miércoles, 6 de agosto de 2008

Asumir funciones de servidor principal de dominio

Responder a errores en el servidor principal de operaciones

Algunas de las funciones de servidor principal de operaciones son cruciales para el funcionamiento de la red. Otras pueden dejar de estar disponibles durante algún tiempo antes de que su ausencia se convierta en un problema. Por lo general, observará que el poseedor de una función relativa a las operaciones con un solo servidor principal no está disponible cuando intenta realizar algunas funciones que controla el servidor principal de operaciones en particular.

Si un servidor principal de operaciones no está disponible debido a un error del equipo o a un problema de la red, puede asumir su función. Esto también se conoce como forzar la transferencia de la función de servidor principal de operaciones.

Antes de forzar la transferencia, determine primero la causa y la duración esperada del error del equipo o de la red. Si la causa es un problema de la interconexión en red o un error del servidor que se va a resolver pronto, espere a que el poseedor de la función esté disponible de nuevo. Si el controlador de dominio que desempeña actualmente la función tiene un error, debe determinar si se puede recuperar y ponerse de nuevo en conexión.

En general, asumir esta función es un paso drástico que únicamente se debe considerar si el servidor principal de operaciones actual no va a volver a estar disponible. La decisión depende de la función y del tiempo que el poseedor de la función en particular no estará disponible. En los temas siguientes se discutirá el efecto de los diversos errores del poseedor de la función.

Error del servidor principal de esquemas

La pérdida temporal del servidor principal de operaciones de esquemas no será visible para los usuarios de la red. Tampoco será visible para los administradores de la red, a menos que intenten modificar el esquema o instalar una aplicación que lo modifique durante la instalación.

Si el servidor principal de esquemas no va a estar disponible durante un período inaceptable, puede transferir la función al servidor de operaciones en espera. Sin embargo, asumir esta función es un paso drástico que sólo debe considerar si el error del servidor de esquemas es permanente.

important Important

  • Un controlador de dominio cuya función de servidor principal de esquemas se ha transferido nunca se debe poner de nuevo en conexión.

Para obtener información acerca de los procedimientos relativos al modo de asumir la función de servidor principal de esquemas, consulte Asumir la función de servidor principal de esquemas

Para asumir la función de servidor principal de esquemas

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections, escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize schema master.
  8. En el símbolo del sistema fsmo maintenance, escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Error del servidor principal de nombres de dominio

Los usuarios de la red no advierten la pérdida temporal del servidor principal de nombres de dominio. Tampoco será visible para los administradores de la red, a menos que intenten agregar o quitar un dominio del bosque.

Si el servidor principal de nombres de dominio no va a estar disponible durante un período inaceptable, puede transferir la función al servidor de operaciones en espera. Sin embargo, asumir esta función es un paso drástico que sólo debe considerar si el error del servidor principal de nombres de dominios es permanente.

important Important

  • Un controlador de dominio cuya función de servidor principal de nombres de dominio se ha transferido nunca se debe poner de nuevo en conexión.

Para obtener información acerca de los procedimientos relativos al modo de asumir la función de servidor principal de nombres de dominio, consulte Asumir la función de servidor principal de nombres de dominio

Para asumir la función de maestro de nombres de dominio

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections , escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize domain naming master.
  8. En el símbolo del sistema fsmo maintenance , escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Error del servidor principal de identificadores relativos

La pérdida temporal del servidor principal de operaciones de identificadores relativos no será visible para los usuarios de la red. Tampoco será visible para los administradores de la red, a menos que estén creando objetos y el dominio donde lo hacen se haya quedado sin identificadores relativos.

Si el servidor principal de identificadores relativos no va a estar disponible durante un período inaceptable, puede transferir la función al servidor principal de operaciones. Sin embargo, asumir esta función es un paso drástico que sólo debe considerar si el error del servidor principal de identificadores relativos es permanente.

important Important

  • Un controlador de dominio cuya función de servidor principal de identificadores relativos se ha transferido nunca se debe poner de nuevo en conexión.

Para obtener información acerca de los procedimientos para asumir la función de servidor principal de identificadores relativos, consulte Asumir la función de servidor principal de identificadores relativos

Para asumir la función de servidor principal de identificadores relativos

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections, escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize RID master.
  8. En el símbolo del sistema de fsmo maintenance, escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Error del emulador PDC

La pérdida del emulador del controlador principal del dominio (PDC) afecta a los usuarios de la red. Por lo tanto, cuando el emulador PDC no está disponible, es posible que tenga que asumir inmediatamente la función.

