TechNet Brasil - Cap¡tulo 4 - Active Directory

Captulo 4 | Pgina 1 |
Captulo 4 Active Directory

1. Introduo
Durante este captulo, voc obter conhecimentos sobre os servios de diretrio (Active Directory Services) do Windows Server 2003, em particular, sobre alguns dos novos recursos deste servio. Para a realizao dos exerccios contidos nesta unidade, ser preciso instalar o Windows Server 2003 no exerccio 1 do captulo 2 e fazer uma instalao adicional. Ao finalizar este captulo, voc ser capaz de: Descrever as caractersticas do servio de diretrio Active Directory. Identificar estruturas lgicas e fsicas. Instalar e configurar o Active Directory na rede. Identificar caractersticas referentes replicao. Solucionar problemas do Active Directory.
1.1. Definio
Em uma rede do Microsoft Windows Server 2003, o servio de diretrio Active Directory proporciona a estrutura e as funes para organizar, administrar e controlar o acesso aos recursos de rede. Para implementar e administrar uma rede do Windows Server 2003, voc dever compreender o objetivo e a estrutura do Active Directory. O Active Directory tambm permite administrar de forma central a rede do Windows Server 2003. Esse recurso significa que possvel armazenar de forma central informaes sobre a empresa, por exemplo, informaes de usurios, grupos e impressoras, e que os administradores podem administrar a rede de um nico lugar. O Active Directory permite delegar o controle administrativo de seus objetos. Essa delegao permite que os administradores atribuam a um grupo determinado de administradores permisses administrativas especficas para objetos, como contas de usurios ou de grupos. O Active Directory o servio de diretrio de uma rede do Windows Server 2003. Um servio de diretrio armazena informaes sobre os recursos da rede e permite que os mesmos estejam acessveis aos usurios e aos aplicativos. Os servios de diretrio proporcionam uma forma coerente de nomear, descrever, localizar, obter acesso, administrar e proteger as informaes relativas aos recursos da rede.
1.2. A funcionalidade
O Active Directory oferece a funcionalidade de servio de diretrio para organizar, administrar e controlar de forma centralizada o acesso aos recursos de rede. Tambm faz com que a topologia fsica da rede e os seus protocolos passem despercebidos para que o usurio de uma rede possa ter acesso a qualquer recurso sem saber onde ele est ou como est conectado fisicamente rede. Um exemplo deste tipo de recurso uma impressora. O Active Directory est organizado em sees que permitem o armazenamento de uma grande quantidade de objetos. Dessa forma, possvel ampliar o Active Directory medida que a organizao cresce, permitindo que uma organizao que tenha um nico servidor com centenas de objetos se expanda e chegue a ter milhares de servidores e milhes de objetos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Um servidor que executa o Windows Server 2003 armazena a configurao do sistema, as informaes dos aplicativos e as informaes sobre a localizao dos perfis de usurio no Active Directory. Em combinao com as diretivas de grupo, o Active Directory permite que os administradores controlem escritrios distribudos, servios de rede e aplicaes de um local central, ao mesmo tempo em que utilizam uma interface de administrao coerente. Alm disso, o Active Directory proporciona um controle centralizado do acesso aos recursos de rede, ao permitir que os usurios s iniciem a sesso uma nica vez para obter pleno acesso aos recursos atravs do Active Directory.
1.3. Estrutura Lgica do Active Directory
O Active Directory possibilita o armazenamento seguro de informaes sobre objetos na sua estrutura hierrquica lgica. Os objetos do Active Directory representam usurios e recursos como, por exemplo, os computadores e as impressoras. Alguns objetos podem funcionar como contineres para outros objetos. Compreendendo o objetivo e a funo desses objetos, voc poder realizar uma variedade de tarefas, incluindo a instalao, a configurao, a administrao e a resoluo de problemas do Active Directory.
A estrutura lgica do Active Directory inclui os seguintes componentes: Objetos. Eles so os componentes bsicos da estrutura lgica. Classes de objeto. So os modelos de tipos de objetos que podem ser criados no Active Directory. Cada classe de objeto definida por um grupo de atributos que estabelece os valores que podem ser associados a um objeto. Cada objeto tem uma combinao nica de valores de atributos. Unidades Organizacionais Voc pode utilizar esses contineres de objetos para organizar outros objetos com propsitos administrativos. Organizando os objetos por Unidade Organizacional mais fcil localizar e administrar objetos. Voc tambm pode delegar autoridade para administrar as Unidades Organizacionais. Elas podem conter outras Unidades Organizacionais para simplificar a administrao de objetos. Domnios. So as unidades funcionais bsicas da estrutura lgica do Active Directory e, portanto, uma coleo de objetos administrativos definidos que compartilham, atravs de um banco de dados comum do diretrio, diretivas de segurana e relaes de confiana com outros Domnios. Os domnios oferecem as 3 funes a seguir: Um limite administrativo para os objetos Meios de administrar a segurana dos recursos compartilhados Uma unidade de replicao para os objetos rvores de domnio. So Domnios agrupados em estruturas hierrquicas. Quando um segundo domnio adicionado a uma rvore, ele convertido em Filho da rvore Raiz do Domnio. O domnio ao qual um Filho do Domnio adicionado chamado de Domnio Pai. O Domnio Filho pode ter seus prprios Domnios Filhos e seu nome combinado com o nome do seu Domnio Pai para formar o seu prprio nome exclusivo, o DNS (Domain Name System). Um exemplo seria corp.nwtraders.msft. Desse modo, uma rvore tem um Nome de Espao contnuo. Florestas. Uma Floresta uma instncia completa do Active Directory, e consiste em uma ou mais rvores. Em uma nica rvore de 2 nveis, recomendvel para a maioria das organizaes, todos os Domnios Filhos so filhos do Domnio Raiz da Floresta para formar uma rvore contgua. O primeiro domnio na floresta chamado de Domnio Raiz da Floresta e o nome desse domnio faz referncia floresta, por exemplo, nwtraders.msft. Por padro, as informaes no Active Directory s so compartilhadas dentro da floresta. Dessa forma, a segurana da floresta estar contida em uma nica instncia do Active Directory.
1.4. Estrutura fsica do Active Directory
Em comparao com a estrutura lgica e os requisitos administrativos dos modelos, a estrutura fsica do Active Directory otimiza o trfego da rede, determinando como e quando ocorre a replicao e o trfego do logon. Para otimizar o uso da largura de banda da rede Active Directory, voc precisa entender a sua estrutura fsica.
Os elementos da estrutura fsica do Active Directory so: Controladores de domnio. Estes computadores executam o Microsoft Windows Server 2003 ou o Windows 2000 Server e o Active Directory. Cada Controlador de Domnio realiza funes de armazenamento e replicao e, alm disso, oferece suporte a apenas um domnio. Para garantir uma disponibilidade contnua do Active Directory, cada domnio deve ter mais de um controlador de domnio. Sites do Active Directory Os sites so grupos de computadores conectados. Quando voc estabelece sites, os Controladores de Domnios que esto dentro de um mesmo site podem se comunicar com freqncia. Essa comunicao reduz ao mnimo o estado de latncia dentro do site, isso , o tempo necessrio para que uma modificao realizada em um Controlador de Domnio seja duplicada nos outros controladores de domnio. Voc cria sites para otimizar o uso da largura de banda entre controladores de domnio em diversos locais. Parties do Active Directory Cada Controlador de Domnio contm as seguintes parties do Active Directory: Parties de Domnio, que contm a replicao de todos os objetos neste domnio. Essa partio duplicada apenas para outros Controladores de Domnio do mesmo domnio. Partio de Configurao, que contm a topologia da floresta. A topologia registra todas as conexes dos Controladores de Domnio na mesma floresta. Partio de Esquema, que contm o esquema da floresta. Cada floresta tem um esquema de modo que a definio de cada classe do objeto seja constante. As parties de Configurao e Esquema de Parties so duplicadas para cada Controlador de Domnio na floresta. Opes de Partio de Aplicativos que contm os objetos relacionados segurana e so utilizados por um ou mais aplicativos. As parties de aplicativos so duplicadas em Controladores de Domnio especficos na floresta.
1.5. O que so Mestre de Operaes?
Captulo 4 | Pgina 5 | 1.5.1. Single Master Replication e MultiMaster Replication

