Cómo extender el esquema de Active Directory para el libreta de direcciones jerárquica (HAB) en un servidor de Exchange Server 2010

El HAB es un complemento para Exchange Server 2010 y para Microsoft Outlook 2010 beta. Para utilizar el HAB, debe extender el esquema de AD DS en el bosque de Active Directory en el que instaló Exchange Server 2010. Para extender el esquema de AD DS, debe pertenecer a los administradores de esquema grupo. Las clases de esquema y los atributos que se agregan en AD DS para la HAB son compatibles con todos los idiomas y versiones de servidor. El HAB extensiones de esquema para Exchange Server 2010 también será compatibles con versiones futuras de servidor de Exchange.
Para instalar el complemento HAB Active Directory, siga estos pasos:

  1. 1. La herramienta LDIFDE es necesario para implementar los cambios de esquema. La herramienta LDIFDE se instala cuando se instalan las herramientas de administración remota para servidor de Windows Server 2008. Para instalar las herramientas de administración remota, siga estos pasos en el servidor:
    1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar .
    2. Tipo ServerManagerCmd -i ADDS RSAT en el cuadro Abrir campo y, a continuación, haga clic en Aceptar .
  2. Copie el siguiente script cambio de esquema a un archivo de texto que se denomina “ schema_file.txt ” para su uso posterior. Asegúrese de que la primera línea del archivo está en blanco.


    dn: CN=ms-DS-Phonetic-Display-Name,DC=X changetype: ntdsSchemaAdd adminDescription: ms-DS-Phonetic-Display-Name adminDisplayName: ms-DS-Phonetic-Display-Name attributeID: 1.2.840.113556.1.4.1946 attributeSecurityGuid:: VAGN5Pi80RGHAgDAT7lgUA== attributeSyntax: 2.5.5.12 isSingleValued: TRUE lDAPDisplayName: msDS-PhoneticDisplayName mapiId: 35986 name: ms-DS-Phonetic-Display-Name oMSyntax: 64 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema rangeLower: 0 rangeUpper: 256 schemaIdGuid:: 5JQa4mYt5UyzDQ74endv8A== searchFlags: 5 showInAdvancedViewOnly: TRUE systemFlags: 16 systemOnly: FALSE dn: CN=ms-DS-HAB-Seniority-Index,DC=X changetype: ntdsSchemaAdd adminDescription: Contains the seniority index as applied by the organization where the person works. adminDisplayName: ms-DS-HAB-Seniority-Index attributeID: 1.2.840.113556.1.4.1997 attributeSecurityGuid:: VAGN5Pi80RGHAgDAT7lgUA== attributeSyntax: 2.5.5.9 isMemberOfPartialAttributeSet: TRUE isSingleValued: TRUE lDAPDisplayName: msDS-HABSeniorityIndex mapiId: 36000 name: ms-DS-HAB-Seniority-Index oMSyntax: 2 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema schemaIdGuid:: 8Un03jv9RUCYz9lljaeItQ== searchFlags: 1 showInAdvancedViewOnly: TRUE systemFlags: 16 systemOnly: FALSE dn: CN=ms-Exch-HAB-Root-Department-Link,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Exch-HAB-Root-Department-Link adminDisplayName: ms-Exch-HAB-Root-Department-Link attributeID: 1.2.840.113556.1.4.7000.102.50824 attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: FALSE isSingleValued: TRUE lDAPDisplayName: msExchHABRootDepartmentLink mapiId: 35992 name: ms-Exch-HAB-Root-Department-Link oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema linkID: 1092 schemaIdGuid:: f/ewOgOh9UeAbUpAzOY4qg== searchFlags: 0 dn: CN=ms-Exch-HAB-Root-Department-BL,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Exch-HAB-Root-Department-BL adminDisplayName: ms-Exch-HAB-Root-Department-BL attributeID: 1.2.840.113556.1.4.7000.102.50826 attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: FALSE isSingleValued: FALSE lDAPDisplayName: msExchHABRootDepartmentBL mapiId: 35995 name: ms-Exch-HAB-Root-Department-BL oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema linkID: 1093 schemaIdGuid:: jIKVD70qh0CwJo98xedSpA== searchFlags: 0 dn: CN=ms-Org-Group-Subtype-Name,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Group-Subtype-Name adminDisplayName: ms-Org-Group-Subtype-Name attributeID: 1.2.840.113556.1.6.47.2.3 attributeSyntax: 2.5.5.12 isMemberOfPartialAttributeSet: TRUE isSingleValued: TRUE lDAPDisplayName: msOrg-GroupSubtypeName mapiId: 36063 name: ms-Org-Group-Subtype-Name oMSyntax: 64 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema rangeUpper: 128 schemaIdGuid:: RFjt7cOzw0Gp5omEtSt/mA== searchFlags: 17 dn: CN=ms-Org-Is-Organizational-Group,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Is-Organizational-Group adminDisplayName: ms-Org-Is-Organizational-Group attributeID: 1.2.840.113556.1.6.47.2.1 attributeSyntax: 2.5.5.8 isMemberOfPartialAttributeSet: TRUE isSingleValued: TRUE lDAPDisplayName: msOrg-IsOrganizational mapiId: 36061 name: ms-Org-Is-Organizational-Group oMSyntax: 1 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema schemaIdGuid:: C1a3SQdHoEqifOF6Cco/lw== searchFlags: 16 dn: CN=ms-Org-Other-Display-Names,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Other-Display-Names adminDisplayName: ms-Org-Other-Display-Names attributeID: 1.2.840.113556.1.6.47.2.4 attributeSyntax: 2.5.5.12 isMemberOfPartialAttributeSet: TRUE isSingleValued: FALSE lDAPDisplayName: msOrg-OtherDisplayNames mapiId: 36064 name: ms-Org-Other-Display-Names oMSyntax: 64 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema rangeUpper: 128 schemaIdGuid:: JF+QjxOkWkOO0TU4XsF59w== searchFlags: 17 dn: CN=ms-Org-Leaders,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Leaders adminDisplayName: ms-Org-Leaders attributeID: 1.2.840.113556.1.6.47.2.2 attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: TRUE isSingleValued: FALSE lDAPDisplayName: msOrg-Leaders mapiId: 36062 name: ms-Org-Leaders oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema linkID: 1208 schemaIdGuid:: kGdb7lgzqEGT8hNM4h84Ew== searchFlags: 16 dn: CN=ms-Org-Leaders-BL,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Leaders-BL adminDisplayName: ms-Org-Leaders-BL attributeID: 1.2.840.113556.1.6.47.2.5 attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: FALSE isSingleValued: FALSE lDAPDisplayName: msOrg-LeadersBL mapiId: 36060 name: ms-Org-Leaders-BL oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema linkID: 1209 schemaIdGuid:: 7Y6lr5imfkGfVvrVQlLF9A== searchFlags: 0 dn: changetype: ntdsSchemaModify replace: schemaUpdateNow schemaUpdateNow: 1 - dn: CN=Organizational-Person,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-HABSeniorityIndex - dn: CN=Organizational-Person,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-PhoneticDisplayName - dn: CN=ms-Exch-Organization-Container,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msExchHABRootDepartmentLink - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: location - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: thumbnailPhoto - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-HABSeniorityIndex - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-PhoneticDisplayName - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-GroupSubtypeName - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-IsOrganizational - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-Leaders - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-OtherDisplayNames - dn: CN=Mail-Recipient,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-HABSeniorityIndex - dn: CN=Mail-Recipient,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-PhoneticDisplayName - dn: CN=Top,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-LeadersBL - dn: CN=Top,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msExchHABRootDepartmentBL - dn: changetype: ntdsSchemaModify replace: schemaUpdateNow schemaUpdateNow: 1 -

