Desvendando o Active Directory no

Windows 2003- Parte II

Operations Master:

No Active Directory, todos os Domain Controllers são iguais. Ou quase... Existem algumas
funções especiais assinaladas somente a um certo DC. Essas funções são chamadas de
Operations Masters. Por padrão o primeiro DC da floresta é o que possui as cinco funções e o
primeiro DC de cada domínio possui três dessas funções.

Funções a nível de Floresta:

Schema Master:

Possui a função de controlar as alterações ao schema da floresta. É o schema que contém as

definição de todos os objetos que podem ser criados em qualquer domínio da floresta
(quando o primeiro domínio é criado, o AD nos disponibiliza cerca de 200 objetos, porém
mais objetos podem ser adicionados - manualmente, ou pela instalação do outros softwares,
como por exemplo o Exchange 2000.).

Domain Naming Master:

É o DC responsável por fazer a adição e remoção de domínios na Floresta.

Funções a nível de Domínio:

Infrastructure Master:

É o responsável por atualizar referências de objetos do outros domínios no nosso domínio.

Ele possui uma relação estreita com o Global Catalog. Quando ele acha que alguns objetos
estão desatualizados, ele contacta o Global Catalog em busca de informações atuais, para
poder atualizar as suas. Porém se o DC que é o Infrastructure Master for também o Global
Catalog, o Infrastructure Master não irá funcionar. Isso acontece por que como ele não tem
como saber se as informações na sua base de dados já estão atualizadas ou não, ele nunca
irá tentar buscar por novas atualizações.

RID Master:

É o responsável por assinalar blocaos de RIDs para os outros domain controllers do domínio.
Cada objeto criado em um DC recebe um Relative Identifier (RID), que vem do bloco de RIDs
recebidos. Se um DC estiver sem mais nenhum RID para ser alocado a um novo objeto, ele
requisita mais um bloco de RIDs ao RID Master. Se o RID master estiver fora da rede, o DC
que está requisitando o bloco não poderá mais criar nenhum objeto até receber um novo
bloco.

PDC Emulator:

É o DC responsável por atuar como PDC para BDCs NT 4.0 que ainda existam em nossa
rede. Além de desempenhar essa função, ele é responsável por fazer a mudança de senhas
para clientes anteriores ao Windows 2000, sincronizar o horário de todos os DCs da rede
com o seu e é o parceiro de replicação preferido para mudanças de senhas (Isso significa
que, quando alterarmos a nossa senha a partir, por exemplo, de um cliente Window XP, essa
senha pode ser alterada em qualquer DC, mas esse DC terá que replicar imediatamente essa
mudança para o PDC emulator. Isso é muito importante na seguinte situação: Você muda a
sua senha em um DC; e logo tenta se autenticar em outro DC, porém esse outro DC não
recebeu a replicação do Dc em que sua senha foi alterada e não é o PDC Emulator. O seu
comportamento padrão seria rejeitar a sua tentativa de autenticação, pois com as
informações que ele possui, sua senha está incorreta. Porém, antes que qualquer DC rejeite

1
uma tentativa de autenticação por senha incorreta, ele contacta o PDC Emulator para saber
se houve alguma mudança. No nosso caso, o DC que estamos tentando nos autenticar
contacta o PDC, verifica que nossa senha foi alterada e autoriza o nosso logon.)

Global Catalog:

O Global Catalog é responsável por conter um cópias das informações mais buscadas na
floresta. Por padrão, ele inclui cerca de 20 por cento das informações existentes na floresta.
É ele que permite que sejam feitas buscas por objetos, não importando seu local na floresta,
permite o logon de um usuário de qualquer domínio se autentique em qualquer outro
domínio da mesma floresta e ele também é responsável por armazenar informações sobre a
participação em grupos universais. Por padrão, o primeiro DC da floresta é o Global Catalog
Server, mas qualquer outro DC pode ser um Global Catalog. Para tornar um DC Global
Catalog, fazemos o seguinte:

Clicamos em Start, Programs, Administrative tools e em Active Directory Sites and

Services:

Em Active Directory Sites And Services, Clique em "Default-First-Site-Name", depois

em "Servers", no nome do seu servidor que será o Global Catalog, em "NTDS Settings":

2
E em "NTDS Settings", clicamos com o botão direito em vamos em propriedades:

E habilitamos a checkbox do "Global Catalog". Depois é só clicar em OK e já possuímos o

nosso Novo "Global Catalog".

Como, por exemplo para poder obter informações sobre a participação em grupos universais,
os DCs precisam consultar o Global Catalog, seria interessante ter diversos "Global Catalogs"
espalhados por nossos Sites (Logo vamos falar sobre sites). Porém isso não é necessário em
um ambiente nativo Windows 2003. Porém configurar que todos os DCs de um sites

3
armazenem no seu cache as informações que já consultaram no Global Catalog. Esse é um
novo recurso no windows 2003!
Então vamos ver como fazer essa configuração:

Voltamos no Active Directory sites And Services, vamos em "Default-First-Site-Name",

em "NTDS Settings", clicamos com o botão direito e vamos em propriedades:

E habilitamos a opção "Enable Universal Group Membership Caching".

Está feito!

Sites:

O domínio é a divisão lógica da nossa rede. Já para podermos dividi-la fisicamente,

utilizamos os sites. Domain Controllers no mesmo site possuem uma conexão de alta
velocidade entre eles. Já DCs que não possuem um boa conexão (no mínimo 500 Kbps)
entre eles, devem ser colocados em sites diferentes. Isso deve ser feito por que DCs no
mesmo site replicam por um mecanismo chamado "Change Notification", que é de 5
minutos; isto significa que quando houver alguma alteração em um DC, depois de 5 minutos
ele irá replicar essas informações recebidas aos outros DCs. Já entre sites, esse mecanismo
não é utilizado. A replicação ocorre de acordo com o tempo configurado (por padrão é de 180
minutos).

Bom vamos ver como criar um outro site!

Vamos novamente em Active Directory Sites And Services, e em Sites, clicamos com o
botão direito em vamos em "New Site":

4
Colocamos o nome do nosso site (SP_site) e configuramos o link dele clicando em
"DEFAULTIPSITELINK", e depois clicamos em OK.

Veja, o nosso site já está criado!

Novas Funcionalidades do Active Directory:

Funcionalidade drag-and-drop: Agora é possível arrastar objetos para outros container do

AD (outras Ous).

Saved queries: É possível salvar parâmetros de buscas muito utilizados.

5
Ferramentas de linha de comando: Executar comando antes só feitos por wizards por
linha de comando.

Instalação de um DC adicional pelo backup de outro: Agora é possível fazer a

instalação de um DC, pelo backup de outro, evitando o tempo que as informações tinham de
ser replicadas.

Universal Memebership Caching: Como vimos, é possível que qualquer Dc guarde em seu
cache as informações que ele já consultou no global catalog, evitando tráfego desnecessário
na rede.

Renomear um Domain Controller: Agora é possível renomer um DC sem ter que

despromovê-lo e promovê-lo novamente.

Relações de confiança bi-direcionais transitivas entre florestas

Reestruturação de florestas: Modificar a disposição de domínios na floresta sem ter que

despromovê-los.

Gerenciamento ilimitado de sites: Agora, o KCC (serviço que gera a topologia de

replicação nos sites) pode gerenciar um número ilimitado de sites, enquanto no Windows
2000 só podiamos gerenciar no máximo 200 sites.