O que é Active Directory,

topologia física e lógica?

Parte1
Por Edson Marretto
Jan 2015

Introdução
Em um encontro de amigos, alguém perguntou: Você conhece Active Directory? A resposta foi
rápida. Sim eu uso o ADUC “Active Directory Users and Computers” para gerenciar os objetos.
Após pensar um pouco nesta resposta, desenvolvi este artigo.
Pretendo com isto discutirmos o que é Active Directory, quais suas divisões físicas e lógicas,
literalmente desmistificar todas as opções.
Logo, se você já trabalha com o Active Directory, Exchange, Lync ou qualquer outra ferramenta
dependente do AD, invista em ler estes artigos, este artigo foi desenvolvido para você que tem
dúvidas sobre Active Directory! Pensamos em desenvolver um material que pudesse ser apreciado
do mais iniciante ao mais avançado em Active Directory, colocamos ou pelo menos tentamos,
esboçar em conceitos bem simples a topologia lógica e física do Active Directory.
Nesta série de artigos abordaremos os seguintes tópicos:

 AD, O que é Active Directory, Topologia Física e Lógica Parte1

 AD, O que é Active Directory, ADDS, ADCS, ADFS, ADLDS, ADRMS Parte2
 AD, O que é Active Directory, GC, FSMO e Virtualização Parte3

Esperamos que este material possa ser utilizado para pesquisa e para estudo dos exames da
Microsoft e também para o dia a dia de trabalho. Uma boa leitura...

O que é um serviço de diretório

1. O que é um serviço de diretório
2. Por que usar o Active Directory?
3. Domain Controller (DC) é Active Directory (AD)?
4. Infraestrutura do Active Directory
5. Estrutura Lógica do Active Directory
6. Objetos
7. Unidades Organizacionais
8. Domínios
9. Árvores de Domínio
10. Floresta
11. Estrutura Física do Active Directory
12. Domain Controllers
13. Sites
1. O que é um serviço de diretório
Um serviço de diretório pode se explicado com várias ilustrações, mas a ilustração que, em minha
opinião, mais demonstra o verdadeiro sentido de um serviço de diretório é a figura de uma lista
telefônica ou uma agenda pessoal.

Em nossa agenda podemos organizar, dias, semanas, meses e até anos, passando por pessoas,
nomes, sobrenomes, datas de aniversário, dados importantes dentre outros.
O serviço de diretório tem exatamente o mesmo sentido, o sentido de organizar e principalmente
ter um local centralizado para a busca de informações necessárias no dia a dia, para nossos
trabalhos.
Quando criamos um novo usuário, estamos utilizando o serviço de diretório, nesta base de dados
(agenda), estamos guardando, nomes, sobrenomes, endereços, logins, senhas, grupos, ao qual o
usuário pertence dentre outras tantas opções que podemos cadastrar, tudo isto ficará disponível
dentro de uma base de dados, esta base de dados poderá ser utilizada pelos nossos servidores
para vários trabalhos.
Vamos citar três soluções de serviço de diretório:

 Open Ldap para Sistemas Open Source.

 EDirectory para Sistemas Novell.
 Active Directory para Sistemas Microsoft e com suporte para todos acima citados.

No mercado de hoje nossos negócios precisam ter informações rápidas, de fácil atualização, alta
disponibilidade e principalmente muita segurança e o Active Directory pode nos oferecer todos
estes atributos e muito mais...

2 - Por que usar o Active Directory?

