Escolar Documentos
Profissional Documentos
Cultura Documentos
1.1. Definio
Em uma rede do Microsoft Windows Server 2003, o servio de diretrio Active Directory proporciona a estrutura e as funes para organizar, administrar e controlar o acesso aos recursos de rede. Para implementar e administrar uma rede do Windows Server 2003, voc dever compreender o objetivo e a estrutura do Active Directory. O Active Directory tambm permite administrar de forma central a rede do Windows Server 2003. Esse recurso significa que possvel armazenar de forma central informaes sobre a empresa, por exemplo, informaes de usurios, grupos e impressoras, e que os administradores podem administrar a rede de um nico lugar. O Active Directory permite delegar o controle administrativo de seus objetos. Essa delegao permite que os administradores atribuam a um grupo determinado de administradores permisses administrativas especficas para objetos, como contas de usurios ou de grupos. O Active Directory o servio de diretrio de uma rede do Windows Server 2003. Um servio de diretrio armazena informaes sobre os recursos da rede e permite que os mesmos estejam acessveis aos usurios e aos aplicativos. Os servios de diretrio proporcionam uma forma coerente de nomear, descrever, localizar, obter acesso, administrar e proteger as informaes relativas aos recursos da rede.
1.2. A funcionalidade
O Active Directory oferece a funcionalidade de servio de diretrio para organizar, administrar e controlar de forma centralizada o acesso aos recursos de rede. Tambm faz com que a topologia fsica da rede e os seus protocolos passem despercebidos para que o usurio de uma rede possa ter acesso a qualquer recurso sem saber onde ele est ou como est conectado fisicamente rede. Um exemplo deste tipo de recurso uma impressora. O Active Directory est organizado em sees que permitem o armazenamento de uma grande quantidade de objetos. Dessa forma, possvel ampliar o Active Directory medida que a organizao cresce, permitindo que uma organizao que tenha um nico servidor com centenas de objetos se expanda e chegue a ter milhares de servidores e milhes de objetos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 2 |
Um servidor que executa o Windows Server 2003 armazena a configurao do sistema, as informaes dos aplicativos e as informaes sobre a localizao dos perfis de usurio no Active Directory. Em combinao com as diretivas de grupo, o Active Directory permite que os administradores controlem escritrios distribudos, servios de rede e aplicaes de um local central, ao mesmo tempo em que utilizam uma interface de administrao coerente. Alm disso, o Active Directory proporciona um controle centralizado do acesso aos recursos de rede, ao permitir que os usurios s iniciem a sesso uma nica vez para obter pleno acesso aos recursos atravs do Active Directory.
O Active Directory possibilita o armazenamento seguro de informaes sobre objetos na sua estrutura hierrquica lgica. Os objetos do Active Directory representam usurios e recursos como, por exemplo, os computadores e as impressoras. Alguns objetos podem funcionar como contineres para outros objetos. Compreendendo o objetivo e a funo desses objetos, voc poder realizar uma variedade de tarefas, incluindo a instalao, a configurao, a administrao e a resoluo de problemas do Active Directory.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 3 |
A estrutura lgica do Active Directory inclui os seguintes componentes: Objetos. Eles so os componentes bsicos da estrutura lgica. Classes de objeto. So os modelos de tipos de objetos que podem ser criados no Active Directory. Cada classe de objeto definida por um grupo de atributos que estabelece os valores que podem ser associados a um objeto. Cada objeto tem uma combinao nica de valores de atributos. Unidades Organizacionais Voc pode utilizar esses contineres de objetos para organizar outros objetos com propsitos administrativos. Organizando os objetos por Unidade Organizacional mais fcil localizar e administrar objetos. Voc tambm pode delegar autoridade para administrar as Unidades Organizacionais. Elas podem conter outras Unidades Organizacionais para simplificar a administrao de objetos. Domnios. So as unidades funcionais bsicas da estrutura lgica do Active Directory e, portanto, uma coleo de objetos administrativos definidos que compartilham, atravs de um banco de dados comum do diretrio, diretivas de segurana e relaes de confiana com outros Domnios. Os domnios oferecem as 3 funes a seguir: Um limite administrativo para os objetos Meios de administrar a segurana dos recursos compartilhados Uma unidade de replicao para os objetos rvores de domnio. So Domnios agrupados em estruturas hierrquicas. Quando um segundo domnio adicionado a uma rvore, ele convertido em Filho da rvore Raiz do Domnio. O domnio ao qual um Filho do Domnio adicionado chamado de Domnio Pai. O Domnio Filho pode ter seus prprios Domnios Filhos e seu nome combinado com o nome do seu Domnio Pai para formar o seu prprio nome exclusivo, o DNS (Domain Name System). Um exemplo seria corp.nwtraders.msft. Desse modo, uma rvore tem um Nome de Espao contnuo. Florestas. Uma Floresta uma instncia completa do Active Directory, e consiste em uma ou mais rvores. Em uma nica rvore de 2 nveis, recomendvel para a maioria das organizaes, todos os Domnios Filhos so filhos do Domnio Raiz da Floresta para formar uma rvore contgua. O primeiro domnio na floresta chamado de Domnio Raiz da Floresta e o nome desse domnio faz referncia floresta, por exemplo, nwtraders.msft. Por padro, as informaes no Active Directory s so compartilhadas dentro da floresta. Dessa forma, a segurana da floresta estar contida em uma nica instncia do Active Directory.