  3. Si el servidor de controlador de dominio se está ejecutando Windows Server 2008, vaya al paso 7. Para servidores de controlador de dominio que ejecutan versiones de Windows anteriores a Windows Server 2008, el comando LDIF requiere la entrada de RootDSE. En este caso, siga los pasos 4 a 6.
  4. Para escribir la entrada de RootDSE en un archivo, ejecutar el comando siguiente que especifica el nombre de servidor del controlador de dominio:
    LDIFDE -f [domain_data.txt] -s [server_name] -p BASE
  5. Abra el archivo domain_data.txt que creó en el paso 4 y busca la cadena que se llama "esquema". Copie el texto siguiente de esa sección, empezando desde "CN = schema," y guárdelo. Este texto contiene la entrada de RootDSE y se utiliza para importar la extensión del esquema HAB en el paso 6. Por ejemplo, el texto puede ser similar a la siguiente cadena en el que Contoso se utiliza como marcador de posición:
    CN=Schema,CN=Configuration,DC=Contoso-dom,DC=Contoso,DC=com
  6. Para dominio de servidores de controlador que ejecutan versiones Windows que son anteriores a Windows Server 2008, ejecute el comando siguiente en el servidor de controlador de dominio para importar la extensión del esquema HAB. Este comando especifica el archivo de RootDSE que guardó en el paso 5.
    LDIFDE -i -f schema_file.txt -c DC=X <RootDSE_entry>
  7. para Windows Server 2008 sólo, ejecute el comando siguiente en el servidor de controlador de dominio para importar la extensión de esquema HAB.
    LDIFDE -i -f schema_file.txt -c DC=X #SchemaNamingContext

Seguridad en la nube

Buena pregunta si señor. Creo que todos aquellos que plantean esta pregunta tienen un amplio vacio tecnológico en su cabeza (y la verdad es que da igual que sea CIO, CEO, Presidente, Vice-Presidente, Friki, Geek, o cualquiera de esos seres extraños que se han puesto un sobre nombre “rarito”) y creo que son los que deberían de volver a la universidad, a leer algún que otro libro, asistir algún cursito sobre seguridad y esas cositas que enriquecen nuestro conocimiento del medio en el cual estamos trabajando y dejar a un lado el golf, las cervezas y esas intervenciones corporativas que lo único que consiguen es disipar la duda. (Cita al final del texto)

