Você está na página 1de 14

ACTIVE DIRECTORY Domnios Filho DNS Relaes de Confiana

O procedimento usado para criar um domnio filho com o Assistente para


instalao do Active Directory semelhante ao procedimento usado para criar o
domnio raiz da floresta.

Utilize o comando dcpromo.
Criar novo domnio - Clique em Domnio filho em uma rvore de domnio
existente.
Credenciais de rede - Digite o nome de usurio, a senha e o domnio do
usurio da conta de usurio que voc deseja usar para esta operao. A
conta de usurio deve ser um membro do grupo Administrao de empresa.
Instalao de domnio filho - Quando voc usa o Assistente para instalao
do Active Directory para criar ou remover um domnio filho, ele contata o
mestre de nomeao de domnio e solicita a adio ou a excluso. O
mestre de nomeao de domnio responsvel por assegurar que os
nomes de domnios sejam exclusivos. Se o mestre de nomeao de
domnio no estiver disponvel, voc no poder adicionar ou remover
domnios.

Procedimento para criar uma rvore

O procedimento usado para criar uma rvore com o Assistente para
instalao do Active Directory semelhante ao procedimento usado para criar o
domnio raiz da floresta. A seguir etapas a serem executadas durante a instalao.

Criar novo domnio - Clique em rvore de domnio em uma floresta
existente.
Credenciais de rede - Digite o nome de usurio, a senha e o domnio do
usurio da conta de usurio que voc deseja usar para esta operao. A
conta de usurio deve ser um membro do grupo Administrao de empresa.
Nova rvore de domnios Digite o nome DNS completo do novo domnio.



Os domnios DNS e os domnios do Active Directory usam nomes de
domnio idnticos para espaos para nome diferentes. Usando nomes de domnio
idnticos, os computadores em uma rede Windows Server 2003 podem usar o
DNS para localizar controladores de domnio e outros computadores que fornecem
servios do Active Directory.

Domnios e computadores so representados por registros de recursos no
espao para nome do DNS e por objetos do Active Directory no espao para nome
do Active Directory.

O nome de host DNS de um computador o mesmo nome usado para a
conta de computador armazenada no Active Directory. O nome de domnio DNS,
tambm chamado de sufixo DNS primrio . tem o mesmo nome que o domnio do
Active Directory ao qual o computador pertence. Por exemplo, um computador
chamado Computer1 que pertena ao domnio do Active Directory chamado
training.microsoft.msft tem o seguinte FQDN:

computer1.training.microsoft.msft

A integrao entre o DNS e o Active Directory essencial, pois um
computador cliente em uma rede Windows Server 2003 deve ser capaz de
localizar um controlador de domnio para que os usurios possam fazer logon em
um domnio ou usar os servios fornecidos pelo Active Directory.

Clientes localizam controladores de domnio e servios usando registros de
recurso A e registros SRV. O registro de recursos A contm o FQDN e o endereo
IP do controlador de domnio. O registro SRV contm o FQDN do controlador de
domnio e o nome do servio fornecido pelo controlador de domnio.

Registros de recursos Service Location (SRV)

Para que o Active Directory funcione corretamente, os computadores
clientes devem ser capazes de localizar servidores que fornecem servios
especficos, como autenticao de solicitaes de logon e pesquisa de
informaes no Active Directory. O Active Directory armazena informaes sobre o
local dos computadores que fornecem esses servios em registros DNS
conhecidos como registros de recurso SRV.

Registros de recurso SRV vinculam um servio ao nome de computador
DNS do computador que oferece o servio. Por exemplo, um registro SRV pode
conter informaes para ajudar clientes a localizar um controlador de domnio em
uma floresta ou um domnio especfico.

Quando um controlador de domnio iniciado, ele armazena registros SRV
e um registro de recurso A, que contm seu nome de computador DNS e seu
endereo IP. Posteriormente, um computador cliente DNS usa essas informaes
combinadas para localizar o servio solicitado no controlador de domnio
apropriado.

Todos os registros SRV usam um formato padro, que consiste em campos
que contm as informaes usadas pelo Active Directory para mapear um servio
ao computador que fornece o servio. Registros SRV usam o seguinte formato:

_Servio_.Protocolo.Nome Ttl Classe SRV Prioridade Importncia Porta
Destino
A tabela a seguir descreve cada campo de um registro SRV.

