Mdulo 2: Introduo aos Servios de Domnio do Active Directory Contedo:

Viso geral do mdulo Lio 1: Lio 2: Lio 3: Laboratrio: Viso geral do AD DS Viso geral de controladores de domnio Instalao de um controlador de domnio Instalao de controladores de domnio Re iso e in!orma"es com#lementares do mdulo

Viso geral do mdulo

O AD DS (Servios de Domnio do Active Directory) e seus servios relacionados ormam a !ase "ara as redes cor"orativas #ue e$ecutam sistemas o"eracionais %indo&s' O !anco de dados do AD DS ( o re"ositrio central de todos os o!)etos do domnio* como contas de usu+rio* contas de com"utador e ,ru"os' O AD DS o erece um diretrio -ier+r#uico "es#uis+vel* al(m de um m(todo de a"licao de "ar.metros de con i,urao e se,urana "ara o!)etos da em"resa' /ste mdulo a!orda a estrutura do AD DS e seus diversos com"onentes* como a loresta* o domnio e as 0Os (unidades or,ani1acionais)' O "rocesso de instalao do AD DS em um servidor ( a"rimorado e a"er eioado com o %indo&s Server 2232' /ste mdulo e$amina al,umas das o"4es #ue esto dis"onveis com o %indo&s Server 2232 "ara instalar o AD DS em um servidor'

Objetivos

Ao concluir este mdulo* voc5 ser+ ca"a1 de: 6 Descrever a estrutura do AD DS' 6 Descrever a inalidade dos controladores de domnio' 6 /$"licar como instalar um controlador de domnio'

Lio 1 : Viso geral do AD DS

O !anco de dados do AD DS arma1ena in orma4es so!re identidade de usu+rio* com"utadores* ,ru"os* servios e recursos' Os controladores de domnio do AD DS tam!(m -os"edam o servio #ue autentica contas de usu+rio e com"utador #uando eles a1em lo,on no domnio' 7omo o AD DS arma1ena in orma4es so!re todos os o!)etos do domnio* e todos os usu+rios e com"utadores devem se conectar a controladores de domnio do AD DS ao entrar na rede* o AD DS ( o "rinci"al meio "elo #ual voc5 "ode con i,urar e ,erenciar contas de usu+rio e com"utador em sua rede' /sta lio a!orda os com"onentes l,icos !+sicos #ue ormam uma im"lantao do AD DS'

Objetivos da lio
Ao concluir esta lio* voc5 ser+ ca"a1 de: 6 Descrever os com"onentes do AD DS' 6 Descrever domnios do AD DS' 6 Descrever 0Os e sua inalidade' 6 Descrever lorestas e +rvores do AD DS* e e$"licar como im"lant+8las em uma rede' 6 /$"licar como um es#uema do AD DS ornece um con)unto de re,ras #ue ,erenciam os o!)etos e atri!utos arma1enados no !anco de dados de domnio do

AD DS'

Viso geral do AD DS

O AD DS ( com"osto de com"onentes sicos e l,icos' 9oc5 "recisa entender a maneira como os com"onentes do AD DS uncionam em con)unto* "ara #ue "ossa ,erenciar sua rede com e ici5ncia e controlar #uais recursos seus usu+rios "odem acessar' Al(m disso* voc5 "ode usar muitas outras o"4es do AD DS* inclusive a instalao e con i,urao de so t&ares e atuali1a4es* o ,erenciamento da in raestrutura de se,urana* a -a!ilitao de Acesso :emoto e DirectAccess* e a mani"ulao de certi icados' 0m dos recursos do AD DS ( a ;oltica de <ru"o* #ue "ermite a con i,urao de "olticas centrali1adas #ue voc5 "oder+ usar "ara ,erenciar a maioria dos o!)etos no AD DS' = im"ortante entender os v+rios com"onentes do AD DS "ara usar a ;oltica de <ru"o com 5$ito'

Componentes fsicos
As in orma4es do AD DS so arma1enadas em um >nico ar#uivo no disco r,ido de cada controlador de domnio' A ta!ela a se,uir lista al,uns dos com"onentes sicos e onde eles esto arma1enados'

$om#onente !sico
7ontroladores de domnio

Descrio
7ont5m c"ias do !anco de dados do AD DS'

:e"ositrio de dados

O ar#uivo em cada controlador de domnio #ue arma1ena as in orma4es do AD DS'

Servidores de cat+lo,o ,lo!al

?os"edam o catlogo global* #ue ( uma c"ia "arcial e somente leitura de todos os o!)etos da loresta' 0m cat+lo,o ,lo!al acelera as "es#uisas "or o!)etos #ue "ossam estar arma1enados em controladores de um domnio di erente da loresta'

:OD7 (controladores de domnio somente leitura)

0ma instalao es"ecial do AD DS em um ormato somente leitura' /m ,eral* so usados em iliais nas #uais a se,urana e o su"orte de @I so menos avanados do #ue nas matri1es'

Componentes lgicos
Os com"onentes l,icos do AD DS so estruturas #ue voc5 usa "ara im"lementar um desi,n do Active Directory #ue se)a a"ro"riado "ara uma or,ani1ao' A ta!ela a se,uir descreve al,uns dos ti"os de estruturas l,icas #ue um !anco de dados do Active Directory "ode conter'

$om#onente lgico
;artio

Descrio
0ma seo do !anco de dados do AD DS' /m!ora o !anco de dados se)a um ar#uivo denominado A@DS'DI@* ele ( e$i!ido* ,erenciado e re"licado como se consistisse de se4es ou inst.ncias distintas' /ssas so c-amadas de parties* #ue tam!(m so con-ecidas como contextos de nomenclatura '

/s#uema Domnio Brvore de domnio

De ine a lista de ti"os e atri!utos #ue todos os o!)etos do AD DS "odem ter' 0m limite administrativo l,ico "ara usu+rios e com"utadores' 0ma coleo de domnios #ue com"artil-am um domnio rai1 comum e um names"ace DAS (Sistema de Aomes de Domnio)'

Cloresta Site

0ma coleo de domnios #ue com"artil-am um AD DS comum' 0ma coleo de usu+rios* ,ru"os e com"utadores con orme de inidos "or suas locali1a4es sicas' Os sites so >teis no "lane)amento de tare as administrativas* como a re"licao de altera4es no !anco de dados do AD DS'

0O

As 0Os so cont5ineres do AD DS #ue o erecem uma estrutura "ara dele,ar direitos administrativos e "ara vincular <;Os (O!)etos de ;oltica de <ru"o)'

Leitura adicional: ;ara o!ter mais in orma4es so!re domnios e lorestas*

consulte a :e er5ncia t(cnica so!re domnios e lorestas em %tt#:&&go'microso!t'com&!(lin)&*Lin)Id+1,---.'

O que so domnios do AD DS

0m domnio do AD DS ( um a,ru"amento l,ico de o!)etos de usu+rio* com"utador e ,ru"o "ara ins de ,erenciamento e se,urana' @odos esses o!)etos so arma1enados no !anco de dados do AD DS* e uma c"ia desse !anco de dados ( arma1enada em cada controlador de domnio no domnio do AD DS' ?+ v+rios ti"os de o!)etos #ue "odem ser arma1enados no !anco de dados do AD DS* inclusive contas de usu+rio' As contas de usu+rio o erecem um mecanismo #ue voc5 "ode usar "ara autenticar e* em se,uida* autori1ar os usu+rios a acessar recursos na rede' 7ada com"utador includo no domnio deve ter uma conta no AD DS' Isso "ermite #ue os administradores de domnios usem "olticas #ue so de inidas no domnio "ara ,erenciar os com"utadores' O domnio tam!(m arma1ena ,ru"os* #ue so o mecanismo "ara a,ru"ar o!)etos "or ra14es administrativas ou de se,urana D "or e$em"lo* contas de usu+rio e de com"utador' O domnio do AD DS ( tam!(m um limite de re"licao' Euando so eitas altera4es em #ual#uer o!)eto no domnio* essa alterao ( automaticamente re"licada em todos os outros controladores de domnio desse domnio' 0m domnio do AD DS ( um centro administrativo' /le cont(m uma conta Administrador e um ,ru"o Admins' do Domnio* #ue t5m am!os controle total so!re cada o!)eto no domnio' ;or(m* a menos #ue este)am no domnio rai1 da loresta*

sua ai$a de controle ( limitada ao domnio' As re,ras de sen-a e conta so ,erenciadas no nvel do domnio "or "adro' O domnio do AD DS ornece um centro de autenticao' @odas as contas de usu+rio e de com"utador no domnio so arma1enadas no !anco de dados do domnio* e os usu+rios e com"utadores devem se conectar a um controlador de domnio "ara autenticao' 0m >nico domnio "ode conter mais de 3 mil-o de o!)etos* "ortanto a maioria das or,ani1a4es "recisa im"lantar a"enas um >nico domnio' As or,ani1a4es #ue descentrali1aram as estruturas administrativas* ou #ue esto distri!udas em v+rios locais* "odem im"lementar v+rios domnios na mesma loresta