Hagamos un resumen histórico de ciertos eventos tecnológicos (más que nada para ponerles al día) que han ocurrido en estos últimos años:

  • Aunque los antecedentes del correo electrónico hay que buscarlos unos pocos años antes, no es hasta 1971 cuando Ray Tomlinson, un ingeniero que trabajaba en la empresa de BBN, tuvo una idea que, sin ser él consciente, se acabaría revelando como una de las más influyentes de los últimos treinta años. Millones de usuarios lo demuestran cada día, una y otra vez. Estamos hablando del correo electrónico, el e-mail (contracción de ‘electronic mail’).
  • En 1983 nace Internet, con un gran número de usuarios y un crecimiento vertiginoso, El crecimiento de Internet ronda el 20 % mensual. En la red principal, la velocidad actual de transmisión de datos permite enviar la Enciclopedia Británica en unos segundos.
  • La Web fue creada alrededor de 1989 por el inglés Tim Berners-Lee y el belga Robert Cailliau mientras trabajaban en el CERN en Ginebra, Suiza, y publicado en 1992. Desde entonces, Berners-Lee ha jugado un papel activo guiando el desarrollo de estándares Web (como los lenguajes de marcado con los que se crean las páginas web), y en los últimos años ha abogado por su visión de una Web Semántica.
  • Larry Page y Sergey Brin se conocieron en 1995, cuando tenían 24 y 23 años respectivamente, en un acto organizado por la Universidad de Stanford. Ambos tenían un objetivo en común: conseguir información relevante a partir de una importante cantidad de datos. En enero de 1996 iniciaron su colaboración en un buscador llamado BackRub. Larry empezó a trabajar en la forma de conseguir un entorno para los servidores que funcionara con PCs de gama baja y que no necesitará de potentes máquinas para funcionar. Un año después, la tecnología utilizada por BackRub para analizar los links empezaba a ser conocida en todo el campus, obteniendo una gran reputación. Era la base sobre la que se construiría Google.. Google fue fundado en septiembre de 1998.
    El nombre proviene de un juego de palabras con el término "googol", acuñado por Milton Sirotta, sobrino del matemático norteamericano Edward Kasner, para referirse al número representado por un 1 seguido de 100 ceros. El uso del término refleja la misión de la compañía de organizar la inmensa cantidad de información disponible en la web y en el mundo. (Esta reseña la dejo para que no os hagáis pajas mentales con el significado de la palabra GOOGLE)
  • La banca telefónica apareció en España a mediados de 1995 de la mano del Banco Español de Crédito (Banesto) y del Banco Central Hispano (BCH). Aunque inicialmente solo servía como medio de consulta, en la actualidad incorpora prácticamente todos los servicios del sistema financiero . La literatura científica cita también 1995  como el momento de la irrupción de la banca online completamente desarrollada en EE.UU., de la mano del Security First National Bank.
  • En el año 1997 cuando se palpitaba el mundial de Francia 98 muy cerquita, apareció un servicio de correo electrónico del tipo web mail que se hizo muy popular en poco tiempo, uniendo rápidamente a más de treinta millones de usuarios en todo el mundo.
  • 1998 La rápida expansión de internet, hace que miles de personas a través de un aparato nuevo para muchos como una computadora hace que se conecten, charlen y hablen a través del correo electrónico, ya para esa fecha había más de 36 millones de usuarios conectados a Hotmail.
  • 1999 Año en el que nace uno de los programas más populares del mundo, el Messenger, una aplicación que hacia capaz la comunicación instantánea con solo vincular un correo de Hotmail, es decir el usuario le podía hablar mediante un simple mensaje de texto a una persona contando únicamente con un correo de Hotmail.
  • 2000 Comenzó un nuevo milenio, y parecía que el Y2K iba a hacer explotar el mundo, sin embargo el tan mentado fin del mundo no llegó.
  • 2001 ese fue el año del nacimiento de una enciclopedia libre llamada Wikipedia.
  • 2002 Nacen una gran cantidad de nuevas aplicaciones muchas de ellas capaces de funcionar directamente desde la web, la más resonante noticia fue la de un portal donde se subían y compartían fotos a un ritmo de cinco mil cada minuto y que hoy en día es el sitio de alojamiento de imágenes más popular del mundo, claro está hablamos de Flickr.
  • 2003 una red de negocios veía la luz y permitía que cientos de miles de ejecutivos de negocios, ceos y varios agentes de negocios se unieron, hablamos de Linkedin.
  • 2004 en ese año nace un nuevo servicio de correo electrónico gratuito a cargo de Google, llamado Google Mail o simplemente Gmail.

Y así un sinfín de novedades tecnológicas que han ido ocurriendo hasta la fecha. Hay que hacer referencia, que desde finales de 2008 ya existía por la red el movimiento “Cloud Computing”, que a mi parecer no es más que el mismo perro de 1971 (más grande y más madurito) pero con distinto collar.

