Este post faz parte da série de estudos para o exame 70-410 da certificação Microsoft MCSA do Windows Server 2012 R2.

Hoje continuamos o estudo sobre o Active Directory. Esse é o post 2. Para acessar a primeira parte clique aqui.

Neste post veremos o planejamento da estrutura do domínio e a instalação da função Serviços de Diretório do AD.

No próximo post iniciaremos vendo a instalação do AD no Server Core.

Vamos ao conteúdo

Entendendo a Funcionalidade de Domínio e de Floresta

O Active Directory no Windows Server 2012 R2 usa um conceito chamado funcionalidade de domínio e de floresta. O nível funcional que você escolhe durante a instalação do Active Directory determina quais recursos seu domínio pode usar.

O Windows Server 2008, Windows Server 2008 R2, Windows 2012 e o Windows Server 2012 R2 possuem recursos de floresta adicionais  se comparados com o Windows Server 2003. A funcionalidade de floresta se aplica a todos os domínios dentro de uma floresta.

Sobre o Nível Funcional de Domínio

O Windows Server 2012 R2 irá suportar os seguintes níveis funcionais de domínio:

• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2

Qual nível funcional você usa depende dos controladores de domínio que você tem instalados na sua rede. Este é um fato importante a se lembrar. Você pode usar servidores membros com o Windows Server 2003, Windows Server 2008/2008 R2 e Windows Server 2012 no nível funcional Windows Server 2012 R2 desde que todos os controladores de domínio estejam rodando o Windows Server 2012 R2.

Quando estiver decidindo qual nível funcional usar em sua organização você deve escolher o nível funcional do seu controlador de domínio mais antigo. Por exemplo, se você tem um controlador de domínio com o Windows Server 2003, o seu nível funcional deve ser Windows Server 2003. Se você escolher um nível mais alto, o controlador de domínio com o Windows Server 2003 não irá funcionar. Tenha cuidado –  uma vez que o nível funcional de floresta seja atualizado, ele não pode ser rebaixado além do Windows Server 2008.

A tabela abaixo mostra os recursos disponíveis nos níveis funcionais de domínio listados anteriormente.

Sobre a Funcionalidade de Floresta

A funcionalidade de floresta Windows Server 2012 R2 se aplica a todos os domínios em uma floresta. Todos os domínios devem ser atualizados para o Windows Server 2012 R2 antes da floresta poder ser atualizada para o Windows Server 2012 R2.

Existem cinco níveis de funcionalidade de floresta:

• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2

O Windows Server 2003, o Windows Server 2008/2008 R2 o Windows Server 2012 e o Windows Server 2012 R2 todos possuem muitos dos mesmos recursos de floresta. Alguns desses recursos estão descritos na lista abaixo:

Melhorias na Replicação do Catálogo Global  Quando um administrador adiciona um novo atributo ao catálogo global, apenas essas mudanças são replicadas para outros catálogos globais na floresta. Isso pode reduzir significativamente a quantidade de tráfego de rede gerado pela replicação.

Atributos e Classes Extintos do Esquema  Não é possível remover permanentemente classes e atributos do esquema do Active Directory. Entretanto, você pode marca-los como extintos (defunct) para que não possam ser usados. Nos recursos funcionais de floresta nos níveis Windows Server 2003 e superiores, você pode redefinir o atributo extinto do esquema para que ocupe uma nova função no esquema.

Confiança de Floresta  Previamente, administradores de sistema não possuíam uma maneira fácil de atribuir permissões em recursos em florestas diferentes. A partir do Windows Server 2003 algumas dessas dificuldades foram resolvidas com a permissão de relacionamentos de confiança entre florestas do Active Directory separadas. A confiança de floresta funciona praticamente da mesma forma que a confiança de domínio, exceto que ela se estende para todos os domínios nas duas florestas participantes. Note que todas as confianças de floresta são intransitivas.

Replicação de valores ligados  Este conceito é usado a partir do Windows Server 2003, com ele apenas o registro de usuário que foi modificado é replicado (e não o grupo inteiro). Isso pode reduzir significativamente o tráfego de rede associado com replicação.

Renomear Domínios  Embora a estrutura de domínios do Active Directory tenha sido feita para ser flexível, existiam várias limitações. Devido a fusões, aquisições, reorganizações corporativas, e outras mudanças nos negócios, você pode precisar renomear domínios. A partir do Windows Server 2003 você já pode alterar os nomes DNS e NetBIOS para qualquer domínio. Note que essa operação não é tão simples quanto apenas executar um comando rename. No lugar, existe um processo específico que você deve seguir para ter certeza que a operação será bem sucedida. Felizmente, quando você segue o procedimento apropriadamente, a Microsoft suporta a renomeação de domínio mesmo que não seja suportado por todas as aplicações.