O Active Directory assumiu o mercado de serviços de diretório pelo seu desempenho, segurança
e principalmente disponibilidade, o Active Directory esta no mercado desde o lançamento do
Windows 2000 Server, após o seu nascimento assumiu a liderança dos serviços de diretório,
utilizando como base o LDAP e a comunicação através de replicação lançou vários atributos e
principalmente ferramentas para facilitar o gerenciamento de informações nas empresas.
Hoje quando usamos um usuário para logar no domínio de nossa empresa, estamos utilizando
um serviço de diretório e por consequência usando o Active Directory.
Abaixo temos uma figura para demonstrar todos os recursos que o Active Directory pode utilizar
como serviço de diretório de sua empresa.
3 - Domain Controller (DC) é Active Directory (AD)?
Se perguntarmos a qualquer especialista ou Instrutor Microsoft (MCT), creio que esta deve ser a
pergunta Top sem nenhuma chance de segunda colocada, pensando nisto desenhei a estrutura
abaixo para podermos explicar esta informação.
Bem, antes de mais nada, não é a mesma coisa! Ok.
Nos tópicos anteriores comparamos o AD com uma agenda, o AD físicamente também tem um
banco de dados, este banco é conhecido com NTDS.dit e esta localizado na pasta
%SystemRoot%\NTDS\ntds.dit em uma instalação default do AD.
Este diretório chamado de NTDS apenas existirá nos servidores que tenham a função de Domain
Controllers (DC’s). Neste diretório existirão os arquivos relacionados abaixo:
Durante o processo de instalação do Active Directory, são criados cinco arquivos:
Ntds.dit - Arquivo de banco de dados do AD
Edb.log - Arquivo onde são armazenados todas as transações feitas no AD.
Edb.chk - Arquivo de checkpoint controla transações no arquivo Edb.log já foram comitadas no
arquivo Ntds.dit.
Res1.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso
de falta de espaço em disco.
Res2.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso
de falta de espaço em disco.
Bem, agora sabemos que a estrutura lógica do AD é gravada em uma base de dados física
chamada de Ntds.dit, porém DC é AD?
Não é claro que não, no desenho abaixo demonstramos claramente a diferença entre AD
(estrutura lógica do AD) e DC (Servidor que contém uma cópia do NTDS.dit do AD).
No desenho abaixo imaginemos uma construção, estamos construindo um grande salão de festas.
Imaginem que nosso teto (retângulo azul) é nosso Active Directory, porém precisamos apoiar este
teto em pilares (cilindros vermelhos), caso contrário nosso teto irá desabar, certo?

É isto mesmo, o Active Directory é a estrutura lógica (teto), e os DC’s são servidores fisicos (pilares),
por isto a necessidade de termos muitos DC’s espalhados. Assim nosso AD mesmo na falha de
um DC (pilar) ou vários DC’s ainda conseguirá responder as solicitações e pedidos de nossa
infraestrutura.

Isto só é possível pois cada servidor quando recebe a função de Domain Controller, herda a
criação do diretório %SystemRoot%\NTDS\ e toda a estrutura comentada acima. Todos os dados
criados originalmente são replicados para o novo DC criado.
Assim em um AD (domínio) com três DC’s como na figura abaixo, todos os Dc’s estão atualizados
com todos os dados igualmente, isto recebe o nome de replicação do Active Directory.

4 - Infraestrutura de Active Directory

O Serviço de Diretório do AD é divido em duas estruturas a estrutura lógica e a estrutura física, o
conhecimento pleno sobre a estrutura do AD é muito importante, principalmente quando maior
for sua estrutura. Nestas explicações informaremos algumas ferramentas que podem auxiliar na
verificação deste processo, vale lembrar que estamos focando as explicações no Active Directory
do Windows Server 2008 R2, porém estas explicações poderão ser utilizadas em qualquer uma
das versões de Active Directory, nos próximos artigos falaremos das evoluções para as futuras
versões.

5 - Estrutura Lógica do Active Directory

Quando falamos de estrutura lógica do Active Directory, muitos termos são falados, a estrutura
lógica do AD consiste em Objetos, Unidades Organizacionais, Domínio, Árvores de Domínio e
Floresta.
Utilizamos a estrutura lógica do AD para podermos gerenciar os objetos dentro da organização.

6 – Objetos
São os componentes mais básicos da estrutura lógica e representam, usuários, computadores e
impressoras. Outros objetos podem ser criados porém esta é uma discussão posterior.
7 – Unidades Organizacionais
Uma OU é um objeto de container, utilizado para organizar outros objetos. A organização pode
ser feita de várias formas.

 Geográfica – Onde as OU’s representam Estadas ou Cidades de sua estrutura física

Exemplo: OU SP - OU RJ
 Setorial – Onde as OU’s representam setores da estrutura física da empresa, por unidade
de negócio. Exemplo: OU Administrativo – OU Produção
 Departamental – Onde as OU’s representam setores da estrutura física da empresa por
departamento. Exemplo: OU RH – OU DP – OU Caldeira
 Híbrido – Modelo onde podemos interagir todos os modelos acima, na Figura abaixo
temos um modelo disto.

