Cinco Passos para garantir um DC saudvel

Rover Marinho MCP MCSA MCSE MCT MCTS MCITP MVP Julho 2009

Tecnologias
Active Directory

Sumrio
Se existe um processo que pode salvar nossos finais de semana, a verificao de um DC aps a promoo, muitas vezes no fazemos a checagem da promoo de um DC, e com isto podemos ter vrios problemas. O que vamos citar neste artigo so alguns utilitrios e processos que devemos checar, para garantir que nosso DC esta ativo e foi corretamente promovido em nosso domnio, vamos l.

Contedo
1. Checando a resoluo DNS do Domain Controller 1.1 Configurando a Placa de Rede do DC 1.2 Checando a Resoluo de Reverso do DNS 1.3 Criando a Zona Reversa e o registro PTR do DC Verificando a existncia das Pastas Netlogon e Sysvol 2.1 O que o compartilhamento Netlogon 2.2 O que o compartilhamento Sysvol Testando a Resoluo DNS para Dc e para FQDN do Domnio 3.1 Testando a Resoluo DNS para DC 3.2 Testando a Resoluo DNS para FQDN do Domnio Verificando as FSMO`s Checando o Event Viewer

2. 3. 4. 5.

Introduo
Este artigo foi desenvolvido para voc que tem dvidas sobre Active Directory. O que fazer para checar quando meu DC no traz os compartilhamentos de Netlogon e de Sysvol? Como ter certeza o DC recm criado um Global Catalog? Isto e outras perguntas juntamos neste artigo, de maneira fcil voc aprender todos estes processos.

1 Checando a resoluo DNS do Domain Controller

Uma das tragdias que podem tirar seu ambiente do ar a falta de resoluo de nomes corretamente, felizmente o servio de DNS de um Domain Controller pode ser integrado com o Active Directory, e caso voc no tenha por favor o integre, muitos recursos so adicionados com esta integrao. Em nosso cenrio, vamos usar um DNS com Zonas Integradas ao Active Directory, aps terminarmos a promoo do DC e o mesmo sofrer a reinicializao, devemos fazer algumas configuraes.

1.1 Configurando a Placa de Rede do DC

Vamos configurar a placa de Rede do DC, se este for seu primeiro DC a ser promovido, o prprio utilitrio do DCPROMO ir fazer o campo de DNS Preferencial ser alterado para 127.0.0.1, mesmo que antes, voc j tenha alterado este campo, na Figura1 podemos ver este exemplo, segue abaixo: Utilize o utilitrio Nslookup no Command Prompt para conseguir levantar esta informao.

Figura 1 Verificando a resposta do Nslookup Vamos fazer a alterao na placa de rede de nosso servidor DC, edite as configuraes da placa de rede e altere o DNS Preferencial para o IP de seu DC, em nosso exemplo estamos em um novo ambiente, estou usando o IP do prprio servidor, segue demonstrao na Figura2:

Figura 2 Alterando o DNS da Placa Fazemos este procedimento para informar corretamente ao DC qual o DNS deve ser checado em uma consulta.

1.2 Checando a Resoluo de Reverso do DNS

Alguns procedimentos para aplicao de Policy e tambm regras no domnio dependem da resoluo de nomes reversa, por isto devemos aps a promoo de nosso DC, fazer o check para identificar se este recurso esta funcionando corretamente. Para verificarmos isto utilizaremos o utilitrio nslookup disponvel no prompt de comando. Digite o comando abaixo para verificar a resoluo a Figura3 demonstra um cenrio onde a zona reversa no criada por default.

Figura 3 DNS alterado mas sem resoluo reversa Neste momento j temos o DNS alterado (192.168.0.1) mas ainda no temos a resoluo reversa em funcionamento (Unknown), iremos ento criar a zona reversa de nosso domnio. Faa o seguinte procedimento: Abra o DNS (dnsmgmt.msc) Clique na opo Reverse Lookup Zones, caso esta opo esteja vazia Figura4, iremos criar o Reverse Zone.

