Beruflich Dokumente
Kultur Dokumente
O intuito deste guia prtico mostrar o passo a passo como a implementao dos produtos, no nosso caso AD (Active Directory). Vamos demonstrar como criamos o AD no primeiro servidor do domnio.
Autores:
Alexandre nakano
alexandrenakano@uol.com.br Consultor especialista nos produtos Active Directory, Exchange Server, ISA Server, SMS e MOM.
Anderson Patricio
anderson@andersonpatricio.org http://www.andersonpatricio.org Consultor especialista nos produtos Exchange Server , Active Directory e Isa Server. http://www.itcentral.com.br
http://www.itcentral.com.br
1. Preparao do Ambiente
Antes de implementarmos o Active Directory importante validarmos os seguintes pr-requisitos: IP fixo no servidor Windows 2003 onde o AD vai ser instalado Servidor com Windows Server 2003 com todos os Service Pack(s) e Hotfix(es) instalados Eventviewer sem nenhuma mensagem de error ou warning (boa prtica) No necessrio instalar DNS Server e nenhum outro software adicional por enquanto Definir o nome FQDN (Full Qualified Domain Name) do domnio, de preferncia um nome DNS interno, no nosso caso guiapratico.local ao invs de guiapratico.com.br. Configurar o IP do DNS primrio para o prprio IP da seguinte forma:
2. Implementao do Active Directory
Estando com o Windows Server 2003 atualizado e ligado e logado como Administrator do servidor, vamos fazer os seguintes procedimentos:
Ir em Start, Control Panel, duplo clique em Network Connections, boto direito na placa de rede e Properties Selecionar Internet Protocol (Tcp/IP) e clicar no boto
Properties
Devemos colocar um IP fixo para o servidor e como ele o primeiro do domnio tambm definir no DNS ele prprio como servidor, apesar de ele ainda no possuir o servio de DNS.
e) A segunda tela do assistente informando que o Windows Server 2003 implementa segurana.
O Assistente do Active Directory informa que o Windows Server 2003 possui mais seguranao que os anteriores. Portanto alguns clientes legados (Windows 95 e Windows NT 4.0 SP3) como tambm Apple Mac OS X e clientes Samba, podem no atender todos estes requisitos de segurana.
Por default o Windows Server 2003 assina digitalmente os pacotes SMB, com isto temos que ter alguns cuidados: Para mquinas Windows for Workgroups e/ou Windows 9x, fazer upgrade ou instalar o Active Directory Client (gratuto); Para mquinas Windows NT4 instalar um service pack posterior ao 3 Se no puder fazer esta instalao necessrio desabilitar na policie dos servidores 2003 o parmetro: Secure channel encryption or signing, caso contrrio os sistemas legados no conseguiram entrar e nem efetuar logon no domnio.
g) A quarta tela do assistente questiona como ser criado o novo domnio, as opes possveis so explicadas abaixo:
Primeiro domnio de uma nova floresta, primeira mquina da floresta Active Directory
Child domain in an existing domain tree
Adio de um domnio filho em uma floresta e rvore j existente. No nosso exemplo o nosso domnio GuiaPratico ser adicionado a arvore
Domain tree in an existing forest
h) Na quinta tela do assistente devemos definir o nome dns da Zona, como j definimos previamente, colocamos guiapratico.local
i) Na sexta tela do assistente definimos o nome NetBIOS do domnio, este nome ser utilizado em mquinas legadas (Windows 9x, NT) para ingressarem no domnio.
j) Na stima tela do assistente, j terminamos a parte de configurao de design do Active Directory e temos que validar onde o mesmo ser instalado, por default implementado em C:\%SystemRoot%\NTDS
Para trabalharmos com os arquivos da base do Active Directory utilizamos o comando NTDSutil, para configurarmos limpeza a base, desfragmentaao e etc..
k) Na oitava tela do assistente definimos onde fica o diretrio fsico do compartilhamento SYSVOL, todo o contedo desta pasta replicado entre todos os DCs do mesmo domnio.
l) Na nona tela do assistente o setup detectar que no possumos DNS Server instalado e nos dar trs opes, a mais vivel a segunda (marcada com um retngulo vermelho), onde o setup instala e configura a zona dns do domnio (guiapratico.local) automaticamente.
Obs: Como o DNS no est implementado ser solicitado as mdias de instalao do Windows Server 2003.
m) Na dcima tela do assistente definimos qual ser a permisso padro para o domnio, por default o legado permitia a leitura de certas informaes do domnio (Everyone), ns optamos por permisses compatveis com Windows 2000 e/ou 2003, que diz que somente usurios Autenticados possam ler informaes no domnio.
n) Esta a senha que ser usada quando o Domain Controller for iniciado no modo Directory Services Restore Mode, esta opo s aparece quando rodamos o setup /cmdcons esta senha somente para esta finalidade, caso queiramos trocar necessrio acessar o utilitrio ntdsutil e escolher a opo Set DSRM password
o) Na penltima tela mostrado um resumo de todas opes escolhidas durante o assistente de instalao do Active Directory.
p) E na ltima tela, temos o tradicional Finish, que informa que a criao foi com existo e que este servidor foi designado para o Site default chamado Default-First-Site-Name.
Depois de executado os passos acima e reiniciado o servidor. Devemos atentar para os seguintes pontos: 3.1. Analisar o arquivo de log O assistente do Active Directory, gera dois arquivos de log: DCPROMO.LOG e dcpromoui.log, o primeiro arquivo contm toda atividade que o assistente de instalao executou no processo de criao do Active Directory, j no segundo temos todas opes selecionadas e executadas na interface grfica que executamos no dcpromo. Os arquivos de instalao ficam no diretrio c:\Windows\Debug.
3.2 Verificar se o compartilhamento NETLOGON e SYSVOL esto disponveis O servidor no considerado Domain Controller enquanto no estiver com os compartilhamentos NETLOGON e SYSVOL disponveis, quando isto ocorre gerado um evento 13516 no Event Viewer de Aplicao informando que o servidor j est apto a receber toda a gama de autenticao.
Logo aps aparecer o Event ID 13516 possvel ir em Start / Run / e digitar \\<servidor>, onde <servidor> o nome do servidor que estamos instalando, dever aparecer os seguintes diretrios:
3.3 Verificando o Active Directory Users and Computers Depois que validamos a instalao do Active Directory, devemos ir em Start / Run / dsa.msc e validar o Active Directory Users and Computers:
Podemos perceber que o Active Directory Uses Computers aparece no formato padro com os usurios e grupos padro.
Etapa 1 2 3 4 5 6 7
Passos necessrios Instalar o sistema operacional Windows Server 2003 + Updates (hotfixes + service pack) Definir o nome do domnio Configurar a placa de rede Rodar o dcpromo Reiniciar o servidor Validar a instalao do Active Directory (Eventviewer, arquivos de logs e shares) Parabns, voc j est com um Active Directory funcional!