Em comparao com a estrutura lgica e os requisitos administrativos dos modelos, a estrutura fsica do Active Directory otimiza o trfego da rede, determinando como e quando ocorre a replicao e o trfego do logon. Para otimizar o uso da largura de banda da rede Active Directory, voc precisa entender a sua estrutura fsica.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 4 |
Os elementos da estrutura fsica do Active Directory so: Controladores de domnio. Estes computadores executam o Microsoft Windows Server 2003 ou o Windows 2000 Server e o Active Directory. Cada Controlador de Domnio realiza funes de armazenamento e replicao e, alm disso, oferece suporte a apenas um domnio. Para garantir uma disponibilidade contnua do Active Directory, cada domnio deve ter mais de um controlador de domnio. Sites do Active Directory Os sites so grupos de computadores conectados. Quando voc estabelece sites, os Controladores de Domnios que esto dentro de um mesmo site podem se comunicar com freqncia. Essa comunicao reduz ao mnimo o estado de latncia dentro do site, isso , o tempo necessrio para que uma modificao realizada em um Controlador de Domnio seja duplicada nos outros controladores de domnio. Voc cria sites para otimizar o uso da largura de banda entre controladores de domnio em diversos locais. Parties do Active Directory Cada Controlador de Domnio contm as seguintes parties do Active Directory: Parties de Domnio, que contm a replicao de todos os objetos neste domnio. Essa partio duplicada apenas para outros Controladores de Domnio do mesmo domnio. Partio de Configurao, que contm a topologia da floresta. A topologia registra todas as conexes dos Controladores de Domnio na mesma floresta. Partio de Esquema, que contm o esquema da floresta. Cada floresta tem um esquema de modo que a definio de cada classe do objeto seja constante. As parties de Configurao e Esquema de Parties so duplicadas para cada Controlador de Domnio na floresta. Opes de Partio de Aplicativos que contm os objetos relacionados segurana e so utilizados por um ou mais aplicativos. As parties de aplicativos so duplicadas em Controladores de Domnio especficos na floresta.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Dessa maneira, as modificaes no podem ocorrer em diversos lugares da rede ao mesmo tempo. O Active Directory usa o Single Master Replication para modificaes importantes, por exemplo, o acrscimo de um novo domnio ou modificaes no esquema da floresta.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 6 |
atualiza periodicamente o Nome Distinto e o SID, na referncia ao objeto para refletir as modificaes realizadas no objeto real, por exemplo, movimentos em e entre domnios ou a eliminao do objeto. Cada domnio na floresta contm seu prprio Emulador de PDC, Mestre RID e o Mestre de Infraestrutura.
Voc colocar as Funes de Mestre de Operaes em uma floresta quando implementar uma estrutura de floresta e domnio. As Funes de Mestre de Operaes s so transferidas quando feita uma modificao importante na estrutura do domnio. Essas modificaes incluem a desmontagem de um Controlador de Domnio que j teve uma funo e o acrscimo de um novo Controlador de Domnio que satisfaa melhor s operaes de uma funo especfica. A transferncia de Funes de Mestre de Operaes implica mover a funo de um Controlador de Domnio para outro. Para transferir funes, os dois Controladores de Domnio devem estar ativos e conectados rede. No ocorre nenhuma perda de dados quando voc transfere a Funo de Mestre de Operaes. O Active Directory duplica a Funo de Mestre de Operaes real para o novo Controlador de Domnio, assegurando que a nova Funo de Mestre de Operaes obter as informaes necessrias para essa funo. Essa transferncia utiliza o mecanismo da replicao do diretrio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Um servio de diretrio um depsito estruturado de informaes sobre pessoas e recursos em uma organizao. Em uma rede do Windows Server 2003, o servio de diretrio o Active Directory.
