Administración de los

maestros de operaciones

Contenido

Introducción 2
Lección: Introducción a las funciones de maestro de operaciones 3
Lección: Transferencia y asunción de funciones de maestro de operaciones 12
Lección: Planeamiento de la ubicación de maestros de operaciones 25
2 Administración de los maestros de operaciones

Introducción

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Un maestros de operaciones es un controlador de dominio que realiza una

función específica en el servicio de directorio Active Directory®. Conocer
las funciones de maestro de operaciones específicas de cada controlador
de dominio de una red Active Directory puede servirle de ayuda a la hora
de replicar los datos y usar el ancho de banda de la red de forma eficaz.
En este módulo, se describen las funciones de maestro de operaciones,
cómo transferirlas y asumirlas, y cómo planear la ubicación de los maestros
de operaciones.
Objetivos Después de finalizar este módulo, podrá:
„ Explicar el propósito de las cinco funciones de maestro de operaciones
en Active Directory.
„ Transferir y asumir funciones de maestro de operaciones en
Active Directory.
„ Planear la ubicación de maestros de operaciones en Active Directory.
 Administración de los maestros de operaciones 3

Lección: Introducción a las funciones de maestro

de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Active Directory define cinco funciones de maestro de operaciones: maestro de

esquema, maestro de nombres de dominio, emulador de controlador de dominio
principal (PDC, Primary Domain Controller), maestro de identificadores
relativos (RID, Relative Identifier) y maestro de infraestructura. En esta lección
se explica la finalidad de cada función de maestro de operaciones.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Explicar el propósito de un maestro de esquema.
„ Explicar el propósito de un maestro de nombres de dominio.
„ Explicar el propósito de un emulador de PDC.
„ Explicar el propósito de un maestro de RID.
„ Explicar el propósito de un maestro de infraestructura.
4 Administración de los maestros de operaciones

Qué es el maestro de esquema

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Un esquema de Active Directory define los tipos de objetos y de información

acerca de los mismos que puede almacenar en Active Directory. Active
Directory guarda estas definiciones en forma de objetos y administra los objetos
de esquema mediante las operaciones de administración de objetos que utiliza
con el resto de objetos del directorio.
Funciones realizadas El maestro de esquema lleva a cabo las funciones siguientes:
por el maestro
de esquema „ Controla todas las actualizaciones originarias del esquema.
„ Contiene la lista maestra de clases y atributos de objetos que se usan para
crear todos los objetos de Active Directory.
„ Replica las actualizaciones del esquema de Active Directory en todos los
controladores de dominio del bosque mediante la replicación estándar
de la partición de esquema.
„ Sólo permite modificar el esquema a los miembros del grupo
Administradores de esquema.

Cada bosque tiene únicamente un maestro de esquema. De esta forma se

evitan los conflictos que se producirían si dos o más controladores de dominio
intentaran actualizar simultáneamente el esquema. Si el maestro de esquema
no está disponible, no puede modificar el esquema ni instalar aplicaciones
que lo modifiquen.
 Administración de los maestros de operaciones 5

Qué es el maestro de nombres de dominio

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Cuando agrega o quita un dominio de un bosque, el cambio se registra

en Active Directory.
Funciones realizadas El maestro de nombres de dominio controla la adición o eliminación de
por el maestro de dominios en el bosque. En cada bosque, sólo hay un maestro de nombres
nombres de dominio de dominio.
Cuando agrega un dominio nuevo al bosque, únicamente el controlador de
dominio que desempeñe la función de maestro de nombres de dominio podrá
agregarlo. El maestro de nombres de dominio impide que se unan al bosque
varios dominios con el mismo nombre. Cuando usa el Asistente para instalación
de Active Directory con el fin de crear un dominio secundario, éste se pone
en contacto con el maestro de nombres de dominio y solicita la adición o
eliminación. Si el maestro de nombres de dominio no está disponible, no
puede agregar ni quitar dominios.
6 Administración de los maestros de operaciones

Qué es el emulador de PDC

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción El emulador de PDC actúa como un controlador de dominio principal (PDC)

de Microsoft® Windows NT® para admitir cualquier controlador de dominio
de reserva (BDC, Backup Domain Controller) que ejecute Windows NT en un
dominio en modo mixto. Cuando crea un dominio, Active Directory asigna la
función de emulador de PDC al primer controlador de dominio del mismo.
Funciones realizadas El emulador de PDC realiza las funciones siguientes:
por el emulador de PDC
„ Actúa como PDC para los BDC existentes. Si un dominio contiene algún
BDC o equipo cliente donde se ejecute NT 4.0 o una versión anterior, el
emulador de PDC funciona como PDC de Windows NT. El emulador
de PDC replica los cambios del directorio en los BDC que ejecuten
Windows NT.
„ Administra los cambios de contraseña de equipos con Windows NT,
Microsoft Windows® 95 o Windows 98. Active Directory escribe los
cambios de contraseña directamente en el emulador de PDC.
„ Reduce la latencia de replicación en los cambios de contraseña. El tiempo
necesario para que un controlador de dominio reciba un cambio que se
haya efectuado en otro se denomina latencia de replicación. Cuando la
contraseña de un equipo cliente con Windows 2000 o posterior se cambia en
un controlador de dominio, éste reenvía de inmediato el cambio al emulador
de PDC. Si la autenticación de un inicio de sesión falla en otro controlador
de dominio debido a que una contraseña no es correcta, ese controlador de
dominio reenviará la solicitud de autenticación al emulador de PDC antes
de rechazar el intento de inicio de sesión.
 Administración de los maestros de operaciones 7

