módulo 2 introdução aos serviços de domínio do active directory.pdf
TRANSCRIPT
Módulo 2: Introdução aos Serviços de Domínio doActive Directory
Conteúdo:
Visão geral do módulo
Lição 1: Visão geral do AD DS
Lição 2: Visão geral de controladores de domínio
Lição 3: Instalação de um controlador de domínio
Laboratório: Instalação de controladores de domínio
Revisão e informações complementares do módulo
Visão geral do módulo
O AD DS (Serviços de Domínio do Active Directory®) e seus serviços relacionados
formam a base para as redes corporativas que executam sistemas operacionais
Windows®. O banco de dados do AD DS é o repositório central de todos os objetos
do domínio, como contas de usuário, contas de computador e grupos. O AD DS
oferece um diretório hierárquico pesquisável, além de um método de aplicação de
parâmetros de configuração e segurança para objetos da empresa. Este módulo
aborda a estrutura do AD DS e seus diversos componentes, como a floresta, o
domínio e as UOs (unidades organizacionais).
O processo de instalação do AD DS em um servidor é aprimorado e aperfeiçoado
com o Windows Server® 2012. Este módulo examina algumas das opções que estão
disponíveis com o Windows Server 2012 para instalar o AD DS em um servidor.
Objetivos
Ao concluir este módulo, você será capaz de:
• Descrever a estrutura do AD DS.
• Descrever a finalidade dos controladores de domínio.
• Explicar como instalar um controlador de domínio.
Lição 1 : Visão geral do AD DS
O banco de dados do AD DS armazena informações sobre identidade de usuário,
computadores, grupos, serviços e recursos. Os controladores de domínio do AD DS
também hospedam o serviço que autentica contas de usuário e computador quando
eles fazem logon no domínio. Como o AD DS armazena informações sobre todos os
objetos do domínio, e todos os usuários e computadores devem se conectar a
controladores de domínio do AD DS ao entrar na rede, o AD DS é o principal meio
pelo qual você pode configurar e gerenciar contas de usuário e computador em sua
rede.
Esta lição aborda os componentes lógicos básicos que formam uma implantação do
AD DS.
Objetivos da lição
Ao concluir esta lição, você será capaz de:
• Descrever os componentes do AD DS.
• Descrever domínios do AD DS.
• Descrever UOs e sua finalidade.
• Descrever florestas e árvores do AD DS, e explicar como implantá-las em uma rede.
• Explicar como um esquema do AD DS fornece um conjunto de regras que
gerenciam os objetos e atributos armazenados no banco de dados de domínio do
AD DS.
Visão geral do AD DS
O AD DS é composto de componentes físicos e lógicos. Você precisa entender a
maneira como os componentes do AD DS funcionam em conjunto, para que possa
gerenciar sua rede com eficiência e controlar quais recursos seus usuários podem
acessar. Além disso, você pode usar muitas outras opções do AD DS, inclusive a
instalação e configuração de softwares e atualizações, o gerenciamento da
infraestrutura de segurança, a habilitação de Acesso Remoto e DirectAccess, e a
manipulação de certificados.
Um dos recursos do AD DS é a Política de Grupo, que permite a configuração de
políticas centralizadas que você poderá usar para gerenciar a maioria dos objetos no
AD DS. É importante entender os vários componentes do AD DS para usar a Política
de Grupo com êxito.
Componentes físicos
As informações do AD DS são armazenadas em um único arquivo no disco rígido de
cada controlador de domínio. A tabela a seguir lista alguns dos componentes físicos
e onde eles estão armazenados.
Componente físico Descrição
Controladores de domínio Contêm cópias do banco de dados do AD DS.
Repositório de dados O arquivo em cada controlador de domínio que armazena as informações do
AD DS.
Servidores de catálogo
global
Hospedam o catálogo global, que é uma cópia parcial e somente leitura de
todos os objetos da floresta. Um catálogo global acelera as pesquisas por
objetos que possam estar armazenados em controladores de um domínio
diferente da floresta.
RODC (controladores de
domínio somente leitura)
Uma instalação especial do AD DS em um formato somente leitura. Em geral,
são usados em filiais nas quais a segurança e o suporte de TI são menos
avançados do que nas matrizes.
Componentes lógicos
Os componentes lógicos do AD DS são estruturas que você usa para implementar
um design do Active Directory que seja apropriado para uma organização. A tabela a
seguir descreve alguns dos tipos de estruturas lógicas que um banco de dados do
Active Directory pode conter.
Componente lógico Descrição
Partição Uma seção do banco de dados do AD DS. Embora o banco de dados seja um
arquivo denominado NTDS.DIT, ele é exibido, gerenciado e replicado como se
consistisse de seções ou instâncias distintas. Essas são chamadas de
partições, que também são conhecidas como contextos de nomenclatura.
Esquema Define a lista de tipos e atributos que todos os objetos do AD DS podem ter.
Domínio Um limite administrativo lógico para usuários e computadores.
Árvore de domínio Uma coleção de domínios que compartilham um domínio raiz comum e um
namespace DNS (Sistema de Nomes de Domínio).
Floresta Uma coleção de domínios que compartilham um AD DS comum.
Site Uma coleção de usuários, grupos e computadores conforme definidos por
suas localizações físicas. Os sites são úteis no planejamento de tarefas
administrativas, como a replicação de alterações no banco de dados do AD
DS.
UO As UOs são contêineres do AD DS que oferecem uma estrutura para delegar
direitos administrativos e para vincular GPOs (Objetos de Política de Grupo).
Leitura adicional: Para obter mais informações sobre domínios e florestas,
consulte a Referência técnica sobre domínios e florestas emhttp://go.microsoft.com/fwlink/?LinkId=104447.
O que são domínios do AD DS?
Um domínio do AD DS é um agrupamento lógico de objetos de usuário,
computador e grupo para fins de gerenciamento e segurança. Todos esses objetos
são armazenados no banco de dados do AD DS, e uma cópia desse banco de dados
é armazenada em cada controlador de domínio no domínio do AD DS.
Há vários tipos de objetos que podem ser armazenados no banco de dados do AD
DS, inclusive contas de usuário. As contas de usuário oferecem um mecanismo que
você pode usar para autenticar e, em seguida, autorizar os usuários a acessar recursos
na rede. Cada computador incluído no domínio deve ter uma conta no AD DS. Isso
permite que os administradores de domínios usem políticas que são definidas no
domínio para gerenciar os computadores. O domínio também armazena grupos, que
são o mecanismo para agrupar objetos por razões administrativas ou de segurança
— por exemplo, contas de usuário e de computador.
O domínio do AD DS é também um limite de replicação. Quando são feitas
alterações em qualquer objeto no domínio, essa alteração é automaticamente
replicada em todos os outros controladores de domínio desse domínio.
