Descripción de los roles de Active Directory en Windows 2000/2003

Active Directory en Windows 2000/2003 es una base de datos central, la cual almacena de manera lógica todos los objetos de una empresa y sus respectivos atributos. Es una base de datos jerárquica y de modelo Multi-Master, capaz de almacenar millones de objetos. Los cambios a la base de datos pueden ser realizados en cualquier controlador de dominio de la empresa a diferencia de Windows Server 2008 que traerá AD de solo lectura para branch office.

Ya que los roles de Active Directory no son obligados a un solo controlador de dominio, se les llama Flexible Single Master Operation (FSMO) y son 5: Schema Master, Domain Naming Master, RID Master, PDC Emulator e Infrastructure Master.

Rol de Schema Master
Este es el único controlador de dominio encargado de las actualizaciones del Esquema del Active Directory, esto significa, el contexto de nombres del Schema o LDAP://cn=schema,cn=configuration,dc=. Luego de que la actualización es completada, se replica al resto de controladores de dominio en el Active Directory. Sólo existe un Schema Master por bosque de directorios.

Rol de Domain Naming Master
Este es el controlador de dominio responsable de realizar los cambios al espacio de nombres del directorio de todo el bosque, esto es Partición\contexto de nombres de Configuration o LDAP://cn=Partitions,cn=Configuration,dc=. Este es el único controlador de dominio que puede agregar o quitar un dominio del directorio del bosque. También es el único controlador de dominio que puede agregar o quitar referencias cruzadas a dominios en directorios externos, otros bosques.

Rol de RID Master
Es el único responsable de procesar los requerimientos de identificadores relativos de todos los controladores de dominio dentro de un dominio dado. También es el responsable de quitar un objeto de su dominio y colocarlo en otro dominio durante la reubicación del objeto.
Cuando un controlador de dominio crea un objeto de seguridad principal, como un usuario o un grupo, este le adjunta un Identificador de Seguridad Único (SID) al objeto. Este SID consiste en un SID del dominio (el mismo para todos los SID’s creados en el mismo dominio) y un Identificador Relativo (RID) que es único para cada SID de seguridad principal creado en un dominio.
A cada controlador de dominio de un mismo dominio se le entrega un pool de RID’s, los cuales asigna a los SID de seguridad principal que él crea. Cuando la entrega del pool de RID’s falla, ese controlador de dominio lanza un requerimiento para obtener un pool de RID’s adicionales al RID Master del dominio. El controlador de dominio con el rol RID Master responde al requerimiento obteniendo RID’s del dominio que falló y se los asigna al pool del dominio que los requiere. Sólo hay un RID Master por bosque de directorios.

Rol de PDC Emulator
El PDC Emulator es necesario para actualizar la hora en la empresa. Windows 2000/XP/2003/Vista incluyen el servicio W32time que es requerido por el protocolo de autenticación Kerberos. Todos los sistemas basados en Windows 2000/XP/2003/Vista dentro de la empresa usan una hora común. El propósito del servicio W32time es el de asegurarse que el servicio de hora de Windows use una relación jerárquica que controle la autoridad y no permita lazos, con esto asegura un uso apropiado de la hora.
El PDC Emulator de un dominio es autoritativo para el dominio. El PDC Emulator en la raíz del bosque se convierte en autoritativo para toda la empresa y debe ser configurado para sincronizar la hora con una fuente de hora externa. Todos los controladores de dominio que sean PDC Emulator siguen la jerarquía de dominios en la selección de su compañero de sincronización de hora.

En Windows 2000/2003, las funciones del PDC Emulator son las siguientes:

Los cambios de contraseñas ejecutados por otros controladores de dominio son replicados primeramente al PDC Emulator.
Los fallos de autenticación que ocurren en un controlador de dominio, debido a contraseñas incorrectas, son reenviados al PDC Emulator antes de que un mensaje de error sea mostrado al usuario.
El bloqueo de cuentas es procesado por el PDC Emulator.

Rol de Infrastructure Master
Cuando un objeto en un dominio hace referencia a otro objeto en otro dominio, este lo hace mediante el GUID, el SID (para referenciar al identificador de seguridad principal) y el DN del objeto que esta siendo referenciado. El Infrastructure Master es el controlador de dominio responsable de actualizar el SID y el Distinguished Name de un objeto en una referencia de objeto entre dominios.


NOTA: El Infrastructure Master en Windows 2000 Server debe estar alojado en un controlador de dominio que no sea un Servidor de Catalogo Global. Si el Infrastructure Master corre sobre un servidor de Catalogo Global, este detendrá la actualización de la información de los objetos, ya que no contiene referencias a objetos que no están. Esto sucede porque un servidor de Catalogo Global mantiene una réplica parcial de cada objeto en el bosque. Como resultado, las referencias de objetos entre dominios en ese dominio no estarán actualizadas y una advertencia para ese efecto será registrada en el visor de sucesos de ese controlador de dominio.

Este artículo es una traducción e interpretación mía con ajustes para lo que consideré que necesitaba mayor claridad. El original en ingles puede ser localizado bajo el Q197132 en el sitio Web de Microsoft.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co