„ Sincroniza la hora en todos los controladores de dominio del dominio con

la suya. El protocolo de autenticación Kerberos versión 5 requiere que la
hora de los controladores de dominio esté sincronizada para permitir la
autenticación. Los equipos cliente de un dominio también sincronizan su
hora con el controlador de dominio que autentica al usuario.
„ Evita la posibilidad de sobrescribir objetos de directiva de grupo
(GPO, Group Policy Object). De forma predeterminada, el uso de
directivas de grupo reduce la probabilidad de que se produzcan conflictos
de replicación al ejecutarse en el controlador de dominio que desempeña
la función de emulador de PDC para ese dominio.
8 Administración de los maestros de operaciones

Qué es el maestro de RID

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción El maestro de identificadores relativos (RID) es un controlador de dominio

que asigna bloques de RID a cada controlador de dominio del dominio.
Siempre que un controlador de dominio crea un nuevo principal de seguridad,
como un objeto de equipo, usuario o grupo, asigna al objeto un identificador
de seguridad único (SID, Unique Security Identifier). Este SID consta de un
SID de dominio, que es el mismo para cada principal de seguridad creado en
el dominio, y un RID, que también es único para cada principal de seguridad
del dominio.
Cómo permite el El maestro de RID permite la creación y el movimiento de objetos de la forma
maestro de RID la siguiente:
creación y el traslado de
movimiento de objetos „ Creación de objetos. Para permitir que una operación con varios maestros
cree objetos en un controlador de dominio, el maestro de RID le asigna un
bloque de RID. Cuando un controlador de dominio requiere un bloque
adicional de RID, se pone en contacto con el maestro de RID, que asigna
otro bloque de RID al controlador de dominio, que a su vez los asigna a los
nuevos objetos.
Si el grupo de RID de un controlador de dominio está vacío y el maestro
de RID no está disponible, no puede crear nuevos principales de seguridad
en ese controlador de dominio. Puede ver la asignación del grupo de RID
mediante la utilidad Domain Controller Diagnostic (el comando dcdiag).
Nota Puede instalar la utilidad Dcdiag al instalar las herramientas de
soporte, que se encuentran en la carpeta \Support\Tools del disco
compacto del producto.
 Administración de los maestros de operaciones 9

„ Movimiento de objetos. Cuando mueve un objeto entre dominios, el

movimiento se inicia en el maestro de RID que lo contiene. De este
modo no se duplican.
Si mueve un objeto pero ningún maestro conserva esta información,
podría moverlo a varios dominios sin darse cuenta de que ya lo había
movido anteriormente.

El maestro de RID elimina el objeto del dominio cuando éste se mueve a otro
dominio diferente.
10 Administración de los maestros de operaciones

Qué es el maestro de infraestructura

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción El maestro de infraestructura es un controlador de dominio que actualiza las

referencias a los objetos de su dominio que señalan a los objetos de otro
dominio. La referencia a un objeto contiene el identificador único global
(GUID, Globally Unique Identifier) del mismo, su nombre completo y, en
ocasiones, un SID. Active Directory actualiza periódicamente el nombre
completo y el SID para reflejar los cambios que se hayan efectuado en el
objeto, por ejemplo, cuando se mueve dentro de un dominio o entre dominios
distintos, o cuando se elimina.
Identificación de la Si el SID o el nombre completo de una cuenta de usuario o grupo se modifica
pertenencia a un grupo en otro dominio, Active Directory debe actualizar la pertenencia al grupo para
los grupos del dominio que hagan referencia al usuario o grupo que haya
cambiado. Para actualizar la pertenencia al grupo, el maestro de infraestructura
correspondiente al dominio en el que el grupo o la referencia resida replica el
cambio en todo el dominio.
El maestro de infraestructura actualiza la identificación del objeto de acuerdo
con las reglas siguientes:
„ Si el objeto se mueve, su nombre completo cambia dado que representa su
ubicación exacta en el directorio.
„ Si el objeto se mueve dentro del dominio, su SID sigue siendo el mismo.
„ Si el objeto se mueve a otro dominio, el SID cambia para incorporar el SID
del nuevo dominio.
„ El GUID no cambia con independencia de la ubicación, ya que es único en
todos los dominios.

Nota En un bosque con un único dominio, no se necesita la función de maestro

de infraestructura puesto que no hay referencias a objetos externos que tenga
que actualizar.
 Administración de los maestros de operaciones 11

El maestro de No debe convertir en maestros de infraestructura los controladores de dominio

infraestructura y el que alojen el catálogo global. Si el maestro de infraestructura y el catálogo
catálogo global global están en el mismo equipo, el primero no funciona porque no contiene
ninguna referencia a los objetos que no se encuentran en él.
Periódicamente, el maestro de infraestructura de un dominio examina las
referencias de su replicado de los datos de directorio correspondientes a los
objetos que no se hallan en ese controlador de dominio. Para ello, consulta
en un servidor de catálogo global la información acerca del nombre completo
y el SID de cada objeto al que se ha hecho referencia. Si esta información ha
cambiado, el maestro de infraestructura hace el cambio en su replicado local.
A continuación, replica estos cambios en el resto de controladores de dominio
dentro del dominio.
12 Administración de los maestros de operaciones

Lección: Transferencia y asunción de funciones

de maestro de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción En esta lección se describe la transferencia y asunción de las funciones de

maestro de operaciones. En ella se explica cómo determinar qué servidor ejerce
una función de maestro de operaciones y cómo se transfieren y asumen dichas
funciones.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Explicar el propósito de la transferencia de una función de maestro
de operaciones.
„ Explicar el propósito de la asunción de una función de maestro
de operaciones.
„ Determinar qué servidor desempeña una función de maestro de operaciones.
„ Transferir una función de maestro de operaciones.
„ Asumir una función de maestro de operaciones.
 Administración de los maestros de operaciones 13

