03 Instalando Um Dominio

Módulo 3: Criando um Domínio do Windows Server 2003

Visão Geral
Introdução à Criação de um Domínio do Windows Server 2003

Instalando o Active Directory
O Processo de Instalação do Active Directory
Examinando a Estrutura Padrão do Active Directory
Executando Tarefas de Instalação Pós Active Directory
Solucionando Problemas na Instalação do Active Directory
Removendo o Active Directory
Práticas Recomendadas
Depois de instalar o Windows Server 2003, você pode configurar um computador

executando o Windows Server 2003 Server para funcionar como um controlador de domínio
em um domínio do Windows Server 2003. Implementando uma estrutura de domínio no
serviço de diretório Windows Server 2003 Active Directory™, você cria uma estrutura
administrativa para sua rede. Para implementar uma esta estrutura, você precisa criar um
domínio, criar unidades organizacionais (UOs) dentro do domínio e criar objetos de
usuários, grupos e recursos dentro das UOs.
Quando você cria um domínio, você deve identificar o nome DNS para o mesmo e a
localização para os arquivos que são criados durante o processo de instalação. O Windows
Server 2003 utiliza o assistente de Instalação do Active Directory para criar novos
controladores de domínio.
Depois de completar este módulo, você será capaz de:

Identificar o propósito da criação de um domínio do Windows Server 2003.
Criar um domínio do Windows Server 2003 instalando o Active Directory.
Descrever o processo de instalação do Active Directory.
Examinar a estrutura padrão do Active Directory.
Executar tarefas de instalação pós-Active Directory.
Solucionar problemas comuns que podem ocorrer ao instalar o Active Directory.
Removendo o Active Directory utilizando o assistente de Instalação do Active
Directory.
Adotar as práticas recomendadas para a criação de um domínio do Windows Server
2003.
Domínios são a Unidade Administrativa Central

O Primeiro Domínio Criado é o Domínio Raiz de Toda a Floresta ou a Raiz da
Floresta
Utilizando o Assistente de Instalação do Active Directory, Você Pode Criar
Domínios e Controladores de Domínio
-40-
Um domínio é uma unidade administrativa central em uma rede do Windows Server 2003.
No Windows Server 2003, domínios são utilizados para definir como as informações e
recursos são organizados e armazenados.
O primeiro domínio criado no Active Directory é o domínio raiz de toda a floresta. Este
domínio também é chamado de raiz da floresta. Quando você instala o Active Directory
pela primeira vez em uma rede do Windows Server 2003, você cria o primeiro controlador
de domínio em uma nova floresta, estabelecendo desta forma o domínio raiz.
O Assistente de Instalação guia você através do processo de instalação do Active Directory,
para construir controladores de domínio e criar domínios do Windows Server 2003. Você
pode promover qualquer servidor autônomo ou membro para um controlador de domínio.
Quando você promove um servidor para um controlador de domínio, você pode criar:
Uma nova floresta, incluindo o domínio raiz (primeiro domínio na floresta) e o primeiro
controlador de domínio.
Um controlador de domínio adicional em um domínio do Windows Server 2003
existente.
Observação: Utilizando o assistente de Instalação do Active Directory, você também pode

criar um novo domínio filho em uma árvore existente e uma nova árvore em uma floresta
existente. Para mais informações sobre a criação de um domínio filho e a criação de uma
nova árvore em uma floresta existente, consulte o módulo 10, “Criando e Gerenciando
Árvores e Florestas” (Creating and Managing Trees and Forests”) no curso 2154A,
Implementando e Administrando Serviços de Diretório do Microsoft Windows Server 2003
(Implementing and Administering Microsoft Windows Server 2003 Directory Services).
Preparando para Instalar o Active Directory

Criando o Primeiro Domínio
Adicionando um Controlador de Domínio de Réplica
Utilizando um Script de Configuração Não Atendida para Instalar o Active
Directory
Quando você utiliza o Assistente de Instalação para instalar o Active Directory, você deve
primeiro garantir que todos os requisitos necessários para a sua instalação sejam satisfeitos.
Depois você especifica o posicionamento de um controlador de domínio dentro da estrutura
do Active Directory. Ao instalar o Active Directory, você também especifica informações
detalhadas, como o nome do domínio e a localização dos arquivos que são criados durante o
processo de instalação.
Você também pode executar uma sessão não-atendida do Assistente de Instalação do Active
Directory utilizando arquivos de resposta. Uma sessão não-atendida da instalação do Active
Directory é útil durante a recuperação de desastres e ao instalar o Active Directory em
escritórios filiais onde não haja suporte técnico disponível.
-41-
Preparando para Instalar o Active Directory
Requisitos de Instalação do Active Directory

Computador Executando o Windows Server 2003 Server, Windows Server 2003
Advanced Server ou Windows Server 2003 Datacenter Server
Espaço Mínimo em Disco de 200MB para o Active Directory e 50MB para os
Arquivos de Log
Partição ou Volume Formatado com o Sistema de Arquivo NTFS
TCP/IP Instalado e Configurado para Utilizar o DNS
Privilégios Administrativos Apropriados para Criar um Domínio em uma Rede
Existente
Um computador executando o Windows Server 2003 Server, Windows Server 2003

Advanced Server ou Windows Server 2003 Datacenter Server.
Um mínimo de 200 megabytes (MB) de espaço em disco para o banco de dados do
Active Directory e 50 MB para os arquivos de log de transações do banco de dados do
Active Directory. Requisitos de tamanho de arquivo para o banco de dados e arquivos de
log do Active Directory dependem do número e tipo de objetos no domínio. Espaço em
disco adicional também é necessário se o controlador de domínio também é um servidor
de catálogo global.
Uma partição ou volume formatado com o sistema de arquivo NTFS. Isto é necessário
para a pasta SYSVOL.
Protocolo de Controle de Transmissão/Protocolo de Internet (TCP/IP, Transmission
Control Protocol/Internet Protocol) instalado e configurado para utilizar o Sistema de
Nome de Domínio (DNS, Domain System Name).
Os privilégios administrativos necessários para criar um domínio se você está criando
um domínio em uma rede do Windows Server 2003 existente.
Observação: O assistente de Instalação do Active Directory oferece a opção de instalar o

serviço Servidor DNS quando você instala o Active Directory. Um servidor DNS suporta
registros de recurso SRV (serviço) e o protocolo de atualização dinâmica do DNS.
Criando o Primeiro Domínio
Inicie o Assistente de Instalação do Active Directory

Selecione o Tipo de Controlador de Domínio e Domínio
Especifique Informações Necessárias
• Nomes de domínio, DNS e NetBIOS
• Localização do banco de dados, log e volume do sistema compartilhado
• Escolha por enfraquecer permissões
• Especifique uma senha para utilizar no Modo de Restauração dos Serviços de
Diretório
O Assistente de Instalação do Active Directory:
• Instala o Active Directory
• Converte o computador para um controlador de domínio
-42-
Quando você instala o Active Directory pela primeira vez em uma rede, você cria o
domínio raiz da floresta. O Assistente de Instalação do Active Directory guia você na
especificação de informações necessárias para o novo controlador de domínio. As
informações que você fornece quando instala o Active Directory variam de acordo com as
opções que você seleciona.
Para criar o domínio raiz, execute os seguintes passos:

1. Na caixa Executar (Run), digite dcpromo.exe e então pressione ENTER.
2. No assistente de Instalação do Active Directory, complete a instalação utilizando as
informações na tabela seguinte.
Nesta página do assistente Faça isto

Tipo de Controlador de Domínio Clique em Controlador de domínio para um
(Domain Controller Type) novo domínio (Domain controller for a new
domain).
Criar Árvore ou Domínio Filho Clique em Criar uma nova árvore de
(Create Tree or Child Domain) domínio (Create a new domain tree).
Criar ou Juntar-se à Floresta (Create Clique em Criar uma nova floresta de
or Join Forest) árvores de domínio (Create a new forest of
domain trees).
Nome do Novo Domínio (New Domain Especifique o nome DNS para o novo
Name) domínio. Se sua rede requer a presença na
Internet, verifique se você tem um nome de
domínio de Internet registrado e então utilize
este nome de domínio como o nome da raiz da
floresta.
Nome NetBIOS do Domínio (Domain Confirme ou especifique o nome NetBIOS
NetBIOS Name) para o novo domínio. O nome NetBIOS é
utilizado para identificar o domínio para
computadores cliente executando versões
anteriores do Windows e do Microsoft
Windows NT®.
Localizações do Banco de Dados e Especifique localizações para os arquivos de
Log (Database and Log Locations) banco de dados e log do Active Directory. O
banco de dados armazena o diretório para o
novo domínio e o arquivo de log armazena
temporariamente alterações no banco de
dados. A localização padrão para os arquivos
de banco de dados e log é raizdosistema\Ntds.
Para melhor desempenho, posicione os
arquivos de banco de dados e log em discos
rígidos separados. Instalar arquivos de banco
de dados e log em discos rígidos separados
garante que leituras e gravações aos arquivos
de banco de dados e log não estejam
-43-
competindo por recursos de entrada e saída.
Volume do Sistema Compartilhado Especifique a localidade para o volume do
(Shared System Volume) sistema compartilhado. O volume do sistema
compartilhado é uma estrutura de pasta que é
hospedada em todos os controladores de
domínio do Windows Server 2003. O volume
do sistema compartilhado armazena arquivos,
como scripts de logon, logoff, inicialização e
desligamento, e informações da Diretiva de
Grupo, que são replicadas entre os
controladores de domínio. Você deve
especificar uma partição ou volume que
estiver formatado como NTFS.
Permissões (Permissions) Especifique se devem ser atribuídas
permissões padrão em objetos de usuário e
grupo que forem compatíveis com servidores
executando versões anteriores do Windows e
Windows NT ou apenas com servidores
executando o Windows Server 2003. Atribuir
permissões em servidores executando versões
anteriores do Windows e Windows NT
adiciona o grupo Todos ao grupo Acesso
Compatível Pre-Windows Server 2003. Este
grupo tem acesso somente-leitura para
atributos de objeto de usuário e grupo que
existiam no Windows NT 4.0.
Senha do Administrador do Modo de Especifique uma senha para utilizar ao iniciar
Restauração dos Serviços de Diretório o computador no Modo de Restauração dos
(Directory Services Restore Mode Serviços de Diretório. Os controladores de
Administrator Password) domínio do Windows Server 2003 mantêm
uma pequena versão do banco de dados de
contas do Windows NT 4.0. A única conta
neste banco de dados é a conta do
Administrador e esta conta é necessária para
autenticação ao iniciar o computador no modo
de Restauração dos Serviços de Diretório,
caso o serviço de diretório Active Directory
não seja iniciado neste modo.
Depois que você finalizar a especificação das informações de instalação, o Assistente de