Quando realizada uma modificao em um domnio, essa modificao duplicada em todos os seus controladores de domnio. Algumas modificaes, como as feitas no esquema, so duplicadas em todos os domnios na floresta. Este tipo de replicao chamado de Multimaster Replication. Durante a replicao multimaster, atualizaes simultneas no mesmo evitar conflitos de replicao, voc Controlador de Domnio como o nico possvel que ocorra um conflito de replicao que gere atributo do objeto e em dois Controladores de Domnio. Para pode utilizar Single Master Replication, que designa um onde possvel realizar modificaes de diretrio.
Dessa maneira, as modificaes no podem ocorrer em diversos lugares da rede ao mesmo tempo. O Active Directory usa o Single Master Replication para modificaes importantes, por exemplo, o acrscimo de um novo domnio ou modificaes no esquema da floresta.
1.5.2. Funes de Mestre de Operaes

As operaes que utilizam Replicao Mestre nica so realizadas junto com funes especficas na floresta ou no domnio. Essas funes se chamam Funes de Mestre de Operaes. Para cada Funo de Mestre de Operao, somente o Controlador de Domnio que tem a funo pode realizar as modificaes associadas ao diretrio. O Controlador de Domnio responsvel pela funo em particular chamado de Mestre de Operaes desta funo. O Active Directory, por sua vez, armazena as informaes sobre o Controlador de Domnio que executa uma funo especfica. As Funes de Mestre de Operaes so realizadas no nvel da floresta ou do domnio, e o Active Directory define cinco delas, que possuem uma localizao padro. As funes nicos na floresta so: Mestre de Esquema. Controla todas as atualizaes do esquema. O esquema contm a definio de objetos e atributos que so utilizados para criar todos os objetos do Active Directory, como usurios, computadores e impressoras. Mestre de Nomeao de Domnio Controla o acrscimo e a retirada de domnios da floresta. Quando se deseja adicionar um novo domnio floresta, apenas o Controlador de Domnio com a funo de Mestre de Nomeao de Domnio poder adicionar o novo domnio. S h um Mestre de Esquema e um Mestre de Nomeao de Domnio por floresta. As funes para cada domnio da floresta so: O emulador de controlador de domnio primrio (PDC). Atua como um PDC do Windows NT para oferecer suporte aos Backup Domain Controllers (BDCs) que executam o Microsoft Windows NT em domnios, de modo misto. Esse tipo de domnio tem Controlador de Domnio que executa o Windows NT 4.0. O emulador de PDC o primeiro Controlador de Domnio a ser criado em um novo domnio. Mestre de Identificador relativo. Quando se cria um novo objeto, o Controlador de Domnio cria um novo Objeto de Segurana que representa o objeto, atribuindo-lhe um Identificador de Segurana nico (SID). O SID consiste em um Domnio SID que igual para todos os Objetos de Segurana criados no domnio e um identificador relativo (RID), nico para cada objeto de segurana criado no domnio. O RID Mestre designa blocos de RIDs para cada Controlador de Domnio no domnio. O Controlador de Domnio designa o RID aos objetos criados do bloco designado dos RIDs. Mestre de Infra-estrutura. Quando os objetos so transferidos de um domnio para outro, a Infraestrutura Mestre atualiza as referncias ao objeto nesse e no outro domnio. A referncia do objeto contm o Object Globally Unique Identifier (GUID), o Nome Distinto e o SID. O Active Directory
atualiza periodicamente o Nome Distinto e o SID, na referncia ao objeto para refletir as modificaes realizadas no objeto real, por exemplo, movimentos em e entre domnios ou a eliminao do objeto. Cada domnio na floresta contm seu prprio Emulador de PDC, Mestre RID e o Mestre de Infraestrutura.
1.5.3. Transferncia de Funes de Mestre de Operaes
Voc colocar as Funes de Mestre de Operaes em uma floresta quando implementar uma estrutura de floresta e domnio. As Funes de Mestre de Operaes s so transferidas quando feita uma modificao importante na estrutura do domnio. Essas modificaes incluem a desmontagem de um Controlador de Domnio que j teve uma funo e o acrscimo de um novo Controlador de Domnio que satisfaa melhor s operaes de uma funo especfica. A transferncia de Funes de Mestre de Operaes implica mover a funo de um Controlador de Domnio para outro. Para transferir funes, os dois Controladores de Domnio devem estar ativos e conectados rede. No ocorre nenhuma perda de dados quando voc transfere a Funo de Mestre de Operaes. O Active Directory duplica a Funo de Mestre de Operaes real para o novo Controlador de Domnio, assegurando que a nova Funo de Mestre de Operaes obter as informaes necessrias para essa funo. Essa transferncia utiliza o mecanismo da replicao do diretrio.
Para obter informaes sobre o processo de transferncia: http://support.microsoft.com/default.aspx?scid=kb;en-us;324801
Captulo 4 | Pgina 7 | 2. O que o servio de diretrio?
Um servio de diretrio um depsito estruturado de informaes sobre pessoas e recursos em uma organizao. Em uma rede do Windows Server 2003, o servio de diretrio o Active Directory.
2.1. O Active Directory tem os seguintes recursos:

Permite que usurios e aplicativos tenham acesso a informaes sobre objetos. Essas informaes so armazenadas na forma de valores de atributos. Voc pode procurar objetos por classe, atributo, valor do atributo, localizao na estrutura do Active Directory ou qualquer combinao desses valores. Torna a topologia e os protocolos fsicos da rede transparentes. Dessa forma, um usurio em uma rede pode ter acesso a qualquer recurso, por exemplo, a uma impressora, sem saber onde est o recurso ou onde ele est conectado fisicamente com a rede. Ele permite o armazenamento de um nmero muito grande de objetos. Como organizado por parties, o Active Directory pode ser ampliado medida que a organizao cresce. Por exemplo, um diretrio pode ser ampliado de um nico servidor com alguns objetos para milhares de servidores e milhes de objetos.
possvel funcionar como servio de sistema no-operacional O Active Directory no Modo de Aplicao (AD/AM) um novo recurso do Microsoft Active Directory e atua em cenrios de aplicativos em diretrios. O AD/AM funciona como servio de Sistema No-Operacional e, como tal, no exige instalao em um Controlador de Domnio. Executar servios de Sistema No-Operacional significa que mltiplas instncias de AD/AM podem funcionar simultaneamente em um nico servidor, sendo cada instncia configurvel de forma independente. Para obter mais informaes sobre o ADAM (Modo de Aplicativo do Active Directory): http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx
Captulo 4 | Pgina 8 | 2.2. O que o esquema?
O esquema do Active Directory contm as definies de todos os objetos, como, por exemplo, usurios, computadores e impressoras armazenados no Active Directory. Nos Controladores de Domnio que executam o Windows Server 2003, s existe um esquema para toda a floresta. Dessa forma, todos os objetos criados no Active Directory seguem as mesmas regras. O Esquema tem dois tipos de definies: classes de objeto e atributos. Um exemplo de Classes de Objeto so os usurios, o computador e a impressora, que descrevem os objetos que podem ser criados no diretrio. Cada Classe de Objeto uma coleo de atributos. Os atributos so definidos separadamente das Classes de Objeto. Cada atributo definido somente uma vez e pode ser utilizado em vrias Classes de Objeto. Por exemplo, o atributo da descrio utilizado em vrias Classes de Objetos, mas s definido uma nica vez no Esquema para garantir a consistncia. Voc tambm pode criar novos tipos de objetos no Active Directory estendendo o Esquema. Por exemplo, para um aplicativo de Servidor de E-mail, possvel ampliar a Classe de Usurio no Active Directory com atributos de diretrio que contenham informaes adicionais, como o endereo e o e-mail dos usurios. Nos Controladores de Domnio do Windows Server 2003, voc pode reverter modificaes de esquema desativando-os e permitindo que as organizaes; desta forma, melhorem o uso dos recursos de extenso do Active Directory. Tambm possvel redefinir uma classe ou atributo do Esquema, por exemplo, modificar a sintaxe da seqncia de Unicode do atributo chamado Gerenciador de Vendas para um Nome Distinto.
Captulo 4 | Pgina 9 | 2.3 O que o Catlogo Global?
O Catlogo Global um repositrio de informaes que contm um subconjunto de atributos de todos os objetos no Active Directory. Os membros do grupo Administradores de Esquema podem modificar os atributos armazenados no Catlogo Global, dependendo das necessidades da organizao. O Catlogo Global contm: Os atributos utilizados com mais freqncia em consultas, por exemplo, nome, sobrenome e nome de logon dos usurios. As informaes necessrias para determinar as localizaes de qualquer objeto no diretrio. Um subconjunto padro dos atributos de cada tipo de objeto. As permisses de acesso para cada objeto e atributos armazenados no Catlogo Global. Se voc estiver pesquisando um objeto e no tiver permisso apropriada para v-lo, o objeto no aparecer nos resultados da pesquisa. As permisses de acesso garantem que os usurios s localizem os objetos aos quais eles tm acesso. O Servidor de Catlogo Global um Controlador de Domnio que processa de forma eficiente consultas entre florestas do Catlogo Global. O primeiro Controlador de Domnio que voc cria no Active Directory automaticamente convertido em Servidor de Catlogo Global. Voc pode configurar Servidores de Catlogo Global adicionais para equilibrar o trfego para logon e consultas. O Catlogo Global permite que os usurios realizem duas funes importantes: Pesquisar informaes no Active Directory em toda a floresta, independente da localizao dos dados. Usar informaes de associao do Grupo Universal no processo de logon na rede. Os servidores de catlogo global duplicam seu contedo em um esquema de replicao. At o Windows 2000, essas duplicaes eram do tipo sincronizao total, mas a partir do Windows Server 2003 possvel fazer a sincronizao de modo parcial, ou seja, replicando as modificaes apenas, em vez de enviar o catlogo completo. Para poder utilizar esse novo recurso do Windows Server 2003, voc pode ter o nvel de funcionalidade do modo Windows 2000 ou Windows Server 2003, mas s podem ser feitas duplicaes parciais entre os servidores de Catlogo Global que executam o Windows Server 2003.
Captulo 4 | Pgina 10 | 2.4 O Que So Nomes Distintos e Relativos?
O LDAP utiliza um nome que representa objetos no Active Directory por uma srie de componentes relacionados com a sua estrutura lgica. Essa representao chamada Nome Distinto do objeto e identifica o domnio onde est localizado o objeto e a trajetria completa at chegar a ele. O Nome Distinto deve ser nico na floresta Active Directory. O Nome Distinto Relativo de um objeto o identifica de modo nico no seu continer. Dois objetos no mesmo continer no podem ter o mesmo nome. O Nome Distinto Relativo sempre o primeiro componente do Nome Distinto, mas pode no ser sempre um Nome Comum. Para uma usuria chamada Suzan Fine da Unidade Organizacional Sales (Vendas) no domnio Contoso.msft, cada elemento da estrutura lgica est representando no seguinte nome distinto: CN=Suzan Fine,UO=Sales,DC=contoso,DC=msft CN o Nome Comum do objeto no seu continer. UO a Unidade Organizacional que contm o objeto. Pode haver mais de um valor de UO se o objeto residir em uma Unidade Organizacional aninhada em mais nveis. DC o Componente do Domnio, por exemplo, .com. ou .msft.. Sempre h, pelo menos, dois Componentes de Domnio, mas pode haver mais se o domnio for um domnio filho. Os componentes de domnio dos Nomes Distintos baseiam-se no Domain Name System (DNS).
2.5. Ferramentas e snap-ins do Active Directory

