29/04/12

Cinco Passos para garantir um DC saudvel

Home

Noticias

Artigos / Tutoriais / Videos CRM Exchange Server Forefront Interoperabilidade ISA Server Metodologia Office PowerShell / Scripts LCS / OCS / Lync Sharepoint System Center SQL Server Virtualizao Windows Client Windows Server TV ITCentral Entrevista

Cinco Passos para garantir um DC saudvel Avaliao do Usurio: Pior

A v aliar

/3 Melhor

Escrito por Rover Marinho

Qui, 07 de Outubro de 2010 13:27 Tecnologias Active Directory Sumrio Se existe um processo que pode salvar nossos finais de semana, a verificao de um DC aps a promoo, muitas vezes no fazemos a checagem da promoo de um DC, e com isto podemos ter vrios problemas. O que vamos citar neste artigo so alguns utilitrios e processos que devemos checar, para garantir que nosso DC esta ativo e foi corretamente promovido em nosso domnio, vamos l. Contedo 1. Checando a resoluo DNS do Domain Controller 1.1 Configurando a Placa de Rede do DC 1.2 Checando a Resoluo de Reverso do DNS 1.3 Criando a Zona Reversa e o registro PTR do DC 2. Verificando a existncia das Pastas Netlogon e Sysvol 2.1 O que o compartilhamento Netlogon 2.2 O que o compartilhamento Sysvol 3. Testando a Resoluo DNS para Dc e para FQDN do Domnio 3.1 Testando a Resoluo DNS para DC 3.2 Testando a Resoluo DNS para FQDN do Domnio 4. Verificando as FSMO`s 5. Checando o Event Viewer Introduo Este artigo foi desenvolvido para voc que tem dvidas sobre Active Directory. O que fazer para checar quando meu DC no traz os compartilhamentos de Netlogon e de Sysvol? Como ter certeza o DC recm criado um Global Catalog? Isto e outras perguntas juntamos neste artigo, de maneira fcil voc aprender todos estes processos. 1 Checando a resoluo DNS do Domain Controller Uma das tragdias que podem tirar seu ambiente do ar a falta de resoluo de nomes corretamente, felizmente o servio de DNS de um Domain Controller pode ser integrado com o Active Directory, e caso voc no tenha por favor o integre, muitos recursos so adicionados com esta integrao. Em nosso cenrio, vamos usar um DNS com Zonas Integradas ao Active Directory, aps terminarmos a promoo do DC e o mesmo sofrer a reinicializao, devemos fazer algumas configuraes. 1.1 Configurando a Placa de Rede do DC Vamos configurar a placa de Rede do DC, se este for seu primeiro DC a ser promovido, o prprio utilitrio do DCPROMO ir fazer o campo de DNS Preferencial ser alterado para 127.0.0.1, mesmo que antes, voc j tenha alterado este campo, na Figura1 podemos ver este exemplo, segue abaixo: Utilize o utilitrio Nslookup no Command Prompt para conseguir levantar esta informao.

Figura 1 Verificando a resposta do Nslookup Vamos fazer a alterao na placa de rede de nosso servidor DC, edite as configuraes da placa de rede e altere o DNS Preferencial para o IP de seu DC, em nosso exemplo estamos em um novo ambiente, estou usando o IP do prprio servidor, segue demonstrao na Figura2:

www.itcentral.com.br/index.php?option=com_content&view=article&id=272:-cinco-passos-para-ga

1/7

29/04/12

Cinco Passos para garantir um DC saudvel

Figura 2 Alterando o DNS da Placa Fazemos este procedimento para informar corretamente ao DC qual o DNS deve ser checado em uma consulta. 1.2 Checando a Resoluo de Reverso do DNS Alguns procedimentos para aplicao de Policy e tambm regras no domnio dependem da resoluo de nomes reversa, por isto devemos aps a promoo de nosso DC, fazer o check para identificar se este recurso esta funcionando corretamente. Para verificarmos isto utilizaremos o utilitrio nslookup disponvel no prompt de comando. Digite o comando abaixo para verificar a resoluo a Figura3 demonstra um cenrio onde a zona reversa no criada por default.

Figura 3 DNS alterado mas sem resoluo reversa Neste momento j temos o DNS alterado (192.168.0.1) mas ainda no temos a resoluo reversa em funcionamento (Unknown), iremos ento criar a zona reversa de nosso domnio. Faa o seguinte procedimento: Abra o DNS (dnsmgmt.msc) Clique na opo Reverse Lookup Zones, caso esta opo esteja vazia Figura4, iremos criar o Reverse Zone.