Instalação instala o Active Directory e converte o computador para controlador de domínio.
-44-
Adicionando um Controlador de Domínio de Réplica
A Tolerância a Falhas Requer um Mínimo de Dois Controladores de Domínio em

um Único Domínio
Mais do que um Controlador de Domínio em um Domínio Também Garante que
um Único Controlador de Domínio Não Seja Sobrecarregado
Execute o Dcpromo e Adicione um Controlador de Domínio a um Domínio
Existente
O Assistente de Instalação do Active Directory:
• Converte o computador para um controlador de domínio
• Replica o Active Directory a partir de um controlador de domínio existente
Para habilitar a tolerância a falhas no caso de um controlador de domínio ficar off-line

inesperadamente, você deve ter um mínimo de dois controladores em um único domínio.
Pelo fato de todos os controladores em um domínio replicarem seus dados específicos de
domínio de um para outro, instalar uma ou mais réplicas no domínio habilita
automaticamente a tolerância a falhas para os dados armazenados no Active Directory. Se
um controlador de domínio falhar, os controladores de domínio restantes fornecerão
serviços de autenticação e acesso aos objetos no Active Directory, permitindo que o
domínio continue operando.
Quando um novo controlador de domínio é adicionado ao domínio, a replicação ocorre para
garantir a consistência do Active Directory. Adicionalmente, ter mais que um controlador
em um domínio ajuda a garantir que um único controlador de domínio não seja
sobrecarregado ao atender à solicitações de logon, consultas ao catálogo global e outros
serviços fornecidos por controladores de domínio.
Para adicionar um controlador de domínio a um domínio existente, execute os seguintes
passos:
1. Na caixa Executar (Run), digite dcpromo.exe e então pressione ENTER.
2. No assistente de Instalação do Active Directory, complete a instalação utilizando as
informações da tabela seguinte.
Nesta página do assistente Faça isto

Tipo de Controlador de Domínio Clique em Controlador de domínio adicional
(Domain Controller Type) para um domínio existente (Additional
domain controller for an existing domain).
Credenciais de Rede (Network Especifique o nome de usuário, senha e nome
Credentials) de domínio de uma conta de usuário que tenha
privilégios para criar controladores de domínio
no Active Directory.
Controlador de Domínio Adicional Especifique o nome DNS do domínio existente
(Additional Domain Controller) para o qual este computador se tornará um
controlador de domínio adicional.
As opções restantes no assistente de Instalação do Active Directory são idênticas às opções

utilizadas para a criação do primeiro domínio. Depois que você finalizar a especificação das
-45-
informações, o Assistente de Instalação do Active Directory converte o computador para
controlador de domínio e replica o Active Directory a partir de um controlador de domínio
existente.
Utilizando um Script de Configuração Não Atendida para Instalar o

Active Directory
Um Arquivo de Respostas:
• Contém todos os parâmetros necessários para uma sessão não-atendida da instalação do
Active Directory
• Contém apenas a seção [DCInstall] do arquivo de parâmetros de configuração não-
atendida
• Pode ser executado depois que a configuração do Windows Server 2003 Server foi
completada e um usuário tenha efetuado o logon no computador
dcpromo/answer:<arquivo de respostas>
Você também pode instalar o Active Directory utilizando um arquivo de respostas.

Administradores utilizam arquivos de resposta para especificar todos os parâmetros para a
instalação do Active Directory. Estes parâmetros incluem o tipo de domínio e a
configuração do domínio sendo criado. O arquivo de respostas pode então ser utilizado por
qualquer um que não saiba como instalar o Active Directory. O usuário que utiliza o arquivo
de respostas ainda precisa dos privilégios administrativos exigidos para completar com
sucesso a instalação.
Um arquivo de respostas para o Assistente de Instalação do Active Directory contém apenas
uma seção, [DCInstall]. Cada operação no assistente requer valores para parâmetros
específicos na seção [DCInstall] do arquivo não-atendido. Valores padrão são utilizados se
um valor para um parâmetro não for especificado. A tabela seguinte descreve as entradas na
seção [DCInstall] que permitem que você instale o Active Directory automaticamente no
primeiro controlador de domínio em uma nova floresta.
Chaves do [DCInstall] Valor Descrição

RebootOnSucess Yes Especifica se o computador
deveria ser reiniciado após
término com sucesso.
DatabasePath C:\Winnt\Ntds Especifica o caminho não-UNC
(Universal Naming Convention)
totalmente qualificado para uma
pasta em um disco fixo do
computador local que contém o
banco de dados do domínio. A
pasta deve estar vazia. Cria a
pasta se ela não existir.
LogPath C:\Winnt\Ntds Especifica o caminho não-UNC
computador local que contém os
-46-
arquivos de log do domínio. A
pasta deve estar vazia. Cria a
pasta se ela não existir.
SYSVOLPath C:\Winnt\Sysvol Especifica o caminho não-UNC
computador local. A pasta deve
estar vazia. Cria a pasta se ela
não existir.
SiteName Nome-do-Primeiro-Site- Especifica o nome de um site
Padrão (Default-First-Site- existente para posicionar o novo
Name) controlador de domínio. Caso
não especificado, um site
adequado é selecionado. Esta
opção se aplica apenas ao criar
uma nova árvore de domínio em
uma nova floresta de domínios.
ReplicaOrNewDomain Domain Especifica se um novo
controlador de domínio deveria
ser instalado como o primeiro
controlador em um novo
domínio do serviço de diretório.
Se você altera este valor para
Domain, você também deve
especificar um valor no
parâmetro TreeOrChild.
TreeOrChild Tree Especifica que o novo domínio
é a raiz de uma nova árvore. Se
você define o valor para Tree,
você também deve especificar
um valor válido no parâmetro
CreateOrJoin.
CreateOrJoin Create Especifica a criação de uma
nova floresta de domínios.
DomainNetbiosName contoso Atribui um nome NetBIOS ao
novo domínio. Este é um valor
requerido e o nome especificado
dever ser exclusivo no domínio.
NewDomainDNSName contoso.msft Especifica o nome requerido
quando uma nova floresta de
domínios está sendo instalada.
DNSOnNetwork No Especifica que uma nova
floresta de domínios está sendo
instalada e não há cliente DNS
configurado no computador.
Alterar o valor para No ignora a
-47-
configuração do cliente DNS e
cria a autoconfiguração do DNS
para o novo domínio.
AutoConfigDNS Yes Especifica que o assistente
configuraria o DNS para o novo
domínio se este detectasse que
as atualizações DNS dinâmicas
não estivessem disponíveis.
O arquivo de respostas pode ser executado depois que a configuração do Windows Server
2003 Server for completada e um usuário tiver efetuado o logon no computador. Para iniciar
a instalação não-atendida do Active Directory, abra a janela do prompt de comando e digite
o seguinte:
Dcpromo.exe /answer:arquivo de respostas
Onde arquivo de respostas é o nome do arquivo de respostas criado.
Observação: Para mais informações sobre instalações não-atendidas, consulte

unnatend.doc no arquivo Deploy.cab localizado em \Support\Tools no CD do Windows
Server 2003 Server.
Laboratório A: Criando um Domínio do Windows Server 2003
Objetivos
Depois de completar este laboratório, você será capaz de instalar o Active Directory
utilizando o assistente de Instalação do Active Directory.
Pré-requisitos
Antes de começar este laboratório, você precisa ter:

Conhecimento dos componentes lógicos do Active Directory, incluindo domínios,
árvores e florestas.
Conhecimento do propósito e função dos controladores de domínio.
Configuração do Laboratório
Para completar este laboratório, você precisa do seguinte:

Um computador executando o Windows Server 2003 Server que esteja configurado
como um servidor autônomo.
Drive C (ou outro conforme instruções do professor) formatado com NTFS.
Um endereço IP estático.
Um servidor DNS configurado para seu domínio.
Um nome de domínio. Seu nome de domínio é domínio.nwtraders.msft, onde domínio é
o nome de seu computador mais a terminação dom. Por exemplo, se o nome de seu
-48-
computador é Vancouver, então domínio seria vancouverdom e seu nome de domínio
completo seria vancouverdom.nwtraders.msft.
Uma zona de pesquisa direta que corresponde a seu nome de domínio. A zona de
pesquisa direta deveria ser criada no laboratório A do módulo 2. “Implementando o
DNS para Suportar o Active Directory” (“Implementing DNS to Support Active
Directory”) no curso 2154A, Implementando e Administrando Serviços de Diretório do
Microsoft Windows Server 2003 (Implementing and Administering Microsoft Windows
Server 2003 Directory Services).
Exercício 1: Instalando o Active Directory
Cenário
A Northwind Traders decidiu instalar o Windows Server 2003 e utilizar o Active Directory
para usufruir todas as características e benefícios que o Active Directory fornece. A você foi
atribuída a tarefa de criar o primeiro domínio na rede. Você já criou uma zona de pesquisa
direta no DNS. O nome da zona de pesquisa direta tem o mesmo nome que você está
utilizando para o nome de domínio do Active Directory.
Objetivo
Neste exercício, você criará um domínio do Windows Server 2003 instalando o Active
Directory.
Tarefas Passos Detalhados