Transferencia de funciones de maestro de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Las funciones de maestro de operaciones se ubican en un bosque al

implementar la estructura de los dominios y del bosque. Sólo debe transferir
alguna función cuando haga un cambio importante en la infraestructura de
dominios. Por ejemplo, cuando dé de baja un controlador de dominio que
desempeñe una de estas funciones o agregue un nuevo controlador de dominio
que esté mejor preparado para ejercer una función concreta. La transferencia
de una función de maestro de operaciones implica pasarla de un controlador
de dominio en funcionamiento a otro. Para transferir las funciones, ambos
controladores debe estar activos y funcionando, y, además, conectados a la red.
Implicaciones de Al transferir una función de maestro de operaciones, no se pierden datos.
la transferencia Active Directory replica el directorio del maestro de operaciones actual en el
de una función nuevo controlador de dominio, lo que garantiza que el nuevo maestro tenga
la información más reciente. En esta transferencia se utiliza el mecanismo de
replicación de directorios.
14 Administración de los maestros de operaciones

Permisos requeridos Para transferir una función de maestro de operaciones, debe tener los permisos
apropiados. En la tabla siguiente se enumeran los grupos a los que debe
pertenecer para ello.
Maestro de operaciones Grupo autorizado

Maestro de esquema El permiso Cambiar el maestro de esquema se concede,

de forma predeterminada, al grupo Administradores de
esquema.
Maestro de nombres El permiso Cambiar el maestro de nombres de dominio
de dominio se concede, de forma predeterminada, al grupo
Administradores de organización.
Emulador de PDC El permiso Cambiar el PDC se concede, de forma
predeterminada, al grupo Administradores de dominio.
Maestro de RID El permiso Cambiar el maestro de RID se concede,
de forma predeterminada, al grupo Administradores
de dominio.
Maestro de El permiso Cambiar el maestro de infraestructura
infraestructura se concede, de forma predeterminada, al grupo
Administradores de dominio.

Nota Cuando un controlador de dominio se degrada a servidor miembro,

renuncia a cualquier función de maestro de operaciones que desempeñara en
favor de cualquier otro controlador de dominio arbitrario. Para controlar los
controladores de dominio que ejercerán la función, debe transferir las funciones
antes de degradar el controlador de dominio.
 Administración de los maestros de operaciones 15

Cuándo asumir las funciones de maestro de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Asumir una función de maestro de operaciones significa obligar a otro

controlador de dominio a ejercerla, el cual no puede ponerse en contacto
con el controlador de dominio que deja de desempeñarla en el momento de la
asunción. Para asumir una función, debe ser miembro de un grupo autorizado.
Implicaciones de la La asunción de una función de maestro de operaciones es un paso radical.
asunción de una función Ejecútelo únicamente en el caso de que el maestro de operaciones actual no
vaya a volver a estar disponible en ningún momento y no pueda transferir la
función. Puesto que el controlador de dominio que desempeñaba anteriormente
la función de maestro de operaciones no está disponible al asumir dicha
función, no es posible reconfigurarlo o informarle de que otro controlador
de dominio realiza ahora la función.
Para reducir riesgos, únicamente debe asumir una función si la función de
maestro de operaciones que ha fallado afecta al rendimiento de Active Directory
de forma inaceptable. Para calcular su repercusión, compare el efecto que tiene
el que la función de maestro de operaciones no esté disponible con respecto
a la cantidad de trabajo que debe realizar para poner en conexión de nuevo
el controlador de dominio que la desempeñaba antes, una vez asumida
dicha función.

Importante Antes de asumir una función, debe desconectar definitivamente

de la red el controlador de dominio que la desempeñaba.

Si intenta reparar el controlador que realizaba anteriormente una función de

maestro de operaciones y ponerlo de nuevo en conexión después de asumirla,
dicho controlador de dominio esperará hasta que se haya producido un ciclo
completo de replicación antes de reanudar dicha función. De este modo, puede
determinar si existe otro maestro de operaciones antes de volver a ponerse en
conexión. Si lo detecta, se reconfigura para dejar de desempeñar la función
en cuestión.
16 Administración de los maestros de operaciones

Active Directory sigue funcionando cuando las funciones de maestro de

operaciones no están disponibles. Si el controlador que realiza la función
únicamente está fuera de conexión durante un breve período, puede no
ser necesario asumirla. En la tabla siguiente se describen los riesgos y
consecuencias de restituir el servicio de un maestro de operaciones una
vez asumida su función.
Recomendación con
respecto a restituir el
Función de maestro Consecuencia si la función Riesgo que supone una servicio después de
de operaciones no está disponible restauración inapropiada asumirse la función

Maestro de esquema No se pueden hacer cambios Se pueden introducir No se recomienda. Puede

