Академический Документы
Профессиональный Документы
Культура Документы
Eu estou bem, fiquei muito feliz com todos os emails que eu recebi, e queria agradecer a
todo mundo que mandou os parabéns!!! =o)
Bom pessoal, hoje vamos continuar falando sobre Active Directory. Na semana passada
criamos o nosso domínio, mas antes que a gente comece a se aprofundar nesse assunto,
temos que entender os conceitos do AD, do que ele é composto e como ele funciona!
Então vamos lá! Como falamos na semana passada, o AD é um serviço de diretório na
nossa rede Windows 2003 (Lembrando, um serviço de diretório é um conjunto de
informações sobre os recursos e serviços que existem em nossa rede). Ele armazena
dados sobre contas de usuários, grupos, computadores e recursos e disponibiliza essas
informações para usuários e também para aplicativos. Ele pode armazenar um grande
número de informações, sendo totalmente escalonável (pode começar com um pequeno
número de objetos e crescer de acordo com nossa necessidade).
Mas para que realmente eu vou usá-lo?
Imagine que na sua empresa você tem cerca de 250 máquinas e cerca de 500 funcionários
que trabalham em dois turnos diferentes, ou seja cada máquina é utilizada por no mínimo
dois usuários. Como você não dispõe do Active Directory ainda, você terá que criar em
cada máquina no mínimo 2 contas de usuário locais. OK OK, ainda é viável. Mas e se
você tiver que instalar o Office 2003, configurar o internet explorer, aplicar uma série de
politicas de segurança e mapear drives na rede para cada usuário? Agora ficou
praticamente inviável. Calma, calma, eu sei que isso até poderia ser feito, mas pergunto a
vocês, valeria realmente a pena? Ter todo o gerenciamento dos recursos de uma maneira
tão descentralizada? Imagine o seu pesadelo toda vez que um usuário esquecesse a
senha... Você teria que ir até o computador dele e resetar a senha dele. É muita perda de
tempo para tão pouco resultado. O Active Directory é justamente a solução para todos
esses problemas! Como ele armazena os nossos recursos centralmente, todas as contas de
usuários poderiam ser armazenadas em um só local! E poderiamos gerenciar também as
contas a partir desse local. Configurar tudo o que precisamos para os nosso usuários,
controlar o que os usuários podem acessar, instalar todos os softwares que eles precisam,
tudo a partir desse mesmo local. Fantástico não é? Sim, mas vamos com calma, que vocês
vão se surpreender ainda mais!
O que compõe o Active Directory?
O diretório do Active Directory é composto por Objetos.
Um objeto representa qualquer recurso que possuimos na rede. Uma conta de usuário que
existe no Active Directory é um objeto, um grupo é um objeto, até uma impressora pode
ser um objeto para o AD.
Os dados que existem no diretório são armazenados em um arquivo chamado Ntds.dit,
que é a base de dados do AD.
Tudo o que criarmos no Active Directory é armazenado nessa base de dados. Quando
dizemos que o Active Directory nos permite gerenciar os nosso recursos de maneira
centralizada, estamos dizendo que como tudo está localizado em um só local, só
precisamos ir até esse local para fazer o que precisamos.
Objetos:
Quando criamos um objetos no AD, por exemplo uma conta de usuário, a mesma possui
certas propriedades, como por exemplo seu nome, seu nome de logon, telefone, endereço,
entre outras.
Essas propriedades são o que chamamos de atributos dos objetos. Os principais tipos de
objetos que o Active Directory no Windows 2003 nos disponibiliza são:
- Contas de usuários
- Grupos
- Contas de computadores
- Pastas Compartilhadas
- Impressoras
- Contatos
Domínios:
O Active Directory é composto por domínios. Um domínio é uma unidade administrativa
do Active Directory, que irá armazenar seus objetos. Por exemplo, nossa empresa
(empresa1) tem a matriz localizada em São Paulo, com cerca de 180 funcionários.
Poderiamos criar um domínio para são Paulo (empresa1.com.br) e a base de dados do AD
desse domínio conteria os objetos que pertecem a São Paulo, como por exemplo as contas
de usuário dos funcionários, os computadores dos funcionários, e as politicas de
segurança relacionas à São Paulo.
Quem cuidaria de tudo isso seria o Administrador de domínio de são Paulo, que poderia
ser o nosso analista de São Paulo.
Mas e se você tivesse uma outra empresa localizada em Fortaleza, por exemplo a
"empresa2"? OK, você poderia criar um outro domínio para sua empresa de
Forteza(empresa2.com.br), que conteria os objetos de Fortaleza, por exemplo as contas
de usuários dos seus funcionários de Fortaleza, e esses objetos seriam administrados por
uma outra pessoa, que nada tem a ver com o nosso analista de São Paulo.
Muito simples, não é? Mas aqui já conseguimos ver dois conceitos fundamentais do
Active Directory. Vimos que um domínio realmente pode ser uma unidade administrativa
e que pode ser administrada de maneira centralizada. (Lembre-se quando eu falei que o
administrador de São Paulo cuidaria de todos os objetos de São Paulo). E vimos também
que os objetos de um domínio são específicos daquele domínio, ou seja no nosso
exemplo as contas de usuários de São Paulo são armazenadas no domínio
"empresa1.com.br", enquanto as de Fortaleza são armazenada lá (no domínio
"empresa2.com.br"). Fortaleza não precisa nem saber da existência dos objetos de São
Paulo pois temos duas empresas completamente distintas e vice-versa.
Domain Controllers:
Mas qualquer Servidor Windows 2003 pode ter o AD instalado? Basicamente sim, nas
versões Standard Edition, Enterprise Edition e Datacenter Edition. A versão web Edition
não pode ser configurada como domain controller.
Quando estamos instalando o AD em um servidor Windows 2003, somos requisitados a
fornecer um nome para o nosso domínio.
