ADMINISTRAÇÃO DE SISTEMAS

OPERACIONAIS DE REDE PROPRIETÁRIOS

Controlador de Domino e Domínio Adicional

Professor: Adriano M. Schroeder

E-MAIL: treina_sistemas@hotmail.com

Diretoria dos Cursos de Informática

2º SEMESTRE / 2011

1. Apresentação
Ao criar o primeiro DC, definimos a primeira Floresta, consequentemente, a primeira árvore e
a autoridade máxima do domínio. À medida que a empresa vai crescendo, a rede também
deve acompanhar este crescimento. Frente a isso, a incrementação no número de usuários e
hosts de domínio é um fator natural, tendo em vista que o DC assume o papel principal de
autenticar o acesso de usuários e hosts na rede. Muitas aplicações dependem deste
procedimento, por exemplo, até esquemas de bases de dados SQL podem ser autenticadas
através do logon do Windows.

Entretanto, é de suma importância que haja um sistema de tolerância a falhas implementado.

Lembre-se que um servidor deve ser dotado de hardware adequado, como sistema de discos
em RAID, fontes redundantes, no-breaks e itens do tipo. E mesmo com todos esses
equipamentos, falhas podem ocorrer: se o DC estiver DOWN, o usuário não será autenticado,
logo, não poderá executar tarefas que dependam da rede.

A solução imediata para este tipo de problema é a construção de um Domínio Adicional, que
garanta a autenticação do usuário, mesmo em caso de problemas no DC. Dessa forma,
implementaremos um sistema que obedece ao conceito de Alta Disponibilidade, garantindo o
funcionamento dos serviços.

2. Instalação da estrutura de Controlador de Domínio e Controlador de Domínio Adicional.

Siga os passos abaixo na ordem.

1- Abrir uma Virtual Machine e carregar uma cópia do Windows Server 2003. Antes de
funcioná-la, altere as propriedades de rede da VM para NAT (deve ser enxergada
apenas localmente), no “Edit virtual machine settings”.
2- ATENÇÃO: AO SER SOLICITADO SE A VM FOI COPIADA OU MANTIDA, SELECIONAR A
OPÇÃO: I COPIED
3- Carregue o WINDOWS SERVER 2003 e efetue as configurações de rede. Utilize o
comando IPCONFIG para obter o endereço fornecido pela VM e fixe-o na placa de
rede. Note o exemplo da figura abaixo:

4- Alterar o NOME DO COMPUTADOR para SERVER01. Reiniciar quando solicitado.

5- Instalar o serviço de DNS – (iniciar – painel de controle – adicionar/remover programas
– serviços de rede – DNS). O CD do Windows 2003 será solicitado e você deverá
informar o local onde está o “.ISO” do cd. Se precisar informar um local referente a um
CD-ROM, deverá informá-lo nos “settings” da VM. Não esquecer de marcar a caixa de
opções como “connected”.
6- Após instalado o DNS, instalar o ACTIVE DIRECTORY. (Iniciar – executar –
DCPROMO.EXE). Nas telas, efetue as autorizações abaixo listadas:

a) Informativo de instalação do AD  AVANÇAR.

b) Compatibilidade do S.O  AVANÇAR.

c) Tipo de Controlador de Dominio  Escolher “Controlador de Domínio para Um Novo

Domínio” e clique em AVANÇAR.

d) Criar novo Domínio  Escolher “Domínio em uma Nova Floresta” e clique em

AVANÇAR.

e) Novo Nome de Domínio  Escolher um nome com os requisitos FQDN necessários,

obedecendo à estrutura DNS. Exemplo: empresa.net, novadecada.com.br,
protheus.com. NÃO UTILIZAR EXTENSÕES DNS DIFERENTES.

f) Nome de Domínio NETBIOS  AVANÇAR.

g) Pastas do banco de Dados e Log  Deixe a opção padrão “C:\WINDOWS\NTDS” e

clique em AVANÇAR. (Esta pasta apenas armazenará o NTDS.DIT, que é o BANCO DE
DADOS DO AD e os arquivos de LOGS).

h) Volume de Sistema Compartilhado  Deixe a opção padrão “C:\WINDOWS\SYSVOL” e

clique em AVANÇAR. (Esta pasta apenas armazena os arquivos públicos do domínio,
como os SCRIPTS, por exemplo).
 i) Diagnóstico de DNS  Escolha a opção 2 “Instalar e configurar o servidor DNS neste
computador para usar o servidor DNS como seu servidor DNS preferencial” e clique
em AVANÇAR.

j) Permissões Compatíveis  Escolher as “Permissões compatíveis somente com

Windows 2000 e 2003 server” e clique em AVANÇAR.

