1. MICROSOFT
FSMO
El propósito de la siguiente nota es describir la importancia
de Active
Directory
de los servicios de directorio de Windows 2003 (Active
Directory Services) detallando algunas de sus características, Autor: Roberto Di'Lello
su funcionalidad y los roles FSMO. Microsoft Certified System Engineer
S
Sin lugar a dudas Windows Server es un sis- usuario y su password, sino
tema operativo excelente por sus prestaciones, también permite a otros
robustez y confiabilidad, pero generalmente se usuarios autorizados a ma-
desconoce el por qué, y qué elementos con- nejar dicha información,
tiene. Este es el caso de Active Directory, uno admitiendo la delegación de
de los puntos primordiales. la administración a admi-
nistradores específicos de
¿Qué es Active Directory? ciertos recursos, y no de
Podemos decir como definición pura que toda la red de Windows Ser-
Active Directory es el servicio de directorio ver 2003.
Windows Server 2003 que almacena informa-
ción acerca de los objetos de la red y pone a La estructura Lógica
disposición de los usuarios y administradores de Active Directory
de la red dicha información. Ahora bien, œqué Como mencionamos ante-
es un directorio, objetos y demás característi- riormente la estructura de
cas? Debemos definir directorio como una Active Directory es jerár-
estructura jerárquica en la cual se almacena quica. La estructura sería
información acerca de los objetos que compo- similar a la mostrada en la
nen nuestra red, considerando como objetos figura 2.
todos aquellos elementos que tengan entidad, Dentro de la estructura po-
como ser: un member server, una computado- demos observar los siguien-
ra, un usuario, una impresora, etc. Incluso tes elementos:
algunos objetos pueden llegar a ser containers •Objetos. Estos son los
para otros objetos. componentes básicos de la
Es decir (Active Directory) provee una estruc- estructura lógica.
tura y las funciones necesarias para organizar, •Clases. Son los modelos o
administrar y controlar recursos de forma cen- las plantillas para los tipos Fig. 1
tralizada, por lo cual toda esta información se de objetos que se pueden
almacena también en forma centralizada. Por crear en Active Directory. Cada clase de obje- las e incluso asignarles políticas de seguridad
ejemplo, se almacenan los datos (atributos) to es definida por un grupo de atributos, los especiales a cada una.
acerca de las cuentas de usuarios, recopilando cuales identifican los posibles valores que •Dominios. Son las unidades funcionales
toda la información de un usuario en distin- puede tomar cada objeto. Cada objeto tiene „Core‰ de la estructura lógica de AD; se las
tas solapas, como se puede ver en la figura 1. una combinación única de los valores de puede considerar como una colección de los
En este caso en particular, el Active Directory atributos. objetos administrativos definidos, que com-
se encuentra extendido ya que posee las •Unidades Organizativas. Son contene- parten un directorio, políticas de seguridad y
propiedades de un servidor de correo dores de objetos y sirven para organizarlos relaciones de confianza con otros Dominios.
Microsoft Exchange. (con fines netamente administrativos). Se •Domain tree. Son Dominios agrupados en
Asimismo, no solo almacena los datos del puede delegar la autoridad para administrar- estructuras jerárquicas: al agregar un segundo
|10| NEX IT SPECIALIST www.nexweb.com.ar
2. ¿Qué es el Schema?
El Schema de Active Directory contie- ras e impresoras corresponden a una
ne las definiciones de todos los obje- definición Object Classes, que descri-
tos (usuarios, computadoras, impre- ben los objetos posibles que se pue-
soras, etc.) almacenados en Active den crear en el Active Directory. Cada
Directory. En una estructura donde se Object Class es una colección de atri-
encuentran varios Domain Controller butos. Dichos atributos se definen
Windows Server 2003, existe sola- independientemente de los Object
mente un Schema para todo el Classes, y tiene una definición única
Forest, asegurando así que las reglas y puede ser utilizado en múltiples
para todos los objetos creados sean Object Classes. Por ejemplo, el atri-
las mismas. buto „descripción‰ se utiliza en mu-
El Schema tiene dos tipos de defini- chos Object Classes, pero se define
ciones: Object Classes y Atributos. solamente una vez en el Schema
Por ejemplo los usuarios, computado- para asegurar consistencia.