Então chegamos a uma grande conclusão: Quando estamos instalando o Ad é que
criamos o nosso domínio. Não é possível criar um domínio antes e depois instalar o AD
no nosso servidor. Esse processo ocorre junto, no momento que estamos instalando o AD.
E o nome que você irá colocar? Bom esse nome será o nome de seu domínio. Por
exemplo, na nossa "Empresa1" , poderíamos criar o seu domínio como o nome de
"empresa1.com.br" (ainda mais no caso da empresa ter presença na internet, vocês verão
quão útil será criar o nome de seu domínio Windows 2003 com o nome de seu domínio
na internet.). Mas você também poderia criar o seu domínio com qualquer outro nome,
como por exemplo "empresa1", "leticia.empresa1" ou "sp.empresa1.com.br", qualquer
nome que você deseja.
DICA!
No Windows 2003 é possível modificar o nome de seu domínio depois que ele já tenha
sido criado, algo que não podíamos fazer com o Windows 2000.
Se o o nome do nosso servidor Windows 2003 fosse "servidor1", depois que ele fosse
promivod a domain controller, seu nome seria :"servidor1.empresa1.com.br", pois ele é
um domain controller do domínio "empresa1.com.br".
DICA!
No Windows 2003 é possível modificar o nome de seu domain controller depois que ele
já tenha sido promovido, algo que também não podíamos fazer no Windows 2000.
Árvores:
A definição de uma árvore é "um arranjamento hierárquivo de domínios". Quando
criamos o nosso domínio, criamos também um árvore. O nome de nossa árvore será o
mesmo nome que configuramos para o nosso domínio. Então o nome de nossa árvore
será "empresa1.com.br". Mas para que serve tudo isso? Suponhamos que na nossa
empresa, existe uma filial ou um outro departamento que necessita configurações
totalmente diferentes do nosso primeiro domínio. Então poderiamos criar um outro
domínio para nosso departamento. Mas os objetos utilizados pelos dois domínios não
serão comuns? Quem irá gerenciar os dois domínios provavelmente será o mesmo
administrador? Se a resposta for sim para qualquer uma das perguntas, provavelmente o
que precisamos não é de somente um novo domínio mas sim de um novo "Subdomínio".
Um subdomínio é um domínio que está abaixo de outro domínio na hierarquia da árvore.
(usamos também o termo "child domain" para o subdomínio). Então se departamento
"depto1" fosse o nosso departamento que precisa de um subdomínio, poderiamos criar o
subdomínio "depto1.empresa1.com.br". Para isso, usariamos um servidor (por exemplo o
"servidor2") do departamento "depto1" e promoveriamos ele a domain controller, criando
o domínio "depto1.empresa1.com.br". Só que agora, a instalação seria diferente. Ao invés
de criar uma nova árvore (como tinhamos feito) vamos criar um "subdomínio para uma
árvore já existente". O nome do nosso domain controller ficaria:
"servidor2.depto1.empresa1.com.br". Porém também temos nossa outra empresa, a
"empresa2". Não poderiamos colocar seu domínio na mesma árvore que a empresa1, pois
as empresas possuem nomes distintos. Então a solução para nosso problema seria criar
uma nova árvore para a empresa2 na nossa floresta. Pegariamos um servidor Windows
2003 na "empresa2" e promoveriamos ele a domain controller e configurariamos o nosso
domínio como um nova árvore na floresta "empresa1.com.br". Depois de todas as
configurações feitas, a nossa estrutura ficaria assim:
Florestas:
Uma floresta Windows 2003 é composta de por uma ou mais árvores de domínios
Windows 2003 que não compartilham um namespace comum. Um floresta é o limite
mais externo do Active Directory. No nosso caso, temos uma árvore e dois domínios,
todos participando da mesma floresta. Mas para ter uma floresta eu preciso de pelo
menos uma árvore e um domínio certo? Sim!
E quando a floresta é criada? Ela é criada quando criamos o nosso primeiro domínio.
Quando pegamos o nosso servidor "Servidor1" e o promovemos a domain controller,
criamos o domínio "empresa1.com.br" e ao mesmo tempo também criamos a árvore
"empresa1.com.br" e a floresta "empresa1.com.br". O nome da floresta é o nome do
primeiro domínio criado, o qual também chamamos de "forest root domain".
Organizational Units:
Para podermos entender a utilização de Organizational Units, vamos pensar em um
exemplo simples: você tem os seus arquivos, o qual você coloca em pastas para organizá-
los melhor, certo? Você pderia colocá-los direto na raiz de sua unidade? (por exemplo,
colocar todos os seus aruivos direto em C:) Sim, poderia. Isso iria funcionar? Sim, iria
funcionar. Mas isso seria funcional? Com certeza não. Tudo bem, você saberia onde estão
seus arquivos, mas e até você encontrar o que você precisa? Levaria muito mais tempo
dessa maneira do que se eles estivesse organizados em pastas específicas. A idéia de
Organizational Units, ou como são mais conhecidas "OUs", é termos pastas para poder
organizar melhor os objetos do domínio, poder aplicar configurações de segurança e
delegar autoridade administrativa. Por exemplo, se na nossa empresa tivessemos cinco
departamentos com mais ou menos 70 funcionários em cada um deles. Poderiamos
colocar todas as contas de usuários, grupos, impressoras, e computadores diretamente no
domínio. Mas e se precissásemos aplicar um politica de segurança só para os funcionários
do departamento de vendas? Teriamos de aplicar a configuração no domínio e ela
sobrecairia em todos os objetos do domínio, o que não era o desejado. Mas poderiamos
criar uma OU para o departamento vendas, colocar todos os objetos respectivos ao
departamento vendas na OU e aplicar a politica de segurança na OU, o que nada afetaria
os outros objetos do nosso domínio. Além disso, mesmo que não fosse necessário aplicar
politicas de segurança específicas para os outros departamentos, poderiamos criar uma
OU para cada departamento e colocar os objetos específicos nas OUs. Para visualizarmos
as OU que existem em nosso domínio, utilizamos a feramente "Active Directory Users
and Computers" que fica na pasta "Administrative Tools".
Bom pessoal, por hoje é só! Semana que vem, vamos ver mais algumas outras
configurações relacionadas ao AD e começar a colocar a mão na massa!
Um beijo a todos.
Neste artigo, apresento e explico conceitos teóricos sobre os diversos elementos que
compõem o Active Directory. Desta forma, podemos ter uma visão ampla e completa do
que é exatamente o Active Directory.
O Active Directory é o serviço de diretórios do Windows Server 2003. Um Serviço de
Diretório é um serviço de rede, o qual identifica todos os recursos disponíveis em uma
rede, mantendo informações sobre estes dispositivos (contas de usuários, grupos,
computadores, recursos, políticas de segurança etc.) em um banco de dados e torna estes
recursos disponíveis para usuários e aplicações.
Afinal, o que é Diretório? Um diretório nada mais é do que um cadastro ou, melhor
ainda, um banco de dados com informações sobre usuários, senhas e outros elementos
necessários ao funcionamento de um sistema, quer seja um conjunto de aplicações no
Mainframe, um grupo de servidores da rede local, o sistema de e-mail ou outro sistema
qualquer.
Imagine uma empresa onde o usuário, para realizar o seu trabalho diário, tem que acessar
aplicações e serviços em diferentes plataformas e modelos: No Mainframe, em aplicações
cliente/servidor, sistemas de e-mail, intranet da empresa e além desta variedade de
aplicações, você também precisa de acesso aos recursos básicos da rede, tais como pastas
e impressoras compartilhadas.
Para piorar um pouco a situação, a senha do Mainframe expira, por exemplo, a cada 30
dias e não pode repetir as últimas 5 senhas. A da rede expira a cada 60 dias e não pode
repetir as últimas 13. A do e-mail expira a cada 45 dias e ele não pode repetir as últimas
10. O que tem a ver este monte de senha com o conceito de Diretório? Tem muito a ver.
Observe que em cada ambiente existe um banco de dados para cadastro do nome de
usuário, senha e outras informações, como por exemplo seção, matrícula e assim por
diante. Este banco de dados, com informações sobre usuários da rede, é um exemplo
típico de diretório.
A proposta da Microsoft é que, aos poucos, as aplicações sejam integradas com o Active
Directory. O que seria uma aplicação integrada com o Active Directory? Seria uma
aplicação que, ao invés de ter o seu próprio cadastros de usuários, senhas e grupos (seu
próprio diretório), fosse capaz de acessar as contas e grupos do Active Directory e
atribuir as permissões de acesso diretamente às contas e grupos do Active Directory. Por
exemplo, vamos supor que você utilize o Exchange 2003 como servidor de e-mail. Este é
um exemplo de aplicação que já é integrada com o Active Directory. Ao instalar o
Exchange 2003, este é capaz de acessar a base de usuários do Active Directory e você
pode criar contas de e-mail para os usuários do Active Directory.
Chegará o dia do logon único, quando todas as aplicações forem ou diretamente
integradas com o Active Directory, ou capazes de acessar a base de usuários do Active
Directory e atribuir permissões de acesso aos usuários e grupos do Active Directory.
Domínio
O conjunto de servidores, estações de trabalho, bem como as informações do diretório, é
que formam uma unidade conhecida como Domínio. Todos os servidores que contém
uma cópia da base de dados do Active Directory fazem parte do domínio.
Um domínio pode também ser definido como um limite administrativo e de segurança.
Ele é um limite administrativo, pois as contas de Administrador têm permissões de acesso
em todos os recursos do domínio, mas não em recursos de outros domínios. Ele é um
limite de segurança porque cada domínio tem definições de políticas de segurança que se
aplicam às contas de usuários e demais recursos dentro do domínio e não a outros
domínios. Um domínio baseado no Active Directory e no Windows Server 2003 é
possível ter dois tipos de servidores Windows Server 2003:
. Controladores de Domínio (DC – Domain Controlers)
. Servidores Membro (Member Servers)
Um Domínio é simplesmente um agrupamento lógico de contas e recursos, os quais
compartilham políticas de segurança.
A criação de conta de usuários, grupos de usuários e outros elementos do Active
Directory, bem como alterações nas contas de usuários, nas políticas de segurança e em
outros elementos do Active Directory, podem ser feitas em qualquer um dos
Controladores de Domínios. Uma alteração feita em um DC será automaticamente
repassada (o termo técnico é “replicada”) para os demais Controladores de Domínio. Por
isso que o Domínio transmite a idéia de um agrupamento lógico de Contas de usuários e
grupos, bem como de políticas de segurança, uma vez que todo o Domínio compartilha a
mesma lista de usuários, grupos e políticas de segurança.
Nos Servidores Membros podem ser criadas contas de usuários e grupos, as quais
somente serão validas no Servidor Membro onde foram criadas. Embora isso seja
tecnicamente possível, essa é uma prática não recomendada,uma vez que isso dificulta
enormemente a administração de um Domínio.
Os DCs compartilham uma lista de usuários, grupos e políticas de segurança e também
são responsáveis por fazer a autenticação dos usuários na rede, já os servidores membros
não possuem uma cópia da lista de usuário e grupos, estes não efetuam a autenticação dos
clientes e também não armazenam informações sobre as políticas de segurança para o
Domínio – as quais também são conhecidas por GPO – Group Policies Objects.
Os recursos de segurança são integrados com o Active Directory através do mecanismo
de logon e autenticação. Todo usuário tem que fazer o logon (informar o seu nome de
usuário e senha), para ter acesso aos recursos da rede. Durante o logon, o Active
Directory verifica se as informações fornecidas pelo usuário estão corretas e então libera
o acesso aos recursos para os quais o usuário tem permissão de acesso.