en el esquema.
Maestro de nombres No se pueden agregar o
de dominio quitar dominios del bosque.
Emulador de PDC No se pueden cambiar las
contraseñas en los equipos
cliente que no tengan
instalado el software cliente
de Active Directory. No se
produce la replicación en los
controladores de dominio de
reserva de Windows NT 4.0.
Maestro de Se produce un retardo al
infraestructura mostrar las listas actualizadas
de miembros de grupos en la
interfaz de usuario al mover
usuarios de un grupo a otro.
Maestro de RID A la larga, los controladores
de dominio no pueden crear
nuevos objetos de directorio
porque se reducen sus
grupos de RID.
algunos cambios dañar el bosque y tener que
conflictivos en el esquema reconstruirlo por completo.
si ambos maestros de
esquema intentan
modificarlo al mismo
tiempo. Este conflicto
puede provocar la
fragmentación del esquema.
No se pueden agregar
o quitar dominios ni
limpiar los metadatos. Los
dominios pueden aparecer
incorrectamente como si
estuvieran aún en el bosque.
La validación de
contraseñas puede ser
correcta o fallar al azar. Los
cambios en las contraseñas
pueden tardar mucho más
en replicarse a través del
dominio.
Se muestran nombres de
usuario incorrectos en las
listas de miembros de
grupos en la interfaz de
usuario después de mover
usuarios de un grupo a otro.
Se pueden asignar grupos
de RID duplicados a
controladores de dominio,
lo que provoca daños en los
datos del directorio y puede
conducir a riesgos en la
seguridad y a accesos no
autorizados.
No se recomienda.
Puede hacer necesaria
la reconstrucción
de los dominios.
Se permite.
La autenticación de
usuarios puede mostrar un
comportamiento variable
durante un tiempo pero
no se produce ningún
daño permanente.
Se permite. Puede afectar al
rendimiento del controlador
de dominio que desempeñe
la función pero no se
producen daños en el
directorio.
No se recomienda. Puede
provocar daños en los datos
que hagan necesaria la
reconstrucción del dominio.
 Administración de los maestros de operaciones 17

Cómo determinar el titular de una función de maestro

de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Antes de considerar si mover una función de maestro de operaciones, determine

qué controlador de dominio la desempeña. Sólo los usuarios autenticados tienen
permiso par determinar dónde se desempeñan las funciones de maestro de
operaciones. Debe utilizar alguno de los complementos de Active Directory
siguientes, dependiendo de la función:
„ Usuarios y equipos de Active Directory (funciones de maestro de PDC, RID
e infraestructura)
„ Dominios y confianzas de Active Directory (función de maestro de nombres
de dominio)
„ Esquema de Active Directory (función de maestro de esquema)

Procedimiento para Para determinar qué controlador de dominio desempeña la función de maestro
determinar el maestro de RID, de emulador de PDC o de maestro de infraestructura, realice los pasos
de RID, el emulador siguientes.
de PDC y el maestro
de infraestructura 1. Abra Usuarios y equipos de Active Directory.
2. En el árbol de la consola, haga clic con el botón secundario del mouse
(ratón) en el dominio para el que desee ver los maestros de operaciones
y haga clic en Maestro de operaciones.
3. En Maestro de operaciones, en las fichas RID, Controlador principal
de dominio (PDC) o Infraestructura, observe el nombre del maestro de
operaciones actual.
18 Administración de los maestros de operaciones

Procedimiento para Para determinar qué controlador de dominio desempeña la función de maestro
determinar al maestro de nombres de dominio, realice los pasos siguientes:
de nombres de dominio
1. Abra Dominios y confianzas de Active Directory.
2. Haga clic con el botón secundario del mouse en Dominios y confianzas de
Active Directory y, después, haga clic en Maestro de operaciones.
3. En el cuadro de diálogo Cambiar el maestro de operaciones, observe el
nombre del maestro de nombres de dominio actual.

Procedimiento para Para determinar qué controlador de dominio desempeña la función de maestro
determinar al maestro de esquema, realice los pasos siguientes:
de esquema
1. Ejecute el comando siguiente para registrar el esquema de Active Directory:
regsvr32.exe %systemroot%\system32\schmmgmt.dll
2. Haga clic en Aceptar.
3. Cree una consola de Microsoft Management Console (MMC) personalizada
y, después, agréguele el complemento Esquema de Active Directory.
4. En el árbol de la consola, expanda Esquema de Active Directory y haga
clic con el botón secundario del mouse en él; después, haga clic en Maestro
de operaciones.
5. En el cuadro de diálogo Cambiar el maestro de esquema, observe el
nombre del maestro de esquema actual.

Nota Para identificar un maestro de operaciones en un dominio diferente,

conéctese al dominio antes de hacer clic en Maestro de operaciones, en el
paso 4. Si desea identificar los maestros de operaciones de un bosque diferente,
para conectarse al dominio, escriba el nombre de dominio del bosque antes de
hacer clic en Maestro de operaciones.
 Administración de los maestros de operaciones 19

Cómo transferir una función de maestro de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Puede transferir las tres funciones de maestro de operaciones relativas a los
dominios con Usuarios y equipos de Active Directory. Para transferir la función
de maestro de nombres de dominio, debe usar Dominios y confianzas de Active
Directory. Si desea transferir la función de maestro de esquema de Active
Directory, debe utilizar la herramienta Esquema de Active Directory.
Procedimiento para Para transferir las funciones de maestro de operaciones maestro de RID,
transferir las funciones emulador de PDC o maestro de infraestructura, realice los pasos siguientes.
de maestro de RID,
emulador de PDC y 1. Abra Usuarios y equipos de Active Directory.
maestro de
infraestructura 2. En el árbol de la consola, haga clic con el botón secundario del mouse en
Usuarios y equipos de Active Directory y, después, en Conectar con el
controlador de dominio.
3. En la lista O seleccione un controlador de dominio disponible, haga clic
en el controlador de dominio que vaya a convertirse en el nuevo maestro de
operaciones y, después, haga clic en Aceptar.
4. En el árbol de la consola, haga clic con el botón secundario del mouse en el
dominio que contenga el servidor que se convertirá en el nuevo maestro de
operaciones y haga clic en Maestro de operaciones.
5. En la ficha Infraestructura, Controlador principal de dominio (PDC) o
RID, haga clic en Cambiar y, después, en Sí.

