Active Directory (AD) es un servicio de directorio creado por Microsoft, y se trata como un conjunto de procesos y servicios en la mayoría de las versiones de sistemas operativos Windows Server.
puede imaginar AD como una base de datos o una ubicación segura que almacena todos los atributos de sus usuarios, como nombres de usuario, contraseñas y más., Este repositorio central automatiza muchas tareas, tales como la gestión de los datos de usuario, la provisión de seguridad y las inter-operaciones con otros directorios.
en las versiones iniciales de AD, había muchas posibilidades de conflictos. Por ejemplo, digamos que un controlador de dominio agregó un nuevo empleado a la base de datos. Desde que se hizo el cambio en el anuncio, se reflejó en toda la empresa, y eso está bien. Unos segundos más tarde, otro controlador de dominio quería eliminar los registros de los empleados que ya no trabajaban en la empresa. Accidentalmente, también eliminó a este empleado del anuncio.,
el sistema de gestión de conflictos que existía entonces seguía la política «last writer wins», por lo que el cambio realizado por el segundo controlador de dominio era válido mientras que el cambio realizado por el primer controlador de dominio se descartaba. Esto significa que el nuevo empleado ya no estaba en el sistema y no podía acceder a los recursos del sistema, lo que obviamente no es correcto.
para prevenir tales conflictos, se introdujo un modelo maestro único. En este modelo, solo un controlador de dominio (DC) podía realizar un tipo particular de actualización., En el caso anterior, si solo el primer DC estuviera a cargo de agregar y eliminar empleados y el segundo DC estuviera a cargo de la seguridad, entonces tal conflicto no habría ocurrido.
sin embargo, esto también tenía limitaciones. ¿Qué pasa cuando el primer DC cae? No puedes agregar o eliminar empleados hasta que vuelva a aparecer. Una dependencia tan fuerte de un solo controlador nunca es buena desde un punto de vista operativo.,
Por lo tanto, Microsoft fue un poco más allá en las versiones posteriores para incluir múltiples roles para cada DC y dar a cada DC la capacidad de transferir todo el rol a cualquier otro DC dentro de la misma empresa. La ventaja obvia aquí es que ningún rol está vinculado a ningún DC en particular, por lo que cuando uno se cae, puede transferir automáticamente este rol a otro DC en funcionamiento.
Puesto que este modelo ofrece una gran flexibilidad, que se llama la Operación de Maestro Único Flexible (FSMO).,
efectivamente, FSMO es un modelo multimaster que asigna roles y responsabilidades claras a cada DC y al mismo tiempo, dando la flexibilidad para transferir roles si es necesario.
roles FSMO
FSMO se divide ampliamente en cinco roles y son:
- Schema master
- Domain naming master
- RID master
- PDC emulator
- Infrastructure master
de estos, los dos primeros roles FSMO están disponibles a nivel de bosque, mientras que los tres restantes son necesarios para cada dominio.,
Extensiones Remotas
veamos ahora cada función FSMO en profundidad.
Schema master
Schema master, como su nombre indica, contiene una copia de lectura y escritura de todo el esquema del anuncio. Si se pregunta Qué es un esquema, son todos los atributos asociados con un objeto de usuario e incluye contraseña, rol, designación e ID de empleado, por nombrar algunos.
por lo tanto, si desea cambiar el ID de empleado, tendrá que hacerlo en este DC. De forma predeterminada, el primer controlador que instale en su bosque será el maestro de esquema.,
maestro de nombres de Dominio
el maestro de nombres de Dominio es responsable de la verificación de los dominios, así que sólo hay uno para cada bosque. Esto significa que si está creando un dominio nuevo en un bosque existente, este controlador garantiza que dicho dominio no exista ya. Si el maestro de nombres de dominio está desactivado por algún motivo, no puedes crear un nuevo dominio.
dado que no se crean dominios con frecuencia, algunas empresas prefieren tener maestro de esquema y maestro de nombres de dominio dentro del mismo controlador.,
RID master
cada vez que cree un principio de seguridad, ya sea una cuenta de usuario, una cuenta de grupo o una cuenta maestra, desea agregarle permisos de acceso. Pero no puedes hacerlo basado en el nombre de un usuario o grupo porque eso puede cambiar en cualquier momento.
digamos que tenías a Andy con un papel en particular, y dejó la compañía. Así que cerraste la cuenta de Andy y en su lugar trajiste a Tim. Ahora, tendrás que ir y reemplazar a Andy con Tim en las listas de acceso de seguridad de cada recurso.
esto no es práctico, ya que consume mucho tiempo y es propenso a errores.,
Esta es la razón por la que asocias cada principio de seguridad con algo llamado ID de seguridad o SID. De esta manera, incluso si Andy cambia a Tim, el SID seguirá siendo el mismo, por lo que tendrás que hacer un solo cambio.
Este SID tiene un patrón específico para garantizar que cada SID en el sistema sea único. Siempre comienza con la letra «S» seguida de la versión (comienza con 1) y un valor de autoridad identificador. Esto es seguido por el nombre de dominio o equipo local que es común para todos los Sid ubicados dentro del mismo dominio. Por último, el nombre de dominio es seguido por lo que se llama un ID relativo o RID.,
en Esencia, el RID es el valor que asegura la unicidad entre los diferentes objetos en el directorio activo.