Os recursos disponíveis através do Active Directory, são organizados de uma maneira
hierárquica, através do uso de Domínios. Uma rede na qual o Active Directory está
instalado pode ser formada por um ou mais domínios. Como a utilização do Active
Directory, um usuário somente precisa estar cadastrado em um único Domínio, sendo que
este usuário pode receber permissões para acessar recursos de qualquer um dos
Domínios.
A utilização do Active Directory simplifica em muito a administração, pois fornece um
local centralizado, através do qual os recursos da rede podem ser administrados.
O Active Directory utiliza o DNS (Domain Name System) como serviço de nomeação de
servidores e recursos e de resolução de nomes. Por isso, um dos pré-requisitos para que o
Active Directory possa ser instalado e funcionar perfeitamente é que o DNS deve estar
instalado e corretamente configurado.
Um usuário cadastrado em um Domínio pode receber permissões para acessar recursos de
outros Domínios, o Windows Server 2003 cria e mantém relação de confiança entre os
diversos Domínios. As relações de confiança são bidirecionais e transitivas.
Todo Domínio possui as seguintes características:
. Todos os Objetos de uma rede (contas de usuários, grupos, impressoras, políticas de
segurança, etc.) fazem parte de um único domínio. Cada domínio somente armazena
informações sobre os objetos do próprio domínio.
. Cada domínio possui suas próprias políticas de segurança.
Árvore de Domínios
Uma árvore nada mais é do que um agrupamento ou arranjo hierárquico de um ou mais
domínios do Windows Server 2003, os quais ”compartilham um espaço de nome”.
Unidades Organizacionais
Uma Unidade Organizacional é uma divisão que pode ser utilizada para organizar os
objetos de um determinado domínio em um agrupamento lógico para efeitos de
administração. Isso resolve uma série de problemas que existiam em redes baseadas no
NT Server 4.0. Com a utilização de unidades organizacionais, é possivel restringir os
direitos administrativos apenas em nível da Unidade Organizacional sem que, com isso, o
usuário tenha poderes sobre todos os demais objetos do Domínio.
Utilize Unidades Organizacionais quando quiser delegar tarefas administrativas sem que,
para isso, tenha que dar poderes administrativos em todo o Domínio ou para melhorar
alterações na estrutura da sua companhia. A infra-estrutura das OU´s não deve-se basear
na estrutura organizacional da companhia, mas sim na infra-estrutura da política da rede.
Objetos do Active Directory
. Contas de Usuários
Uma conta de usuário é um objeto de Active Directory, o qual contém diversas
informações sobre o usuário. Para ter acesso aos recursos dos computadores do domínio
deve ser cadastrado no Active Directory.
. Contas de Computador
Todo computador que faz parte do domínio, seja uma estação de trabalho ou servidor
membro, deve ter uma conta de computador no Active Directory. Quando você adiciona
uma máquina no domínio, automaticamente é criado um conta de computador. Estações
rodando Windows 95/98/ME, não cria conta de computador no Active Directory.
. Grupo de Usuários
Responsável para facilitar a administração e a atribuição de permissões para acesso a
recursos, tais como: pastas compartilhadas, impressoras remotas, serviços diversos etc.
Nos próximos artigos estarei tratando com maiores detalhes os Objetos do Active
Direcory.
Abraços!
Duas questões para que eu tente te ajudar:?
Tenho uma dica pra você, o principal uso que você pode fazer do ActiveDirectory é o
GroupPolicy, para que assim você coloque restrições nas máquinas, não deixando os
usuarios mexer em qualquer configuração das estações.
Para te ajudar vou te mandar por e-mail alguns tutoriais que tenho sobre ActiveDirectory,
DHCP e DNS.
• Servidor com Windows Server 2003 com todos os Service Pack(s) e Hotfix(es)
instalados
• Não é necessário instalar DNS Server e nenhum outro software adicional por
enquanto
Nota: Partes desta transcrição foram alteradas para maior clareza do mesmo.
Introdução
Host Guest_Guilherme_Moderator :
Host Guest_Guilherme_Moderator :
Host Guest_Guilherme_Moderator :
Host Guest_Guilherme_Moderator :
Host Guest_Guilherme_Moderator :
Host Guest_Guilherme_Moderator :
Informamos que usuários com comportamentos inadequados podem ser removidos do bate-
papo.
Host Guest_Guilherme_Moderator :
Host Guest_Guilherme_Moderator :
A transcrição deste bate-papo será disponibilizada em até duas semanas no site Technet
Brasil.
Host Guest_Guilherme_Moderator :
Faremos o que for necessário para responder ao máximo de perguntas possível. Talvez em
alguns momentos não tenhamos nenhuma resposta para a sua pergunta nem possamos obtê-
la de imediato.
Host Guest_Guilherme_Moderator :
Host Guest_Guilherme_Moderator :
Olá, eu sou Guilherme Azevedo, Developer Evangelist da Microsoft Brasil. O nosso convidado
para o bate-papo de hoje e o Rodrigo Vallim
Host Guest_Guilherme_Moderator :
Host Guest_Rodrigo_Vallim :
Boa tarde pessoal, quero agradecer a presença de todos, sejam bem vindos!
Host Guest_Rodrigo_Vallim :
Começo do bate-papo
Guest_mazzucco :
Tenho hoje um AD (principal) e um outro no servidor exchange, quando cai o principal não
teria que assumir a do exchange automaticamente ?
Host Guest_Rodrigo_Vallim :
Guest_mazzucco :
p/ falar a verdade não sei nem o que é FSMO´S, os clientes são NT, 2000 e XP.
Host Guest_Rodrigo_Vallim :
Host Guest_Rodrigo_Vallim :
você precisa transferir esses papéis quando sobrar apenas um DC na rede, pode encontrar
detalhes em...
Host Guest_Rodrigo_Vallim :
Host Guest_Rodrigo_Vallim :
Host Guest_Rodrigo_Vallim :
Você tem três opções, uma é verificar os objetos no Active directory Users and Computer, não
é a melhor, outra é verificar o tamanho da pasta NTDS, a mais recomendada é utilizar uma
ferramenta do Resource Kit que controla esse tipo de informação...