Si el servidor principal emulador PDC actual no va a estar disponible durante un período inaceptable y su dominio tiene clientes sin el software de cliente de Windows 2000, o si contiene controladores de dominio de reserva de Windows NT, transfiera la función de servidor principal emulador PDC al servidor principal de operaciones en espera. Cuando el emulador PDC original vuelva a estar en servicio, puede transferir de nuevo la función al controlador de dominio original.

Para obtener información acerca de los procedimientos relativos al modo de asumir la función de emulador PDC, consulte Asumir la función de emulador PDC

Para asumir la función de emulador PDC

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections, escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize PDC.
  8. En el símbolo del sistema de fsmo maintenance, escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Error del servidor principal de infraestructuras

Los usuarios de la red no advierten la pérdida temporal de un servidor principal de infraestructuras. Tampoco será visible para los administradores de la red, a menos que hayan movido recientemente o cambiado el nombre de una gran cantidad de cuentas.

Si el servidor principal de infraestructuras no va a estar disponible durante un período inaceptable, puede transferir la función a un controlador de dominio que no sea un catálogo global pero que esté conectado correctamente a uno de cualquier dominio y, si es posible, del mismo sitio que el catálogo global actual. Cuando el servidor principal de infraestructuras original vuelva a estar en servicio, puede transferir de nuevo la función al controlador de dominio original.

Para obtener información acerca de los procedimientos relativos al modo de asumir la función de servidor principal de infraestructuras, consulte Asumir la función de servidor principal de infraestructuras

Para asumir la función de servidor principal de infraestructuras

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections , escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize infrastructure master.
  8. En el símbolo del sistema fsmo maintenance , escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Para obtener información general acerca de los servidores principales de operaciones, consulte Operaciones de un solo servidor principal

Operaciones de un solo maestro

Active Directory permite realizar la replicación Multimaster del almacén de datos de directorio entre todos los controladores del dominio. Algunos cambios no se pueden realizar por el método Multimaster, por lo que sólo un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes de este tipo de cambios.

Dado que las funciones de maestro de operaciones pueden moverse a otros controladores de dominio del mismo domino o del bosque, esas funciones se denominan a veces operaciones flexibles de un solo maestro.

En cualquier bosque de Active Directory hay cinco funciones de maestro de operaciones que se asignan a uno o más controladores de dominio. Algunas funciones deben estar presentes en todos los bosques. Otras funciones deben estar presentes en todos los dominios del bosque.

Funciones de maestro de operaciones en todo el bosque

Cada bosque de Active Directory debe tener las siguientes funciones:

  • Maestro de esquema
  • Maestro de nombres de dominio

Estas funciones deben ser únicas en el bosque. Es decir, en todo el bosque sólo puede haber un maestro de esquema y un maestro de nombres de dominio.

Maestro de esquema

El controlador maestro de esquema del dominio controla todas las actualizaciones y modificaciones al esquema. Para poder actualizar el esquema de un bosque, debe tener acceso al maestro de esquema. En un momento dado, sólo puede haber un maestro de esquema en todo el bosque.

Maestro de nombres de dominio

El controlador de dominio al que se asigna la función de maestro de nombres de dominio controla la adición o eliminación de dominios en el bosque. En un momento dado, sólo puede haber un maestro de nombres de dominio en todo el bosque.

Funciones de maestro de operaciones en todo el dominio

Cada dominio del bosque debe tener las siguientes funciones:

  • Maestro de identificadores relativos
  • Emulador del controlador principal de dominio (PDC, Primary Domain Controller)
  • Maestro de infraestructuras

Estas funciones deben ser únicas en cada dominio. Esto significa que en cada dominio del bosque sólo puede haber un maestro de identificadores relativos, un emulador del PDC y un maestro de infraestructuras.

Maestro de identificadores relativos

El maestro de identificadores relativos asocia secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio. En un momento dado, sólo puede haber un controlador de dominio que actúe como maestro de identificadores relativos en cada dominio del bosque.

Cada vez que un controlador de dominio crea un objeto de usuario, grupo o equipo, asigna al objeto un Id. de seguridad único. El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo para todos los Id. de seguridad creados en un dominio específico) y de un Id. relativo que es único para cada Id. de seguridad creado en el dominio.

Para mover un objeto de un dominio a otro (mediante Movetree.exe), debe iniciar la operación en el controlador de dominio que actúa como maestro de identificadores relativos del dominio que contiene el objeto en ese momento.

Emulador del PDC

Si el dominio contiene equipos que operan sin el software de cliente de Windows 2000 o si contiene controladores de reserva (BDC, Backup Domain Controller) de Windows NT, el emulador del PDC actúa como un controlador principal de dominio de Windows NT. Se ocupa de procesar los cambios de contraseña de los clientes y replica las actualizaciones en los BDC. En un momento dado, sólo puede haber un controlador de dominio que actúe como emulador del PDC en cada dominio del bosque.

