Você está na página 1de 7

29/04/12

Home

Noticias

Artigos / Tutoriais / Videos

CRM Exchange Server Forefront Interoperabilidade ISA Server Metodologia Office PowerShell / Scripts LCS / OCS / Lync Sharepoint System Center SQL Server Virtualização Windows Client Windows Server

TV ITCentral

Entrevista

Cinco Passos para garantir um DC saudável

Cinco Passos para garantir um DC saudável

Avaliar
Avaliar

Escrito por Rover Marinho

Qui, 07 de Outubro de 2010 13:27

/ 3 Melhor
/ 3
Melhor

Avaliação do Usuário:

Pior

Tecnologias

Active Directory

Sumário

Se existe um processo que pode salvar nossos finais de semana, é a verificação de um DC após a promoção, muitas vezes não fazemos a checagem da promoção de um DC, e com isto podemos ter vários problemas.

O que vamos citar neste artigo são alguns utilitários e processos que devemos checar, para garantir que nosso DC esta ativo e fo corretamente promovido em nosso domínio, vamos lá.

Conteúdo

1. Checando a resolução DNS do Domain Controller

1.1 – Configurando a Placa de Rede do DC

1.2 – Checando a Resolução de Reverso do DNS

1.3 – Criando a Zona Reversa e o registro PTR do DC

2. Verificando a existência das Pastas Netlogon e Sysvol

2.1 – O que é o compartilhamento Netlogon

2.2 – O que é o compartilhamento Sysvol

3. Testando a Resolução DNS para Dc e para FQDN do Domínio

3.1 – Testando a Resolução DNS para DC

3.2 – Testando a Resolução DNS para FQDN do Domínio

4. Verificando as FSMO`s

5. Checando o Event Viewer

Introdução

Este artigo foi desenvolvido para você que tem dúvidas sobre Active Directory. O que fazer para checar quando meu DC não traz os compartilhamentos de Netlogon e de Sysvol? Como ter certeza o DC recém criado é um Global Catalog?

Isto e outras perguntas juntamos neste artigo, de maneira fácil você aprenderá todos estes processos.

1 – Checando a resolução DNS do Domain Controller

Uma das tragédias que podem tirar seu ambiente do ar é a falta de resolução de nomes corretamente, felizmente o serviço de DNS de um Domain Controller pode ser integrado com o Active Directory, e caso você não tenha por favor o integre, muitos recursos são adicionados com esta integração.

Em nosso cenário, vamos usar um DNS com Zonas Integradas ao Active Directory, após terminarmos a promoção do DC e o mesmo sofrer a reinicialização, devemos fazer algumas configurações.

1.1 – Configurando a Placa de Rede do DC

Vamos configurar a placa de Rede do DC, se este for seu primeiro DC a ser promovido, o próprio utilitário do DCPROMO irá fazer o campo de DNS Preferencial ser alterado para 127.0.0.1, mesmo que antes, você já tenha alterado este campo, na Figura1 podemos ver este exemplo, segue abaixo:

Utilize o utilitário Nslookup no Command Prompt para conseguir levantar esta informação.

Command Prompt para conseguir levantar esta informação. Figura 1 – Verificando a resposta do Nslookup Vamos

Figura 1 – Verificando a resposta do Nslookup

Vamos fazer a alteração na placa de rede de nosso servidor DC, edite as configurações da placa de rede e altere o DNS Preferencia para o IP de seu DC, em nosso exemplo estamos em um novo ambiente, estou usando o IP do próprio servidor, segue demonstração na Figura2:

29/04/12

Cinco Passos para garantir um DC saudável

29/04/12 Cinco Passos para garantir um DC saudável Figura 2 – Alterando o DNS da Placa

Figura 2 – Alterando o DNS da Placa

Fazemos este procedimento para informar corretamente ao DC qual o DNS deve ser checado em uma consulta.