Pues lo dicho, "¿Seguridad?”, llevamos de 1983 compartiendo nuestra información en una “imberbe” internet, que más que inseguro era inocente. Desde 1989 llevamos publicando nuestra información corporativa, nuestros planes de negocio, nuestros valores añadidos, etc …  podemos decir que desde esta fecha las empresas tienen presencia en internet y las aplicaciones están publicadas allí.  A partir de 1995 nos permitíamos el lujo de tramitar nuestro capital a través de la línea telefónica y en algunos países hasta desde internet. Echábamos en falta que nuestro correo electrónico estuviese siempre disponible y “coño”, aparece en  1997 nuestro inestimable amigo Hotmail (¿Quien no ha tenido una cuenta de correo en él?).  Si encima tenemos en cuenta que cualquier aplicación de banca electrónica nos permite conectar en “modo seguro” con certificados de 1024 (los mismo que cualquier servicio en internet, sea este aplicación, infraestructura o mensajería), creo que ya se cual ha sido el problema de la “seguridad en la nube”, fue le maravilloso efecto Y2K que a mas de uno le supuso un “reset” en la poca memoria que tenia y se olvido, que desde que la informática “vio la luz con internet”, todas las compañías y los servicios que estas prestan han estado “en las nubes”, pero ya lo dijo Mark Twain “es mejor tener la boca cerrada y parecer estúpido, que abrirla y disipar la duda”(Esto se lo dedico a los del nombre “rarito”).

 

¿Todavía hay alguien que quiera charlar de seguridad después de que ha refrescado la memoria? … Si ya estáis seguros, de lo que no estáis seguros es de no cometer el error que cita Mark Twain.

BBT2+

Una visión rápida de Service Manager 2010

Aquí os dejo los link de una serie de videos bastante ilustrativos sobre Service Manager y sus capacidades, espero que los disfrutéis tanto como yo.

System Center Service Manager 2010: Self Service Portal Feature:

BBT2+

Introducción a System Center Service Manager 2010

Clare Henry, Director, Technical Product Marketing, nos hace una breve introducción a Service Manager 2010. Es una pena que esta gente no sepa hablar otra cosa que no sea inglés, pero bueno que se la va a hacer. Podéis descargarlo desde aquí

BBT2+

Proceso para transferir y asumir la función Operación de maestro único flexible

Transferir la función Operación de maestro único flexible

La transferencia de una función FSMO es la forma recomendada de mover una función FSMO entre controladores de dominio y puede iniciarla el administrador o mediante la degradación de un controlador de dominio, pero no la inicia automáticamente el sistema operativo. Esto incluye un servidor en estado de cierre. Las funciones FSMO no se reubican automáticamente durante el proceso de apagado; debe tenerlo en cuenta al apagar un controlador de dominio que tiene una función FSMO para realizar tareas de mantenimiento por ejemplo.
En una transferencia correcta de una función FSMO entre dos controladores de dominio, antes de transferir la función se realiza una sincronización de los datos mantenidos por el propietario de la función FSMO en el servidor que recibe la función FSMO para asegurarse de que todos los cambios han quedado grabados antes del cambio de función.
Los atributos operacionales son atributos que se convierten en una acción en el servidor. Este tipo de atributo no se define en el esquema, sino que el servidor lo mantiene y lo intercepta cuando un cliente intenta leerlo o escribir en él. Cuando se lee el atributo, el resultado suele ser un resultado calculado del servidor. Cuando se escribe el atributo, se realiza una acción predefinida en el controlador de dominio.
Los siguientes atributos operacionales se utilizan para transferir funciones FSMO y se encuentran en la RootDSE (o Root DSA Specific Entry, la raíz del árbol de Active Directory para un controlador de dominio determinado donde se mantiene información específica del controlador de dominio). Al escribir en el atributo operacional apropiado en el controlador de dominio para recibir la función FSMO, se degrada el controlador de dominio anterior y se promueve automáticamente el controlador de dominio nuevo. No se requiere ninguna intervención manual. Los atributos operacionales que representan las funciones de FSMO son los siguientes:

becomeRidMaster
becomeSchemaMaster
becomeDomainMaster
becomePDC
becomeInfrastructureMaster

Si el administrador especifica el servidor que va a recibir la función FSMO mediante una herramienta como Ntdsutil, el intercambio de la función FSMO se define entre el propietario actual y el controlador de dominio especificado por el administrador.
Cuando se degrada un controlador de dominio se escribe el atributo operacional "GiveAwayAllFsmoRoles", lo que hace que el controlador de dominio busque otros controladores de dominio para descargar las funciones que posee actualmente. Windows 2000 determina qué funciones posee actualmente el controlador de dominio que se degrada y busca un controlador de dominio adecuado mediante estas reglas:

  1. Buscar un servidor en el mismo sitio.
  2. Buscar un servidor con el que haya conectividad RPC.
  3. Utilizar un servidor a través de un transporte asincrónico (como SMTP).

En todas las transferencias, si la función es específica del dominio, sólo se puede mover a otro controlador del mismo dominio. De lo contrario, cualquier controlador de dominio de la empresa es un candidato posible.