Host Guest_Rodrigo_Vallim :
quando instala-se um Domain Controller faz-se necessário criar tolerância a falhas, então você
tem que criar também outro Global Catalog logo após a instalação, nesse seu servidor de
Exchange você cdeveria criar um GC, isso aceleraria o processo do Exchange
Host Guest_Rodrigo_Vallim :
inclusive, se você tiver o GC replicado nas duas máquinas, provavelmente ele já continuará a
fornecer logon, mas se a máquina principal demorar a voltar no ar, você deverá transferir as
FSMO's sim, elas fazem os serviços do AD funcionar corretamente.
Guest_MarcioCosta :
Guest_rlemes :
tenho uma rede em uma escola onde estou estudando uma solução para dividir as redes
fisicamente dos laboratórios da rede administrativa , qual seria a melhor solução ? Site ou 2°
placa de rede no DC onde os usuários do lab.
Guest_PoupatempoSantoAmaro :
Guest_Consist :
Guest_Isaias :
Estou iniciando um projeto de migração de uma rede Windows NT Server para 2003, tenho 5
sites (SP,RJ,Sorocaba,Descalvado,Manaus), o ideal seria ter um DC em cada subnet?
Guest_nelsonrs :
Temos nosso ambiente segmentado por dmz, cada ambiente com um ad e um domínio. Como
fazer para que o usuário interno seja autenticado na dmz???
Guest_larmelin :
Rodrigo, como faço para alterar todos os serviços de FSMO's do meu domain controler
principal?
Guest_Isaias :
Guest_Everson :
Guest_rlemes :
Administro um rede em uma escola onde estou estudando uma solução para dividir as redes
fisicamente dos laboratórios da rede administrativa , qual seria a melhor solução ? Site ou 2°
placa de rede no DC.
Guest_Isaias :
Host Guest_Guilherme_Moderator :
Rodrigo, MarcioCosta fez a pergunta: Sr. Rodrigo me preocupa a integração do AD com o NDS
da Novell, em termos migração e convivência em um mesmo ambiente, o que pode ser
comentado objetivamente sobre isso.
Guest_rlemes :
posso instalar um servidor Exchange 2003 em um member server em uma rede que ja possui
um DC?
Guest_Álvaro :
Senhores, entou precisando criar um grupo para nao acessar a internet, esta deveria estar
atrelada de alguma forma ao Firewall?
Guest_Eiji :
Guest_anderson_repom :
Guest_Adriana Rodrigo tudo bem ? Estou fazendo o curso online 2003 Microsoft e vi o capitulo
que trata conceitos de AD. Por exemplo se eu tiver um cenário onde tenho 3 andares onde
servidores (Serv Arq.=DC) , Exchange, Firewal se encontram em um andar .
Guest_NoNJpa :
Temos nosso ambiente segmentado por dmz, cada ambiente com um ad e um domínio. Como
fazer para que o usuario interno seja autenticado na dmz???
Guest_ALPHABYTE :
Boa tarde, para eu instalar um servidor de AD, eu preciso instalar também um Isa Server ?
Guest_mazzucco :
uma outra pergunta. Posso transferir já a FSMO´s , caso aconteça alguma coisa ?
Host Guest_Rodrigo_Vallim :
O Windows 2003 possui uma ferramenta de migração do NDS para o AD, essa ferramenta traz
os usuários e senhas, enquanto os dois ambientes trabalham em conjunto...
Guest_Tapioca :
O que é FSMO´s?
Guest_anderson_repom :
Guest_Jorge :
ALPHABYTE: não...
Guest_MarcioCosta :
Host Guest_Rodrigo_Vallim :
Guest_ALPHABYTE :
obrigado..
Guest_Tapioca :
Guest_Eiji :
Guest_larmelin :
Rodrigo, como faço para alterar todos os serviços de FSMO's do meu domain controller
principal, para eu poder estar removendo este servidor da rede.?
Guest_MarcioCosta :
Guest_Jorge :
Guest_Consist :
Host Guest_Rodrigo_Vallim :
ok obrigado
Host Guest_Guilherme_Moderator :
Rodrigo, rlemes têm a pergunta: Tenho uma rede em uma escola onde estou estudando uma
solução para dividir as redes fisicamente dos laboratórios da rede administrativa, qual seria a
melhor solução? Site ou 2° placa de rede no DC onde os usuários do lab.
Guest_ALPHABYTE :
ok.. obrigado ..
Guest_Eiji :
obrigado
Host Guest_Rodrigo_Vallim :
resposta ao RLemes:
Guest_Adriana :
Rodrigo tudo bem ? Estou fazendo o curso online 2003 Microsoft e vi o capitulo que trata
conceitos de AD. Gostaria, se possível, ter uma visão bem resumida de quando é melhor criar
mais de uma floresta,arvore, domínio,site e Ou.Por exemplo , um cenário
Guest_Tapioca :
Adriana, a melhor maneira de aprender é fazendo testes, nao buscando respostas prontas
Guest_Adriana :
uma empresa com 3 andares fisicamente no mesmo prédio e todos os servidores localizados
apenas em um andar.
Host Guest_Guilherme_Moderator :
Guest_Eiji :
Estou fazendo o curso de win200server e gostaria de uma ajuda estou fazendo todo o projeto
na empresa para implementar o servidor só não sei se instalo o winserver2003 ou o
2000server alguma sugestão ? o AD encontra alguma diferença que terei dificuldade?