O que so !Os

0ma unidade organizacional (0O) ( um o!)eto cont5iner dentro de um domnio #ue voc5 "ode usar "ara consolidar usu+rios* ,ru"os* com"utadores e outros o!)etos' ?+ dois motivos "ara voc5 criar 0Os: 6 ;ara con i,urar o!)etos contidos na 0O' 9oc5 "ode atri!uir <;Os F 0O* e as con i,ura4es so a"licadas a todos os o!)etos contidos na 0O' <;Os so "olticas #ue os administradores criam "ara ,erenciar e con i,urar contas de com"utador e de usu+rio' A maneira mais comum de im"lantar essas "olticas ( vincul+8las a 0Os' 6 ;ara dele,ar o controle administrativo de o!)etos dentro da 0O' 9oc5 "ode atri!uir "ermiss4es de ,erenciamento em uma 0O* dessa orma dele,ando o controle dessa 0O a um usu+rio ou ,ru"o no AD DS #ue no se)a o administrador' = "ossvel usar 0Os "ara re"resentar estruturas -ier+r#uicas l,icas dentro de sua

or,ani1ao' ;or e$em"lo* voc5 "ode criar 0Os #ue re"resentem os de"artamentos de sua or,ani1ao* as re,i4es ,eo,r+ icas da or,ani1ao ou uma com!inao de re,i4es de"artamentais e ,eo,r+ icas' As 0Os "odem ser usadas "ara ,erenciar a con i,urao e o uso de contas de usu+rio* ,ru"o e com"utador com !ase em seu modelo or,ani1acional' 7ada domnio do AD DS cont(m um con)unto "adro de cont5ineres e 0Os #ue so criados #uando voc5 instala o AD DS* incluindo o se,uinte: 6 7ont5iner de domnio' Serve como o cont5iner rai1 da -ierar#uia' 6 7ont5iner interno' Arma1ena uma s(rie de ,ru"os "adro' 6 7ont5iner de usu+rios' O local "adro "ara as novas contas de usu+rio e os ,ru"os #ue voc5 cria no domnio' O cont5iner de usu+rios tam!(m cont(m as contas de administrador e convidado "ara o domnio* al(m de al,uns ,ru"os "adro' 6 7ont5iner de com"utadores' O local "adro "ara as novas contas de com"utador #ue voc5 cria no domnio' 6 0O de controladores de domnio' O local "adro "ara as contas de com"utador de controladores de domnio' /ssa ( a >nica 0O #ue est+ "resente em uma nova instalao do AD DS'

/bser ao: Aen-um dos cont5ineres "adro no domnio do AD DS "odem ter <;Os vinculados a eles* e$ceto a 0O de controladores de domnio e o "r"rio domnio' @odos os outros cont5ineres so a"enas "astas' ;ara vincular <;Os a im de a"licar con i,ura4es e restri4es* crie uma -ierar#uia de 0Os e* em se,uida* vincule <;Os a elas'

Design da "ierarquia
O desi,n de uma -ierar#uia de 0Os ( esta!elecido "elas necessidades administrativas da or,ani1ao' O desi,n "oder+ ser !aseado em classi ica4es ,eo,r+ icas* uncionais* de recursos ou de usu+rios' Se)a #ual or a ordem* a -ierar#uia deve tornar "ossvel administrar recursos do AD DS com o m+$imo de e ici5ncia e le$i!ilidade

"ossvel' ;or e$em"lo* se todos os com"utadores #ue os administradores de @I usam devem ser con i,urados de uma determinada orma* voc5 "ode a,ru"ar todos os com"utadores em uma 0O e desi,nar um <;O "ara ,erenciar seus com"utadores' ;ara sim"li icar a administrao* voc5 tam!(m "ode criar 0Os dentro de outras 0Os' ;or e$em"lo* sua or,ani1ao "ode ter v+rios escritrios* e cada um deles "ode ter um con)unto de administradores res"ons+veis "or ,erenciar contas de usu+rio e com"utador em seus escritrios' Al(m disso* cada escritrio "ode ter di erentes de"artamentos com re#uisitos distintos de con i,urao de com"utadores' Aesse caso* voc5 "oderia criar uma 0O "ara o escritrio #ue ( usado "ara dele,ar a administrao e* em se,uida* criar uma 0O do de"artamento dentro da 0O do escritrio "ara atri!uir con i,ura4es de +rea de tra!al-o' /m!ora no -a)a um limite t(cnico "ara o n>mero de nveis de sua estrutura de 0O* "ara ins de ca"acidade de ,erenciamento* limite sua estrutura a uma "ro undidade de* no m+$imo* 32 nveis' A maioria das or,ani1a4es usa cinco nveis ou menos "ara sim"li icar a administrao' O!serve #ue os a"licativos -a!ilitados "ara o Active Directory "odem ter restri4es na "ro undidade de 0O dentro da -ierar#uia' /sses a"licativos tam!(m "odem ter restri4es no n>mero de caracteres #ue "odem ser usados no nome distinto* #ue ( o camin-o GDA; com"leto do o!)eto no diretrio'

O que # uma floresta do AD DS

0ma floresta ( uma coleo de uma ou mais +rvores de domnio' 0ma rvore ( uma coleo de um ou mais domnios' O "rimeiro domnio #ue ( criado na loresta ( c-amado de domnio raiz da floresta. O domnio raiz da floresta cont(m al,uns o!)etos #ue no e$istem em outros domnios da loresta' ;or e$em"lo* o domnio

rai1 da loresta cont(m duas un4es es"eciais de controlador de domnio* o mestre de es#uema e o mestre de nomeao de domnios' Al(m disso* o ,ru"o Administradores de /m"resa e o ,ru"o Administradores de /s#uema e$istem a"enas no domnio rai1 da loresta' O ,ru"o Administradores de /m"resa tem controle total so!re cada domnio da loresta' A loresta do AD DS ( um limite de se,urana' Isso si,ni ica #ue* "or "adro* nen-um usu+rio de ora da loresta "ode acessar recursos dentro da loresta' Si,ni ica tam!(m #ue os administradores de ora da loresta no t5m acesso administrativo dentro da loresta' 0m dos "rinci"ais motivos "elos #uais as or,ani1a4es im"lantam v+rias lorestas ( "or#ue elas "recisam isolar "ermiss4es administrativas entre "artes di erentes da or,ani1ao' A loresta do AD DS tam!(m ( o limite de re"licao "ara as "arti4es de con i,urao e es#uema no !anco de dados do AD DS' Isso si,ni ica #ue todos os controladores de domnio da loresta devem com"artil-ar o mesmo es#uema' 0m se,undo motivo "elo #ual as or,ani1a4es im"lantam v+rias lorestas ( "or#ue elas devem im"lantar es#uemas incom"atveis em duas "artes da or,ani1ao' A loresta do AD DS tam!(m ( o limite de re"licao do cat+lo,o ,lo!al' Isso acilita a maioria das ormas de cola!orao entre os usu+rios de domnios di erentes' ;or e$em"lo* todos os destinat+rios do Microso t /$c-an,e Server 2232 so listados no cat+lo,o ,lo!al* tornando +cil enviar email "ara #ual#uer um dos usu+rios da loresta* at( a#ueles de domnios di erentes' ;or "adro* todos os domnios de uma loresta con iam automaticamente nos outros domnios da loresta' Isso torna +cil -a!ilitar o acesso a recursos como com"artil-amentos de ar#uivos e sites "ara todos os usu+rios de uma loresta* inde"endentemente do domnio em #ue a conta de usu+rio est+ locali1ada'