Precaución Asegúrese de que no transfiere la función de maestro de

infraestructura a un controlador de dominio que aloje el catálogo global.
20 Administración de los maestros de operaciones

Procedimiento para Para transferir la función de maestro de nombres de dominio a otro controlador
transferir la función de dominio, realice los pasos siguientes:
de maestro de nombres
de dominio 1. Abra Dominios y confianzas de Active Directory.
2. En el árbol de la consola, haga clic con el botón secundario del mouse en
Dominios y confianzas de Active Directory y, después, en Conectar con
el controlador de dominio.
3. En la lista O seleccione un controlador de dominio disponible, haga clic
en el controlador de dominio que vaya a convertirse en el nuevo maestro de
nombres de dominio y, después, haga clic en Aceptar.
4. En el árbol de la consola, haga clic con el botón secundario del mouse en
Dominios y confianzas de Active Directory y haga clic en Maestro de
operaciones.
5. Cuando aparezca el nombre del controlador de dominio que seleccionó en el
paso 3, haga clic en Cambiar y, después, en Sí.

Procedimiento para Para transferir la función de maestro de esquema, realice los pasos siguientes:
transferir la función de 1. Abra Esquema de Active Directory.
maestro de esquema
2. En el árbol de la consola, haga clic con el botón secundario del mouse en
Esquema de Active Directory y, después, en Cambiar el controlador
de dominio.
3. Haga clic en Especificar nombre, escriba el nombre del controlador
de dominio al que desee transferir la función de maestro de esquema y,
después, haga clic en Aceptar.
4. En el árbol de la consola, haga clic con el botón secundario del mouse
en Esquema de Active Directory y, después, haga clic en Maestro
de operaciones.
5. Cuando aparezca el nombre del controlador de dominio que escribió en el
paso 3, haga clic en Cambiar y, después, en Sí.

Nota Antes de abrir el Esquema de Active Directory, debe usar la utilidad

Regsvr32.exe para registrar el complemento Esquema de Active Directory,
Schmmgmt.dll, y crear a continuación una nueva consola de MMC personalizada.
 Administración de los maestros de operaciones 21

Cómo asumir una función de maestro de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Puede usar la herramienta de línea de comandos Ntdsutil para asumir una
función de maestro de operaciones. El procedimiento varía ligeramente
dependiendo de la función que se asuma. Puesto que las funciones de emulador
de PDC y maestro de infraestructura se pueden asumir sin perder datos, para
ello se puede usar Usuarios y equipos de Active Directory. Para asumir el resto
de funciones, únicamente debe usar la utilidad Ntdsutil con el fin de evitar que
se asuman accidentalmente.
Tareas de recuperación Si desea recuperar el sistema ante un problema con un maestro de RID,
de esquema o de nombres de dominio, realice las tareas siguientes:
1. Desconecte el maestro de operaciones actual de la red antes de asumir
la función.
2. Utilice el comando ntdsutil.
3. Espere hasta que todas las actualizaciones que haya realizado el controlador
de dominio que ha fallado se repliquen en el controlador de dominio que
asume la función.
4. Compruebe que el controlador de dominio cuya función se asume se quita
del dominio y no se restaura a continuación.
5. Antes de conectar ese equipo a la red, vuelva a dar formato a la partición
que contenía los archivos del sistema operativo de los maestros de
operaciones originales y reinstale Windows Server 2003.
22 Administración de los maestros de operaciones

Procedimiento para Para asumir la función de maestro de operaciones emulador de PDC o maestro
asumir una función de infraestructura, realice los pasos siguientes.
mediante Usuarios y
equipos de Active 1. Abra Usuarios y equipos de Active Directory.
Directory
2. En el árbol de la consola, haga clic con el botón secundario del mouse en el
dominio para el que desee asumir una función de maestro de operaciones y
haga clic en Maestro de operaciones.
Se puede tardar varios segundos en que aparezcan los datos, ya que
Usuarios y equipos de Active Directory está esperando la respuesta del
titular actual de la función de maestro de operaciones.
3. En el cuadro de diálogo Maestro de operaciones, en la ficha
Infraestructura, Controlador principal de dominio (PDC) o RID,
haga clic en Cambiar.
4. En el cuadro de diálogo Active Directory, haga clic en Sí.
5. Cuando aparezca un cuadro de diálogo Active Directory donde se indique
que este equipo no es un asociado de replicación, haga clic en Sí.
6. Cuando aparezca un cuadro de diálogo Active Directory donde se indique
que no se puede realizar una transferencia, haga clic en Sí.
7. En el cuadro de diálogo Active Directory, haga clic en Aceptar y, después,
en Cerrar.
8. Cierre Usuarios y equipos de Active Directory.

Procedimiento para Para usar el comando ntdsutil con el fin de asumir una función de maestro de
asumir una función esquema, realice los pasos siguientes:
mediante Ntdsutil
1. En el cuadro Ejecutar, escriba cmd y haga clic en Aceptar.
2. En el símbolo del sistema, escriba ntdsutil y presione ENTRAR.
3. En la línea de comandos de ntdsutil, escriba roles y presione ENTRAR.
4. En la línea de comandos fsmo maintenance, escriba connections y
presione ENTRAR.
5. En la línea de comandos server connections, escriba connect to server
seguido del nombre completo de dominio (FQDN, Fully Qualified Domain
Name) del controlador de dominio que se convertirá en el nuevo titular de la
función y presione ENTRAR.
6. Escriba quit y presione ENTRAR.
7. En la línea de comandos fsmo maintenance, escriba uno de los comandos
siguientes para asumir la función de maestro de operaciones apropiado,
presione ENTRAR, escriba quit y, después, presione ENTRAR de nuevo.
• Seize RID master
• Seize PDC
• Seize infrastructure master
• Seize domain naming master
• Seize schema master
8. En la línea de comandos de ntdsutil, escriba quit y presione ENTRAR.
 Administración de los maestros de operaciones 23

Ejercicio: Transferencia de funciones de maestro de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Objetivos En este ejercicio, se ocupará de:

„ Determinar qué controlador de dominio desempeña la función de maestro
de infraestructura en su dominio.
„ Transferir la función de maestro de infraestructura al otro servidor
del dominio.