Outros Recursos  A partir do Windows Server 2008 outros recursos são suportados:

• Algoritmos de replicação melhorados e classes auxiliares dinâmicas foram criadas para aumentar o desempenho, escalabilidade e confiabilidade.
• Serviços de Federação do Active Directory (AD FS), é responsável pelo gerenciamento de identidade federada. O gerenciamento de identidade federada é um processo de tecnologia da informação baseado em padrões que permite identificação distribuída, autenticação, e autorização através de divisas organizacionais e de plataforma. A solução do AD DS a partir do Windows Server 2003 R2 auxilia administradores a lidarem com esses desafios permitindo que organizações compartilhem a informação de segurança de um usuário de forma segura.
• Active Directory Lightweight Directory Services (AD LDS) – não possui um nome em português, se tivesse seria algo como Serviços de Diretório Peso-leve do Active Directory – foi criado para organizações que exigem suporte para aplicações habilitadas para diretórios. O AD LDS, que usa o protocolo Lightweight Directory Acess Protocol (LDAP), é um serviço de diretório que adiciona flexibilidade e ajuda organizações a evitarem custos crescentes em infraestrutura.
• Lixeira do Active Directory (nível de floresta Windows Server 2008 R2 ou mais alto) permite que administradores restaurem objetos deletados em sua totalidade enquanto o AD DS está rodando. Antes disso, se você deletasse um objeto do Active Directory, você precisava recuperá-lo a partir de um backup. Agora você pode recuperar o objeto a partir da lixeira.

Planejando a Estrutura do Domínio

Após ter verificado a configuração técnica do seu servidor para o Active Directory, é hora de verificar a configuração do Active Directory para sua organização. Já que este conteúdo será focado na instalação do primeiro domínio no seu ambiente, você realmente precisa saber apenas a informação abaixo antes da configuração inicial:

• O nome DNS do domínio
• O nome de computador ou nome NetBIOS do servidor (o qual será usado por versões anteriores do Windows para acessar recursos do servidor)
• Em qual nível de função de domínio o domínio irá operar
• Se outros servidores DNS estão disponíveis na rede
• Qual tipo e quantos servidores DNS estão disponíveis na rede

Entretanto, se você for instalar controladores de domínio adicionais n oseu ambiente ou irá fazer parte de uma estrutura do Active Directory existente, você também deveria possuir a seguinte informação:

• Se esse controlador de domínio irá fazer parte de um domínio existente, você deve saber o nome desse domínio. Você também irá precisar da senha de um membro do grupo Administradores de Empresa para esse domínio ou pedir para alguém com essas permissões criar uma conta de domínio antes da promoção.
• Você deve saber se o novo domínio irá fazer parte de uma árvore existente e, se for, o nome da árvore que irá fazer parte.
• Você deve saber o nome da floresta que esse domínio irá se conectar (se for aplicável).

Instalar o Active Directory

Instalar o Active Directory é um processo simples e fácil desde que você planeje adequadamente e tome as decisões necessárias com antecedência. Existem muitas maneiras que você pode instalar o Active Directory. Você pode instalar o Active Directory através do disco de instalação do Windows Server 2012 R2 (instalar a partir de uma mídia), usando o Gerenciador do Servidor ou usando o Windows PowerShell. Mas antes de poder realizar a instalação em si, você deve ter certeza que a sua rede está pronta para a instalação para a instalação.

Nas sessões seguintes, olharemos para os passos necessários para instalar o primeiro controlador de domínio em um ambiente.

Adprep

Quando você está adicionando um novo usuário ao Active Directory, você preenche campos como Primeiro Nome, Último Nome, e assim por diante. Esses campos são chamados atributos. O problema é que quando você vai instalar o Windows Server 2012 R2, a sua versão do Active Directory possui atributos mais novos que as versões anteriores do Active Directory. Logo,você precisa configurar sua versão atual do Active Directory para que possa aceitar a instalação do Active Directory do Windows Server 2012 R2. Essa é a razão de você usar o Adprep, a execução do Adprep é exigida para adicionar o primeiro controlador de domínio com o Windows Server 2012 R2 em um domínio ou floresta existente.

Você precisaria executar adprep /forestprep  para adicionar o primeiro controlador de domínio com o Windows Server 2012 R2 em uma floresta existente. O comando adprep /forestprep deve ser executado por um administrador que seja membro do grupo Administradores de Empresa, Administradores do Esquema, o grupo Administradores de Domínio do domínio que hospeda o mestre do esquema (schema master).

Você precisaria executar adprep /domainprep  para adicionar o primeiro controlador de domínio com o Windows Server 2012 R2 em um domínio existente. Novamente, para ser bem sucedido, você precisa ser membro do grupo Administradores de Domínio do domínio em que você está instalando o controlador de domínio com o Windows Server 2012 R2.

O comando Adprep /rodcprep deve ser executado para adicionar o primeiro RODC com o Windows Server 2012 R2 em uma floresta existente. O administrador que executar esse comando deve fazer parte do grupo Administradores de Empresa.