1.2 – Checando a Resolução de Reverso do DNS

Alguns procedimentos para aplicação de Policy e também regras no domínio dependem da resolução de nomes reversa, por isto devemos após a promoção de nosso DC, fazer o check para identificar se este recurso esta funcionando corretamente. Para verificarmos isto utilizaremos o utilitário nslookup disponível no prompt de comando.

Digite o comando abaixo para verificar a resolução a Figura3 demonstra um cenário onde a zona reversa não é criada por default.

um cenário onde a zona reversa não é criada por default. Figura 3 – DNS alterado

Figura 3 – DNS alterado mas sem resolução reversa

Neste momento já temos o DNS alterado (192.168.0.1) mas ainda não temos a resolução reversa em funcionamento (Unknown), iremos então criar a zona reversa de nosso domínio. Faça o seguinte procedimento:

Abra o DNS (dnsmgmt.msc)reversa de nosso domínio. Faça o seguinte procedimento: Clique na opção Reverse Lookup Zones , caso

Clique na opção Reverse Lookup Zones , caso esta opção esteja vazia Figura4, iremos criar o Reverse Zone. Reverse Lookup Zones, caso esta opção esteja vazia Figura4, iremos criar o Reverse Zone.

opção esteja vazia Figura4, iremos criar o Reverse Zone. Figura 4 – Zona Reversa não cadastrada

Figura 4 – Zona Reversa não cadastrada no Domínio

29/04/12

Cinco Passos para garantir um DC saudável

1.3 – Criando a Zona Reversa e o registro PTR do DC

Precisamos criar a Zona Reversa do DC para isto vamos utilizar o Wizard de criação de Zonas, siga as etapas abaixo:

1. Clique com o botão direito em Reverse Lookup Zone e selecione New Reverse Zone.

2. Na tela de Wizard Welcome clique em Next.

3. Na tela New Zone Wizard – Zone Types clique em Next (default Primary Zone e Active Directory Integrated).

4. Na tela New Zone Wizard – Active Directory Zone Replication Scope clique em Next.

5. Na tela New Zone Wizard – Reverse Lookup Zone Name marque a opção Ipv4 e clique em Next.

6. Na tela New Zone Wizard – Reverse Lookup Zone Name no campo Network ID coloque a Range IP da sua Infraestrutura e clique em Next.

7. Na tela New Zone Wizard – Dynamic Updates deixe o Default marcado e clique em Next.

8. Na tela New Zone Wizard – Summary clique em Finish para criar a Zona Reversa, conforme a Figura5.

em Finish para criar a Zona Reversa, conforme a Figura5. Figura 5 – Zona Reversa Criada

Figura 5 – Zona Reversa Criada

Precisamos criar o registro PTR de nosso servidor, neste momento apenas existe a Zona Reversa não existe correção do erro gerado na Figura3, iremos corrigir este erro criando um novo registro PTR. Conforme Figura5, segue os passos:

1. Clique com o botão direito na sua Zona Reversa (0.168.192.in-addr.arpa) e selecione New Pointer (PTR)

2. Na tela de New Resource Record existem três campos conforme a Figura6, segue abaixo:

i. Host IP Address – Este campo traz o IP do Registro PTR (IP do DC)

ii. FQDN - Este campo traz o nome completo (Nome FQDN do Domínio - Reverse)

iii. Host Name – Nome do Servidor (Nome FQDN do DC)

iii. Host Name – Nome do Servidor (Nome FQDN do DC) Figura 6 – Criando o

Figura 6 – Criando o PTR do DC

Após o registro criado, podemos verificar que o registro PTR já esta disponível dentro da Zona Reversa, isto pode ser visto e testado com o utilitário Nslookup no prompt de comando, idêntico ao passo executado na Figura3, demonstramos este processo na Figura7, onde vemos o registro PTR ao fundo, criado na Zona Reversa. Após isto abra uma nova seção no prompt de comando, para testar a resolução reversa de DNS com o Nslookup (Figura7).

