Microsoft MCSA – 70-410 – Active Directory pt4

Este post faz parte da série de estudos para o exame 70-410 da certificação Microsoft MCSA do Windows Server 2012 R2.

Hoje finalizamos o estudo sobre o Active Directory. Esse é o post 4. Para acessar a primeira parte clique aqui.

Neste post abordaremos partições de dados de aplicação.

No próximo post iniciaremos os estudos de outro tópico do exame: Configurar o Windows Server 2012 R2

Vamos ao conteúdo…

 

Criar e Configurar Partições de Dados de Aplicações

As organizações armazenam vários tipos de informações em diversos locais. Para os departamentos de TI que suportam essas informações, pode ser difícil assegurar que a informação certa está disponível quando e onde é necessária. O Windows Server 2012 R2 usa um recurso chamado partições de dados de aplicações, que permite administradores de sistema e desenvolvedores de aplicações armazenarem  informações dentro do Active Directory. A ideia atrás das partições de dados de aplicação é que uma vez que você já possui um serviço de diretório que pode replicar todos os tipos de informação, você também poderia usá-lo para registrar suas próprias informações.

Desenvolver aplicações distribuídas que podem, por exemplo, sincronizar informações por toda uma organização não é uma tarefa trivial. Você precisa achar uma maneira de transferir dados entre sites remotos (alguns dos quais estão localizados do outro lado do mundo) e você tem que garantir que os dados são replicados apropriadamente. Armazenando informações de aplicações  no Active Directory, você pode aproveitar as vantagens do seu mecanismo de armazenamento e topologia de replicação. Informações relacionadas com aplicações armazenadas em controladores de domínio se beneficiam com recursos de tolerância a falhas e disponibilidade.

Considere o seguinte simples exemplo para entender como isso pode funcionar. Imagine que sua organização desenvolveu uma aplicação customizada de Controle de Estoque. A empresa precisa tornar a informação que é armazenada por essa aplicação disponível para todas as filiais e usuários localizados por todo o mundo. Entretanto, a meta é realizar isso com o menor esforço administrativo da equipe de TI. Assumindo que o Active Directory já foi implantado em toda a organização, os desenvolvedores podem criar suporte dentro da aplicação para armazenar dados dentro do Active Directory. Eles podem então confiar no Active Directory para armazenar e sincronizar as informações por entre os vários sites. Quando os usuários solicitarem dados da aplicação, a aplicação pode obter os dados do controlador de domínio mais próximo que hospede uma réplica dos dados de Controle de Estoque.

Outros tipos de aplicações também podem se beneficiar muito do uso de partições de dados de aplicação. Agora que você possui um bom entendimento da natureza de partições de dados de aplicação, vamos ver como você pode criá-las e gerencia-las usando o Windows Server 2012 R2 e o Active Directory.

 

Criar Partições de Dados de Aplicação

Por padrão, depois que você cria um ambiente do Active Directory, você não terá nenhuma partição de dados de aplicação cliente. Logo, o primeiro passo para tornar essa funcionalidade disponível é criar uma nova partição de dados de aplicação. Você pode usar varias ferramentas para fazer isso:

Aplicações de Terceiros ou Ferramentas Específicas de Aplicação  Geralmente, se você está planejando instalar uma aplicação capaz de armazenar informação no banco de dados do Active Directory, você receberá algum método de administrar e configurar os dados junto com a aplicação. Por exemplo, o processo de configuração para a aplicação pode te auxiliar nos passos necessários para configurar uma nova partição de dados de aplicação e criar as estruturas necessárias para armazenar os dados.

Criar e gerenciar partições de dados de aplicação são funções avançadas do Active Directory. Certifique-se de possuir um sólido entendimento do Esquema do Active Directory, da replicação do Active Directory, do LDAP e das necessidades da sua aplicação antes de tentar  criar novas partições de dados de aplicação em um ambiente de produção. 