O que # o esquema do AD DS

O esquema do AD DS ( o com"onente do AD DS #ue de ine todos os ti"os e atri!utos de o!)etos #ue o AD DS usa "ara arma1enar dados' /le ( Fs ve1es c-amado de "lano ,r+ ico do AD DS' O AD DS arma1ena e recu"era in orma4es de uma am"la variedade de a"licativos e servios' O AD DS "adroni1a a orma como os dados so arma1enados no diretrio do AD DS* "ara #ue ele "ossa arma1enar e re"licar dados dessas diversas ontes' Ao "adroni1ar a orma como os dados so arma1enados* o AD DS "ode recu"erar* atuali1ar e re"licar dados* ,arantindo ao mesmo tem"o #ue a inte,ridade dos dados se)a mantida' Al(m disso* o AD DS usa o!)etos como unidades de arma1enamento' @odos os ti"os de o!)etos so de inidos no es#uema' Sem"re #ue o diretrio mani"ula dados* ele consulta o es#uema a res"eito de uma de inio de o!)eto a"ro"riada' 7om !ase na de inio de o!)eto do es#uema* o diretrio cria o o!)eto e arma1ena os dados' As de ini4es de o!)etos controlam am!os os ti"os de dados #ue os o!)etos "odem arma1enar e a sinta$e dos dados' 0sando essas in orma4es* o es#uema ,arante #ue todos os o!)etos este)am de acordo com suas de ini4es "adro' 7om isso* o AD DS "ode arma1enar* recu"erar e validar os dados #ue ,erencia* inde"endentemente do a"licativo #ue ( a onte ori,inal dos dados' Somente os dados #ue t5m uma de inio de o!)eto e$istente no es#uema "odem ser arma1enados no diretrio' Se um novo ti"o de dados "recisar ser arma1enado* "rimeiro dever+ ser criada uma nova de inio de o!)eto "ara os dados no es#uema' Ao AD DS* o es#uema de ine o se,uinte:

6 Os o!)etos #ue so usados "ara arma1enar dados no diretrio 6 As re,ras #ue de inem #ue ti"os de o!)etos voc5 "ode criar* #ue atri!utos devem ser de inidos (o!ri,atrios) #uando voc5 cria o o!)eto e #ue atri!utos so o"cionais 6 A estrutura e o conte>do do "r"rio diretrio

9oc5 "ode usar uma conta #ue se)a mem!ro dos Administradores de /s#uema "ara modi icar os com"onentes do es#uema em um ormato ,r+ ico' /$em"los de o!)etos #ue so de inidos no es#uema incluem usu+rio* com"utador* ,ru"o e site' /ntre os muitos atri!utos esto location* account01#ires* building2ame* com#an3* manager e dis#la32ame' O mestre de es#uema ( um dos controladores de domnio de o"era4es de mestre >nico no AD DS' 7omo ( um mestre >nico* voc5 deve a1er altera4es no es#uema visando ao controlador de domnio #ue tem a uno de mestre de o"era4es de es#uema' O es#uema ( re"licado entre todos os controladores de domnio da loresta' Eual#uer alterao eita no es#uema ( re"licada em cada controlador de domnio da loresta do "ro"riet+rio da uno de mestre de o"era4es de es#uema* ,eralmente o "rimeiro controlador de domnio da loresta' 7omo o es#uema esta!elece o modo como as in orma4es so arma1enadas* e #uais#uer altera4es #ue so eitas no es#uema a etam cada controlador de domnio* as altera4es no es#uema devem ser eitas somente #uando necess+rio' Antes de a1er #ual#uer alterao* voc5 deve revisar as altera4es usando um "rocesso ri,orosamente controlado* e im"lement+8las somente de"ois de e$ecutar testes #ue asse,urem #ue as altera4es no a etaro o restante da loresta e #uais#uer a"licativos #ue usem o AD DS de maneira adversa' /m!ora voc5 talve1 no aa altera4es no es#uema diretamente* al,uns a"licativos alteram o es#uema "ara dar su"orte a recursos adicionais' ;or e$em"lo* #uando voc5 instala o /$c-an,e Server 2232 em sua loresta do AD DS* o "ro,rama de instalao

estende o es#uema "ara dar su"orte a novos ti"os e atri!utos de o!)etos'

Lio 2: Viso geral de controladores de domnio

7omo os controladores de domnio autenticam todos os usu+rios e com"utadores no domnio* a im"lantao de controlador de domnio ( essencial "ara o uncionamento correto da rede' /sta lio e$amina os controladores de domnio* o "rocesso de lo,on e a im"ort.ncia do DAS nesse "rocesso' Al(m disso* esta lio discute a inalidade do cat+lo,o ,lo!al' @odos os controladores de domnio so !asicamente i,uais* com duas e$ce4es' Os :OD7s cont5m uma c"ia somente leitura do !anco de dados do AD DS* en#uanto outros controladores de domnio t5m uma c"ia de leituraH,ravao' @am!(m -+ determinadas o"era4es #ue "odem ser e$ecutadas a"enas em controladores de domnio es"ec icos c-amados mestres de operaes* #ue so discutidos no inal desta lio'

Objetivos da lio
Ao concluir esta lio* voc5 ser+ ca"a1 de: 6 Descrever a inalidade dos controladores de domnio' 6 Descrever a inalidade do cat+lo,o ,lo!al' 6 Descrever o "rocesso de lo,on do AD DS* e a im"ort.ncia dos re,istros DAS e S:9 no "rocesso de lo,on' 6 Descrever a uncionalidade dos re,istros S:9' 6 /$"licar as un4es de mestres de o"era4es'

O que # um controlador de domnio

0m controlador de domnio ( um servidor con i,urado "ara arma1enar uma c"ia do !anco de dados de diretrios do AD DS (A@DS'DI@) e uma c"ia da "asta SIS9OG' @odos os controladores de domnio* e$ceto os :OD7s* arma1enam uma c"ia de leituraH,ravao do A@DS'DI@ e da "asta SIS9OG' O A@DS'DI@ ( o "r"rio !anco de dados* e a "asta SIS9OG cont(m todas as con i,ura4es de modelo "ara <;Os' As altera4es no !anco de dados do AD DS "odem ser iniciadas em #ual#uer controlador de um domnio* e$ceto os :OD7s' /m se,uida* o servio de re"licao do AD DS sincroni1a todas as altera4es e atuali1a4es do !anco de dados do AD DS com todos os outros controladores de domnio no domnio' As "astas SIS9OG so re"licadas "elo C:S (servio de re"licao de ar#uivos) ou "ela re"licao DCS (sistema de ar#uivos distri!udo) mais recente' Os controladores de domnio -os"edam v+rios outros servios relacionados ao Active Directory* inclusive o servio de autenticao Jer!eros* #ue ( usado "elas contas 0su+rio e 7om"utador "ara a autenticao de lo,on* e o JD7 (centro de distri!uio de c-aves)' O KD ( o servio #ue emite o @<@ (t#uete de concesso de t#uete) "ara uma conta #ue a1 lo,on no domnio do AD DS' 7omo o"o* voc5 "ode con i,urar controladores de domnio "ara -os"edar uma c"ia do cat+lo,o ,lo!al do Active Directory' 0m domnio do AD DS deve sem"re ter um mnimo de dois controladores de domnio' Desse modo* se um dos controladores de domnio al-ar* -aver+ um !acKu" "ara ,arantir a continuidade dos servios de domnio do AD DS' Euando voc5 decidir adicionar mais de dois controladores de domnio* leve em considerao o taman-o de sua or,ani1ao e os re#uisitos de desem"en-o'

/bser ao: Dois controladores de domnio devem ser considerados um mnimo a!soluto'