Um domínio do AD DS é um centro administrativo. Ele contém uma conta
Administrador e um grupo Admins. do Domínio, que têm ambos controle total sobre
cada objeto no domínio. Porém, a menos que estejam no domínio raiz da floresta,
sua faixa de controle é limitada ao domínio. As regras de senha e conta são
gerenciadas no nível do domínio por padrão. O domínio do AD DS fornece um
centro de autenticação. Todas as contas de usuário e de computador no domínio são
armazenadas no banco de dados do domínio, e os usuários e computadores devem
se conectar a um controlador de domínio para autenticação.
Um único domínio pode conter mais de 1 milhão de objetos, portanto a maioria das
organizações precisa implantar apenas um único domínio. As organizações que
descentralizaram as estruturas administrativas, ou que estão distribuídas em vários
locais, podem implementar vários domínios na mesma floresta
O que são UOs?
Uma unidade organizacional (UO) é um objeto contêiner dentro de um domínio que
você pode usar para consolidar usuários, grupos, computadores e outros objetos. Há
dois motivos para você criar UOs:
• Para configurar objetos contidos na UO. Você pode atribuir GPOs à UO, e as
configurações são aplicadas a todos os objetos contidos na UO. GPOs são
políticas que os administradores criam para gerenciar e configurar contas de
computador e de usuário. A maneira mais comum de implantar essas políticas é
vinculá-las a UOs.
• Para delegar o controle administrativo de objetos dentro da UO. Você pode
atribuir permissões de gerenciamento em uma UO, dessa forma delegando o
controle dessa UO a um usuário ou grupo no AD DS que não seja o administrador.
É possível usar UOs para representar estruturas hierárquicas lógicas dentro de sua
organização. Por exemplo, você pode criar UOs que representem os
departamentos de sua organização, as regiões geográficas da organização ou uma
combinação de regiões departamentais e geográficas. As UOs podem ser usadas
para gerenciar a configuração e o uso de contas de usuário, grupo e computador
com base em seu modelo organizacional.
Cada domínio do AD DS contém um conjunto padrão de contêineres e UOs que
são criados quando você instala o AD DS, incluindo o seguinte:
• Contêiner de domínio. Serve como o contêiner raiz da hierarquia.
• Contêiner interno. Armazena uma série de grupos padrão.
• Contêiner de usuários. O local padrão para as novas contas de usuário e os grupos
que você cria no domínio. O contêiner de usuários também contém as contas de
administrador e convidado para o domínio, além de alguns grupos padrão.
• Contêiner de computadores. O local padrão para as novas contas de computador
que você cria no domínio.
• UO de controladores de domínio. O local padrão para as contas de computador
de controladores de domínio. Essa é a única UO que está presente em uma nova
instalação do AD DS.
Observação: Nenhum dos contêineres padrão no domínio do AD DSpodem ter GPOs vinculados a eles, exceto a UO de controladores dedomínio e o próprio domínio. Todos os outros contêineres são apenaspastas. Para vincular GPOs a fim de aplicar configurações e restrições, crieuma hierarquia de UOs e, em seguida, vincule GPOs a elas.
Design da hierarquia
O design de uma hierarquia de UOs é estabelecido pelas necessidades administrativas
da organização. O design poderá ser baseado em classificações geográficas,
funcionais, de recursos ou de usuários. Seja qual for a ordem, a hierarquia deve tornar
possível administrar recursos do AD DS com o máximo de eficiência e flexibilidade
possível. Por exemplo, se todos os computadores que os administradores de TI usam
devem ser configurados de uma determinada forma, você pode agrupar todos os
computadores em uma UO e designar um GPO para gerenciar seus computadores.
Para simplificar a administração, você também pode criar UOs dentro de outras UOs.
Por exemplo, sua organização pode ter vários escritórios, e cada um deles pode ter
um conjunto de administradores responsáveis por gerenciar contas de usuário e
computador em seus escritórios. Além disso, cada escritório pode ter diferentes
departamentos com requisitos distintos de configuração de computadores. Nesse
caso, você poderia criar uma UO para o escritório que é usado para delegar a
administração e, em seguida, criar uma UO do departamento dentro da UO do
escritório para atribuir configurações de área de trabalho.
Embora não haja um limite técnico para o número de níveis de sua estrutura de UO,
para fins de capacidade de gerenciamento, limite sua estrutura a uma profundidade
de, no máximo, 10 níveis. A maioria das organizações usa cinco níveis ou menos para
simplificar a administração. Observe que os aplicativos habilitados para o Active
Directory podem ter restrições na profundidade de UO dentro da hierarquia. Esses
aplicativos também podem ter restrições no número de caracteres que podem ser
usados no nome distinto, que é o caminho LDAP completo do objeto no diretório.
O que é uma floresta do AD DS?
Uma floresta é uma coleção de uma ou mais árvores de domínio. Uma árvore é uma
coleção de um ou mais domínios. O primeiro domínio que é criado na floresta é
chamado de domínio raiz da floresta. O domínio raiz da floresta contém alguns
objetos que não existem em outros domínios da floresta. Por exemplo, o domínio
raiz da floresta contém duas funções especiais de controlador de domínio, o mestre
de esquema e o mestre de nomeação de domínios. Além disso, o grupo
Administradores de Empresa e o grupo Administradores de Esquema existem apenas
no domínio raiz da floresta. O grupo Administradores de Empresa tem controle total
sobre cada domínio da floresta.
A floresta do AD DS é um limite de segurança. Isso significa que, por padrão,
nenhum usuário de fora da floresta pode acessar recursos dentro da floresta. Significa
também que os administradores de fora da floresta não têm acesso administrativo
dentro da floresta. Um dos principais motivos pelos quais as organizações implantam
várias florestas é porque elas precisam isolar permissões administrativas entre partes
diferentes da organização.
A floresta do AD DS também é o limite de replicação para as partições de
configuração e esquema no banco de dados do AD DS. Isso significa que todos os
controladores de domínio da floresta devem compartilhar o mesmo esquema. Um
segundo motivo pelo qual as organizações implantam várias florestas é porque elas
devem implantar esquemas incompatíveis em duas partes da organização.
A floresta do AD DS também é o limite de replicação do catálogo global. Isso facilita
a maioria das formas de colaboração entre os usuários de domínios diferentes. Por
exemplo, todos os destinatários do Microsoft® Exchange Server 2010 são listados
no catálogo global, tornando fácil enviar email para qualquer um dos usuários da
floresta, até aqueles de domínios diferentes.