Figura 4 Zona Reversa no cadastrada no Domnio

www.itcentral.com.br/index.php?option=com_content&view=article&id=272:-cinco-passos-para-ga

2/7

29/04/12

Cinco Passos para garantir um DC saudvel

1.3 Criando a Zona Reversa e o registro PTR do DC Precisamos criar a Zona Reversa do DC para isto vamos utilizar o Wizard de criao de Zonas, siga as etapas abaixo: 1. Clique com o boto direito em Reverse Lookup Zone e selecione New Reverse Zone. 2. Na tela de Wizard Welcome clique em Next. 3. Na tela New Zone Wizard Zone Types clique em Next (default Primary Zone e Active Directory Integrated). 4. Na tela New Zone Wizard Active Directory Zone Replication Scope clique em Next. 5. Na tela New Zone Wizard Reverse Lookup Zone Name marque a opo Ipv4 e clique em Next. 6. Na tela New Zone Wizard Reverse Lookup Zone Name no campo Network ID coloque a Range IP da sua Infraestrutura e clique em Next. 7. Na tela New Zone Wizard Dynamic Updates deixe o Default marcado e clique em Next. 8. Na tela New Zone Wizard Summary clique em Finish para criar a Zona Reversa, conforme a Figura5.

Figura 5 Zona Reversa Criada

Precisamos criar o registro PTR de nosso servidor, neste momento apenas existe a Zona Reversa no existe correo do erro gerado na Figura3, iremos corrigir este erro criando um novo registro PTR. Conforme Figura5, segue os passos:

1. Clique com o boto direito na sua Zona Reversa (0.168.192.in-addr.arpa) e selecione New Pointer (PTR) 2. Na tela de New Resource Record existem trs campos conforme a Figura6, segue abaixo: i. ii. iii. Host IP Address Este campo traz o IP do Registro PTR (IP do DC) FQDN - Este campo traz o nome completo (Nome FQDN do Domnio - Reverse) Host Name Nome do Servidor (Nome FQDN do DC)

Figura 6 Criando o PTR do DC Aps o registro criado, podemos verificar que o registro PTR j esta disponvel dentro da Zona Reversa, isto pode ser visto e testado com o utilitrio Nslookup no prompt de comando, idntico ao passo executado na Figura3, demonstramos este processo na Figura7, onde vemos o registro PTR ao fundo, criado na Zona Reversa. Aps isto abra uma nova seo no prompt de comando, para testar a resoluo reversa de DNS com o Nslookup (Figura7).

www.itcentral.com.br/index.php?option=com_content&view=article&id=272:-cinco-passos-para-ga

3/7

29/04/12

Cinco Passos para garantir um DC saudvel

Figura 7 Testando a Resoluo Reversa do Dns 2 Verificando a Exitncia das pastas Netlogon e Sysvol Quando promovemos um servidor funo de Domain Controller, dois compartilhamentos muito importantes so criados dentro deste servidor, os compartilhamentos so Netlogon e Sysvol. Para uma administrao correta, muito interessante dominarmos o pleno conhecimento destes compartilhamentos, assim entendendo para que servem e como checar erros nos mesmos. 2.1 O que o compartilhamento Netlogon O compartilhamento Netlogon usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informaes com outros Dc`s. Esta replicao feita de forma segura entre os DC`s. O servio responsvel por esta replicao entre os Dc`s o Netlogon (%SystemRoot%\System32\Netlogon.dll). Para checar se os servios esto configurados corretamente, no Windows Server 2003 precisamos instalar o Support Tools, no Windows Server 2008 o recurso j esta instalado. Abra um prompt de comando e digite DCDIAG, o comando DCDIAG vai gerar um relatrio do estado dos servios do seu Active Directory, pode-se usar este relatrio para levantamento de erros e verificao da estrutura do Domain Controller. 2.2 O que o compartilhamento Sysvol O Compartilhamento Sysvol (System Volume) usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informaes com outros Dc`s. As informaes replicadas so Group Policy Objects, startup and shutdown scripts e logon and logoff scripts. O servio responsvel por gerenciar estes atributos o FRS (File Replication Service), ele gerecia a replicao do Sysvol, porm caso tenhamos um upgrade de Domain Function Level para Windows Server 2008, o servio de replicao para os Dc`s passa a ser o DFRS (Distributed File System Replication), vlido apenas para Dc`s com Windows Server 2008. Para visualizar a estrutura do Sysvol abra o prompt de comando e digite Start Sysvol, receberemos a tela da Figura8, com toda a estrutura do Sysvol, o comando Start Sysvol serve para demonstrar a estrutura de pastas, no importando se esta foi movida do caminho default.