possvel funcionar como servio de sistema no-operacional O Active Directory no Modo de Aplicao (AD/AM) um novo recurso do Microsoft Active Directory e atua em cenrios de aplicativos em diretrios. O AD/AM funciona como servio de Sistema No-Operacional e, como tal, no exige instalao em um Controlador de Domnio. Executar servios de Sistema No-Operacional significa que mltiplas instncias de AD/AM podem funcionar simultaneamente em um nico servidor, sendo cada instncia configurvel de forma independente. Para obter mais informaes sobre o ADAM (Modo de Aplicativo do Active Directory): http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O esquema do Active Directory contm as definies de todos os objetos, como, por exemplo, usurios, computadores e impressoras armazenados no Active Directory. Nos Controladores de Domnio que executam o Windows Server 2003, s existe um esquema para toda a floresta. Dessa forma, todos os objetos criados no Active Directory seguem as mesmas regras. O Esquema tem dois tipos de definies: classes de objeto e atributos. Um exemplo de Classes de Objeto so os usurios, o computador e a impressora, que descrevem os objetos que podem ser criados no diretrio. Cada Classe de Objeto uma coleo de atributos. Os atributos so definidos separadamente das Classes de Objeto. Cada atributo definido somente uma vez e pode ser utilizado em vrias Classes de Objeto. Por exemplo, o atributo da descrio utilizado em vrias Classes de Objetos, mas s definido uma nica vez no Esquema para garantir a consistncia. Voc tambm pode criar novos tipos de objetos no Active Directory estendendo o Esquema. Por exemplo, para um aplicativo de Servidor de E-mail, possvel ampliar a Classe de Usurio no Active Directory com atributos de diretrio que contenham informaes adicionais, como o endereo e o e-mail dos usurios. Nos Controladores de Domnio do Windows Server 2003, voc pode reverter modificaes de esquema desativando-os e permitindo que as organizaes; desta forma, melhorem o uso dos recursos de extenso do Active Directory. Tambm possvel redefinir uma classe ou atributo do Esquema, por exemplo, modificar a sintaxe da seqncia de Unicode do atributo chamado Gerenciador de Vendas para um Nome Distinto.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O Catlogo Global um repositrio de informaes que contm um subconjunto de atributos de todos os objetos no Active Directory. Os membros do grupo Administradores de Esquema podem modificar os atributos armazenados no Catlogo Global, dependendo das necessidades da organizao. O Catlogo Global contm: Os atributos utilizados com mais freqncia em consultas, por exemplo, nome, sobrenome e nome de logon dos usurios. As informaes necessrias para determinar as localizaes de qualquer objeto no diretrio. Um subconjunto padro dos atributos de cada tipo de objeto. As permisses de acesso para cada objeto e atributos armazenados no Catlogo Global. Se voc estiver pesquisando um objeto e no tiver permisso apropriada para v-lo, o objeto no aparecer nos resultados da pesquisa. As permisses de acesso garantem que os usurios s localizem os objetos aos quais eles tm acesso. O Servidor de Catlogo Global um Controlador de Domnio que processa de forma eficiente consultas entre florestas do Catlogo Global. O primeiro Controlador de Domnio que voc cria no Active Directory automaticamente convertido em Servidor de Catlogo Global. Voc pode configurar Servidores de Catlogo Global adicionais para equilibrar o trfego para logon e consultas. O Catlogo Global permite que os usurios realizem duas funes importantes: Pesquisar informaes no Active Directory em toda a floresta, independente da localizao dos dados. Usar informaes de associao do Grupo Universal no processo de logon na rede. Os servidores de catlogo global duplicam seu contedo em um esquema de replicao. At o Windows 2000, essas duplicaes eram do tipo sincronizao total, mas a partir do Windows Server 2003 possvel fazer a sincronizao de modo parcial, ou seja, replicando as modificaes apenas, em vez de enviar o catlogo completo. Para poder utilizar esse novo recurso do Windows Server 2003, voc pode ter o nvel de funcionalidade do modo Windows 2000 ou Windows Server 2003, mas s podem ser feitas duplicaes parciais entre os servidores de Catlogo Global que executam o Windows Server 2003.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O LDAP utiliza um nome que representa objetos no Active Directory por uma srie de componentes relacionados com a sua estrutura lgica. Essa representao chamada Nome Distinto do objeto e identifica o domnio onde est localizado o objeto e a trajetria completa at chegar a ele. O Nome Distinto deve ser nico na floresta Active Directory. O Nome Distinto Relativo de um objeto o identifica de modo nico no seu continer. Dois objetos no mesmo continer no podem ter o mesmo nome. O Nome Distinto Relativo sempre o primeiro componente do Nome Distinto, mas pode no ser sempre um Nome Comum. Para uma usuria chamada Suzan Fine da Unidade Organizacional Sales (Vendas) no domnio Contoso.msft, cada elemento da estrutura lgica est representando no seguinte nome distinto: CN=Suzan Fine,UO=Sales,DC=contoso,DC=msft CN o Nome Comum do objeto no seu continer. UO a Unidade Organizacional que contm o objeto. Pode haver mais de um valor de UO se o objeto residir em uma Unidade Organizacional aninhada em mais nveis. DC o Componente do Domnio, por exemplo, .com. ou .msft.. Sempre h, pelo menos, dois Componentes de Domnio, mas pode haver mais se o domnio for um domnio filho. Os componentes de domnio dos Nomes Distintos baseiam-se no Domain Name System (DNS).
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 11 |
A tabela a seguir descreve os snap-ins administrativos comuns para administrao do Active Directory. Snap-in Usurios e computadores do Active Directory Descrio um Microsoft Management Console (MMC) utilizado para administrar e publicar informaes no Active Directory. Voc pode administrar as contas de usurio, grupos e contas de computador, adicionar computadores ao domnio, administrar diretivas de contas, direitos de usurio e diretivas de auditoria. um MMC utilizado para administrar Relaes de Confianas de Domnio e Relaes de Confianas de Floresta, adicionar sufixos de nome principal de usurio e modificar nveis de funcionamento de domnios e floresta. Os Sites e Servios do Active Directory so um MMC que voc utiliza para administrar a replicao do diretrio. um MMC utilizado para administrar o esquema. No est disponvel por padro no menu. Voc deve adicion-las manualmente.