29/04/12

Cinco Passos para garantir um DC saudável

29/04/12 Cinco Passos para garantir um DC saudável Figura 7 – Testando a Resolução Reversa do

Figura 7 – Testando a Resolução Reversa do Dns

2 – Verificando a Exitência das pastas Netlogon e Sysvol

Quando promovemos um servidor à função de Domain Controller, dois compartilhamentos muito importantes são criados dentro deste servidor, os compartilhamentos são Netlogon e Sysvol.

Para uma administração correta, é muito interessante dominarmos o pleno conhecimento destes compartilhamentos, assim entendendo para que servem e como checar erros nos mesmos.

2.1 – O que é o compartilhamento Netlogon

O compartilhamento Netlogon é usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar

informações com outros Dc`s. Esta replicação é feita de forma segura entre os DC`s.

O serviço responsável por esta replicação entre os Dc`s é o Netlogon (%SystemRoot%\System32\Netlogon.dll).

Para checar se os serviços estão configurados corretamente, no Windows Server 2003 precisamos instalar o Support Tools, no Windows Server 2008 o recurso já esta instalado.

Abra um prompt de comando e digite DCDIAG, o comando DCDIAG vai gerar um relatório do estado dos serviços do seu Active Directory, pode-se usar este relatório para levantamento de erros e verificação da estrutura do Domain Controller.

2.2 – O que é o compartilhamento Sysvol

O Compartilhamento Sysvol (System Volume) é usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para

compartilhar informações com outros Dc`s. As informações replicadas são Group Policy Objects, startup and shutdown scripts e logon and logoff scripts.

O serviço responsável por gerenciar estes atributos é o FRS (File Replication Service), ele gerecia a replicação do Sysvol, porém

caso tenhamos um upgrade de Domain Function Level para Windows Server 2008, o serviço de replicação para os Dc`s passa a ser o DFRS (Distributed File System Replication), válido apenas para Dc`s com Windows Server 2008.

Para visualizar a estrutura do Sysvol abra o prompt de comando e digite Start Sysvol, receberemos a tela da Figura8, com toda a estrutura do Sysvol, o comando Start Sysvol serve para demonstrar a estrutura de pastas, não importando se esta foi movida do caminho default.

não importando se esta foi movida do caminho default. Figura 8 – Utilizando o Start Sysvol

Figura 8 – Utilizando o Start Sysvol

Após a abertura da tela podemos verificar se a estrutrua do Sysvol esta como da Figura8, em um próximo artigo falaremos especificamente sobre Infraestrutura de Sysvol e Netlogon.

3 – Testando a Resolução DNS para Dc e para FQDN do Domínio

A resolução DNS é muito importante para o domínio e um dos testes básicos para checar a resolução, é verificar se o FQDN do

servidor ou o FQDN do Domínio estão respondendo para o mesmo lugar.

3.1 – Testando a Resolução DNS para DC

29/04/12

Cinco Passos para garantir um DC saudável

Quando acabamos de instalar um DC temos também que testar a resolução de rede de nosso Domain Controller, vale lembrar que se acessarmos o FQDN do Servidor (Figura9), nossa solicitação tem que nos levar para resolução da Figura10.

Na Figura9 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de Policies e também a estrutura de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com outros Dc`s.

utilizam estas pastas para replicar com outros Dc`s. Figura 9 – Acessando FQDN do DC Figura

Figura 9 – Acessando FQDN do DC

replicar com outros Dc`s. Figura 9 – Acessando FQDN do DC Figura 10 – Netlogon e

Figura 10 – Netlogon e Sysvol do DC

3.2 – Testando a Resolução DNS para FQDN do Domínio

Quando acabamos de instalar um DC temos também que testar a resolução de rede do FQDN do Domínio, vale lembrar que se acessarmos o FQDN do Domínio (Figura11), nossa solicitação tem que nos levar para resolução da Figura12.