O Windows Server 2003 oferece diversos snap-ins e ferramentas de linha de comando para administrar o Active Directory. Voc tambm pode administrar o Active Directory usando o Active Directory Service Interfaces (ADSI). O ADSI uma interface simples de grande alcance para criar scripts reutilizveis para administrar o Active Directory. Nota: A ferramenta ADSI Edit pode ser instalada a partir do CD do Windows Server 2003. Ela pode ser encontrada na pasta \Support\Tools.
A tabela a seguir descreve os snap-ins administrativos comuns para administrao do Active Directory. Snap-in Usurios e computadores do Active Directory Descrio um Microsoft Management Console (MMC) utilizado para administrar e publicar informaes no Active Directory. Voc pode administrar as contas de usurio, grupos e contas de computador, adicionar computadores ao domnio, administrar diretivas de contas, direitos de usurio e diretivas de auditoria. um MMC utilizado para administrar Relaes de Confianas de Domnio e Relaes de Confianas de Floresta, adicionar sufixos de nome principal de usurio e modificar nveis de funcionamento de domnios e floresta. Os Sites e Servios do Active Directory so um MMC que voc utiliza para administrar a replicao do diretrio. um MMC utilizado para administrar o esquema. No est disponvel por padro no menu. Voc deve adicion-las manualmente.
Domnios e Relaes de Confianas do Active Directory Esquema do Active Directory Ferramentas Administrativas
A tabela seguinte descreve as ferramentas de linha de comando para utilizar quando se quer administrar o Active Directory. Ferramenta Dsadd Descrio Adiciona objetos ao Active Directory, como computadores, usurios, grupos, unidades organizacionais e contatos. Modifica objetos no Active Directory, como computadores, servidores, usurios, grupos, unidades organizacionais e contatos. Executa consultas no Active Directory segundo critrios especificados. Voc pode executar consultas em servidores, computadores, grupos, usurios, sites, unidades organizacionais e parties. Move objetos dentro de um domnio para uma nova localizao no Active Directory ou renomeia um nico objeto sem mov-lo. Exclui um objeto do Active Directory. Mostra atributos selecionados de um computador, contato, grupo, unidade organizacional, servidor ou usurio do Active Directory. Importa e exporta dados do Active Directory usando formato separado por vrgulas. Cria, modifica e exclui objetos do Active Directory. Tambm pode estender o Esquema do Active Directory e exportar informaes de usurios e grupos para outros aplicativos ou servios.
Dsmod
Dsquery
Dsmove Dsrm Dsget Csvde Ldifde
Para obter mais informaes sobre ferramentas de linha de comando: http://support.microsoft.com/default.aspx?scid=kb;en-us;322684
Captulo 4 | Pgina 12 | 3. Instalao do Active Directory: 3.1. Requisitos para instalar o Active Directory
Antes de instalar o Active Directory, voc deve garantir que o computador esteja preparado para ser um Controlador de Domnio, cumprindo requisitos de hardware e do sistema operacional. Alm disso, o Controlador de Domnio dever ter acesso ao servidor de DNS, que deve cumprir determinados requisitos para oferecer suporte integrao com o Active Directory. A lista a seguir identifica os requisitos para a instalao do Active Directory: Um computador executando o Microsoft Windows Server 2003 Standard Edition, Enterprise Edition ou Datacenter Edition. O Windows Server 2003 Web Edition no oferece suporte ao Active Directory. Um mnimo de 250 megabytes (MB) de espao no disco. 200 MB para o banco de dados do Active Directory e 50 MB para o log de transaes do Active Directory. Os requisitos de tamanho do arquivo para a base do Active Directory e os arquivos de registro, dependem do nmero e do tipo de objetos no domnio. Ser necessrio ter espao de disco adicional se o Controlador de Domnio tambm for Servidor de Catlogo Global. Uma partio ou um volume com formato NTFS e com sistema de arquivos. A partio NTFS exigida para a pasta SYSVOL. Os privilgios administrativos necessrios para criar um domnio em uma rede existente do Windows Server 2003. TCP/IP instalado e configurado para utilizar o DNS. Um Servidor DNS de autorizao para o Domnio de DNS e suporte para os requisitos enumerados na tabela seguinte. Registros de Recursos do Servidor (Obrigatrio) Recursos Localizador de Servio (SRV). So registros de DNS que identificam os servios especficos oferecido nos computadores de uma rede do Windows Server 2003. O Servidor DNS que oferece suporte instalao do Active Directory precisa de suporte a Registros de Recursos de Servidor. Caso contrrio, voc deve configurar o DNS localmente durante a instalao do Active Directory ou configurar o DNS manualmente aps a instalao do Active Directory. Atualizaes Dinmicas (Opcionais). A Microsoft recomenda que os servidores DNS tambm permitam atualizaes dinmicas. O protocolo dinmico de atualizao permite que os servidores e os clientes em um ambiente DNS adicionem e atualizem o banco de dados do DNS automaticamente, o que diminui os esforos administrativos. Se voc utilizar software DNS que oferece suporte aos Registros de Recursos de Servidor, mas que no oferece suporte ao protocolo dinmico de atualizao, preciso inserir os Registros de Recursos de Servidor manualmente no banco de dados DNS. Transferncias de zona incremental (Opcional) Em uma transferncia de zona incremental, as modificaes realizadas em uma zona no Servidor de DNS Mestre devem ser duplicadas nos servidores DNS
secundrios dessa zona. As transferncias incrementais da zona so opcionais, mas so recomendveis porque economizam largura de banda da rede, duplicando apenas os registros novos ou modificados entre os Servidores DNS, em vez do arquivo do banco de dados inteiro da zona.
3.2 O processo de instalao do Active Directory
O processo de instalao realiza as seguintes tarefas: Inicia o protocolo de autenticao Kerberos verso 5 Aplica a diretiva de Autoridade de Segurana Local (LSA). Essa configurao indica que o servidor um Controlador de Domnio. Cria as parties do Active Directory. Uma partio do diretrio uma parte do Espao de Nomes do Diretrio. Cada partio do diretrio contm uma hierarquia ou sub-rvore dos objetos do diretrio na rvore de diretrios. Durante a instalao, foram criadas as seguintes parties no primeiro controlador de domnio da floresta. Partio de Diretrio do Esquema Partio de Diretrio de Configuraes Partio de Diretrio de Domnios Zona DNS da Floresta Partio de Zona de DNS do Domnio
Depois as parties so atualizadas atravs da replicao, em cada um dos Controladores de Domnio criados de forma subseqente na floresta. Cria o banco de dados e os logs do Active Directory. A localizao padro do banco de dados e dos arquivos de logs systemroot\Ntds. Cria o domnio raiz da floresta. Se o servidor for o primeiro Controlador de Domnio na rede, o processo de instalao cria o Domnio de Raiz de Floresta e atribui as Funes de Mestre de Operaes ao Controlador de Domnio, incluindo: Emulador de Controle de Domnio Primrio (PDC) Mestre de Operaes de Identificador Relativo (RID) Mestre de Nomeao de Domnio Mestre de Esquema Mestre de Infra-estrutura Cria a pasta compartilhada do volume do sistema. Essa estrutura de pastas reside em todos os Controladores de Domnio do Windows Server 2003 e contm as seguintes pastas: A pasta compartilhada SYSVOL, que contm informaes de Diretiva de Grupo. A pasta compartilhada de Logon de Rede, que contm os scripts de logon para computadores que no executam o Windows Server 2003. Configura propriedade ao site apropriado para o Controlador de Domnio. Se o IP do servidor que voc est promovendo a Controlador de Domnio estiver em uma sub-rede definida no Active Directory, o assistente colocar o Controlador de Domnio no site associado com a sub-rede. Se no for definido nenhum objeto de sub-rede ou se o IP do servidor no estiver dentro do intervalo da sub-rede do Active Directory, o servidor ser colocado no Primeiro Site Padro. O primeiro site instalado automaticamente quando voc cria o primeiro Controlador de Domnio na floresta. O assistente de instalao do Active Directory cria um servidor de objeto do Controlador de Domnio no site apropriado. O servidor de objetos contm as informaes necessrias para a replicao e tambm contm uma referncia ao objeto do computador nos Controladores de Domnio OU, indicando que o Controlador de Domnio est sendo criado. Aplica segurana no Servio de Diretrio e nas Pastas de Replicao de Arquivo Isso implica controlar o acesso de usurio a objetos do Active Directory. Aplica a senha conta do administrador. Voc utiliza a conta para iniciar o Controlador de Domnio no Modo de Restaurao de Servios de Diretrio.
3.2.1. Exerccio 1: Como criar a estrutura de Floresta e Domnio?

Voc utiliza o Assistente para Instalao do Active Directory para criar a estrutura de floresta e domnio. Quando instala o Active Directory pela primeira vez em uma rede, voc tem que criar o Domnio Raiz da Floresta e depois utilizar o assistente para criar rvores e domnios filhos adicionais. O Assistente para Instalao do Active Directory orientar voc no processo de instalao e lhe solicitar as informaes necessrias, que variam conforme as opes selecionadas.
Para criar o Domnio Raiz da Floresta, voc deve seguir os passos abaixo: 1. Clique em Iniciar e depois em Executar e escreva dcpromo. Em seguida, pressione Enter. O assistente verificar: Se o usurio validado membro do grupo de administradores locais. Se o computador est executando um sistema operacional que oferea suporte ao Active Directory. Se foi realizada uma instalao ou remoo de uma verso anterior do Active Directory sem reiniciao do computador, ou se no h uma instalao ou uma retirada do Active Directory em andamento. Se qualquer uma dessas quatro verificaes falhar, uma mensagem de erro aparecer e voc sair do assistente. Na pgina Bem-vindo, clique em Avanar. Na pgina Compatibilidade do Sistema operacional, clique em Avanar. Na pgina Tipo de Controlador de domnio, clique em Controlador de domnio para um novo domnio, e depois clique em Avanar. Na pgina Criar novo domnio, clique no Domnio em uma nova floresta e depois em Avanar. Na pgina Novo nome de domnio, insira o Nome do DNS para o novo domnio (nwtraders.msft) e depois clique em Avanar. Na pgina Nome de domnio NetBIOS verifique o Nome NetBIOS (NWTRADERS) e depois clique em Avanar. O nome NetBIOS identifica o domnio nos computadores de cliente executando verses anteriores do Windows e do Windows NT. O assistente verifica se o nome NetBIOS nico. Se no for, ele pedir para que voc modifique o nome. Na pgina Pastas do banco de dados e log, especifique a localizao em que deseja instalar as pastas do banco de dados e dos logs. Em seguida, clique em Avanar. Na pgina Volume de Sistema Compartilhado, especifique o local onde voc deseja instalar a pasta SYSVOL ou clique em Procurar... para escolher um local e depois clique em Avanar. Na pgina Diagnstico de registro de DNS verifique se h um servidor DNS de autorizao para essa floresta; se necessrio, clique em Instalar e configurar o servidor DNS neste computador e definir este computador para usar o servidor DNS como seu servidor DNS, e depois clique em Avanar. Na pgina Permisses, especifique se foram atribudas permisses padro aos objetos de usurio e grupo compatveis com os servidores que executam verses anteriores do Windows ou do Windows NT, ou somente com os servidores do Windows Server 2003. Quando for perguntado, especifique a senha para o modo de restaurao dos servios de. Os controladores de domnio do Windows Server 2003 mantm uma verso pequena do banco de dados de contas do Microsoft Windows NT 4.0. A nica conta nesse banco de dados a conta do administrador e ela exigida para autenticao quando o computador ligado no Modo Directory Services Restore porque o Active Directory no iniciado deste modo. Reveja a pgina Sumrio e depois clique em Avanar para comear a instalao. Quando solicitado, reinicie o computador.
2. 3. 4. 5. 6. 7.
8. 9. 10.
11. 12.
13. 14.
Captulo 4 | Pgina 16 | 3.2.2 Exerccio 2 (Opcional): Como adicionar um Controlador de Domnio adicional?
Para concluir esse exerccio, voc precisar de dois computadores ou dois PCs Virtuais, com um Controlador de Domnio instalado (Exerccio 1) e um Windows Server 2003. O procedimento semelhante criao de um novo Controlador de Domnio, com exceo de que preciso selecionar na primeira tela do assistente a opo Adicionar controlador de domnio adicional para um domnio. O restante do processo pode ser realizado de duas formas: 1. Atravs da rede: Se voc tiver uma grande quantidade de objetos, essa opo exige uma conexo com largura de banda ou tempo suficientes para a replicao inicial. 2. Duplicar a partir da mdia: Essa nova caracterstica do Windows Server 2003 permite realizar a replicao inicial por meio de um backup, da seguinte forma: Primeiro faa um backup do Estado do Sistema no Controlador de Domnio existente. Em seguida, envie esse backup para o computador de destino. No computador de destino, realize a operao de restaurao em um outro local (Escolha uma pasta, por exemplo: C:\NTDSRestore) Por ltimo, execute o assistente dcpromo /adv O assistente lhe permitir selecionar a opo A partir da mdia
3.3.
Como renomear um Controlador de Domnio?