Guest_nelsonrs :
Guest_Tapioca :
Host Guest_Rodrigo_Vallim :
Isso vai depender do tamanho de seu ambiente e do quanto pode gastar, normalmente uma
segunda placa de rede é mais barato, mas não é tão rápida quanto uma solução por
hardware, eu aconselho uma nova subnet por hardware, se estiver dentro das possibilidade
Host Guest_Rodrigo_Vallim :
Guest_Consist :
Host Guest_Guilherme_Moderator :
Rodrigo, Isaias têm a dúvida:Estou iniciando um projeto de migração de uma rede Windows
NT Server para 2003, tenho 5 sites (SP,RJ,Sorocaba,Descalvado,Manaus), o ideal seria ter um
DC em cada subnet?
Guest_claudia1 :
Rodrigo, para migrar um AD de um DC para outro de subnets diferentes o que devo fazer?
Host Guest_Rodrigo_Vallim :
Resposta ao Isaias:
Guest_Isaias :
obrigado Guilherme
Guest_rlemes :
Host Guest_Rodrigo_Vallim :
Isaias, isso vai depender de quantos usuários você tem em cada site e qual é o link entre eles,
pode me descrever melhor?
Guest_Tapioca :
Host Guest_Rodrigo_Vallim :
Rlemes: seria um switch router, roteador, algo do tipo, para ser criada uma nova subnet, não
é uma solução barata.
Guest_Isaias :
claro, minha intensão é mesmo colocar um DC em casa ponta da rede mesmo, o que me
preocupa mesmo é a segunda questão que tinha feito..
Guest_Eiji :
é cade ? rs
Guest_rlemes :
obrigado rodrigo
Host Guest_Guilherme_Moderator :
ah ok
Guest_Tapioca :
Guest_DJS :
Rodrigo, tenho um AD com estações W2K Pro e Win98, embora eu tenha instalado o DSClient
nos Win98, os mapeamentos depois de algumas horas aparecem quebrados. Como posso
corrigir e pq acontece ?
Guest_PoupatempoSantoAmaro :
Olá Rodrigo, Como faço para replicar uma base de dados do active directory estando em dois
sites diferentes?
Guest_Jorge :
Guest_anderson_repom :
Host Guest_Rodrigo_Vallim :
Isaias: o ideal é sempre você ter um DC em cada site, isso evita o logon através do link em
outras localidades, você também precisa criar um GC em cada site, e se preocupar com a
replicação tanto do AD como das Zonas DNS...
Guest_DJS :
Guest_MarcioCosta :
A resposta a minha pergunta não foi totalmente concluída, gostaria que fosse considerada a
questão da replicação e autenticação em um ambiente mix entre NDS e AD, aproveitando em
um ambiente com servidores NT4 e 2000
Host Guest_Rodrigo_Vallim :
Com o 2003 você pode criar zonas DNS localizadas ou que replicam para todo o seu diretório,
tome cuidado com isso...
Host Guest_Rodrigo_Vallim :
isaias, ok?
Guest_Jorge :
Host Guest_Guilherme_Moderator :
Guest_DJS :
Para o Jorge, sim é por scripr
Guest_suportejr :
Como faço para dar acesso ao um grupo de usuários a ter a opção de desligar somente o
servidor
Guest_Struck :
Tenho um PDC NT 4.0 e um Server 2003. Existe a possibilidade de migrar além das contas as
informações do domínio? ou terei que ir estação por estação, remover do domínio NT 4 e
adicionar no Dominio Server 2003?
Guest_Adriana :
Guilherme Moderator , minha questão não foi respondida ainda. está na fila ?
Host Guest_Guilherme_Moderator :
Sim Adriana, temos muitas perguntas, mas a sua está anotada, obrigado
Guest_Adriana :
ok Obrigada Guilherme
Host Guest_Guilherme_Moderator :
Rodrigo, nelsonrs perguntou: Temos nosso ambiente segmentado por dmz, cada ambiente
com um ad e um domínio. Como fazer para que o usuário interno seja autenticado na dmz???
Complementando minha pergunta...minha rede interna é win2000 e minha dmz win2003.
Host Guest_Rodrigo_Vallim :
MarcioCosta, posso responder sua pergunta na publicação desse chat, está um pouco fora do
escopo desse chat, ok?
Guest_Zé_Butcher :
Acho que as perguntas deveriam focar no tema do Chat... está parecendo suporte online...
Guest_DJS :
Galera, falem sobre AD, senão ninguém saí com respostas DO AD em sí !!!
Guest_MarcioCosta :
Ok. Grato
Guest_anderson_repom :
Guest_PoupatempoSantoAmaro :
Guest_DJS :
Host Guest_Rodrigo_Vallim :
nelsonrs: Considerando que são duas florestas distintas, você deve criar um relacionamento
de confiança da DMZ para a rede interna, claro que o Firewall precisa ser configurado para
abrir as portas para esse fim.
Guest_DJS :
que BADERNA !!
Host Guest_Rodrigo_Vallim :
Host Guest_Guilherme_Moderator :
Guest_William :
Guest_ALPHABYTE :
o servidor de AD é um servidor muito pesado, ele tem que ser um servidor único, ou posso
colocá-lo junto com outras coisas no mesmo servidor ?
Guest_Adriana :
Host Guest_Rodrigo_Vallim :
Everson: Você pode utilizar Group Policies, esse é um recurso do Active Directory onde você
pode gerenciar todas as suas estações Windows 2000 e XP.
Guest_nelsonrs :
ok. a partir dai eu vou verificar como fazer este relacionamento e qual a porta a ser aberta...
você tem o link para estas duas finalidades
Host Guest_Guilherme_Moderator :
Pergunta: rlemes; posso instalar um servidor Exchange 2003 em um member server em uma
rede que ja possui um DC?
Guest_NoNJpa :
seguindo a pergunta do nelsonrs os usuários dessa DMZ não estão usando as políticas feitas
para cada OU
Host Guest_Rodrigo_Vallim :
Guest_rlemes :
Valeu rodrigo
Host Guest_Guilherme_Moderator :
Pertunta: Álvaro; Entou precisando criar um grupo para nao acessar a internet, esta deveria
estar atrelada de alguma forma ao Firewall?