Figura 8 Utilizando o Start Sysvol Aps a abertura da tela podemos verificar se a estrutrua do Sysvol esta como da Figura8, em um prximo artigo falaremos especificamente sobre Infraestrutura de Sysvol e Netlogon. 3 Testando a Resoluo DNS para Dc e para FQDN do Domnio A resoluo DNS muito importante para o domnio e um dos testes bsicos para checar a resoluo, verificar se o FQDN do servidor ou o FQDN do Domnio esto respondendo para o mesmo lugar. 3.1 Testando a Resoluo DNS para DC

www.itcentral.com.br/index.php?option=com_content&view=article&id=272:-cinco-passos-para-ga

4/7

29/04/12

Cinco Passos para garantir um DC saudvel

Quando acabamos de instalar um DC temos tambm que testar a resoluo de rede de nosso Domain Controller, vale lembrar que se acessarmos o FQDN do Servidor (Figura9), nossa solicitao tem que nos levar para resoluo da Figura10. Na Figura9 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de Policies e tambm a estrutura de scripts da Rede, bem como todas alteraes no Domnio utilizam estas pastas para replicar com outros Dc`s.

Figura 9 Acessando FQDN do DC

Figura 10 Netlogon e Sysvol do DC 3.2 Testando a Resoluo DNS para FQDN do Domnio Quando acabamos de instalar um DC temos tambm que testar a resoluo de rede do FQDN do Domnio, vale lembrar que se acessarmos o FQDN do Domnio (Figura11), nossa solicitao tem que nos levar para resoluo da Figura12. Na Figura11 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de GPO e tambm a estrutura de scripts da Rede, bem como todas alteraes no Domnio utilizam estas pastas para replicar com outros Dc`s. Quando desligamos o DC o Active Directory utiliza a resoluo de nome FQDN do Domnio, sendo assim o usurio no ser deslocado para o FQDN do DC e sim para o FQDN do Domnio, desta forma outro DC assume a funo dos compartilhamentos.

Figura 11 Acessando FQDN do Domnio

Figura 12 Netlogon e Sysvol do Domnio 4 Verificando as FSMO`s Em nosso cenrio estamos utilizando um nico DC. Caso tenha mais Dc`s ou no interessante sabermos se todas FSMO`s esto

www.itcentral.com.br/index.php?option=com_content&view=article&id=272:-cinco-passos-para-ga

5/7

29/04/12

Cinco Passos para garantir um DC saudvel

disponveis, para isto, iremos checar as FSMO`s, isto muito simples abra um Prompt de Comando e utilize o comando Netdom query FSMO, o resultado ser a Figura13 que segue abaixo:

Figura 13 Netdom para verificar as FSMO`s Este comando demonstra onde as FSMO`s esto sendo gerenciadas. 5 Checando o Event Viewer Para finalizarmos no poderamos deixar de falar do Event Viewer, ele foi remodelado no Windows Server 2008, porm continua agradvel e demonstra tudo que ocorre em nossos servidores. Vale lembrar que a funo de DC, tem algumas opes diferentes dos outros servidores. A Figura14 demonstra o Event Viewer, este precisa ser checado aps a promoo do Domain Controller, segue abaixo:

Figura 14 Event Viewer para checar erros Concluso Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem dvidas sobre a funo de Domain Controller no Active Directory, explicamos em 5 passos como garantir a sade de seu DC aps a promoo, desde o simples recurso de um PTR Zone Reverse, at a checagem das FSMO com o NETDOM, tenham uma tima leitura. Referncias + Tpicos Relacionados Para elaborao deste artigo utilizamos alm do dia a dia como instrutor, materiais que servem como leitura posterior. 1 Active Directory Administrators Pocket Consutant (livro de bolso para o Administrator de Active Directory). 2 Windows Server 2003 Active Directory and Network Infrastructure Exam 70-297 (tima referncia para Exames). 3 Building Enterprise Active Directory Services Notes from the Field. 4 Windows Internals 5 Edition Covering Windows Server 2008 and Windows Vista (A melhor referncia sobre Internals). Muitos foram os blogs navegados e opinies retiradas de muitos bate-papos com amigos, gostaria de agradecer a todos. Sobre o Autor Rover Marinho atua no mercado de infra-estrutura desde 1998, especializando-se na rea de Active Directory, Exchange e infraestrutura de produtos Microsoft. Trabalha como Consultor e Instrutor em um grande CPLS em So Paulo, onde atua com os produtos: Exchange, Active Directory, Cluster e Projetos Especficos. Grande nfase na comunidade TechNet, colunista de muitos sites de Infraestrutura e colaborador da comunidade ITCentral Atua ministrando palestrar e Eventos de Produtos Microsoft, Rover Marinho certificado MCP, MCSA, MCSE, MCTS, MCITP, MCT e MVP em Directory Services. Para conhecerem suas ltimas publicaes acessem o Blog: http://rovermarinho.spaces.live.com. < Anterior Prximo >

www.itcentral.com.br/index.php?option=com_content&view=article&id=272:-cinco-passos-para-ga

6/7

29/04/12

Cinco Passos para garantir um DC saudvel

Desenvolvido por Cristhian Bini! Para ITCentral!

XHTML and CSS.

www.itcentral.com.br/index.php?option=com_content&view=article&id=272:-cinco-passos-para-ga

7/7