Instrucciones Trabaje con un compañero cuyo controlador de dominio esté en el mismo

dominio de Active Directory que el suyo. Este ejercicio sólo se puede realizar
en un servidor del dominio, por lo que deben trabajar juntos en un servidor.
Situación de ejemplo Northwind Traders está desarrollando un plan de recuperación ante desastres.
Una consideración importante es cómo se distribuirán las funciones de maestro
de operaciones. El equipo de implementación de Active Directory ha decidido
que ubicará la función de maestro de infraestructura en un servidor distinto al
que la desempeña actualmente.
24 Administración de los maestros de operaciones

Ejercicio Transfiera la función de maestro de infraestructura

1. Inicie sesión como Nwtradersx\NombreDeEquipoUser con la contraseña
P@ssw0rd
2. Haga clic en Inicio, seleccione Herramientas administrativas, haga clic
con el botón secundario del mouse en Usuarios y equipos de Active
Directory y haga clic en Ejecutar como.
3. En el cuadro de diálogo Ejecutar como, haga clic en El usuario siguiente,
escriba el nombre de usuario Nwtradersx\Administrador con la contraseña
P@ssw0rd y haga clic en Aceptar.
4. En el árbol de la consola, haga clic con el botón secundario del mouse
en nw.nwtradersx.msft y, a continuación, haga clic en Maestro de
operaciones.
5. En la ficha Infraestructura, en el cuadro Maestro de operaciones, registre
el nombre del actual maestro de operaciones y haga clic en Cerrar.
_____________________________________________________________

_____________________________________________________________

6. En el árbol de la consola, haga clic con el botón secundario del mouse en

nw.nwtradersx.msft y, a continuación, haga clic en Conectar con el
controlador de dominio.
7. En el cuadro de diálogo Conectar con el controlador de dominio, en la
lista O seleccione un controlador de dominio disponible, seleccione
un servidor que no desempeñe en este momento la función de maestro
de infraestructura y haga clic en Aceptar.
8. En el árbol de la consola, haga clic con el botón secundario del mouse
en nw.nwtradersx.msft y, a continuación, haga clic en Maestro
de operaciones.
9. En la ficha Infraestructura, haga clic en Cambiar.
10. En el cuadro de diálogo Active Directory, haga clic en Sí y, después,
en Aceptar.
11. En el cuadro de diálogo Maestros de operaciones, observe que el maestro
de operaciones se ha transferido al controlador de dominio seleccionado y
haga clic en Cerrar.
12. Cierre Usuarios y equipos de Active Directory.
 Administración de los maestros de operaciones 25

Lección: Planeamiento de la ubicación de maestros

de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción En esta lección se explican directrices para ubicar y asumir las funciones de
maestro de operaciones.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Explicar las directrices que se aplican al ubicar maestros de operaciones.
„ Explicar las directrices que se aplican al ubicar el maestro de esquema.
„ Explicar las directrices que se aplican al ubicar el maestro de nombres
de dominio.
„ Explicar las directrices que se aplican al ubicar el maestro emulador
de PDC.
„ Explicar las directrices que se aplican al ubicar el maestro de RID.
„ Explicar las directrices que se aplican al ubicar el maestro de
infraestructura.
„ Explicar las directrices que se aplican al asumir las funciones de maestro
de operaciones.
26 Administración de los maestros de operaciones

Directrices para ubicar maestros de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Windows Server 2003 ubica las funciones de maestro de operaciones en los
controladores de dominio automáticamente. Esta ubicación funciona bien en
un bosque que se implemente con pocos controladores de dominio en un sitio.
Sin embargo, si el bosque tiene muchos controladores de dominio o varios
sitios, debe planear la ubicación de las funciones de maestro de operaciones
para lograr el máximo rendimiento y reducir el riesgo en caso de que un
controlador de dominio deje de estar disponible.
Directrices Aplique las directrices siguientes al ubicar maestros de operaciones:
„ En un bosque con un único dominio, deje todas las funciones en el primer
controlador de dominio del bosque. Designe cada controlador de dominio
como servidor de catálogo global porque los datos del catálogo global sólo
se refieren al dominio.
„ En un bosque con varios dominios, siga estas directrices:
• En el dominio raíz del bosque:
• Si todos los controladores de dominio también son servidores de
catálogo global, deje todas las funciones en el primer controlador
de dominio del bosque.
• En caso contrario, mueva todos los maestros de operaciones a un
controlador de dominio que no sea servidor de catálogo global.
• En cada dominio secundario, deje las funciones de emulador de PDC,
maestro de RID y maestro de infraestructura en el primer servidor del
dominio y asegúrese de que este servidor no se designe nunca como
servidor de catálogo global.
 Administración de los maestros de operaciones 27

„ En cada servidor que desempeñe alguna de las funciones, haga que otro
controlador de dominio del mismo dominio esté disponible como maestro
de operaciones en espera. Este controlador de dominio debe cumplir lo
siguiente:
• No debe actuar como servidor de catálogo global, excepto en un entorno
con un único dominio, donde todos los controladores de dominio son
también servidores de catálogo global.
• Debe tener una conexión creada manualmente para la replicación con el
controlador de dominio para el que actúe como maestro de operaciones
en espera y debe hallarse en el mismo sitio.
28 Administración de los maestros de operaciones