Por padrão, todos os domínios de uma floresta confiam automaticamente nos outros
domínios da floresta. Isso torna fácil habilitar o acesso a recursos como
compartilhamentos de arquivos e sites para todos os usuários de uma floresta,
independentemente do domínio em que a conta de usuário está localizada.
O que é o esquema do AD DS?
O esquema do AD DS é o componente do AD DS que define todos os tipos e
atributos de objetos que o AD DS usa para armazenar dados. Ele é às vezes chamado
de plano gráfico do AD DS.
O AD DS armazena e recupera informações de uma ampla variedade de aplicativos e
serviços. O AD DS padroniza a forma como os dados são armazenados no diretório
do AD DS, para que ele possa armazenar e replicar dados dessas diversas fontes. Ao
padronizar a forma como os dados são armazenados, o AD DS pode recuperar,
atualizar e replicar dados, garantindo ao mesmo tempo que a integridade dos dados
seja mantida.
Além disso, o AD DS usa objetos como unidades de armazenamento. Todos os tipos
de objetos são definidos no esquema. Sempre que o diretório manipula dados, ele
consulta o esquema a respeito de uma definição de objeto apropriada. Com base na
definição de objeto do esquema, o diretório cria o objeto e armazena os dados.
As definições de objetos controlam ambos os tipos de dados que os objetos podem
armazenar e a sintaxe dos dados. Usando essas informações, o esquema garante que
todos os objetos estejam de acordo com suas definições padrão. Com isso, o AD DS
pode armazenar, recuperar e validar os dados que gerencia, independentemente do
aplicativo que é a fonte original dos dados. Somente os dados que têm uma
definição de objeto existente no esquema podem ser armazenados no diretório. Se
um novo tipo de dados precisar ser armazenado, primeiro deverá ser criada uma
nova definição de objeto para os dados no esquema.
No AD DS, o esquema define o seguinte:
• Os objetos que são usados para armazenar dados no diretório
• As regras que definem que tipos de objetos você pode criar, que atributos devem
ser definidos (obrigatórios) quando você cria o objeto e que atributos são
opcionais
• A estrutura e o conteúdo do próprio diretório
Você pode usar uma conta que seja membro dos Administradores de Esquema para
modificar os componentes do esquema em um formato gráfico. Exemplos de
objetos que são definidos no esquema incluem usuário, computador, grupo e site.
Entre os muitos atributos estão location, accountExpires, buildingName, company,
manager e displayName.
O mestre de esquema é um dos controladores de domínio de operações de mestre
único no AD DS. Como é um mestre único, você deve fazer alterações no esquema
visando ao controlador de domínio que tem a função de mestre de operações de
esquema.
O esquema é replicado entre todos os controladores de domínio da floresta.
Qualquer alteração feita no esquema é replicada em cada controlador de domínio da
floresta do proprietário da função de mestre de operações de esquema, geralmente o
primeiro controlador de domínio da floresta.
Como o esquema estabelece o modo como as informações são armazenadas, e
quaisquer alterações que são feitas no esquema afetam cada controlador de domínio,
as alterações no esquema devem ser feitas somente quando necessário. Antes de
fazer qualquer alteração, você deve revisar as alterações usando um processo
rigorosamente controlado, e implementá-las somente depois de executar testes que
assegurem que as alterações não afetarão o restante da floresta e quaisquer
aplicativos que usem o AD DS de maneira adversa.
Embora você talvez não faça alterações no esquema diretamente, alguns aplicativos
alteram o esquema para dar suporte a recursos adicionais. Por exemplo, quando você
instala o Exchange Server 2010 em sua floresta do AD DS, o programa de instalação
estende o esquema para dar suporte a novos tipos e atributos de objetos.
Lição 2: Visão geral de controladores de domínio
Como os controladores de domínio autenticam todos os usuários e computadores
no domínio, a implantação de controlador de domínio é essencial para o
funcionamento correto da rede.
Esta lição examina os controladores de domínio, o processo de logon e a importância
do DNS nesse processo. Além disso, esta lição discute a finalidade do catálogo
global.
Todos os controladores de domínio são basicamente iguais, com duas exceções. Os
RODCs contêm uma cópia somente leitura do banco de dados do AD DS, enquanto
outros controladores de domínio têm uma cópia de leitura/gravação. Também há
determinadas operações que podem ser executadas apenas em controladores de
domínio específicos chamados mestres de operações, que são discutidos no final
desta lição.
Objetivos da lição
Ao concluir esta lição, você será capaz de:
• Descrever a finalidade dos controladores de domínio.
• Descrever a finalidade do catálogo global.
• Descrever o processo de logon do AD DS, e a importância dos registros DNS e
SRV no processo de logon.
• Descrever a funcionalidade dos registros SRV.
• Explicar as funções de mestres de operações.
O que é um controlador de domínio?
Um controlador de domínio é um servidor configurado para armazenar uma cópia do
banco de dados de diretórios do AD DS (NTDS.DIT) e uma cópia da pasta SYSVOL.
Todos os controladores de domínio, exceto os RODCs, armazenam uma cópia de
leitura/gravação do NTDS.DIT e da pasta SYSVOL. O NTDS.DIT é o próprio banco de
dados, e a pasta SYSVOL contém todas as configurações de modelo para GPOs.
As alterações no banco de dados do AD DS podem ser iniciadas em qualquer
controlador de um domínio, exceto os RODCs. Em seguida, o serviço de replicação
do AD DS sincroniza todas as alterações e atualizações do banco de dados do AD DS
com todos os outros controladores de domínio no domínio. As pastas SYSVOL são
replicadas pelo FRS (serviço de replicação de arquivos) ou pela replicação DFS
(sistema de arquivos distribuído) mais recente.
Os controladores de domínio hospedam vários outros serviços relacionados ao
Active Directory, inclusive o serviço de autenticação Kerberos, que é usado pelas
contas Usuário e Computador para a autenticação de logon, e o KDC (centro de
distribuição de chaves). O KDC é o serviço que emite o TGT (tíquete de concessão de
tíquete) para uma conta que faz logon no domínio do AD DS. Como opção, você
pode configurar controladores de domínio para hospedar uma cópia do catálogo
global do Active Directory.
Um domínio do AD DS deve sempre ter um mínimo de dois controladores de
domínio. Desse modo, se um dos controladores de domínio falhar, haverá um
backup para garantir a continuidade dos serviços de domínio do AD DS. Quando
você decidir adicionar mais de dois controladores de domínio, leve em consideração
o tamanho de sua organização e os requisitos de desempenho.
Observação: Dois controladores de domínio devem ser considerados ummínimo absoluto.
Quando você implanta um controlador de domínio em uma filial em que a segurança
física é abaixo da ideal, há algumas medidas adicionais que podem ser usadas para
reduzir o impacto de uma violação de segurança. Uma opção é implantar um RODC.
