Microsoft Official

Course

Mdulo 4

Implementao de
implantaes distribudas dos
Servios de Domnio do Active
Directory

Viso geral do mdulo

Viso geral de implantaes distribudas do
AD DS
Implantao de um ambiente distribudo do
AD DS
Configurao de relaes de confiana do AD

DS

Lio 1: Viso geral de implantaes

distribudas doAD DS

Discusso: Viso geral dos componentes do

AD DS
Viso geral dos limites de domnio e floresta
em uma estrutura do AD DS
Por que implementar vrios domnios?
Por que implementar vrias florestas?
Requisitos de DNS para ambientes

complexos doAD DS

Discusso: Viso geral dos componentes do

AD DS
O que um domnio AD DS?
O que uma rvore do AD DS?
O que uma floresta do AD DS?
O que uma relao de confiana?
O que o catlogo global?

Viso geral dos limites de domnio e floresta

emuma estrutura do AD DS
Objeto do AD DS

Tipo de limite

Domnio

Replicao de partio de domnio

Permisses administrativas

Aplicao de Poltica de Grupo

Auditoria

Polticas de senha e conta

Replicao de zona DNS de domnio

Floresta

Limite de segurana

Replicao de partio de esquema

Replicao de partio de configurao

Replicao de catlogo global

Replicao de zona DNS de floresta

Por que implementar vrios domnios?

As organizaes podem optar por implantar vrios
domnios para cumprir
Requisitos de replicao de domnio
Requisitos de namespace DNS
Requisitos de administrao distribuda
Requisitos de segurana de grupo administrativo
defloresta
Requisitos de domnio de recurso

Por que implementar vrias florestas?

As organizaes podem optar por implantar
vrias florestas para cumprir
Requisitos de isolamento de segurana
Requisitos de esquema incompatvel
Requisitos multinacionais
Requisitos de segurana de extranet
Requisitos de fuso ou alienao de negcio

Requisitos de DNS para ambientes complexos

doAD DS
Durante a implantao do DNS em um ambiente
AD DS complexo
Verificar a configurao de cliente DNS
Verificar e monitorar a resoluo de nomes DNS
Otimizar a resoluo de nomes DNS entre vrios
namespaces
Usar zonas DNS integradas ao AD DS

Lio 2: Implantao de um ambiente

distribudo doAD DS

Demonstrao: Instalao de um controlador

de domnio em um novo domnio em uma
floresta
Nveis funcionais de domnio AD DS
Nveis funcionais de floresta do AD DS
Atualizao de uma verso anterior do AD
DS parao Windows Server 2012
Migrao para o Windows Server 2012 AD

DS deuma verso anterior

Demonstrao: Instalao de um controlador

de domnio em um novo domnio em uma
floresta

Nesta demonstrao, voc ver como

Configurar um controlador de domnio do
AD DS
Acessar o controlador de domnio do AD DS

Nveis funcionais de domnio AD DS

A nova funcionalidade requer que

oscontroladores de domnio
estejam executando uma
determinada verso do Windows
WindowsServer2003
WindowsServer2008
Windows Server 2008 R2
WindowsServer2012
No possvel aumentar o nvel
funcional enquanto os
controladores de domnio esto
executando verses anteriores do
Windows
No possvel adicionar
controladores de domnio que
executam verses anteriores do
Windows Server aps oaumento
do nvel funcional

Nveis funcionais de floresta do AD DS

WindowsServer2003
Relaes de confiana entre florestas
Renomeao de domnio
Replicao de valores vinculados
Suporte para RODCs
KCC aprimorado
Converso de objetos inetOrgPerson em objetos de
usurio
Desativao e redefinio de atributos e classes de
objetos
WindowsServer2008
Nenhum recurso novo; define o nvel mnimo para todos
osnovos domnios
Windows Server 2008 R2
Lixeira do Active Directory
Windows Server 2012
Nenhum recurso novo; define o nvel mnimo para todos

Atualizao de uma verso anterior do AD DS

paraoWindows Server 2012
Opes para atualizar o AD DS para o Windows Server
2012
Atualizao in-loco (do Windows Server 2008
oudoWindowsServer 2008 R2)
Somente controladores de domnio que executam o
Windows Server 2008 x64 ou o Windows Server
2008 R2 podem ser atualizados
Introduzir um novo servidor do Windows Server 2012
nodomnio e promov-lo a controlador de domnio
Esta a opo recomendada
Ambas as opes requerem que o esquema esteja no
nvel doWindows Server 2012
O Assistente de Instalao dos Servios de Domnio
do Active Directory atualizar o esquema
automaticamente durante a execuo com as
permisses apropriadas
ADPrep est disponvel