dominio en una estructura, este último se con- nuevo de Active Directory
vierte en Child del dominio principal (domain de Windows Server 2003 y
tree) y así sucesivamente. Un ejemplo de ellos actúa en escenarios de a-
sería ba.laboratorio.com.ar (Child), donde el plicaciones Directory Ena-
domain tree sería laboratorio.com.ar. bled. AD/AM funciona
•Forests. Es una instancia completa de Acti- como servicio Non-Ope- Fig. 2
ve Directory y consiste en uno o más trees. rating System que, como
tal, no requiere instalación sobre un Domain •Group Policy. Existe una consola de ad-
La funcionalidad de Active Controller. Este tipo de servicios ejecutan ministración centralizada de políticas que fue
Directory Windows Server 2003 múltiples instancias de AD/AM en un mismo lanzada en forma conjunta con Windows
Como describimos anteriormente, Active Di- server, a su vez configurando cada una de ellas Server 2003, Group Policy Management Con-
rectory es el medio, la herramienta para organi- de forma independiente. sole (GPMC). Por medio de ella se pueden
zar, administrar y controlar de forma centrali- •Renombrado de Dominios. Existe la posi- administrar las políticas de múltiples domi-
zada nuestra red y los recursos que hay en ella. bilidad de renombrar dominios sin modificar nios, realizar backups y restores de las mismas,
Provee al usuario los recursos disponibles, la estructura del AD. Esta característica facili- activar o desactivar políticas, editarlas, gene-
independientemente de su ubicación y de la ta mucho las tareas de reestructuración de rar reportes para visualizar y analizar las op-
forma en que esté conectada a la red. dominios. ciones que configura cada política.
Active Directory proporciona distintas herra- •ADMT versión 2.0. Con esta utilidad se •Relaciones de confianza. Se realizaron
mientas para facilitar las tareas de adminis- facilitan las labores a la hora de migrar a mejoras en cuanto a las relaciones de confian-
tración, permitiendo controlar escritorios dis- Active Directory. Active Directory Migration za Inter-Forest.
tribuidos, servicios de red y aplicaciones desde Tool (ADMT) tiene la opción de migrar pass- •Policies de Restricción de Software. Existe
una oficina central, y con consolas centrali- words desde Microsoft Windows NT 4.0 a la posibilidad proteger los entornos de Software
zadas, disminuyendo dichas tareas. Windows 2000 y Windows Server 2003, o no autorizados.
Dentro de las funcionalidades que presenta desde Windows 2000 a Dominios Windows •Replicación de miembros en los grupos.
Active Directory se encuentran: Server 2003. Se eliminaron las restricciones de 5.000 usua-
•Posibilidad de funcionar como servicio •Schema. Existe la posibilidad de habilitar o rios por grupo, y se resolvieron los problemas
Non-Operating System. Active Directory in deshabilitar atributos y definiciones de clases de replicación, ya que ahora cada miembro de
Application Mode (AD/AM) es un feature Active Directory Schema. un grupo es un atributo en sí.
3. •Manejo de Sites. El manejo de sites incluye
Links y Lectura Adicional ¿Qué es un Domain Controller?
un nuevo algoritmo de Inter-Site Topology
Generator (ISTG), eliminando la limitación del
• Microsoft Windows Server 2003 TechCenter Antiguamente con Windows NT, el controlador
número máximo de Sites en 500 a 5.000 Sites
– Active Directory: de dominio central se lo llamaba Primary
(probado en laboratorios de Microsoft 3000).
http://www.microsoft.com/technet Domain Controller (PDC), únicamente un server
• Microsoft Windows Server 2003 TechCenter podía tener este rol, el resto de los controlado-
¿Qué son los Operation Masters?
– Conceptos de Active Directory: res de dominio se los denominaba Backup
Cuando se efectúa un cambio en un servidor
http://www.microsoft.com/technet Domain Controllers (BDC). Windows NT mane-
de dominio, este cambio es replicado a todos
• Windows Server 2003 R2 - Windows Server jaba la idea de dominio para administrar los
los Domain Controllers del mismo. Algunos
2003 Active Directory (Inglés): accesos de usuarios a los recursos disponibles
cambios, por ejemplo los que se hacen en el
http://www.microsoft.com/windowsserver2003 en la red (aplicaciones, impresoras, etc.).
schema, son replicados a todos los domains
• Windows Server 2003 R2 - What's New in El servidor PDC administraba la base de datos
en el forest. Este tipo de replicación es llama-
Active Directory (Inglés): principal del dominio, y los BDC solamente
da Multimaster Replication.