Interfaces de Serviços do Active Directory  O ADSI é um conjunto de objetos programáveis que podem acessados por meio de linguagens como o Visual Basic Scripting Edition (VBScript), Visual C#, Visual Basic .NET, e muitas outras tecnologias de linguagens que suportem o padrão Component Object Model (COM). Através do uso do ADSI, desenvolvedores podem criar, acessar e atualizar dados armazenados no Active Directory e em qualquer uma das partições de dados de aplicação.

A ferramenta LDP  Você pode visualizar e modificar os conteúdos do Esquema do Active Directory usando consultar baseadas no LDAP. A ferramenta LDP permite visualizar informação sobre            partições de dados de aplicação.

O Ldp.exe é uma ferramenta gráfica que permite que um administrador configure o serviço de diretório LDAP. Administradores têm a capacidade de usar a ferramenta LDP para administrar uma instância do Active Directory Lightweight Directory Services (AD LDS). Para usar a ferramenta LDP, você deve ser um administrador ou equivalente.

A figura abaixo mostra um exemplo da conexão com um controlador de domínio e da exibição de informação do Active Directory.

microsoft-mcsa-ad-LDP

Ntdsutil  O utilitário ntdsutil é o método principal usado por administradores para criar e gerenciar partições de dados de aplicação em seus controladores de domínio Windows Server 2012 R2.

 

Criar e gerenciar partições de dados de aplicação pode ser bem complexo. O sucesso de um processo como esse depende da qualidade do design da arquitetura. Este é um bom exemplo em que a equipe de TI e desenvolvedores devem cooperar para assegurar que os dados são armazenados eficientemente e que também seja replicado com eficiência.

Você pode criar uma partição de dados de aplicação em um de três possíveis locais dentro de uma floresta do Active Directory:

  • Como uma nova árvore em uma floresta do Active Directory
  • Como filha de uma partição de domínio do Active Directory
    Por exemplo, você pode criar uma partição de dados de aplicação de Contabilidade dentro do domínio finanças.empresa.com.
  • Como filha de outra partição de dados de aplicação

Este método te permite criar uma hierarquia de partições de dados de aplicação.

Como você pode esperar, você deve ser um membro dos Administradores de Empresa ou Administradores do Domínio para poder criar partições de dados de aplicação. Alternativamente, você pode receber a delegação das permissões apropriadas para criar novas partições.

Agora que você tem uma boa ideia das maneiras básicas nas quais você pode criar partições de dados de aplicação, vamos ver como as réplicas (cópias da informação de uma partição de dados de aplicação) são manuseadas.

 

Gerenciando Réplicas

Uma réplica é uma cópia de qualquer dado armazenado dentro do Active Directory. Ao contrário da informação básica que é armazenada no Active Directory, partições de aplicação não podem conter entidades de segurança. Também, nem todos os controladores de domínio automaticamente contêm  cópias dos dados armazenados em uma partição de dados de aplicação. Administradores de sistema podem definir quais controladores de domínio hospedam cópias dos dados de aplicação. Este é um recurso importante pois, se as réplicas forem usadas eficientemente, administradores podem encontrar um bom equilíbrio entre tráfego de replicação e consistência de dados. Por exemplo, suponha que três dos 30 locais da sua empresa exijam informações de contabilidade sempre atualizadas. Você pode escolher replicar os dados apenas para controladores de domínio que estejam nos locais que precisam dos dados. Limitar a replicação destes dados reduz o tráfego de rede.

Replicação é o processo pelo qual as réplicas são mantidas atualizadas. Dados de aplicação podem ser armazenados e atualizados em servidores designados da mesma forma que a informação básica do Active Directory (como usuários e grupos) é sincronizada entre os controladores de domínio. As réplicas de partição de dados de aplicação são gerenciadas usando o KCC (Knowledge Consistency Checker), que assegura que os controladores de domínio designados recebam informações de réplica atualizadas. Além disso, o KCC usa todos os sites e objetos de conexão do Active Directory que você cria para determinar o melhor método para manipular a replicação.

