O que Active Directory, topologia fsica e lgic...

https://technet.microsoft.com/pt-br/library/jj20...

O que Active Directory, topologia fsica e lgica?

Parte1
Por Marinho Rover
Junho 2012

Introduo
Em um encontro de amigos, algum perguntou: Voc conhece Active Directory? A resposta foi rpida. Sim eu uso o ADUC Active Directory
Users and Computers para gerenciar os objetos.
Aps pensar um pouco nesta resposta, desenvolvi este artigo.
Pretendo com isto discutirmos o que Active Directory, quais suas divises fsicas e lgicas, literalmente desmistificar todas as opes.
Logo, se voc j trabalha com o Active Directory, Exchange, Lync ou qualquer outra ferramenta dependente do AD, invista em ler estes
artigos, este artigo foi desenvolvido para voc que tem dvidas sobre Active Directory! Pensamos em desenvolver um material que pudesse
ser apreciado do mais iniciante ao mais avanado em Active Directory, colocamos ou pelo menos tentamos, esboar em conceitos bem
simples a topologia lgica e fsica do Active Directory.
Nesta srie de artigos abordaremos os seguintes tpicos:
AD, O que Active Directory, Topologia Fsica e Lgica Parte1
AD, O que Active Directory, ADDS, ADCS, ADFS, ADLDS, ADRMS Parte2
AD, O que Active Directory, GC, FSMO e Virtualizao Parte3
Esperamos que este material possa ser utilizado para pesquisa e para estudo dos exames da Microsoft e tambm para o dia a dia de
trabalho. Uma boa leitura...

O que um servio de diretrio

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

O que um servio de diretrio

Por que usar o Active Directory?
Domain Controller (DC) Active Directory (AD)?
Infraestrutura do Active Directory
Estrutura Lgica do Active Directory
Objetos
Unidades Organizacionais
Domnios
rvores de Domnio
Floresta
Estrutura Fsica do Active Directory
Domain Controllers
Sites

1. O que um servio de diretrio

Um servio de diretrio pode se explicado com vrias ilustraes, mas a ilustrao que, em minha opinio, mais demonstra o verdadeiro
sentido de um servio de diretrio a figura de uma lista telefnica ou uma agenda pessoal.

Em nossa agenda podemos organizar, dias, semanas, meses e at anos, passando por pessoas, nomes, sobrenomes, datas de aniversrio,
dados importantes dentre outros.
O servio de diretrio tem exatamente o mesmo sentido, o sentido de organizar e principalmente ter um local centralizado para a busca de
informaes necessrias no dia a dia, para nossos trabalhos.
Quando criamos um novo usurio, estamos utilizando o servio de diretrio, nesta base de dados (agenda), estamos guardando, nomes,

1 of 5

14-03-2016 13:39

O que Active Directory, topologia fsica e lgic...

https://technet.microsoft.com/pt-br/library/jj20...

sobrenomes, endereos, logins, senhas, grupos, ao qual o usurio pertence dentre outras tantas opes que podemos cadastrar, tudo isto
ficar disponvel dentro de uma base de dados, esta base de dados poder ser utilizada pelos nossos servidores para vrios trabalhos.
Vamos citar trs solues de servio de diretrio:
Open Ldap para Sistemas Open Source.
EDirectory para Sistemas Novell.
Active Directory para Sistemas Microsoft e com suporte para todos acima citados.
No mercado de hoje nossos negcios precisam ter informaes rpidas, de fcil atualizao, alta disponibilidade e principalmente muita
segurana e o Active Directory pode nos oferecer todos estes atributos e muito mais...

2 - Por que usar o Active Directory?

O Active Directory assumiu o mercado de servios de diretrio pelo seu desempenho, segurana e principalmente disponibilidade, o Active
Directory esta no mercado desde o lanamento do Windows 2000 Server, aps o seu nascimento assumiu a liderana dos servios de
diretrio, utilizando como base o LDAP e a comunicao atravs de replicao lanou vrios atributos e principalmente ferramentas para
facilitar o gerenciamento de informaes nas empresas.
Hoje quando usamos um usurio para logar no domnio de nossa empresa, estamos utilizando um servio de diretrio e por consequncia
usando o Active Directory.
Abaixo temos uma figura para demonstrar todos os recursos que o Active Directory pode utilizar como servio de diretrio de sua empresa.

3 - Domain Controller (DC) Active Directory (AD)?