En un dominio de Windows 2000 que funciona en modo nativo, el emulador del PDC recibe la replicación preferencial de los cambios a las contraseñas realizados por otros controladores del dominio. Si una contraseña ha cambiado recientemente, ese cambio tarda algún tiempo en replicarse en cada controlador del dominio. Si una autenticación de inicio de sesión produce un error en otro controlador de dominio debido a una contraseña incorrecta, ese controlador de dominio reenviará la solicitud de autenticación al emulador del PDC antes de rechazar el intento de inicio de sesión.

Maestro de infraestructuras

El maestro de infraestructuras es responsable de actualizar las referencias de grupos a usuarios cada vez que hay alguna variación o cambio de nombre en los miembros de un grupo. En un momento dado, sólo puede haber un controlador de dominio que actúe como maestro de infraestructuras en cada dominio.

Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside en un dominio distinto del grupo), puede que durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grupo de forma que sepa en todo momento el nuevo nombre o ubicación del miembro. El maestro de infraestructuras distribuye la actualización mediante la replicación Multimaster.

La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualización del grupo. Sólo un administrador que esté examinando la pertenencia a ese grupo en particular podría darse cuenta de la falta momentánea de coherencia.

Autor: Moi

Transferir funciones de servidor principal de dominio

Transferir una función de servidor principal de operaciones significa moverla de un controlador de dominio a otro, con la colaboración del poseedor original de la función. Según la función de servidor principal de operaciones que se vaya a transferir, la transferencia se realiza con uno de los tres complementos de Active Directory.

Función

Complemento

Servidor principal de esquemas

Esquema de Active Directory

Servidor principal de nombres de dominio

Dominios y confianzas de Active Directory

Servidor principal de identificadores relativos

Usuarios y equipos de Active Directory

Emulador PDC

Usuarios y equipos de Active Directory

Servidor principal de infraestructuras

Usuarios y equipos de Active Directory

Para obtener información general acerca de las funciones de servidor principal de operaciones, consulte Operaciones de un solo servidor principal

Para ver procedimientos que describen la transferencia de las funciones de servidor principal de operaciones, consulte:

Para transferir la función de servidor principal de esquemas

  1. Abra Esquema de Active Directory
  2. En el árbol de consola, haga clic con el botón secundario del mouse (ratón) en Esquema de Active Directory y, a continuación, haga clic en Cambiar el controlador de dominio.
  3. Haga clic en Cualquier controlador de dominio para permitir que Active Directory seleccione el nuevo servidor principal de operaciones de esquemas.
    O bien, haga clic en Especificar nombre y escriba el nombre del nuevo equipo servidor principal de esquemas.
  4. En el árbol de consola, haga clic con el botón secundario del mouse (ratón) en Esquema de Active Directory y, a continuación, haga clic en Maestro de operaciones.
  5. Haga clic en Cambiar.

  • Transferir la función de servidor principal de nombres de dominio

Para transferir la función de servidor principal de nombres de dominio

  1. Abra Dominios y confianzas de Active Directory
  2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal de nombres de dominio y, a continuación, haga clic en Conectar con el dominio.
  3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista.
  4. En el árbol de la consola, haga clic con el botón secundario del mouse en Dominios y confianzas de Active Directory y, a continuación, haga clic en Maestro de operaciones.
  5. Haga clic en Cambiar.

Para transferir la función de servidor principal de identificadores relativos

  1. Abra Usuarios y equipos de Active Directory
  2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal de identificadores relativos y, a continuación, haga clic en Conectar con el dominio.
  3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista.
  4. En el árbol de la consola, haga clic con el botón secundario del mouse en Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones.
  5. Haga clic en la ficha RID y, a continuación, en Cambiar.

Para transferir la función de emulador PDC

  1. Abra Usuarios y equipos de Active Directory
  2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal emulador PDC y, a continuación, haga clic en Conectar con el dominio.
  3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista.
  4. En el árbol de la consola, haga clic con el botón secundario del mouse en Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones.
  5. En la ficha PDC haga clic en Cambiar.

Para transferir la función de servidor principal de infraestructuras

  1. Abra Usuarios y equipos de Active Directory
  2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal de infraestructuras y, a continuación, haga clic en Conectar con el dominio.
  3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista.
  4. En el árbol de la consola, haga clic con el botón secundario del mouse en Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones.
  5. En la ficha Infraestructura haga clic en Cambiar

Autor: Moi