Campo Descrio
_Servio Especifica o nome do servio, como LDAP (Lightweight Directory
Access Protocol) ou Kerberos, fornecido pelo servidor que
mantm esse registro SRV.
_Protocolo Especifica o tipo de protocolo de transporte, como TCP ou UDP
(User Datagram Protocol).
Nome Especifica o nome do domnio ao qual o registro de recursos faz
referncia.
Ttl

Especifica o valor TTL (Time to Live, vida til) em segundos, que
um campo padro de registros de recursos DNS que especifica
o perodo de tempo em que um registro considerado vlido.
Classe

Especifica o valor de classe do registro de recursos DNS padro,
que geralmente .IN. para o sistema da Internet. Essa a nica
classe para a qual o DNS do windows Server 2003 oferece
suporte.
Prioridade

Especifica a prioridade do servidor. Clientes tentam contatar o
host com a prioridade mais baixa.
Importncia

Indica um mecanismo de equilbrio de carga usado pelos clientes
quando eles selecionam um host de destino. Quando o campo de
prioridade o mesmo para dois ou mais registros no mesmo
domnio, os clientes escolhem aleatoriamente registros SRV de
maior importncia.
Porta Especifica a porta na qual o servidor est escutando esse
servio.
Destino Especifica o FQDN, tambm chamado de nome completo do
computador, que fornece o servio.

O seguinte exemplo mostra um registro SRV de um computador:
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft

O registro SRV indica que o computador possui os seguintes servios ou
caractersticas:

Fornece o servio LDAP
Fornece o servio LDAP usando o protocolo de transporte TCP
Mantm o registro SRV no domnio DNS contoso.msft
Apresenta TTL de 600 segundos ou 10 minutos
Tem o FQDN london.contoso.msft

Tipos de relaes de confiana


Relaes de confiana so os mecanismos que garantem que um usurio
autenticado em seu prprio domnio poder acessar recursos em qualquer
domnio confivel. No Windows Server 2003, h dois tipos de relao de
confiana: transitiva e intransitiva.

Em uma relao de confiana transitiva, a relao de confiana estendida a
um domnio automaticamente estendida a todos os outros domnios que confiam
nesse domnio. Por exemplo, o domnio D confia diretamente no domnio E, que
confia diretamente no domnio F. Como ambas as relaes de confiana so
transitivas, o domnio D confia indiretamente no domnio F e vice-versa.

Relaes de confiana transitivas so automticas. Um exemplo de relao
de confiana transitiva a que ocorre entre pai e filho. Relaes de confiana
intransitivas no so automticas e devem ser configuradas. Um exemplo de
relao de confiana intransitiva uma relao de confiana externa, como a
relao entre um domnio em uma floresta e um domnio em outra floresta.

No Windows Server 2003, h trs direes de relaes de confiana:
entrada unidirecional, sada unidirecional e bidirecional. No domnio B, se voc
configurar uma relao de confiana de entrada unidirecional entre o domnio B e
o domnio Q, os usurios do domnio B podero ser autenticados no domnio Q.
Se voc configurar uma relao de confiana de sada unidirecional entre o
domnio B e o domnio Q, os usurios do domnio Q podero ser autenticados no
domnio B. Uma relao de confiana bidirecional significa que ambos os domnios
podero autenticar usurios do outro domnio.

O Windows Server 2003 oferece suporte aos tipos de relao de confiana
mencionados a seguir, nas categorias transitiva e intransitiva.

Tipo Transitividade Use quando desejar
Atalho Parcialmente transitiva Reduzir saltos de autenticao Kerberos.
Floresta Parcialmente transitiva Habilitar a autenticao entre florestas.
Externo

Intransitiva

Configurar uma relao de confiana
entre um domnio em uma floresta e um
domnio em outra floresta.

Territrio Escolha do usurio --
transitiva ou
intransitiva
Confiar em um territrio Kerberos
externo.

Um territrio um conjunto de objetos de segurana em um ambiente no-
Windows sujeito autenticao Kerberos.

Relaes de confiana de atalho so apenas parcialmente transitivas, pois
a transitividade da relao de confiana s estendida de cima para baixo na
hierarquia dos domnios confiveis . e no de baixo para cima. Por exemplo, como
uma relao de confiana de atalho existe entre o domnio E e o domnio A, o
Active Directory estende a relao de confiana para o domnio filho, o domnio C,
mas no de baixo para cima na hierarquia para o domnio raiz da floresta. Os
usurios no domnio E s podem acessar recursos no domnio raiz da floresta
atravs da relao de confiana pai/filho com o domnio D e atravs da relao de
confiana de rvore/raiz que o domnio D tem com o domnio raiz da floresta.

Relaes de confiana de floresta tambm so apenas parcialmente
transitivas, pois elas s podem ser criadas entre duas florestas e no podem ser
implicitamente estendidas a uma terceira floresta. Por exemplo, se a floresta 1
confia na floresta 2 e a floresta 2 confia na floresta 3, os domnios na floresta 1
confiam transitivamente nos domnios na floresta 2 e os domnios na floresta 2
confiam transitivamente nos domnios na floresta 3. No entanto, a floresta 1 no
confia transitivamente na floresta 3.

Como relaes de confiana funcionam em uma floresta


As relaes de confiana permitem que os usurios de um domnio
acessem recursos em outro domnio. Relaes de confiana podem ser transitivas
ou intransitivas.

Quando um usurio tenta acessar um recurso em outro domnio, o
protocolo de autenticao Kerberos verso 5 deve determinar se o domnio
confiante . isto , o domnio que contm o recurso que o usurio est tentando
acessar . tem uma relao de confiana com o domnio confivel . isto , o
domnio ao qual o usurio est se conectando.

Para determinar essa relao, o protocolo Kerberos verso 5 viaja pelo
caminho de relao de confiana utilizando o TDO para obter uma referncia ao
controlador de domnio do domnio de destino. O controlador de domnio de
destino emite uma permisso de servio para o servio solicitado. O caminho de
relao de confiana o caminho mais curto na hierarquia da relao de
confiana.

Quando o usurio no domnio confivel tenta acessar o recurso no outro
domnio, seu computador primeiro contata o controlador de domnio em seu
domnio para obter autenticao para o recurso. Se o recurso no estiver no
domnio do usurio, o controlador de domnio usar a relao de confiana com o
pai e relacionar o computador do usurio a um controlador de domnio em seu
domnio pai.

Essa tentativa de localizar um recurso continua para cima na hierarquia da
relao de confiana, possivelmente at o domnio raiz da floresta, e para baixo
at que ocorra contato com um controlador de domnio do domnio em que o
recurso est localizado.

Como relaes de confiana funcionam entre florestas



O Windows Server 2003 oferece suporte a relaes de confiana entre
florestas, o que permite a usurios em uma floresta acessar recursos em outra
floresta.

Quando um usurio tenta acessar um recurso em uma floresta confivel, o
Active Directory precisa primeiro localizar o recurso. Aps a localizao do
recurso, o usurio poder ser autenticado e poder acessar o recurso.

Compreender como esse processo funciona ajuda a solucionar problemas
que possam ocorrer em relaes de confiana entre florestas.

A descrio a seguir mostra como um computador cliente Windows 2000
Professional ou Windows XP Professional localiza e acessa um recurso em outra
floresta com servidores Windows 2000 Server ou Windows Server 2003.

1. Um usurio conectado ao domnio vancouver.nwtraders.msft tenta
acessar uma pasta compartilhada na floresta contoso.msft. O computador
do usurio contata o KDC em um controlador de domnio em
vancouver.nwtraders.msft e solicita uma permisso de servio usando o
SPN do computador no qual reside o recurso. O SPN pode ser o nome DNS
de um host ou de um domnio ou pode ser o nome distinto de um objeto de
ponto de conexo de servio.
2. O recurso no est localizado em vancouver.nwtraders.msft, portanto, o
controlador de domnio de vancouver.nwtraders.msft consulta o catlogo
global para verificar se o recurso est localizado em outro domnio da
floresta.
Como um catlogo global contm somente informaes sobre sua prpria
floresta, ele no encontra o SPN. Em seguida, o catlogo global verifica seu
banco de dados para obter informaes sobre quaisquer relaes de
confiana estabelecidas com a floresta. Caso o catlogo global encontre
alguma relao, ele compara os sufixos de nome listados no TDO da
relao de confiana de floresta ao sufixo do SPN de destino. Aps
encontrar uma correspondncia, o catlogo global fornece informaes de
roteamento sobre como localizar o recurso para o controlador de domnio
em vancouver.nwtraders.msft.
3. O controlador de domnio em vancouver.nwtraders.msft envia uma
referncia a seu domnio pai, nwtraders.msft, ao computador do usurio.
4. O computador do usurio contata um controlador de domnio em
nwtraders.msft para obter uma referncia a um controlador de domnio no
domnio raiz da floresta contoso.msft.
5. Usando a referncia retornada pelo controlador de domnio do domnio
nwtraders.msft, o computador do usurio contata um controlador de
domnio na floresta contoso.msft para obter uma permisso para o servio
solicitado.
6. O recurso no est localizado no domnio raiz da floresta contoso.msft,
ento o controlador de domnio contata seu catlogo global para encontrar
o SPN. O catlogo global encontra uma correspondncia para o SPN e a
envia ao controlador de domnio.
7. O controlador de domnio envia ao computador do usurio uma
referncia a seattle.contoso.msft.
8. O computador do usurio contata o KDC no controlador de domnio em
seattle.contoso.msft e negocia uma permisso para o usurio obter acesso
ao recurso no domnio seattle.contoso.msft.
9. O computador do usurio envia a permisso de servio do servidor ao
computador no qual est localizado o recurso, que l as credenciais de
segurana do usurio e constri um smbolo de acesso, que fornece ao
usurio acesso ao recurso.

Observao - Relaes de confiana entre florestas permitem que usurios em
uma floresta obtenham acesso a recursos em outra floresta. O Active Directory
protege relaes de confiana entre florestas usando a filtragem SID.

