Embed Size (px)
Citation preview
BrasilSul Tecnologia Ltda BrasilSulT E C N O L O G I A
Av. Pref. Osmar Cunha, 472 Centro Florianópolis SC Fone: 224-7939
Active Directory Este artigo foi escrito para quem ainda não implementou o Active Directory e para todas as pessoas que estão incertas sobre o que realmente é o Active Directory. A princípio posso dizer que entender o Active Directory é muito fácil, instalar o Active Directory é extremamente simples. Mas também posso afirmar com toda a certeza, planejar o Active Directory é uma tarefa árdua e extensa. Todo o sucesso da implementação do Active Directory depende de um planejamento detalhado. Caso você tenha trinta dias para instalar o Active Directory, reserve vinte e nove para planejamento usando somente caneta e papel, e um dia na frente do seu servidor. O Active Directory ou Diretório Ativo, ou melhor dizendo Serviço de Diretórios, pode a princípio parecer complexo porque o próprio nome não nos diz muita coisa. Em uma busca aprofundada pelo Aurélio a melhor definição para o termo diretório neste caso é: [Do lat. med. directoriu (subst.).] S. m. 1. Livro que contém as indicações necessárias para o desempenho de determinado cargo ou para a execução de certos negócios. O Active Directory é justamente isto, uma arquivo (NTDS.DIT) que mantém todas as configurações dos usuários da rede a os seus direitos e deveres. Ancestralmente esta função era desempenhada no NT 4.0 pelo SAM (Security Accounts Manager) Gerenciador de Segurança de Contas. Ele continha o nome do usuário, a senha, horário permitido de logon, definição do dia de expiração de conta e informações de perfil. O NTDS.DIT armazena uma gama de informações muito maior, além do fato de ser possível acrescentar novas informações ao Active Directory através da interface padrão LDAP (Lightweight Access Protocol). Com certeza o Active Directory é muito superior ao sistema usado no NT 4.0, mas ainda possui muitas limitações, limitações estas que fazem o trabalho de planejamento ser muito mais árduo. Entre estas limitações exista a impossibilidade de juntar dois domínios existentes em um único. Este conceito de migrar e acrescentar existe no NDS da Novell a vários anos. Mas não se preocupem que o Windows 2002 codinome Black Comb, já está em fase de testes, pode ser que esta capacidade já esteja implementada. Voltando ao Active Directory que possuímos, o primeiro passo é conhecer os novos termos e conceitos. Estes conceitos serão compreendidos com o tempo, lembre-se da primeira vez que você ouviu falar de Dir, Cls e Del pareciam códigos indecifráveis de um mundo distante. Conceitos fundamentais Objeto
• Conjunto de atributos que representam algo concreto, como um usuário, impressora ou aplicação.
• Os atributos guardam informações que descrevem algo sobre o objeto Container
• Como um objeto, mas não representa algo concreto. • Contém grupos de objetos
Scope
• O escopo do Active Directory é variável: o Pode conter cada simples objeto, cada servidor, cada domínio, etc..
BrasilSul Tecnologia Ltda BrasilSulT E C N O L O G I A
Av. Pref. Osmar Cunha, 472 Centro Florianópolis SC Fone: 224-7939
Namespace
• É um processo de resolução de nomes • Resolução de nomes: traduz nome em um objeto ou informação que o nome
representa o Ex.: Lista Telefônica
Schema
• Contém uma definição formal com todos os atributos de um objeto • As propriedades já setadas no Active Directory • Pode ser customizado ou criado novo atributo
Tree (Árvore) • Hierarquia de objetos e containeres • Mostra como objetos estão conectados ou o caminho de um objeto a outro
Componentes lógicos
• Objetos • Domínios • Organizational Units (unidades organizacionais) • Trees (Árvores) • Forests (Florestas)
Forest
• Um ou mais Trees que não formam um namespace contíguo • Todos Trees compartilham os mesmos schema, configuração e Global Catalog
Global Catalog
• A lista de toda a forest (todos os objetos e containers contidos na forest) • Servidores podem ser eleitos como GC (Global Catalog) Server para performance de
pesquisas
Componentes físicos Domain Controllers
D
Forest
Domain
Domain Tree
Objetos e Containers
BrasilSul Tecnologia Ltda BrasilSulT E C N O L O G I A
Av. Pref. Osmar Cunha, 472 Centro Florianópolis SC Fone: 224-7939
• Um computador rodando Windows 2000 Server que armazena uma réplica do AD • Gerencia todo os objetos e atributos • Replica o AD com outros DCs • Todos os DCs podem ser utilizados para alterar o AD (cadastros, mudanças e retirada
de objetos) Global Catalog Server
• Um domain controller que armazena uma cópia e processa consultas ao catálogo global
• O primeiro da forest é automaticamente criado na instalação do Active Directory • Usualmente 1 GC por site
o Exemplo: Um usuário procura por uma impressora com mais do que 8 ppm, colorida na corporação toda. A pesquisa é processada nesse servidor.