No Windows Server 2003, voc pode renomear um Controlador de Domnio depois que ele j tiver sido instalado. Para renomear um Controlador de Domnio, voc deve ter direitos de Administrador do Domnio. Quando voc renomeia um Controlador de Domnio, preciso adicionar o novo nome do Controlador de Domnio e remover o nome antigo nos bancos de DNS e Active Directory. A renomeao de um Controlador de Domnio s possvel se o Nvel Funcional do Domnio for configurado como Windows Server 2003. Esta configurao ser abordada mais a frente neste captulo. Para renomear um Controlador de Domnio, voc deve seguir os passos abaixo: 1. 2. 3. 4. No Painel de Controle, clique duas vezes em Sistema. Na caixa Propriedades do Sistema, em Nome do Computador, clique em Alterar. Quando solicitado, confirme se deseja renomear o Controlador de Domnio. Incorpore o nome completo do computador (incluindo o sufixo de DNS primrio) e depois clique em OK.
Voc poder trocar o sufixo de DNS Primrio de um Controlador de Domnio quando renomeia o Controlador de Domnio. No entanto, ao modificar o sufixo do DNS Primrio, no mova o Controlador de Domnio para um novo domnio do Active Directory. Por exemplo, se voc renomear dc2.nwtraders.msft para dc1.contoso.msft, o computador continua sendo um Controlador de Domnio do nwtraders.msft, embora seu sufixo de DNS primrio seja contoso.msft. Para mover um Controlador de Domnio para outro domnio, voc deve primeiro rebaixar o Controlador de Domnio e depois promov-lo no novo domnio. Obtenha informaes sobre a instalao do Active Directory http://support.microsoft.com/default.aspx?scid=kb;en-us;324753 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591
Captulo 4 | Pgina 17 | 3.4. Como solucionar problemas na instalao do Active Directory?

Ao instalar o Active Directory, voc pode ter problemas. Eles podem ser credenciais inadequadas de segurana, uso de nomes que no so nicos, uma rede no confivel ou falta de recursos. Em seguida, so descritos alguns problemas comuns que voc pode encontrar enquanto instala o Active Directory e algumas estratgias para resolv-los. Acesso negado enquanto cria ou adiciona os Controladores de Domnio. Feche a sesso e depois reinicie com uma conta que pertena ao grupo local de administradores. As credenciais devem ser de um usurio que membro do Admins de Domnio ou Admins da empresa. O nome de DNS ou NetBIOS do domnio no nico Troque o nome para um nome nico. O domnio no pode ser contatado Verifique se h conexo de rede entre o servidor que voc est promovendo a Controlador de Domnio e se h, pelo menos, um Controlador de Domnio no domnio. Use o comando ping do prompt de comando para testar a conexo com qualquer Controlador de Domnio do domnio. Verifique se o DNS proporciona a resoluo de nomes, pelo menos, a um Controlador de Domnio no domnio.
4. O Que So Zonas Active Directory de DNS Integradas?
Captulo 4 | Pgina 18 | 4.1. Introduo

Uma vantagem de integrar o DNS e o Active Directory a capacidade de integrar as zonas de DNS no banco de dados do Active Directory. Uma zona parte do Espao de Nome de Domnio que agrupa registros de forma lgica, permitindo transferncias de zona desses registros para funcionar como uma unidade.
4.2. Zona do Active Directory Integrado

Os Servidores DNS da Microsoft armazenam as informaes que so utilizadas para resolver os nomes de host em endereos IP e endereos IP em nomes de host, usando um banco de dados em formato de arquivo que tenha uma extenso .dns para cada zona. As Zonas do Active Directory Integradas so primrias e stub, e armazenadas como objetos no banco de dados do Active Directory. Voc pode armazenar objetos da zona na Partio de Aplicativos do Active Directory ou na Partio de Domnio do Active Directory. Se os objetos de zona estiverem armazenados na Partio de Aplicativos do Active Directory, somente os Controladores de Domnio sob essa Partio de Aplicativo podem participar na replicao desta partio. No entanto, se os objetos de zona forem armazenados na Partio de Domnio do Active Directory, todos os Controladores de Domnio sero duplicados no domnio.
4.3. Vantagens das Zonas do Active Directory Integrada

As Zonas do Active Directory Integrado oferecem as seguintes vantagens. Replicao multimaster. Quando voc configura Zonas no Active Directory Integrado, as atualizaes dinmicas do DNS baseiam-se no modelo multimaster. Neste modelo, qualquer servidor de autorizao do DNS, por exemplo, um Controlador de Domnio executando o Servidor DNS, primrio para a zona. Considerando que a Cpia Mestre da zona se mantm na base do Active Directory (que duplicado completamente para todos os Controladores de Domnio), a zona pode ser atualizada pelos Servidores DNS funcionando em qualquer Controlador de Domnio do domnio. Atualizaes dinmicas de segurana Como as zonas do DNS so objetos do Active Directory nas Zonas do Active Directory Integrado, voc pode aplicar permisses aos registros dentro dessas zonas e tambm pode controlar que computadores podem atualizar seus registros. Dessa maneira, as atualizaes que utilizam o protocolo dinmico de atualizao s podem ser recebidas dos computadores autorizados. Para obter mais informaes sobre as Zonas do Active Diretory Integrado: http://support.microsoft.com/default.aspx?scid=kb;en-us;816101
4.4. Exerccio 3: Verificao da Zona Integrada com o Active Directory

Durante esse exerccio, voc verificar se o seu Servidor DNS tem a zona integrada com o Active Directory. Para verificar o DNS: 1. 2. 3. 4. 5. 6. Abra o console de DNS. Clique no nome do servidor. Clique na zona a verificar. Clique com o boto direito do mouse na zona e depois em Propriedades. Na caixa Tipo da zona selecione Integrada ao Active Directory Para trocar o tipo de zona, clique em Alterar.
Captulo 4 | Pgina 19 | 5. Qual a funcionalidade de Floresta e Domnio?
5.1. Introduo
No Windows Server 2003, a funcionalidade de floresta e domnio proporciona uma maneira de permitir os novos recursos em toda a floresta ou domnio do Active Directory no seu ambiente de rede. Diversos nveis da funcionalidade da floresta e do domnio esto disponveis, dependendo do seu ambiente de rede.
5.2. Qual a funcionalidade do Domnio?