Domnios e Relaes de Confianas do Active Directory Esquema do Active Directory Ferramentas Administrativas
A tabela seguinte descreve as ferramentas de linha de comando para utilizar quando se quer administrar o Active Directory. Ferramenta Dsadd Descrio Adiciona objetos ao Active Directory, como computadores, usurios, grupos, unidades organizacionais e contatos. Modifica objetos no Active Directory, como computadores, servidores, usurios, grupos, unidades organizacionais e contatos. Executa consultas no Active Directory segundo critrios especificados. Voc pode executar consultas em servidores, computadores, grupos, usurios, sites, unidades organizacionais e parties. Move objetos dentro de um domnio para uma nova localizao no Active Directory ou renomeia um nico objeto sem mov-lo. Exclui um objeto do Active Directory. Mostra atributos selecionados de um computador, contato, grupo, unidade organizacional, servidor ou usurio do Active Directory. Importa e exporta dados do Active Directory usando formato separado por vrgulas. Cria, modifica e exclui objetos do Active Directory. Tambm pode estender o Esquema do Active Directory e exportar informaes de usurios e grupos para outros aplicativos ou servios.
Dsmod
Dsquery
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 12 | 3. Instalao do Active Directory: 3.1. Requisitos para instalar o Active Directory
Antes de instalar o Active Directory, voc deve garantir que o computador esteja preparado para ser um Controlador de Domnio, cumprindo requisitos de hardware e do sistema operacional. Alm disso, o Controlador de Domnio dever ter acesso ao servidor de DNS, que deve cumprir determinados requisitos para oferecer suporte integrao com o Active Directory. A lista a seguir identifica os requisitos para a instalao do Active Directory: Um computador executando o Microsoft Windows Server 2003 Standard Edition, Enterprise Edition ou Datacenter Edition. O Windows Server 2003 Web Edition no oferece suporte ao Active Directory. Um mnimo de 250 megabytes (MB) de espao no disco. 200 MB para o banco de dados do Active Directory e 50 MB para o log de transaes do Active Directory. Os requisitos de tamanho do arquivo para a base do Active Directory e os arquivos de registro, dependem do nmero e do tipo de objetos no domnio. Ser necessrio ter espao de disco adicional se o Controlador de Domnio tambm for Servidor de Catlogo Global. Uma partio ou um volume com formato NTFS e com sistema de arquivos. A partio NTFS exigida para a pasta SYSVOL. Os privilgios administrativos necessrios para criar um domnio em uma rede existente do Windows Server 2003. TCP/IP instalado e configurado para utilizar o DNS. Um Servidor DNS de autorizao para o Domnio de DNS e suporte para os requisitos enumerados na tabela seguinte. Registros de Recursos do Servidor (Obrigatrio) Recursos Localizador de Servio (SRV). So registros de DNS que identificam os servios especficos oferecido nos computadores de uma rede do Windows Server 2003. O Servidor DNS que oferece suporte instalao do Active Directory precisa de suporte a Registros de Recursos de Servidor. Caso contrrio, voc deve configurar o DNS localmente durante a instalao do Active Directory ou configurar o DNS manualmente aps a instalao do Active Directory. Atualizaes Dinmicas (Opcionais). A Microsoft recomenda que os servidores DNS tambm permitam atualizaes dinmicas. O protocolo dinmico de atualizao permite que os servidores e os clientes em um ambiente DNS adicionem e atualizem o banco de dados do DNS automaticamente, o que diminui os esforos administrativos. Se voc utilizar software DNS que oferece suporte aos Registros de Recursos de Servidor, mas que no oferece suporte ao protocolo dinmico de atualizao, preciso inserir os Registros de Recursos de Servidor manualmente no banco de dados DNS. Transferncias de zona incremental (Opcional) Em uma transferncia de zona incremental, as modificaes realizadas em uma zona no Servidor de DNS Mestre devem ser duplicadas nos servidores DNS
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 13 |
secundrios dessa zona. As transferncias incrementais da zona so opcionais, mas so recomendveis porque economizam largura de banda da rede, duplicando apenas os registros novos ou modificados entre os Servidores DNS, em vez do arquivo do banco de dados inteiro da zona.