Euando voc5 im"lanta um controlador de domnio em uma ilial em #ue a se,urana sica ( a!ai$o da ideal* -+ al,umas medidas adicionais #ue "odem ser usadas "ara redu1ir o im"acto de uma violao de se,urana' 0ma o"o ( im"lantar um :OD7' O :OD7 cont(m uma c"ia somente leitura do !anco de dados do AD DS e* "or "adro* no arma1ena em cac-e nen-uma sen-a de usu+rio' 9oc5 "ode con i,urar o :OD7 "ara arma1enar em cac-e as sen-as dos usu+rios da ilial' Se um :OD7 or com"rometido* a "otencial "erda de in orma4es ser+ muito menor do #ue com um controlador de domnio de leituraH,ravao com"leto' 0ma outra o"o ( usar a 7ri"to,ra ia de 0nidade de Disco LitGocKer do %indo&s "ara cri"to,ra ar o disco r,ido do controlador de domnio' Se o disco r,ido or rou!ado* a cri"to,ra ia LitGocKer ,arantir+ #ue -a)a uma c-ance muito !ai$a de um usu+rio mal8intencionado o!ter in orma4es >teis dele'

/bser ao: O LitGocKer ( um sistema de cri"to,ra ia de unidade de disco #ue est+ dis"onvel "ara sistemas o"eracionais %indo&s Server e "ara determinadas vers4es de sistemas o"eracionais cliente do %indo&s' O LitGocKer cri"to,ra a com se,urana todo o sistema o"eracional* "ara #ue o com"utador no "ossa ser iniciado sem #ue se)a ornecida uma c-ave "rivada e (o"cionalmente) uma veri icao de inte,ridade' 0m disco "ermanecer+ cri"to,ra ado mesmo se voc5 o trans erir "ara outro com"utador'

O que # o cat$logo global

Dentro de um >nico domnio* o !anco de dados do AD DS cont(m todas as in orma4es so!re cada o!)eto do domnio' /ssas in orma4es no so re"licadas ora do domnio' ;or e$em"lo* uma consulta de um o!)eto no AD DS ( redirecionada "ara um dos controladores desse domnio' Se -ouver mais de um domnio na loresta* essa consulta no ornecer+ nen-um resultado "ara o!)etos de um domnio di erente' ;ara -a!ilitar a "es#uisa em v+rios domnios* voc5 "ode con i,urar um ou mais controladores de domnio "ara arma1enar uma c"ia do cat+lo,o ,lo!al' O catlogo global ( um !anco de dados distri!udo #ue cont(m uma re"resentao "es#uis+vel de cada o!)eto de todos os domnios de uma loresta de v+rios domnios' ;or "adro* o >nico servidor de cat+lo,o ,lo!al #ue ( criado ( o "rimeiro controlador de domnio no domnio rai1 da loresta' O cat+lo,o ,lo!al no cont(m todos os atri!utos de cada o!)eto' /m ve1 disso* ele mant(m o su!con)unto de atri!utos #ue "rovavelmente sero os mais >teis em "es#uisas entre domnios' /sses atri!utos "odem incluir !irstname* dis#la3name e location' ?+ diversas ra14es "elas #uais voc5 "ode e$ecutar uma "es#uisa em um cat+lo,o ,lo!al* em ve1 de em um controlador de domnio #ue no ( um cat+lo,o ,lo!al' ;or e$em"lo* #uando um servidor /$c-an,e rece!e um email* ele "recisa "rocurar a conta do destinat+rio "ara "oder decidir como encamin-ar a mensa,em' Ao consultar automaticamente um cat+lo,o ,lo!al* o servidor /$c-an,e ( ca"a1 de locali1ar o destinat+rio em um am!iente de v+rios domnios' Euando um usu+rio a1 lo,on em sua conta do Active Directory* o controlador de domnio #ue est+ e$ecutando a autenticao devem contatar um cat+lo,o ,lo!al "ara "rocurar associa4es ao ,ru"o universal antes de o usu+rio ser autenticado' /m um >nico domnio* todos os controladores de domnio devem ser con i,urados como "ro"riet+rios do cat+lo,o ,lo!alM entretanto* em um am!iente de v+rios domnios* o mestre de in raestrutura no deve ser um servidor de cat+lo,o ,lo!al' A deciso so!re #uais controladores de domnio sero con i,urados "ara conter uma c"ia do cat+lo,o ,lo!al de"ende do tr+ e,o de re"licao e da lar,ura de !anda da rede' Muitas or,ani1a4es esto o"tando "or tornar cada controlador de domnio um servidor de cat+lo,o ,lo!al' 4ergunta: 0m controlador de domnio deveria ser um cat+lo,o ,lo!alN

O processo de logon do AD DS

Euando voc5 a1 lo,on no AD DS* seu sistema e$amina o DAS F "rocura de re,istros de recurso de servios (S:9) "ara locali1ar o controlador de domnio ade#uado mais "r$imo' !egistros S!" so re,istros #ue es"eci icam in orma4es so!re servios dis"onveis* e so re,istrados no DAS "or todos os controladores de domnio' 0sando "es#uisas de DAS* os clientes "odem locali1ar um controlador de domnio ade#uado "ara atender Fs suas solicita4es de lo,on' Se o lo,on or !em8sucedido* a GSA (autoridade de se,urana local) cria um toKen de acesso "ara o usu+rio contendo os SIDs (identi icadores de se,urana) do usu+rio e de #uais#uer ,ru"os dos #uais o usu+rio se)a mem!ro' O toKen ornece as credenciais de acesso "ara #ual#uer "rocesso iniciado "or esse usu+rio' ;or e$em"lo* de"ois de a1er lo,on no AD DS* um usu+rio e$ecuta o Microso t O ice %ord e tenta a!rir um ar#uivo' O O ice %ord usa as credenciais no toKen de acesso do usu+rio "ara veri icar o nvel das "ermiss4es do usu+rio "ara esse ar#uivo'

/bser ao: 0m SID ( um n>mero e$clusivo no ormato S838O8238 P3Q22RS2R38QTO222232U82T3ORTR2U8O22* onde: 6 Os "rimeiros #uatro !locos de letras e n>meros (S838O823) re"resenta o ti"o de ID 6 Os "r$imos tr5s !locos de n>meros (P3Q22RS2R38QTO222232U8 2T3ORTR2U) so o n>mero do !anco de dados onde a conta est+ arma1enada (normalmente o domnio do AD DS) 6 A >ltima "arte (O22) ( a :ID (ID relativa)* #ue a1 "arte do SID #ue identi ica a conta no !anco de dados de orma e$clusiva

7ada conta de usu+rio e de com"utador e cada ,ru"o #ue voc5 cria tem um SID e$clusivo' /les s di erem uns dos outros "or causa da :ID e$clusiva' 9oc5 "ode di1er #ue esse SID em "articular ( o SID da conta de administrador "or#ue termina com a :ID O22'

Sites
Os sites so usados "or um sistema cliente #uando ele "recisa contatar um controlador de domnio' /le comea "es#uisando re,istros S:9 no DAS' /m se,uida* o sistema cliente tenta conectar8se a um controlador de domnio no mesmo site antes de tentar em outro lu,ar' Os administradores "odem de inir sites no AD DS' Aormalmente* os sites se alin-am Fs "artes da rede #ue t5m conectividade e lar,ura de !anda ade#uadas' ;or e$em"lo* se uma ilial estiver conectada ao data center "rinci"al "or um linK de %AA no con i+vel* ( mel-or de inir o data center e a ilial como sites se"arados no AD DS' Os re,istros S:9 so re,istrados no DAS "elo servio Go,on de :ede #ue ( e$ecutado em cada controlador de domnio' Se os re,istros S:9 no orem inseridos no DAS corretamente* voc5 "oder+ acionar o controlador de domnio "ara cancelar esses re,istros reiniciando o servio Go,on de :ede nesse controlador de domnio' /sse "rocesso cancela a"enas os re,istros S:9M se voc5 dese)ar cancelar as in orma4es do re,istro de -ost (A) no DAS* dever+ e$ecutar i#con!ig &registerdns a "artir de um "rom"t de comando* con orme aria "ara #ual#uer outro com"utador' /m!ora o "rocesso de lo,on a"area "ara o usu+rio como um evento >nico* ele na verdade ( com"osto de duas "artes: 6 O usu+rio ornece as credenciais* ,eralmente um nome de conta de usu+rio e uma sen-a* #ue so ento veri icadas no !anco de dados do AD DS' Se o nome da conta de usu+rio e a sen-a coincidirem com as in orma4es #ue esto arma1enadas no !anco de dados do AD DS* o usu+rio se tornar+ um usu+rio autenticado e o controlador de domnio emitir+ um @<@ "ara ele' Aesse "onto* o

usu+rio no tem acesso a nen-um recurso da rede' 6 0m "rocesso secund+rio em se,undo "lano envia o @<@ ao controlador de domnio e solicita acesso ao com"utador local' O controlador de domnio emite um t#uete de servio ao usu+rio* #ue ( ento ca"a1 de intera,ir com o com"utador local' Aesse "onto do "rocesso* o usu+rio ( autenticado no AD DS e a1 lo,on no com"utador local'