1. Iniciar o assistente de Instalação do a. Efetue o logon como Administrador
Active Directory para criar: com a senha senha.
• Um novo controlador de domínio b. Clique em Iniciar (Start) e então
para um novo domínio. clique em Executar (Run).
• Uma nova árvore de domínio. c. Na caixa Executar (Run), digite
• Uma nova floresta de árvores de dcpromo e então clique em OK.
domínio. d. Na página Bem Vindo ao Assistente
de Instalação do Active Directory
(Welcome to the Active Directory
Installation Wizard), clique em
Avançar (Next).
e. Na página Tipo de Controlador de
Domínio (Domain Controller
Type), garanta que Controlador de
domínio para um novo domínio
(Domain controller fora a new
domain) esteja selecionado e então
clique em Avançar (Next).
f. Na página Criar Árvore ou Domínio
Filho (Create Tree or Child
Domain), garanta que Criar uma
nova árvore de domínio (Create a
new domain tree) esteja selecionado
-49-
e então clique em Avançar (Next).
g. Na página Criar ou Juntar-se à
Floresta (Create or Join Forest),
garanta que Criar uma nova floresta
de árvores de domínio (Create a
new forest of domain trees) está
selecionado e então clique em
Avançar (Next).
2. Completar o processo de instalação a. Na página Nome do Novo Domínio
do Active Directory, fornecendo as (New Domain Name), na caixa de
seguintes informações: texto Nome DNS completo para o
• Nome DNS completo novo domínio (Full DNS name for
domínio.nwtraders.msft (onde new domain), digite
domínio é o nome atribuído a seu domínio.nwtraders.msft (onde
domínio). domínio é o nome atribuído a seu
• Nome de domínio NetBIOS domínio) e então clique em Avançar
DOMÍNIO (onde DOMÍNIO é o (Next).
nome atribuído a seu domínio). b. Na página Nome de Domínio
• Localizações padrão para o banco NetBIOS (NetBIOS Domain
de dados, para os arquivos de log Name), garanta que DOMÍNIO (onde
e para o volume do sistema DOMÍNIO é o nome atribuído a seu
compartilhado. domínio) apareça e então clique em
• Permissões compatíveis apenas Avançar (Next).
com servidores executando o c. Na página Localizações do Banco de
Windows Server 2003. Dados e Log (Database and Log
• Uma senha senha para o Locations), aceite as localizações
Administrador do Modo de padrão clicando em Avançar (Next).
Restauração dos Serviços de d. Na página Volume do Sistema
Diretório. Compartilhado (Shared System
Volume), aceite a localização padrão
clicando em Avançar (Next).
e. Na página Permissão (Permissions),
selecione Permissões compatíveis
apenas com servidores Windows
Server 2003 (Permissions
compatible only with Windows
Server 2003 servers) e então clique
em Avançar (Next).
f. Na página Senha do Administrador
do Modo de Restauração dos
Serviços de Diretório (Directory
Services Restore Mode
Administrator Password), nas
caixas Senha (Password) e
Confirmar senha (Confirm
password), digite senha e então
-50-
clique em Avançar (Next).
g. Na página Resumo (Summary),
revise as opções que você selecionou
e então clique em Avançar (Next).
O processo de instalação do
Active Directory inicia.
h. Quando a página Completando o
Assistente de Instalação do Active
Directory (Completing the Active
Directory Installation Wizard)
aparecer, clique em Concluir
(Finish) e então reinicie seu
computador.
Parâmetros de Configuração
Configuração do Site
Configuração do Serviço de Diretório
Configuração dos Serviços e da Segurança
Operações de Instalação Adicionais do Active Directory
Ao instalar o Active Directory, o Assistente de Instalação do Active Directory confirma

vários parâmetros de configuração e segurança. O Active Directory valida os parâmetros
que você especificou durante o processo de instalação. O tipo de validação executada
depende se o controlador de domínio sendo instalado é o primeiro na floresta ou o primeiro
domínio na réplica. O propósito desta verificação é validar os parâmetros que você
especifica durante o processo de instalação do Active Directory.
Parâmetros de Configuração
Verificações Executadas pelo Assistente de Instalação do Active Directory Antes de

Instalar o Active Directory
Verifica Parâmetros da Interface do Usuário

Verifica o Nome NetBIOS e o Nome do Servidor
Verifica a Configuração do TCP/IP
Valida os Nomes de Domínio DNS e NetBIOS
Verifica as Credenciais do Usuário
Verifica as Localidades de Arquivo
O assistente de Instalação do Active Directory executa várias verificações antes da

instalação real do Active Directory. Estas verificações são necessárias para garantir a
integridade do processo de instalação.
Verificação da Interface do Usuário

-51-
Antes que a interface do usuário seja realmente exibida, o assistente de Instalação do Active
Directory verifica o seguinte:
O usuário atualmente conectado é um membro do grupo local Administradores.
O computador está executando o Windows Server 2003 Server ou superior.
Uma instalação ou remoção anterior do Active Directory não aconteceu sem reiniciar o
computador.
Uma instalação ou remoção do Active Directory não está em andamento atualmente.
Se quaisquer destas quatro verificações falham, uma mensagem de erro é exibida e você sai
do assistente. Depois que estas verificações são completadas com sucesso, o assistente de
Instalação do Active Directory executa as verificações restantes.
Verificação de Nomenclatura
Cada controlador de domínio tem um objeto servidor no recipiente Site. Ao adicionar um
novo controlador de domínio a um domínio existente, uma verificação é feita para garantir
que o nome do servidor não existe no recipiente Servidores do site para o qual o controlador
de domínio está sendo adicionado. Se o nome do servidor existe, o assistente exclui o objeto
existente e assume que uma reinstalação está sendo executada.
Verificação da Configuração do TCP/IP

Se o TCP/IP não estiver instalado ou se ele estiver instalado e configurado para utilizar o
serviço do Protocolo de Configuração de Host Dinâmico (DHCP, Dynamic Host
Configuration Protocol) e um endereço atribuído ao DHCP não estiver disponível, a
instalação é interrompida e você é solicitado a corrigir o problema.
O assistente também verifica a configuração do resolvedor de nomes DNS do servidor. O
Active Directory utiliza o DNS para localizar servidores e serviços, logo um resolvedor
DNS apropriadamente configurado é crítico para a instalação bem-sucedida do Active
Directory.
Ao instalar o primeiro controlador de domínio em um novo domínio, o assistente de
Instalação do Active Directory tenta localizar um servidor DNS que suporta o protocolo
de atualização dinâmica e um servidor DNS que é autoritário para o domínio DNS. Se
uma destas duas verificações falha, o usuário é solicitado a usar o assistente para instalar
e configurar o DNS localmente durante o processo de instalação do Active Directory ou
para fazê-lo manualmente depois que o Active Directory for instalado.
Ao adicionar um controlador de domínio a um domínio existente, a existência de um
servidor DNS apropriado é assumida e não é feita nenhuma tentativa de verificar o
servidor DNS.
Validação de Nomes de Domínio DNS e NetBIOS

Ao criar um domínio, você deve fornecer um nome DNS para o domínio. O assistente
verifica se o novo nome de domínio fornecido é exclusivo na floresta. Se o nome não for
exclusivo, você é solicitado a corrigir a informação. Você também deve fornecer um nome
de domínio NetBIOS. O nome NetBIOS é formado obtendo os primeiros 15 caracteres à
esquerda do rótulo no nome de domínio DNS. O assistente verifica se o nome de domínio
NetBIOS é exclusivo e, se não for, o usuário é solicitado a alterar o nome.
-52-
Verificação de Credenciais do Usuário
Por criar um novo controlador de domínio ser uma tarefa de alta segurança, o assistente
verifica se o usuário que está tentando instalar o Active Directory tem as permissões de
segurança corretas. Se as credenciais do usuário atualmente conectado não corresponder a
estes requisitos, o usuário é solicitado a fornecer uma conta com os privilégios suficientes.
A lista seguinte descreve os tipos de instalações que podem ser executadas e as permissões
de segurança necessárias para cada instalação:
Se uma nova floresta está sendo criada, nenhuma verificação é executada e nenhuma
credencial específica é necessária.
Se um controlador de domínio de réplica está sendo adicionado ao domínio existente, as
credenciais fornecidas devem ser suficientes para juntar o computador ao domínio
existente. Aos membros dos grupos Administradores do Domínio (Domain Admins) e
Administradores da Empresa (Enterprise Admins) são por padrão atribuídas as
permissões necessárias para criar novos controladores de domínio.
Observação: O assistente de Instalação do Active Directory solicita credenciais na forma

de um nome de usuário, senha e um domínio. Então, um nome principal de usuário
informado NomeDoUsuário@NomeDoDomínio não é aceito.
Verificação das Localidades de Arquivo

As localizações para o arquivo de banco de dados, para os arquivos de log e para a pasta
SYSVOL do Active Directory são especificados durante a instalação do Active Directory. O
conteúdo de SYSVOL é replicado a todos os controladores de domínio no domínio. A
criação do SYSVOL requer um volume formatado com NTFS. Se um volume formatado
como NTFS não puder ser encontrado, ou se não existir espaço em disco suficiente, a
instalação não pode proceder.
Observação: Para mais informações sobre o recipiente Servidores em um site, consulte o

módulo 11, “Gerenciando a Replicação do Active Directory” (“Managing Active Directory
Replication”).
Configuração do Site
O Controlador de Domínio é Adicionado ao Site que é Associado com sua Sub-rede

O Servidor é Posicionado no Site Nome-do-Primeiro-Site-Padrão se Nenhum
Objeto Sub-rede for Encontrado
O Assistente de Instalação do Active Directory Cria um Objeto Servidor
O assistente de Instalação do Active Directory consulta dados do site no Active Directory.

Se o endereço do Protocolo de Internet (IP, Internet Protocol) do servidor que está sendo
promovido para controlador de domínio está dentro do intervalo para uma determinada sub-
rede definida no Active Directory, o assistente configura a participação do controlador de
domínio no site associado a esta sub-rede.
Se nenhum objeto de sub-rede for definido ou se o endereço IP do servidor não estiver
dentro do intervalo de objetos de sub-rede apresentados no Active Directory, o servidor é
-53-
posicionado no site Nome-do-Primeiro-Site-Padrão. Este é o primeiro site configurado
automaticamente quando você cria o primeiro controlador de domínio em uma floresta.
O assistente de Instalação do Active Directory cria um objeto servidor para o controlador de
domínio no site apropriado. O objeto servidor contém informações necessárias para
replicação. O objeto servidor contém uma referência para o objeto computador na UO
Controladores de Domínio que representa o controlador de domínio sendo criado.
Observação: Se um objeto servidor para este domínio já existe, ele é excluído e então
recriado pelo fato de o assistente considerar que você está executando uma reinstalação do
Active Directory. Para mais informações sobre objetos sub-rede e objetos servidor, consulte
o módulo 11, “Gerenciando a Replicação do Active Directory” (“Managing Active
Directory Replication”).
Configuração do Serviço de Diretório
Operações de Configuração do Serviço de Diretório
Operações para Todos os Tipos de Instalações

Cria as entradas no registro requeridas
Configura os contadores de desempenho para o Active Directory
Configura o servidor para registrar automaticamente um certificado de controlador
de domínio X.509
Inicia o serviço de autenticação Kerberos V5
Define a diretiva de Autoridade de Segurança Local (LSA, Local Security Authority)
Instala atalhos para ferramentas de administração no Active Directory
Configuração das Partições do Diretório
Cria a partição do diretório do esquema
Cria a partição do diretório de configuração
Cria a partição do diretório do domínio
Depois que o assistente de Instalação do Active Directory completa todas as verificações

necessárias, uma página de confirmação é exibida, que lista as opções que você fez no
assistente. Quando você aceita as alterações, o assistente inicia o processo de instalação real
do Active Directory.
Operações do Active Directory Comuns para Todas as Instalações

O assistente de Instalação do Active Directory executa as seguintes operações para todos os
tipos de instalações de controladores de domínio.
Cria as entradas no registro requeridas.
Configura os contadores de desempenho para o Active Directory.
Configura o servidor para registrar automaticamente um certificado de controlador de
domínio X.509 a partir da primeira Autoridade de Certificação (Certification Authority)
que processará a solicitação. Este certificado é exigido para a replicação baseada em
Protocolo de Transferência de Correio Simples (SMTP, Simple Mail Transfer Protocol).
Inicia o protocolo de autenticação Kerberos versão 5.
-54-
Define a diretiva de Autoridade de Segurança Local (LSA, Local Security Authority)
para indicar que este servidor é um controlador de domínio.
Instala atalhos para ferramentas de administração no Active Directory.
Configuração das Partições do Diretório

O arquivo de modelo do banco de dados, Ntds.dit, é copiado de sua localização na pasta
raizdosistema\System32 para a localização que você especifica ao executar o assistente de
Instalação do Active Directory. O assistente configura o servidor local para hospedar o
serviço de diretório. Este processo inclui a criação de partições de diretório e dos gerentes
de segurança do domínio principal, como o grupo Administradores do Domínio (Domain
Admins).
No Active Directory, uma partição de diretório é uma porção do espaço de nomes do
diretório. Cada partição de diretório contém uma hierarquia ou sub-árvore de objetos do na
árvore do diretório. Cópias ou réplicas da mesma partição de diretório podem ser
armazenadas em vários controladores de domínio e as cópias são atualizadas através da
replicação de diretório.
As seguintes partições do diretório são criadas no primeiro controlador de domínio em uma
floresta e são atualizadas através da replicação em cada controlador de domínio subseqüente
que é criado na floresta:
A partição do diretório do esquema. Contém o recipiente Esquema, que armazena
definições de classe e atributo para todos os objetos existentes e possíveis do Active
Directory. A partição do diretório do esquema é replicada para todos os controladores de
domínio em uma floresta.
A partição do diretório de configuração. Contém o recipiente Configuração, que
armazena objetos de configuração para toda a floresta. Objetos de configuração
armazenam informações sobre partições de sites, serviços e diretório. A partição do
diretório de configuração é replicada a todos os controladores de domínio em uma
floresta.
A partição do diretório do domínio. Contém um recipiente domínio, como o recipiente
contoso.msft, que armazena usuários, computadores, grupos e outros objetos para um
domínio do Windows Server 2003 específico. A partição do diretório do domínio é
replicada a todos os controladores de domínio dentro de um único domínio.
Configuração dos Serviços e da Segurança
Configurando os Serviços e a Segurança

Configurando Serviços para Iniciar Automaticamente
Localizador de Chamada de Procedimento Remoto (RPC, Remote Procedure Call)
Locator
Net Logon
KDC
Mensagem Intersite (Intersite Messaging)
Servidor de Rastreamento de Vínculo Distribuído (Distributed Link Tracking
Server)
Hora do Windows (Windows Time)
-55-
Definindo Segurança
Define a segurança para o serviço de diretório e para as pastas de replicação de
arquivo
Configura as DACLs padrão do Active Directory em arquivo e objetos no Active
Directory
Configura a Diretiva de Grupo padrão utilizando modelos de segurança
Durante a instalação do Active Directory, os serviços são configurados para iniciar

automaticamente e a segurança é habilitada no serviço de diretório.
Definindo Serviços para Iniciar Automaticamente

Os seguintes serviços são configurados para iniciar automaticamente:
Localizador de Chamada de Procedimento Remoto (RPC, Remote Procedure Call)
Locator. Este serviço permite que aplicativos distribuídos utilizem o serviço de nome
RPC. O serviço RPC Locator gerencia o banco de dados de serviço de nome RPC.
Net Logon. Este serviço executa o serviço Localizador de Controlador de Domínio
(Domain Controller Locator). O serviço Net Logon também é responsável pela criação
de um canal seguro entre os computadores cliente e os controladores de domínio durante
o logon e por registrar registros de recurso SRV no DNS.
KDC (Key Distribution Center). Este serviço mantém um banco de dados com
informações de contas para todos os gerentes de segurança em sua área, que é o
equivalente ao protocolo de autenticação Kerberos V5 de um domínio do Windows
Server 2003.
Mensagem Intersite (ISM, Intersite Messaging). Este serviço é utilizado para a
replicação baseada em mensagens entre sites.
Servidor de Rastreamento de Vínculo Distribuído (Distributed Link Tracking Server).
Este serviço ajuda a resolver atalhos e links OLE para arquivos residentes em NTFS que
tenham tido seus nomes alterados, caminhos alterados, ou ambos.
Hora do Windows (Windows Time). O serviço sincroniza relógios entre computadores
cliente e servidores que executam o Windows Server 2003.
Definindo Segurança
Durante a instalação do Active Directory, a segurança é habilitada no serviço de diretório e
nas pastas de replicação de arquivos para controlar o acesso aos objetos do Active
Directory.
DACLs Padrão nos Objetos do Active Directory

Listas de controle de acesso discricionárias (DACLs, discretionary access control lists)
padrão são configuradas nos objetos do Active Directory. A DACL é uma lista de entradas
que identificam a quem é permitido ou negado acesso, e o nível de acesso para um objeto.
DACLs também são configuradas para os seguintes objetos do sistema de arquivos e para as
seguintes chaves do registro:
SYSVOL
Arquivos de Programas
Windir
HKEY_LOCAL_MACHINE\SOFTWARE
-56-
HKEY_LOCAL_MACHINE\SYSTEM
HKEY_USERS\.DEFAULT
Configurações de Diretiva de Grupo Padrões para Controladores de Domínio

Para o primeiro controlador de domínio em um domínio, a Diretiva de Grupo padrão é
configurada utilizando os modelos de segurança DCFirst.inf, DefltDC.inf e DCUp.inf
localizados na pasta raizdosistema\inf. Quando controladores de domínio adicionais são
adicionados a um domínio, a Diretiva de Grupo é replicada do primeiro controlador de
domínio em um domínio para todos os controladores de domínio adicionais.
Operações de Instalação do Active Directory Adicionais
Operações Adicionais
Define o Nome do Domínio Raiz DNS do Computador
Determina se o Computador Servidor é um Membro do Domínio
Cria uma Conta de Computador na UO Controladores de Domínio
Aplica a Senha Fornecida pelo Usuário para a Conta do Administrador
Cria um Objeto de Referência Cruzada no Recipiente Configuração
Adiciona Atalhos
Cria a Pasta SYSVOL
Cria os Recipientes Esquema e Configuração
Atribui as Funções Específicas ao Controlador de Domínio
Independente do tipo de domínio sendo criado, o Assistente de Instalação do Active

Directory executa as seguintes operações adicionais durante a instalação do Active
Directory.
Define o nome do domínio raiz DNS do computador para o nome do novo domínio.
Determina se o computador servidor já é um membro do domínio. Se o computador for
um membro do domínio, o assistente remove a conta de computador do servidor
membro do domínio e recria a conta de computador na UO Controladores de Domínio.
Se o computador estiver sendo promovido a um controlador de domínio em um domínio
diferente, o usuário é notificado de que a conta de computador para o servidor membro
deve ser removida do domínio original.
Cria uma conta de computador na UO Controladores de Domínio no novo domínio. A
conta de computador também é adicionada ao grupo global Controladores de Domínio
no recipiente Usuários. Esta conta de computador permite que o computador autentique
outros controladores de domínio ao executar operações como replicação.
Aplica a senha fornecida pelo usuário para a conta do administrador que é utilizada para
iniciar o controlador de domínio no Modo de Restauração dos Serviços de Diretório.
Cria um objeto de referência cruzada no recipiente Configuração. Este objeto é utilizado
pelo LDAP para localizar recursos em outros domínios.
Adiciona dois novos atalhos às configurações de segurança da Diretiva de Grupo. Estes
atalhos são Diretiva de Segurança do Domínio e Diretiva de Segurança do Controlador
de Domínio.
-57-
Cria a Pasta SYSVOL que contém:
• A pasta compartilhada SYSVOL. Esta pasta compartilhada contém informações da
Diretiva de Grupo.
• A pasta compartilhada Net Logon. Esta pasta compartilhada é utilizada para conter
scripts de logon para computadores não-baseados em Windows Server 2003.
Executa as seguintes operações ao criar o domínio raiz da floresta:
• Os recipientes Esquema e Configuração são criados.
• O Assistente de Instalação do Active Directory designa o emulador de controlador
de domínio primário (PDC, primary domain controller), mestre de operações de
identificador relativo (RID, relative identifier), mestre de nomenclatura de domínio,
mestre de esquema e mestre de infra-estrutura para o controlador de domínio.
Observação: Para mais informações sobre o emulador de PDC, mestre de operações RID,
mestre de nomenclatura de domínio, mestre de esquema e funções de mestre de
infraestrutura, consulte o módulo 12, “Gerenciando Mestres de Operações” (“Managing
Operations Masters”).