 

Asumir la función Operación de maestro único flexible

Los administradores deben tener mucho cuidado al asumir funciones FSMO. En la mayoría de los casos, esta operación sólo debe realizarse si el propietario de la función FSMO original no va a volver al entorno.
Cuando el administrador asume una función FSMO de un equipo existente, se modifica el atributo "fsmoRoleOwner" en el objeto que representa la raíz de los datos eludiendo directamente la sincronización de los datos y la transferencia de la función. El atributo "fsmoRoleOwner" de cada uno de los objetos siguientes se escribe con el Nombre completo (DN) del objeto Configuración de NTDS (los datos de Active Directory que definen un equipo como un controlador de dominio) del controlador de dominio que toma la propiedad de esa función. A medida que la replicación de este cambio empieza a extenderse, otros controladores de dominio conocen el cambio de la función FSMO.
FSMO de controlador principal de dominio (PDC):

LDAP://DC=MICROSOFT,DC=COM

FSMO de maestro RID:

LDAP://CN=Rid Manager$,CN=System,DC=MICROSOFT,DC=COM

FSMO de maestro de esquema:

LDAP://CN=Schema,CN=Configuration,DC=Microsoft,DC=Com

FSMO de maestro de infraestructura:

LDAP://CN=Infrastructure,DC=Microsoft,DC=Com

FSMO de maestro de nombres de dominio:

LDAP://CN=Partitions,CN=Configuration,DC=Microsoft,DC=Com

Por ejemplo, si el Servidor1 es el PDC del dominio Microsoft.com y se retira, y el administrador no puede degradar el equipo correctamente, es preciso asignar al Servidor2 la función FSMO del PDC. Una vez asumida la función, el valor

CN=NTDS Settings,CN=SERVIDOR2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com

está presente en el objeto siguiente:

LDAP://DC=MICROSOFT,DC=COM

Ubicación y optimización del FSMO en controladores de dominio de Active Directory

Ciertas operaciones de los dominios y de las empresas que no son adecuadas para la ubicación en varios maestros residen en un único controlador de dominio del dominio o el bosque. La ventaja de las operaciones de maestro único es evitar la introducción de conflictos mientras un maestro de operaciones está sin conexión, en lugar de provocar conflictos potenciales y tener que resolverlos posteriormente. Disponer de un maestro de operación único significa, sin embargo, que el propietario de la función FSMO debe estar disponible cuando tengan lugar actividades dependientes en el dominio, o para hacer cambios en el directorio asociados a esa función.
El Asistente para instalación de Active Directory (Dcpromo.exe) define cinco funciones FSMO: maestro de esquema, maestro del dominio, maestro RID, emulador de PDC e infraestructura. El maestro de esquema y el maestro de nombres de dominio son funciones específicas de cada bosque. Las tres funciones restantes, maestro RID, emulador de PDC y maestro de infraestructura se definen para cada dominio.
Un bosque con un dominio tiene cinco funciones. Cada dominio adicional del bosque agrega tres funciones para todo el dominio. El número de funciones FSMO en un bosque y los potenciales propietarios de las funciones FSMO se pueden determinar con la fórmula ((Número de dominios * 3) +2).
Un bosque con tres dominios (A.com, con los dominios secundarios y los dominios secundarios de éstos B.A.com y C.B.A.com) tiene once funciones FSMO:
1 maestro de esquema – A.COM para todo el bosque
1 maestro de nombres de dominio – A.COM para todo el bosque
3 emuladores de PDC (A.com, B.A.com y C.B.A.com)
3 maestros RID (A.com, B.A.com y C.B.A.com)
3 maestros de infraestructura para cada dominio respectivo. (A.com, B.A.com y C.B.A.com)
Al crear el primer controlador de dominio de Active Directory de un bosque, Dcpromo.exe le asigna las cinco funciones. Al crear el primer controlador de dominio de Active Directory de un nuevo dominio en un bosque existente, el sistema le asigna las tres funciones del dominio. En un dominio de modo mixto que contiene controladores de dominio de Microsoft Windows NT 4.0, sólo los que ejecutan Microsoft Windows Server 2003 o Microsoft Windows 2000 Server pueden hospedar cualesquiera de las funciones FSMO para todo el dominio o el bosque.

 

Disponibilidad y ubicación de FSMO

Dcpromo.exe realiza la ubicación inicial de las funciones en los controladores de dominio. Esta ubicación suele ser correcta para directorios con pocos controladores de dominio. En un directorio con muchos controladores de dominio es muy poco probable que la ubicación predeterminada se corresponda de la mejor forma con la red.
Si se utiliza como base el dominio, seleccione los controladores de dominio FSMO principal y de reserva en caso de que se produzca un error en el propietario de FSMO principal. Además, puede ser conveniente seleccionar los propietarios de reserva fuera del sitio por si se produce una situación de desastre específica de un sitio. Considere lo siguiente en sus criterios de selección:

  • Si un dominio tiene sólo un controlador de dominio, éste contiene todas las funciones para cada dominio.
  • Si un dominio tiene más de un controlador de dominio, utilice el Administrador de sitios y servicios de Active Directory para seleccionar los asociados de replicación directos con vínculos persistentes, "bien conectados".
  • El servidor de reserva puede estar en el mismo sitio que el servidor de FSMO principal para que la coherencia de la convergencia de la replicación sea más rápida a través de un grupo grande de equipos, o en un sitio remoto por si se produce un desastre específico del sitio en la ubicación principal.
  • Cuando el controlador de dominio de reserva esté en un sitio remoto, asegúrese de que la conexión se configura para la replicación continua sobre un vínculo persistente.