O RODC contém uma cópia somente leitura do banco de dados do AD DS e, por
padrão, não armazena em cache nenhuma senha de usuário. Você pode configurar o
RODC para armazenar em cache as senhas dos usuários da filial. Se um RODC for
comprometido, a potencial perda de informações será muito menor do que com um
controlador de domínio de leitura/gravação completo. Uma outra opção é usar a
Criptografia de Unidade de Disco BitLocker do Windows para criptografar o disco
rígido do controlador de domínio. Se o disco rígido for roubado, a criptografia
BitLocker garantirá que haja uma chance muito baixa de um usuário mal-intencionado
obter informações úteis dele.
Observação: O BitLocker é um sistema de criptografia de unidade de discoque está disponível para sistemas operacionais Windows Server e paradeterminadas versões de sistemas operacionais cliente do Windows. OBitLocker criptografa com segurança todo o sistema operacional, para que ocomputador não possa ser iniciado sem que seja fornecida uma chave privadae (opcionalmente) uma verificação de integridade. Um disco permanecerácriptografado mesmo se você o transferir para outro computador.
O que é o catálogo global?
Dentro de um único domínio, o banco de dados do AD DS contém todas as
informações sobre cada objeto do domínio. Essas informações não são replicadas
fora do domínio. Por exemplo, uma consulta de um objeto no AD DS é redirecionada
para um dos controladores desse domínio. Se houver mais de um domínio na
floresta, essa consulta não fornecerá nenhum resultado para objetos de um domínio
diferente. Para habilitar a pesquisa em vários domínios, você pode configurar um ou
mais controladores de domínio para armazenar uma cópia do catálogo global. O
catálogo global é um banco de dados distribuído que contém uma representação
pesquisável de cada objeto de todos os domínios de uma floresta de vários
domínios. Por padrão, o único servidor de catálogo global que é criado é o primeiro
controlador de domínio no domínio raiz da floresta.
O catálogo global não contém todos os atributos de cada objeto. Em vez disso, ele
mantém o subconjunto de atributos que provavelmente serão os mais úteis em
pesquisas entre domínios. Esses atributos podem incluir firstname, displayname e
location. Há diversas razões pelas quais você pode executar uma pesquisa em um
catálogo global, em vez de em um controlador de domínio que não é um catálogo
global. Por exemplo, quando um servidor Exchange recebe um email, ele precisa
procurar a conta do destinatário para poder decidir como encaminhar a mensagem.
Ao consultar automaticamente um catálogo global, o servidor Exchange é capaz de
localizar o destinatário em um ambiente de vários domínios. Quando um usuário faz
logon em sua conta do Active Directory, o controlador de domínio que está
executando a autenticação devem contatar um catálogo global para procurar
associações ao grupo universal antes de o usuário ser autenticado.
Em um único domínio, todos os controladores de domínio devem ser configurados
como proprietários do catálogo global; entretanto, em um ambiente de vários
domínios, o mestre de infraestrutura não deve ser um servidor de catálogo global. A
decisão sobre quais controladores de domínio serão configurados para conter uma
cópia do catálogo global depende do tráfego de replicação e da largura de banda da
rede. Muitas organizações estão optando por tornar cada controlador de domínio
um servidor de catálogo global.
Pergunta: Um controlador de domínio deveria ser um catálogo global?
O processo de logon do AD DS
Quando você faz logon no AD DS, seu sistema examina o DNS à procura de registros
de recurso de serviços (SRV) para localizar o controlador de domínio adequado mais
próximo. Registros SRV são registros que
especificam informações sobre serviços disponíveis, e são registrados no DNS por
todos os controladores de domínio. Usando pesquisas de DNS, os clientes podem
localizar um controlador de domínio adequado para atender às suas solicitações de
logon.
Se o logon for bem-sucedido, a LSA (autoridade de segurança local) cria um token de
acesso para o usuário contendo os SIDs (identificadores de segurança) do usuário e
de quaisquer grupos dos quais o usuário seja membro. O token fornece as
credenciais de acesso para qualquer processo iniciado por esse usuário. Por exemplo,
depois de fazer logon no AD DS, um usuário executa o Microsoft Office Word e tenta
abrir um arquivo. O Office Word usa as credenciais no token de acesso do usuário
para verificar o nível das permissões do usuário para esse arquivo.
Observação: Um SID é um número exclusivo no formato S-1-5-21-4130086281-3752200129-271587809-500, onde:• Os primeiros quatro blocos de letras e números (S-1-5-21) representa o
tipo de ID
• Os próximos três blocos de números (4130086281-3752200129-271587809) são o número do banco de dados onde a conta estáarmazenada (normalmente o domínio do AD DS)
• A última parte (500) é a RID (ID relativa), que faz parte do SID que identificaa conta no banco de dados de forma exclusiva
Cada conta de usuário e de computador e cada grupo que você cria tem um SID
exclusivo. Eles só diferem uns dos outros por causa da RID exclusiva. Você pode dizer
que esse SID em particular é o SID da conta de administrador porque termina com a
RID 500.
Sites
Os sites são usados por um sistema cliente quando ele precisa contatar um
controlador de domínio. Ele começa pesquisando registros SRV no DNS. Em seguida,
o sistema cliente tenta conectar-se a um controlador de domínio no mesmo site
antes de tentar em outro lugar.
Os administradores podem definir sites no AD DS. Normalmente, os sites se alinham
às partes da rede que têm conectividade e largura de banda adequadas. Por exemplo,
se uma filial estiver conectada ao data center principal por um link de WAN não
confiável, é melhor definir o data center e a filial como sites separados no AD DS.
Os registros SRV são registrados no DNS pelo serviço Logon de Rede que é
executado em cada controlador de domínio. Se os registros SRV não forem inseridos
no DNS corretamente, você poderá acionar o controlador de domínio para cancelar
esses registros reiniciando o serviço Logon de Rede nesse controlador de domínio.
Esse processo cancela apenas os registros SRV; se você desejar cancelar as
informações do registro de host (A) no DNS, deverá executar ipconfig /registerdns a
partir de um prompt de comando, conforme faria para qualquer outro computador.
Embora o processo de logon apareça para o usuário como um evento único, ele na
verdade é composto de duas partes:
• O usuário fornece as credenciais, geralmente um nome de conta de usuário e uma
senha, que são então verificadas no banco de dados do AD DS. Se o nome da
conta de usuário e a senha coincidirem com as informações que estão
armazenadas no banco de dados do AD DS, o usuário se tornará um usuário
autenticado e o controlador de domínio emitirá um TGT para ele. Nesse ponto, o
usuário não tem acesso a nenhum recurso da rede.