Active Directory Users and Computers
Console Window Help
Active View
Holds
Holds the
the default
default Windows
Windows
2000
2000 security
security groups
groups
Tree contoso.msft 8 objects
Default
Default location
location for
for computer
computer
Active Directory Users and Co.. Name
contoso.msft accounts
accounts
Builtin
Builtin
Computers Default
Default location
location for
for domain
domain
Computers
controller
controller computer
computeraccounts
accounts
Domain Controllers
Domain Controllers
ForeignSecurityPrincipals Holds
Holds security
security identifiers
identifiers (SIDs)
(SIDs)
LostAndFound ForeignSecurityPrincipals from
from external, trusted domains
external, trusted domains
System
Users LostAndFound
Holds
Holds orphaned
orphaned objects
objects
System
Users Holds
Holds some
some built-in
built-in system
system
settings
settings
Infrastructure
Default
Default location
location of
of user
user and
and
group
group accounts
accounts
Durante a instalação do Active Directory no primeiro controlador de domínio em um novo

domínio, vários objetos padrão são criados. Estes objetos incluem recipientes, usuários,
grupos e unidades organizacionais. Você pode visualizar e gerenciar estes objetos padrão
utilizando a ferramenta administrativa Usuários e Computadores do Active Directory
(Active Directory Users and Computers).
A lista abaixo descreve o propósito de alguns destes objetos padrão:

Builtin [recipiente]. Este objeto é utilizado para manter os grupos de segurança
integrados padrão.
-58-
Computadores (Computers) [recipiente]. Este objeto é a localização padrão para contas
de computador.
Controladores de Domínio (Domain Controllers) [unidade organizacional]. Este objeto
é a localização padrão para contas de computador de controlador de domínio.
ForeignSecurityPrincipals [recipiente]. Este objeto é utilizado para manter
identificadores de segurança (SIDs, security identifiers) de domínios externos
confiáveis.
Usuários (Users) [recipiente]. Este objeto é a localização padrão das contas de usuário e
grupo.
Você pode visualizar objetos adicionais em Usuários e Computadores do Active Directory

(Active Directory Users and Computers); para isto, no menu Visualizar (View), clique em
Características Avançadas (Advanced Features).
A lista seguinte descreve o propósito dos objetos adicionais:

AchadosEPerdidos (LostAndFound). Este objeto mantém objetos órfãos. Este objeto
mantém objetos que são deixados para trás, ou ficam órfãos, quando seus recipientes pai
são excluídos.
Sistema (System). Este objeto mantém configurações do sistema internas específicas.
Observação: Você pode aplicar a Diretiva de Grupo em uma OU, mas você não pode
aplicar a Diretiva de Grupo em um recipiente.
Executando Tarefas de Instalação Pós-Active Directory
Verificando a Instalação do Active Directory

Implementando Zonas Integradas do Active Directory
Protegendo Atualizações para Zonas Integradas do Active Directory
Alterando o Modo de Domínio
Implementando uma Estrutura de Unidade Organizacional
Depois que você instala o Active Directory, é importante verificar os arquivos de banco de
dados de diretório necessários, os arquivos SYSVOL e os registros de recurso SRV DNS
que foram criados de forma que o Active Directory funcione apropriadamente.
Depois de você instalar o Active Directory, você deve configurar as zonas DNS integradas
ao Active Directory de forma que o DNS possa utilizar a funcionalidade do Active
Directory, como replicação, transferência de zona e atualizações dinâmicas seguras.
Se todos os controladores de domínio em uma rede do Windows Server 2003 estiverem
executando o Windows Server 2003, você deve alternar o modo de domínio do modo misto
para o modo nativo. Apenas no modo nativo você pode adicionar novos grupos dentro de
grupos existentes e adicionar grupos de segurança universais.
Depois de criar um domínio, você deve implementar uma estrutura de UO para aprimorar o
controle administrativo e aplicar a Diretiva de Grupo. Você pode criar uma UO sem um
domínio ou outra UO. Depois que você cria uma UO, você pode adicionar objetos a ela.
-59-
Verificando a Instalação do Active Directory
Verifique os Registros de Recurso SRV

Verifique o SYSVOL
Verifique os Arquivos de Banco de Dados e de Log do Diretório
Verifique os Resultados da Instalação Examinando os Logs de Eventos
Depois que o assistente completa a instalação do Active Directory, você pode verificar o
sucesso da instalação:
Examinando o banco de dados do DNS para garantir que os registros SRV requeridos
foram criados.
Garantindo que SYSVOL foi apropriadamente criado e compartilhado.
Verificando se os arquivos de banco de dados e de log do Active Directory foram
criados.
Examinando os logs de eventos por quaisquer erros gerados durante a instalação.
Verificando Registros de Recurso SRV

Depois que o Active Directory for instalado, o novo controlador de domínio registra seus
registros de recurso SRV no banco de dados do DNS quando este reinicia.
Você pode verificar a criação destes registros utilizando o snap-in DNS no menu
Ferramentas Administrativas (Administrative Tools) ou utilizando o comando
nslookup.
Utilizando o Snap-in DNS

Para verificar se os registros de recurso SRV foram apropriadamente registrados utilizando
o snap-in DNS, execute os seguintes passos:
1. Abra o DNS a partir do menu Ferramentas Administrativas (Administrative Tools).
2. Clique duas vezes em Servidor (onde Servidor é o nome de seu servidor DNS), clique
duas vezes em Zonas de Pesquisa Diretas (Forward Lookup Zones) e então clique
duas vezes em domínio (onde domínio é o nome do domínio).
Se os registros de recurso SRV foram registrados, as seguintes pastas existirão na pasta
domínio:
• _msdcs
• _sites
• _tcp
• _udp
Utilizando o Nslookup
Para verificar se os registros de recurso SRV foram apropriadamente registrados utilizando
o comando nslookup, execute os seguintes passos:
1. Abra uma janela de prompt de comando.
2. No prompt de comando, digite nslookup e então pressione ENTER.
-60-
3. Digite ls –t SRV domínio (onde domínio é o nome do domínio) e então pressione
ENTER.
Se os registros de recurso SRV foram apropriadamente criados, eles serão listados. Para
salvar os resultados desta lista em um arquivo, digite ls –t SRV domínio >
nomedoarquivo (onde nomedoarquivo é qualquer nome que você atribui ao arquivo).
Observação: Se você não tem uma zona de pesquisa inversa configurada, mensagens de
tempo esgotado (“time-outs”) serão relatados quando você executar o nslookup pela
primeira vez. Isto acontece porque o nslookup gera uma pesquisa inversa para determinar o
nome de host do servidor DNS baseando em seu endereço IP.
Verificando o SYSVOL
Existem dois passos envolvidos na verificação do SYSVOL. Primeiro, verifique se a pasta
estrutura foi criada; segundo, verifique se as pastas compartilhadas necessárias foram
criadas. Se a pasta SYSVOL não for corretamente criada, os dados que são armazenados na
pasta SYSVOL, como a Diretiva de Grupo e os scripts não serão replicados entre
controladores de domínio.
Para verificar se a estrutura da pasta foi criada, execute o seguinte passo:

• Clique em Iniciar (Start), clique em Executar (Run), digite %systemroot%\sysvol na
caixa Abrir (Open) e então clique em OK.
O Windows Explorer é aberto e exibe o conteúdo da pasta SYSVOL, que deveria incluir as
seguintes subpastas:
Domain
Staging
Staging areas
Sysvol
Para verificar se os compartilhamentos foram criados, execute os seguintes passos:

1. Abra uma janela de prompt de comando.
2. No prompt de comando, digite net share e então pressione ENTER.
Na lista de pastas compartilhadas em seu computador, você deverá ver as pastas

compartilhadas listadas na tabela seguinte.
Nome do Recurso Comentário

compartilhamento
NETLOGON raizdosistema\SYSVOL\sysvol\ Compartilhamento do servidor
domain\SCRIPTS de Logon
SYSVOL raizdosistema\SYSVOL\sysvol Compartilhamento do servidor
de Logon
-61-
Verifique os Arquivos de Banco de Dados e de Log do Diretório

Para verificar se os arquivos de banco de dados e de log do diretório foram apropriadamente
criados, execute a seguinte tarefa:
• Clique em Iniciar (Start), clique em Executar (Run), digite %systemroot%\ntds na
caixa Abrir (Open) e então clique em OK.
O Windows Explorer é aberto e exibe o conteúdo da pasta ntds, que deveria incluir os
seguintes arquivos:
Ntds.dit. Este é o arquivo de banco de dados de diretório.
Edb.*. Estes são arquivos de log de transações e de checkpoint.
Res*.log. Estes são arquivos de log reservados.
Observação: Se você alterou a localização dos arquivos de banco de dados e log do

diretório durante a instalação, substitua %systemroot% pela localização correta.
Verificando os Resultados da Instalação Examinando os Logs de Eventos

Depois de instalar o Active Directory, você deve ainda examinar nos logs de eventos
quaisquer erros que tenham sido encontrados durante o processo de instalação. Os seguintes
logs contêm quaisquer mensagens de erro geradas durante a instalação:
Log de Sistema (System Log)
Serviço de Diretório (Directory Service)
Servidor DNS (DNS Server)
Serviço de Replicação de Arquivos (File Replication service)
Implementando Zonas Integradas do Active Directory
Utilize o DNS para Integrar uma Zona DNS com o Active Directory
Implemente uma Zona de Pesquisa Direta
Implemente uma Zona de Pesquisa Inversa
Depois de instalar o Active Directory, você pode integrar uma zona DNS com o Active
Directory, de forma que o DNS possa utilizar o Active Directory para armazenar e replicar
bancos de dados de zona DNS. Você implementa zonas de pesquisa diretas e inversas
integradas com o Active Directory para permitir que computadores cliente executem
pesquisas tanto diretas como inversas.
Para implementar as zonas de pesquisa diretas e inversas integradas com o Active Directory,
execute os seguintes passos:
1. Abra o DNS a partir do menu Ferramentas Administrativas (Administrative Tools) e
então clique duas vezes em Servidor (onde Servidor é o seu servidor DNS).
2. Dependendo de você estar implementando uma zona de pesquisa direta ou inversa,
• Para implementar a zona de pesquisa direta integrada ao Active Directory, clique
duas vezes em Zonas de Pesquisa Direta (Forward Lookup Zones), clique em
-62-
domínio (onde domínio é o nome do seu domínio), clique com o botão direito em
domínio e então clique em Propriedades (Properties).
• Para implementar a zona de pesquisa inversa integrada ao Active Directory, clique
duas vezes em Zonas de Pesquisa Inversa (Reverse Lookup Zones), clique em
Sub-rede AAA.BBB.CCC.x (onde AAA.BBB.CCC.x é sua zona de pesquisa inversa),
clique com o botão direito em Sub-rede AAA.BBB.CCC.x e então clique em
Propriedades (Properties).
3. Na guia Geral (General), clique em Alterar (Change).
4. Na caixa de diálogo Alterar Tipo de Zona (Change Zone Type), clique em Integrada
ao Active Directory (Active Directory-integrated) e então clique em OK.
5. Na caixa de diálogo DNS, clique em OK e então clique em OK novamente para fechar a
caixa de diálogo Propriedades (Properties) do domínio ou a caixa de diálogo
Propriedades (Properties) de Sub-rede AAA.BBB.CCC.x.
Observação: A opção Integrada ao Active Directory não estará disponível na caixa de

diálogo até que você instale o Active Directory.
Protegendo Atualizações para Zonas Integradas do Active Directory
Utilize o DNS para Proteger Atualizações para Zonas Integradas do Active