Figura 4 Zona Reversa no cadastrada no Domnio

1.3 Criando a Zona Reversa e o registro PTR do DC

Precisamos criar a Zona Reversa do DC para isto vamos utilizar o Wizard de criao de Zonas, siga as etapas abaixo:

a) b) c) d) e) f) g) h)

Clique com o boto direito em Reverse Lookup Zone e selecione New Reverse Zone. Na tela de Wizard Welcome clique em Next. Na tela New Zone Wizard Zone Types clique em Next (default Primary Zone e Active Directory Integrated). Na tela New Zone Wizard Active Directory Zone Replication Scope clique em Next. Na tela New Zone Wizard Reverse Lookup Zone Name marque a opo Ipv4 e clique em Next. Na tela New Zone Wizard Reverse Lookup Zone Name no campo Network ID coloque a Range IP da sua Infraestrutura e clique em Next. Na tela New Zone Wizard Dynamic Updates deixe o Default marcado e clique em Next. Na tela New Zone Wizard Summary clique em Finish para criar a Zona Reversa, conforme a Figura5.

Figura 5 Zona Reversa Criada Precisamos criar o registro PTR de nosso servidor, neste momento apenas existe a Zona Reversa no existe correo do erro gerado na Figura3, iremos corrigir este erro criando um novo registro PTR. Conforme Figura5, segue os passos: a) b) Clique com o boto direito na sua Zona Reversa (0.168.192.in-addr.arpa) e selecione New Pointer (PTR) Na tela de New Resource Record existem trs campos conforme a Figura6, segue abaixo: i. Host IP Address Este campo traz o IP do Registro PTR (IP do DC) ii. FQDN - Este campo traz o nome completo (Nome FQDN do Domnio - Reverse) iii. Host Name Nome do Servidor (Nome FQDN do DC)

Figura 6 Criando o PTR do DC Aps o registro criado, podemos verificar que o registro PTR j esta disponvel dentro da Zona Reversa, isto pode ser visto e testado com o utilitrio Nslookup no prompt de comando, idntico ao passo executado na Figura3, demonstramos este processo na Figura7, onde vemos o registro PTR ao fundo, criado na Zona Reversa. Aps isto abra uma nova seo no prompt de comando, para testar a resoluo reversa de DNS com o Nslookup (Figura7).

Figura 7 Testando a Resoluo Reversa do Dns

2 Verificando a Exitncia das pastas Netlogon e Sysvol

Quando promovemos um servidor funo de Domain Controller, dois compartilhamentos muito importantes so criados dentro deste servidor, os compartilhamentos so Netlogon e Sysvol. Para uma administrao correta, muito interessante dominarmos o pleno conhecimento destes compartilhamentos, assim entendendo para que servem e como checar erros nos mesmos.

2.1 O que o compartilhamento Netlogon

O compartilhamento Netlogon usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informaes com outros Dc`s. Esta replicao feita de forma segura entre os DC`s. O servio responsvel por esta replicao entre os Dc`s o Netlogon (%SystemRoot%\System32\Netlogon.dll). Para checar se os servios esto configurados corretamente, no Windows Server 2003 precisamos instalar o Support Tools, no Windows Server 2008 o recurso j esta instalado. Abra um prompt de comando e digite DCDIAG, o comando DCDIAG vai gerar um relatrio do estado dos servios do seu Active Directory, pode-se usar este relatrio para levantamento de erros e verificao da estrutura do Domain Controller.

2.2 O que o compartilhamento Sysvol

O Compartilhamento Sysvol (System Volume) usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informaes com outros Dc`s. As informaes replicadas so Group Policy Objects, startup and shutdown scripts e logon and logoff scripts. O servio responsvel por gerenciar estes atributos o FRS (File Replication Service), ele gerecia a replicao do Sysvol, porm caso tenhamos um upgrade de Domain Function Level para Windows Server 2008, o servio de replicao para os Dc`s passa a ser o DFRS (Distributed File System Replication), vlido apenas para Dc`s com Windows Server 2008. Para visualizar a estrutura do Sysvol abra o prompt de comando e digite Start Sysvol, receberemos a tela da Figura8, com toda a estrutura do Sysvol, o comando Start Sysvol serve para demonstrar a estrutura de pastas, no importando se esta foi movida do caminho default.

Figura 8 Utilizando o Start Sysvol Aps a abertura da tela podemos verificar se a estrutrua do Sysvol esta como da Figura8, em um prximo artigo falaremos especificamente sobre Infraestrutura de Sysvol e Netlogon.