• Um processo secundário em segundo plano envia o TGT ao controlador de
domínio e solicita acesso ao computador local. O controlador de domínio emite
um tíquete de serviço ao usuário, que é então capaz de interagir com o
computador local. Nesse ponto do processo, o usuário é autenticado no AD DS e
faz logon no computador local.
Quando um usuário tenta subsequentemente se conectar a outro computador na
rede, o processo secundário é executado novamente, e o TGT é enviado ao
controlador de domínio mais próximo. Quando o controlador de domínio retorna
um tíquete de serviço, o usuário pode acessar o computador na rede, o que gera um
evento de logon nesse computador.
Observação: Um computador incluído no domínio também faz logon no ADDS quando é iniciado — um fato que geralmente é ignorado. Você não vê atransação quando o computador usa o nome de sua conta de computador euma senha para fazer logon no AD DS. Uma vez autenticado, o computadorse torna um membro do grupo Usuários Autenticados. Embora o processo delogon do computador não tenha nenhuma confirmação visual na forma deuma GUI, há eventos no log de eventos que registram a atividade. Além disso,se a auditoria estiver habilitada, haverá mais eventos visíveis no Log deSegurança do Visualizador de Eventos.
Demonstração: Exibindo os registros SRV no DNS
A demonstração mostra a você como exibir os vários tipos de registros SRV que os
controladores de domínio registram no DNS. Esses registros são cruciais para a
operabilidade do AD DS, pois são usados para localizar controladores de domínio
para logons, alterações de senha e edição de GPOs. Os registros SRV também são
usados pelos controladores de domínio para localizar parceiros de replicação.
Etapas da demonstração Exiba os registros SRV usando o
Gerenciador DNS
1. Abra a janela do Gerenciador DNS e explore os domínios DNS com sublinhado.
2. Exiba os registros SRV registrados pelos controladores de domínio. Esses
registros fornecem caminhos alternativos para que os clientes possam descobri-
los.
O que são mestres de operações?
Embora todos os controladores de domínio sejam basicamente iguais, há algumas
tarefas que podem ser executadas apenas com foco em um controlador de domínio
em particular. Por exemplo, se você precisar adicionar um domínio extra à floresta,
deverá ser capaz de se conectar ao mestre de nomeação de domínios. Os
controladores de domínio que têm essas funções são:
• Mestres de operações
• Funções de mestre único
• FSMOs (operações de mestre único flexíveis)
Essas funções são distribuídas da seguinte forma:
• Cada floresta tem um mestre de esquema e um mestre de nomeação de domínios
• Cada domínio do AD DS tem um mestre RID, um mestre de infraestrutura e um
emulador PDC (controlador de domínio primário)
Mestres de operações de floresta
A seguir estão as funções de mestre único encontradas em uma floresta:
• Mestre de nomeação de domínios. Esse é o controlador de domínio que deve ser
contatado quando você adiciona ou remove um domínio, ou quando você faz
alterações em nomes de domínios.
• Mestre de esquema. Esse é o controlador de domínio onde são feitas todas as
alterações de esquema. Para fazer alterações, você normalmente faria logon no
mestre de esquema como um membro dos grupos Administradores de Esquema e
Administradores de Empresa. Um usuário que for membro desses dois grupos e
tiver as permissões adequadas também poderá editar o esquema usando um
script.
Mestres de operações de domínios
A seguir estão as funções de mestre único encontradas em um domínio:
• Mestre RID. Sempre que um objeto é criado no AD DS, o controlador de domínio
onde o objeto é criado atribui ao objeto um número de identificação exclusivo
conhecido como SID. Para assegurar que dois controladores de domínio não
atribuam o mesmo SID a dois objetos diferentes, o mestre RID aloca blocos de
RIDs para cada controlador de domínio dentro do domínio.
• Mestre de infraestrutura. Essa função é responsável por manter referências de
objetos entre domínios, como, por exemplo, quando um grupo em um domínio
contém um membro de outro domínio. Nesse caso, o mestre de infraestrutura é
responsável por manter a integridade dessa referência. Por exemplo, quando você
observa a guia de segurança de um objeto, o sistema pesquisa os SIDs que estão
listados e os traduz em nomes. Em uma floresta de vários domínios, o mestre de
infraestrutura pesquisa SIDs de outros domínios.
A função de infraestrutura não deve residir em um servidor de catálogo global. A
exceção é quando você segue as práticas recomendadas e torna cada controlador
de domínio um catálogo global. Nesse caso, a função de infraestrutura é
desabilitada porque cada controlador de domínio sabe a respeito de cada objeto
da floresta.
• Mestre emulador PDC. O controlador de domínio que tem a função de emulador
PDC é a fonte de tempo do domínio. Os controladores de domínio que têm a
função de emulador PDC em cada domínio de uma floresta sincronizam seu tempo
com o controlador de domínio que tem a função de emulador PDC no domínio
raiz da floresta. Você define o emulador PDC no domínio raiz da floresta para
sincronizar com uma fonte de tempo atômica externa.
O emulador PDC é também o controlador de domínio que recebe alterações de
senha urgentes. Se a senha de um usuário for alterada, as informações serão
enviadas imediatamente ao controlador de domínio que tem a função de
emulador PDC. Isso significa que, se o usuário subsequentemente tentasse fazer
logon e fosse autenticado por um controlador de domínio em um local diferente
que ainda não tivesse recebido uma atualização sobre a nova senha, o controlador
de domínio do local no qual o usuário tentou fazer logon contataria o controlador
de domínio que tem a função de emulador PDC e procuraria as alterações recentes.
O emulador PDC também é usado na edição de GPOs. Quando um GPO que não
seja um GPO local é aberto para edição, a cópia que é editada é aquela
armazenada no emulador PDC.
Observação: O catálogo global não é uma das funções de mestre deoperações.
Pergunta: Por que você tornaria um controlador de domínio um servidor decatálogo global?
Lição 3: Instalação de um controlador de domínio
Algumas vezes você precisa instalar controladores de domínio adicionais em seu
sistema operacional Windows Server 2012. Pode ser que os controladores de
domínio existentes estejam sobrecarregados e você precise de recursos adicionais.
Talvez você esteja planejando um novo escritório remoto que requeira a implantação
de um ou mais controladores de domínio. Você pode estar montando um
laboratório de teste ou um site de backup. O método de instalação que você usa
varia conforme as circunstâncias.
Esta lição examina várias maneiras de instalar controladores de domínio adicionais. Ela
também demonstra o processo de uso do Gerenciador do Servidor para instalar o
AD DS em um computador local e em um servidor remoto. Ela também discute a
instalação do AD DS em uma instalação Server Core, além da instalação do AD DS
em um computador que usa um instantâneo do banco de dados do AD DS que é
armazenado em mídia removível. Finalmente, ela examina o processo de atualização
de um controlador de domínio de um sistema operacional Windows anterior para o
Windows Server 2012.
