Recursos adicionais

Planejando um projeto
de implantao do
Active Directory
C A P T U L O

Ao implantar o servio de diretrio Active Directory do Microsoft Windows Server 2003 em seu ambiente,
voc pode obter os benefcios do modelo administrativo centralizado e delegado e a capacidade de logon
nico proporcionada por ele. Aps identificar o ambiente atual e as metas de implantao de sua organizao,
voc pode criar uma estratgia de implantao do Active Directory que melhor atenda s necessidades da
organizao. Testar a implantao em um ambiente de laboratrio isolado e refin-la em reas piloto
selecionadas de seu ambiente de produo ajudam a assegurar uma implantao tranqila em toda a
organizao.

Neste captulo
Viso geral do planejamento de um projeto de implantao do Active Directory....4
Determinando o design e a estratgia de implantao de seu Active Directory.....8
Testando e verificando o processo de implantao...............................................21
Recursos adicionais............................................................................................... 31

Informaes relacionadas

Para obter mais informaes sobre planejamento, teste e conduo de um projeto piloto de
implantao, consulte Criando um ambiente de teste e Planejando e testando para
implantao de aplicativos, em Planejando, testando e conduzindo projetos pilotos de
implantao, neste kit.

Para obter mais informaes sobre a implantao do DNS (Sistema de Nome de Domnio)
do Windows Server 2003, consulte Implantando DNS, em Implantando servios de rede,
neste kit.

Para obter mais informaes sobre Diretiva de Grupo, consulte o Guia de Servios
Distribudos do Kit de Recursos do Microsoft Windows Server 2003 (ou consulte o Guia
de Servios Distribudos na Web em http://www.microsoft.com/reskit).

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Viso geral do planejamento de

um projeto de implantao do
Active Directory
O Active Directory, nos sistemas operacionais Microsoft Windows Server 2003, Standard Edition;
Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition, permite s
organizaes simplificar o gerenciamento de usurios e recursos, ao mesmo tempo em que cria uma infraestrutura escalonvel, segura e gerencivel. possvel usar o Active Directory para gerenciar sua infraestrutura de rede, inclusive filiais, o Microsoft Exchange Server e ambientes de vrias florestas.
Embora as diretrizes apresentadas neste livro sejam apropriadas para quase todas as implantaes de
gerenciamento de NOS (sistema operacional de rede), elas foram testadas e validadas especificamente para
ambientes que contm menos de 100.000 usurios e menos de 1.000 sites, com conexes de rede de um
mnimo de 28,8 kbps (kilobits por segundo). Se seu ambiente no atender a esses critrios, considere usar
uma firma de consultoria com experincia na implantao do Active Directory em ambientes mais
complexos.
Implantar o Active Directory proporciona os seguintes benefcios sua organizao:

Administrao e gerenciamento de recursos simplificados. possvel delegar a

administrao a todos os nveis da organizao e usar Diretivas de Grupo para centraliz-la.

Maior segurana de rede e logon nico para usurios. O Active Directory oferece suporte
a vrios protocolos de autenticao e certificados X.509, bem como a cartes inteligentes.

Interoperabilidade com outros servios de diretrio. O Active Directory fornece

interfaces abertas baseadas em padres que interoperam com outros aplicativos e servios de
diretrio, como aplicativos de email.

Recursos que reduzem os custos administrativos, aumentam a segurana e

proporcionam funcionalidade adicional. As parties de diretrio de aplicativos permitem
a definio de configuraes para replicao de dados especficos a aplicativos nos
controladores de domnio. Ao elevar os nveis funcionais de domnio ou floresta para o
Windows Server 2003, voc pode fazer o seguinte:

Renomear domnios e controladores de domnio

Estabelecer confiana bidirecional entre florestas

Reestruturar florestas

Aprimorar a replicao

Remover algumas limitaes em ambientes com grande nmero de sites

Recursos adicionais

Embora o design e as estratgias de implantao do Active Directory do Windows Server 2003 apresentados
neste livro se baseiem em exaustivo teste de laboratrio e de programa piloto e em implementao com xito
em ambientes de clientes, convm personalizar o design e a implantao de seu Active Directory para um
melhor ajuste a ambientes especficos e complexos. Para obter mais informaes sobre a implantao do
Active Directory em ambiente de filiais, consulte o Guia de Planejamento de Filiais do Active Directory.
Para obter mais informaes sobre a implantao do Active Directory em ambiente Exchange, consulte
Prticas Recomendadas de Design do Active Directory para Exchange 2000. Para obter mais informaes
sobre a implantao do Active Directory em ambiente de vrias florestas, consulte Consideraes sobre
Vrias Florestas. Para fazer download desses guias, consulte o link Active Directory na pgina Web
Resources (Recursos na Web), em http://www.microsoft.com/windows/reskits/webresources (em ingls), e
clique em Planning & Deployment Guides.
Este livro tambm oferece fluxogramas, ajudas de trabalho e exemplos de implantao para auxili-lo a
otimizar o design e o processo de implantao de seu Active Directory.

Processo de planejamento de um projeto

de implantao do Active Directory
Para planejar um projeto de implantao do Active Directory do Windows Server 2003, determine
primeiramente o design e a estratgia de implantao, testando-os e verificando-os em seguida. A Figura 1.1
mostra o processo de planejamento do projeto de implantao de seu Active Directory.
Figura 1.1 Planejando um projeto de implantao do Active Directory

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Informaes gerais do Active Directory

Antes de criar e implantar o Active Directory do Windows Server 2003, familiarize-se com o ciclo do projeto
de implantao do Active Directory, bem como com os termos a ele relacionados necessrios durante o
processo de implantao do Active Directory do Windows Server 2003.