Como criar relaes de confiana

Use Domnios e relaes de confiana do Active Directory para criar
relaes de confiana entre florestas ou entre domnios na mesma floresta. Voc
tambm pode us-lo para criar relaes de confiana de atalho.
Antes de criar uma relao de confiana de floresta, voc deve criar uma zona de
pesquisa secundria no servidor DNS em cada floresta que aponte para o servidor
DNS na outra floresta. Criar uma zona de pesquisa secundria assegura que o
controlador de domnio na floresta em que voc criar a relao de confiana de
floresta possa localizar um controlador de domnio na outra floresta e configurar a
relao de confiana.

Para criar uma relao de confiana, siga estas etapas:

1. Abra Domnios e relaes de confiana do Active Directory.
2. Na rvore de console, siga uma destas etapas:
Para criar uma relao de confiana de floresta, clique com o boto
direito do mouse no n do domnio raiz da floresta e clique em
Propriedades.
Para criar uma relao de confiana de atalho, clique com o boto
direito do mouse no n do domnio com o qual voc deseja estabelecer
uma relao de confiana de atalho e clique em Propriedades.
Para criar uma relao de confiana externa, clique com o boto
direito do mouse no n do domnio com o qual voc deseja estabelecer
uma relao de confiana de atalho e clique em Propriedades.
Para criar uma relao de confiana de territrio, clique com o boto
direito do mouse no n do domnio que voc deseja administrar e clique
em Propriedades.
3. Na guia Relaes de confiana, clique em Nova relao de confiana
e, em seguida, clique em Avanar.
4. Na pgina Bem-vindo do Assistente de nova relao de confiana,
clique em Avanar.
5. Na pgina Nome de relao de confiana, siga uma destas etapas:
Se voc estiver criando uma relao de confiana de floresta, digite o
nome DNS da segunda floresta e clique em Avanar.
Se estiver criando uma relao de confiana de atalho, digite o nome
DNS do domnio, digite e confirme a senha da relao de confiana e
clique em Avanar.
Se voc estiver criando uma relao de confiana externa, digite o
nome DNS do domnio e clique em Avanar.
Se estiver criando uma relao de confiana de territrio, digite o
nome do territrio para o territrio de destino e clique em Avanar.
6. Na pgina Tipo de confiana, siga uma destas etapas:
Se voc estiver criando uma relao de confiana de floresta, clique
em Relao de confiana da floresta e, em seguida, clique em
Avanar.
Se estiver criando uma relao de confiana de atalho, v para a
etapa 7.
Se estiver criando uma relao de confiana externa, clique em
Relao de confiana externa e, em seguida, clique em Avanar.
Se estiver criando uma relao de confiana de territrio, clique em
Relao de confiana de territrio e, em seguida, clique em Avanar.
Na pgina Transitividade da confiana, siga um destes
procedimentos:
Para formar uma relao de confiana com o domnio e o territrio
especificado, clique em Intransitiva e, em seguida, clique em Avanar.
Para formar uma relao de confiana com o domnio, o territrio
especificado e todos os territrios confiveis, clique em Transitiva e, em
seguida, clique em Avanar.
7. Na pgina Direo da relao de confiana, siga uma destas etapas:
Para criar uma relao de confiana bidirecional, clique em
Bidirecional e siga as instrues do assistente.
Para criar uma relao de confiana de entrada unidirecional, clique
em Unidirecional: entrada e siga as instrues do assistente.
Para criar uma relao de confiana de sada unidirecional, clique em
Unidirecional: sada e siga as instrues do assistente.

Como verificar e revogar uma relao de confiana

Quando voc cria relaes de confiana intransitivas, s vezes, precisa
verificar e revogar os caminhos de relao de confiana criados. Verifique uma
relao de confiana para certificar-se de que ela pode validar solicitaes
de autenticao de outros domnios. Revogue uma relao de confiana para
evitar que o caminho de autenticao seja usado durante a autenticao. Use
Domnios e relaes de confiana do Active Directory ou o comando netdom
para verificar e revogar caminhos de relao de confiana.

Para verificar uma relao de confiana usando Domnios e relaes
confiveis do Active Directory, siga estas etapas:

1. Em Domnios e relaes de confiana do Active Directory, na rvore de
console, clique com o boto direito do mouse em um dos domnios na
relao de confiana que voc deseja verificar e, em seguida, clique em
Propriedades.
2. Na guia Relaes de confiana, em Domnios em que este domnio
confia
(relaes de confiana de sada) ou Domnios que confiam neste
domnio
(relaes de confiana de entrada), clique na relao de confiana a ser
verificada e, em seguida, clique em Propriedades.
3. Clique em Validar, clique em No validar a relao de confiana de
entrada.
4. Repita as etapas de 1 a 3 para verificar a relao de confiana do outro
domnio na relao.