Directrices para ubicar el maestro de esquema

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción La función de maestro de operaciones maestro de esquema abarca a todo

el bosque. Controla todas las actualizaciones originarias del esquema.
Si el maestro de esquema no está disponible, no puede modificar el esquema.
De forma predeterminada, el primer controlador de dominio de cada bosque
nuevo desempeña dicha función.
Directrices Al determinar la ubicación del maestro de esquema, aplique las directrices
siguientes:
„ Haga que sea maestro de esquema un controlador de dominio que tenga
una gran disponibilidad. Puesto que el esquema define todos los objetos que
Active Directory puede almacenar, es fundamental para Active Directory
registrar todos los cambios que se efectúan en él.
Un controlador de dominio con una gran disponibilidad es aquél que usa
hardware informático para seguir estando operativo incluso durante un
problema de hardware. Por ejemplo, si un controlador de dominio dispone
de una matriz redundante de discos independientes (RAID, Redundant
Array of Independent Disks), puede seguir en ejecución incluso si un
disco duro falla.
„ No exija que el maestro de esquema sea un controlador de dominio de
gran capacidad. Este requisito es innecesario puesto que los cambios en el
esquema se realizan con poca frecuencia, el promedio de carga del servidor
es mínimo y el promedio de tráfico de replicación no es importante.
Un controlador de dominio de gran capacidad es aquél que tiene una
eficacia de procesamiento comparativamente mayor que otros con el fin de
hacer frente a la carga de trabajo adicional que supone la función de maestro
de esquema. Tiene una CPU más rápida y, posiblemente, más memoria y
ancho de banda de red.
 Administración de los maestros de operaciones 29

Directrices para ubicar el maestro de nombres de dominio

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción La función de maestro de nombres de dominio abarca a todo el bosque.

Controla la adición o eliminación de dominios en el bosque. De forma
predeterminada, el primer controlador de dominio de un bosque nuevo
desempeña dicha función.
Directrices Al determinar la ubicación del maestro de nombres de dominio, aplique las
directrices siguientes:
„ Use como maestro de nombres de dominio un controlador de dominio que
tenga una gran disponibilidad. Se requiere una alta disponibilidad para
agregar un dominio al bosque o guitarlo de él.
„ No exija que el maestro de nombres de dominio sea un controlador de
dominio de gran capacidad. La adición y eliminación de dominios son
tareas que se realizan con poca frecuencia y el promedio de carga del
servidor es mínima.

Nota Si el bosque se configura con un nivel funcional Windows 2000 nativo,

debe localizar el maestro de nombres de dominio en un servidor que contenga
el catálogo global. Si el bosque se configura con un nivel funcional Windows
Server 2003, no es necesario que el maestro de nombres de dominio esté en un
servidor de catálogo global.
30 Administración de los maestros de operaciones

Directrices para ubicar el maestro emulador de PDC

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción La función de maestro emulador de controlador de dominio principal

(PDC, Primary Domain Controller) abarca a todo el dominio. Actúa como
un PDC en Windows NT para permitir que se utilicen los controladores
de dominio de reserva (BDC, Backup Domain Controllers) que ejecutan
Windows NT en un dominio configurado en un modo mixto de Windows 2000
o una funcionalidad de dominio de Windows provisional. La función de
emulador de PDC se le asigna al primer controlador de dominio que crea
en el nuevo dominio.
Directrices Al determinar la ubicación del maestro emulador de PDC, aplique las
directrices siguientes:
„ Use como maestro emulador de PDC un controlador de dominio que
tenga una gran disponibilidad. Todos los controladores de dominio tienen
acceso con frecuencia al emulador de PDC cuando se realizan cambios de
contraseña, al reenviar contraseñas que no coinciden durante los inicios de
sesión, al sincronizar la hora y para permitir la compatibilidad de BDCs y
clientes que ejecutan Windows NT o una versión anterior.
„ Use como maestro emulador de PDC un controlador de dominio que tenga
una gran capacidad. Puesto que la carga que se destina a este controlador
de dominio aumenta, elija entre:
• Aumentar la capacidad de procesamiento del controlador de dominio.
• No ubicar el servidor de catálogo global en el controlador de dominio.
• Reducir la prioridad y el peso del registro (SRV) de servicio para
dar preferencia en la autenticación a otros controladores de dominio
del sitio.
 Administración de los maestros de operaciones 31

„ No exija que el controlador de dominio en espera sea un asociado de

replicación directo. Al asumir la función de emulador de PDC no se pierden
datos, por lo que no hay necesidad de reducir la latencia de replicación en
este tipo de operación.
„ Ubique este controlador de dominio de forma centralizada para dar cabida
a la mayoría de los usuarios del dominio. De este modo, se reducirá la
cantidad de tráfico en la red.
32 Administración de los maestros de operaciones

Directrices para ubicar el maestro de RID

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción El maestro de RID asigna bloques de identificadores relativos (RID, Relative

Identifier) a cada controlador de dominio del dominio. Siempre que un
controlador de dominio crea un nuevo principal de seguridad, como un
objeto de equipo, usuario o grupo, asigna al objeto un identificador de
seguridad único (SID, Unique Security Identifier). En cada dominio,
sólo hay un maestro de RID.
Directrices Al determinar la ubicación del maestro de RID, aplique las directrices
siguientes:
„ Use como maestro de RID un controlador de dominio que tenga una gran
disponibilidad. Una elevada disponibilidad es fundamental en la creación
continua de principales de seguridad y para ayudar a evitar la necesidad
de asumir una función de maestro de operaciones.
„ No exija que el maestro de RID sea un controlador de dominio de gran
capacidad. Generalmente, los principales de seguridad se crean de forma
continuada, lo que no provoca picos en la utilización de la CPU. Además,
como los RID se distribuyen a cada controlador de dominio en bloques
de 500, el promedio de carga del servidor y el tráfico de replicación
son mínimos.
„ Ubique el maestro de RID en un sitio donde cree un gran número
de objetos principales de seguridad, como un objeto de usuario o de grupo.
Esta ubicación es común cuando un grupo de administradores crea todas
las cuentas de usuario de la organización porque la mayor parte de ellas se
hallan en la misma ubicación que la de los usuarios, lo que reduce los
posibles efectos de un fallo en un vínculo de red.
 Administración de los maestros de operaciones 33