 

Remover Réplicas

Quando você rebaixa um controlador de domínio, esse servidor não pode mais hospedar uma partição de dados de aplicação. Se um controlador de domínio contém uma réplica de informação de uma partição de dados de aplicação, você deve remover a réplica do controlador de domínio antes de rebaixá-lo. Se um controlador de domínio for a máquina que hospeda uma réplica da informação de uma partição de dados de aplicação, então a partição de dados de aplicação inteira é removida e será perdida permanentemente. Geralmente, você quer fazer isso apenas depois de ter certeza absoluta de que sua organização não precisa mais acessar os dados armazenados na partição de dados de aplicação.

 

Usando o ntdsutil para Gerenciar Partições de Dados de Aplicação

O método primário pelo qual administradores de sistema criam e gerenciam partições de dados de aplicação é através do utilitário de linha de comando ntdsutil. Você pode executar essa ferramenta apenas digitando ntdsutil no prompt de comando. O comando ntdsutil funciona tanto de forma interativa como de forma sensível ao contexto. Ou seja, assim que você executa o utilitário, você irá ver o prompt de comando do ntdsutil. Neste prompt, você pode inserir diversos comandos que definem o seu contexto dentro da aplicação. Por exemplo, se você entrar com o comando domain management, você poderá usar comandos relacionados ao domínio. Varias operações também exigem  que você se conecte em um domínio, um controlador de domínio ou um objeto do Active Directory antes de poder realizar um comando.

A tabela abaixo descreve os comandos de gerenciamento de domínio suportados pela ferramenta ntdsutil. Você pode acessar essa informação digitando a seguinte sequencia de comandos em um prompt:

Ntdsutil
domain management
help

 

 

Comando de Gerenciamento de Domínio do Ntdsutil Propósito
Help ou ? Exibe a informação sobre os comandos disponíveis dentro do menu de Gerenciamento de domínio do comando ntdsutil
Connection ou Connections Permite conectar em um DC específico. Isso irá definir o contexto para operações futuras que são realizadas em DCs específicos.
Create NC NomeDistintoPartição NomeDNS Cria uma nova partição de dados de aplicação.
Delete NC NomeDistintoPartição Remove uma partição de dados de aplicação existente.
List NC Information NomeDistintoPartição Exibe informações sobre a partição de dados de aplicação especificada.
List NC Replicas NomeDistintoPartição Retorna informação sobre todas as réplicas da partição de dados de aplicação especificada.
Precreate NomeDistintoPartição NomeDNSServidor Pré-cria objetos de partição de dados de aplicação de referência cruzada.
Remove NC Replica NomeDistintoPartição NomeDNS-DC Remove uma réplica do controlador de domínio especificado.
Select Operation Target Seleciona o contexto de nomes que será usado para outras operações.
Set NC Reference Domain NomeDistintoPartição NomeDistintoDomínio Especifica o domínio de referência para uma partição de dados de aplicação.
Set NC Replicate AtrasoNotificação NomeDistintoPartição AtrasoNotificação1ºDC AtrasoNotificaçãoOutrosDC Define configurações sobre a frequência em que a replicação irá ocorrer para a partição de dados de aplicação especificada.

 

Os comandos do ntdsutil são todos indiferentes para maiúsculas e minúsculas. Os parâmetros da tabela estão com algumas letras em maiúscula só para facilitar na leitura. A sigla NC nos comandos significa “naming context” (contesto de nomeação/nomes), em referência ao fato de ser uma partição do esquema do Active Directory.

 

A figura abaixo mostra um exemplo de trabalhar com o ntdsutil. Os comandos abaixo foram executados para configurar configurar o contexto para operações posteriores:

ntdsutil

domain management

connections

connect to server localhost

connect to domain ADTest

quit

list

microsoft-mcsa-ad-ntdsutil

 

Configurar a Integração do DNS com o Active Directory

Existem três benefícios principais na integração do Active Directory com serviços de DNS:

  1. Abra o snap-in do DNS dentro das Ferramentas Administrativas ou no menu Ferramentas do Gerenciador do Servidor.
  2. Clique com o botão direito sobre o item do servidor local e selecione Propriedades. Clique na aba Segurança. Note que você tem acesso para especificar quais usuários e grupos têm acesso para modificar a configuração do servidor DNS. Faça as mudanças necessárias e clique em OK.microsoft-mcsa-ad-dns-security
  3. Expanda o nó do servidor local e a pasta de Zona de Pesquisa direta.
  4. Clique com o botão direito sobre o nome do domínio do Active Directory que você criou e selecione Propriedades.
  5. Na aba Geral verifique que o tipo é Integrada ao Active Directory e que a mensagem “Os dados são armazenados no Active Directory” está aparecendo. Se esta opção não estiver selecionada, você pode muda-la clicando no botão Alterar ao lado da linha Tipo e selecionando a opção Armazenar a zona no Active Directory na parte de baixo da janela.
  6. Verifique que a opção de Atualizações Dinâmicas está configurada como Apenas Seguras. Isso assegura que todas as atualizações no banco de dados de registros de recursos do DNS são realizadas através de contas e processos autenticados com o Active Directory.
    As outras opções são Nenhuma (desativa as atualizações automáticas) e Não-seguras e seguras (aceita todas as atualizações).microsoft-mcsa-ad-dns-updates-types
  7. Por fim, note que você pode definir as permissões de segurança no nível de zona clicando na aba Segurança. Faça quaisquer mudanças necessárias e clique em OK.

 

Nesta série de 4 posts cobrimos o básico da implementação da estrutura de uma floresta e domínio do Active Directory, criação e configuração de partições de dados de aplicação e configuração do nível funcional do seu domínio e floresta.

Você agora já deve estar familiarizado com a implementação do Active Directory. Nós examinamos em detalhes todos os passos e condições necessárias que você precisa seguir para instalar o Active Directory na sua rede. Primeiro você precisa se preparar para o DNS pois o Active Directory não pode ser instalado sem o suporte para um servidor DNS.

Você também precisa verificar que o computador que você promove em um controlador de domínio atende alguns requisitos básicos de sistema de arquivos e conectividade de rede para que o Active Directory possa rodar de maneira eficiente e tranquila em sua organização. Estas são algumas das coisas mais comuns que você terá de fazer quando implementar o Active Directory.

Também passamos pelo conceito de níveis funcionais, que essencialmente determinam o tipo de controladores de domínios que você pode usar no seu ambiente. Por exemplo, no nível funcional Windows Server 2003, você pode incluir controladores de domínio com o Windows Server 2012 R2, o Windows Server 2012, o Windows Server 2008 R2, Windows Server 2008 e o Windows Server 2003, mas os recursos do domínio serão severamente limitados.

Além dos tópicos comentados acima também aprendemos como instalar o Active Directory, o que foi conseguido através da promoção de um computador Windows Server 2012 R2 em um controlador de domínio usando o Gerenciador do Servidor. Você também viu como verificar a instalação testando o Active Directory em um computador cliente.

Esses posts tiveram um escopo limitado para examinar as questões relacionadas a instalar e configurar o primeiro domínio em um ambiente Active Directory. Em posts futuros veremos como criar e gerenciar configurações mais complexas.

 

No próximo post veremos outro tópico do exame: Configurar o Windows Server 2012 R2

Caso ainda não saiba aqui no blog tem um ebook com dicas para quem está se preparando para certificações Microsoft.

E tem um simulado completo para o exame 70-410.

 

Qualquer coisa me avise aqui pelos comentários ou lá pelo Facebook ou me mande email.

Sucesso!

Thiago

 

Para ver todos os materiais disponíveis para serem adquiridos aqui na WiseOne acesse essa página.

Links ->  Fanpage, Grupo


Leave a Reply