Directory
Proteja as Zonas Integradas do Active Directory para Permitir que Você Controle
o Acesso a Zonas e Registros de Recursos
Depois de implementar as zonas integradas do Active Directory, você também pode

configurar zonas para proteger atualizações dinâmicas. O DNS suporta o protocolo de
atualização dinâmica. O protocolo de atualização dinâmica permite que computadores
baseados em Windows Server 2003 atualizem servidores DNS automaticamente, de forma
que os registros de recursos possam ser atualizados sem intervenção do administrador.
Quando você define as propriedades de uma zona DNS integrada para permitir apenas
atualizações seguras, você pode controlar o acesso às zonas e registros de recurso editando a
DACL para a zona ou registro de recurso.
Para permitir apenas atualizações seguras para uma zona de pesquisa direta ou inversa,
1. Abra o DNS a partir do menu Ferramentas Administrativas (Administrative Tools) e
então clique duas vezes em Servidor (onde Servidor é o seu servidor DNS).
2. Dependendo de você estar implementando uma zona de pesquisa direta ou inversa,
• Para permitir apenas atualizações seguras para uma zona de pesquisa direta, clique
duas vezes em Zonas de Pesquisa Direta (Forward Lookup Zones), clique em
domínio (onde domínio é o nome do seu domínio), clique com o botão direito em
domínio e então clique em Propriedades (Properties).
• Para permitir apenas atualizações seguras para uma zona de pesquisa inversa, clique
duas vezes em Zonas de Pesquisa Inversa (Reverse Lookup Zones), clique em
Sub-rede AAA.BBB.CCC.x (onde AAA.BBB.CCC.x é sua zona de pesquisa inversa),
-63-
clique com o botão direito em Sub-rede AAA.BBB.CCC.x e então clique em
6. Na guia Geral (General), na lista Permitir atualizações dinâmicas (Allow dynamic
updates), clique em Apenas atualizações seguras (Only secure updates) e então
clique em OK para fechar a caixa de diálogo Propriedades (Properties) do domínio ou
a caixa de diálogo Propriedades (Properties) de Sub-rede AAA.BBB.CCC.x.
Alterando o Modo de Domínio
O Active Directory é Instalado no Modo Misto para Fornecer Suporte aos

Controladores de Domínio Existentes
O Aninhamento de Grupos e os Grupos de Segurança Universais Requerem um
Domínio no Modo Nativo
Depois que você instala o Active Directory e estabelece um domínio, o domínio e o Active
Directory são executados no modo misto, que é o modo de domínio padrão. Um domínio de
modo misto suporta controladores de domínio que estão executando o Windows Server
2003 ou o Microsoft Windows NT 4.0. Você pode operar seu domínio no modo misto
indefinidamente, o que permite que você atualize os controladores de domínio que executam
o Windows NT 4.0 a qualquer momento, de acordo com as necessidades de sua
organização.
Se sua rede não tem nenhum controlador de domínio executando o Windows NT 4.0, ou
quando todos os seus controladores de domínio foram atualizados para o Windows Server
2003, você pode converter o domínio do modo misto para o modo nativo. Em um domínio
de modo-nativo, todos os controladores de domínio executam o Windows Server 2003.
Entretanto, servidores membros e computadores cliente não precisam ser atualizados para o
Windows Server 2003 antes que você converta um domínio para o modo nativo. Algumas
funções no Active Directory, como aninhamento de grupos e grupos de segurança
universais, exigem que o domínio esteja no modo nativo. Embora você não possa adicionar
controladores de domínio executando o Windows NT 4.0 a um domínio no modo nativo,
você ainda pode ter clientes e servidores membro que executam outros sistemas
operacionais.
Para alterar seu domínio do modo misto para o modo nativo, execute os seguintes passos:
1. Abra o Usuários e Computadores do Active Directory (Active Directory Users and
Computers) ou o Domínios e Confianças do Active Directory (Active Directory
Domains and Trusts) a partir do menu Ferramentas Administrativas (Administrative
Tools).
2. Abra a caixa de diálogo Propriedades (Properties) do domínio.
3. Na guia Geral (General), clique em Alterar Modo (Change Mode).
4. Clique em Sim (Yes) e então clique em OK.
Aviso: A alteração do modo misto para o modo nativo é um processo unidirecional; você
não pode alterar do modo nativo para o modo misto.
-64-
Implementando uma Estrutura de Unidade Organizacional
Implemente uma Estrutura de UO se Você Quer:

• Aprimorar o Controle Administrativo
9 Delegar controle administrativo sobre os recursos de rede
9 Agrupar recursos de rede similares sob uma UO
9 Simplificar a administração dos objetos e controla a visualização dos recursos de
rede
9 Torne a administração dos recursos mais eficiente
• Controlar a Aplicação das Diretivas de Grupo
Crie uma OU em um Domínio ou Dentro de Outra OU Utilizando o Usuários e
Computadores do Active Directory (Active Directory Users and Computers)
Você pode utilizar UOs para atender aos requisitos administrativos de uma organização ou a
aplicação central das Diretivas de Grupo. Você deve criar UOS que sejam significativas e
não alterem com freqüência. Você deve implementar uma estrutura de UO dentro de um
domínio para aprimorar o controle administrativo ou controlar a Diretiva de Grupo.
Aprimorar o controle administrativo significa que você pode:
• Delegar o controle administrativo, como a adição, exclusão e atualização de objetos
na OU e decidir quem tem acesso à OU. Delegue o controle administrativo sobre os
recursos de rede, enquanto mantém a habilidade de gerenciar os recursos.
• Agrupar recursos de rede com requisitos de segurança idênticos juntos sob uma UO
para facilitar a tarefa de administração destes recursos. Por exemplo, você poderia
agrupar todas as contas de usuário para funcionários temporários em uma OU.
• Simplificar a administração dos objetos e controlar a visualização dos recursos de
rede, como impressoras, usuários e computadores. Controlando a visualização dos
recursos, os usuários podem ver apenas os recursos para o qual eles têm acesso.
• Tornar a administração dos recursos mais eficiente atribuindo permissões apenas
uma vez para uma UO com muitos recursos compartilhados ao invés de múltiplas
vezes para cada recurso compartilhado.
Controlar a Diretiva de Grupo significa que você pode criar configurações de Diretiva
de Grupo separadas para um grupo distinto de usuários, como funcionários permanentes
ou contratados temporários.
Você não pode criar uma OU a menos que você tenha atribuído permissões para fazer isto;
além disto, estas permissões também podem limitar onde você tem permissão para criar uma
OU. Por padrão, membros dos grupos Administradores do Domínio (Domain Admins) e
Administradores da Empresa (Enterprise Admins) têm permissões para criar OUs. Usuários
que não são membros destes grupos devem ter atribuído explicitamente esta permissão.
Usuários que têm permissões Ler (Read), Listar Conteúdo (List Contents) e Criar UO Filha
(Create Child (OU)) em uma UO pai podem criar UOs filhas. Listar Conteúdo (List
Contents) na UO pai não é necessário, mas sem isto, você não é capaz de visualizar a nova
OU filha depois que você a cria.
-65-
Para criar uma OU, execute os seguintes passos:

1. No Usuários e Computadores do Active Directory (Active Directory Users and
Computers), clique com o botão direito no domínio ou UO no qual você quer criar a
nova OU.
2. Aponte para Novo (New) e então clique em Unidade Organizacional (Organizational
Unit).
3. Digite o nome da OU e então clique em OK.
Laboratório B: Executando Tarefas de Instalação Pós-Active Directory
Objetivos
Depois de completar este laboratório, você será capaz de:

Verificar se o Active Directory está instalado corretamente.
Converter zonas DNS primárias padrão para zonas integradas do Active Directory.
Converter um domínio do modo misto para o modo nativo.
Planejar uma estrutura de unidade organizacional (OU, organizational unit).
Criar unidades organizacionais.
Pré-requisito
Antes de começar este laboratório, você precisa ter:

Conhecimento de como o Active Directory utiliza o serviço DNS.
Conhecimento de unidades organizacionais.
Configuração do Laboratório
Para completar este laboratório, você precisa de um computador executando o Windows

Server 2003 Server configurado como um controlador de domínio.
Exercício 1: Verificando a Instalação do Active Directory
Cenário
Tendo completado a instalação do Active Directory, a segunda parte de seu plano de
implementação requer que você verifique se a instalação foi bem-sucedida.
Objetivo
Neste exercício, você verificará se a instalação do Active Directory foi bem-sucedida. Você
o fará utilizando o DNS para verificar se os registros de recurso SRV foram criados,
verificar se o volume do sistema compartilhado (SYSVOL) foi apropriadamente criado e
configurado e então verificar se o arquivo de banco de dados e os arquivos de log
associados foram criados.
-66-
1. Verificar se os registros de recurso a. Efetue o logon como Adminstrador com a
SRV necessários foram registrados no senha senha.
DNS. b. Abra o DNS a partir do menu
Ferramentas Administrativas
(Administrative Tools).
c. Na árvore do console, expanda
computador (onde computador é o nome
atribuído a seu computador), expanda
Zonas de Pesquisa Direta (Forward
Lookup zones) e então expanda
domínio.nwtraders.msft (onde domínio é
o nome atribuído a seu domínio).
As seguintes pastas aparecem abaixo
do seu nome de domínio:
_msdcs, _sites, _tcp e _udp.
d. Feche o DNS.
Observação: Se os registros de recurso SRV não aparecem, abra um prompt de
comando, digite net stop netlogon e então pressione ENTER, digite net start netlogon e
então pressione ENTER. Isto força o registro dos registros de recurso SRV.
2. Verificar se o volume do sistema a. Na caixa Executar (Run), digite
compartilhado (SYSVOL) foi criado e %systemroot%\sysvol e então clique em
compartilhado. OK.
Uma janela exibe o conteúdo da pasta
SYSVOL. Você deverá ver as
seguintes subpastas: Domain,
Staging, Staging Areas e Sysvol.
b. Feche a janela SYSVOL.
c. Abra uma janela de prompt de comando.
d. No prompt de comando, digite net share
e então pressione ENTER.
Na saída do comando net share, você
deverá ver uma entrada para
SYSVOL, indicando que ele foi
compartilhado.
e. Feche a janela de prompt de comando.
3. Verificar se o banco de dados e os a. Na caixa Executar (Run), digite
arquivos de log associados foram %systemroot%\ntds e então pressione
criados. ENTER.
Uma janela exibe o conteúdo da pasta
Ntds. Você deverá visualizar os
seguintes arquivos e subpastas: Drop,
Edb, Ntdis.dit, Res1, Res2 e
Temp.edb.
b. Feche a janela NTDS.
-67-
Exercício 2: Convertendo Zonas DNS Primárias Padrão para Zonas

Integradas do Active Directory
Cenário
Como parte do plano de desenvolvimento do Active Directory, você decidiu utilizar zonas
integradas para tirar proveito dos benefícios fornecidos utilizando o Active Directory para
armazenar e replicar seus registros de recurso DNS.
Objetivo
Neste exercício, você converterá suas zonas de pesquisa diretas e inversas de zonas
primárias padrão pra zonas integradas do Active Directory.