Na Figura11 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de GPO e também a estrutura de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com outros Dc`s.

Quando desligamos o DC o Active Directory utiliza a resolução de nome FQDN do Domínio, sendo assim o usuário não será deslocado para o FQDN do DC e sim para o FQDN do Domínio, desta forma outro DC assume a função dos compartilhamentos.

forma outro DC assume a função dos compartilhamentos. Figura 11 – Acessando FQDN do Domínio Figura

Figura 11 – Acessando FQDN do Domínio

compartilhamentos. Figura 11 – Acessando FQDN do Domínio Figura 12 – Netlogon e Sysvol do Domínio

Figura 12 – Netlogon e Sysvol do Domínio

4 – Verificando as FSMO`s

Em nosso cenário estamos utilizando um único DC. Caso tenha mais Dc`s ou não é interessante sabermos se todas FSMO`s estão

29/04/12

Cinco Passos para garantir um DC saudável

disponíveis, para isto, iremos checar as FSMO`s, isto é muito simples abra um Prompt de Comando e utilize o comando Netdom query FSMO, o resultado será a Figura13 que segue abaixo:

query FSMO , o resultado será a Figura13 que segue abaixo: Figura 13 – Netdom para

Figura 13 – Netdom para verificar as FSMO`s

Este comando demonstra onde as FSMO`s estão sendo gerenciadas.

5 – Checando o Event Viewer Para finalizarmos não poderíamos deixar de falar do Event Viewer, ele foi remodelado no Windows Server 2008, porém continua agradável e demonstra tudo que ocorre em nossos servidores. Vale lembrar que a função de DC, tem algumas opções diferentes dos outros servidores. A Figura14 demonstra o Event Viewer, este precisa ser checado após a promoção do Domain Controller, segue abaixo:

após a promoção do Domain Controller, segue abaixo: Figura 14 – Event Viewer para checar erros

Figura 14 – Event Viewer para checar erros

Conclusão

Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem dúvidas sobre a função de Domain Controller no Active Directory, explicamos em 5 passos como garantir a saúde de seu DC após a promoção, desde o simples recurso de um PTR Zone Reverse, até a checagem das FSMO com o NETDOM, tenham uma ótima leitura.

Referências + Tópicos Relacionados

Para elaboração deste artigo utilizamos além do dia a dia como instrutor, materiais que servem como leitura posterior.

1 – Active Directory – Administrator’s Pocket Consutant (livro de bolso para o Administrator de Active Directory).

2 – Windows Server 2003 Active Directory and Network Infrastructure – Exam 70-297 (Ótima referência para Exames).

3 – Building Enterprise Active Directory Services – Notes from the Field.

4 – Windows Internals 5º Edition – Covering Windows Server 2008 and Windows Vista (A melhor referência sobre Internals).

Muitos foram os blogs navegados e opiniões retiradas de muitos bate-papos com amigos, gostaria de agradecer a todos.

Sobre o Autor

Rover Marinho atua no mercado de infra-estrutura desde 1998, especializando-se na área de Active Directory, Exchange e infra- estrutura de produtos Microsoft. Trabalha como Consultor e Instrutor em um grande CPLS em São Paulo, onde atua com os produtos: Exchange, Active Directory, Cluster e Projetos Específicos. Grande ênfase na comunidade TechNet, é colunista de muitos sites de Infraestrutura e colaborador da comunidade ITCentral Atua ministrando palestrar e Eventos de Produtos Microsoft, Rover Marinho é certificado MCP, MCSA, MCSE, MCTS, MCITP, MCT e MVP em Directory Services.

Para conhecerem suas últimas publicações acessem o Blog: http://rovermarinho.spaces.live.com.

< Anterior

Próximo >

29/04/12

Cinco Passos para garantir um DC saudável

Desenvolvido por Cristhian Bini! Para ITCentral!

XHTML and CSS.