„ Ubique el maestro de RID de forma centralizada en la red si la mayor parte

de las cuentas de usuario no se crean en un sitio. De este modo, se reducirá
la cantidad de tráfico en la red.
„ Configure el maestro de RID como asociado de replicación directo con el
maestro de RID de reserva o en espera. Esta configuración reduce el riesgo
de perder datos al asumir la función dado que reduce la latencia de
replicación.
34 Administración de los maestros de operaciones

Directrices para ubicar el maestro de infraestructura

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción El maestro de infraestructura es responsable de realizar actualizaciones

rápidas de las referencias que abarcan a varios dominios, como cambios en la
pertenencia a un grupo que contiene cuentas de usuario de otros dominios.
En un dominio hay un único maestro de infraestructura.
Directrices Al determinar la ubicación del maestro de infraestructura, aplique las directrices
siguientes:
„ No exija que el maestro de infraestructura sea un controlador de dominio
de gran capacidad. No existe un riesgo potencial de perder la información
controlada por este maestro de operaciones. Además, la repercusión de
poner fuera de conexión al maestro de infraestructura durante un período
breve es insignificante puesto que no afecta a los usuarios finales.
„ No exija que el maestro de infraestructura sea un controlador de dominio
de gran capacidad. El maestro de infraestructura usa poco los recursos
del servidor.
„ Evite ubicar la función de maestro de infraestructura en un controlador de
dominio que contenga el catálogo global. Si un controlador de dominio que
desempeña la función de maestro de infraestructura también actúa como
servidor de catálogo global, las referencias de ese dominio a objetos que
sean de otros dominios no se actualizan.
„ Ubique el maestro de infraestructura en el mismo sitio que el servidor de
catálogo global. El maestro de infraestructura debe comunicarse con un
servidor de catálogo global para actualizar las referencias que abarcan a
varios dominios.
 Administración de los maestros de operaciones 35

Directrices para asumir funciones de maestro de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Asuma las funciones de maestro de operaciones únicamente cuando no pueda

restaurar el controlador de dominio que desempeñe la función, por ejemplo, si
se destruye físicamente y no se puede restaurar a partir de un soporte de copia
de seguridad. Antes de asumir una función de maestro de operaciones,
desconecte físicamente el controlador de dominio de la red.
Directrices Aplique la directriz siguiente para responder ante problemas con los maestros
de operaciones:
„ Determine por anticipado la duración de la interrupción del servicio.
Si espera que sea breve, espere hasta que el controlador de dominio titular
de la función vuelva a estar disponible antes de realizar alguna operación
que tenga que ver con dicha función. Si la interrupción es más larga,
puede que haya que asumir la función de maestro de operaciones desde un
controlador de dominio. Esta decisión depende de la función y del tiempo
que se prevé que vaya a durar la interrupción.

Aplique la directriz siguiente para asumir la función de maestro emulador

de PDC:
„ Repare un problema con un emulador de PDC rápidamente. Una usuaria
que utilice Windows NT Workstation, Windows NT 4.0, Windows 95 o
Windows 98 sin el cliente Active Directory no podrá cambiar su contraseña
sin que su equipo se comunique con el emulador de PDC. Si su contraseña
ha caducado, no podrá iniciar sesión. Asuma la función de emulador de
PDC en un controlador de dominio que actúe como maestro de operaciones
en espera si el emulador de PDC está fuera de conexión durante un período
significativo.
36 Administración de los maestros de operaciones

Aplique la directriz siguiente para asumir la función de maestro de

infraestructura:
„ Espere en lugar de solucionar la pérdida temporal del maestro de
infraestructura. La pérdida temporal de la función no es apreciable para los
usuarios finales ni los administradores, a menos que haya movido o haya
quitado recientemente un gran número de cuentas. Asuma la función de
maestro de infraestructura si espera que la interrupción del servicio va a ser
larga y debe repararlo.

Aplique las directrices siguientes para asumir las funciones de maestro de

esquema, de RID o de nombres de dominio:
„ Espere en lugar de solucionar la pérdida temporal del maestro de esquema,
de nombres de dominio o de RID. Estas funciones pasan desapercibidas para
los usuarios finales y no impiden su trabajo como administrador.
„ Desconecte físicamente de la red el controlador de dominio para asegurarse
de que la interrupción del servicio es permanente. Un controlador de dominio
cuya función de maestro de esquema, maestro de nombres de dominio o
maestro de RID se asuma nunca debe volver a ponerse en conexión.
 Administración de los maestros de operaciones 37

Ejercicio multimedia: Asignación de funciones de maestro

de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Ubicación de los Para ver el ejercicio multimedia Asignación de funciones de maestro de

archivos operaciones, abra el fichero media20.htm que se encuentra dentro del fichero
media20.zip
Objetivo En este ejercicio, planeará la ubicación de un maestro de operaciones.
Instrucciones Esta actividad incluye varios ejercicios con varias opciones de tipo “arrastrar y
colocar” que le permiten demostrar sus conocimientos. Lea las instrucciones y
comience el ejercicio.