O processo de instalao realiza as seguintes tarefas: Inicia o protocolo de autenticao Kerberos verso 5 Aplica a diretiva de Autoridade de Segurana Local (LSA). Essa configurao indica que o servidor um Controlador de Domnio. Cria as parties do Active Directory. Uma partio do diretrio uma parte do Espao de Nomes do Diretrio. Cada partio do diretrio contm uma hierarquia ou sub-rvore dos objetos do diretrio na rvore de diretrios. Durante a instalao, foram criadas as seguintes parties no primeiro controlador de domnio da floresta. Partio de Diretrio do Esquema Partio de Diretrio de Configuraes Partio de Diretrio de Domnios Zona DNS da Floresta Partio de Zona de DNS do Domnio
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 14 |
Depois as parties so atualizadas atravs da replicao, em cada um dos Controladores de Domnio criados de forma subseqente na floresta. Cria o banco de dados e os logs do Active Directory. A localizao padro do banco de dados e dos arquivos de logs systemroot\Ntds. Cria o domnio raiz da floresta. Se o servidor for o primeiro Controlador de Domnio na rede, o processo de instalao cria o Domnio de Raiz de Floresta e atribui as Funes de Mestre de Operaes ao Controlador de Domnio, incluindo: Emulador de Controle de Domnio Primrio (PDC) Mestre de Operaes de Identificador Relativo (RID) Mestre de Nomeao de Domnio Mestre de Esquema Mestre de Infra-estrutura Cria a pasta compartilhada do volume do sistema. Essa estrutura de pastas reside em todos os Controladores de Domnio do Windows Server 2003 e contm as seguintes pastas: A pasta compartilhada SYSVOL, que contm informaes de Diretiva de Grupo. A pasta compartilhada de Logon de Rede, que contm os scripts de logon para computadores que no executam o Windows Server 2003. Configura propriedade ao site apropriado para o Controlador de Domnio. Se o IP do servidor que voc est promovendo a Controlador de Domnio estiver em uma sub-rede definida no Active Directory, o assistente colocar o Controlador de Domnio no site associado com a sub-rede. Se no for definido nenhum objeto de sub-rede ou se o IP do servidor no estiver dentro do intervalo da sub-rede do Active Directory, o servidor ser colocado no Primeiro Site Padro. O primeiro site instalado automaticamente quando voc cria o primeiro Controlador de Domnio na floresta. O assistente de instalao do Active Directory cria um servidor de objeto do Controlador de Domnio no site apropriado. O servidor de objetos contm as informaes necessrias para a replicao e tambm contm uma referncia ao objeto do computador nos Controladores de Domnio OU, indicando que o Controlador de Domnio est sendo criado. Aplica segurana no Servio de Diretrio e nas Pastas de Replicao de Arquivo Isso implica controlar o acesso de usurio a objetos do Active Directory. Aplica a senha conta do administrador. Voc utiliza a conta para iniciar o Controlador de Domnio no Modo de Restaurao de Servios de Diretrio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 15 |
Para criar o Domnio Raiz da Floresta, voc deve seguir os passos abaixo: 1. Clique em Iniciar e depois em Executar e escreva dcpromo. Em seguida, pressione Enter. O assistente verificar: Se o usurio validado membro do grupo de administradores locais. Se o computador est executando um sistema operacional que oferea suporte ao Active Directory. Se foi realizada uma instalao ou remoo de uma verso anterior do Active Directory sem reiniciao do computador, ou se no h uma instalao ou uma retirada do Active Directory em andamento. Se qualquer uma dessas quatro verificaes falhar, uma mensagem de erro aparecer e voc sair do assistente. Na pgina Bem-vindo, clique em Avanar. Na pgina Compatibilidade do Sistema operacional, clique em Avanar. Na pgina Tipo de Controlador de domnio, clique em Controlador de domnio para um novo domnio, e depois clique em Avanar. Na pgina Criar novo domnio, clique no Domnio em uma nova floresta e depois em Avanar. Na pgina Novo nome de domnio, insira o Nome do DNS para o novo domnio (nwtraders.msft) e depois clique em Avanar. Na pgina Nome de domnio NetBIOS verifique o Nome NetBIOS (NWTRADERS) e depois clique em Avanar. O nome NetBIOS identifica o domnio nos computadores de cliente executando verses anteriores do Windows e do Windows NT. O assistente verifica se o nome NetBIOS nico. Se no for, ele pedir para que voc modifique o nome. Na pgina Pastas do banco de dados e log, especifique a localizao em que deseja instalar as pastas do banco de dados e dos logs. Em seguida, clique em Avanar. Na pgina Volume de Sistema Compartilhado, especifique o local onde voc deseja instalar a pasta SYSVOL ou clique em Procurar... para escolher um local e depois clique em Avanar. Na pgina Diagnstico de registro de DNS verifique se h um servidor DNS de autorizao para essa floresta; se necessrio, clique em Instalar e configurar o servidor DNS neste computador e definir este computador para usar o servidor DNS como seu servidor DNS, e depois clique em Avanar. Na pgina Permisses, especifique se foram atribudas permisses padro aos objetos de usurio e grupo compatveis com os servidores que executam verses anteriores do Windows ou do Windows NT, ou somente com os servidores do Windows Server 2003. Quando for perguntado, especifique a senha para o modo de restaurao dos servios de. Os controladores de domnio do Windows Server 2003 mantm uma verso pequena do banco de dados de contas do Microsoft Windows NT 4.0. A nica conta nesse banco de dados a conta do administrador e ela exigida para autenticao quando o computador ligado no Modo Directory Services Restore porque o Active Directory no iniciado deste modo. Reveja a pgina Sumrio e depois clique em Avanar para comear a instalao. Quando solicitado, reinicie o computador.