Ciclo do projeto de implantao do Active Directory

Um projeto de implantao do Active Directory compreende trs fases: uma fase de design, uma fase de
implantao e uma fase de operaes. Durante a fase de design, a equipe de design cria um projeto para a
estrutura lgica do Active Directory que melhor atenda s necessidades de cada diviso da organizao que
usar o servio de diretrio. Aprovado o projeto, a equipe de implantao testa o design em ambiente de
laboratrio e, em seguida, faz a implementao no ambiente de produo. Como o teste executado pela
equipe de implantao e, potencialmente, afeta a fase de design, pois trata-se de uma atividade intermediria
que se refere tanto ao design, quanto implantao. Concluda a implantao, a equipe de operaes fica
responsvel pela manuteno do servio de diretrio.
O teste de laboratrio e a implementao de um programa piloto continuam por todo o tempo de vida da
implantao do Active Directory.
A Figura 1.2 mostra a relao entre as fases do ciclo do projeto do Active Directory referente ao tempo de
vida do projeto de implantao.
Figura 1.2 Relao entre as fases do ciclo do projeto do Active Directory

Recursos adicionais

Termos e definies
Os termos a seguir so importantes para a compreenso do processo de implantao do Active Directory do
Windows Server 2003.

Domnio do Active Directory

Uma unidade administrativa em uma rede computacional que, por questo de convenincia gerencial, agrupa
diversos recursos, dentre os quais:

Identidade de usurio em nvel de rede. Os domnios permitem que identidades de usurio

sejam criadas uma vez e ganhem referncia em qualquer computador que esteja unido
floresta em que o domnio est localizado. Os controladores de domnio que constituem um
domnio so usados para armazenar contas e credenciais de usurios, como senhas ou
certificados, de maneira segura.

Autenticao. Os controladores de domnio fornecem servios de autenticao de usurios e

disponibilizam dados de autorizao adicionais, como associaes em grupos de usurios.
Esses servios podem ser usados para controlar o acesso a recursos da rede.

Relaes de confiana. Os domnios estendem os servios de autenticao para usurios em

outros domnios de sua prpria floresta, por meio de relaes de confiana bidirecionais
automticas, e para usurios em domnios de outras florestas, por meio de relaes de
confiana externas ou de florestas criadas manualmente.

Administrao de diretivas. O domnio um escopo de diretrizes administrativas, como

complexidade e regras para reutilizao de senhas.

Replicao. O domnio define uma partio da rvore de diretrio que fornece os dados
adequados para proporcionar os servios necessrios e que so replicados entre os
controladores de domnio. Dessa forma, todos os controladores de domnio so pares em um
domnio e so gerenciados como uma unidade.

Floresta do Active Directory

Um conjunto de um ou mais domnios do Active Directory que compartilha estrutura lgica, esquema de
diretrio e configurao de rede comuns, bem como relaes de confiana transitivas, bidirecionais e
automticas. Cada floresta uma instncia nica do diretrio e define um limite de segurana.

Nvel funcional do Active Directory

Uma configurao do Active Directory do Windows Server 2003 que habilita recursos avanados em nvel de
domnio ou de floresta.

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Migrao
O processo de mover um objeto de um domnio de origem para um domnio de destino, preservando-se ou
modificando-se suas caractersticas para torn-lo acessvel no novo domnio.

Reestruturao de domnio
Um processo de migrao que envolve a modificao da estrutura de domnio de uma floresta. Uma
reestruturao de domnio pode abranger a consolidao ou a adio de domnios e pode acontecer dentro de
uma floresta ou entre florestas.

Consolidao de domnio
Um processo de reestruturao que compreende a eliminao de domnios do Microsoft Windows NT 4.0
ou do Active Directory, mesclando seus contedos com o contedo de outros domnios.

Atualizao de domnio
O processo de atualizar o servio de diretrio de um domnio para uma verso posterior do servio de
diretrio. Isso compreende atualizar o sistema operacional em todos os controladores de domnio e elevar o
nvel funcional do Active Directory, onde aplicvel.

Atualizao de domnio in-loco

O processo de atualizao do sistema operacional em todos os controladores de domnio que se baseiam no
sistema operacional Windows NT 4.0 ou no Microsoft Windows 2000 e elevar o nvel funcional do
domnio, se aplicvel, embora deixando objetos do domnio, como usurios e grupos, in loco.

Domnio regional
Um domnio filho criado com base em uma regio geogrfica para otimizar o trfego de replicao.

Determinando o design e a
estratgia de implantao de seu
Active Directory
Aps realizar uma avaliao de nvel alto de seu ambiente atual e determinar as metas de implantao de seu
Active Directory, voc poder determinar a estratgia de implantao que melhor funcione para seu
ambiente. A Figura 1.3 mostra as etapas para a definio do processo de implantao de seu Active Directory.

Recursos adicionais

Figura 1.3 Determinando o design e a estratgia de implantao

A estratgia de implantao do Active Directory a ser aplicada varia de acordo com a configurao da rede
existente. Por exemplo, se sua organizao atualmente executa o Windows 2000, voc pode simplesmente
atualizar seu sistema operacional para o Windows Server 2003. Se sua organizao executa atualmente o
Windows NT 4.0 ou um sistema operacional que no seja o Windows, ser necessrio, todavia, criar uma
infra-estrutura do Active Directory antes de fazer a atualizao para o Windows Server 2003.
Seu processo de implantao pode envolver a reestruturao de domnios existentes, seja dentro de uma
floresta, seja entre florestas do Active Directory. Talvez seja necessrio reestruturar os domnios existentes
aps implantar o Active Directory do Windows Server 2003 ou aps fazer alteraes organizacionais ou
aquisies corporativas. Tambm possvel reestruturar domnios a partir de um ambiente Windows NT 4.0
para uma floresta do Active Directory, para atualizar seu ambiente de produo para o Windows Server 2003.

