Publicado por: glauciorocha | 29/04/2009

Instalação do Papel Active Directory Domain Services no Windows 2008

Este Post Aplica-se Aos Seguintes Produtos e Tecnologias:

Introdução

Neste Post, apresentarei as novidades na promoção de um Windows Server 2008 com o papel de Domain Controller, conheceremos todas as novas configurações que podem ser feitas desde o momento da configuração do Domain Controller.

1 – PRÉ REQUISITOS PARA INSTALAÇÃO DE UM DC 2008

2 –  COMO INSTALAR O DC NO AD DS

3 –  VERIFICANDO A INSTALAÇÃO

4 – LINKS RELACIONADOS

1 – PRÉ REQUISITOS PARA INSTALAÇÃO DE UM DC 2008

Para instalarmos um DC no AD DS temos que cumprir alguns pré requisitos necessários no ambiente, abaixo segue cada um dos requisitos necessários para esta tarefa:

1.1 – Disco Rígido: Mínimo de 10GB

No AD DS para uma instalação limpa de um servidor Windows Server 2008 que terá o papel de GC os seguintes requisitos são necessários para o DC.

· 15 MB de espaço requerido para Partição de Instalação do Sistema

· 250 MB de espaço disponível para o NTDS.dit

· 50 MB para o Extensible Storage Engine (Esent) para gerenciar os Transaction Logs

1.2 – Network

Será necessário ter em sua placa de rede as configurações de seu IP privado, segue abaixo demonstração:

Figura 1 – Configuração de Placa em Ipv4

1.3 – DNS

No Windows Server 2008 o Dns é necessário como nas versões anteriores o que difere é que no Windows Server 2008 ao promover o primeiro DC o DNS é oferecido a ser instalado e pode-se também fazer de forma manual sua instalação, porém a novidade esta por parte da promoção de um Primeiro DC em um domínio filho, neste momento a delegação para o domínio filho no DNS é criada automaticamente.

1.4 – Credenciais

Para instalar um novo DC em Windows Server 2008 precisamos identificar como estamos fazendo a promoçãodo DC, neste caso temos três cenários:

Credenciais para Promover DC 2008

Cenários Desejados

Permissões Necessárias

Primeiro Dc 2008 em Nova Floresta 2008

Administrador Local da Máquina

Dc 2008 Adicional em Domínio 2000/2003

Domain Admins – Grupo Global

Novo Domínio em árvore 2000/2003

Enterprise Admins – Grupo Global

1.5 – Compatibilidade nos Clientes Legados

Para os clientes legados é de grande valia fazer a análise de todo o processo de clientes disponíveis na rede antes de Promover um Dc Windows Server 2008.

O grande aspecto é que o Dc Windows Server 2008 é o Windows Server mais seguro já existente na família Server, com isto ele utiliza dois níveis de Segurança:

1.5.1 –  Server Message Block (SMB) Signing and Encryption

1.5.2 – Signing of Secure Channel Network Traffic

No Windows Server 2008 policies são utilizadas para impedir que outro tipo de criptográfia seja utilizada para o logon de clientes, para rebaixar o nível de segurança provendo o acesso de clientes legados siga os passos abaixo descritos:

· Acesse o Windows 2008 DC

· Abra o Group Police Management (GPMC)

· Edite a Default Domain Policy

· Localize: Computer Configuration | Policies | Administrative Templates | System | Net Logon

· Habilite  “Allow Cryptography Algorihms Compatible With Windows NT 4.0”

2 – COMO INSTALAR O DC NO AD DS

Para instalarmos um DC no AD DS é muito simples e temos três formas de fazer isto:

· Initial Configuration Taks (Add Roles)

· Dcpromo

· Instalação Unattended

Como já conhecemos a instalação utilizando o Dcpromo, vamos instalar de forma diferente do convencional, vamos chamar a instalação atráves do Add Roles Wizard que esta dentro do Server Manager, vamos lá!