2. 3. 4. 5. 6. 7.
8. 9. 10.
11. 12.
13. 14.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 16 | 3.2.2 Exerccio 2 (Opcional): Como adicionar um Controlador de Domnio adicional?
Para concluir esse exerccio, voc precisar de dois computadores ou dois PCs Virtuais, com um Controlador de Domnio instalado (Exerccio 1) e um Windows Server 2003. O procedimento semelhante criao de um novo Controlador de Domnio, com exceo de que preciso selecionar na primeira tela do assistente a opo Adicionar controlador de domnio adicional para um domnio. O restante do processo pode ser realizado de duas formas: 1. Atravs da rede: Se voc tiver uma grande quantidade de objetos, essa opo exige uma conexo com largura de banda ou tempo suficientes para a replicao inicial. 2. Duplicar a partir da mdia: Essa nova caracterstica do Windows Server 2003 permite realizar a replicao inicial por meio de um backup, da seguinte forma: Primeiro faa um backup do Estado do Sistema no Controlador de Domnio existente. Em seguida, envie esse backup para o computador de destino. No computador de destino, realize a operao de restaurao em um outro local (Escolha uma pasta, por exemplo: C:\NTDSRestore) Por ltimo, execute o assistente dcpromo /adv O assistente lhe permitir selecionar a opo A partir da mdia
3.3.
Voc poder trocar o sufixo de DNS Primrio de um Controlador de Domnio quando renomeia o Controlador de Domnio. No entanto, ao modificar o sufixo do DNS Primrio, no mova o Controlador de Domnio para um novo domnio do Active Directory. Por exemplo, se voc renomear dc2.nwtraders.msft para dc1.contoso.msft, o computador continua sendo um Controlador de Domnio do nwtraders.msft, embora seu sufixo de DNS primrio seja contoso.msft. Para mover um Controlador de Domnio para outro domnio, voc deve primeiro rebaixar o Controlador de Domnio e depois promov-lo no novo domnio. Obtenha informaes sobre a instalao do Active Directory http://support.microsoft.com/default.aspx?scid=kb;en-us;324753 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
5.1. Introduo
No Windows Server 2003, a funcionalidade de floresta e domnio proporciona uma maneira de permitir os novos recursos em toda a floresta ou domnio do Active Directory no seu ambiente de rede. Diversos nveis da funcionalidade da floresta e do domnio esto disponveis, dependendo do seu ambiente de rede.
5.3.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 20 |
Relaes de confiana entre florestas Replicao melhorada Importante: Voc no pode rebaixar o nvel funcional do domnio ou da floresta depois que ele tiver sido elevado.
5.4.
5.4.1
Introduo
Alm dos recursos bsicos do Active Directory nos Controladores de Domnio individuais, os novos recursos em toda a floresta (forest-wide) e em todo o domnio (domain-wide) esto disponveis quando determinadas condies so cumpridas. Para ativar os novos recursos de todo o domnio, todos os Controladores de Domnio no domnio devem executar o Windows Server 2003, e o nvel funcional do domnio deve ser elevado para o Windows Server 2003. Voc precisa ser administrador do domnio para elevar o nvel funcional do domnio. Para ativar os novos recursos de toda a floresta, todos os Controladores de Domnio na floresta devem executar o Windows Server 2003, e o nvel funcional da floresta deve ser elevado ao Windows Server 2003. Voc precisa ser administrador Enterprise para elevar o nvel funcional da floresta. Para obter mais informaes sobre os nveis de funcionalidade: http://support.microsoft.com/default.aspx?scid=kb;en-us;322692
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 21 |
3. Selecione o nvel funcional do Windows Server 2003 na caixa Selecione um nvel funcional de domnio disponvel e depois clique em Aumentar.
Para elevar o nvel funcional da floresta, preciso executar os passos a seguir: 1. 2. Na ferramenta Domnios e Relaes de Confianas do Active, no console, clique com o boto direito do mouse em Active Directory Domains and Trusts, e depois clique em Aumentar nvel funcional da floresta. Na caixa Selecione um nvel funcional de floresta disponvel, selecione Windows Server 2003 e depois clique em Aumentar.
Nota: Voc deve elevar o nvel funcional de todos os domnios em uma floresta ao Windows 2000 nativo ou mais alto, antes de elevar o nvel funcional da floresta.
6.1. Introduo
O Windows Server 2003 suporta confianas entre florestas que permite que os usurios na floresta tenham acesso a recursos em outra floresta. Quando um usurio tenta obter acesso a um recurso em uma floresta confivel, o Active Directory primeiro localizar o recurso. Depois de localizar o recurso, o usurio poder ser autenticado e ter acesso ao recurso. Entender como este processo funciona o ajudar a identificar problemas que possam se apresentar com confianas entre florestas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 22 |
um controlador de domnio no vancouver.nwtraders.msft e solicita um solicitao de servio usando o SPN do computador, onde reside o recurso. Um SPN pode ser o nome DNS de um host ou domnio ou pode ser o Nome Distinto de um Objeto de Ponto de Conexo do Servio. O recurso no est em vancouver.nwtraders.msft e o Controlador de Domnio de vancouver.nwtraders.msft faz consultas no Catlogo Global para ver se o recurso est situado em outro domnio da floresta. Considerando que o Catlogo Global contm apenas informaes sobre sua prpria floresta, ele no encontra o SPN. O Catlogo Global testa seu banco de dados para saber se h informaes sobre relaes de confianas de floresta estabelecidas com a sua floresta. Se o Catlogo Global encontrar uma, compare os sufixos de nome que esto listados na confiana da floresta TDO com o sufixo de destino SPN. Se encontrar um ponto em comum, o Catlogo Global fornece as informaes de encaminhamento sobre como localizar o recurso ao Controlador de Domnio em vancouver.nwtraders.msft. O Controlador de Domnio em vancouver.nwtraders.msft envia uma referncia para seu domnio Pai nwtraders.msft, no computador do usurio. O computador do usurio entra em contato com o Controlador de Domnio nwtraders.msft pela referncia ao Controlador de Domnio do Domnio da Floresta Raiz da floresta contoso.msft. Usando a referncia do Controlador de Domnio em nwtraders.msft, o computador entra em contato com o controlador de domnio na floresta contoso.msft para solicitar uma permisso de servio. O recurso no est situado no Domnio da Floresta Raiz da floresta contoso.msft e, por isso, o Controlador de Domnio entra em contato com seu Catlogo Global para pesquisar o SPN. O Catlogo Global busca o SPN e o envia ao Controlador de Domnio. O Controlador de Domnio envia a referncia seattle.contoso.msft ao computador do usurio. O computador do usurio entra em contato com o KDC no controlador de domnio em seattle.contoso.msft e negocia a permisso para acesso do usurio ao recurso no domnio seattle.contoso.msft. O computador envia a permisso de servio do servidor ao computador onde est o recurso compartilhado e onde so lidas as credenciais de segurana do usurio e criado o token de acesso que permite o acesso do usurio ao recurso.
2.
3. 4. 5. 6. 7. 8. 9.
Nota: Lembre-se de que para poder utilizar esse novo recurso, preciso ter as duas florestas no nvel funcional do Windows Server 2003. As relaes de confianas entre florestas no Windows Server 2003 lhe permitem validar os usurios usando o Kerberos v5, utilizando a segurana prpria do protocolo. Tambm permitido que as confianas transitem entre duas florestas, e no em mltiplas florestas. Por exemplo: A floresta A estabeleceu uma confiana com a floresta B, e todos os domnios nas duas florestas podem utilizar essa confiana. No entanto, se, por sua vez, a floresta B tem uma confiana na floresta C, no existe nenhum tipo de relao entre a floresta A e a floresta C. Para obter mais informaes sobre relaes de confiana: http://support.microsoft.com/default.aspx?scid=kb;en-us;325874 http://support.microsoft.com/default.aspx?scid=kb;en-us;816101
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 24 |
Convergncia. Cada atualizao no Active Directory propagada a todos os Controladores de Domnio no site que contm a partio na qual a atualizao foi realizada. Essa propagao completa chamada de convergncia. Propagation dampening. O processo de evitar uma replicao desnecessria. Cada Controlador de Domnio atribui a cada modificao de atributo ou objeto um Nmero de Seqncia de Atualizao (USN) para evitar a replicao desnecessria. Conflitos. Quando atualizaes simultneas originadas em dois mestres de replicaes diferentes so inconsistentes, podem ocorrer conflitos. O Active Directory resolve trs tipos de conflitos: atributo, contineres eliminados e conflitos de Nome Distinto Relativo (RDN). Carimbo global nico. O Active Directory mantm um carimbo que contm o nmero da verso, carimbo de hora, e identificador global exclusivo (GUID) de servidor que o Active Directory criado durante a atualizao originaria.
7.2.