A funcionalidade do domnio ativa os recursos que afetaro o domnio inteiro e somente esse domnio. Quatro nveis funcionais de domnio esto disponveis: Windows 2000 mista. Esse o nvel operacional padro. Voc pode elevar o nvel de funcionamento do domnio para Windows 2000 nativo ou Windows Server 2003. Os domnios de modo misto podem conter os Controladores de Domnio de backup do Windows NT 4.0, mas no possvel utilizar grupos de segurana universais, aninhamento de grupos ou recursos do Identificador de Segurana (SID) History. Windows 2000 nativo. Voc pode utilizar esse nvel funcional se o domnio contiver somente os Controladores de Domnio do Windows 2000 e do Windows Server 2003. Embora os Controladores de Domnio funcionem no Windows 2000 Server, eles no esto preparados para a funcionalidade de domnio. Caractersticas do Active Directory, como grupos de segurana universais, aninhamento de grupos e recursos do Histrico do Identificador de Segurana (SID), esto disponveis. Windows 2003 Server Esse o nvel funcional mais alto para um domnio. Voc s pode utiliz-lo se todos os Controladores de Domnio do domnio funcionarem no Windows Server 2003. Todos os recursos do Active Directory para o domnio esto disponveis para uso. Windows 2003 Interim. um nvel funcional especial que suporta Controladores de Domnio do Windows NT 4.0 e do Windows Server 2003.
5.3.
O que a funcionalidade da floresta?

A funcionalidade da floresta ativa os recursos atravs de todos os domnios dentro da sua floresta. Dois nveis funcionais de floresta esto disponveis: o Windows 2000 e o Windows Server 2003. Por padro, as florestas funcionam no nvel funcional do Windows 2000. Voc pode elevar o nvel funcional da floresta ao Windows Server 2003 para ativar os recursos que no esto disponveis no nvel funcional do Windows 2000, incluindo:
Relaes de confiana entre florestas Replicao melhorada Importante: Voc no pode rebaixar o nvel funcional do domnio ou da floresta depois que ele tiver sido elevado.
5.4.
Requisitos para ativar novos recursos no Windows Server 2003
5.4.1
Introduo
Alm dos recursos bsicos do Active Directory nos Controladores de Domnio individuais, os novos recursos em toda a floresta (forest-wide) e em todo o domnio (domain-wide) esto disponveis quando determinadas condies so cumpridas. Para ativar os novos recursos de todo o domnio, todos os Controladores de Domnio no domnio devem executar o Windows Server 2003, e o nvel funcional do domnio deve ser elevado para o Windows Server 2003. Voc precisa ser administrador do domnio para elevar o nvel funcional do domnio. Para ativar os novos recursos de toda a floresta, todos os Controladores de Domnio na floresta devem executar o Windows Server 2003, e o nvel funcional da floresta deve ser elevado ao Windows Server 2003. Voc precisa ser administrador Enterprise para elevar o nvel funcional da floresta. Para obter mais informaes sobre os nveis de funcionalidade: http://support.microsoft.com/default.aspx?scid=kb;en-us;322692
5.4.2 Exerccio 4: Como elevar o nvel funcional?

Elevar a funcionalidade da floresta e do domnio ao Windows Server 2003 ativa determinados recursos, por exemplo, confianas de floresta, que no esto disponveis em outros nveis funcionais. Voc pode elevar a funcionalidade da floresta e do domnio usando a ferramenta Domnios e Relaes de Confianas do Active Directory. Para elevar o nvel funcional do domnio, preciso executar os passos a seguir: 1. 2. Abra a ferramenta Domnios e Relaes de Confiana do Active Directory. Clique com o boto direito do mouse no domnio que voc deseja elevar e depois clique em Aumentar o nvel funcional do domnio.
3. Selecione o nvel funcional do Windows Server 2003 na caixa Selecione um nvel funcional de domnio disponvel e depois clique em Aumentar.
Para elevar o nvel funcional da floresta, preciso executar os passos a seguir: 1. 2. Na ferramenta Domnios e Relaes de Confianas do Active, no console, clique com o boto direito do mouse em Active Directory Domains and Trusts, e depois clique em Aumentar nvel funcional da floresta. Na caixa Selecione um nvel funcional de floresta disponvel, selecione Windows Server 2003 e depois clique em Aumentar.
Nota: Voc deve elevar o nvel funcional de todos os domnios em uma floresta ao Windows 2000 nativo ou mais alto, antes de elevar o nvel funcional da floresta.
6. Como funcionam as Relaes de Confianas entre Florestas?
6.1. Introduo
O Windows Server 2003 suporta confianas entre florestas que permite que os usurios na floresta tenham acesso a recursos em outra floresta. Quando um usurio tenta obter acesso a um recurso em uma floresta confivel, o Active Directory primeiro localizar o recurso. Depois de localizar o recurso, o usurio poder ser autenticado e ter acesso ao recurso. Entender como este processo funciona o ajudar a identificar problemas que possam se apresentar com confianas entre florestas.
6.2. Como concedido um recurso?

A seguir temos uma descrio de como um cliente do Windows 2000 Professional ou Windows XP Professional localiza e tem acesso a um recurso em outra floresta que tenha o Windows 2000 Server ou o Windows Server 2003. 1. Um usurio que inicie a sesso no domnio vancouver.nwtraders.msft tenta ter acesso a uma pasta compartilhada na floresta contoso.msft. O computador do usurio entra em contato com o KDC em
um controlador de domnio no vancouver.nwtraders.msft e solicita um solicitao de servio usando o SPN do computador, onde reside o recurso. Um SPN pode ser o nome DNS de um host ou domnio ou pode ser o Nome Distinto de um Objeto de Ponto de Conexo do Servio. O recurso no est em vancouver.nwtraders.msft e o Controlador de Domnio de vancouver.nwtraders.msft faz consultas no Catlogo Global para ver se o recurso est situado em outro domnio da floresta. Considerando que o Catlogo Global contm apenas informaes sobre sua prpria floresta, ele no encontra o SPN. O Catlogo Global testa seu banco de dados para saber se h informaes sobre relaes de confianas de floresta estabelecidas com a sua floresta. Se o Catlogo Global encontrar uma, compare os sufixos de nome que esto listados na confiana da floresta TDO com o sufixo de destino SPN. Se encontrar um ponto em comum, o Catlogo Global fornece as informaes de encaminhamento sobre como localizar o recurso ao Controlador de Domnio em vancouver.nwtraders.msft. O Controlador de Domnio em vancouver.nwtraders.msft envia uma referncia para seu domnio Pai nwtraders.msft, no computador do usurio. O computador do usurio entra em contato com o Controlador de Domnio nwtraders.msft pela referncia ao Controlador de Domnio do Domnio da Floresta Raiz da floresta contoso.msft. Usando a referncia do Controlador de Domnio em nwtraders.msft, o computador entra em contato com o controlador de domnio na floresta contoso.msft para solicitar uma permisso de servio. O recurso no est situado no Domnio da Floresta Raiz da floresta contoso.msft e, por isso, o Controlador de Domnio entra em contato com seu Catlogo Global para pesquisar o SPN. O Catlogo Global busca o SPN e o envia ao Controlador de Domnio. O Controlador de Domnio envia a referncia seattle.contoso.msft ao computador do usurio. O computador do usurio entra em contato com o KDC no controlador de domnio em seattle.contoso.msft e negocia a permisso para acesso do usurio ao recurso no domnio seattle.contoso.msft. O computador envia a permisso de servio do servidor ao computador onde est o recurso compartilhado e onde so lidas as credenciais de segurana do usurio e criado o token de acesso que permite o acesso do usurio ao recurso.
2.
3. 4. 5. 6. 7. 8. 9.
Nota: Lembre-se de que para poder utilizar esse novo recurso, preciso ter as duas florestas no nvel funcional do Windows Server 2003. As relaes de confianas entre florestas no Windows Server 2003 lhe permitem validar os usurios usando o Kerberos v5, utilizando a segurana prpria do protocolo. Tambm permitido que as confianas transitem entre duas florestas, e no em mltiplas florestas. Por exemplo: A floresta A estabeleceu uma confiana com a floresta B, e todos os domnios nas duas florestas podem utilizar essa confiana. No entanto, se, por sua vez, a floresta B tem uma confiana na floresta C, no existe nenhum tipo de relao entre a floresta A e a floresta C. Para obter mais informaes sobre relaes de confiana: http://support.microsoft.com/default.aspx?scid=kb;en-us;325874 http://support.microsoft.com/default.aspx?scid=kb;en-us;816101
Captulo 4 | Pgina 23 | 7. Replicao no Active Directory
7.1. Replicao dentro dos sites