http://www.microsoft.com/windowsserver2003 mantenían una copia de ella que se actualiza-
• Proceso de transferencia de roles FSMO: ba periódicamente. En el caso de que un PDC
OPERACIONES SINGLE MASTER
http://support.microsoft.com estuviera fuera de servicio había que promo-
Generalmente se utiliza Single Master Repli-
• ADAM (Active Directory Aplication Mode): ver un BDC a PDC.
cation para evitar errores o conflictos durante
http://www.microsoft.com/windowsserver2003 A partir de Windows 2000 este concepto de
la réplica. Con este método, solamente un
Domain Controller determinado es el que Domain Controller persiste, pero los concep-
puede realizar los cambios en el Active Direc- tos de PDC y BDC fueron eliminados para dar
actúa como un PDC Windows NT para dar
tory, evitando así múltiples cambios simultá- camino a la nueva tecnología: Active Directory
soporte a los Backup Domain Controllers
neos. y la replicación Multi-Master Replication
(BDCs) los cuales se ejecutan en dominios
Technology.
Windows NT, en modo mixto. Este tipo de
OPERATIONS MASTER ROLES (Flexible Igualmente es bueno tener en cuenta este
dominios se caracterizan por tener en su
Single Master Operation Roles - FSMO) concepto ya que en un futuro se implementará
infraestructura un Domain Controller con
Son roles específicos del forest (o del domain) nuevamente bajo el nombre de RODC (Read
Windows NT 4.0.
que son utilizados en las operaciones del Only Domain Controller) con Windows Long-
•Relative Identifier Master (RID). Es el rol
Single Master Replication. Sólo el Domain horn. Los servidores que tengan dicho rol
encargado de vincular el RID a los objetos
Controller que tiene asignado el rol es quien serán controladores de dominio adicionales y
creados. Esto ocurre de la siguiente manera:
puede realizar los cambios en el directorio. mantendrán una copia parcial de la base de
cuando un objeto es creado, el Domain
Cada Domain Controller responsable de un datos en modo solo lectura, pensado para
Controller genera un Security Principal que lo
rol específico es denominado Operation implementarse en sucursales donde el ancho
representa, y le asigna un Unique Security
Master Rol, y este es almacenado en el Active de banda y la cantidad de usuarios es escasa.
Principal (SID). Este SID es igual para todos
Directory. Los Operations Master Roles exis- los Security Principals del dominio, y un
ten a nivel forest o nivel domain, y Active Relative Identifier (RID), que es único para ¿Qué es el LDAP?
Directory define cinco de ellos. cada Security Principal de todo el dominio.
•Infrastructure Master. Es el encargado de Lightweight Directory Access Protocol (LD-
Roles Forest-wide actualizar las referencias de cada objeto dentro AP) es el protocolo responsable de brindar el
•Schema Master. Se encarga de controlar las del dominio cuando sufre alguna modificación. acceso al Active Directory para buscar infor-
actualizaciones al schema. El schema contiene mación en él.
la definición de clases de objetos y atributos Cada dominio en el forest tiene su propio
utilizados para crear todos los objetos (usua- PDC Emulator, RID Master e Infraestru-
rios, computadoras e impresoras). cture Master.
Sobre
•Domain Naming el autor
Master. Se encarga de
controlar las altas o Roberto Di'Lello
bajas de dominios del se desempeña
forest. Cuando se a- como Consultor
gregue un dominio al Senior en Ser-
forest, solamente el vicios Profesio-
Domain Controller nales en el área
que tenga el rol Do- de IT en TPS S.A., trabajando en forma
main Naming Master, conjunta con Microsoft en proyectos
podrá agregarlo. relacionados con Infraestructura, Active
Directory, Seguridad y Mensajería.
Existen solamente un Especializado en Tecnologías Micro-
Schema Master y un soft, con más de 10 años de experien-
Domain Naming Mas- cia en el mercado, poseedor de la cer-
ter por cada forest. tificación de Microsoft Certified Sys-
tems Engineer (MSCE), actualmente
Roles Domain-Wide colabora activamente en comunidades
•Primary Domain dedicadas a tecnologías Microsoft,
Controller Emula- tales como GLUE.
Fig. 3
tor (PDC). Este rol
|12| NEX IT SPECIALIST www.nexweb.com.ar