Se perguntarmos a qualquer especialista ou Instrutor Microsoft (MCT), creio que esta deve ser a pergunta Top sem nenhuma chance de
segunda colocada, pensando nisto desenhei a estrutura abaixo para podermos explicar esta informao.
Bem, antes de mais nada, no a mesma coisa! Ok.
Nos tpicos anteriores comparamos o AD com uma agenda, o AD fsicamente tambm tem um banco de dados, este banco conhecido com
NTDS.dit e esta localizado na pasta %SystemRoot%\NTDS\ntds.dit em uma instalao default do AD.
Este diretrio chamado de NTDS apenas existir nos servidores que tenham a funo de Domain Controllers (DCs). Neste diretrio existiro
os arquivos relacionados abaixo:
Durante o processo de instalao do Active Directory, so criados cinco arquivos:
Ntds.dit - Arquivo de banco de dados do AD
Edb.log - Arquivo onde so armazenados todas as transaes feitas no AD.
Edb.chk - Arquivo de checkpoint controla transaes no arquivo Edb.log j foram comitadas no arquivo Ntds.dit.
Res1.log - Arquivo de reserva assegura que alteraes sejam gravadas na base(Ntds.dit) no caso de falta de espao em disco.
Res2.log - Arquivo de reserva assegura que alteraes sejam gravadas na base(Ntds.dit) no caso de falta de espao em disco.
Bem, agora sabemos que a estrutura lgica do AD gravada em uma base de dados fsica chamada de Ntds.dit, porm DC AD?
No claro que no, no desenho abaixo demonstramos claramente a diferena entre AD (estrutura lgica do AD) e DC (Servidor que contm
uma cpia do NTDS.dit do AD).
No desenho abaixo imaginemos uma construo, estamos construindo um grande salo de festas. Imaginem que nosso teto (retngulo azul)
nosso Active Directory, porm precisamos apoiar este teto em pilares (cilindros vermelhos), caso contrrio nosso teto ir desabar, certo?

isto mesmo, o Active Directory a estrutura lgica (teto), e os DCs so servidores fisicos (pilares), por isto a necessidade de termos
muitos DCs espalhados. Assim nosso AD mesmo na falha de um DC (pilar) ou vrios DCs ainda conseguir responder as solicitaes e

2 of 5

14-03-2016 13:39

O que Active Directory, topologia fsica e lgic...

https://technet.microsoft.com/pt-br/library/jj20...

pedidos de nossa infraestrutura.

Isto s possvel pois cada servidor quando recebe a funo de Domain Controller, herda a criao do diretrio %SystemRoot%\NTDS\ e
toda a estrutura comentada acima. Todos os dados criados originalmente so replicados para o novo DC criado.
Assim em um AD (domnio) com trs DCs como na figura abaixo, todos os Dcs esto atualizados com todos os dados igualmente, isto
recebe o nome de replicao do Active Directory.

4 - Infraestrutura de Active Directory

O Servio de Diretrio do AD divido em duas estruturas a estrutura lgica e a estrutura fsica, o conhecimento pleno sobre a estrutura do
AD muito importante, principalmente quando maior for sua estrutura. Nestas explicaes informaremos algumas ferramentas que podem
auxiliar na verificao deste processo, vale lembrar que estamos focando as explicaes no Active Directory do Windows Server 2008 R2,
porm estas explicaes podero ser utilizadas em qualquer uma das verses de Active Directory, nos prximos artigos falaremos das
evolues para as futuras verses.

5 - Estrutura Lgica do Active Directory

Quando falamos de estrutura lgica do Active Directory, muitos termos so falados, a estrutura lgica do AD consiste em Objetos, Unidades
Organizacionais, Domnio, rvores de Domnio e Floresta.
Utilizamos a estrutura lgica do AD para podermos gerenciar os objetos dentro da organizao.

6 Objetos
So os componentes mais bsicos da estrutura lgica e representam, usurios, computadores e impressoras. Outros objetos podem ser
criados porm esta uma discusso posterior.

7 Unidades Organizacionais
Uma OU um objeto de container, utilizado para organizar outros objetos. A organizao pode ser feita de vrias formas.
Geogrfica Onde as OUs representam Estadas ou Cidades de sua estrutura fsica Exemplo: OU SP - OU RJ
Setorial Onde as OUs representam setores da estrutura fsica da empresa, por unidade de negcio. Exemplo: OU Administrativo
OU Produo
Departamental Onde as OUs representam setores da estrutura fsica da empresa por departamento. Exemplo: OU RH OU DP
OU Caldeira
Hbrido Modelo onde podemos interagir todos os modelos acima, na Figura abaixo temos um modelo disto.

8 Domnios
O domnio a estrutura mais importante do Active Directory e tem 2 funes principais.
Fecham um limite administrativo para objetos. Quem esta fora no entra, quem esta dentro no sai, claro que esta regra pode sofrer
alterao mediante permisses de entrada e sada, como relaes de confiana.
Gerenciam a segurana de contas e recursos dentro do Active Directory
Vale lembrar que um domnio do Active Directory compartilham:

3 of 5

14-03-2016 13:39

O que Active Directory, topologia fsica e lgic...

https://technet.microsoft.com/pt-br/library/jj20...