Guest_Isaias :
Guest_Isaias :
Host Guest_Guilherme_Moderator :
Host Guest_Rodrigo_Vallim :
Alvaro: Você cria um Grupo no AD, se estiver utilizando o ISA Server ele aceita os grupos
criados no AD para esse fim, se estiver utilizando um firewall de terceiros você precisará
verificar a forma de trabalho desse firewall.
Host Guest_Rodrigo_Vallim :
pessoal, vou selecionar perguntas que tenham mais a ver com o tópico.
Guest_NoNJpa :
Formulando minha questão melhor :> utilizando o ambiente que o nelsonrs citou foram
criados usuários dentro do AD na DMZ e não estou conseguindo aplicar as regras para esses
usuários
Guest_MarcioCosta :
Rodrigo, tive sérios problemas de corrupção do AD, quando da instalação do SQL Server 2000,
existe algum problema de compatibilidade, tendo em vista que a instalação foi realizada com o
último service pack aplicado no SQL?
Guest_Isaias :
Gostaria de saber as melhores praticas para uma migração deste tipo de rede inteiramente
NT4 para 2003 direto... e mantendo a compatibilidade com NT pois manterei o nível de acesso
em modo de compatibilidade com NT
Guest_Isaias :
Estarei migrando gradativamente até eleger todos o ambiente totalmente para 2003
Host Guest_Guilherme_Moderator :
Pergunta: Adriana; Estou fazendo o curso online 2003 Microsoft e vi o capitulo que trata
conceitos de AD. Por exemplo se eu tiver um cenário onde tenho 3 andares onde servidores
(Serv Arq.=DC) , Exchange, Firewall se encontram em um andar .
Guest_Isaias :
estou fazendo um curso na Bras Figueiredo o 2274 fala de AD mas muito basico..
Host Guest_Rodrigo_Vallim :
Adriana: não entendi sua pergunta Adriana.
Guest_Adriana :
uma empresa com 3 andares fisicamente no mesmo prédio e todos os servidores localizados
apenas em um andar.
Guest_Adriana :
Guest_Adriana :
Host Guest_Rodrigo_Vallim :
Adriana...
Guest_Isaias :
Guest_Isaias :
Guest_MarcioCosta :
Acrescento que neste mesmo servidor estava instalado o Exchange Server 2003, e se tratava
de um servidor windows 2003, com todos os patches aplicados
Guest_Licio :
argh
Host Guest_Rodrigo_Vallim :
Se é um mesmo prédio, possivelmente você está em uma mesma Lan, então você pode
distribuir esses servidores em um mesmo andar, ou um CPD sem problemas, e todos os
usuários acessarão esses servidores centralizadamente, sem perder performance.
Guest_suportejr :
RODRIGO => Criei um grupo no active directory chamando XXXX criei os usuários dentro dei
permissão nas estações beleza mas ele não deixar logar no servidor qual permissão devo dar
a esse usuários
Guest_Jorge :
Isaias: Só a novell tem isso, no Windows acho que somente domínios diferentes
Guest_Adriana :
ok Rodrigo. Grata
Host Guest_Guilherme_Moderator :
Guest_Isaias :
pois eh jorge terei mesmo que criar sites e subnets para resolver esta questão
Host Guest_Rodrigo_Vallim :
Host Guest_Guilherme_Moderator :
Guest_Jorge :
Guest_Isaias :
o meu maior problema é o roaming profile... no caso de usuários de notebook o link para as
unidades é baixo
Guest_Isaias :
e pelo que estou vendo não vou conseguir implementar da forma que desejo.
Guest_Isaias :
na verdade ainda estou desenhando o SCOPO e colocando todas as funcionalidades que vou
precisar..
Guest_Jorge :
Host Guest_Rodrigo_Vallim :
mazzuco: você pode distribuí-las, somente pode ter uma de cada por domínio, pode ver mais
detalhes em: http://support.microsoft.com/default.aspx?scid=kb;en-
us;324801&Product=winsvr2003
Host Guest_Guilherme_Moderator :
Pergunta: Eiji; Estou fazendo o curso de win200server e gostaria de uma ajuda estou fazendo
todo o projeto na empresa para implementar o servidor só não sei se instalo o winserver2003
ou o 2000server alguma sugestão ? o AD encontra alguma diferença que te
Host Guest_Rodrigo_Vallim :
Eiji: Instale o Windows 2003, ele traz uma série de vantagens na administração do Active
Directory, DNS, replicação, etc, além de estar com a segurança extremamente melhorada.
Host Guest_Guilherme_Moderator :
Guest_anderson_repom :
como faco para desfragmentar o AD?
Guest_suportejr :
Host Guest_Guilherme_Moderator :
Pergunta: PoupatempoSantoAmaro; Como faço para replicar uma base de dados do active
directory estando em dois sites diferentes?
Guest_Eiji :
ah obrigado
Guest_mazzucco :
Host Guest_Guilherme_Moderator :
Guest_Adriana :
Guest_NoNJpa :
utilizando o ambiente que o nelsonrs citou foram criados usuários dentro do AD na DMZ e não
estou conseguindo aplicar as regras para esses usuários
Host Guest_Rodrigo_Vallim :
PoupaTempoSantoAmaro: Você terá que criar no "Active Directory Sites and Services" um site
lógico para cada unidade, vincular uma subnet a cada site, e criar um link de replicação entre
os sites, nesse link você configura a janela e período da replicação. Sua
Host Guest_Rodrigo_Vallim :
Guest_Adriana :
Host Guest_Guilherme_Moderator :
Host Guest_Guilherme_Moderator :
Guest_claudia1 :
obrigada Gulherme
Host Guest_Rodrigo_Vallim :
Host Guest_Guilherme_Moderator :
Guest_anderson_repom :
Guest_anderson_repom :
Guest_anderson_repom :
Guest_anderson_repom :
Host Guest_Guilherme_Moderator :
Host Guest_Rodrigo_Vallim :
struck: você pode utilizar o admt para migrar todas as contas e informações do AD.