Migrao para o Windows Server 2012 AD DS

deuma verso anterior
fabrikam.net

Adatum.com
Migrao entre florestas

Entidades de Segurana
queso migradas
Contas de usurio
Contas de servio
gerenciadas
Contas de computador
Grupos

As contas
recebem novos
SIDs, mas
oacesso ao
recurso mantido
com o uso do
Histrico SID

Lio 3: Configurao de relaes de

confiana doAD DS

Viso geral de tipos de confiana diferentes

doADDS
Como relaes de confiana funcionam em
umafloresta
Como relaes de confiana funcionam entre
florestas
Definio das configuraes de confiana
avanadas do AD DS
Demonstrao: Configurao de uma

relao deconfiana de floresta

Viso geral de tipos de confiana diferentes do

AD DS
Engenharia (territrio
Kerberos)

CONTOSO (domnio doWindowsNT

4.0)
(Floresta separada)

Tipo de relao de confiana

Transitiva?

Cor

Pai-filho

Sim

Roxo

Raiz da rvore

Sim

Preto

Externa (domnio ou territrio

Kerberos)

No

Vermelho

Atalho

No

Verde

Floresta (completa ou seletiva)

Sim

Blue

Como relaes de confiana funcionam

emumafloresta

adatum.com
2

fabrikam.com
Relao de confiana
de atalho

Controladores de
domnio 1, 2, 3, 4
Computador cliente CL1
Servidor de arquivos D

CL
1

EU.adatum.co
m

ESP.fabrikam.c
om

Como relaes de confiana funcionam

entreflorestas
O que uma Relao de Confiana de Floresta?

Uma relao de confiana de floresta uma relao de

confiana unidirecional ou bidirecional entre os domnios
de raiz defloresta de duas florestas

tailspintoys.com

asia.tailspintoys.
com

wideworldimporters.
com

europe.tailspintoys
sales.wideworldimporters.com
.com

Definio das configuraes de confiana

avanadas do AD DS

Consideraes de csegurana em relaes

deconfiana de florestas
Filtragem de SID
Autenticao seletiva
Roteamento de sufixo de nome
Uma relao de confiana configurada
incorretamente pode permitir o acesso no
autorizado aos recursos

Demonstrao: Configurao de uma relao

deconfiana de floresta

Nesta demonstrao, voc ver como

Configurar a Resoluo de Nomes DNS
usando um encaminhador condicional
Configurar uma relao de confiana de
floresta seletiva bidirecional

Laboratrio: Implementao de implantaes

doADDS distribudas

Exerccio 1: Implementao de domnios filho

noAD DS
Exerccio 2: Implementao de relaes

deconfiana entre florestas

Informaes de logon
Mquinas virtuais
24412B-LON-DC1
24412B-TOR-DC1
24412B-LON-SVR1
24412B-MUN-DC1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Tempo previsto: 45 minutos

Cenrio do laboratrio
A A. Datum Corporation implantou um nico domnio do ADDS com
todos oscontroladores de domnio localizados no data center de
Londres. Como a empresa cresceu e adicionou filiais com grandes
nmeros de usurios, cada vez mais evidente que o ambiente do
ADDS atual no est atendendo aos requisitos da empresa. A equipe
de rede est preocupada com a quantidade de trfego de rede
relacionado ao ADDS que est passando pelos links de WAN, que
esto se tornando altamente utilizados
A empresa tambm est cada vez mais integrada com organizaes
de parceiro, alguns dos quais precisam de acesso a recursos e
aplicativos compartilhados que esto localizados na rede interna da A.
Datum. O departamento de segurana na A. Datum deseja assegurar
que o acesso para esses usurios externos seja o mais seguro possvel
Como um dos administradores de rede seniores na A. Datum, voc
responsvel por implementar uma infraestrutura do ADDS que atenda
aos requisitos da empresa. Voc responsvel por planejar uma
implantao de domnio e floresta do ADDS que fornecer timos
servios para usurios internos e externos, aomesmo tempo em que

Reviso do laboratrio
Por que voc configurou um registro de

subdomnio delegado no DNS em LON-DC1

antes de adicionar o domnio filho
na.adatum.com?
Quais so as alternativas criao de um
registro de subdomnio delegado na
pergunta anterior?
Quando voc est criando uma relao de
confiana de floresta, por que voc criaria
umarelao de confiana seletiva, em vez
deumarelao de confiana completa?

Reviso e informaes complementares do

mdulo
Problemas comuns e dicas de soluo

deproblemas