7.3.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 25 |
Quando voc adiciona Controles de Domnio a um site, o Active Diretory usa o Knowledge Consistency Checker (KCC) para estabelecer um caminho de replicao entre os Controladores de Domnio. O KCC um processo que funciona em cada Controlador de Domnio e gera a topologia da replicao para todas as parties do diretrio contidas nesse Controlador de Domnio. O KCC executado em intervalos especficos, a cada 15 minutos por padro, e define os caminhos de replicao entre Controladores de Domnio nas conexes mais favorveis disponveis no momento. Este processo foi melhorado com relao ao processo do Windows 2000, fazendo com que essa nova caracterstica elimine a limitao existente de um mximo de 500 sites no Active Directory. Atualmente j foram testados at 3000 sites e o suporte mximo de 5000 sites. Nota: Para aproveitar essa caracterstica, voc deve ter a floresta no nvel funcional do Windows Server 2003 ou do Windows Server 2003 Interim.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 26 |
Voc utiliza sites para controlar o trfego de replicaes, o trfego de logins e as consultas do cliente ao Servidor de Catlogo Global.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Para criar um objeto de sub-rede, voc deve seguir os passos abaixo: 1. Em Sites e Servios do Active Directory, no console, clique duas vezes em Sites, clique com o boto direito em Sub-redes e depois clique em Nova Sub-rede. 2. Na caixa Endereo, insira o endereo IP da sub-rede. 3. Na caixa Mscara, insira a mscara de sub-rede que descreve o intervalo de endereos da sub-rede. 4. Selecione o site para associar sub-rede e depois clique em OK.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Fazer o backup do Active Directory essencial para manter o banco de dados do Active Directory. Voc pode fazer o backup do Active Directory usando uma interface de usurio grfica (GUI) e ferramentas de linha de comando fornecidas pelo Windows Server 2003. Voc deve com freqncia fazer backup dos dados do Estado do Sistema nos Controladores de Domnio para que seja possvel restaurar os dados mais atuais. Estabelecendo um cronograma regular de backup, voc tem mais chances de recuperao de dados quando necessrio. Os Dados de Estado do Sistema no Controlador de Domnio incluem os seguintes componentes: Active Directory Os Dados do Estado do Sistema no contm o Active Directory, a menos que o servidor no qual voc est fazendo backup dos Dados de Estado do Sistema seja um Controlador de Domnio. O Active Directory s est presente nos Controladores de Domnio. A pasta compartilhada SYSVOL. Esta pasta compartilhada contm arquivos de Diretivas de Grupo e scripts de login. A pasta compartilhada SYSVOL est presente somente em controladores de domnio. O registro. Este repositrio de banco de dados contm as informaes sobre a configurao dos computadores. Arquivos de inicializao do sistema. O Windows Server 2003 exige esses arquivos durante sua fase de inicializao. Eles incluem os arquivos do sistema e inicializaes que esto protegidos pela proteo do arquivo do Windows. O banco de dados COM+ Registro de Classe. O banco de dados do Registro de Classe contm informaes sobre aplicativos de Servios de Componente. O banco de dados dos Servios de Certificado. Este banco de dados contm os certificados do servidor que o
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 29 |
Windows Server 2003 utiliza para autenticar usurios. Esse banco s est presente se o servidor estiver funcionando como servidor de certificados. Para realizar a operao de backup, voc pode utilizar a ferramenta prevista pelo Windows Server 2003: 1. 2. 3. 4. 5. 6. 7. 8. Clique em Backup no menu Iniciar, Todos os Programas, Acessrios, Ferramentas do Sistema. Clique em Avanar na pgina Bem-vindo ao Assistente de Backup ou Restaurao. Na pgina Faa backup ou restaure, clique em Fazer backup de arquivos e confguraes e depois clique em Avanar. Na pgina Backup, clique em Eu escolherei os itens para backup e depois clique em Avanar. Na pgina Itens para backup, expanda Meu computador, selecione Estado do Sistema, e depois clique em Avanar. Na pgina Tipo, destino e nome do backup, clique em Procurar, selecione um local para backup, clique em Salvar e depois clique em Avanar. Na pgina Concluindo o Assistente para backup ou restaurao, clique em Concluir. Aps o backup ser realizado, na pgina Progresso do Backup clique em Fechar.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 30 |
Voc pode utilizar um dos trs mtodos para restaurar o Active Directory de meios de backup: restaurao primria, restaurao normal (sem autoridade) e restaurao com autoridade. 1. Restaurao primria. Este mtodo reconstri o primeiro controlador de domnio no domnio quando no h outra maneira de reconstruir o domnio. Faa uma restaurao primria somente quando todos os controladores de domnio em um domnio estiverem perdidos e voc quiser reconstruir o domnio usando o backup. Restaurao Normal. Este mtodo reinstala os dados do Active Directory no estado antes do backup e atualiza os dados com o processo normal de replicao. Realize uma restaurao normal quando quiser restaurar um nico controlador de domnio a um estado previamente conhecido. Restaurao com autoridade. Voc executa esse mtodo junto com uma restaurao normal. Uma restaurao com autoridade marca os dados especficos e evita que a replicao substitua esses dados. Os dados autorizados so replicados atravs do domnio.
2.
3.
Para realizar uma restaurao primria do Active Directory, siga os passos abaixo: 1. 2. 3. 4. 5. 6. 7. 8. 9. Reinicie seu controlador de domnio no Modo Restaurao do Servio de Diretrio. Inicie o utilitrio de Backup. Clique em Modo Avanado na pgina Bem-vindo ao Assistente para Backup ou Restaurao. Na pgina Bem-vindo ao modo avanado do utilitrio de backup, em Restaurar e gerenciar mdia, selecione o que deseja restaurar e depois clique em Iniciar Restaurao. Clique em Cuidado e depois em OK. Na caixa Confirmar Restaurao, clique em Avanado. Na caixa Opes Avanadas de Restaurao clique em Ao restaurar dados replicados, marcar os conjuntos de dados como primrios para todas as replicaes e depois clique em OK duas vezes. Na caixa Progresso da Restaurao, clique em Fechar. Na caixa Utilitrio de Backup, clique em Sim.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.