Euando um usu+rio tenta su!se#uentemente se conectar a outro com"utador na rede* o "rocesso secund+rio ( e$ecutado novamente* e o @<@ ( enviado ao controlador de domnio mais "r$imo' Euando o controlador de domnio retorna um t#uete de servio* o usu+rio "ode acessar o com"utador na rede* o #ue ,era um evento de lo,on nesse com"utador'

/bser ao: 0m com"utador includo no domnio tam!(m a1 lo,on no AD DS #uando ( iniciado D um ato #ue ,eralmente ( i,norado' 9oc5 no v5 a transao #uando o com"utador usa o nome de sua conta de com"utador e uma sen-a "ara a1er lo,on no AD DS' 0ma ve1 autenticado* o com"utador se torna um mem!ro do ,ru"o 0su+rios Autenticados' /m!ora o "rocesso de lo,on do com"utador no ten-a nen-uma con irmao visual na orma de uma <0I* -+ eventos no lo, de eventos #ue re,istram a atividade' Al(m disso* se a auditoria estiver -a!ilitada* -aver+ mais eventos visveis no Go, de Se,urana do 9isuali1ador de /ventos'

Demonstrao% &'ibindo os registros S(V no D)S

A demonstrao mostra a voc5 como e$i!ir os v+rios ti"os de re,istros S:9 #ue os controladores de domnio re,istram no DAS' /sses re,istros so cruciais "ara a o"era!ilidade do AD DS* "ois so usados "ara locali1ar controladores de domnio "ara lo,ons* altera4es de sen-a e edio de <;Os' Os re,istros S:9 tam!(m so usados "elos controladores de domnio "ara locali1ar "arceiros de re"licao'

&tapas da demonstrao &'iba os registros S(V usando o *erenciador D)S

3' 2'

A!ra a )anela do 5erenciador D2S e e$"lore os domnios DAS com su!lin-ado' /$i!a os re,istros S:9 re,istrados "elos controladores de domnio' /sses re,istros ornecem camin-os alternativos "ara #ue os clientes "ossam desco!ri8 los'

O que so mestres de opera+es

/m!ora todos os controladores de domnio se)am !asicamente i,uais* -+ al,umas tare as #ue "odem ser e$ecutadas a"enas com oco em um controlador de domnio em "articular' ;or e$em"lo* se voc5 "recisar adicionar um domnio e$tra F loresta* dever+ ser ca"a1 de se conectar ao mestre de nomeao de domnios' Os controladores de domnio #ue t5m essas un4es so: 6 Mestres de o"era4es 6 Cun4es de mestre >nico 6 CSMOs (o"era4es de mestre >nico le$veis) /ssas un4es so distri!udas da se,uinte orma: 6 7ada loresta tem um mestre de es#uema e um mestre de nomeao de domnios 6 7ada domnio do AD DS tem um mestre :ID* um mestre de in raestrutura e um emulador ;D7 (controlador de domnio "rim+rio)

,estres de opera+es de floresta

A se,uir esto as un4es de mestre >nico encontradas em uma loresta: 6 #estre de nomea$o de domnios' /sse ( o controlador de domnio #ue deve ser contatado #uando voc5 adiciona ou remove um domnio* ou #uando voc5 a1 altera4es em nomes de domnios' 6 #estre de esquema' /sse ( o controlador de domnio onde so eitas todas as altera4es de es#uema' ;ara a1er altera4es* voc5 normalmente aria lo,on no mestre de es#uema como um mem!ro dos ,ru"os Administradores de /s#uema e Administradores de /m"resa' 0m usu+rio #ue or mem!ro desses dois ,ru"os e tiver as "ermiss4es ade#uadas tam!(m "oder+ editar o es#uema usando um scri"t'

,estres de opera+es de domnios

A se,uir esto as un4es de mestre >nico encontradas em um domnio: 6 #estre !%D' Sem"re #ue um o!)eto ( criado no AD DS* o controlador de domnio onde o o!)eto ( criado atri!ui ao o!)eto um n>mero de identi icao e$clusivo con-ecido como SID' ;ara asse,urar #ue dois controladores de domnio no atri!uam o mesmo SID a dois o!)etos di erentes* o mestre :ID aloca !locos de :IDs "ara cada controlador de domnio dentro do domnio' 6 #estre de infraestrutura' /ssa uno ( res"ons+vel "or manter re er5ncias de o!)etos entre domnios* como* "or e$em"lo* #uando um ,ru"o em um domnio cont(m um mem!ro de outro domnio' Aesse caso* o mestre de in raestrutura ( res"ons+vel "or manter a inte,ridade dessa re er5ncia' ;or e$em"lo* #uando voc5 o!serva a ,uia de se,urana de um o!)eto* o sistema "es#uisa os SIDs #ue esto listados e os tradu1 em nomes' /m uma loresta de v+rios domnios* o mestre de in raestrutura "es#uisa SIDs de outros domnios' A uno de in raestrutura no deve residir em um servidor de cat+lo,o ,lo!al' A e$ceo ( #uando voc5 se,ue as "r+ticas recomendadas e torna cada controlador de domnio um cat+lo,o ,lo!al' Aesse caso* a uno de in raestrutura ( desa!ilitada "or#ue cada controlador de domnio sa!e a res"eito de cada o!)eto da loresta'

6 #estre emulador &D ' O controlador de domnio #ue tem a uno de emulador ;D7 ( a onte de tem"o do domnio' Os controladores de domnio #ue t5m a uno de emulador ;D7 em cada domnio de uma loresta sincroni1am seu tem"o com o controlador de domnio #ue tem a uno de emulador ;D7 no domnio rai1 da loresta' 9oc5 de ine o emulador ;D7 no domnio rai1 da loresta "ara sincroni1ar com uma onte de tem"o atVmica e$terna' O emulador ;D7 ( tam!(m o controlador de domnio #ue rece!e altera4es de sen-a ur,entes' Se a sen-a de um usu+rio or alterada* as in orma4es sero enviadas imediatamente ao controlador de domnio #ue tem a uno de emulador ;D7' Isso si,ni ica #ue* se o usu+rio su!se#uentemente tentasse a1er lo,on e osse autenticado "or um controlador de domnio em um local di erente #ue ainda no tivesse rece!ido uma atuali1ao so!re a nova sen-a* o controlador de domnio do local no #ual o usu+rio tentou a1er lo,on contataria o controlador de domnio #ue tem a uno de emulador ;D7 e "rocuraria as altera4es recentes' O emulador ;D7 tam!(m ( usado na edio de <;Os' Euando um <;O #ue no se)a um <;O local ( a!erto "ara edio* a c"ia #ue ( editada ( a#uela arma1enada no emulador ;D7'

/bser ao: O cat+lo,o ,lo!al no ( uma das un4es de mestre de o"era4es'

4ergunta: ;or #ue voc5 tornaria um controlador de domnio um servidor de cat+lo,o ,lo!alN

Lio 3: Instalao de um controlador de domnio

Al,umas ve1es voc5 "recisa instalar controladores de domnio adicionais em seu sistema o"eracional %indo&s Server 2232' ;ode ser #ue os controladores de domnio e$istentes este)am so!recarre,ados e voc5 "recise de recursos adicionais' @alve1 voc5 este)a "lane)ando um novo escritrio remoto #ue re#ueira a im"lantao

de um ou mais controladores de domnio' 9oc5 "ode estar montando um la!oratrio de teste ou um site de !acKu"' O m(todo de instalao #ue voc5 usa varia con orme as circunst.ncias' /sta lio e$amina v+rias maneiras de instalar controladores de domnio adicionais' /la tam!(m demonstra o "rocesso de uso do <erenciador do Servidor "ara instalar o AD DS em um com"utador local e em um servidor remoto' /la tam!(m discute a instalao do AD DS em uma instalao Server 7ore* al(m da instalao do AD DS em um com"utador #ue usa um instant.neo do !anco de dados do AD DS #ue ( arma1enado em mdia removvel' Cinalmente* ela e$amina o "rocesso de atuali1ao de um controlador de domnio de um sistema o"eracional %indo&s anterior "ara o %indo&s Server 2232'