Un SID se verá así: S-1-5-32365098609486930-1029. Aquí 1029 es el RID que hace que un SID sea único, mientras que la serie larga de números es su nombre de dominio.
pero esto también puede llevar a conflictos. Digamos que creamos dos cuentas de usuario al mismo tiempo. Esto puede causar conflicto ya que existe la posibilidad de que ambos objetos tengan el mismo SID.,
para evitar este conflicto, el maestro RID asigna bloques de 500 a cada controlador de dominio. De esta manera, DC1 obtiene eliminaciones de 1 a 500, DC2 obtiene eliminaciones de 501 a 1.000, y así sucesivamente. Cuando un controlador de dominio se queda sin RID, se pone en contacto con el maestro RID y, a su vez, este maestro RID asigna otro bloque de 500.
Por lo tanto, RID master es responsable de procesar las solicitudes de grupos RID de DCs dentro de un solo dominio para garantizar que cada SID sea único.,
PDC emulator
PDC significa Primary Domain Controller y proviene de una época en la que solo había un controlador de dominio que tenía una copia de lectura y escritura del esquema. Los controladores de dominio restantes eran una copia de seguridad para este PDC. Así que, si quisieras cambiar una contraseña, tendrías que ir al PDC.
hoy en día, no hay más PDC. Pero algunas de sus funciones, como la sincronización de tiempo y la gestión de contraseñas, son asumidas por un controlador de dominio llamado emulador PDC.
veamos primero su administración de contraseñas.,
digamos que voy a un controlador de dominio y restablezco mi contraseña porque ha caducado. Luego me conecto a otra máquina para un sitio diferente y, digamos, se pone en contacto con un controlador de dominio diferente para la autenticación. Existe la posibilidad de que mi inicio de sesión falle porque el primer controlador de dominio puede no haber replicado mi cambio de contraseña a otros controladores.
un emulador PDC evita estas confusiones al ser el controlador para el restablecimiento de contraseñas. Por lo tanto, mi cliente se pondrá en contacto con el emulador de PDC cuando falle un inicio de sesión, para comprobar si hubo un cambio de contraseña., Además, todos los bloqueos de cuentas debido a contraseñas incorrectas se procesan en este emulador de PDC.
aparte de la administración de contraseñas, PDC emulator sincroniza el tiempo en un sistema empresarial. Esta es una funcionalidad importante porque la autenticación de anuncios utiliza un protocolo llamado kerberos para la seguridad. La tarea principal de este protocolo es garantizar que los paquetes de datos no se saquen de la red ni se manipulen mientras se transmiten.,
entonces, cuando hay una diferencia de cinco minutos o más entre un reloj del servidor y su sistema durante el proceso de autenticación, kerberos piensa que esto es un ataque y no lo autenticará.
bien, pero ¿cuál es el papel de un emulador de PDC aquí?
bueno, su sistema local sincroniza su tiempo con el controlador de dominio, y el controlador de dominio, a su vez, sincroniza su tiempo con el emulador de PDC. De esta manera, el emulador PDC es el reloj maestro para todos los controladores de dominio en su dominio.,
Microsoft
Cuando este controlador, su seguridad va abajo de algunas muescas y hace que las contraseñas vulnerables a los ataques.
maestro de infraestructura
la funcionalidad principal de un maestro de infraestructura es hacer referencia a todos los usuarios locales y referencias dentro de un dominio. Este controlador entiende la infraestructura general del dominio, incluyendo qué objetos están presentes en él.
es responsable de actualizar las referencias de objetos localmente y también se asegura de que esté actualizado en las copias de otros dominios., Maneja este proceso de actualización a través de un identificador único, posiblemente un SID.
Infrastructure master es similar a otra herramienta de anuncios llamada Global Catalog (GC). Este GC es como un índice que sabe dónde está todo, dentro de un active directory. El maestro de infraestructura, por otro lado, es una versión más pequeña de GC, ya que está restringido dentro de un solo dominio.
Ahora, ¿por qué es importante saber sobre GC aquí? Porque GC y infrastructure master no deben colocarse en el mismo controlador de dominio., Si lo hace, el maestro de infraestructura dejará de funcionar a medida que el GC obtenga prioridad.
en general, si solo tiene un controlador de dominio, esto no importará tanto. Pero, si tiene un bosque grande con varios controladores de dominio, la presencia tanto de GC como de infrastructure master causará problemas.
tomemos una situación aquí. Tenemos varios dominios que buscan un servidor GC. Dentro de un dominio, hacemos un cambio en la membresía del grupo y el maestro de infraestructura sabe acerca de este cambio., Pero no actualiza el servidor GC porque el cambio no se hizo a un grupo universal. Esto significa que existe la posibilidad de que su GC y su maestro de infraestructura no estén sincronizados y, a su vez, esto puede causar problemas de autenticación. Es por eso que asegúrese de tener un maestro de infraestructura o un GC para cada dominio, pero no ambos.
Resumen
Como se puede ver. Los roles FSMO previenen conflictos en un active directory y, al mismo tiempo, le brindan la flexibilidad para manejar diferentes operaciones dentro de active directory., Pueden dividirse ampliamente en cinco roles, de los cuales, los dos primeros son para todo el bosque, mientras que los tres restantes pertenecen a un dominio particular.
¿ha implementado roles FSMO en su organización? Por favor comparta sus pensamientos con nosotros.
crédito de Foto: Wikimedia