Os pontos dominantes da replicao do Active Directory dentro do site so: A replicao ocorre quando h: Um acrscimo de um objeto ao Active Directory. Uma modificao dos valores de um atributo de objeto. Uma mudana do nome de um continer de objetos. Uma eliminao de um objeto de diretrio. Notificao da modificao. Quando ocorre uma mudana em um controlador de domnio, o controlador de domnio notifica seus parceiros da replicao no mesmo site. Esse processo chamado de notificao de alterao. Latncia da replicao. Tempo de espera entre a hora em que ocorre a modificao e a hora em que a atualizao atinge todos os controladores de domnio no site. Por padro, a latncia da replicao de 15 minutos. Replicao urgente. Em vez de esperar os 15 minutos padro, os atributos confidenciais fornecem uma mensagem imediata de notificao de alterao quando so atualizados.
Convergncia. Cada atualizao no Active Directory propagada a todos os Controladores de Domnio no site que contm a partio na qual a atualizao foi realizada. Essa propagao completa chamada de convergncia. Propagation dampening. O processo de evitar uma replicao desnecessria. Cada Controlador de Domnio atribui a cada modificao de atributo ou objeto um Nmero de Seqncia de Atualizao (USN) para evitar a replicao desnecessria. Conflitos. Quando atualizaes simultneas originadas em dois mestres de replicaes diferentes so inconsistentes, podem ocorrer conflitos. O Active Directory resolve trs tipos de conflitos: atributo, contineres eliminados e conflitos de Nome Distinto Relativo (RDN). Carimbo global nico. O Active Directory mantm um carimbo que contm o nmero da verso, carimbo de hora, e identificador global exclusivo (GUID) de servidor que o Active Directory criado durante a atualizao originaria.
7.2.
Linked Multivalued Attributes

O processo pelo qual os atributos de mltiplos valores vinculados so duplicados varia, dependendo do nvel funcional da floresta: Quando o nvel funcional da floresta inferior ao Windows Server 2003, qualquer modificao realizada em um atributo de membros de grupo inicia a replicao da lista inteira do atributo membro. O atributo membro de mltiplos valores considerado um nico atributo com o fim da replicao nesse caso. Essa replicao aumenta a probabilidade de substituir uma modificao do atributo membro que outro administrador realizou em outro controlador de domnio, antes da primeira modificao ter sido duplicada. Quando o nvel funcional da floresta modificado para o Windows Server 2003, um valor individual duplica as modificaes de atributos de mltiplos valores vinculados. Essa funcionalidade aprimorada duplica apenas modificaes do atributo membro do grupo, e no a lista inteira do atributo de membro. Desta forma, elimina-se a restrio de um mximo de 5000 usurios por grupo. Essa restrio era fornecida no Windows 2000 pelo valor mximo que o atributo de membro de um grupo podia ter.
7.3.
Gerao automtica da topologia de replicao
Quando voc adiciona Controles de Domnio a um site, o Active Diretory usa o Knowledge Consistency Checker (KCC) para estabelecer um caminho de replicao entre os Controladores de Domnio. O KCC um processo que funciona em cada Controlador de Domnio e gera a topologia da replicao para todas as parties do diretrio contidas nesse Controlador de Domnio. O KCC executado em intervalos especficos, a cada 15 minutos por padro, e define os caminhos de replicao entre Controladores de Domnio nas conexes mais favorveis disponveis no momento. Este processo foi melhorado com relao ao processo do Windows 2000, fazendo com que essa nova caracterstica elimine a limitao existente de um mximo de 500 sites no Active Directory. Atualmente j foram testados at 3000 sites e o suporte mximo de 5000 sites. Nota: Para aproveitar essa caracterstica, voc deve ter a floresta no nvel funcional do Windows Server 2003 ou do Windows Server 2003 Interim.
7.4. Criando e Configurando Sites
Voc utiliza sites para controlar o trfego de replicaes, o trfego de logins e as consultas do cliente ao Servidor de Catlogo Global.
7.4.1. O que so os sites?

No Active Directory, os sites ajudam a definir a estrutura fsica de uma rede. Uma ou mais sub-redes TCP/IP em um intervalo especfico de endereos define um site, no qual so definidos alternadamente um grupo de Controladores de Domnio que tem velocidade e custos semelhantes. Os sites consistem em servidores de objetos, que contm objetos de conexo que permitem a replicao.
Captulo 4 | Pgina 27 | 7.4.2. O que so os objetos sub-rede?

Os objetos de sub-rede identificam os endereos de rede que utilizam os computadores nos sites. Uma sub-rede um segmento de uma rede TCP/IP ao qual atribudo um sistema de endereos IP lgicos. Considerando que os objetos da sub-rede representam a rede fsica, eles formam sites. Por exemplo, se 3 sub-redes estiverem situadas em 3 campos em uma cidade e esses campos estiverem conectados com conexes de alta velocidade e alta disponibilidade, voc pode associar cada uma dessas sub-redes a um site. Um site pode consistir em uma ou mais sub-redes. Por exemplo, em uma rede que tem 3 sub-redes em Redmond e 2 em Paris, voc pode criar um site em Redmond, um site em Paris e depois adicionar as sub-redes nos respectivos sites.
7.4.3. O que so os links de sites?