Objetivos da lição
Ao concluir esta lição, você será capaz de:
• Explicar como instalar um controlador de domínio usando a GUI.
• Explicar como instalar um controlador de domínio em uma instalação Server Core
do Windows Server 2012.
• Explicar como atualizar um controlador de domínio usando Instalar da Mídia.
• Explicar como instalar um controlador de domínio usando Instalar da Mídia.
Instalando um controlador de domínio do Gerenciador do
Servidor
Antes do Windows Server 2012, era uma prática comum usar a ferramenta
dcpromo.exe para instalar controladores de domínio. Se você tentar executar
dcpromo.exe em um servidor Windows Server 2012, receberá a seguinte mensagem
de erro: “O Assistente de Instalação dos Serviços de Domínio do Active Directory foi
realocado no Gerenciador do Servidor. Para obter mais informações, consulte
http://go.microsoft.com/fwlink/?LinkId=220921.”
Observação: A ferramenta dcpromo.exe é uma ferramenta que você executaem um servidor para torná-lo um controlador de domínio do AD DS. Até oWindows Server 2012, a ferramenta dcpromo.exe era o método preferencialpara instalar o AD DS, e normalmente era executada em modo de GUI. NoWindows Server 2012, essa ferramenta foi substituída pelo Gerenciador doServidor. A dcpromo.exe ainda está disponível, mas só pode ser usada parainstalações autônomas da interface de linha de comando.
Ao executar o Gerenciador do Servidor, você pode escolher se a operação é
executada no computador local, em um computador remoto ou por membros de um
pool de servidores. Em seguida, você adiciona a função AD DS. Ao término do
processo de instalação inicial, os binários do AD DS são instalados, mas o AD DS
ainda não está configurado no servidor. Uma mensagem nesse sentido é exibida no
Gerenciador do Servidor.
Você pode selecionar o link para Promover este servidor a um controlador de
domínio e, em seguida, o Assistente de Configuração dos Serviços de Domínio do
Active Directory é executado. Você poderá então fornecer as informações listadas na
tabela a seguir sobre a estrutura proposta.
Informações necessárias Descrição
Adicionar um controlador de domínio a um
domínio existente
Escolha se deseja adicionar um controlador de domínio
extra a um domínio.
Adicionar um novo controlador de domínio a
uma floresta existente
Crie um novo domínio na floresta.
Adicionar uma nova floresta Crie uma nova floresta.
Especificar as informações de domínio para esta
operação
Forneça informações sobre o domínio existente ao qual o
novo controlador de domínio se conectará.
Fornecer as credenciais para executar esta
operação
Insira o nome de uma conta de usuário que tenha os
direitos para executar esta operação.
Algumas informações adicionais que você precisa ter antes de executar a promoção
de controlador de domínio são listadas na tabela a seguir.
Informações necessárias Descrição
Nome DNS para o domínio do AD DS Por exemplo, adatum.com
Nome NetBIOS para o domínio do AD DS Por exemplo, adatum
Se a nova floresta precisa dar suporte a
controladores de domínio que executam
versões anteriores de sistemas operacionais
Windows (afeta a escolha do nível funcional)
Por exemplo, se você estiver considerando implantar
controladores de domínio do Windows Server 2008 R2,
deverá selecionar o domínio Windows Server 2008 R2 e o
nível funcional da floresta.
Se o controlador de domínio também será um
servidor DNS
Seu DNS deve estar funcionando bem para dar suporte ao
AD DS.
Local para armazenar os arquivos de banco de
dados, por exemplo, NTDS.DIT, edb.log ou
edb.chk.
Por padrão, esses arquivos serão armazenados em
C:\Windows\NTDS.
O Assistente de Configuração dos Serviços de Domínio do Active Directory continua
por várias páginas diferentes, onde você poderá inserir pré-requisitos como o nome
de domínio NetBIOS, a configuração DNS, se o controlador de domínio deverá ser
um servidor de catálogo global e a senha do Modo de Restauração dos Serviços de
Diretório. Finalmente, você deve reiniciar para concluir a instalação.
Observação: Se você precisar restaurar o banco de dados do AD DS de umbackup, reinicie o controlador de domínio no Modo de Restauração dosServiços de Diretório. Quando o controlador de domínio é iniciado, ele nãoestá executando os serviços do AD DS; em vez disso, está sendo executadocomo um servidor membro do domínio. Para fazer logon nesse servidor naausência do AD DS, entre usando uma senha do Modo de Recuperação dosServiços de Diretório.
Instalando um controlador de domínio em uma instalação
Server Core do Windows Server 2012
Configurar um servidor do Windows Server 2012 que está executando o Server Core
como um controlador de domínio é mais difícil porque você não pode executar o
Assistente de Configuração dos Serviços de Domínio do Active Directory no servidor.
Para instalar os binários do AD DS no servidor, você pode usar o Gerenciador do
Servidor para se conectar remotamente ao servidor Server Core. Você também pode
usar o comando do Windows PowerShell Install-Windowsfeature -name AD-
Domain-Services para instalar os binários.
Depois de instalar os binários do AD DS, você poderá concluir a instalação e a
configuração de uma destas quatro maneiras:
• No Gerenciador do Servidor, clique no ícone de notificação para concluir a
configuração pós-implantação. Isso inicia a configuração e a instalação do
controlador de domínio.
• Execute o comando do Windows PowerShell Install-ADDSDomainController –
domainname “Adatum.com”, com outros argumentos conforme necessário.
• Crie um arquivo de resposta e execute dcpromo /unattend:"D:\answerfile.txt"
em um prompt de comando, onde “D:\answerfile.txt” é o caminho do arquivo de
resposta.
Execute dcpromo /unattend em um prompt de comando com as opções
apropriadas, por exemplo:
dcpromo /unattend /InstallDns:yes /confirmglobal catalog:yes
/replicaOrNewDomain:replica
/replicadomaindnsname:"mynewdomain.com" /databasePath:"c:\ntds"
/logPath:"c:\ntdslogs"
/sysvolpath:"c:\sysvol" /safeModeAdminPassword:Pa$$w0rd
/rebootOnCompletion:yes
Atualizando um controlador de domínio
Você pode atualizar de dois modos para um controlador de domínio do Windows
Server 2012. Você pode atualizar o sistema operacional em controladores de domínio
existentes que estejam executando o Windows Server 2008 ou o Windows Server
2008 R2. Como alternativa, você pode introduzir servidores do Windows Server 2012
como controladores de domínio em um domínio que contém controladores que
executam versões anteriores do Windows Server. Dos dois, o segundo é o método
preferencial porque, ao terminar, você terá uma instalação limpa no servidor do
sistema operacional Windows Server 2012 e do banco de dados do AD DS.