10

CAPTULO 1

Planejando um projeto de implantao do Active Directory

A Tabela 1.1 lista os possveis pontos de partida e metas para uma implantao do Active Directory do
Windows Server 2003 e as etapas de implantao e os captulos correspondentes neste livro que se aplicam a
cada um deles.
Tabela 1.1 Ambiente atual, metas e captulos correspondentes para implantao do Active
Directory do Windows Server 2003
Ambiente

Nova
organizao

Metas de implantao

Captulos correspondentes

Criar projeto de
floresta, domnio, DNS
e unidade
organizacional.

Captulo 2: Criando a estrutura lgica do Active

Directory

Criar projeto de um site

e link do site.

Captulo 3: Criando a topologia de site

Avaliar requisitos de
hardware.

Captulo 4: Planejando a capacidade dos

controladores de domnio

Implantar domnio raiz

de floresta.

Captulo 6: Implantando o domnio raiz de

floresta do Windows Server 2003

Implantar domnios
regionais.

Captulo 7: Implantando domnios regionais do

Windows Server 2003

Elevar os nveis
Captulo 5: Habilitando recursos avanados do
funcionais de domnio e Active Directory do Windows Server 2003
floresta.
Windows NT 4.0

Criar projeto de
floresta, domnio, DNS
e unidade
organizacional.

Captulo 2: Criando a estrutura lgica do Active

Directory

Criar projeto de um site

e link do site.

Captulo 3: Criando a topologia de site

Avaliar requisitos de
hardware.

Captulo 4: Planejando a capacidade dos

controladores de domnio

Implantar domnio raiz

de floresta.

Captulo 6: Implantando o domnio raiz de

floresta do Windows Server 2003

Implantar domnios
regionais.

Captulo 7: Implantando domnios regionais do

Windows Server 2003

Atualizar domnios do
Captulo 8: Atualizando domnios do
Windows NT 4.0 in-loco Windows NT 4.0 para Active Directory do
que continuaro
Windows Server 2003
fazendo parte da
estrutura de domnio de
seu Active Directory.

Recursos adicionais

Reestruturar outros
domnios do
Windows NT 4.0.

11

Captulo 10: Reestruturando domnios do

Windows NT 4.0 para uma floresta do Active
Directory

Elevar os nveis
Captulo 5: Habilitando recursos avanados do
funcionais de domnio e Active Directory do Windows Server 2003
floresta.

Windows 2000

Atualizar controladores
de domnio do
Windows 2000.

Captulo 9: Atualizando domnios do Windows

2000 para domnios do Windows Server 2003

Elevar os nveis
Captulo 5: Habilitando recursos avanados do
funcionais de domnio e Active Directory do Windows Server 2003
floresta.

12

CAPTULO 1

Planejando um projeto de implantao do Active Directory

A Tabela 1.2 lista as metas e os captulos correspondentes que se aplicam reestruturao de domnios dentro
de uma floresta ou entre florestas.
Tabela 1.2 Metas e captulos correspondentes para reestruturao de domnios do Active
Directory
Ao

Reestruturar
domnios
dentro de
uma floresta

Reestruturar
domnios
entre
florestas

Metas de implantao

Captulos correspondentes

Criar projeto de floresta,

domnio, DNS e unidade
organizacional.

Captulo 2: Criando a estrutura

lgica do Active Directory

Criar projeto de um site e

link do site.

Captulo 3: Criando a topologia

de site

Usar uma ferramenta,

como a ADMT (ferramenta
de migrao do Active
Directory), para
reestruturar domnios
dentro de uma floresta.

Captulo 12: Reestruturando

domnios do Active Directory
dentro de uma floresta

Criar projeto de floresta,

domnio, DNS e unidade
organizacional.

Captulo 2: Criando a estrutura

lgica do Active Directory

Criar projeto de um site e

link do site.

Captulo 3: Criando a topologia

de site

Usar uma ferramenta como Captulo 11: Reestruturando

a ADMT para reestruturar
domnios do Active Directory
domnios entre florestas.
entre florestas

Determinando os requisitos de design de

seu Active Directory
Se seu ambiente de rede atualmente operar sem um servio de diretrio, ou se for necessrio modificar sua
infra-estrutura atual do Active Directory, efetue o processo de design de infra-estrutura do Active Directory.
necessrio realizar um design abrangente da estrutura lgica de seu Active Directory antes de implant-lo.
Preparar minuciosamente o design de seu Active Directory essencial para obter uma implantao
econmica.

Design da estrutura lgica

Antes de implantar o Active Directory do Windows Server 2003, necessrio planejar e criar a estrutura
lgica do Active Directory para seu ambiente. A estrutura lgica do Active Directory determina como os
objetos de diretrio so organizados e proporciona um mtodo eficaz de gerenciamento das contas e dos
recursos compartilhados de sua rede. Ao criar a estrutura lgica do Active Directory, voc define uma parte
significativa da infra-estrutura de rede de sua organizao.

Recursos adicionais

Para criar a estrutura lgica do Active Directory, determine o nmero de florestas necessrias para sua
organizao e, em seguida, crie projetos para domnios, DNS e unidades organizacionais.

13

14

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Design da topologia de site

Aps criar a estrutura lgica para a infra-estrutura de seu Active Directory, necessrio criar a topologia de
site para sua rede. A topologia de site uma representao lgica de sua rede fsica. Ela contm informaes
sobre a localizao dos sites do Active Directory, os controladores de domnio do Active Directory de cada
site e os links dos sites que oferecem suporte replicao do Active Directory entre sites.