Os Links de Site so conexes que voc pode estabelecer entre sites para: Ativar a replicao Controlar os horrios em que voc quer fazer a replicao Controlar o custo de acordo com o enlace que voc est utilizado e o protocolo de replicao IP (RPC) ou SMTP. Para obter mais informaes sobre os sites: http://support.microsoft.com/default.aspx?scid=kb;en-us;323349
7.4.4 Exerccio 5: Criar e Configurar Sites e Sub-redes

Para criar um site, voc deve seguir os passos abaixo: 1. 2. 3. 4. Abra os Sites e Servios do Active Directory no menu Ferramentas Administrativas. Clique com o boto direito em Sites no console e depois clique em Novo Site. Insira o nome do novo site na caixa Nome. Clique em um objeto de link do site e depois clique em OK duas vezes.
Para criar um objeto de sub-rede, voc deve seguir os passos abaixo: 1. Em Sites e Servios do Active Directory, no console, clique duas vezes em Sites, clique com o boto direito em Sub-redes e depois clique em Nova Sub-rede. 2. Na caixa Endereo, insira o endereo IP da sub-rede. 3. Na caixa Mscara, insira a mscara de sub-rede que descreve o intervalo de endereos da sub-rede. 4. Selecione o site para associar sub-rede e depois clique em OK.
Captulo 4 | Pgina 28 | 8. Fazer backup do Active Directory.
Fazer o backup do Active Directory essencial para manter o banco de dados do Active Directory. Voc pode fazer o backup do Active Directory usando uma interface de usurio grfica (GUI) e ferramentas de linha de comando fornecidas pelo Windows Server 2003. Voc deve com freqncia fazer backup dos dados do Estado do Sistema nos Controladores de Domnio para que seja possvel restaurar os dados mais atuais. Estabelecendo um cronograma regular de backup, voc tem mais chances de recuperao de dados quando necessrio. Os Dados de Estado do Sistema no Controlador de Domnio incluem os seguintes componentes: Active Directory Os Dados do Estado do Sistema no contm o Active Directory, a menos que o servidor no qual voc est fazendo backup dos Dados de Estado do Sistema seja um Controlador de Domnio. O Active Directory s est presente nos Controladores de Domnio. A pasta compartilhada SYSVOL. Esta pasta compartilhada contm arquivos de Diretivas de Grupo e scripts de login. A pasta compartilhada SYSVOL est presente somente em controladores de domnio. O registro. Este repositrio de banco de dados contm as informaes sobre a configurao dos computadores. Arquivos de inicializao do sistema. O Windows Server 2003 exige esses arquivos durante sua fase de inicializao. Eles incluem os arquivos do sistema e inicializaes que esto protegidos pela proteo do arquivo do Windows. O banco de dados COM+ Registro de Classe. O banco de dados do Registro de Classe contm informaes sobre aplicativos de Servios de Componente. O banco de dados dos Servios de Certificado. Este banco de dados contm os certificados do servidor que o
Windows Server 2003 utiliza para autenticar usurios. Esse banco s est presente se o servidor estiver funcionando como servidor de certificados. Para realizar a operao de backup, voc pode utilizar a ferramenta prevista pelo Windows Server 2003: 1. 2. 3. 4. 5. 6. 7. 8. Clique em Backup no menu Iniciar, Todos os Programas, Acessrios, Ferramentas do Sistema. Clique em Avanar na pgina Bem-vindo ao Assistente de Backup ou Restaurao. Na pgina Faa backup ou restaure, clique em Fazer backup de arquivos e confguraes e depois clique em Avanar. Na pgina Backup, clique em Eu escolherei os itens para backup e depois clique em Avanar. Na pgina Itens para backup, expanda Meu computador, selecione Estado do Sistema, e depois clique em Avanar. Na pgina Tipo, destino e nome do backup, clique em Procurar, selecione um local para backup, clique em Salvar e depois clique em Avanar. Na pgina Concluindo o Assistente para backup ou restaurao, clique em Concluir. Aps o backup ser realizado, na pgina Progresso do Backup clique em Fechar.
8.1 Restaurao do Active Directory
Voc pode utilizar um dos trs mtodos para restaurar o Active Directory de meios de backup: restaurao primria, restaurao normal (sem autoridade) e restaurao com autoridade. 1. Restaurao primria. Este mtodo reconstri o primeiro controlador de domnio no domnio quando no h outra maneira de reconstruir o domnio. Faa uma restaurao primria somente quando todos os controladores de domnio em um domnio estiverem perdidos e voc quiser reconstruir o domnio usando o backup. Restaurao Normal. Este mtodo reinstala os dados do Active Directory no estado antes do backup e atualiza os dados com o processo normal de replicao. Realize uma restaurao normal quando quiser restaurar um nico controlador de domnio a um estado previamente conhecido. Restaurao com autoridade. Voc executa esse mtodo junto com uma restaurao normal. Uma restaurao com autoridade marca os dados especficos e evita que a replicao substitua esses dados. Os dados autorizados so replicados atravs do domnio.
2.
3.
Para realizar uma restaurao primria do Active Directory, siga os passos abaixo: 1. 2. 3. 4. 5. 6. 7. 8. 9. Reinicie seu controlador de domnio no Modo Restaurao do Servio de Diretrio. Inicie o utilitrio de Backup. Clique em Modo Avanado na pgina Bem-vindo ao Assistente para Backup ou Restaurao. Na pgina Bem-vindo ao modo avanado do utilitrio de backup, em Restaurar e gerenciar mdia, selecione o que deseja restaurar e depois clique em Iniciar Restaurao. Clique em Cuidado e depois em OK. Na caixa Confirmar Restaurao, clique em Avanado. Na caixa Opes Avanadas de Restaurao clique em Ao restaurar dados replicados, marcar os conjuntos de dados como primrios para todas as replicaes e depois clique em OK duas vezes. Na caixa Progresso da Restaurao, clique em Fechar. Na caixa Utilitrio de Backup, clique em Sim.

TechNet Brasil - Cap¡tulo 4 - Active Directory

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

TechNet Brasil - Cap¡tulo 4 - Active Directory

Enviado por

Direitos autorais:

Formatos disponíveis

Captulo 4 | Pgina 1 |

Captulo 4 Active Directory

1.3. Estrutura Lgica do Active Directory

1.4. Estrutura fsica do Active Directory

1.5. O que so Mestre de Operaes?

Captulo 4 | Pgina 5 | 1.5.1. Single Master Replication e MultiMaster Replication

1.5.2. Funes de Mestre de Operaes

1.5.3. Transferncia de Funes de Mestre de Operaes

Para obter informaes sobre o processo de transferncia: http://support.microsoft.com/default.aspx?scid=kb;en-us;324801

Captulo 4 | Pgina 7 | 2. O que o servio de diretrio?

2.1. O Active Directory tem os seguintes recursos:

Captulo 4 | Pgina 8 | 2.2. O que o esquema?

Captulo 4 | Pgina 9 | 2.3 O que o Catlogo Global?

Captulo 4 | Pgina 10 | 2.4 O Que So Nomes Distintos e Relativos?

2.5. Ferramentas e snap-ins do Active Directory

Dsmove Dsrm Dsget Csvde Ldifde

Para obter mais informaes sobre ferramentas de linha de comando: http://support.microsoft.com/default.aspx?scid=kb;en-us;322684

3.2 O processo de instalao do Active Directory

3.2.1. Exerccio 1: Como criar a estrutura de Floresta e Domnio?

Como renomear um Controlador de Domnio?

Captulo 4 | Pgina 17 | 3.4. Como solucionar problemas na instalao do Active Directory?

4. O Que So Zonas Active Directory de DNS Integradas?

Captulo 4 | Pgina 18 | 4.1. Introduo

4.2. Zona do Active Directory Integrado

4.3. Vantagens das Zonas do Active Directory Integrada

4.4. Exerccio 3: Verificao da Zona Integrada com o Active Directory

Captulo 4 | Pgina 19 | 5. Qual a funcionalidade de Floresta e Domnio?

5.2. Qual a funcionalidade do Domnio?

O que a funcionalidade da floresta?

Requisitos para ativar novos recursos no Windows Server 2003

5.4.2 Exerccio 4: Como elevar o nvel funcional?

6. Como funcionam as Relaes de Confianas entre Florestas?

6.2. Como concedido um recurso?

Captulo 4 | Pgina 23 | 7. Replicao no Active Directory

7.1. Replicao dentro dos sites

Linked Multivalued Attributes

Gerao automtica da topologia de replicao

7.4. Criando e Configurando Sites

7.4.1. O que so os sites?

Captulo 4 | Pgina 27 | 7.4.2. O que so os objetos sub-rede?

7.4.3. O que so os links de sites?

7.4.4 Exerccio 5: Criar e Configurar Sites e Sub-redes

Captulo 4 | Pgina 28 | 8. Fazer backup do Active Directory.

8.1 Restaurao do Active Directory

Você também pode gostar