Primeiro abra o menu iniciar em seguida a opção Server Manager, a tela abaixo irá ser aberta:

Figura 2 – Configuração de Roles no Server Manager

Agora clique na opção ADD ROLES a Figura 3 aparecerá, nesta figura clique em Avançar (Next)

Figura 3 – Configuração de Roles no Server Manager

Na Figura 4 escolhemos a opção de “Active Directory Domain Services” com esta opção marcada ordenamos ao servidor que instale esta ROLE.

Figura 4 – Escolhendo o Active Directory Domain Services

A Tela da Figura 5 demonstra o que é a ROLE de ADDS, segue abaixo:

Figura 5 – Tela de Introdução ao Active Directory Domain Services

Nesta tela podemos efetivar nossa nova ROLE clicando na opçãoINSTALL, segue na Figura 6

Figura 6 – Tela de Summary para Instalação do AD

A tela da Figura 7 demonstra que após a Role ter sido instalada, agora devemos executar o comando DCPROMO, para efetivar este computador com GC e DNS.

Figura 7 – Instalação de Role concluída

Clique no Menu Iniciar | Executar e Digite: DCPROMO, conforme a Figura 8.

Figura 8 – Iniciar a Configuração do Domain Controller

Em seguida a tela da Figura9 irá aparecer onde você deverá marcar a opção “Use Advanced Mode Installation”, esta opção traz todas as telas de configurações. Neste tutorial iremos mostrar cada uma das opções neste  recurso será de grande valia.

Figura 9 – Tela Inicial do Active Directory Domain Services

Na Figura 10 o DCPromo demonstra todas as mudanças feitas em compatibilidade pelo Windows Server 2008 – DC, estas modificações serão comentadas no artigo “Criando um Dc adicional em Ambiente 2003”.

Figura 10 – Compatibilidade de Sistema Legados

Na tela da Figura 11, podemos escolher entre criar um controlador de domínio DC adicional ou um novo Domínio e Nova Floresta, neste tutorial criaremos um Domínio e Floresta 2008, os demais cenários serão reportados nos próximos artigos.

Figura 11 – Criando um Novo Domínio e uma Nova Floresta

Após escolhermos a opção de criação de novo domínio e nova floresta, podemos agora escolher o novo nome FQDN (Fully Qualified Domain Name).

É indicado a utilização de domínios de cunho interno como “.local” “.corp” e demais, não utilize domínios válidos na internet com domínios internos sem ter amplo conhecimento de DNS. Antes de prosseguir sugerimos a leitura do KB: http://support.microsoft.com/kb/300684 .

Figura 12 – Escolhendo o Nome FQDN

Após a pesquisa no gerenciador de nomes do domínio o próprio DCPROMO lhe demonstra o nome netbios selecionado por ele como o padrão para Netbios. Caso tenha necessidade, pode-se efetuar a troca do nome netbios conforme seu desejo.

Figura 13 – Resolução de Nome Netbios como Opção

Na Figura14 temos os níveis funcionais de Floresta disponíveis para podermos executar em nosso novo domínio, iremos falar um pouco sobre os níveis de Floresta e suas modificações:

Níveis Funcionais de Floresta

Níveis de Floresta

DC Suportados

Windows 2000

Windows 2000, Windows Server 2003 e Windows Server 2008

Windows Server 2003

Windows Server 2003 e Windows Server 2008

Windows Server 2008

Windows Server 2008

Tabela 2 – Tabela de Níveis Funcionais de Floresta

Selecione a opção Windows Server 2008 no menu e clique em avançar.

Figura 14 – Opções de Forest Function Level

Quando a opção Windows Server 2008 é marcada dentro do Forest Function Level, não temos a opção de Domain Level que também relata três funções Windows 2000, Windows Server 2003 e Windows Server 2008. Com isto o DCPROMO nos traz as opções da Figura15.

Podemos ou não instalar oDNS Server neste servidor, esta opção já era existente e continua no menu do DCPROMO, como novas opções temos o Global Catalog (Apagado pois por ser o primeiro DC da floresta este DC já herda o GC e as FSMO`s). A opção de Read-Only Domain Controller RODC, falaremos num próximo post.