Planejamento da capacidade dos controladores de domnio

Para garantir um desempenho eficaz do Active Directory, necessrio determinar o nmero apropriado de
controladores de domnio para cada site e verificar se eles atendem aos requisitos de hardware do Windows
Server 2003. Um planejamento cuidadoso da capacidade de seus controladores de domnio assegura que os
requisitos de hardware no sejam subestimados, o que poderia causar um mau desempenho dos controladores
de domnio e do tempo de resposta dos aplicativos.

Recursos avanados do Active Directory

Os nveis funcionais do Active Directory do Windows Server 2003 permitem a habilitao de novos recursos,
como replicao de associao de grupo aprimorada, desativao e redefinio de atributos e classes no
esquema e relaes de confiana de floresta que exigem que todos os controladores de domnio no interior do
domnio ou da floresta participante executem o Windows Server 2003. Parte do processo de design do Active
Directory envolve a identificao dos nveis funcionais de domnio e floresta de que sua organizao
necessita. Para implementar esses recursos do Active Directory do Windows Server 2003 em sua
organizao, necessrio implantar primeiro o Active Directory e, em seguida, elevar a floresta e o domnio
para o nvel funcional apropriado.

Determinando os requisitos de
implantao de seu Active Directory
A estrutura do ambiente existente que determina a estratgia de implantao do Active Directory do
Windows Server 2003. Se voc estiver criando um ambiente do Active Directory e no houver uma estrutura
de domnio existente, ser necessrio concluir o design de seu Active Directory antes de criar o ambiente. Em
seguida, voc poder implantar um novo domnio raiz de floresta e o restante de sua estrutura de domnio, de
acordo com seu design.

Raiz de floresta do Windows Server 2003

Para implantar o Active Directory, necessrio implantar primeiro o domnio raiz de floresta do Windows
Server 2003. Para tanto, necessrio configurar o DNS, implantar controladores de domnio raiz de floresta,
configurar a topologia de site para o domnio raiz da floresta e configurar as funes de mestre de operaes.

Recursos adicionais

15

Domnios regionais do Windows Server 2003

Se voc estiver criando um ou mais domnios regionais novos em uma floresta do Windows Server 2003,
ser necessrio implantar cada domnio regional aps a implantao do domnio raiz da floresta. Para tanto,
necessrio delegar uma zona DNS e implantar controladores de domnio para cada domnio regional.

Atualizao de domnios do Windows NT 4.0 para o

Windows Server 2003
Ao realizar uma atualizao in-loco de domnios do Windows NT 4.0, possvel comear a usar o Active
Directory sem ter que fazer nenhuma modificao na estrutura de domnio existente.
Como alternativa, caso voc no deseje preservar a estrutura de domnio existente, reestruture os domnios
do Windows NT 4.0 para uma floresta do Windows Server 2003. Para obter mais informaes sobre a
reestruturao de domnios do Windows NT 4.0 para uma floresta do Windows Server 2003, consulte
"Determinando seus requisitos de reestruturao", mais adiante neste captulo.

Atualizao de domnios do Windows 2000 para o

Windows Server 2003
Atualizar seus domnios do Windows 2000 para o Windows Server 2003 um modo eficiente e direto de
aproveitar os recursos e a funcionalidade adicional do Windows Server 2003. A atualizao do
Windows 2000 para o Windows Server 2003 requer configurao de rede mnima e tem pouco impacto nas
operaes do usurio.

Determinando seus requisitos de

reestruturao
Como parte da implantao do Active Directory, talvez seja conveniente reestruturar seu ambiente. Antes de
fazer isso, necessrio determinar quando e como desejvel reestruturar o ambiente. Organizaes com
estrutura de domnio do Windows NT 4.0 existente podem preferir realizar uma atualizao in-loco de alguns
domnios e reestruturar outros. Alm disso, voc pode decidir reduzir a complexidade do ambiente,
reestruturando domnios entre florestas ou reestruturando domnios dentro de uma floresta, aps a
implantao do Active Directory.

Reestruturao de domnios do Windows NT 4.0 para

uma floresta do Windows Server 2003
Devido a sua maior escalabilidade, um ambiente do Active Directory do Windows Server 2003 requer menos
domnios do que um ambiente do Windows NT 4.0. Em vez de executar uma atualizao in-loco de seus
domnios do Windows NT 4.0, talvez seja mais eficiente consolidar uma srie de domnios menores de
contas e recursos do Windows NT 4.0 em alguns domnios maiores do Active Directory.

16

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Reestruturao de domnios do Active Directory entre

florestas
Ao reestruturar domnios entre florestas do Windows Server 2003, voc pode reduzir o nmero de domnios
em seu ambiente e, assim, reduzir a complexidade e a sobrecarga administrativa. Quando objetos so
migrados entre florestas, como parte do processo de reestruturao, os ambientes de domnio de origem e de
destino existem simultaneamente. Isso permite a reverso para o ambiente de origem durante a migrao, se
necessrio.

Reestruturao de domnios do Active Directory

intrafloresta
Ao reestruturar domnios do Windows Server 2003 dentro de uma floresta do Windows Server 2003, voc
pode consolidar sua estrutura de domnio e, assim, reduzir a complexidade e a sobrecarga administrativa. Ao
contrrio do processo de reestruturao de domnios do Windows Server 2003 entre florestas, quando
domnios so reestruturados dentro de uma floresta, as contas migradas no existem mais no domnio de
origem.
A Tabela 1.3 lista as diferenas entre uma reestruturao de domnios entre florestas e intrafloresta.
Tabela 1.3 Diferenas entre reestruturaes de domnios entre florestas e intrafloresta
Considerao
de migrao

Reestruturao entre
florestas

Reestruturao intrafloresta

Preservao
de objetos

Os objetos so copiados, e
no migrados. O objeto
original permanece no local
de origem para manter o
acesso dos usurios aos
recursos.

Os objetos so migrados e no
existem mais no local de
origem.

Manuteno
de histrico
SID

A manuteno de histrico
SID opcional.

O histrico SID obrigatrio.

Reteno de
senha

A reteno de senha
opcional.

As senhas so sempre retidas.

Migrao de
perfil de local

necessrio usar
ferramentas como a ADMT
para migrar perfis de local.

No caso de estaes de
trabalho que executam o
Windows 2000 e posteriores, os
perfis de local so migrados
automaticamente, uma vez que
a GUID de usurio preservada.
Entretanto, necessrio usar
ferramentas como a ADMT para
migrar perfis de local de
estaes de trabalho que
executam o Windows NT 4.0 ou

Recursos adicionais

anterior.
Conjuntos
fechados

No necessrio migrar
contas em conjuntos
fechados.

necessrio migrar contas em

conjuntos fechados.

17

18

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Exemplo: estabelecendo uma estratgia

de implantao do Active Directory
Para ilustrar o processo de implantao do Active Directory, os captulos deste livro apresentam um exemplo
de como uma empresa fictcia, a Contoso Pharmaceuticals, implanta o Active Directory em seu ambiente. O
ambiente da Contoso consiste em quatro domnios, todos os quais executam o Active Directory do Windows
2000. A Figura 1.4 mostra a estrutura de domnio atual da corporao Contoso.
Figura 1.4 Estrutura de domnio da corporao Contoso

Aps analisar o ambiente existente e identificar suas metas de implantao, a Contoso estabeleceu a seguinte
estratgia de implantao do Active Directory:

Atualizar domnios do Windows 2000 para domnios do Windows Server 2003

Habilitar recursos avanados do Active Directory, elevando os nveis funcionais de domnio

e floresta.

Aps atualizar todos os domnios do Windows 2000 para o Windows Server 2003, a Contoso reestruturar o
domnio africa.concorp.contoso.com dentro da floresta para consolid-lo com o domnio
emea.concorp.contoso.com.

Recursos adicionais

19

A corporao Contoso est adquirindo uma empresa chamada Trey Research, que atualmente executa um
ambiente com base no Windows NT 4.0, como mostrado na Figura 1.5.
Figura 1.5 Ambiente atual da Trey Research

A Contoso estabeleceu a seguinte estratgia de implantao do Active Directory para a aquisio da Trey
Research:

Design da estrutura lgica do Active Directory, para criar projetos de floresta, domnio, DNS
e unidade organizacional para o novo ambiente do Windows Server 2003.

Design da topologia de site, para criar os sites, links de site e pontes de links de site
necessrios.

Planejamento de capacidade de controladores de domnio, para determinar os requisitos de

hardware do novo ambiente do Windows Server 2003.

Implantao de trccorp.treyresearch.net como domnio raiz de floresta.

Implantao de trs domnios regionais. Equipes diferentes podem criar esses domnios
simultaneamente.

Atualizao do domnio EAST para o Windows Server 2003, de modo a se tornar

east.trccorp.treyresearch.net.

Criao de dois novos domnios regionais do Windows Server 2003, denominados

asia.trccorp.treyresearch.net e west.trccorp.treyresearch.net.

Reestruturao dos domnios BOSTON, MAIL-APPS, PROD-APPS e OFFICE-APPS para

o domnio do Windows Server 2003 east.trccorp.treyresearch.net, usando ADMT.

Elevao dos nveis funcionais de domnio e floresta para o Windows Server 2003.

A Figura 1.6 mostra o ambiente intermedirio da Trey Research.

20

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Figura 1.6 Ambiente intermedirio da Trey Research

Em um momento posterior, a Contoso estabeleceu que um nico domnio para as regies Europa, Oriente
Mdio e sia seria mais econmico, de modo que a etapa final do processo de implantao foi reestruturar
asia.trccorp.treyresearch.net no domnio emea.concorp.contoso.com na floresta da Contoso, usando ADMT.
A Figura 1.7 mostra a estrutura de domnio da corporao Contoso aps a aquisio da Trey Research e da
concluso do processo de implantao do Active Directory do Windows Server 2003.
Figura 1.7 Ambiente final da Contoso e da Trey Research

Recursos adicionais

21

Testando e verificando o processo

de implantao
Em toda a implantao do Active Directory, possvel minimizar o impacto em operaes comerciais
normais testando as suposies de design e verificando o processo de implantao em um programa piloto.
medida que voc for criando o primeiro esboo de design de seu Active Directory, comece o teste e a
verificao. Os testes e as verificaes tm incio durante a fase de design e continuam nas fases de
implantao e de operaes.
A Figura 1.8 mostra o processo de teste e verificao do design e da implantao do Active Directory.
Figura 1.8 Testando e verificando o design e a implantao do Active Directory

Testando o design e a implantao em

ambiente de laboratrio
O teste de laboratrio a primeira avaliao do design do Active Directory. Durante o teste laboratorial,
possvel confirmar as suposies feitas pelos arquitetos de design.
medida que o primeiro esboo de design do Active Directory for ficando pronto, comece a testar
suposies de design especficas do processo de implantao em ambiente de laboratrio. Testando o
processo de implantao em laboratrio, possvel descobrir problemas de design em potencial que podem
afet-lo e apresentar comentrios equipe de design para corrigir os problemas antes da implantao.