 

Recomendaciones generales para la ubicación de FSMO
  • Ubique las funciones del emulador de PDC y de RID en el mismo controlador de dominio. También es más fácil mantener el seguimiento de las funciones de FSMO si las agrupa en menos equipos.
    Si la carga del FSMO principal justifica un cambio, ubique las funciones de emulador de controlador de dominio principal y de RID en controladores de dominio independientes del mismo dominio y sitio de Active Directory que sean asociados de replicación directos entre sí.
  • Como regla general, el maestro de infraestructura debería ser un servidor de catálogo que no fuera global y que tuviera un objeto de conexión directa con algún catálogo global del bosque, preferentemente en el mismo sitio de Active Directory. Dado que el servidor de catálogo global contiene una réplica parcial de cada objeto del bosque, el maestro de infraestructura, si se ubica en un servidor de catálogo global, nunca actualizará nada, porque no tiene ninguna referencia a los objetos que no contiene. Hay dos excepciones a la regla "no ubicar el maestro de infraestructura en un servidor de catálogo global":
    • Bosque de dominio único:
      En un bosque que contiene un único dominio de Active Directory, no hay ningún fantasma y por tanto el maestro de infraestructura no tiene ningún trabajo que hacer. El maestro de infraestructura se puede ubicar en cualquier controlador de dominio del dominio, independientemente de si hospeda el catálogo global o no.
    • Un bosque con varios dominios donde cada controlador de dominio de un dominio contiene el catálogo global:
      Si cada controlador de dominio de un dominio que forma parte de un bosque con varios dominios también hospeda el catálogo global, no hay ningún fantasma ni ningún trabajo que el maestro de infraestructura tenga que realizar. El maestro de infraestructura se puede ubicar en cualquier controlador de dominio de ese dominio.
  • En el bosque, las funciones de maestro de esquema y maestro de nombres de dominio se deben ubicar en el mismo controlador de dominio ya que se utilizan en muy pocas ocasiones y se deben controlar muy de cerca. Además, el FSMO del maestro de nombres de dominio también debería ser un servidor de catálogo global. Se producirá un error en ciertas operaciones que utilizan el maestro de nombres de dominio, como crear dominios secundarios de otros secundarios, si éste no es el caso.
    En un bosque en Windows Server 2003 del nivel funcional del bosque, no tiene que ubicar el maestro de nombres de dominio en un catálogo global.

Y, lo que es más importante, confirme que todas las funciones FSMO están disponibles mediante una de las consolas de administración (como Dsa.msc o Ntdsutil.exe).

Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio

Algunas operaciones a nivel de dominio y de empresa que no son adecuadas para actualizaciones de varios maestros las realiza un solo controlador de dominio en un dominio o bosque de Active Directory. Los controladores de dominio designados para realizar estas operaciones exclusivas se denominan maestros de operaciones o titulares de la función FSMO.
En la lista siguiente se describen las 5 funciones FSMO exclusivas de un bosque de Active Directory, así como las operaciones dependientes que realizan:

  • Maestro de esquema: afecta a todo el bosque y hay una para cada bosque. Esta función es necesaria para expandir el esquema de un bosque de Active Directory o para ejecutar el comando adprep /forestprep.
  • Maestro de nombres de dominio: afecta a todo el bosque y hay una para cada bosque. Esta función es necesaria para agregar o eliminar dominios o particiones de aplicaciones en un bosque.
  • Maestro RID: afecta a todo el dominio y hay una para cada dominio. Esta función es necesaria para asignar el grupo de RID con objeto de que los controladores de dominio nuevos o existentes puedan crear cuentas de usuario y de equipo, así como grupos de seguridad.
  • Emulador de PDC: afecta a todo el dominio y hay una para cada dominio. Esta función es necesaria para el controlador de dominio que envía actualizaciones de base de datos a los controladores de dominio de reserva de Windows NT. El controlador de dominio propietario de esta función es también el objetivo de ciertas herramientas de administración y actualizaciones de contraseñas de cuentas de usuario y de equipo.
  • Maestro de infraestructuras: afecta a todo el dominio y hay una para cada dominio. Esta función es necesaria para que los controladores de dominio puedan ejecutar correctamente el comando adprep /forestprep, así como para actualizar los atributos SID y de nombre completo para los objetos a los que se hace referencia entre varios dominios.

El Asistente para instalación de Active Directory (Dcpromo.exe) asigna las 5 funciones FSMO al primer controlador de dominio del dominio raíz del bosque. Las tres funciones específicas del dominio se asignan al primer controlador de dominio de cada nuevo dominio secundario o de árbol. Los controladores de dominio siguen siendo los propietarios de las funciones FSMO hasta que se reasignen utilizando uno de los métodos siguientes:

  • Para reasignar la función, el administrador debe utilizar una herramienta administrativa GUI.
  • Para realizar esta operación, debe usar el comando ntdsutil /roles.
  • El administrador debe utilizar el Asistente de instalación de Active Directory para degradar correctamente un controlador de dominio contenedor de funciones. Este asistente reasigna las funciones contenidas localmente a un controlador de dominio existente del bosque. Las operaciones de degradación realizadas utilizando el comando dcpromo /forceremoval dejan las funciones FSMO en un estado no válido hasta que son reasignadas por un administrador.