8 – Domínios
O domínio é a estrutura mais importante do Active Directory e tem 2 funções principais.

 Fecham um limite administrativo para objetos. “Quem esta fora não entra, quem esta
dentro não sai”, claro que esta regra pode sofrer alteração mediante permissões de
entrada e saída, como relações de confiança.
 Gerenciam a segurança de contas e recursos dentro do Active Directory

Vale lembrar que um domínio do Active Directory compartilham:

 Mesmo banco de dados Ntds.dit com cada Domain Controller dentro deste domínio.
 Diretivas de segurança.
 Relações de Confiança com outros domínios.

Podemos representar o domínio do Active Directory pela forma geométrica de um triângulo.

9 – Árvores de Domínio
Quando precisamos criar um segundo domínio, na maioria das vezes por necessidades no
processo de segurança temos o que chamamos de domínios filhos.
Quando temos um domínio pai com seus domínios filhos, chamamos de árvore de domínio, pois
dividem o mesmo sufixo DNS, porém em distribuição hierárquica. Abaixo colocamos um exemplo
para ilustrar nossa explicação.
Criamos o domínio livemotion.local (Figura esquerda abaixo), para podermos configurar diretivas
de segurança, em um dado momento, precisamos criar um domínio novo, que tenha acesso aos
recursos do domínio livemotion.local, porém tenha suas próprias necessidades de segurança
(Figura direita abaixo).

Conforme as figuras acima, podemos ver que quando temos um domínio filho, imediatamente
estamos vinculados a um domínio pai, e esta divisão hierárquica de nome chamamos de Árvore
de Domínios.

10 – Floresta
O primeiro domínio de uma Floresta, chamamos de Root Domain, a Floresta receberá o nome
deste domínio, a floresta pode ser feita de um único domínio com também estar dividida com
várias árvores dentro da mesma floresta.
11 - Estrutura Física do Active Directory
Quando falamos de estrutura física do Active Directory, alguns termos são utilizados, a estrutura
física do AD consiste em Domain Controllers e Sites.
A estrutura física do AD é totalmente independente da estrutura lógica do AD. A estrutura física
é responsável por timizar o tráfego de rede e manter segurança em locais físicos distintos.

12 – Domain Controllers
Bem, neste momento precisamos aumentar o nível de nossa discussão sobre AD, no início deste
artigo, focamos em explicar o funcionamento do AD, agora iremos mostrar como o Active
Directory funciona nos DC’s.
Um Domain Controller ou DC tem a função de executar o Active Directory e também armazenar
a base do Active Directory bem como Replicar esta base “alterações” com outros DC’s.
Quando falamos de Árvores de Domínio ou até mesmo Floresta, vale lembrar que um DC pode
apenas suportar um único domínio.
Para criar uma disponibilidade do Active Directory podemos ter mais de um DC, sendo assim num
exemplo de 2 Dc’s temos a base do Active Directory sendo replicada de forma perfeita entre os
dois Dc’s.
A base do Active Directory o NTDS.dit é divido em partições, conforme a figura demonstrada
abaixo:

Estas partições formam o arquivo NTDS.dit, este é replicado entre cada um dos DC’s de seu
domínio, consequentemente o arquivo é replicado para cada DC, tendo todos os Dc’s
sincronizados logo teremos um Active Directory saudável e que pode suprir a falha de um DC,
sem afetar o serviço de diretório do domínio.
13 - Sites
Os Sites servem para organizar a latência de replicação de Dc’s dentro do mesmo site, bem como
fazer com que os DC’s daquele determinado Site não utilizem o link de replicação de forma
desnecessária.
Através da organização por sites do Active Directory, podemos limitar um determinado grupo de
computadores a estabelecer contato com sua Matriz, ou vice-versa apenas nos horários de menor
fluxo, este conceito chamamos de agendamento de replicação.
Enfim os sites do AD são utilizados para fazer com que um determinado Range IP, mesmo que
separados por distâncias físicas, possam propiciar acesso e resposta aos serviços de diretório e
infraestrutura de forma organizada. Porém para que os dados dos DC’s sejam replicados
continuamente ou em horários pré-agendados, precisamos configurar os Sites e as replicações,
com isto mantemos todo nosso parque atualizado, mesmo trabalhando em grandes distâncias.
A replicação do Active Directory entre sites pode ser utilizando IP ou SMTP (para redes lentas).