3 Testando a Resoluo DNS para Dc e para FQDN do Domnio

A resoluo DNS muito importante para o domnio e um dos testes bsicos para checar a resoluo, verificar se o FQDN do servidor ou o FQDN do Domnio esto respondendo para o mesmo lugar.

3.1 Testando a Resoluo DNS para DC

Quando acabamos de instalar um DC temos tambm que testar a resoluo de rede de nosso Domain Controller, vale lembrar que se acessarmos o FQDN do Servidor (Figura9), nossa solicitao tem que nos levar para resoluo da Figura10. Na Figura9 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de Policies e tambm a estrutura de scripts da Rede, bem como todas alteraes no Domnio utilizam estas pastas para replicar com outros Dc`s.

Figura 9 Acessando FQDN do DC

Figura 10 Netlogon e Sysvol do DC

3.2 Testando a Resoluo DNS para FQDN do Domnio

Quando acabamos de instalar um DC temos tambm que testar a resoluo de rede do FQDN do Domnio, vale lembrar que se acessarmos o FQDN do Domnio (Figura11), nossa solicitao tem que nos levar para resoluo da Figura12. Na Figura11 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de GPO e tambm a estrutura de scripts da Rede, bem como todas alteraes no Domnio utilizam estas pastas para replicar com outros Dc`s. Quando desligamos o DC o Active Directory utiliza a resoluo de nome FQDN do Domnio, sendo assim o usurio no ser deslocado para o FQDN do DC e sim para o FQDN do Domnio, desta forma outro DC assume a funo dos compartilhamentos.

Figura 11 Acessando FQDN do Domnio

Figura 12 Netlogon e Sysvol do Domnio

4 Verificando as FSMO`s
Em nosso cenrio estamos utilizando um nico DC. Caso tenha mais Dc`s ou no interessante sabermos se todas FSMO`s esto disponveis, para isto, iremos checar as FSMO`s, isto muito simples abra um Prompt de Comando e utilize o comando Netdom query FSMO, o resultado ser a Figura13 que segue abaixo:

Figura 13 Netdom para verificar as FSMO`s Este comando demonstra onde as FSMO`s esto sendo gerenciadas.

5 Checando o Event Viewer

Para finalizarmos no poderamos deixar de falar do Event Viewer, ele foi remodelado no Windows Server 2008, porm continua agradvel e demonstra tudo que ocorre em nossos servidores. Vale lembrar que a funo de DC, tem algumas opes diferentes dos outros servidores. A Figura14 demonstra o Event Viewer, este precisa ser checado aps a promoo do Domain Controller, segue abaixo:

Figura 14 Event Viewer para checar erros

Concluso
Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem dvidas sobre a funo de Domain Controller no Active Directory, explicamos em 5 passos como garantir a sade de seu DC aps a promoo, desde o simples recurso de um PTR Zone Reverse, at a checagem das FSMO com o NETDOM, tenham uma tima leitura.

Referncias + Tpicos Relacionados

Para elaborao deste artigo utilizamos alm do dia a dia como instrutor, materiais que servem como leitura posterior. 1 Active Directory Administrators Pocket Consutant (livro de bolso para o Administrator de Active Directory). 2 Windows Server 2003 Active Directory and Network Infrastructure Exam 70-297 (tima referncia para Exames). 3 Building Enterprise Active Directory Services Notes from the Field. 4 Windows Internals 5 Edition Covering Windows Server 2008 and Windows Vista (A melhor referncia sobre Internals). Muitos foram os blogs navegados e opinies retiradas de muitos bate-papos com amigos, gostaria de agradecer a todos.

Sobre o Autor
Rover Marinho atua no mercado de infra-estrutura desde 1998, especializando-se na rea de Active Directory, Exchange e infraestrutura de produtos Microsoft. Trabalha como Consultor e Instrutor em um grande CPLS em So Paulo, onde atua com os produtos: Exchange, Active Directory, Cluster e Projetos Especficos. Grande nfase na comunidade TechNet, colunista de muitos sites de Infraestrutura e colaborador da comunidade ITCentral Atua ministrando palestrar e Eventos de Produtos Microsoft, Rover Marinho certificado MCP, MCSA, MCSE, MCTS, MCITP, MCT e MVP em Directory Services. Para conhecerem suas ltimas publicaes acessem o Blog: http://rovermarinho.spaces.live.com.