Se recomienda transferir las funciones FSMO en los escenarios siguientes:

  • El titular de la función actual está operativo y el nuevo propietario de FSMO puede acceder a él en la red.
  • Está degradando correctamente un controlador de dominio que actualmente posee funciones FSMO que desea asignar a un controlador de dominio específico de su bosque de Active Directory.
  • El controlador de dominio que actualmente posee funciones FSMO se está desconectando para su mantenimiento periódico y es necesario que se asignen funciones FSMO específicas a un controlador de dominio "activo". Esto puede ser necesario para realizar operaciones que se conectan con el propietario de FSMO. Esto sería especialmente cierto para la función de emulador PDC, pero no tanto para las funciones de maestro RID, de maestro de nombres de dominio y de maestro de esquema.

Se recomienda que asuma las funciones FSMO en los escenarios siguientes:

  • El titular de la función actual está experimentando un error operativo que impide que una operación dependiente de FSMO termine correctamente y dicha función no se puede transferir.
  • Para degradar por la fuerza a un controlador de dominio que posee una función FSMO, se utiliza el comando dcpromo /forceremoval.
  • El sistema operativo del equipo que poseía originalmente una función específica ya no existe o se ha reinstalado.

Mientras se produce la replicación, los controladores de dominio que no son FSMO del dominio o del bosque son plenamente conscientes de los cambios realizados por los controladores de dominio que son titulares de funciones FSMO. Si debe transferir una función, el controlador de dominio más idóneo es aquél que está en el dominio apropiado que ha realizado la replicación entrante por última vez, o la ha realizado recientemente, de una copia modificable de la “partición FSMO” desde el titular de la función existente. Por ejemplo, el titular de la función de maestro de esquema tiene la ruta de acceso completa CN=schema,CN=configuration,dc=<dominio de raíz de bosque>, lo que significa que las funciones están ubicadas en la partición CN=schema y se replican como parte de ella. Si el controlador de dominio que tiene la función de maestro de esquema experimenta un fallo de hardware o de software, un buen candidato para ser titular de las funciones sería un controlador de dominio del dominio raíz y del mismo sitio Active Directory que el propietario actual. Los controladores de dominio del mismo sitio Active Directory realizan la replicación entrante cada 5 minutos o cada 15 segundos.
La partición para cada función FSMO está en la lista siguiente:

image

Un controlador de dominio cuyas funciones FSMO se han asumido no debería poder comunicarse con los controladores de dominio existentes en el bosque. En este escenario, debería formatear el disco duro y reinstalar el sistema operativo en dichos controladores de dominio o forzar la degradación de éstos en una red privada y, a continuación, eliminar sus metadatos en un controlador de dominio superviviente en el bosque utilizando el comando ntdsutil /metadata cleanup. El riesgo de introducir un antiguo titular de función FSMO cuya función se ha asumido en el bosque es que el titular original de la función puede seguir funcionando como antes hasta que replique de forma entrante el conocimiento de la toma de control de la función. Los riesgos conocidos de dos controladores de dominio que posean las mismas funciones FSMO incluyen la creación de principales de seguridad con grupos RID superpuestos, así como otros problemas.

 

Transferir funciones FSMO

Para transferir las funciones FSMO mediante la utilidad Ntdsutil, siga estos pasos:

  1. Inicie una sesión en un equipo o controlador de dominio basado en Windows 2000 Server o Windows Server 2003 que esté ubicado en el bosque donde se están transfiriendo las funciones FSMO. Se recomienda que inicie una sesión en el controlador de dominio al que esté asignando las funciones FSMO. El usuario que ha iniciado la sesión debería ser miembro del grupo de administradores de organización para poder transferir las funciones de maestro de esquema o de maestro de nombres de dominio, o miembro del grupo de administradores de dominio del dominio donde se van a transferir las funciones de emulador de PDC, de maestro RID y de maestro de infraestructura.
  2. Haga clic en Inicio y en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a continuación, haga clic en Aceptar.
  3. Escriba roles y presione ENTRAR.
    Nota:
    Para ver una lista de comandos disponibles en cualquiera de los símbolos del sistema de la utilidad Ntdsutil, escriba ? y, a continuación, presione ENTRAR.
  4. Escriba connections y, a continuación, presione ENTRAR.
  5. Escriba connect to server nombre del servidor y, a continuación, presione ENTRAR, donde nombre del servidor es el nombre del controlador de dominio al que desea asignar la función FSMO.
  6. Escriba q en el símbolo del sistema server connections y, a continuación, presione ENTRAR.
  7. Escriba transfer función, donde función es la función que desea transferir. Si desea consultar la lista de funciones que puede transferir, escriba ? en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR, o vea la lista de funciones incluidas al principio de este artículo. Por ejemplo, para transferir la función de maestro RID, escriba transfer rid master. La única excepción es para la función de emulador de PDC, cuya sintaxis es transfer pdc, no transfer pdc emulator.
  8. Escriba q en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR para obtener acceso al símbolo del sistema de ntdsutil. Escriba q y, a continuación, presione ENTRAR para salir de la utilidad Ntdsutil.