Objetivos da lio
Ao concluir esta lio* voc5 ser+ ca"a1 de: 6 /$"licar como instalar um controlador de domnio usando a <0I' 6 /$"licar como instalar um controlador de domnio em uma instalao Server 7ore do %indo&s Server 2232' 6 /$"licar como atuali1ar um controlador de domnio usando Instalar da Mdia' 6 /$"licar como instalar um controlador de domnio usando Instalar da Mdia'

-nstalando um controlador de domnio do *erenciador do Servidor

Antes do %indo&s Server 2232* era uma "r+tica comum usar a erramenta dc"romo'e$e "ara instalar controladores de domnio' Se voc5 tentar e$ecutar dc"romo'e$e em um servidor %indo&s Server 2232* rece!er+ a se,uinte mensa,em de erro: WO Assistente de Instalao dos Servios de Domnio do Active Directory oi realocado no <erenciador do Servidor' ;ara o!ter mais in orma4es* consulte %tt#:&&go'microso!t'com&!(lin)&*Lin)Id+22,621'7

/bser ao: A erramenta dc"romo'e$e ( uma erramenta #ue voc5 e$ecuta em um servidor "ara torn+8lo um controlador de domnio do AD DS' At( o %indo&s Server 2232* a erramenta dc"romo'e$e era o m(todo "re erencial "ara instalar o AD DS* e normalmente era e$ecutada em modo de <0I' Ao %indo&s Server 2232* essa erramenta oi su!stituda "elo <erenciador do Servidor' A dc"romo'e$e ainda est+ dis"onvel* mas s "ode ser usada "ara instala4es autVnomas da inter ace de lin-a de comando'

Ao e$ecutar o <erenciador do Servidor* voc5 "ode escol-er se a o"erao ( e$ecutada no com"utador local* em um com"utador remoto ou "or mem!ros de um "ool de servidores' /m se,uida* voc5 adiciona a uno AD DS' Ao t(rmino do "rocesso de instalao inicial* os !in+rios do AD DS so instalados* mas o AD DS ainda no est+ con i,urado no servidor' 0ma mensa,em nesse sentido ( e$i!ida no <erenciador do Servidor' 9oc5 "ode selecionar o linK "ara 4romo er este ser idor a um controlador de domnio e* em se,uida* o Assistente de 7on i,urao dos Servios de Domnio do Active Directory ( e$ecutado' 9oc5 "oder+ ento ornecer as in orma4es listadas na ta!ela a se,uir so!re a estrutura "ro"osta'

In!orma"es necess8rias
Adicionar um controlador de domnio a um domnio e$istente Adicionar um novo controlador de domnio a uma loresta e$istente Adicionar uma nova loresta /s"eci icar as in orma4es de domnio "ara esta o"erao Cornecer as credenciais "ara e$ecutar esta o"erao

Descrio
/scol-a se dese)a adicionar um controlador de domnio e$tra a um domnio' 7rie um novo domnio na loresta'

7rie uma nova loresta' Cornea in orma4es so!re o domnio e$istente ao #ual o novo controlador de domnio se conectar+' Insira o nome de uma conta de usu+rio #ue ten-a os direitos "ara e$ecutar esta o"erao'

Al,umas in orma4es adicionais #ue voc5 "recisa ter antes de e$ecutar a "romoo de controlador de domnio so listadas na ta!ela a se,uir'

In!orma"es necess8rias
Aome DAS "ara o domnio do AD DS Aome AetLIOS "ara o domnio do AD DS Se a nova loresta "recisa dar su"orte a controladores de domnio #ue e$ecutam vers4es anteriores de sistemas o"eracionais %indo&s (a eta a escol-a do nvel uncional) Se o controlador de domnio tam!(m ser+ um servidor DAS Gocal "ara arma1enar os ar#uivos de !anco de dados* "or e$em"lo* A@DS'DI@* ed!'lo, ou ed!'c-K'

Descrio
;or e$em"lo* adatum'com ;or e$em"lo* adatum ;or e$em"lo* se voc5 estiver considerando im"lantar controladores de domnio do %indo&s Server 222R :2* dever+ selecionar o domnio %indo&s Server 222R :2 e o nvel uncional da loresta' Seu DAS deve estar uncionando !em "ara dar su"orte ao AD DS' ;or "adro* esses ar#uivos sero arma1enados em 7:X%indo&sXA@DS'

O Assistente de 7on i,urao dos Servios de Domnio do Active Directory continua "or v+rias "+,inas di erentes* onde voc5 "oder+ inserir "r(8re#uisitos como o nome de domnio AetLIOS* a con i,urao DAS* se o controlador de domnio dever+ ser um servidor de cat+lo,o ,lo!al e a sen-a do Modo de :estaurao dos Servios de Diretrio' Cinalmente* voc5 deve reiniciar "ara concluir a instalao'

/bser ao: Se voc5 "recisar restaurar o !anco de dados do AD DS de um !acKu"* reinicie o controlador de domnio no Modo de :estaurao dos Servios de Diretrio' Euando o controlador de domnio ( iniciado* ele no est+ e$ecutando os servios do AD DSM em ve1 disso* est+ sendo e$ecutado como um servidor mem!ro do domnio' ;ara a1er lo,on nesse servidor na aus5ncia do AD DS* entre usando uma sen-a do Modo de :ecu"erao dos Servios de Diretrio'

-nstalando um controlador de domnio em uma instalao Server Core do .indo/s Server 0120

7on i,urar um servidor do %indo&s Server 2232 #ue est+ e$ecutando o Server 7ore como um controlador de domnio ( mais di cil "or#ue voc5 no "ode e$ecutar o Assistente de 7on i,urao dos Servios de Domnio do Active Directory no servidor' ;ara instalar os !in+rios do AD DS no servidor* voc5 "ode usar o <erenciador do Servidor "ara se conectar remotamente ao servidor Server 7ore' 9oc5 tam!(m "ode usar o comando do %indo&s ;o&erS-ell Install9:indo(s!eature 9name AD9 Domain9Ser ices "ara instalar os !in+rios' De"ois de instalar os !in+rios do AD DS* voc5 "oder+ concluir a instalao e a con i,urao de uma destas #uatro maneiras: 6 Ao <erenciador do Servidor* cli#ue no cone de noti icao "ara concluir a con i,urao "s8im"lantao' Isso inicia a con i,urao e a instalao do controlador de domnio'

6 /$ecute o comando do %indo&s ;o&erS-ell Install9ADDSDomain$ontroller ;

domainname <Adatum'com7* com outros ar,umentos con orme necess+rio' 6 7rie um ar#uivo de res"osta e e$ecute dc#romo &unattend:=D:>ans(er!ile't1t= em um "rom"t de comando* onde WD:Xans&er ile't$tY ( o camin-o do ar#uivo de res"osta'

/$ecute dc#romo &unattend em um "rom"t de comando com as o"4es a"ro"riadas* "or e$em"lo:

dcpromo /unattend /InstallDns:yes /confirmglobal catalog:yes /replicaOrNewDomain:replica /replicadomaindnsname:"mynewdomain.com" /databasePath:"c:\ntds" /logPath:"c:\ntdslogs" /sys olpath:"c:\sys ol" /safe!ode"dminPassword:Pa##w$rd /rebootOn%ompletion:yes

Atuali3ando um controlador de domnio

9oc5 "ode atuali1ar de dois modos "ara um controlador de domnio do %indo&s Server 2232' 9oc5 "ode atuali1ar o sistema o"eracional em controladores de domnio e$istentes #ue este)am e$ecutando o %indo&s Server 222R ou o %indo&s Server 222R :2' 7omo alternativa* voc5 "ode introdu1ir servidores do %indo&s Server 2232 como controladores de domnio em um domnio #ue cont(m controladores #ue e$ecutam vers4es anteriores do %indo&s Server' Dos dois* o se,undo ( o m(todo "re erencial "or#ue* ao terminar* voc5 ter+ uma instalao lim"a no servidor do

sistema o"eracional %indo&s Server 2232 e do !anco de dados do AD DS'