Um recurso que é novo no processo de instalação do Active Directory no Windows Server 2012 R2 é que, se necessário, o Adprep será executado automaticamente durante a instalação padrão dos Serviços de Diretório do Active Direcotry.

Pré-requisitos do Active Directory

Antes de Instalar o Active Directory na sua rede, você primeiro garante que sua rede e o servidor possuem os requisitos mínimos. A tabela abaixo irá mostrar os requisitos necessários para o Active Directory.

O Processo de instalação

Computadores com o Windows Server 2012 R2 são configurados como servidores membros (se forem adicionados em um domínio) ou servidores individuais (se forem parte de um grupo de trabalho). O processo de converter um servidor em um controlador de domínio é conhecido como promoção. Através do uso de um assistente simples e intuitivo no Gerenciador do Servidor, administradores de sistema podem rapidamente configurar servidores para serem controladores de domínio  após a instalação. Administradores também têm a capacidade de promover controladores de domínio usando o Windows PowerShell.

O primeiro passo na instalação do Active Directory é promover um computador Windows Server 2012 R2 em um controlador de domínio. O primeiro controlador de domínio em um ambiente serve como ponto de inicio para a floresta, árvores, domínios e as funções de mestres de operação.

O exercício abaixo mostra os passos que você precisa seguir para promover um computador Windows Server 2012 R2 existente em um controlador de domínio. Para completar os passos neste exercício, você já deve possuir um computador ou VM com o Windows Server 2012 R2 instalado e configurado. Você também precisa de um servidor DNS que suporte registros SRV. Se não existir um servidor DNS disponível o assistente de instalação do Active Directory configura um para você.

Promovendo um Controlador de Domínio

1. Instale os Serviços de Diretório do Active Directory clicando no link Adicionar Funções e Recursos na visão do painel de controle do Gerenciador do Servidor.
2. Na página Antes de Começar clique em Próximo.
3. A tela Escolher tipo de instalação será a próxima. Certifique-se de que a opção Instalação baseada em função ou recurso está selecionada e clique em Próximo.
4. Na tela Selecionar Servidor de Destino, escolha a máquina local. Clique em Próximo.
5. Na tela de seleção de funções de servidor, marque o item Serviços de Diretório do Active Directory.
6. Após marcar o item uma janela aparecerá pedindo para instalar recursos adicionais. Clique no botão Adicionar Recursos.
7. Clique em Próximo.
8. Na tela de seleção de Recursos, aceite o padrão e clique em Próximo.
   
   
9. Clique em Próximo na tela de informações.
10. Clique no botão Instalar na tela de Confirmação de Instalação.
11. A tela de Progresso de instalação irá mostrar o andamento da instalação.
12. Após a instalação estar concluída clique no botão Fechar.
13. Na janela do lado esquerdo, clique no link AD DS.
14. Clique no link Mais ao lado da mensagem Configuração necessária para os Serviços de Diretório do Active Directory.
15. Na sessão Configuração Pós-Implantação, clique no link Promover esse Servidor em um Controlador de Domínio.
16. Neste ponto, você irá configurar este controlador de domínio. Você irá instalar um novo controlador de domínio em um novo domínio em uma nova floresta. Na tela de Configuração de Implantação, escolha a opção adicionar uma nova floresta. Você deverá informar o Nome de domínio raiz. Neste exemplo eu usarei w1.com. Clique em Próximo.
17. Na tela Opções do controlador de domínio configure as seguintes opções:
    • Níveis funcionais: Windows Server 2008 R2 (para ambos)
    • Verifique que as caixas de seleção DNS e Catálogo Global estão marcadas.
    • Escolha uma senha, eu vou usar P@ssw0rd

                Então clique em Próximo

18. Na tela de DNS clique em Próximo.
19. Na tela de opções adicionais, aceite o nome NetBIOS padrão e clique em Próximo.
20. Na tela de Caminhos, aceite os locais de arquivo padrão e clique em Próximo.
21. Na tela Examinar Opções, verifique suas configurações e clique em Próximo
22. Na tela de Verificação de Pré-Requisitos, clique no botão Instalar (desde que não existam erros).
23. Após a instalação completar, a máquina será reiniciada automaticamente. Faça login como administrador.
24. Feche o Gerenciador do Servidor.
25. Abra as Ferramentas Administrativas, agora você deve perceber novos snap-ins do MMC para o Active Directory.

No próximo post continuamos…

Caso ainda não saiba aqui no blog tem um ebook com dicas para quem está se preparando para certificações Microsoft.

E tem um simulado completo para o exame 70-410.

Qualquer coisa me avise aqui pelos comentários ou lá pelo Facebook ou me mande email.

Sucesso!

Thiago

Para ver todos os materiais disponíveis para serem adquiridos aqui na WiseOne acesse essa página.

Links ->  Fanpage, Grupo