a esta información al crear el dominio raíz del bosque y los dominios regionales. Para obtener más información sobre cómo implementar el dominio raíz del bosque, vea Deploying a Deploying a Windows Server 2008 Forest Root Domain. Para obtener más información sobre la implementación de dominios regionales, vea Deploying Windows Server 2008 Regional Domains.

Pasos siguientes

Puede encontrar información adicional sobre la selección de ubicación de roles de FSMO en el tema de soporte técnico Selección de ubicación y optimización de FSMO Active Directory controladores de dominio