22

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Verifique se o ambiente de laboratrio de teste est isolado do resto da rede de produo de sua organizao e
represente, em uma escala pequena, a configurao de hardware e sistema operacional dos computadores na
organizao. Inclua controladores de domnio no ambiente de laboratrio suficientes para oferecer suporte a
uma amostra representativa de seu design de site, inclusive parceiros de replicao intra-site e entre sites,
links de site e intervalos de replicao realistas.
Inclua contas de usurio e de grupo e outros recursos exclusivamente designados para o teste. Garanta que
seu ambiente de teste d acesso a configuraes de teste de servios externos, como acesso ao mainframe ou
Internet, conforme a necessidade. Preserve o laboratrio para testar novos procedimentos e treinar a equipe
de implantao.
A equipe de implantao pode usar o ambiente de laboratrio para conhecer as especificidades de seu
processo de implantao e ganhar familiaridade com as ferramentas de implantao e migrao usadas
durante a implantao do Active Directory.
Normalmente, os testes de suposies de design e os testes do processo de implantao so realizados por
equipes diferentes. A Tabela 1.4 lista os testes de laboratrio e os membros de equipe que os realizam no
laboratrio.
Tabela 1.4 Testes de laboratrio e membros de equipe correspondentes
Processo de teste

Testar suposies
de design

Testar processo de
implantao

Testes de laboratrio

Membros de equipe

Analisar a replicao e a
topologia de site do Active
Directory.

Equipe de design,
proprietrio da topologia de
site e equipe de
implantao.

Testar compatibilidade de
aplicativos e rea de
trabalho.

Equipe de design.

Testar a recuperao de
desastres.

Proprietrio da floresta e
equipe de implantao.

Testar a migrao de
contas e recursos.

Proprietrio da floresta e
equipe de implantao.

Avaliar delegao,
administrao e
gerenciamento.

Proprietrio da floresta.

Testando suposies de design

Durante o processo de design, a equipe de design faz suposies que so incorporadas ao design do Active
Directory, como replicao e compatibilidade de aplicativos. Depois que a equipe conclui um esboo
preliminar do design, ela deve por prova essas suposies no ambiente de laboratrio.
Para testar as suposies de design no ambiente de laboratrio, a equipe de design deve:

Analisar a replicao e a topologia de site do Active Directory.

Recursos adicionais

Desenvolver um plano de teste e, em seguida, testar a compatibilidade de aplicativos e rea

de trabalho.

23

24

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Analisar a replicao e a topologia de site do Active Directory

O design da topologia de site especifica latncia mxima de replicao. Trata-se da quantidade de tempo
necessria para replicar alteraes em toda a floresta. A equipe de design deve verificar se a latncia de
replicao em nvel de floresta menor ou igual latncia mxima de replicao especificada no design. A
equipe deve realizar um teste de caso extremo, com base no nmero mximo de saltos pressupostos no
design. A equipe deve observar o tempo necessrio para a convergncia de replicao quando um controlador
de domnio ou link de comunicaes falha.

Para analisar a replicao entre sites e o failover de sites do Active Directory

1. Identifique os controladores de domnio responsveis pela replicao entre sites, usando os
Sites e Servios do Active Directory.
2. Desconecte os controladores de domnio ou desabilite os links de comunicaes usados em
replicao entre sites.
3. Permita que o KCC (Verificador de Consistncia de Conhecimento) configure
automaticamente a nova topologia de replicao.
4. Identifique os controladores de domnio responsveis agora pela replicao entre sites.
5. Reconecte os controladores de domnio ou habilite os links de comunicaes.
6. Verifique se a topologia de replicao entre sites retorna ao estado original, conforme
identificado na etapa 1.

Verificar compatibilidade de aplicativos e rea de trabalho

A equipe de design tambm deve determinar a compatibilidade entre aplicativos, os sistemas operacionais de
rea de trabalho e o Active Directory. Normalmente, os aspectos de teste de aplicativos afetados por uma
migrao ou atualizao do Active Directory abrangem aplicativos executados em servidores e computadores
clientes, alm do uso por acesso remoto.
Verifique as suposies de design de compatibilidade de aplicativos e rea de trabalho, criando uma lista com
todos os aplicativos crticos. Faa com que os membros da equipe de design testem cada aplicativo para
verificar se ele opera corretamente no ambiente migrado.
Ao verificar a compatibilidade de aplicativos e rea de trabalho, verifique se:

Os aplicativos de servidor existentes, como aqueles em execuo atualmente em um BDC

(controlador de domnio de backup) do Windows NT 4.0, podem ser executados em
servidores membros e controladores de domnio baseados no Windows Server 2003.
Por exemplo, alguns aplicativos de servidor executados em BDCs aproveitam os Grupos
Locais Compartilhados. Para executar esses aplicativos de servidor em um controlador de
domnio baseado no Windows Server 2003, verifique se os aplicativos so executados
corretamente, usando grupos locais de domnio do Active Directory.

Os aplicativos de servidores executados em um misto de servidores baseados no Windows

Server 2003 e no Windows NT 4.0 conseguem interoperar uns com os outros.
Por exemplo, verifique se um servidor baseado no Windows Server 2003, executando o
Microsoft SQL Server, consegue interagir com um servidor com base no
Windows NT 4.0 executando o mesmo aplicativo.

Recursos adicionais

Os aplicativos de rea de trabalho existentes podem ser executados corretamente, quando a

infra-estrutura de domnio migrada para o Active Directory do Windows Server 2003.

Os aplicativos existentes que usam segurana Windows integrada podem ser executados
corretamente, quando a infra-estrutura de domnio migrada para o Active Directory do
Windows Server 2003.