k) Senha do Administrador do Modo de Restauração dos Serviços de Diretório  Colocar

a senha  Uninove10 (para facilitar, enquanto não alteramos as permissões do
domínio).

l) Resumo  clique em AVANÇAR.

m) Após a conclusão, clique em CONCLUIR E REINICIAR O COMPUTADOR.

n) Após reiniciar o computador, clique nas propriedades de rede e altere o endereço

DNS 127.0.0.1 para o IP DO SERVIDOR e confirme a alteração.

o) Abra o DNS  iniciar – executar – DNSMGMT.MSC. Selecione a ZONA DE PESQUISA

DIRETA do seu domínio, clique com o botão DIREITO e selecione RECARREGAR, para
que sejam aplicadas as atualizações.

p) Abra o seu ACTIVE DIRECTORY  iniciar – executar – DSA.MSC e confira se está

funcional (nome do servidor e OU’s nativas do Windows). Veja se as FSMO’s (Mestres
de operações) estão sem erros, apontando para o nome de seu servidor.

Feito estes procedimentos, se tudo correu bem, seu servidor está funcional. O próximo passo é
subir a segunda VM. Siga os passos abaixo:

CONFIGURAÇÃO DA 2ª VIRTUAL MACHINE – PARA FUNCIONAMENTO EM ALTA

DISPONIBILIDADE DE SERVIÇOS:

1- Abrir uma Virtual Machine e carregar a segunda cópia do WINDOWS SERVER 2003
ENTERPRISE. Antes de funcioná-la, altere as propriedades de rede da VM para NAT
como você fez na sua primeira VM. (deve ser enxergada apenas localmente), no “Edit
virtual machine settings”. ATENÇÃO: AO SER SOLICITADO SE A VM FOI COPIADA OU
MANTIDA, SELECIONAR A OPÇÃO: I COPIED
2- Carregue o WINDOWS SERVER 2003 e efetue as seguintes configurações de rede
(tenha em mente que este servidor vai estar NA MESMA REDE que o DC, logo, obedeça
a mesma faixa de endereçamento e mascaramento. O GATEWAY pode permanecer
aquele que é fornecido pela VM.):
Note que o DNS PREFERENCIAL deverá ser informado como o de seu SERVIDOR PRIMÁRIO.
Durante a instalação do ACTIVE DIRECTORY, este servidor checará o DNS do DC e, quando
válido, efetuará a autorização, mediante à confirmação de um usuário ADMINISTRADOR e
SENHA válidos

3- Alterar o NOME DO COMPUTADOR para SERVER02. Reiniciar quando solicitado

4- Instalar o serviço de DNS – (iniciar – painel de controle – adicionar/remover programas
– serviços de rede – DNS). O CD do Windows 2003 será solicitado e você deverá
informar o local onde está o “.ISO” do cd. Se precisar informar um local referente a um
CD-ROM, deverá informá-lo nos “settings” da VM. Não esquecer de marcar a caixa de
opções como “connected”.
7- Após instalado o DNS, instalar o ACTIVE DIRECTORY. (Iniciar – executar –
DCPROMO.EXE). Nas telas, efetue as autorizações abaixo listadas:

a) Informativo de instalação do AD  AVANÇAR

b) Compatibilidade do S.O  AVANÇAR

c) Tipo de Controlador de Dominio  Escolher “Controlador de Domínio para Um

Domínio Existente” e clique em AVANÇAR

d) Credenciais de Rede  Entrar com o nome de usuário com direitos de administrador

do DC, a SENHA e o NOME DO DOMÍNIO AO QUAL VOCÊ ESTÁ ADICIONANDO ESTE
DOMÍNIO e clique em AVANÇAR

e) Controlador de Domínio Adicional  Clique em PROCURAR para encontrar o nome

FQDN de um domínio válido (Estará listado o nome de seu DC). Selecione-o e clique
em AVANÇAR

f) Pastas do banco de Dados e Log  Deixe a opção padrão “C:\WINDOWS\NTDS” e

clique em AVANÇAR. (Esta pasta apenas armazenará o NTDS.DIT, que é o BANCO DE
DADOS DO AD e os arquivos de LOGS)

g) Volume de Sistema Compartilhado  Deixe a opção padrão “C:\WINDOWS\SYSVOL” e

clique em AVANÇAR. (Como estamos montando um DOMÍNIO ADICIONAL, esta pasta
será REPLICADA com a mesma pasta SYSVOL do DC. Isto quer dizer que, qualquer
alteração que for feita nas GPO’s ou SCRIPTS, será atualizado no DC e vice-versa)
 h) Senha do Administrador do Modo de Restauração dos Serviços de Diretório  Colocar
a senha  Uninove10 (para facilitar, enquanto não alteramos as permissões do
domínio)