Atualização para o Windows Server 2012
Para atualizar um domínio do AD DS que está sendo executado em um nível
funcional do Windows Server mais antigo para um domínio do AD DS executado no
nível funcional do Windows Server 2012, você deve primeiro atualizar todos os
controladores de domínio para o sistema operacional Windows Server 2012. Para
isso, atualize todos os controladores de domínio existentes para o Windows Server
2012, ou introduza novos controladores de domínio que executem o Windows Server
2012 e, em seguida, desative os controladores de domínio existentes.
Para executar uma atualização in-loco de um computador que tem a função AD DS
instalada, você deve usar primeiro os comandos de linha de comando Adprep.exe
/forestprep e Adprep.exe /domainprep para preparar a floresta e o domínio. Uma
atualização de sistema operacional in-loco não executa a preparação automática de
esquema e domínio. O Adprep.exe está incluído na mídia de instalação na pasta
\Support\Adprep. Não há nenhuma etapa de configuração adicional após esse
ponto, e você pode continuar a executar a atualização do sistema operacional
Windows Server 2012.
Quando você promover um servidor do Windows Server 2012 para ser um
controlador de domínio em um domínio existente, e se você estiver conectado como
um membro dos grupos Administradores de Esquema e Administradores de
Empresa, o esquema AD DS será atualizado automaticamente para o Windows Server
2012. Nesse cenário, você não precisa executar os comandos do Adprep.exe antes de
iniciar a instalação.
Implantação de controladores de domínio do Windows Server 2012
Para atualizar o sistema operacional de um controlador de domínio do Windows
Server 2008 para o Windows Server 2012, execute as seguintes etapas:
1. Insira o disco de instalação do Windows Server 2012 e execute Setup.
2. Após a página de seleção de idioma, clique em Instalar agora.
3. Após a janela de seleção de sistema operacional e a página de aceitação da
licença, na janela Que tipo de instalação você quer?, clique em Atualização:
Instalar o Windows e manter arquivos, configurações e aplicativos.
Observação: Com esse tipo de atualização, não há nenhuma necessidadede preservar as configurações dos usuários e reinstalar aplicativos; tudo éatualizado no local. Lembre-se de verificar a compatibilidade de hardwaree software antes de executar uma atualização.
Para introduzir uma instalação limpa do Windows Server 2012 como um controlador
de domínio, execute as seguintes etapas:
1. Implante e configure uma nova instalação do Windows Server 2012 e inclua-a
no domínio.
2. Promova o novo servidor para ser um controlador de domínio usando o
Gerenciador do Servidor 2012 ou um dos outros métodos descritos
anteriormente.
Observação: Você pode atualizar diretamente do Windows Server 2008e do Windows Server 2008 R2 para o Windows Server 2012.
Instalação de um controlador de domínio usando Instalar
da Mídia
Se você tiver uma rede intermediária que seja lenta, não confiável ou dispendiosa,
poderá achar necessário adicionar outro controlador de domínio em um local remoto
ou uma filial. Nesse cenário, geralmente é melhor implantar o AD DS em um servidor
usando o método Instalar da Mídia (IFM).
Por exemplo, se você se conectar a um servidor em um escritório remoto e usar o
Gerenciador do Servidor para instalar o banco de dados do AD DS, precisará copiar o
banco de dados do AD DS inteiro e a pasta SYSVOL para o novo controlador de
domínio. Esse processo deve ocorrer em uma conexão WAN potencialmente não
confiável. Como alternativa, e para reduzir significativamente a quantidade de tráfego
copiada em um link WAN, você pode fazer um backup do AD DS usando a
ferramenta Ntdsutil. Quando você executar o Gerenciador do Servidor para instalar o
AD DS, poderá selecionar a opção para Instalar da Mídia. A maior parte da cópia é
feita localmente (talvez de uma unidade USB), e o link WAN é usado somente para
tráfego de segurança e para assegurar que o novo controlador de domínio receba
quaisquer alterações feitas depois que você criar o backup de IFM.
Para instalar um controlador de domínio usando IFM, navegue até um controlador de
domínio que não seja um RODC. Use a ferramenta Ntdsutil para criar um instantâneo
do banco de dados do AD DS e depois copie o instantâneo no servidor que será
promovido a controlador de domínio. Use o Gerenciador do Servidor para promover
o servidor a controlador de domínio selecionando a opção Instalar da Mídia e, em
seguida, fornecendo o caminho local do diretório IFM que você criou anteriormente.
O procedimento completo é o seguinte:
1. No controlador de domínio completo, em um prompt de comando
administrativo, digite os seguintes comandos (onde C:\IFM é o diretório de
destino que conterá o instantâneo do banco de dados do AD DS) e pressione
Enter depois de cada linha:
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
2. No servidor que você está promovendo a controlador de domínio, execute as
seguintes etapas:
a. Use o Gerenciador do Servidor para adicionar a função AD DS.
b. Aguarde enquanto os binários do AD DS são instalados.
c. No Gerenciador do Servidor, clique no ícone de notificação para concluir a
configuração pós-implantação. O Assistente de Configuração dos Serviços
de Domínio do Active Directory é executado.
d. No momento apropriado durante o assistente, selecione a opção para
instalar de IFM e forneça o caminho local do diretório de instantâneo.
O AD DS faz então a instalação a partir do instantâneo. Quando o controlador de
domínio é reiniciado, ele entra em contato outros controladores no domínio e
atualiza o AD DS com as alterações feitas desde que o instantâneo foi criado.
Leitura adicional: Para obter mais informações sobre as etapas necessáriaspara instalar o AD DS, consulte Instalar os Serviços de Domínio do ActiveDirectory (nível 100) em http://go.microsoft.com/fwlink/?LinkID=266739.
Pergunta: Qual é a razão para especificar a senha do Modo de Restauração dosServiços de Diretório?
Laboratório: Instalação de controladores de domínio
Cenário
A A. Datum Corporation é uma empresa global de engenharia e manufatura com
sede em Londres, Inglaterra. Um escritório de TI e um data center estão localizados
em Londres para dar suporte a Londres e a outros locais. Recentemente, a A. Datum
implantou uma infraestrutura do Windows Server 2012 com clientes Windows 8.
Seu gerente pediu a você para instalar um novo controlador de domínio no data
center para melhorar o desempenho de logon. Ele também pediu para você criar um
novo controlador de domínio para uma filial usando o método IFM.
Objetivos
Depois de concluir este laboratório, você será capaz de:
• Instalar um controlador de domínio.
