Escolar Documentos
Profissional Documentos
Cultura Documentos
-40-
Módulo 3: Criando um Domínio do Windows Server 2003
Um domínio é uma unidade administrativa central em uma rede do Windows Server 2003.
No Windows Server 2003, domínios são utilizados para definir como as informações e
recursos são organizados e armazenados.
O primeiro domínio criado no Active Directory é o domínio raiz de toda a floresta. Este
domínio também é chamado de raiz da floresta. Quando você instala o Active Directory
pela primeira vez em uma rede do Windows Server 2003, você cria o primeiro controlador
de domínio em uma nova floresta, estabelecendo desta forma o domínio raiz.
O Assistente de Instalação guia você através do processo de instalação do Active Directory,
para construir controladores de domínio e criar domínios do Windows Server 2003. Você
pode promover qualquer servidor autônomo ou membro para um controlador de domínio.
Quando você promove um servidor para um controlador de domínio, você pode criar:
Uma nova floresta, incluindo o domínio raiz (primeiro domínio na floresta) e o primeiro
controlador de domínio.
Um controlador de domínio adicional em um domínio do Windows Server 2003
existente.
Quando você utiliza o Assistente de Instalação para instalar o Active Directory, você deve
primeiro garantir que todos os requisitos necessários para a sua instalação sejam satisfeitos.
Depois você especifica o posicionamento de um controlador de domínio dentro da estrutura
do Active Directory. Ao instalar o Active Directory, você também especifica informações
detalhadas, como o nome do domínio e a localização dos arquivos que são criados durante o
processo de instalação.
Você também pode executar uma sessão não-atendida do Assistente de Instalação do Active
Directory utilizando arquivos de resposta. Uma sessão não-atendida da instalação do Active
Directory é útil durante a recuperação de desastres e ao instalar o Active Directory em
escritórios filiais onde não haja suporte técnico disponível.
-41-
Módulo 3: Criando um Domínio do Windows Server 2003
Quando você instala o Active Directory pela primeira vez em uma rede, você cria o
domínio raiz da floresta. O Assistente de Instalação do Active Directory guia você na
especificação de informações necessárias para o novo controlador de domínio. As
informações que você fornece quando instala o Active Directory variam de acordo com as
opções que você seleciona.
-44-
Módulo 3: Criando um Domínio do Windows Server 2003
Um Arquivo de Respostas:
• Contém todos os parâmetros necessários para uma sessão não-atendida da instalação do
Active Directory
• Contém apenas a seção [DCInstall] do arquivo de parâmetros de configuração não-
atendida
• Pode ser executado depois que a configuração do Windows Server 2003 Server foi
completada e um usuário tenha efetuado o logon no computador
dcpromo/answer:<arquivo de respostas>
O arquivo de respostas pode ser executado depois que a configuração do Windows Server
2003 Server for completada e um usuário tiver efetuado o logon no computador. Para iniciar
a instalação não-atendida do Active Directory, abra a janela do prompt de comando e digite
o seguinte:
Dcpromo.exe /answer:arquivo de respostas
Objetivos
Depois de completar este laboratório, você será capaz de instalar o Active Directory
utilizando o assistente de Instalação do Active Directory.
Pré-requisitos
Configuração do Laboratório
-48-
Módulo 3: Criando um Domínio do Windows Server 2003
computador é Vancouver, então domínio seria vancouverdom e seu nome de domínio
completo seria vancouverdom.nwtraders.msft.
Uma zona de pesquisa direta que corresponde a seu nome de domínio. A zona de
pesquisa direta deveria ser criada no laboratório A do módulo 2. “Implementando o
DNS para Suportar o Active Directory” (“Implementing DNS to Support Active
Directory”) no curso 2154A, Implementando e Administrando Serviços de Diretório do
Microsoft Windows Server 2003 (Implementing and Administering Microsoft Windows
Server 2003 Directory Services).
Cenário
A Northwind Traders decidiu instalar o Windows Server 2003 e utilizar o Active Directory
para usufruir todas as características e benefícios que o Active Directory fornece. A você foi
atribuída a tarefa de criar o primeiro domínio na rede. Você já criou uma zona de pesquisa
direta no DNS. O nome da zona de pesquisa direta tem o mesmo nome que você está
utilizando para o nome de domínio do Active Directory.
Objetivo
Neste exercício, você criará um domínio do Windows Server 2003 instalando o Active
Directory.
Parâmetros de Configuração
Configuração do Site
Configuração do Serviço de Diretório
Configuração dos Serviços e da Segurança
Operações de Instalação Adicionais do Active Directory
Parâmetros de Configuração
Se quaisquer destas quatro verificações falham, uma mensagem de erro é exibida e você sai
do assistente. Depois que estas verificações são completadas com sucesso, o assistente de
Instalação do Active Directory executa as verificações restantes.
Verificação de Nomenclatura
Cada controlador de domínio tem um objeto servidor no recipiente Site. Ao adicionar um
novo controlador de domínio a um domínio existente, uma verificação é feita para garantir
que o nome do servidor não existe no recipiente Servidores do site para o qual o controlador
de domínio está sendo adicionado. Se o nome do servidor existe, o assistente exclui o objeto
existente e assume que uma reinstalação está sendo executada.
-52-
Módulo 3: Criando um Domínio do Windows Server 2003
Verificação de Credenciais do Usuário
Por criar um novo controlador de domínio ser uma tarefa de alta segurança, o assistente
verifica se o usuário que está tentando instalar o Active Directory tem as permissões de
segurança corretas. Se as credenciais do usuário atualmente conectado não corresponder a
estes requisitos, o usuário é solicitado a fornecer uma conta com os privilégios suficientes.
A lista seguinte descreve os tipos de instalações que podem ser executadas e as permissões
de segurança necessárias para cada instalação:
Se uma nova floresta está sendo criada, nenhuma verificação é executada e nenhuma
credencial específica é necessária.
Se um controlador de domínio de réplica está sendo adicionado ao domínio existente, as
credenciais fornecidas devem ser suficientes para juntar o computador ao domínio
existente. Aos membros dos grupos Administradores do Domínio (Domain Admins) e
Administradores da Empresa (Enterprise Admins) são por padrão atribuídas as
permissões necessárias para criar novos controladores de domínio.
Configuração do Site
-53-
Módulo 3: Criando um Domínio do Windows Server 2003
posicionado no site Nome-do-Primeiro-Site-Padrão. Este é o primeiro site configurado
automaticamente quando você cria o primeiro controlador de domínio em uma floresta.
O assistente de Instalação do Active Directory cria um objeto servidor para o controlador de
domínio no site apropriado. O objeto servidor contém informações necessárias para
replicação. O objeto servidor contém uma referência para o objeto computador na UO
Controladores de Domínio que representa o controlador de domínio sendo criado.
Observação: Se um objeto servidor para este domínio já existe, ele é excluído e então
recriado pelo fato de o assistente considerar que você está executando uma reinstalação do
Active Directory. Para mais informações sobre objetos sub-rede e objetos servidor, consulte
o módulo 11, “Gerenciando a Replicação do Active Directory” (“Managing Active
Directory Replication”).
-54-
Módulo 3: Criando um Domínio do Windows Server 2003
Define a diretiva de Autoridade de Segurança Local (LSA, Local Security Authority)
para indicar que este servidor é um controlador de domínio.
Instala atalhos para ferramentas de administração no Active Directory.
-55-
Módulo 3: Criando um Domínio do Windows Server 2003
Definindo Segurança
Define a segurança para o serviço de diretório e para as pastas de replicação de
arquivo
Configura as DACLs padrão do Active Directory em arquivo e objetos no Active
Directory
Configura a Diretiva de Grupo padrão utilizando modelos de segurança
Definindo Segurança
Durante a instalação do Active Directory, a segurança é habilitada no serviço de diretório e
nas pastas de replicação de arquivos para controlar o acesso aos objetos do Active
Directory.
-56-
Módulo 3: Criando um Domínio do Windows Server 2003
HKEY_LOCAL_MACHINE\SYSTEM
HKEY_USERS\.DEFAULT
Operações Adicionais
Define o Nome do Domínio Raiz DNS do Computador
Determina se o Computador Servidor é um Membro do Domínio
Cria uma Conta de Computador na UO Controladores de Domínio
Aplica a Senha Fornecida pelo Usuário para a Conta do Administrador
Cria um Objeto de Referência Cruzada no Recipiente Configuração
Adiciona Atalhos
Cria a Pasta SYSVOL
Cria os Recipientes Esquema e Configuração
Atribui as Funções Específicas ao Controlador de Domínio
-57-
Módulo 3: Criando um Domínio do Windows Server 2003
Cria a Pasta SYSVOL que contém:
• A pasta compartilhada SYSVOL. Esta pasta compartilhada contém informações da
Diretiva de Grupo.
• A pasta compartilhada Net Logon. Esta pasta compartilhada é utilizada para conter
scripts de logon para computadores não-baseados em Windows Server 2003.
Executa as seguintes operações ao criar o domínio raiz da floresta:
• Os recipientes Esquema e Configuração são criados.
• O Assistente de Instalação do Active Directory designa o emulador de controlador
de domínio primário (PDC, primary domain controller), mestre de operações de
identificador relativo (RID, relative identifier), mestre de nomenclatura de domínio,
mestre de esquema e mestre de infra-estrutura para o controlador de domínio.
Observação: Para mais informações sobre o emulador de PDC, mestre de operações RID,
mestre de nomenclatura de domínio, mestre de esquema e funções de mestre de
infraestrutura, consulte o módulo 12, “Gerenciando Mestres de Operações” (“Managing
Operations Masters”).
Active View
Holds
Holds the
the default
default Windows
Windows
2000
2000 security
security groups
groups
Tree contoso.msft 8 objects
Default
Default location
location for
for computer
computer
Active Directory Users and Co.. Name
contoso.msft accounts
accounts
Builtin
Builtin
Computers Default
Default location
location for
for domain
domain
Computers
controller
controller computer
computeraccounts
accounts
Domain Controllers
Domain Controllers
ForeignSecurityPrincipals Holds
Holds security
security identifiers
identifiers (SIDs)
(SIDs)
LostAndFound ForeignSecurityPrincipals from
from external, trusted domains
external, trusted domains
System
Users LostAndFound
Holds
Holds orphaned
orphaned objects
objects
System
Users Holds
Holds some
some built-in
built-in system
system
settings
settings
Infrastructure
Default
Default location
location of
of user
user and
and
group
group accounts
accounts
-58-
Módulo 3: Criando um Domínio do Windows Server 2003
Computadores (Computers) [recipiente]. Este objeto é a localização padrão para contas
de computador.
Controladores de Domínio (Domain Controllers) [unidade organizacional]. Este objeto
é a localização padrão para contas de computador de controlador de domínio.
ForeignSecurityPrincipals [recipiente]. Este objeto é utilizado para manter
identificadores de segurança (SIDs, security identifiers) de domínios externos
confiáveis.
Usuários (Users) [recipiente]. Este objeto é a localização padrão das contas de usuário e
grupo.
Observação: Você pode aplicar a Diretiva de Grupo em uma OU, mas você não pode
aplicar a Diretiva de Grupo em um recipiente.
Depois que você instala o Active Directory, é importante verificar os arquivos de banco de
dados de diretório necessários, os arquivos SYSVOL e os registros de recurso SRV DNS
que foram criados de forma que o Active Directory funcione apropriadamente.
Depois de você instalar o Active Directory, você deve configurar as zonas DNS integradas
ao Active Directory de forma que o DNS possa utilizar a funcionalidade do Active
Directory, como replicação, transferência de zona e atualizações dinâmicas seguras.
Se todos os controladores de domínio em uma rede do Windows Server 2003 estiverem
executando o Windows Server 2003, você deve alternar o modo de domínio do modo misto
para o modo nativo. Apenas no modo nativo você pode adicionar novos grupos dentro de
grupos existentes e adicionar grupos de segurança universais.
Depois de criar um domínio, você deve implementar uma estrutura de UO para aprimorar o
controle administrativo e aplicar a Diretiva de Grupo. Você pode criar uma UO sem um
domínio ou outra UO. Depois que você cria uma UO, você pode adicionar objetos a ela.
-59-
Módulo 3: Criando um Domínio do Windows Server 2003
Depois que o assistente completa a instalação do Active Directory, você pode verificar o
sucesso da instalação:
Examinando o banco de dados do DNS para garantir que os registros SRV requeridos
foram criados.
Garantindo que SYSVOL foi apropriadamente criado e compartilhado.
Verificando se os arquivos de banco de dados e de log do Active Directory foram
criados.
Examinando os logs de eventos por quaisquer erros gerados durante a instalação.
Utilizando o Nslookup
Para verificar se os registros de recurso SRV foram apropriadamente registrados utilizando
o comando nslookup, execute os seguintes passos:
1. Abra uma janela de prompt de comando.
2. No prompt de comando, digite nslookup e então pressione ENTER.
-60-
Módulo 3: Criando um Domínio do Windows Server 2003
3. Digite ls –t SRV domínio (onde domínio é o nome do domínio) e então pressione
ENTER.
Se os registros de recurso SRV foram apropriadamente criados, eles serão listados. Para
salvar os resultados desta lista em um arquivo, digite ls –t SRV domínio >
nomedoarquivo (onde nomedoarquivo é qualquer nome que você atribui ao arquivo).
Observação: Se você não tem uma zona de pesquisa inversa configurada, mensagens de
tempo esgotado (“time-outs”) serão relatados quando você executar o nslookup pela
primeira vez. Isto acontece porque o nslookup gera uma pesquisa inversa para determinar o
nome de host do servidor DNS baseando em seu endereço IP.
Verificando o SYSVOL
Existem dois passos envolvidos na verificação do SYSVOL. Primeiro, verifique se a pasta
estrutura foi criada; segundo, verifique se as pastas compartilhadas necessárias foram
criadas. Se a pasta SYSVOL não for corretamente criada, os dados que são armazenados na
pasta SYSVOL, como a Diretiva de Grupo e os scripts não serão replicados entre
controladores de domínio.
O Windows Explorer é aberto e exibe o conteúdo da pasta SYSVOL, que deveria incluir as
seguintes subpastas:
Domain
Staging
Staging areas
Sysvol
-61-
Módulo 3: Criando um Domínio do Windows Server 2003
O Windows Explorer é aberto e exibe o conteúdo da pasta ntds, que deveria incluir os
seguintes arquivos:
Ntds.dit. Este é o arquivo de banco de dados de diretório.
Edb.*. Estes são arquivos de log de transações e de checkpoint.
Res*.log. Estes são arquivos de log reservados.
Utilize o DNS para Integrar uma Zona DNS com o Active Directory
Implemente uma Zona de Pesquisa Direta
Implemente uma Zona de Pesquisa Inversa
Depois de instalar o Active Directory, você pode integrar uma zona DNS com o Active
Directory, de forma que o DNS possa utilizar o Active Directory para armazenar e replicar
bancos de dados de zona DNS. Você implementa zonas de pesquisa diretas e inversas
integradas com o Active Directory para permitir que computadores cliente executem
pesquisas tanto diretas como inversas.
Para implementar as zonas de pesquisa diretas e inversas integradas com o Active Directory,
execute os seguintes passos:
1. Abra o DNS a partir do menu Ferramentas Administrativas (Administrative Tools) e
então clique duas vezes em Servidor (onde Servidor é o seu servidor DNS).
2. Dependendo de você estar implementando uma zona de pesquisa direta ou inversa,
execute os seguintes passos:
• Para implementar a zona de pesquisa direta integrada ao Active Directory, clique
duas vezes em Zonas de Pesquisa Direta (Forward Lookup Zones), clique em
-62-
Módulo 3: Criando um Domínio do Windows Server 2003
domínio (onde domínio é o nome do seu domínio), clique com o botão direito em
domínio e então clique em Propriedades (Properties).
• Para implementar a zona de pesquisa inversa integrada ao Active Directory, clique
duas vezes em Zonas de Pesquisa Inversa (Reverse Lookup Zones), clique em
Sub-rede AAA.BBB.CCC.x (onde AAA.BBB.CCC.x é sua zona de pesquisa inversa),
clique com o botão direito em Sub-rede AAA.BBB.CCC.x e então clique em
Propriedades (Properties).
3. Na guia Geral (General), clique em Alterar (Change).
4. Na caixa de diálogo Alterar Tipo de Zona (Change Zone Type), clique em Integrada
ao Active Directory (Active Directory-integrated) e então clique em OK.
5. Na caixa de diálogo DNS, clique em OK e então clique em OK novamente para fechar a
caixa de diálogo Propriedades (Properties) do domínio ou a caixa de diálogo
Propriedades (Properties) de Sub-rede AAA.BBB.CCC.x.
-63-
Módulo 3: Criando um Domínio do Windows Server 2003
clique com o botão direito em Sub-rede AAA.BBB.CCC.x e então clique em
Propriedades (Properties).
6. Na guia Geral (General), na lista Permitir atualizações dinâmicas (Allow dynamic
updates), clique em Apenas atualizações seguras (Only secure updates) e então
clique em OK para fechar a caixa de diálogo Propriedades (Properties) do domínio ou
a caixa de diálogo Propriedades (Properties) de Sub-rede AAA.BBB.CCC.x.
Depois que você instala o Active Directory e estabelece um domínio, o domínio e o Active
Directory são executados no modo misto, que é o modo de domínio padrão. Um domínio de
modo misto suporta controladores de domínio que estão executando o Windows Server
2003 ou o Microsoft Windows NT 4.0. Você pode operar seu domínio no modo misto
indefinidamente, o que permite que você atualize os controladores de domínio que executam
o Windows NT 4.0 a qualquer momento, de acordo com as necessidades de sua
organização.
Se sua rede não tem nenhum controlador de domínio executando o Windows NT 4.0, ou
quando todos os seus controladores de domínio foram atualizados para o Windows Server
2003, você pode converter o domínio do modo misto para o modo nativo. Em um domínio
de modo-nativo, todos os controladores de domínio executam o Windows Server 2003.
Entretanto, servidores membros e computadores cliente não precisam ser atualizados para o
Windows Server 2003 antes que você converta um domínio para o modo nativo. Algumas
funções no Active Directory, como aninhamento de grupos e grupos de segurança
universais, exigem que o domínio esteja no modo nativo. Embora você não possa adicionar
controladores de domínio executando o Windows NT 4.0 a um domínio no modo nativo,
você ainda pode ter clientes e servidores membro que executam outros sistemas
operacionais.
Para alterar seu domínio do modo misto para o modo nativo, execute os seguintes passos:
1. Abra o Usuários e Computadores do Active Directory (Active Directory Users and
Computers) ou o Domínios e Confianças do Active Directory (Active Directory
Domains and Trusts) a partir do menu Ferramentas Administrativas (Administrative
Tools).
2. Abra a caixa de diálogo Propriedades (Properties) do domínio.
3. Na guia Geral (General), clique em Alterar Modo (Change Mode).
4. Clique em Sim (Yes) e então clique em OK.
Aviso: A alteração do modo misto para o modo nativo é um processo unidirecional; você
não pode alterar do modo nativo para o modo misto.
-64-
Módulo 3: Criando um Domínio do Windows Server 2003
Você pode utilizar UOs para atender aos requisitos administrativos de uma organização ou a
aplicação central das Diretivas de Grupo. Você deve criar UOS que sejam significativas e
não alterem com freqüência. Você deve implementar uma estrutura de UO dentro de um
domínio para aprimorar o controle administrativo ou controlar a Diretiva de Grupo.
Aprimorar o controle administrativo significa que você pode:
• Delegar o controle administrativo, como a adição, exclusão e atualização de objetos
na OU e decidir quem tem acesso à OU. Delegue o controle administrativo sobre os
recursos de rede, enquanto mantém a habilidade de gerenciar os recursos.
• Agrupar recursos de rede com requisitos de segurança idênticos juntos sob uma UO
para facilitar a tarefa de administração destes recursos. Por exemplo, você poderia
agrupar todas as contas de usuário para funcionários temporários em uma OU.
• Simplificar a administração dos objetos e controlar a visualização dos recursos de
rede, como impressoras, usuários e computadores. Controlando a visualização dos
recursos, os usuários podem ver apenas os recursos para o qual eles têm acesso.
• Tornar a administração dos recursos mais eficiente atribuindo permissões apenas
uma vez para uma UO com muitos recursos compartilhados ao invés de múltiplas
vezes para cada recurso compartilhado.
Controlar a Diretiva de Grupo significa que você pode criar configurações de Diretiva
de Grupo separadas para um grupo distinto de usuários, como funcionários permanentes
ou contratados temporários.
Você não pode criar uma OU a menos que você tenha atribuído permissões para fazer isto;
além disto, estas permissões também podem limitar onde você tem permissão para criar uma
OU. Por padrão, membros dos grupos Administradores do Domínio (Domain Admins) e
Administradores da Empresa (Enterprise Admins) têm permissões para criar OUs. Usuários
que não são membros destes grupos devem ter atribuído explicitamente esta permissão.
Usuários que têm permissões Ler (Read), Listar Conteúdo (List Contents) e Criar UO Filha
(Create Child (OU)) em uma UO pai podem criar UOs filhas. Listar Conteúdo (List
Contents) na UO pai não é necessário, mas sem isto, você não é capaz de visualizar a nova
OU filha depois que você a cria.
-65-
Módulo 3: Criando um Domínio do Windows Server 2003
Objetivos
Pré-requisito
Configuração do Laboratório
Cenário
Tendo completado a instalação do Active Directory, a segunda parte de seu plano de
implementação requer que você verifique se a instalação foi bem-sucedida.
Objetivo
Neste exercício, você verificará se a instalação do Active Directory foi bem-sucedida. Você
o fará utilizando o DNS para verificar se os registros de recurso SRV foram criados,
verificar se o volume do sistema compartilhado (SYSVOL) foi apropriadamente criado e
configurado e então verificar se o arquivo de banco de dados e os arquivos de log
associados foram criados.
-66-
Módulo 3: Criando um Domínio do Windows Server 2003
Tarefas Passos Detalhados
1. Verificar se os registros de recurso a. Efetue o logon como Adminstrador com a
SRV necessários foram registrados no senha senha.
DNS. b. Abra o DNS a partir do menu
Ferramentas Administrativas
(Administrative Tools).
c. Na árvore do console, expanda
computador (onde computador é o nome
atribuído a seu computador), expanda
Zonas de Pesquisa Direta (Forward
Lookup zones) e então expanda
domínio.nwtraders.msft (onde domínio é
o nome atribuído a seu domínio).
As seguintes pastas aparecem abaixo
do seu nome de domínio:
_msdcs, _sites, _tcp e _udp.
d. Feche o DNS.
Observação: Se os registros de recurso SRV não aparecem, abra um prompt de
comando, digite net stop netlogon e então pressione ENTER, digite net start netlogon e
então pressione ENTER. Isto força o registro dos registros de recurso SRV.
2. Verificar se o volume do sistema a. Na caixa Executar (Run), digite
compartilhado (SYSVOL) foi criado e %systemroot%\sysvol e então clique em
compartilhado. OK.
Uma janela exibe o conteúdo da pasta
SYSVOL. Você deverá ver as
seguintes subpastas: Domain,
Staging, Staging Areas e Sysvol.
b. Feche a janela SYSVOL.
c. Abra uma janela de prompt de comando.
d. No prompt de comando, digite net share
e então pressione ENTER.
Na saída do comando net share, você
deverá ver uma entrada para
SYSVOL, indicando que ele foi
compartilhado.
e. Feche a janela de prompt de comando.
3. Verificar se o banco de dados e os a. Na caixa Executar (Run), digite
arquivos de log associados foram %systemroot%\ntds e então pressione
criados. ENTER.
Uma janela exibe o conteúdo da pasta
Ntds. Você deverá visualizar os
seguintes arquivos e subpastas: Drop,
Edb, Ntdis.dit, Res1, Res2 e
Temp.edb.
b. Feche a janela NTDS.
-67-
Módulo 3: Criando um Domínio do Windows Server 2003
Cenário
Como parte do plano de desenvolvimento do Active Directory, você decidiu utilizar zonas
integradas para tirar proveito dos benefícios fornecidos utilizando o Active Directory para
armazenar e replicar seus registros de recurso DNS.
Objetivo
Neste exercício, você converterá suas zonas de pesquisa diretas e inversas de zonas
primárias padrão pra zonas integradas do Active Directory.
Cenário
Por você não estar utilizando quaisquer controladores de domínio do Windows NT 4.0 em
seu domínio e por você querer tirar proveito total de todos os benefícios oferecidos pelo
Active Directory, você decidiu converter seu domínio de um domínio do modo misto para
um domínio do modo nativo.
Objetivo
Neste exercício, você converterá seu domínio do modo misto para o modo nativo.
Cenário
Os centros de operações da Northwind Traders estão preparando para implementar o
Windows Server 2003. Todos os computadores e usuários nesta localidade pertencerão ao
mesmo domínio. A Northwind Traders tem atualmente 1.000 usuários nesta localidade,
trabalhando nos departamentos de Vendas, Administração e Produção. O gerenciamento
espera um crescimento moderado nos próximos cinco anos, com a força de trabalho total
não ampliada em mais de 100%.
Os administradores de rede de tempo integral executam centralmente a maioria da
administração do Windows Server 2003 para a Northwind Traders centralmente. Entretanto,
um administrador em cada um dos três departamentos deveria manipular a administração
diária dos usuários e grupos. Estes administradores serão responsáveis por algumas tarefas
administrativas, incluindo a adição e a remoção de contas de usuário e ocasionalmente a
alteração de senhas.
A maioria dos computadores na Northwind Traders está configurada de forma similar e tem
os mesmos aplicativos empresariais instalados. Entretanto, os servidores de banco de dados
têm diferentes aplicativos instalados. Apenas dois administradores de rede seniores devem
ser capazes de executar tarefas de controle administrativo sobre estes servidores.
Finalmente, a Northwind Traders tem quatro controladores de domínio.
Quais UOs você deve adicionar à estrutura do Active Directory padrão. Que objetos você
colocará nestas UOs? A chave é manter a estrutura simples, enquanto ainda atinge todos os
objetivos administrativos.
Cenário
Para alcançar os objetivos administrativos declarados no exercício 1, você criará uma
estrutura de unidade organizacional. Você implementará a estrutura que você discutiu no
exercício anterior.
-70-
Módulo 3: Criando um Domínio do Windows Server 2003
Objetivo
Neste exercício, você criará uma parte da estrutura organizacional do domínio da Northwind
Traders.
Você pode encontrar problemas ao instalar o Active Directory. Existem alguns problemas
comuns que você pode encontrar e algumas estratégias para resolvê-los.
Acesso negado ao criar ou adicionar controladores de domínio. A seguir estão as
possíveis soluções para a mensagem de erro de negação de acesso em diferentes
situações:
• Se você recebe esta mensagem ao criar o primeiro controlador de domínio em uma
nova floresta, você não efetuou logon no servidor com uma conta que pertence ao
grupo Administradores (Administrators) Local. Efetue o logoff e depois efetue o
logon utilizando uma conta que pertença ao grupo Administradores (Administrators)
Local.
• Se você receber esta mensagem ao adicionar um controlador de domínio a um
domínio existente, você deve preencher as credenciais de uma conta de usuário que é
membro do grupo Administradores do Domínio (Domain Admins).
Os nomes DNS ou NetBIOS não são exclusivos. Quando um domínio está sendo criado,
tanto o nome de domínio DNS como o nome de domínio NetBIOS devem ser
exclusivos. Se você recebe uma mensagem de erro indicando que um dos nomes de
domínio não é exclusivo, altere o mesmo.
O domínio não pode ser contatado. Ao adicionar um controlador de domínio de réplica a
um domínio existente, você recebe uma mensagem de erro indicando que o controlador
de domínio não pode ser contatado ou que este não é um domínio do Active Directory.
A seguir estão as possíveis soluções para este problema:
• Verifique o DNS para garantir que os registros de recurso SRV necessários existem
para o domínio que está sendo contatado.
• Se os registros de recursos SRV não estiverem presentes, você pode forçar o registro
dos registros de recurso SRV interrompendo o serviço Net Logon e então iniciando o
serviço Net Logon em um controlador de domínio existente.
• Se os registros de recurso SRV estiverem presentes no DNS, utilize o nslookup para
garantir que você possa resolver nomes DNS a partir do computador no qual você
está tentando instalar o Active Directory.
Espaço em disco insuficiente. O Active Directory requer um espaço em disco mínimo de
250 MB, 200 MB para o banco de dados e 50 MB para os logs de transação. Se você
recebe uma mensagem de erro de espaço em disco insuficiente, considere a utilização de
outro volume ou partição para armazenar estes arquivos.
-72-
Módulo 3: Criando um Domínio do Windows Server 2003
Você utiliza o assistente de Instalação do Active Directory para remover o Active Directory.
Quando você inicia o assistente em um controlador de domínio, o controlador de domínio é
identificado como o servidor que contém o Active Directory e o assistente solicita a você as
informações necessárias para remover o Active Directory.
Para remover o Active Directory, você deve fornecer as seguintes credenciais
administrativas:
Para remover o Active Directory de um controlador de domínio que é o último
controlador de domínio na floresta, você deve efetuar o logon no domínio como um
membro do grupo Administradores do Domínio (Domain Admins).
Para remover o Active Directory a partir de um controlador de domínio que não é o
último controlador de domínio no domínio, você não precisa fornecer credenciais.
Entretanto, você deve ter efetuado o logon como um membro do grupo Administradores
da Empresa (Enterprise Admins).
-73-
Módulo 3: Criando um Domínio do Windows Server 2003
Localiza e conecta a um controlador de domínio de origem no mesmo domínio onde a
conta de controlador de domínio adicional existe e replica as alterações para este
controlador de domínio.
Define o tipo de conta do computador para servidor membro e move a conta de
computador para o servidor adicional da OU Controladores de Domínio (Domain
Controllers) para o recipiente Computador (Computer).
Práticas Recomendadas
-74-
Módulo 3: Criando um Domínio do Windows Server 2003
Verifique se os volumes que mantêm o banco de dados de diretório e os arquivos de log
contêm espaço em disco livre suficiente para permitir o crescimento da estrutura do
Active Directory.
Garanta que o volume que mantém a estrutura da pasta SYSVOL contenha espaço em
disco livre o suficiente para permitir um futuro crescimento. Embora você possa mover
o banco de dados de diretório e os arquivos de log usando o utilitário ntdsutil, você não
pode mover a estrutura da pasta SYSVOL sem remover e reinstalar o Active Directory.
Revisão
1. Quando você instala o Active Directory pela primeira vez em uma rede do Windows
Server 2003, que tipo de domínio você está criando?
2. Você quer executar uma sessão não-atendida do assistente de Instalação do Active
Directory. O nome do arquivo de resposta é Promote.txt. Que comando você digita no
prompt de comando para executar o arquivo de resposta?
3. Quando você instala um controlador de domínio de réplica em um domínio existente, o
assistente de Instalação do Active Directory verifica pela existência de um servidor DNS
funcionando? Porque?
4. Qual(is) do(s) seguinte(s) deve(m) estar localizado(s) em um volume formatado com o
sistema de arquivo NTFS:
• Banco de dados de diretório
• Arquivos de log
• Estrutura da pasta SYSVOL
5. Ao adicionar um controlador de domínio de réplica a um domínio existente, em qual
recipiente o objeto computador para o novo controlador de domínio é criado?
6. Ao tentar instalar um controlador de domínio de réplica, você recebe uma mensagem
que o domínio do Active Directory ao qual você está tentando se unir não pode ser
contatado. Ao examinar o banco de dados do DNS, você repara que os registros SRV
não foram criados. Como você pode forçar o registro dos registros SRV?
7. Você instalou o Active Directory e um domínio padrão foi criado. Agora você quer
utilizar as características do Active Directory, como aninhamento em grupo e grupos de
segurança universal. que modo de domínio é necessário para utilizar estas características
no Active Directory?
8. Quais são as duas principais razões pelo qual você planejaria implementar uma estrutura
de OU dentro de um domínio?
-75-