Integração com DNS
• Active Directory usa o DNS para localizar serviços e resolver nomes • Nomes de um host em rede Windows 2000 são nomes DNS, como server1.th.com.br • A rede Windows 2000 necessita de pelo menos um servidor DNS, com suporte a DNS
dinâmico e registros SRV (service) Serviços executados pelo DC (Domain Control) Relative ID (RID) master. O RID master aloca seqüências de RIDs para cada controlador de domínio no seu domínio. Quando um controlador de comínio cria um usuário, grupo ou computador, este lhe concede um número de identificação único o SID (Security ID). O SID consiste de um domain security ID (que é o mesmo para todos os SID´s criados no domínio), e um relative ID (que é único para cada SID criado no domínio). Quando o controlador de domínio esgota o range de RIDs, ele requisita outro range para o RID Master. Primary domain controller (PDC) emulator. Se o domínio irá manter um ambiente híbrido, que mantém computadores que executam windows 95/98, ou mantém Windows NT backup domain controllers (BDCs), o serviço de PDC emulator atua como um Windows NT primary domain controller (PDC). Infrastructure master. O serviço de infrastructure master é responsável por atualizar todas as referências entre domínios cada vez que objeto que se refere a outro é alterado. Por exemplo quando um membro de um grupo é renomeado ou alterado, o serviço de infrastructure master atualiza todas as referências a este. Agora que conhecemos os principais termos e serviços, vamos à parte prática, gostaria de lembrar que este tutorial é somente para instalação de servidores de teste. Para quem deseja se aventurar na instalação de um servidor de produção, no mínimo faça os treinamentos básicos da Microsoft para Windows 2000, são eles: 2151- Microsoft Windows 2000 Network & Operating System Essentials
Conceitos básicos de sistema operacional e redes. O que é cabo, placa de rede, hub. Vale a pena pelos módulos sobre TCP/IP, caso você não saiba o que é ARP, ICMP, Sockets e como calcular uma máscara de sub-rede este curso é indispensável.
2152 - Supporting Microsoft Windows 2000 Professional and Server Tudo sobre a instalação do sistema e todas as técnicas para otimizar a instalação. Caso você precise instalar 1000 computadores com todos os softwares adicionais em
BrasilSul Tecnologia Ltda BrasilSulT E C N O L O G I A
Av. Pref. Osmar Cunha, 472 Centro Florianópolis SC Fone: 224-7939
14 minutos e 32 segundos (isto mesmo - quatorze minutos e trinta e dois segundos) este curso é para você.
2153 - Supporting a Network Infrastructure using Microsoft Windows 2000
Tudo sobre DHCP, DNS, WINS, IIS, RIS, VPN, IPSec, RRAS, NAT, CA Na verdade os cursos 2151 e 2152 são somente uma preparação psicológica para este treinamento. Caso você queira iniciar direto por este treinamento é por sua própria conta e risco.
2154 - Implementing and Administering Microsoft Windows 2000 Directory Services
Aqui o chão some sob os pés, tudo que era sabido em NT 4.0 só serve para atrapalhar. Neste momento você já tem certeza absoluta que merece um aumento de salário.
Caso você seja um iniciado em NT 4.0 e deseja um tratamento de choque existe o curso: 1560 - Upgrading Support Skills From MS Windows NT Server 4 to Windows 2000
Aqui você faz todos os quatro treinamentos em cinco dias, é uma experiência inesquecível.
