Antes de responder, veamos cuáles son los roles FSMO y sus niveles de alcance:
FSMO Role |
Alcance |
Funcion y requerimientos |
Maestro de Esquema
(Schema Master)
|
Organización |
-
Lleva el control de las actualizaciones que se producen en el esquema de Active Directory.
-
El servicio debe estar disponible cuando debamos hacer una modificación del esquema, por ejemplo al ejecutar adprep /forestprep, al instalar exchange o para introducir controladores de dominio.
-
Debe haber uno por bosque.
|
Domain naming master
(Maestro de nombres de dominio)
|
Organización |
-
Es responsable de controlar si se gregan o eliminan dominios al bosque.
-
Si tenemos un problema agregando o eliminando un nuevo dominio del bosque, es uno de los primeros puntos que debemos revisar.
-
Debe haber uno por bosque.
|
RID master
(Maestro de identificadores relativos)
|
Dominio |
-
Es el encargado de suministrar de bloques de RID activos y de reserva a los controladores de dominio del mismo dominio
-
Debe estar disponible cuando un controlador entra en funcionamiento y cuando necesite actualizar su bloque de RIDs.
-
Debe haber uno por dominio.
|
PDC emulator
(Emulador de PDC)
|
Dominio |
-
Recibe y procesa los cambios de contraseñas de los usuarios y de las máquinas.
-
Es consultado por los controladores de dominio réplica cuando estos reciben solicitudes de autenticación con claves que no concuerdan.
-
Los cambios de las GPOs se realizan por defecto en el controlador que tenga este rol.
-
Debe estar disponible las 24 horas del día.
-
Debe haber uno por dominio.
|
Infrastructure master
(Maestro de infraestructura)
|
Dominio |
-
Actualiza referencias y objetos fantasma del catálogo global en ambientes de múltiples dominios.
-
Debe haber uno por dominio
|
Cuando promueves el primer controlador de dominio del bosque, este por defecto tendrá los 5 roles FSMO.
Si creas otro dominio dentro del mismo bosque, el primer controlador de dominio de este nuevo dominio tendrá los 3 roles FSMO de dominio (domain-wide) y usará los otros 2 roles FSMO del controlador de dominio del dominio raíz.
Como recomendaciones generales:
-
A nivel de bosque, trata de mantener el Schema Master y el Domain Naming Master en el mismo controlador de dominio.
-
Adicionalmente el Domain Naming Master debe ser un catálogo global.
-
A nivel de dominio trata de mantener el RID y el PDC en el mismo controlador de dominio.
-
El rol de Infraestructura debe estar separado del rol de catálogo global (esto aplica únicamente si tienes varios dominios, de lo contrario pueden estar juntos). En un bosque que tiene un único dominio, no hay objetos fantasma, por lo tanto el rol de infraestructura no tiene nada que hacer.