Host Guest_Rodrigo_Vallim :
ferramenta da Microsoft
Host Guest_Rodrigo_Vallim :
ADMT: http://support.microsoft.com/default.aspx?scid=kb;en-
us;325851&Product=winsvr2003
Host Guest_Guilherme_Moderator :
Pergunta: ALPHABYTE; O servidor de AD é um servidor muito pesado, ele tem que ser um
servidor único, ou posso colocá-lo junto com outras coisas no mesmo servidor ?
Host Guest_Rodrigo_Vallim :
alphabyte: não é obrigatório ele ser um servidor único, basicamente vai depender da
quantidade de usuários que ele vai atender, isso vai depender muito do hardware utilizado.
Guest_nariga :
existe alguma ferramenta que comprova o quanto um Active Directory está ou não saudável?
Guest_Isaias :
Host Guest_Guilherme_Moderator :
Guest_NoNJpa :
guilherme tenho uma pergunta : tilizando o ambiente que o nelsonrs citou um pouco acima
foram criados usuários dentro do AD na DMZ e não estou conseguindo aplicar as regras para
esses usuários
Host Guest_Rodrigo_Vallim :
Adriana: para um cenário qualquer fica difícil, mas você deve pensar nos seguintes itens:
Quantidade de usuários atendidos, assim saberá quantos DC's terá, se está dividida em várias
localidades, para verificar o link e criação de sites, quantos domínios
Guest_claudia1 :
o backup system state serve para transferir as definições de AD de uma maquina para uma
maquina idêntica de backup?
Guest_Adriana :
ok Rodrigo. Obrigada
Host Guest_Guilherme_Moderator :
Host Guest_Rodrigo_Vallim :
terá que criar, se a empresa tem filiais para separar em domínios, estrutura DNS é muito
importante, resolução de nomes é o principal para o bom funcionamento do AD...
Host Guest_Guilherme_Moderator :
Guest_NoNJpa :
utilizando o ambiente que o nelsonrs citou um pouco acima foram criados usuários dentro do
AD na DMZ e não estou conseguindo aplicar as regras para esses usuários
Host Guest_Guilherme_Moderator :
Guest_claudia1 :
backup system state serve para transferir as definições de AD de uma maquina para uma
maquina identica backup?
Guest_Struck :
tenho 40 maquinas no domínio x do NT 4.0... quero mudar todas as 40 estações para o
domínio y.local do Server2003... tenho que fazer manualmente cada estação?
Guest_nelsonrs :
???
Host Guest_Rodrigo_Vallim :
Suportejr: para logar no servidor esse grupo precisa da permissão "Logon on Locally", você
encontra essa permissão nas Políticas de Grupo Locais do servidor: "Domain Security Policy"
Guest_claudia1 :
Guest_suportejr :
valeu
Host Guest_Guilherme_Moderator :
Pergunta: NoNJpa : utilizando o ambiente que o nelsonrs citou foram criados usuários dentro
do AD na DMZ e não estou conseguindo aplicar as regras para esses usuários
Host Guest_Rodrigo_Vallim :
Guest_NoNJpa :
Guest_NoNJpa :
Host Guest_Rodrigo_Vallim :
Pessoal, obrigado pela presença, essa será a última pergunta que responderei hoje, as que
ficaram sem resposta terão suas dúvidas sanadas na publicação desse chat. Obrigado.
Guest_claudia1 :
e a minha pergunta?
Guest_MarcioCosta :
Minhas perguntas não foram respondidas a tempo, como posso obter as respostas?
Guest_Adriana :
obrigada Rodrigo
Guest_Jorge :
Obrigado Rodrigo!!
Guest_ALPHABYTE :
Valeu!
Guest_Eiji :
valeu car
Host Guest_Rodrigo_Vallim :
Guest_NoNJpa :
por usuario
Guest_rlemes :
valeu Rodrigo
Host Guest_Rodrigo_Vallim :
Guest_Struck :
Guest_denis :
Tenho uma rede com 2 DC com 2003. A maquina q era o PDC foi perdida antes q pudesse
fazer a migração tradicional via Operation Master. Quais as ferramentas ( e aonde estao )
poderia usar para promover meu DC restante para PDC ? Grato.
Guest_NoNJpa :
Guest_Jorge :
denis: DCPROMO
Host Guest_Rodrigo_Vallim :
Mas os usuários não estão se logando pelas contas da DMZ certo? E sim com as contas do
domínio interno, então o que vai valer são as infos do domínio interno.
Guest_nelsonrs :
Guest_Jorge :
Guest_nelsonrs :
Guest_denis :
Jorge, aparentemente nem todos os recursos atribuídos ao PDC inicial podem ser transferidos
via dcpromo.
Guest_mazzucco :
Obrigado Rodrigo.
Guest_Jorge :
Guest_denis :
O proprio DNS fica meio perdido. Nao conseguindo abrir as policies ( do domínio e da maquina
local )
Host Guest_Rodrigo_Vallim :
Pessoal, o tempo acabou, muito obrigado pela presença de todos, o que ficou sem resposta
será publicado junto com esse chat em um futuro próximo, não percam o Webcast de SP2 do
Windows XP, muito interessante. Boa tarde a todos! Obrigado!
Guest_Adriana :
Boa Tarde
Host Guest_Guilherme_Moderator :
Guest_Eiji :
Guest_Igm :
Boa Tarde
Guest_MarcioCosta :
Host Guest_Guilherme_Moderator :
Guest_denis :
Guest_Jorge :
Host Guest_Guilherme_Moderator :
Host Guest_Guilherme_Moderator :
Guest_denis :
Valeu Jorge. ( eu refiz as duas maquinas ) era para uma eventual perda futura. Grato
Guest_Jorge :
falows
Host Guest_Guilherme_Moderator :
Obrigado pessoal
Guest_Adriana :
obrigada Gulherme