Atuali3ao para o .indo/s Server 0120

;ara atuali1ar um domnio do AD DS #ue est+ sendo e$ecutado em um nvel uncional do %indo&s Server mais anti,o "ara um domnio do AD DS e$ecutado no nvel uncional do %indo&s Server 2232* voc5 deve "rimeiro atuali1ar todos os controladores de domnio "ara o sistema o"eracional %indo&s Server 2232' ;ara isso* atuali1e todos os controladores de domnio e$istentes "ara o %indo&s Server 2232* ou introdu1a novos controladores de domnio #ue e$ecutem o %indo&s Server 2232 e* em se,uida* desative os controladores de domnio e$istentes' ;ara e$ecutar uma atuali1ao in8loco de um com"utador #ue tem a uno AD DS instalada* voc5 deve usar "rimeiro os comandos de lin-a de comando Ad#re#'e1e &!orest#re# e Ad#re#'e1e &domain#re# "ara "re"arar a loresta e o domnio' 0ma atuali1ao de sistema o"eracional in8loco no e$ecuta a "re"arao autom+tica de es#uema e domnio' O Ad"re"'e$e est+ includo na mdia de instalao na "asta XSu""ortXAd"re"' Ao -+ nen-uma eta"a de con i,urao adicional a"s esse "onto* e voc5 "ode continuar a e$ecutar a atuali1ao do sistema o"eracional %indo&s Server 2232' Euando voc5 "romover um servidor do %indo&s Server 2232 "ara ser um controlador de domnio em um domnio e$istente* e se voc5 estiver conectado como um mem!ro dos ,ru"os Administradores de /s#uema e Administradores de /m"resa* o es#uema AD DS ser+ atuali1ado automaticamente "ara o %indo&s Server 2232' Aesse cen+rio* voc5 no "recisa e$ecutar os comandos do Ad"re"'e$e antes de iniciar a instalao'

-mplantao de controladores de domnio do .indo/s Server 0120

;ara atuali1ar o sistema o"eracional de um controlador de domnio do %indo&s Server 222R "ara o %indo&s Server 2232* e$ecute as se,uintes eta"as: 3' 2' Insira o disco de instalao do %indo&s Server 2232 e e$ecute Setu#' A"s a "+,ina de seleo de idioma* cli#ue em Instalar agora'

Q'

A"s a )anela de seleo de sistema o"eracional e a "+,ina de aceitao da licena* na )anela Eue ti"o de instalao voc5 #uerN* cli#ue em Atuali?ao: Instalar o :indo(s e manter ar@ui osA con!igura"es e a#licati os'

/bser ao: 7om esse ti"o de atuali1ao* no -+ nen-uma necessidade de "reservar as con i,ura4es dos usu+rios e reinstalar a"licativosM tudo ( atuali1ado no local' Gem!re8se de veri icar a com"ati!ilidade de -ard&are e so t&are antes de e$ecutar uma atuali1ao'

;ara introdu1ir uma instalao lim"a do %indo&s Server 2232 como um controlador de domnio* e$ecute as se,uintes eta"as: 3' Im"lante e con i,ure uma nova instalao do %indo&s Server 2232 e inclua8a no domnio' 2' ;romova o novo servidor "ara ser um controlador de domnio usando o <erenciador do Servidor 2232 ou um dos outros m(todos descritos anteriormente'

/bser ao: 9oc5 "ode atuali1ar diretamente do %indo&s Server 222R e do %indo&s Server 222R :2 "ara o %indo&s Server 2232'

-nstalao de um controlador de domnio usando -nstalar da ,dia

Se voc5 tiver uma rede intermedi+ria #ue se)a lenta* no con i+vel ou dis"endiosa* "oder+ ac-ar necess+rio adicionar outro controlador de domnio em um local remoto ou uma ilial' Aesse cen+rio* ,eralmente ( mel-or im"lantar o AD DS em um servidor usando o m(todo %nstalar da #dia (ICM)' ;or e$em"lo* se voc5 se conectar a um servidor em um escritrio remoto e usar o <erenciador do Servidor "ara instalar o !anco de dados do AD DS* "recisar+ co"iar o !anco de dados do AD DS inteiro e a "asta SIS9OG "ara o novo controlador de domnio' /sse "rocesso deve ocorrer em uma cone$o %AA "otencialmente no con i+vel' 7omo alternativa* e "ara redu1ir si,ni icativamente a #uantidade de tr+ e,o co"iada em um linK %AA* voc5 "ode a1er um !acKu" do AD DS usando a erramenta Atdsutil' Euando voc5 e$ecutar o <erenciador do Servidor "ara instalar o AD DS* "oder+ selecionar a o"o "ara Instalar da Bdia' A maior "arte da c"ia ( eita localmente (talve1 de uma unidade 0SL)* e o linK %AA ( usado somente "ara tr+ e,o de se,urana e "ara asse,urar #ue o novo controlador de domnio rece!a #uais#uer altera4es eitas de"ois #ue voc5 criar o !acKu" de ICM' ;ara instalar um controlador de domnio usando ICM* nave,ue at( um controlador de domnio #ue no se)a um :OD7' 0se a erramenta Atdsutil "ara criar um instant.neo do !anco de dados do AD DS e de"ois co"ie o instant.neo no servidor #ue ser+ "romovido a controlador de domnio' 0se o <erenciador do Servidor "ara "romover o servidor a controlador de domnio selecionando a o"o Instalar da Bdia e* em se,uida* ornecendo o camin-o local do diretrio ICM #ue voc5 criou anteriormente' O "rocedimento com"leto ( o se,uinte:

3'

Ao controlador de domnio com"leto* em um "rom"t de comando administrativo* di,ite os se,uintes comandos (onde '(%)# ( o diretrio de destino #ue conter+ o instant.neo do !anco de dados do AD DS) e "ressione /nter de"ois de cada lin-a:
Ntdsutil acti ate instance ntds ifm create &'&(O) full %:\I*!

2'

Ao servidor #ue voc5 est+ "romovendo a controlador de domnio* e$ecute as se,uintes eta"as: a' !' c' 0se o <erenciador do Servidor "ara adicionar a uno AD DS' A,uarde en#uanto os !in+rios do AD DS so instalados' Ao <erenciador do Servidor* cli#ue no cone de noti icao "ara concluir a con i,urao "s8im"lantao' O Assistente de 7on i,urao dos Servios de Domnio do Active Directory ( e$ecutado' d' Ao momento a"ro"riado durante o assistente* selecione a o"o "ara instalar de ICM e ornea o camin-o local do diretrio de instant.neo'

O AD DS a1 ento a instalao a "artir do instant.neo' Euando o controlador de domnio ( reiniciado* ele entra em contato outros controladores no domnio e atuali1a o AD DS com as altera4es eitas desde #ue o instant.neo oi criado'

Leitura adicional: ;ara o!ter mais in orma4es so!re as eta"as necess+rias "ara instalar o AD DS* consulte Instalar os Servios de Domnio do Active Directory (nvel 322) em %tt#:&&go'microso!t'com&!(lin)&*Lin)ID+2CC.36'

4ergunta: Eual ( a ra1o "ara es"eci icar a sen-a do Modo de :estaurao dos Servios de DiretrioN

La oratrio: Instalao de controladores de domnio

Cen$rio
A A' Datum 7or"oration ( uma em"resa ,lo!al de en,en-aria e manu atura com sede em Gondres* In,laterra' 0m escritrio de @I e um data center esto locali1ados em Gondres "ara dar su"orte a Gondres e a outros locais' :ecentemente* a A' Datum im"lantou uma in raestrutura do %indo&s Server 2232 com clientes %indo&s R' Seu ,erente "ediu a voc5 "ara instalar um novo controlador de domnio no data center "ara mel-orar o desem"en-o de lo,on' /le tam!(m "ediu "ara voc5 criar um novo controlador de domnio "ara uma ilial usando o m(todo ICM'