1. Converter a zona de pesquisa direta de a. Abra o DNS a partir do menu
seu domínio de primária padrão para Ferramentas Administrativas
zona integrada do Active Directory. (Administrative Tools).
b. Na árvore do console, expanda
Computador (onde Conputador é o nome
atribuído a seu computador), expanda
Zonas de Pesquisa Diretas (Forward
Lookup Zones) e então clique em
domínio.nwtraders.msft (onde domínio é
o nome atribuído a seu domínio).
c. Clique com o botão direito em
domínio.nwtraders.msft e então clique
em Propriedades (Properties).
d. Na caixa de diálogo Propriedades de
domínio.nwtraders.msft
(domínio.nwtraders.msft Properties), na
guia Geral (General), clique em Alterar
(Change).
e. Na caixa de diálogo Alterar Tipo de
Zona (Change Zone Type), clique em
Integrada ao Active Directory (Active
Directory-integrated) e então clique em
OK.
f. Na caixa de diálogo DNS, clique em OK
para confirmar a alteração e então clique
em OK para fechar a caixa de diálogo
Propriedades de
(domínio.nwtraders.msft Properties).
2. Converter a zona de pesquisa inversa a. Na árvore do console, expanda Zonas de
-68-
de sua sub-rede de primária padrão Pesquisa Inversa (Reverse Lookup
para zona integrada do Active Zones) e então clique em Sub-rede
Directory. 192.168.y.x (onde y é o número atribuído
à sua sala de aula).
b. Clique com o botão direito em Sub-rede
192.168.y.x e então clique em
c. Na caixa de diálogo Propriedades de
192.168.y.x (192.168.y.x Properties), na
guia Geral (General), clique em Alterar
(Change).
d. Na caixa de diálogo Alterar Tipo de
Zona (Change Zone Type), clique em
Integrada ao Active Directory (Active
Directory-integrated) e então clique em
OK.
e. Na caixa de diálogo DNS, clique em OK
para confirmar a alteração e então clique
em OK para fechar a caixa de diálogo
Propriedades de 192.168.y.x
(192.168.y.x Properties).
f. Feche o DNS.
Exercício 3: Convertendo um Domínio do Modo Misto para o Modo

Nativo
Cenário
Por você não estar utilizando quaisquer controladores de domínio do Windows NT 4.0 em
seu domínio e por você querer tirar proveito total de todos os benefícios oferecidos pelo
Active Directory, você decidiu converter seu domínio de um domínio do modo misto para
um domínio do modo nativo.
Objetivo
Neste exercício, você converterá seu domínio do modo misto para o modo nativo.

1. Converta o domínio do modo misto a. Abra o Usuários e Computadores do
para o modo nativo. Active Directory (Active Directory
Users and Computers) a partir do
menu Ferramentas Administrativas
(Administrative Tools).
b. Na árvore do console, clique com o
botão direito em
domínio.nwtraders.msft e então
clique em Propriedades
(Properties).
-69-
c. Na caixa Propriedades de
(domínio.nwtraders.msft
Properties), clique em Alterar Modo
(Change Mode).
d. Na caixa de diálogo Active
Directory, clique em Sim (Yes) para
confirmar a alteração.
e. Clique em OK para fechar a caixa
domínio.nwtraders.msft e então
clique em OK para fechar a caixa de
diálogo do Active Directory.
f. Feche todas as janelas abertas e então
efetue o logoff.
Exercício 4: Planejando a Estrutura de Uma Unidade Organizacional
Cenário
Os centros de operações da Northwind Traders estão preparando para implementar o
Windows Server 2003. Todos os computadores e usuários nesta localidade pertencerão ao
mesmo domínio. A Northwind Traders tem atualmente 1.000 usuários nesta localidade,
trabalhando nos departamentos de Vendas, Administração e Produção. O gerenciamento
espera um crescimento moderado nos próximos cinco anos, com a força de trabalho total
não ampliada em mais de 100%.
Os administradores de rede de tempo integral executam centralmente a maioria da
administração do Windows Server 2003 para a Northwind Traders centralmente. Entretanto,
um administrador em cada um dos três departamentos deveria manipular a administração
diária dos usuários e grupos. Estes administradores serão responsáveis por algumas tarefas
administrativas, incluindo a adição e a remoção de contas de usuário e ocasionalmente a
alteração de senhas.
A maioria dos computadores na Northwind Traders está configurada de forma similar e tem
os mesmos aplicativos empresariais instalados. Entretanto, os servidores de banco de dados
têm diferentes aplicativos instalados. Apenas dois administradores de rede seniores devem
ser capazes de executar tarefas de controle administrativo sobre estes servidores.
Finalmente, a Northwind Traders tem quatro controladores de domínio.
Quais UOs você deve adicionar à estrutura do Active Directory padrão. Que objetos você
colocará nestas UOs? A chave é manter a estrutura simples, enquanto ainda atinge todos os
objetivos administrativos.
Exercício 5: Organizando um Domínio do Windows Server 2003
Cenário
Para alcançar os objetivos administrativos declarados no exercício 1, você criará uma
estrutura de unidade organizacional. Você implementará a estrutura que você discutiu no
exercício anterior.
-70-
Objetivo
Neste exercício, você criará uma parte da estrutura organizacional do domínio da Northwind
Traders.

1. Criar UOs dentro do domínio a. Efetue o logon em seu domínio como
domínio.nwtraders.msft, com os Administrador com a senha senha.
seguintes nomes: b. Abra o Usuários e Computadores do
• Vendas Active Directory (Active Directory
• Administração Users and Computers) a partir do
• Produção menu Ferramentas Administrativas
• Servidores (Administrative Tools).
c. Na árvore do console, expanda
domínio.nwtraders.msft (onde
domínio é o nome atribuído a seu
domínio) se necessário e clique então
em domínio.nwtraders.msft.
Quais são as UOs e recipientes padrão em seu domínio?
1. (continuação) d. Clique com o botão direito em

domínio.nwtraders.msft, aponte para
Novo (New) e então clique em
Unidade Organizacional
(Organizational Unit).
A caixa de diálogo Novo Objeto –
Unidade Organizacional aparece.
Repare que a única informação
necessária é o nome da nova UO.
A caixa de diálogo indica que seu
domínio é a localização onde o
objeto será criado.
e. Na caixa Nome (Name), digite
Vendas e clique em OK.
f. Repita os passos d e e para criar as
OUs Administração, Produção e
Servidores.
g. Feche todas as janelas abertas e então
efetue o logoff.
Acesso Negado ao Criar ou Adicionar Controladores de Domínio

Nomes DNS ou NetBIOS Não São Exclusivos
-71-
Domínio não pode ser Criado
Espaço em Disco Insuficiente
Você pode encontrar problemas ao instalar o Active Directory. Existem alguns problemas
comuns que você pode encontrar e algumas estratégias para resolvê-los.
Acesso negado ao criar ou adicionar controladores de domínio. A seguir estão as
possíveis soluções para a mensagem de erro de negação de acesso em diferentes
situações:
• Se você recebe esta mensagem ao criar o primeiro controlador de domínio em uma
nova floresta, você não efetuou logon no servidor com uma conta que pertence ao
grupo Administradores (Administrators) Local. Efetue o logoff e depois efetue o
logon utilizando uma conta que pertença ao grupo Administradores (Administrators)
Local.
• Se você receber esta mensagem ao adicionar um controlador de domínio a um
domínio existente, você deve preencher as credenciais de uma conta de usuário que é
membro do grupo Administradores do Domínio (Domain Admins).
Os nomes DNS ou NetBIOS não são exclusivos. Quando um domínio está sendo criado,
tanto o nome de domínio DNS como o nome de domínio NetBIOS devem ser
exclusivos. Se você recebe uma mensagem de erro indicando que um dos nomes de
domínio não é exclusivo, altere o mesmo.
O domínio não pode ser contatado. Ao adicionar um controlador de domínio de réplica a
um domínio existente, você recebe uma mensagem de erro indicando que o controlador
de domínio não pode ser contatado ou que este não é um domínio do Active Directory.
A seguir estão as possíveis soluções para este problema:
• Verifique o DNS para garantir que os registros de recurso SRV necessários existem
para o domínio que está sendo contatado.
• Se os registros de recursos SRV não estiverem presentes, você pode forçar o registro
dos registros de recurso SRV interrompendo o serviço Net Logon e então iniciando o
serviço Net Logon em um controlador de domínio existente.
• Se os registros de recurso SRV estiverem presentes no DNS, utilize o nslookup para
garantir que você possa resolver nomes DNS a partir do computador no qual você
está tentando instalar o Active Directory.
Espaço em disco insuficiente. O Active Directory requer um espaço em disco mínimo de
250 MB, 200 MB para o banco de dados e 50 MB para os logs de transação. Se você
recebe uma mensagem de erro de espaço em disco insuficiente, considere a utilização de
outro volume ou partição para armazenar estes arquivos.
Remova o Active Directory:

• Utilizando o Assistente de Instalação do Active Directory
• Fornecendo credenciais administrativas apropriadas
O Assistente de Instalação do Active Directory Executa Operações de Remoção
Especificas Dependendo do Tipo de Controlador de Domínio
-72-
Você utiliza o assistente de Instalação do Active Directory para remover o Active Directory.
Quando você inicia o assistente em um controlador de domínio, o controlador de domínio é
identificado como o servidor que contém o Active Directory e o assistente solicita a você as
informações necessárias para remover o Active Directory.
Para remover o Active Directory, você deve fornecer as seguintes credenciais
administrativas:
Para remover o Active Directory de um controlador de domínio que é o último
controlador de domínio na floresta, você deve efetuar o logon no domínio como um
membro do grupo Administradores do Domínio (Domain Admins).
Para remover o Active Directory a partir de um controlador de domínio que não é o
último controlador de domínio no domínio, você não precisa fornecer credenciais.
Entretanto, você deve ter efetuado o logon como um membro do grupo Administradores
da Empresa (Enterprise Admins).
Dependendo de você estar removendo o Active Directory do último controlador de domínio

ou em um controlador de domínio adicional, as mesmas operações são comuns para ambos
os procedimentos. Se qualquer operação falha, a remoção do Active Directory não pode
prosseguir.
As seguintes operações são comuns para a remoção o Active Directory:

Remove os atalhos para as configurações de segurança da Diretiva de Grupo e restaura o
atalho no menu Ferramentas Administrativas (Administrative Tools) para fornecer
acesso às configurações de segurança local para um servidor membro ou para o servidor
autônomo.
Replica todas as alterações na configuração e nas partições do diretório do esquema.
Para um controlador de domínio, também replica a partição de diretório do domínio.
Transfere para outro domínio quaisquer funções de mestre único que o controlador de
domínio está mantendo.
Remove os objetos do volume do sistema do banco de dados de diretório, remove os
objetos do volume de sistema a partir do banco de dados de serviço Replicação de
Arquivos (File Replication) e exclui a hierarquia da pasta SYSVOL. O serviço
Replicação de Arquivos solicita que o Net Logon remova o compartilhamento do
volume de sistema.
Remove objetos de Configuração NTDS e objetos de referência cruzada.
Atualiza o DNS para remover os registros de recurso do Localizador de Controlador de
Domínio (Domain Controller Locator).
Cria o banco de dados Gerenciador de Contas de Segurança (SAM, Security Accounts
Manager) da mesma forma que durante uma instalação inicial, incluindo a criação da
conta do administrador e definindo a senha.
Modifica a diretiva de participação do LSA para distinguir se o computador é um
servidor autônomo ou um servidor membro.
Interrompe o serviço Net Logon e outros serviços que foram iniciados durante a
instalação do Active Directory. Serviços que se relacionam apenas ao serviço de
diretório são configurados para não serem iniciados automaticamente.
As seguintes operações são específicas na remoção de um controlador de domínio adicional:
-73-
Localiza e conecta a um controlador de domínio de origem no mesmo domínio onde a
conta de controlador de domínio adicional existe e replica as alterações para este
controlador de domínio.
Define o tipo de conta do computador para servidor membro e move a conta de
computador para o servidor adicional da OU Controladores de Domínio (Domain
Controllers) para o recipiente Computador (Computer).
As seguintes operações são específicas à remoção do último controlador de domínio no

domínio:
Verifica que nenhum domínio filho existe.
Localiza e conecta a um controlador de domínio no domínio pai e replica alterações a
este controlador de domínio de origem.
Remove os objetos do Active Directory da floresta que são específicos deste domínio.
Remove os objetos de confiança no servidor pai. Os objetos do Domínio de confiança na
pasta System são excluídos.
Posicione o servidor em um grupo de trabalho chamado WorkGroup.
Implemente Múltiplos Controladores de Domínio em um Domínio

Reduza a Sobrecarga Administrativa Agrupando Objetos em uma OU
Comece com um Único Domínio
Estabeleça uma Infraestrutura DNS Funcional
Instale o Banco de dados de Diretório e os Arquivos de Log em Discos Separados
Permita Espaço em Disco Livre para o Banco de Dados de Diretório e Arquivos de
Log
Permita Espaço em Disco Livre para o SYSVOL
A lista seguinte fornece as práticas recomendadas para a criação de um domínio no

Windows Server 2003:
Considere a implementação de múltiplos controladores de domínio em cada domínio.
Múltiplos controladores de domínio fornecem tanto tolerância a falhas como
balanceamento de carga.
Reduza a sobrecarga administrativa agrupando objetos com requisitos de segurança
idênticos em uma UO. Você pode então atribuir permissões de acesso facilmente para a
UO inteira e todos os objetos dentro dela.
Considere a implementação de uma estrutura do Active Directory que consista em um
único domínio, o que reduz os custos de administração e hardware e acomoda as
reorganizações da empresa mais eficientemente. Adicione domínios adicionais apenas
quando uma UO não satisfizer suas necessidades.
Garanta que sua infraestrutura do DNS esteja no local e funcionando apropriadamente
antes de criar o primeiro domínio. O Active Directory depende do DNS para funcionar
apropriadamente.
Ao instalar o Active Directory, posicione o banco de dados de diretório e os arquivos de
log em discos rígidos separados para ajudar a aprimorar o desempenho.
-74-
Verifique se os volumes que mantêm o banco de dados de diretório e os arquivos de log
contêm espaço em disco livre suficiente para permitir o crescimento da estrutura do
Active Directory.
Garanta que o volume que mantém a estrutura da pasta SYSVOL contenha espaço em
disco livre o suficiente para permitir um futuro crescimento. Embora você possa mover
o banco de dados de diretório e os arquivos de log usando o utilitário ntdsutil, você não
pode mover a estrutura da pasta SYSVOL sem remover e reinstalar o Active Directory.
Revisão

Executando Tarefas de Instalação Pós-Active Directory
1. Quando você instala o Active Directory pela primeira vez em uma rede do Windows
Server 2003, que tipo de domínio você está criando?
2. Você quer executar uma sessão não-atendida do assistente de Instalação do Active
Directory. O nome do arquivo de resposta é Promote.txt. Que comando você digita no
prompt de comando para executar o arquivo de resposta?
3. Quando você instala um controlador de domínio de réplica em um domínio existente, o
assistente de Instalação do Active Directory verifica pela existência de um servidor DNS
funcionando? Porque?
4. Qual(is) do(s) seguinte(s) deve(m) estar localizado(s) em um volume formatado com o
sistema de arquivo NTFS:
• Banco de dados de diretório
• Arquivos de log
• Estrutura da pasta SYSVOL
5. Ao adicionar um controlador de domínio de réplica a um domínio existente, em qual
recipiente o objeto computador para o novo controlador de domínio é criado?
6. Ao tentar instalar um controlador de domínio de réplica, você recebe uma mensagem
que o domínio do Active Directory ao qual você está tentando se unir não pode ser
contatado. Ao examinar o banco de dados do DNS, você repara que os registros SRV
não foram criados. Como você pode forçar o registro dos registros SRV?
7. Você instalou o Active Directory e um domínio padrão foi criado. Agora você quer
utilizar as características do Active Directory, como aninhamento em grupo e grupos de
segurança universal. que modo de domínio é necessário para utilizar estas características
no Active Directory?
8. Quais são as duas principais razões pelo qual você planejaria implementar uma estrutura
de OU dentro de um domínio?
-75-

03 Instalando Um Dominio

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

03 Instalando Um Dominio

Enviado por

Direitos autorais:

Formatos disponíveis

Módulo 3: Criando um Domínio do Windows Server 2003

Módulo 3: Criando um Domínio do Windows Server 2003

 Introdução à Criação de um Domínio do Windows Server 2003

Depois de instalar o Windows Server 2003, você pode configurar um computador

Depois de completar este módulo, você será capaz de:

Introdução à Criação de um Domínio do Windows Server 2003

 Domínios são a Unidade Administrativa Central

Observação: Utilizando o assistente de Instalação do Active Directory, você também pode

Instalando o Active Directory

 Preparando para Instalar o Active Directory

Preparando para Instalar o Active Directory

Requisitos de Instalação do Active Directory

 Um computador executando o Windows Server 2003 Server, Windows Server 2003

Observação: O assistente de Instalação do Active Directory oferece a opção de instalar o

Criando o Primeiro Domínio

 Inicie o Assistente de Instalação do Active Directory

Para criar o domínio raiz, execute os seguintes passos:

Nesta página do assistente Faça isto

Depois que você finalizar a especificação das informações de instalação, o Assistente de

Adicionando um Controlador de Domínio de Réplica

 A Tolerância a Falhas Requer um Mínimo de Dois Controladores de Domínio em

Para habilitar a tolerância a falhas no caso de um controlador de domínio ficar off-line

Nesta página do assistente Faça isto

As opções restantes no assistente de Instalação do Active Directory são idênticas às opções

Utilizando um Script de Configuração Não Atendida para Instalar o

Você também pode instalar o Active Directory utilizando um arquivo de respostas.

Chaves do [DCInstall] Valor Descrição

Onde arquivo de respostas é o nome do arquivo de respostas criado.

Observação: Para mais informações sobre instalações não-atendidas, consulte

Laboratório A: Criando um Domínio do Windows Server 2003

Antes de começar este laboratório, você precisa ter:

Para completar este laboratório, você precisa do seguinte:

Exercício 1: Instalando o Active Directory

Tarefas Passos Detalhados

O Processo de Instalação do Active Directory

Ao instalar o Active Directory, o Assistente de Instalação do Active Directory confirma

Verificações Executadas pelo Assistente de Instalação do Active Directory Antes de

 Verifica Parâmetros da Interface do Usuário

O assistente de Instalação do Active Directory executa várias verificações antes da

Verificação da Interface do Usuário

Verificação da Configuração do TCP/IP

Validação de Nomes de Domínio DNS e NetBIOS

Observação: O assistente de Instalação do Active Directory solicita credenciais na forma

Verificação das Localidades de Arquivo

Observação: Para mais informações sobre o recipiente Servidores em um site, consulte o

 O Controlador de Domínio é Adicionado ao Site que é Associado com sua Sub-rede

O assistente de Instalação do Active Directory consulta dados do site no Active Directory.

Configuração do Serviço de Diretório

Operações de Configuração do Serviço de Diretório

 Operações para Todos os Tipos de Instalações

Depois que o assistente de Instalação do Active Directory completa todas as verificações

Operações do Active Directory Comuns para Todas as Instalações

Configuração das Partições do Diretório

Configuração dos Serviços e da Segurança

Configurando os Serviços e a Segurança

Durante a instalação do Active Directory, os serviços são configurados para iniciar

Definindo Serviços para Iniciar Automaticamente

DACLs Padrão nos Objetos do Active Directory

Configurações de Diretiva de Grupo Padrões para Controladores de Domínio

Operações de Instalação do Active Directory Adicionais

Independente do tipo de domínio sendo criado, o Assistente de Instalação do Active

Examinando a Estrutura Padrão do Active Directory

Introdução à Criação de um Domínio do Windows Server 2003

Domínios são a Unidade Administrativa Central

Preparando para Instalar o Active Directory

Um computador executando o Windows Server 2003 Server, Windows Server 2003

Inicie o Assistente de Instalação do Active Directory

A Tolerância a Falhas Requer um Mínimo de Dois Controladores de Domínio em

Verifica Parâmetros da Interface do Usuário

O Controlador de Domínio é Adicionado ao Site que é Associado com sua Sub-rede

Operações para Todos os Tipos de Instalações

Verificando a Instalação do Active Directory

Verifique os Registros de Recurso SRV

Utilize o DNS para Proteger Atualizações para Zonas Integradas do Active

O Active Directory é Instalado no Modo Misto para Fornecer Suporte aos

Implemente uma Estrutura de UO se Você Quer:

Acesso Negado ao Criar ou Adicionar Controladores de Domínio

Remova o Active Directory:

Implemente Múltiplos Controladores de Domínio em um Domínio

Introdução à Criação de um Domínio do Windows Server 2003