Somente para lembrar estes são os treinamentos BÁSICOS, após estes iniciam os treinamentos específicos. Voltando ao Active Directory, vamos assumir que o Windows 2000 já esta instalado, caso você tenha dúvidas de como instalar, peça para o filho de algum colega de trabalho. Ou seja para instalar basta colocar o CD no drive e ligar, no máximo você precisa conseguir digitar o seu nome e o nome do servidor. Detalhe óbvio, o servidor precisa ser compatível com Windows 2000, aquela placa de fax/modem “Motorola” que se seu importador pessoal trouxe da ponte, na segunda feira passada, vai lhe render um bom fim de semana de trabalho, até que você descubra que a Motorola somente licencio o chip é que qualquer empresa pode fabricar uma placa de fax/modem com este chip e daí até ser compatível com Windows 2000 existem várias noites de sono mal dormidas. Multiplique isto por todas outros componentes de um servidor e tenha uma noção do trabalho e se a economia vale a pena. DCPROMO.EXE Este é o momento em que você vai transformar o seu novíssimo sistema Pentium IIII 1GB em um belo 386SX. Exageros à parte, quando fizer a promoção a controlador de domínio através do comando dcpromo tenha em seu servidor toda a memória RAM que o dinheiro puder comprar. Com menos de 256MB você ira conseguir executar o notepad e olha lá. Para iniciar a instalação do Active Directory e conseqüentemente a promoção do servidor a Controlador de Domínio: 1 Clique em iniciar/executar 2 Digite dcpromo
Observação: assegure-se que você possui um drive formatado em NTFS, caso não tenha, converta uma partição existente. O comando é: CONVERT x: /FS:NTFS Obs: Caso exista um dual boot com 95/98 esta partição não estará disponível para este sistema operacional
Será iniciado o assistente para configuração do servidor, cuidado, pois qualquer erro pode ser fatal. Um último lembrete, planeje o que será feito, lembre-se que nem o nome do servidor pode ser alterado após a promoção do servidor. Mas para quem gosta de viver perigosamente vamos lá:
BrasilSul Tecnologia Ltda BrasilSulT E C N O L O G I A
Av. Pref. Osmar Cunha, 472 Centro Florianópolis SC Fone: 224-7939
Após a tela de bem vindo será exibida a tela perguntando se este é o primeiro controlador de domínio ou se o domínio já existe e este será um controlador de domínio adicional. No nosso caso será a primeira opção. - Clique Avançar
Criar um novo domínio ou um sub domínio. A primeira opção cria uma nova árvore de domínio. Exemplo: microsof.com A segunda opção cria sub domínios. Exemplo: brasil.microsoft.com Deixe a opção padrão e clique avançar.
BrasilSul Tecnologia Ltda BrasilSulT E C N O L O G I A
Av. Pref. Osmar Cunha, 472 Centro Florianópolis SC Fone: 224-7939
Digite o nome do domínio, normalmente o nome da empresa.com.br O Windows 2000 necessita somente de nomes DNS, mas por motivo de compatibilidade com sistemas antigos você precisa também digitar um nome NetBios para o domínio. Digite-os e avance.
O sistema vai criar as pastas necessárias, basta escolher o drive e clicar em avançar. Caso você não tenha uma partição NTFS, converta uma existente o comando é: CONVERT x: /FS:NTFS Obs: Caso exista um dual boot com 95/98 esta partição não estará disponível para este sistema operacional.
BrasilSul Tecnologia Ltda BrasilSulT E C N O L O G I A
Av. Pref. Osmar Cunha, 472 Centro Florianópolis SC Fone: 224-7939
Administrando o Active Directory Para quem trabalha com NT 4.0 este é o momento mais trágico, um administrador de rede com anos de pratica vai demorar um bom tempo até conseguir criar uma simples conta de usuário. Na próxima edição iremos fazer uma explanação de como administrar o Active Directory e como gerenciar as opções de segurança as GPO. Para mais informações e dúvidas enviar e-mail para [email protected] com o subject: Active Directory.
Agora o Windows 2000 possui um modo de restauração de emergência via prompt de comandos, esta é a senha para acessar este modo. Finalmente é exibida a tela com o resumo das opções escolhidas, é a ultima chance de mudar alguma configuração. Clique avançar e vá tomar um café, ou melhor dois.
Clique Concluir, reinicie o servidor e pronto.
