Implementando o Active Directory

Uma srie de guias prticos para implementaes de produtos Microsoft

O intuito deste guia prtico mostrar o passo a passo como a implementao dos produtos, no nosso caso AD (Active Directory). Vamos demonstrar como criamos o AD no primeiro servidor do domnio.

Autores:

Alexandre nakano
alexandrenakano@uol.com.br Consultor especialista nos produtos Active Directory, Exchange Server, ISA Server, SMS e MOM.

Anderson Patricio
anderson@andersonpatricio.org http://www.andersonpatricio.org Consultor especialista nos produtos Exchange Server , Active Directory e Isa Server. http://www.itcentral.com.br

http://www.itcentral.com.br

1. Preparao do Ambiente

Antes de implementarmos o Active Directory importante validarmos os seguintes pr-requisitos: IP fixo no servidor Windows 2003 onde o AD vai ser instalado Servidor com Windows Server 2003 com todos os Service Pack(s) e Hotfix(es) instalados Eventviewer sem nenhuma mensagem de error ou warning (boa prtica) No necessrio instalar DNS Server e nenhum outro software adicional por enquanto Definir o nome FQDN (Full Qualified Domain Name) do domnio, de preferncia um nome DNS interno, no nosso caso guiapratico.local ao invs de guiapratico.com.br. Configurar o IP do DNS primrio para o prprio IP da seguinte forma:
2. Implementao do Active Directory

Estando com o Windows Server 2003 atualizado e ligado e logado como Administrator do servidor, vamos fazer os seguintes procedimentos:

a) Validar a configurao da placa de rede

Ir em Start, Control Panel, duplo clique em Network Connections, boto direito na placa de rede e Properties Selecionar Internet Protocol (Tcp/IP) e clicar no boto

Properties

Devemos colocar um IP fixo para o servidor e como ele o primeiro do domnio tambm definir no DNS ele prprio como servidor, apesar de ele ainda no possuir o servio de DNS.

b) Ir em Start e depois em Run b) digitar dcpromo e OK

Com isto iniciaremos o processo de instalao do Active Directory.

d) Tela de boas vindas, clique em next

neste ponto que realmente comea a instalao do Active Directory.

e) A segunda tela do assistente informando que o Windows Server 2003 implementa segurana.

O Assistente do Active Directory informa que o Windows Server 2003 possui mais seguranao que os anteriores. Portanto alguns clientes legados (Windows 95 e Windows NT 4.0 SP3) como tambm Apple Mac OS X e clientes Samba, podem no atender todos estes requisitos de segurana.

Por default o Windows Server 2003 assina digitalmente os pacotes SMB, com isto temos que ter alguns cuidados: Para mquinas Windows for Workgroups e/ou Windows 9x, fazer upgrade ou instalar o Active Directory Client (gratuto); Para mquinas Windows NT4 instalar um service pack posterior ao 3 Se no puder fazer esta instalao necessrio desabilitar na policie dos servidores 2003 o parmetro: Secure channel encryption or signing, caso contrrio os sistemas legados no conseguiram entrar e nem efetuar logon no domnio.

f ) Na terceira tela do assistente necessrio definir se um DC

(Domain Controller) de um novo domnio ou se vai ser adicionado h um domnio existente.

No nosso caso como o primeiro DC da rede a primeira opo.

g) A quarta tela do assistente questiona como ser criado o novo domnio, as opes possveis so explicadas abaixo:

Domain in a new forest

Primeiro domnio de uma nova floresta, primeira mquina da floresta Active Directory
Child domain in an existing domain tree

Adio de um domnio filho em uma floresta e rvore j existente. No nosso exemplo o nosso domnio GuiaPratico ser adicionado a arvore
Domain tree in an existing forest

Uma nova rvore de domnio em uma floresta existente

h) Na quinta tela do assistente devemos definir o nome dns da Zona, como j definimos previamente, colocamos guiapratico.local

i) Na sexta tela do assistente definimos o nome NetBIOS do domnio, este nome ser utilizado em mquinas legadas (Windows 9x, NT) para ingressarem no domnio.

j) Na stima tela do assistente, j terminamos a parte de configurao de design do Active Directory e temos que validar onde o mesmo ser instalado, por default implementado em C:\%SystemRoot%\NTDS

Para trabalharmos com os arquivos da base do Active Directory utilizamos o comando NTDSutil, para configurarmos limpeza a base, desfragmentaao e etc..

k) Na oitava tela do assistente definimos onde fica o diretrio fsico do compartilhamento SYSVOL, todo o contedo desta pasta replicado entre todos os DCs do mesmo domnio.

l) Na nona tela do assistente o setup detectar que no possumos DNS Server instalado e nos dar trs opes, a mais vivel a segunda (marcada com um retngulo vermelho), onde o setup instala e configura a zona dns do domnio (guiapratico.local) automaticamente.

Obs: Como o DNS no est implementado ser solicitado as mdias de instalao do Windows Server 2003.

m) Na dcima tela do assistente definimos qual ser a permisso padro para o domnio, por default o legado permitia a leitura de certas informaes do domnio (Everyone), ns optamos por permisses compatveis com Windows 2000 e/ou 2003, que diz que somente usurios Autenticados possam ler informaes no domnio.

n) Esta a senha que ser usada quando o Domain Controller for iniciado no modo Directory Services Restore Mode, esta opo s aparece quando rodamos o setup /cmdcons esta senha somente para esta finalidade, caso queiramos trocar necessrio acessar o utilitrio ntdsutil e escolher a opo Set DSRM password

o) Na penltima tela mostrado um resumo de todas opes escolhidas durante o assistente de instalao do Active Directory.

p) E na ltima tela, temos o tradicional Finish, que informa que a criao foi com existo e que este servidor foi designado para o Site default chamado Default-First-Site-Name.

Aps o Finish ser necessrio o reboot do servidor.

3. Validando a Instalao do Active Directory

Depois de executado os passos acima e reiniciado o servidor. Devemos atentar para os seguintes pontos: 3.1. Analisar o arquivo de log O assistente do Active Directory, gera dois arquivos de log: DCPROMO.LOG e dcpromoui.log, o primeiro arquivo contm toda atividade que o assistente de instalao executou no processo de criao do Active Directory, j no segundo temos todas opes selecionadas e executadas na interface grfica que executamos no dcpromo. Os arquivos de instalao ficam no diretrio c:\Windows\Debug.

3.2 Verificar se o compartilhamento NETLOGON e SYSVOL esto disponveis O servidor no considerado Domain Controller enquanto no estiver com os compartilhamentos NETLOGON e SYSVOL disponveis, quando isto ocorre gerado um evento 13516 no Event Viewer de Aplicao informando que o servidor j est apto a receber toda a gama de autenticao.

Logo aps aparecer o Event ID 13516 possvel ir em Start / Run / e digitar \\<servidor>, onde <servidor> o nome do servidor que estamos instalando, dever aparecer os seguintes diretrios:

3.3 Verificando o Active Directory Users and Computers Depois que validamos a instalao do Active Directory, devemos ir em Start / Run / dsa.msc e validar o Active Directory Users and Computers:

Podemos perceber que o Active Directory Uses Computers aparece no formato padro com os usurios e grupos padro.

4. Checklist da Instalao do Active Directory

Etapa 1 2 3 4 5 6 7

Passos necessrios Instalar o sistema operacional Windows Server 2003 + Updates (hotfixes + service pack) Definir o nome do domnio Configurar a placa de rede Rodar o dcpromo Reiniciar o servidor Validar a instalao do Active Directory (Eventviewer, arquivos de logs e shares) Parabns, voc j est com um Active Directory funcional!