• Instalar um controlador de domínio usando IFM.
Configuração do laboratório
Tempo previsto: 45 minutos
Máquinas virtuais 24410B-LON-DC1 (iniciar primeiro) 24410B-LON-SVR1
24410B-LON-RTR 24410B-LON-SVR2
Nome de usuário ADATUM\Administrador
Senha Pa$$w0rd
Neste laboratório, você usará o ambiente de máquina virtual disponível. Antes de
iniciar o laboratório, é preciso concluir as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas
Administrativas e clique em Gerenciador do Hyper-V.
2. No Gerenciador do Hyper-V®, clique em 24410B-LON-DC1 e, no painel Ações,
clique em Iniciar.
3. No painel Ações, clique em Conectar. Espere até que a máquina virtual seja
iniciada.
4. Entre usando as seguintes credenciais:
o Nome de usuário: Administrador
o Senha: Pa$$w0rd
o Domínio: ADATUM
5. Repita as etapas de 1 a 3 para 24410B-LON-SVR1, 24410B-LON-RTR e
24410B-LON-SVR2.
Exercício 1: Instalação de um controlador de domínio
Cenário
Usuários têm experimentado logons lentos em Londres durante as horas de uso
máximo. A equipe de servidor determinou que os controladores de domínio ficam
sobrecarregados quando muitos usuários estão autenticando simultaneamente. Para
melhorar o desempenho de logon, você está adicionando um novo controlador de
domínio no data center de Londres.
As principais tarefas deste exercício são:
1. Adicionar uma função AD DS (Serviços de Domínio do Active Directory) a um
servidor membro
2. Configurar um servidor como controlador de domínio
3. Configurar um servidor como um servidor de Catálogo Global
Tarefa 1: Adicionar uma função AD DS (Serviços de Domínio do Active
Directory) a um servidor membro
1. Em LON-DC1, no Gerenciador do Servidor, adicione LON-SVR1 à lista de
servidores.
2. Adicione a função de servidor Serviços de Domínio Active Directory a LON-
SVR1. Adicione todos os recursos necessários conforme solicitado.
3. A instalação levará vários minutos. Quando a instalação for concluída, clique em
Fechar para fechar o Assistente de Adição de Funções e Recursos.
Tarefa 2: Configurar um servidor como controlador de domínio
• Em LON-DC1, use o Gerenciador do Servidor para promover LON-SVR1 a um
controlador de domínio e escolha as seguintes opções:
o Adicione um controlador de domínio ao domínio Adatum.com existente.
o Use as credenciais ADATUM\Administrador com a senha Pa$$w0rd.
o Para Opções do Controlador de Domínio, instale o Sistema de Nomes de
Domínio, mas remova a seleção para instalar o catálogo global.
o A senha de DSRM é Pa$$w0rd.
o Para todas as outras opções, use as opções padrão.
Tarefa 3: Configurar um servidor como um servidor de Catálogo Global
1. Entre em LON-SVR1 como ADATUM\Administrador com a senha Pa$$w0rd.
2. Use Serviços e Sites do Active Directory para tornar LON-SVR1 um servidor de
catálogo global.
Resultados: Depois de concluir este exercício, você terá explorado o Gerenciadordo Servidor e promovido um servidor membro para ser um controlador dedomínio.
Exercício 2: Instalação de um controlador de domínio usando IFM
Cenário
Você foi designado para gerenciar uma das novas filiais que estão sendo
configuradas. Uma conexão de rede mais rápida está agendada para ser instalada em
algumas semanas. Até lá, a conectividade de rede é muito lenta.
Foi determinado que a filial requer um controlador de domínio para dar suporte a
logons locais. Para evitar problemas com a conexão de rede lenta, você está usando o
método IFM para instalar o controlador de domínio na filial.
As principais tarefas deste exercício são:
1. Use a ferramenta Ntdsutil para gerar IFM
2. Adicionar a função AD DS ao servidor membro
3. Usar IFM para configurar um servidor membro como um novo controlador de
domínio
Tarefa 1: Use a ferramenta Ntdsutil para gerar IFM
1. Em LON-DC1, abra uma interface de linha de comando administrativa e use
Ntdsutil para criar um backup IFM do banco de dados do AD DS e da pasta
SYSVOL. Os comandos para criar o backup são os seguintes:
Ntdsutil
Activate instance ntds
Ifm
Create sysvol full c:\ifm
Tarefa 2: Adicionar a função AD DS ao servidor membro
1. Alterne para LON-SVR2 e entre como ADATUM\Administrador com a senha
Pa$$w0rd.
2. Abra um prompt de comando e mapeie a letra de unidade K: para \\LON-
DC1\C$\IFM.
3. Use o Gerenciador do Servidor para instalar a função de servidor AD DS em
LON-SVR2.
Tarefa 3: Usar IFM para configurar um servidor membro como um novo
controlador de domínio
1. Em LON-SVR2, abra um prompt de comando e copie o backup IFM de K: para
C:\ifm.
2. Em LON-SVR2, use o Gerenciador do Servidor com as opções a seguir para
executar a configuração pós-implantação do AD DS:
o Adicione um controlador de domínio ao domínio Adatum.com existente.
o Use ADATUM\administrador com a senha Pa$$w0rd para as credenciais.
o Use Pa$$w0rd para a senha do DSRM.
o Use a mídia IFM para configurar e instalar o AD DS. Use o local C:\IFM para
a mídia IFM.
o Aceite todos os outros padrões.
3. Reinicie LON-SVR2 para concluir a instalação do AD DS.
Resultados: Depois de concluir este exercício, você terá instalado um controladorde domínio adicional para a filial usando IFM.
Para se preparar para o próximo módulo
Quando tiver concluído o laboratório, retorne as máquinas virtuais para o estado
inicial. Para fazer isso, execute estas etapas:
1. No computador host, inicie o Gerenciador do Hyper-V.
2. Na lista Máquinas Virtuais, clique com o botão direito do mouse em 24410B-
LON-DC1 e clique em Reverter.
3. Na caixa de diálogo Reverter Máquina Virtual, clique em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-SVR1, 24410B-LON-RTR e 24410B-
LON-SVR2.
Revisão e informações complementares do módulo
Perguntas de revisão
Pergunta: Quais são as duas principais finalidades das UOs?
Pergunta: Por que você precisaria implantar uma árvore adicional na floresta doAD DS?
Pergunta: Qual método de implantação você usaria se precisasse instalar umcontrolador de domínio adicional em um local remoto com uma conexão WANlimitada?
Pergunta: Se você precisasse promover uma instalação Server Core doWindows Server 2012 para ser um controlador de domínio, que ferramenta ouferramentas você poderia usar?