Objetivos
De"ois de concluir este la!oratrio* voc5 ser+ ca"a1 de: 6 Instalar um controlador de domnio' 6 Instalar um controlador de domnio usando ICM'

Configurao do laboratrio
@em"o "revisto: PO minutos

M+#uinas virtuais

2PP32L8GOA8D73 (iniciar "rimeiro) 2PP32L8GOA8S9:3 2PP32L8GOA8:@: 2PP32L8GOA8S9:2

Aome de usu+rio Sen-a

ADA@0MXAdministrador ;aZZ&2rd

Aeste la!oratrio* voc5 usar+ o am!iente de m+#uina virtual dis"onvel' Antes de iniciar o la!oratrio* ( "reciso concluir as se,uintes eta"as:

3'

Ao com"utador -ost* cli#ue em Iniciar* a"onte "ara Derramentas Administrati as e cli#ue em 5erenciador do E3#er9V'

2'

Ao <erenciador do ?y"er89* cli#ue em 2--1,F9L/29D$1 e* no "ainel A4es* cli#ue em Iniciar'

Q'

Ao "ainel A4es* cli#ue em $onectar' /s"ere at( #ue a m+#uina virtual se)a iniciada'

P'

/ntre usando as se,uintes credenciais: o o o Aome de usu+rio: Administrador Sen-a: 4aGG(,rd Domnio: ADAHIB

O'

:e"ita as eta"as de 3 a Q "ara 2--1,F9L/29SVR1* 2--1,F9L/29RHR e 2--1,F9L/29SVR2'

&'erccio 2% -nstalao de um controlador de domnio

Cenrio 0su+rios t5m e$"erimentado lo,ons lentos em Gondres durante as -oras de uso m+$imo' A e#ui"e de servidor determinou #ue os controladores de domnio icam so!recarre,ados #uando muitos usu+rios esto autenticando simultaneamente' ;ara mel-orar o desem"en-o de lo,on* voc5 est+ adicionando um novo controlador de domnio no data center de Gondres' As "rinci"ais tare as deste e$erccio so: 3' Adicionar uma uno AD DS (Servios de Domnio do Active Directory) a um servidor mem!ro 2' Q' 7on i,urar um servidor como controlador de domnio 7on i,urar um servidor como um servidor de 7at+lo,o <lo!al

4arefa 2% Adicionar uma funo AD DS 5Servios de Domnio do Active Director67 a um servidor membro

3'

/m GOA8D73* no <erenciador do Servidor* adicione L/29SVR1 F lista de servidores'

2'

Adicione a uno de servidor Ser ios de Domnio Acti e Director3 a L/29 SVR1' Adicione todos os recursos necess+rios con orme solicitado'

Q'

A instalao levar+ v+rios minutos' Euando a instalao or concluda* cli#ue em Dec%ar "ara ec-ar o Assistente de Adio de Cun4es e :ecursos'

4arefa 0% Configurar um servidor como controlador de domnio

6 /m GOA8D73* use o <erenciador do Servidor "ara "romover GOA8S9:3 a um controlador de domnio e escol-a as se,uintes o"4es: o Adicione um controlador de domnio ao domnio Adatum'com e$istente' o 0se as credenciais ADAHIB>Administrador com a sen-a 4aGG(,rd' o ;ara O"4es do 7ontrolador de Domnio* instale o Sistema de 2omes de Domnio* mas remova a seleo "ara instalar o cat+lo,o ,lo!al' o A sen-a de DS:M ( 4aGG(,rd' o ;ara todas as outras o"4es* use as o"4es "adro'

4arefa 8% Configurar um servidor como um servidor de Cat$logo *lobal

3' 2'

/ntre em GOA8S9:3 como ADAHIB>Administrador com a sen-a 4aGG(,rd' 0se Ser ios e Sites do Acti e Director3 "ara tornar GOA8S9:3 um servidor de cat+lo,o ,lo!al'

Resultados: De"ois de concluir este e$erccio* voc5 ter+ e$"lorado o <erenciador do Servidor e "romovido um servidor mem!ro "ara ser um controlador de domnio'

&'erccio 0% -nstalao de um controlador de domnio usando -9,

Cenrio 9oc5 oi desi,nado "ara ,erenciar uma das novas iliais #ue esto sendo con i,uradas' 0ma cone$o de rede mais r+"ida est+ a,endada "ara ser instalada em al,umas semanas' At( l+* a conectividade de rede ( muito lenta' Coi determinado #ue a ilial re#uer um controlador de domnio "ara dar su"orte a lo,ons locais' ;ara evitar "ro!lemas com a cone$o de rede lenta* voc5 est+ usando o m(todo ICM "ara instalar o controlador de domnio na ilial' As "rinci"ais tare as deste e$erccio so: 3' 2' Q' 0se a erramenta Atdsutil "ara ,erar ICM Adicionar a uno AD DS ao servidor mem!ro 0sar ICM "ara con i,urar um servidor mem!ro como um novo controlador de domnio

4arefa 2% !se a ferramenta )tdsutil para gerar -9,

3'

/m GOA8D73* a!ra uma inter ace de lin-a de comando administrativa e use 2tdsutil "ara criar um !acKu" ICM do !anco de dados do AD DS e da "asta SIS9OG' Os comandos "ara criar o !acKu" so os se,uintes:

Ntdsutil

"cti ate instance ntds Ifm %reate sys ol full c:\ifm

4arefa 0% Adicionar a funo AD DS ao servidor membro

3'

Alterne "ara GOA8S9:2 e entre como ADAHIB>Administrador com a sen-a 4aGG(,rd'

2'

A!ra um "rom"t de comando e ma"eie a letra de unidade J: "ara >>L/29 D$1>$G>IDB'

Q'

0se o <erenciador do Servidor "ara instalar a uno de servidor AD DS em GOA8S9:2'

4arefa 8% !sar -9, para configurar um servidor membro como um novo controlador de domnio

3'

/m GOA8S9:2* a!ra um "rom"t de comando e co"ie o !acKu" ICM de J: "ara $:>i!m'

2'

/m GOA8S9:2* use o <erenciador do Servidor com as o"4es a se,uir "ara e$ecutar a con i,urao "s8im"lantao do AD DS: o o o o Adicione um controlador de domnio ao domnio Adatum'com e$istente' 0se ADAHIB>administrador com a sen-a 4aGG(,rd "ara as credenciais' 0se 4aGG(,rd "ara a sen-a do DS:M' 0se a mdia ICM "ara con i,urar e instalar o AD DS' 0se o local $:>IDB "ara a mdia ICM' o Aceite todos os outros "adr4es'

Q'

:einicie L/29SVR2 "ara concluir a instalao do AD DS'

Resultados: De"ois de concluir este e$erccio* voc5 ter+ instalado um controlador de domnio adicional "ara a ilial usando ICM'

:ara se preparar para o pr'imo mdulo

Euando tiver concludo o la!oratrio* retorne as m+#uinas virtuais "ara o estado inicial' ;ara a1er isso* e$ecute estas eta"as:

3' 2'

Ao com"utador -ost* inicie o 5erenciador do E3#er9V' Aa lista M+#uinas 9irtuais* cli#ue com o !oto direito do mouse em 2--1,F9 L/29D$1 e cli#ue em Re erter'

Q' P'

Aa cai$a de di+lo,o Re erter B8@uina Virtual* cli#ue em Re erter' :e"ita as eta"as 2 e Q "ara 2--1,F9L/29SVR1* 2--1,F9L/29RHR e 2--1,F9 L/29SVR2'

!e"iso e in#orma$es com%lementares do mdulo

:erguntas de reviso
4ergunta: Euais so as duas "rinci"ais inalidades das 0OsN

4ergunta: ;or #ue voc5 "recisaria im"lantar uma +rvore adicional na loresta do AD DSN 4ergunta: Eual m(todo de im"lantao voc5 usaria se "recisasse instalar um controlador de domnio adicional em um local remoto com uma cone$o %AA limitadaN 4ergunta: Se voc5 "recisasse "romover uma instalao Server 7ore do %indo&s Server 2232 "ara ser um controlador de domnio* #ue erramenta ou erramentas voc5 "oderia usarN