Figura 15 – Opções adicionais no DC

A Figura16 nos mostra uma mensagem de Alerta após clicarmos em Next na imagem da Figura15, isto significa que ao colocar um IP Fixo no DC a configuração ou de Ipv4 ou de Ipv6 esta ativa e configurada para funcionar dinamicamente. (DHCP), caso vc não utilize neste servidor mais de um protocolo de comunicação desative o protocolo não utilizado.

Figura 16 – Configuração Ipv6 Habilitada por Default

Caso estejamos trabalhando com domínios filhos a integração DNS é automática desde que falemos de um domínio filho, em nosso caso somos o domíno pai, basta continuar para recebermos a tela da Figura18.

Figura 17 – Integração de Delegação DNS

A tela da Figura18 demonstra os diretórios para os arquivos de LOG, Database (Ntds.dit) e Pasta Sysvol. Confirme o caminho dos dados e clique em Next.

Figura 18 – Diretório Default para Log, Database e Sysvol

Na tela da Figura19 temos a antiga tela de configuração de Password para Directory Restore Mode, não tente deixar a senha em branco pois receberá o erro da Figura20, será necessário que vc preencha uma senha complexa para este tipo de manutenção do servidor.

Figura 19 – Senha de Disaster Recovery Restore Mode

Figura 20 – Obrigatório senha de Restore Mode

Por último temos o Summary, este é o relatório completo de todo o processo de instalação do Dcpromo para este novo Domínio e nova Floresta.

Vale salientar o botão “Export Settings” nesta opção poderemos exportar o conteúdo do Summary para um arquivo texto, possibilitando assim a instalação de um DC em instalação Unattended, Segue imagem na Figura21.

Figura 21 – Summary de Instalação do DC

No quadro abaixo coloquei o conteúdo do arquivo exportado na Figura 21, para conhecimento, segue abaixo Quadro 1.

; DCPROMO unattend file (automatically generated by dcpromo)

; Usage:

;   dcpromo.exe /unattend:Z:\Windows 2008\shequinahDC.txt

;

[DCInstall]

; New forest promotion

ReplicaOrNewDomain=Domain

NewDomain=Forest

NewDomainDNSName=shequinah.local

ForestLevel=3

DomainNetbiosName=SHEQUINAH

DomainLevel=3

InstallDNS=Yes

ConfirmGc=Yes

CreateDNSDelegation=No

DatabasePath="C:\Windows\NTDS"

LogPath="C:\Windows\NTDS"

SYSVOLPath="C:\Windows\SYSVOL"

; Set SafeModeAdminPassword to the correct value prior to using the unattend file

SafeModeAdminPassword=

; Run-time flags (optional)

; RebootOnCompletion=Yes

Quadro 1 – Conteúdo do arquivo Unattend

Após este passo basta confirmar a instalação conforme a Figura22 e após os procedimentos confirmar a instalação com o Restart demonstrado na Figura23.

Figura 22 – Processo de Instalação Finalizado

Figura 23 – Tela de Restart para Efetivar as Opções de DC

3 – VERIFICANDO A INSTALAÇÃO

Pós instalação verifique se o Active Directory Users and Computers esta abrindo e se os dados de Domain Controller estão corretos com o nome do Dc criado.

                3.1 – Verificar o Active Directory Users and Computers (Registro de DC)

                3.2 – Verificar se o Dns reverso esta habilitado, utilize o Nslookup caso a resposta não seja encontrada crie uma Zona Reversa e crie um Ponteiro para o DC na Zona reversa.

                3.3 – Verifique o Event Viewer

Links Relacionados

Windows Server 2008

O que Há de Novo:
http://www.microsoft.com/windowsserver2008/en/us/default.aspx

Server Unleashed:
http://www.microsoft.com/windowsserver2008/en/us/serverunleashed/default.html

Abraços,

Glaucio Rocha

 


Responses

  1. Hi to every one, the contents existing at this web page
    are genuinely amazing for people experience, well,
    keep up the good work fellows.


Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Categorias

%d blogueiros gostam disto: