02/04/2018 Cinco Passos para garantir um DC saudável

Pesquisar

Infra - Windows Server 

Cinco Passos para garantir um DC saudável
Se existe um processo que pode salvar nossos finais de semana, é a verificação de um DC após a promoção, muitas
vezes não fazemos a checagem da promoção de um DC, e com isto podemos ter vários problemas.

por Rover Marinho

57 5 7 37

Tecnologias
Active Directory

Sumário
Se existe um processo que pode salvar nossos finais de semana, é a verificação de um DC após a promoção,
muitas vezes não fazemos a checagem da promoção de um DC, e com isto podemos ter vários problemas.

O que vamos citar neste artigo são alguns utilitários e processos que devemos checar, para garantir que nosso
DC esta ativo e foi corretamente promovido em nosso domínio, vamos lá.

Conteúdo

1. Checando a resolução DNS do Domain Controller

1.1 – Configurando a Placa de Rede do DC
1.2 – Checando a Resolução de Reverso do DNS
1.3 – Criando a Zona Reversa e o registro PTR do DC

2. Verificando a existência das Pastas Netlogon e Sysvol

2.1 – O que é o compartilhamento Netlogon
2.2 – O que é o compartilhamento Sysvol

3. Testando a Resolução DNS para Dc e para FQDN do Domínio

3.1 – Testando a Resolução DNS para DC
3.2 – Testando a Resolução DNS para FQDN do Domínio

4. Verificando as FSMO`s

http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 1/11
02/04/2018 Cinco Passos para garantir um DC saudável

5. Checando o Event Viewer

Introdução
Este artigo foi desenvolvido para você que tem dúvidas sobre Active Directory. O que fazer para checar quando
meu DC não traz os compartilhamentos de Netlogon e de Sysvol? Como ter certeza o DC recém criado é um
Global Catalog?

Isto e outras perguntas juntamos neste artigo, de maneira fácil você aprenderá todos estes processos.

1 – Checando a resolução DNS do Domain Controller

Uma das tragédias que podem tirar seu ambiente do ar é a falta de resolução de nomes corretamente,
felizmente o serviço de DNS de um Domain Controller pode ser integrado com o Active Directory, e caso você
não tenha por favor o integre, muitos recursos são adicionados com esta integração.

Em nosso cenário, vamos usar um DNS com Zonas Integradas ao Active Directory, após terminarmos a
promoção do DC e o mesmo sofrer a reinicialização, devemos fazer algumas configurações.

1.1 – Configurando a Placa de Rede do DC

Vamos configurar a placa de Rede do DC, se este for seu primeiro DC a ser promovido, o próprio utilitário do
DCPROMO irá fazer o campo de DNS Preferencial ser alterado para 127.0.0.1, mesmo que antes, você já
tenha alterado este campo, na Figura1 podemos ver este exemplo, segue abaixo:
Utilize o utilitário Nslookup no Command Prompt para conseguir levantar esta informação.

Figura 1 – Verificando a resposta do Nslookup

Vamos fazer a alteração na placa de rede de nosso servidor DC, edite as configurações da placa de rede e
altere o DNS Preferencial para o IP de seu DC, em nosso exemplo estamos em um novo ambiente, estou
usando o IP do próprio servidor, segue demonstração na Figura2:

http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 2/11
02/04/2018 Cinco Passos para garantir um DC saudável

Figura 2 – Alterando o DNS da Placa

Fazemos este procedimento para informar corretamente ao DC qual o DNS deve ser checado em uma
consulta.

1.2 – Checando a Resolução de Reverso do DNS

Alguns procedimentos para aplicação de Policy e também regras no domínio dependem da resolução de nomes
reversa, por isto devemos após a promoção de nosso DC, fazer o check para identificar se este recurso esta
funcionando corretamente.
Para verificarmos isto utilizaremos o utilitário nslookup disponível no prompt de comando.

Digite o comando abaixo para verificar a resolução a Figura3 demonstra um cenário onde a zona reversa não é
criada por default.

Figura 3 – DNS alterado mas sem resolução reversa

Neste momento já temos o DNS alterado (192.168.0.1) mas ainda não temos a resolução reversa em
funcionamento (Unknown), iremos então criar a zona reversa de nosso domínio. Faça o seguinte
procedimento:

· Abra o DNS (dnsmgmt.msc)

· Clique na opção Reverse Lookup Zones, caso esta opção esteja vazia Figura4, iremos criar o Reverse
Zone.
http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 3/11
02/04/2018 Cinco Passos para garantir um DC saudável

Figura 4 – Zona Reversa não cadastrada no Domínio

1.3 – Criando a Zona Reversa e o registro PTR do DC

Precisamos criar a Zona Reversa do DC para isto vamos utilizar o Wizard de criação de Zonas, siga as etapas
abaixo:

a) Clique com o botão direito em Reverse Lookup Zone e selecione New Reverse Zone.

b) Na tela de Wizard Welcome clique em Next.

c) Na tela New Zone Wizard – Zone Types clique em Next (default Primary Zone e Active Directory Integrated).

d) Na tela New Zone Wizard – Active Directory Zone Replication Scope clique em Next.

e) Na tela New Zone Wizard – Reverse Lookup Zone Name marque a opção Ipv4 e clique em Next.

f) Na tela New Zone Wizard – Reverse Lookup Zone Name no campo Network ID coloque a Range IP da sua
Infraestrutura e clique em Next.

g) Na tela New Zone Wizard – Dynamic Updates deixe o Default marcado e clique em Next.

h) Na tela New Zone Wizard – Summary clique em Finish para criar a Zona Reversa, conforme a Figura5.

Figura 5 – Zona Reversa Criada

Precisamos criar o registro PTR de nosso servidor, neste momento apenas existe a Zona Reversa não existe

http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 4/11
02/04/2018 Cinco Passos para garantir um DC saudável

correção do erro gerado na Figura3, iremos corrigir este erro criando um novo registro PTR. Conforme Figura5,
segue os passos:

a) Clique com o botão direito na sua Zona Reversa (0.168.192.in-addr.arpa) e selecione New Pointer (PTR)

b) Na tela de New Resource Record existem três campos conforme a Figura6, segue abaixo:

i. Host IP Address – Este campo traz o IP do Registro PTR (IP do DC)

ii. FQDN - Este campo traz o nome completo (Nome FQDN do Domínio - Reverse)

iii. Host Name – Nome do Servidor (Nome FQDN do DC)

Figura 6 – Criando o PTR do DC

Após o registro criado, podemos verificar que o registro PTR já esta disponível dentro da Zona Reversa, isto
pode ser visto e testado com o utilitário Nslookup no prompt de comando, idêntico ao passo executado na
Figura3, demonstramos este processo na Figura7, onde vemos o registro PTR ao fundo, criado na Zona
Reversa.
Após isto abra uma nova seção no prompt de comando, para testar a resolução reversa de DNS com o
Nslookup (Figura7).

http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 5/11
02/04/2018 Cinco Passos para garantir um DC saudável

Figura 7 – Testando a Resolução Reversa do Dns

2 – Verificando a Exitência das pastas Netlogon e Sysvol

Quando promovemos um servidor à função de Domain Controller, dois compartilhamentos muito importantes
são criados dentro deste servidor, os compartilhamentos são Netlogon e Sysvol.

Para uma administração correta, é muito interessante dominarmos o pleno conhecimento destes
compartilhamentos, assim entendendo para que servem e como checar erros nos mesmos.

2.1 – O que é o compartilhamento Netlogon

O compartilhamento Netlogon é usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para
compartilhar informações com outros Dc`s. Esta replicação é feita de forma segura entre os DC`s.

O serviço responsável por esta replicação entre os Dc`s é o Netlogon

(%SystemRoot%\System32\Netlogon.dll).
Para checar se os serviços estão configurados corretamente, no Windows Server 2003 precisamos instalar o S
upport Tools, no Windows Server 2008 o recurso já esta instalado.

Abra um prompt de comando e digite DCDIAG, o comando DCDIAG vai gerar um relatório do estado dos
serviços do seu Active Directory, pode-se usar este relatório para levantamento de erros e verificação da
estrutura do Domain Controller.

2.2 – O que é o compartilhamento Sysvol

O Compartilhamento Sysvol (System Volume) é usado no Windows 2000, Windows Server 2003 e Windows
Server 2008 para compartilhar informações com outros Dc`s. As informações replicadas são Group Policy
Objects, startup and shutdown scripts e logon and logoff scripts.

O serviço responsável por gerenciar estes atributos é o FRS (File Replication Service), ele gerecia a
replicação do Sysvol, porém caso tenhamos um upgrade de Domain Function Level para Windows Server 2008,
o serviço de replicação para os Dc`s passa a ser o DFRS (Distributed File System Replication), válido
apenas para Dc`s com Windows Server 2008.

Para visualizar a estrutura do Sysvol abra o prompt de comando e digite Start Sysvol, receberemos a tela da
Figura8, com toda a estrutura do Sysvol, o comando Start Sysvol serve para demonstrar a estrutura de pastas,
não importando se esta foi movida do caminho default.

http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 6/11
02/04/2018 Cinco Passos para garantir um DC saudável

Figura 8 – Utilizando o Start Sysvol

Após a abertura da tela podemos verificar se a estrutrua do Sysvol esta como da Figura8, em um próximo artigo
falaremos especificamente sobre Infraestrutura de Sysvol e Netlogon.

3 – Testando a Resolução DNS para Dc e para FQDN do Domínio

A resolução DNS é muito importante para o domínio e um dos testes básicos para checar a resolução, é
verificar se o FQDN do servidor ou o FQDN do Domínio estão respondendo para o mesmo lugar.

3.1 – Testando a Resolução DNS para DC

Quando acabamos de instalar um DC temos também que testar a resolução de rede de nosso Domain
Controller, vale lembrar que se acessarmos o FQDN do Servidor (Figura9), nossa solicitação tem que nos levar
para resolução da Figura10.

Na Figura9 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de Policies e também a
estrutura de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com
outros Dc`s.

Figura 9 – Acessando FQDN do DC

http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 7/11
02/04/2018 Cinco Passos para garantir um DC saudável

Figura 10 – Netlogon e Sysvol do DC

3.2 – Testando a Resolução DNS para FQDN do Domínio

Quando acabamos de instalar um DC temos também que testar a resolução de rede do FQDN do Domínio, vale
lembrar que se acessarmos o FQDN do Domínio (Figura11), nossa solicitação tem que nos levar para resolução
da Figura12.

Na Figura11 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de GPO e também a estrutura
de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com outros
Dc`s.

Quando desligamos o DC o Active Directory utiliza a resolução de nome FQDN do Domínio, sendo assim o
usuário não será deslocado para o FQDN do DC e sim para o FQDN do Domínio, desta forma outro DC
assume a função dos compartilhamentos.

LINHA DE CÓDIGO LOGIN

Figura 11 – Acessando FQDN do Domínio

Figura 12 – Netlogon e Sysvol do Domínio

http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 8/11
02/04/2018 Cinco Passos para garantir um DC saudável

4 – Verificando as FSMO`s
Em nosso cenário estamos utilizando um único DC. Caso tenha mais Dc`s ou não é interessante sabermos se
todas FSMO`s estão disponíveis, para isto, iremos checar as FSMO`s, isto é muito simples abra um Prompt de
Comando e utilize o comando Netdom query FSMO, o resultado será a Figura13 que segue abaixo:

Figura 13 – Netdom para verificar as FSMO`s

Este comando demonstra onde as FSMO`s estão sendo gerenciadas.

5 – Checando o Event Viewer

Para finalizarmos não poderíamos deixar de falar do Event Viewer, ele foi remodelado
no Windows Server 2008, porém continua agradável e demonstra tudo que ocorre em
nossos servidores. Vale lembrar que a função de DC, tem algumas opções diferentes
dos outros servidores.
A Figura14 demonstra o Event Viewer, este precisa ser checado após a promoção do
Domain Controller, segue abaixo:

Figura 14 – Event Viewer para checar erros

Conclusão
Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem dúvidas sobre a
função de Domain Controller no Active Directory, explicamos em 5 passos como garantir a saúde de seu DC

http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 9/11
02/04/2018 Cinco Passos para garantir um DC saudável

após a promoção, desde o simples recurso de um PTR Zone Reverse, até a checagem das FSMO com o
NETDOM, tenham uma ótima leitura.

Referências + Tópicos Relacionados

Para elaboração deste artigo utilizamos além do dia a dia como instrutor, materiais que servem como leitura
posterior.

1 – Active Directory – Administrator’s Pocket Consutant (livro de bolso para o Administrator de Active Directory).

2 – Windows Server 2003 Active Directory and Network Infrastructure – Exam 70-297 (Ótima referência para
Exames).

3 – Building Enterprise Active Directory Services – Notes from the Field.

4 – Windows Internals 5º Edition – Covering Windows Server 2008 and Windows Vista (A melhor referência
sobre Internals).

Muitos foram os blogs navegados e opiniões retiradas de muitos bate-papos com amigos, gostaria de
agradecer a todos.

Rover Marinho - Atua no mercado de infra-estrutura desde 1998, especializando-se na ár

ea de Active Directory, Exchange e infra-estrutura de produtos Microsoft. Trabalha como
Consultor e Instrutor em um grande CPLS em São Paulo, onde atua com os produtos:
Exchange, Active Directory, Cluster e Projetos Específicos. Grande ênfase na
comunidade TechNet, é colunista de muitos sites de Infraestrutura e colaborador da comunidade ITCentr
al. Atua ministrando palestras e Eventos de Produtos Microsoft, Rover Marinho é certificado MCP, MCSA,
MCSE, MCTS, MCITP, MCT e MVP em Directory Services. Para conhecerem suas últimas publicações
acessem o Blog: http://rovermarinho.spaces.live.com.

57 5 7 37

Leia também
Instalando e configurando um servidor DHCP no Windows Server 2008
Windows Server

Instalando Active Directory Windows Server 2008

Windows Server

Instalando e configurando um servidor DNS no Windows Server 2008

Windows Server

Aperfeiçoar UPDATE e DELETE x Cursores

SQL Server

Sequenciando as VMs no Hyper-V

Windows
http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 10/11
02/04/2018 Cinco Passos para garantir um DC saudável

Publicidade

Anuncie | Fale Conosco | Publique

Linha de Código
Curtir Página 15 mil curtidas

Seja o primeiro de seus amigos a curtir isso.

Copyright 2018 - todos os direitos reservados para Web03

http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx 11/11