25

Se voc descobrir que um aplicativo de servidor no pode ser migrado para um controlador de domnio com
base no Windows Server 2003, tente reinstalar o aplicativo ou uma verso posterior do aplicativo em um
servidor membro baseado no Windows Server 2003. Se o aplicativo no puder ser executado em um servidor
que executa o Windows Server 2003, voc poder continuar executando o aplicativo em um servidor em que
o Windows NT 4.0 ou Windows 2000 seja executado.
Comente com a equipe de design que o domnio do aplicativo de servidor no pode ser atualizado in-loco ou
consolidado e deve permanecer at que esteja disponvel uma verso do aplicativo que possa ser executada
em um controlador de domnio com base no Windows Server 2003. Como meta de implantao de longo
prazo, faa a transio de todo aplicativo executado atualmente em controladores de domnio para servidores
membros.

Testando o processo de implantao

Em um ambiente de laboratrio, antes de comear o programa piloto, a equipe de implantao deve testar
tarefas especficas essenciais para o processo de implantao do Active Directory, como a migrao de contas
e recursos do Windows NT 4.0 para o Active Directory do Windows Server 2003.
Para verificar o processo de implantao no ambiente de laboratrio:

Teste a recuperao de desastres.

Teste a migrao de contas e recursos.

Avalie delegao, administrao e gerenciamento.

Testar a recuperao de desastres

Teste a recuperao de desastres em seu ambiente de laboratrio para validar que os usurios possam fazer
logon dentro de um tempo de resposta aceitvel at que um controlador de domnio seja restaurado e para
determinar o tempo necessrio para armazenar o controlador de domnio que falhou.
Para implementar um processo de recuperao de desastres em sua implantao do Active Directory, faa o
backup dos dados de Estado do Sistema em, pelo menos, dois controladores de domnio no ambiente de
laboratrio. Feito o backup dos dados, necessrio testar a validade da fita de backup e do processo de
restaurao. Teste os seguintes cenrios:

Faa uma restaurao no-autoritarista do controlador de domnio cujo banco de dados de

servios de diretrio contenha os dados corrompidos.

Faa uma restaurao autoritarista de um controlador de domnio para restaurar os dados do

Active Directory que foram apagados.

26

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Verifique se os testes representam as velocidades de conexo mais lentas de seu ambiente e o maior nmero
de contas de usurio.
Por exemplo, ao determinar o tempo necessrio para restaurar um controlador de domnio que falhou,
lembre-se de testar os dados de Estado do Sistema de seu backup para todo controlador de domnio que seja
o nico em um site conectado a uma taxa de transmisso de dados de 128 Kbps ou inferior. Alm disso, teste
a restaurao dos dados de Estado do Sistema de seu backup para todo controlador em um domnio que
contenha mais do que 20.000 contas de usurio.
Quando um controlador de domnio estiver conectado a outros controladores de domnio a uma taxa de
transmisso de dados igual ou superior a 128 Kbps, teste o processo de instalao do Active Directory em um
novo controlador de domnio e deixe a replicao do Active Directory repopular o banco de dados do Active
Directory.
Para obter mais informaes sobre testes de recuperao de desastres, consulte o link Active Directory
Disaster Recovery (.doc), na pgina Web Resources, em
http://www.microsoft.com/windows/reskits/webresources (em ingls).

Testar a migrao de contas e recursos

Para testar o processo de implantao quanto migrao de contas e recursos, use os procedimentos
apresentados no captulo sobre o processo de reestruturao que voc est planejando. Organizaes que
planejam reestruturar domnios do Windows NT 4.0 tambm podem executar os seguintes testes em seu
processo de reestruturao:

Para testar o processo de implantao quanto migrao de contas e recursos

1. Em dois ou mais domnios de contas Windows NT 4.0 de produo, crie novos controlados
de domnio de backup (BDCs).
2. Remova os novos BDCs da rede de produo.
3. Instale os novos BDCs no ambiente de laboratrio.
4. Promova os novos BDCs a PDCs (controladores de domnio primrios).
5. Execute atualizaes in-loco e reestruture os domnios de conta em seu laboratrio.
6. Faa migraes de contas e recursos, usando uma ferramenta de migrao tal como a
ADMT.
7. Verifique se as contas migradas tm acesso aos recursos e preserve os perfis de usurio.

Recursos adicionais

27

Avaliar delegao, administrao e gerenciamento

Avalie os processos de delegao, administrao e gerenciamento, criando a estrutura de unidades
organizacionais especificada em seu design do Active Directory. Delegue o controle das unidades
organizacionais a contas de grupo especficas utilizadas para administrao. Siga estas etapas para verificar o
xito da delegao:

Para verificar o xito da delegao do controle de unidades organizacionais a

grupos especficos
1. Faa logon como um usurio que pertence conta de grupo qual o controle foi
delegado.
2. Execute tarefas administrativas em objetos dentro da unidade organizacional (por
exemplo, modifique as propriedades de um usurio em uma unidade organizacional
da conta).
3. Faa uma tentativa e, subseqentemente, falhe para executar tarefas administrativas
em unidades organizacionais s quais o grupo administrativo no tem controle
delegado.

Verificando a implantao de um
programa piloto
No ambiente de laboratrio, verifique se o processo de implantao funciona fora de seu ambiente de
produo, em contas e recursos que se aproximam de seu ambiente de produo. Se seu ambiente executar o
Active Directory do Windows 2000, use o programa piloto existente para verificar a implantao do
Windows Server 2003. No programa piloto de implantao, identifique um subconjunto controlado das
contas (de usurios, grupos e servios) e recursos que existem no ambiente de produo. Realize o processo
de implantao nas contas e nos recursos identificados.
As metas do programa piloto compreendem:

Estender o teste a um subconjunto do ambiente de produo.

Providenciar um ambiente de teste para outros grupos de design e implantao, como a

implantao do Exchange 2000.

Verificar o processo e os procedimentos de atualizao de infra-estrutura de rede e sistema

operacional.

Verificar a operao adequada das atualizaes de aplicativos.