i) Resumo  clique em AVANÇAR

j) Após a conclusão, clique em CONCLUIR E REINICIAR O COMPUTADOR

k) Após reiniciar o computador, clique nas propriedades de rede e verifique se o DNS

registrado é o mesmo do DC. Insira o DNS ALTERNATIVO com o IP DO SEU SERVIDOR

l) Abra o DNS  iniciar – executar – DNSMGMT.MSC. Selecione a ZONA DE PESQUISA

DIRETA do seu domínio e verifique se existe a zona de seu domínio. Se não existir, você
deverá criá-la. Para criar uma zona DNS, clique com o botão direito do mouse sobre
ZONA DE PESQUISA DIRETA e siga os passos abaixo (NOTE QUE VOCÊ DEVERÁ CRIAR A
ZONA APENAS SE NÃO EXISTIR! SE HOUVER A ZONA CRIADA, VERIFIQUE APENAS SE
ELA SEGUE A MESMA ESTRUTURA FQDN DE SEU DC. VEJA TAMBÉM SE OS REGISTROS
NS e SOA ESTÃO CORRETOS):

1- Alterne entre janelas e acesse a VM de seu DC (primário), abra o console DNS,

selecione a zona de seu servidor com o botão direito do mouse e escolha
PROPRIEDADES.

2- Clique sobre a aba TRANSFERÊNCIAS DE ZONA e marque a 3ª opção: ”APENAS PARA OS

SERVIDORES A SEGUIR”. Digite o IP de seu CONTROLADOR DE DOMÍNIO ADICIONAL e
clique em ADICIONAR. Note que o IP que você forneceu estará relacionado na caixa de
texto abaixo. Clique em APLICAR e, em seguida, clique em OK.

Neste procedimento, você que é o ADMINISTRADOR DA REDE está autorizando a transferência

da ZONA DNS PRIMÁRIA para o servidor DEFINIDO. Este procedimento permite que esta zona
DNS seja copiada APENAS para o servidor DC ADICIONAL que você criou.

3- Volte para o seu DC ADICIONAL e selecione a ZONA DE PESQUISA DIRETA. Escolha a

opção NOVA ZONA

4- Tela de boas vindas  clique em AVANÇAR

5- Tipo de Zona  escolha ZONA SECUNDARIA e clique em AVANÇAR

6- Entre com o nome da zona. Note que deverá ser o mesmo FQDN de seu DC. (Exemplo:
empresa.net)  feito isso, clique em AVANÇAR

7- Servidores DNS principais  entre com o IP de seu DC e clique em ADICIONAR. Logo

em seguida, clique em CONCLUIR.

Verifique se a zona foi criada corretamente. Os registros DNS devem ser os mesmos
contidos em seu DC.

m) Abra o seu ACTIVE DIRECTORY  iniciar – executar – DSA.MSC e confira se está

funcional (nome do servidor, OU’s nativas do Windows). Veja se as FSMO’s (Mestres
de operações) estão sem erros, apontando para o nome de seu CONTROLADOR DE
DOMINIO PRIMÁRIO.
Para testar a conectividade entre os domínios, abra o prompt de comandos (iniciar  executar
 cmd) e crie um grupo e um usuário adicionado a este grupo:

 NET USER 000123 Uninove10 /ADD /FULLNAME:”USUARIO TESTE”  (O usuário será

criado na OU nativa “USERS”)

 NET GROUP TESTE /ADD (O grupo de SEGURANÇA GLOBAL será criado na OU nativa
USERS)

 NET GROUP TESTE 000123 /ADD (O usuário 000123 está adicionado ao grupo TESTE)

n) Feito este procedimento, alterne entre janelas e entre em sua VM que está rodando o
DC PRIMÁRIO. Abra o AD e veja se os objetos que você criou estão corretamente
replicados.

o) Ainda em seu DC PRIMÁRIO, vamos testar a replicação para o DOMINIO ADICIONAL.

Para isso, crie uma OU com o nome de TESTE e mova o grupo “TESTE” e o usuário
“000123” que você criou (estão na OU “Users”) para dentro da OU “TESTE”.

p) Alterne entre janelas e entre na VM de seu DOMINIO ADICIONAL. Abra o AD e

verifique se as mudanças foram validadas.

Se tudo ocorreu bem, a bi-direcionalidade da relação de confiança, a resolução DNS e a

replicação do AD estão funcionando corretamente.