Mesmo banco de dados Ntds.dit com cada Domain Controller dentro deste domnio.
Diretivas de segurana.
Relaes de Confiana com outros domnios.
Podemos representar o domnio do Active Directory pela forma geomtrica de um tringulo.

9 rvores de Domnio
Quando precisamos criar um segundo domnio, na maioria das vezes por necessidades no processo de segurana temos o que chamamos de
domnios filhos.
Quando temos um domnio pai com seus domnios filhos, chamamos de rvore de domnio, pois dividem o mesmo sufixo DNS, porm em
distribuio hierrquica. Abaixo colocamos um exemplo para ilustrar nossa explicao.
Criamos o domnio livemotion.local (Figura esquerda abaixo), para podermos configurar diretivas de segurana, em um dado momento,
precisamos criar um domnio novo, que tenha acesso aos recursos do domnio livemotion.local, porm tenha suas prprias necessidades de
segurana (Figura direita abaixo).

Conforme as figuras acima, podemos ver que quando temos um domnio filho, imediatamente estamos vinculados a um domnio pai, e esta
diviso hierrquica de nome chamamos de rvore de Domnios.

10 Floresta
O primeiro domnio de uma Floresta, chamamos de Root Domain, a Floresta receber o nome deste domnio, a floresta pode ser feita de um
nico domnio com tambm estar dividida com vrias rvores dentro da mesma floresta.

11 - Estrutura Fsica do Active Directory

Quando falamos de estrutura fsica do Active Directory, alguns termos so utilizados, a estrutura fsica do AD consiste em Domain
Controllers e Sites.
A estrutura fsica do AD totalmente independente da estrutura lgica do AD. A estrutura fsica responsvel por timizar o trfego de rede
e manter segurana em locais fsicos distintos.

12 Domain Controllers
Bem, neste momento precisamos aumentar o nvel de nossa discusso sobre AD, no incio deste artigo, focamos em explicar o
funcionamento do AD, agora iremos mostrar como o Active Directory funciona nos DCs.
Um Domain Controller ou DC tem a funo de executar o Active Directory e tambm armazenar a base do Active Directory bem como
Replicar esta base alteraes com outros DCs.
Quando falamos de rvores de Domnio ou at mesmo Floresta, vale lembrar que um DC pode apenas suportar um nico domnio.
Para criar uma disponibilidade do Active Directory podemos ter mais de um DC, sendo assim num exemplo de 2 Dcs temos a base do Active
Directory sendo replicada de forma perfeita entre os dois Dcs.
A base do Active Directory o NTDS.dit divido em parties, conforme a figura demonstrada abaixo:

4 of 5

14-03-2016 13:39

O que Active Directory, topologia fsica e lgic...

https://technet.microsoft.com/pt-br/library/jj20...

Estas parties formam o arquivo NTDS.dit, este replicado entre cada um dos DCs de seu domnio, consequentemente o arquivo
replicado para cada DC, tendo todos os Dcs sincronizados logo teremos um Active Directory saudvel e que pode suprir a falha de um DC,
sem afetar o servio de diretrio do domnio.

13 - Sites
Os Sites servem para organizar a latncia de replicao de Dcs dentro do mesmo site, bem como fazer com que os DCs daquele
determinado Site no utilizem o link de replicao de forma desnecessria.
Atravs da organizao por sites do Active Directory, podemos limitar um deternimano grupo de computadores a estabelecer contato com
sua Matriz, ou vice-versa apenas nos horrios de menor fluxo, este conceito chamamos de agendamento de replicao.
Enfim os sites do AD so utilizados para fazer com que um determinado Range IP, mesmo que separados por distncias fsicas, possam
propiciar acesso e resposta aos servios de diretrio e infraestrutura de forma organizada. Porm para que os dados dos DCs sejam
replicados continuamente ou em horrios pr-agendados, precisamos configurar os Sites e as replicaes, com isto mantemos todo nosso
parque atualizado, mesmo trabalhando em grandes distncias.
A replicao do Active Directory entre sites pode ser utilizando IP ou SMTP (para redes lentas).

Concluso
Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem dvidas sobre o Active Directory, no
Windows Server muitas mudanas foram efetuadas, mas o conceito absorvido neste artigo poder ser levado para novas plataformas de
Active Directory.
Revise cada tpico deste artigo, de topologia fsica a topologia lgica, este artigo foi escrito para voc! Aguarde os outros artigos da srie.
| Home | Artigos Tcnicos | Comunidade
2016 Microsoft

5 of 5

14-03-2016 13:39