Avaliar o impacto do monitoramento de solues na infra-estrutura de rede e nos servidores

monitorados.

Descobrir quaisquer problemas potenciais no processo de implantao causados por

complexidades que no puderam ser modeladas no ambiente de laboratrio.

Examinar o processo de implantao para corrigir quaisquer problemas descobertos antes da

implantao de produo.

28

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Em sua implantao piloto, comece com os usurios envolvidos no projeto de implantao e, em seguida,
inclua usurios representativos da populao de usurios.

Recursos adicionais

Importante
Ao migrar usurios de produo para o piloto, deixe as contas de
usurio habilitadas nos ambientes de produo e piloto. Deixando as
contas de usurio habilitadas no ambiente de produo, voc fornecer
um plano de fallback, se ocorrerem problemas no ambiente piloto.

Para criar um programa piloto de implantao em seu ambiente

1. Crie domnio_raiz_floresta (onde domnio_raiz_floresta o nome de um domnio
raiz de floresta vazio do Active Directory criado acrescentando-se -teste ao nome
do domnio raiz de floresta de produo).
2. Crie domnio_regional (onde domnio_regional o nome de domnio regional no
programa piloto) acrescentando -teste a um domnio regional de produo.
3. Estabelea as relaes de confiana apropriadas entre domnio_regional e
domnio_winnt (onde domnio_winnt um domnio de contas ou recursos do
Windows NT 4.0).
4. Migre as contas e os recursos selecionados de domnio_winnt para
domnio_regional.
5. Verifique se os usurios e administradores conseguem executar, no mnimo, as
mesmas tarefas que podiam antes da migrao (como acesso a recursos,
administrao de contas e administrao de recursos).

Exemplo: criando um programa piloto de implantao

para a Trey Research
A corporao Contoso e a Trey Research criaram um programa piloto para a implantao do Active
Directory. A Tabela 1.5 lista os nomes que elas forneceram para a implantao piloto.
Tabela 1.5 Exemplo de programa piloto de implantao
Domnio

Nome

domnio_raiz_floresta

trccorp-test.treyresearch.net

domnio_regional

east-test.trccorp-test.treyresearch.net

domnio_winnt

BOSTON para domnio de contas

OFFICE-APPS para domnio de recursos

A Figura 1.9 ilustra a configurao da implantao piloto.

29

30

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Figura 1.9 Configurao da implantao piloto

Concluindo o programa piloto de

implantao
Terminado o programa piloto de implantao, preserve o ambiente da implantao piloto e use-o como
ambiente de estgios para sua implantao de produo. Continue a usar a floresta piloto para verificar novos
processos de implantao, como adicionar novos aplicativos ou extenses de esquema, instalar sistemas
operacionais, criar objetos de Diretiva de Grupo ou reestruturar unidades organizacionais.
Como dissemos anteriormente, providencie um plano de fallback, deixando as contas de usurio habilitadas
tanto no ambiente de produo original, quanto no ambiente de implantao piloto. Mantenha os usurios no
ambiente de implantao piloto para que faam seu trabalho de produo; no migre as contas do ambiente
de implantao piloto para a floresta de produo. Em vez disso, se decidir mover os usurios do piloto para
outra floresta de produo, migre-os a partir do ambiente de produo original. Isso garante que todos os
usurios na floresta de produo tenham contas consistentes e facilita a soluo de problemas.

Recursos adicionais

31

Exemplo: concluindo o programa piloto de implantao

para a Trey Research
A Figura 1.10 mostra uma comparao entre o design da floresta piloto e a implantao da floresta de
produo do Active Directory.
Figura 1.10 Comparao entre floresta piloto e floresta de produo

Recursos adicionais
Os recursos abaixo contm informaes e ferramentas adicionais relacionadas a este captulo.

Informaes relacionadas

Criando a estrutura lgica do Active Directory, neste livro.

Criando a topologia de site, neste livro.

Planejando a capacidade dos controladores de domnio, neste livro.

Habilitando recursos avanados do Active Directory do Windows Server 2003, neste livro.

Implantando o domnio raiz de floresta do Windows Server 2003, neste livro.

32

CAPTULO 1

Planejando um projeto de implantao do Active Directory

Implantando domnios regionais do Windows Server 2003, neste livro.

Atualizando domnios do Windows NT 4.0 para o Active Directory do Windows

Server 2003, neste livro.

Atualizando domnios do Windows 2000 para domnios do Windows Server 2003, neste
livro.

Reestruturando domnios do Windows NT 4.0 para uma floresta do Active Directory, neste
livro.

Reestruturando domnios do Active Directory entre florestas, neste livro.

Reestruturando domnios do Active Directory dentro de uma floresta, neste livro.

Implantando DNS, em Implantando servios de rede, neste kit.

O link Active Directory na pgina Web Resources), em

http://www.microsoft.com/windows/reskits/webresources. (em ingls) Clique em Planning
& Deployment Guides para encontrar links adicionais para o download dos seguintes guias
em ingls:

Active Directory Branch Office Planning Guide

Active Directory Operations Guide

Best Practice Active Directory Design for Exchange 2000

Multiple Forest Considerations

Best Practice Guide for Securing Active Directory Installations and Day-to-Day
Operations: Part I

Tpicos de ajuda relacionados

Para obter melhores resultados na identificao de tpicos da Ajuda por ttulo, no Centro de Ajuda e Suporte,
na caixa Pesquisar, clique em Definir opes de pesquisa. Em Tpicos da Ajuda, marque a caixa de
seleo Pesquisar somente em ttulos.

Active Directory, no Centro de Ajuda e Suporte do Windows Server 2003.

Ferramentas de Suporte do Windows, em Ferramentas no Centro de Ajuda e Suporte do

Windows Server 2003.