WINDOWS: Roles FSMO vida y obra

Hay muchos documentos en la red sobre los roles FSMO de Active Directory, este será uno más, pero quiero darle un enfoque diferente: a parte de explicar como funcionan, probaré que sucede cuando falla cada uno de ellos y veremos cuales son los síntomas.

1. Definición de roles FSMO.

En un dominio Active Directory, los servidores que desempeñan la función más importante son los controladores de dominio. Estos servidores son los encargados de almacenar la BBDD de usuarios, sus contraseñas, scripts de login, políticas de seguridad... y muchas más cosas necesarias para tener un entorno de máquinas securizadas y controladas bajo las mismas premisas.

Las funciones más genéricas de un controlador de dominio ( en adelante DC), están replicadas en todos los DCs, de tal manera que si se estropea uno de ellos, cualquiera de los demás DCs puede absorver las funciones del que haya desaparecido. Todo esto es así, menos en un tipo de funcionalidades especiales, son los denominados roles FSMO.

Las siglas FSMO significan flexible single master operations. Estas siglas son las que Microsoft, utiliza para designar ciertos roles ( tareas) que solo puede realizar un DC en particular, esto es así para afianzar la seguridad e integridad de los datos almacenados en Active Directory en ciertos aspectos. Los roles FSMO pueden estar en el mismo DC o repartidos en varios. Dichos roles, son aplicables a cualquier versión sistema operativo Microsoft, que pueda implementar Active directory ( Windows 2000, 2003, 2008 ).

El DC que esté desarrollando un rol en particular, se denomina maestro de operaciones de ese rol.

1.1 Tipos de roles.
Los roles se pueden separar en dos grupos:

• A nivel de dominio: 
•  Pdc emulator:
• Sincroniza la hora de todos los DCs del dominio ( a su vez los clientes se sincronizan con los DCs).
• Centraliza la replicación de los cambios de contraseñas de usuarios entre DCs.
• Se le replican los intentos fallidos de login por contraseña incorrecta de todos los DCs del dominio, antes de presentar el mensaje de error al usuario.
• Procesa los bloqueos de cuenta de usuario.
• La edición / creación de GPOs siempre se inicia en el DC con este rol.
• Realiza la función de PDC para máquinas Windows NT 4.

• Rid master:
• Es el responsable de atender a las peticiones de nºs RID de todos los DCs del dominio, el RID es un nº correlativo que se le asigna a los objectos de Active directory para poder conformar el SID.
• Se encarga de gestionar los movimientos de objectos entre dominios.

• Infraestructure master:
• Cuando un objeto en un dominio hace referencia a otro objeto de otro dominio, lo hace mediante el GUID, el SID y el DN del objeto. El DC que tiene el rol de Infraestructure Master es el encargado de actualizar el SID y el DN en estas referencias a través de dominios.

• A nivel de forest:  
• Domain naming master:
• Es el responsable de hacer posibles los cambios en el espacio de nombres de dominio en un forest ( este proceso se usa cuando se agregan o quitan dominios en un forest).
• Otra funcionalidad de la que se encarga es la de gestionar las relaciones de confianza ( crear y eliminarlas).

• Schema master: 
• Este rol es el que se encarga de las modificaciones en el esquema del forest de Active Directory.

2. Global Catalog.
Cabe destacar que la funcionalidad de Global Catalog, aunque no es un rol FSMO, es una función de un DC que se debe tener en cuenta, cuando se seleccionan los maestros de operaciones de FSMO de un forest.

Todos los roles FSMO pueden estar en cualquier DC, menos el rol Infraestructure Master, el cual nunca puede coincidir con un DC que sea Global Catalog ( a no ser que solo tengamos un DC ).

Un Global Catalog desarrolla varias tareas:

• Almacena una BBDD de todos los objetos y sus atributos del dominio, y de todos los objetos y algunos atributos de los demás dominios del forest.
• Es requerido para aplicaciones que realizan búsquedas intensivas de objectos de todo un forest ( por ejemplo Microsoft Exchange).
• Replica la pertenencia a grupos universales de usuarios y equipos.
• Proporciona la autenticación mediante el nombre principal del usuario ( user@nombredominio.local).
• Valida las referencias entre objectos de diferentes dominios.

A parte, debemos tener en cuenta que si estamos funcionando en Active Directory modo Mixto, no es requerido tener Global Catalog, sin embargo si estamos en modo Nativo 2000 o 2003, es requerido tener al menos uno.
Cuando no existe Global Catalog, la validación de los usuarios administradores del dominio no se ve afectada.

3. Como visualizar quién tiene los roles.
Por defecto, los roles FSMO se asignan de la siguiente manera entre los DCs:

• Schema Master y Domain Naming Master en el primer DC del primer dominio del Forest.
• PDC, RID y Infraestructure master en el primer DC de cada dominio.

Es muy posible que posteriormente, algún administrador los haya movido a otro DC, es por esto que no está de más revisar en qué DC está cada rol en particular, para ello podemos verlo de varias maneras:

• Con NTDSutil: para ello nos logaremos en un DC con un usuario administrador de dominio y haremos Inicio/ejecutar/cmd

• Con herramientas gráficas:
• Active directory users and computers:
• Active directory Sites and Services:
• Active directory domains and trusts:
• Replmon:

• Con el comando netdom (Windows 2003):
• Antes de nada en el server tendremos que tener previamente instaladas las support tools.
• Una vez comprobado el punto anterior, nos logaremos en un DC con un usuario administrador de dominio y haremos Inicio/ejecutar/cmd
• Después ejecutaremos el comando:

• Por pantalla se nos mostrará:

PDC
RID
IM
DNM
SM

4. Cómo cambiar los roles.
PDC
RID
IM
DNM
SM

Para comenzar, describiré el dominio Active Directory que he creado en mi laboratorio para realizar estas pruebas:
1 forest:
2 subdominios:
Dom Padre: dc01,dc02
Subdom1: dc01, dc02
Subdom2: dc0101, dc0102
Saturno.local
Los roles, están distribuidos de la siguiente forma:

PDC
RID
IM

DNM
SM

5. Pruebas de desastre con roles FSMO.
Antes de comenzar con las pruebas, cabe destacar que si nos encontramos en la situación de que uno de nuestros controladores de dominio se estropea irremediablemente, y dicho servidor era maestro de operaciones de algún rol, antes de nada se debe traspasar el rol a otro controlador de dominio que tengamos disponible, para ello "secuestraremos" el rol de la siguiente manera:

Dicho esto, pasaré a exponer las pruebas que he realizado para ver como afecta la pérdida de roles en un Active Directory.
5.1 PDC Emulator

5.2 RID master

5.3 Infraestructure master

5.4 Domain naming master

5.5 Schema Master

6. Links de interés

• Explicación de los roles FSMO: http://support.microsoft.com/kb/197132/en-us
• Recomendaciones para la ubicación de los roles FSMO: http://support.microsoft.com/kb/223346/en-us
• Utilizar Ntdsutil para la tranferencia de roles http://support.microsoft.com/kb/255504/es
• Explicación de los atributos RID http://support.microsoft.com/kb/305475/en-us