 

Asumir funciones FSMO

Para asumir las funciones FSMO mediante la utilidad Ntdsutil, siga estos pasos:

  1. Inicie una sesión en un equipo o controlador de dominio basado en Windows 2000 Server o Windows Server 2003 que esté ubicado en el bosque donde se están asumiendo las funciones FSMO. Se recomienda que inicie una sesión en el controlador de dominio al que esté asignando las funciones FSMO. El usuario que ha iniciado la sesión debería ser miembro del grupo de administradores de organización para poder transferir las funciones de esquema o de maestro de nombres de dominio, o miembro del grupo de administradores de dominio del dominio donde se van a transferir las funciones de emulador de PDC, de maestro RID y de maestro de infraestructura.
  2. Haga clic en Inicio y en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a continuación, haga clic en Aceptar.
  3. Escriba roles y presione ENTRAR.
  4. Escriba connections y, a continuación, presione ENTRAR.
  5. Escriba connect to server nombre del servidor y, a continuación, presione ENTRAR, donde nombre del servidor es el nombre del controlador de dominio al que desea asignar la función FSMO.
  6. Escriba q en el símbolo del sistema server connections y, a continuación, presione ENTRAR.
  7. Escriba seize función, donde función es la función que desea asumir. Si desea consultar la lista de funciones que puede asumir, escriba ? en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR, o vea la lista de funciones incluidas al principio de este artículo. Por ejemplo, para asumir la función de maestro RID, escriba seize rid master. La única excepción es para la función de emulador de PDC, cuya sintaxis es seize pdc, no seize pdc emulator.
  8. Escriba q en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR para obtener acceso al símbolo del sistema de ntdsutil. Escriba q y, a continuación, presione ENTRAR para salir de la utilidad Ntdsutil.
    Notas
    • Bajo condiciones normales, las cinco funciones se deben asignar a controladores de dominio “activos” del bosque. Si un controlador de dominio que posee una función FSMO se lleva fuera de servicio antes de que se transfieran sus funciones, deberá asignar todas ellas a un controlador de dominio apropiado que esté en buenas condiciones. Se recomienda que solamente asuma todas las funciones cuando el otro controlador de dominio no vaya a regresar al dominio. Si es posible, repare el controlador de dominio dañado que tiene asignadas las funciones FSMO. Debería determinar qué funciones deben estar en cada uno de los controladores de dominio restantes con objeto de que las cinco funciones se asignen a un único controlador de dominio. Para obtener más información acerca de la ubicación de funciones FSMO, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      223346  Ubicación y optimización del FSMO en controladores de dominio de Active Directory

    • Si el controlador de dominio que anteriormente tenía funciones FSMO no está presente en el dominio y se han asumido sus funciones siguiendo los pasos descritos en este artículo, elimínelo del Active Directory realizando el procedimiento detallado en el siguiente artículo de Microsoft Knowledge Base:

      216498  Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio

    • La eliminación de metadatos del controlador de dominio con la versión de Windows 2000 o de Windows Server 2003 build 3790 del comando ntdsutil /metadata cleanup no reubica las funciones FSMO asignadas a controladores de dominio activos. La versión de Windows Server 2003 Service Pack 1 (SP1) de la utilidad Ntdsutil automatiza esta tarea y elimina elementos adicionales de los metadatos del controlador de dominio.
    • Algunos clientes prefieren no restaurar las copias de seguridad del estado del sistema de los titulares de las funciones FSMO en caso de que la función haya sido reasignada desde la realización de la copia de seguridad.
    • No coloque la función de maestro de infraestructura en el mismo controlador de dominio que el servidor de catálogo global. Si el Maestro de infraestructura se ejecuta en un servidor de catálogo global no se actualizará la información de los objetos, pues no contiene referencias a objetos que no alberga. Esta situación se produce porque un servidor de catálogo global contiene una réplica parcial de cada objeto del bosque.

Para probar si un controlador de dominio es también un servidor de catálogo global:

  1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory.
  2. Haga doble clic en Sitios en el panel izquierdo y, a continuación, localice el sitio apropiado o haga clic en Nombre-predeterminado-primer-sitio si no hay ningún otro sitio disponible.
  3. Abra la carpeta Servidores y, a continuación, haga clic en el controlador de dominio.
  4. En la carpeta del controlador de dominio, haga doble clic en Configuración de NTDS.
  5. En el menú Acción, haga clic en Propiedades.
  6. En la ficha General, compruebe si está seleccionada la casilla de verificación Catálogo global.

Para obtener más información acerca de las funciones FSMO, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

197132  Funciones de FSMO de Active Directory de Windows 2000

223787  Proceso para transferir y asumir la función Operación de maestro único flexible