Operações diversas com o Active Directory
Pré-Requisitos: Conhecimento dos conceitos teóricos sobre o Active Directory.
Metodologia: Utilizar as ferramentas administrativas do Active Directory.
A partir de agora passarei a mostrar uma série de operações que podem ser executadas no Active Directory e nos DCs. Estas operações são executadas usando as ferramentas administrativas que são instaladas juntamente com o Active Directory, conforme descrito anteriormente. Para acompanhar e entender os que mostrarei a seguir é importante que você tenha entendido bem todos os conceitos teóricos sobre Active Directory, apresentados anteriormente.
Modos de funcionalidade do domínio e da floresta.
É comum a rede da empresa “conviver” com diferentes versões do Windows em seus servidores. Isso aconteceu na migração do NT Server 4.0 para o Windows 2000 Server, onde durante um bom tempo ainda existiam (na prática sabemos que ainda existem) servidores com o NT Server 4.0 em utilização na rede, juntamente com os servidores com o Windows 2000 Server. Agora com o Windows Server 2003, é provável que, no mesmo domínio, tenhamos servidores com o NT Server 4.0, Windows 2000 Server e Windows Server 2003. Dependendo de existir apenas servidores com o Windows Server 2003 ou uma “mescla” com outras versões (NT Server 4 e Windows 2000 Server), existem diferentes níveis de funcionalidade para um domínio e para a floresta como um todo. Em cada nível de funcionalidade estão disponíveis/habilitadas diferentes funcionalidades.
O Windows Server 2003 (a exemplo do que acontecia com o Windows 2000 Server), tem diferentes níveis de funcionalidade, com base nos tipos de DCs (com NT Server 4.0, com Windows 2000 Server, com Windows Server 2003 ou uma mescla destas versões) instalados na rede. Neste tópico vou descrever os níveis de funcionalidade disponíveis e as diferentes funcionalidades que estão disponíveis em cada nível.
Com o Windows Server 2003 foi introduzido o nível de funcionalidade da floresta, o que não existia com o Windows 2000 Server.
O nível de funcionalidade do domínio determina quais características estão ou não disponíveis.
Existem quatro níveis de funcionalidade do domínio no Windows Server 2003:
- Windows 2000 mixed
- Windows 2000 native
- Windows Server 2003 interim
- Windows Server 2003
Por padrão é selecionado o nível de funcionalidade Windows 2000 mixed. Muitos dos recursos mais avançados, tais como grupos Universais, somente estão disponíveis nos demais níveis de funcionalidade: Windows 2000 native, Windows Server 2003 interim ou Windows Server 2003.
O nível de funcionalidade da floresta é uma novidade do Windows Server 2003. Existem três níveis de funcionalidade da floresta disponíveis: Windows 2000, Windows Server 2003 interim e Windows Server 2003. Por padrão é selecionado o nível Windows 2000. Muitas das novidades do Windows Server 2003 em relação ao Active Directory somente estão disponíveis nos níveis mais avançados: Windows Server 2003 interim ou Windows Server 2003.
Para que o nível de funcionalidade da floresta seja configurado para Windows Server 2003, todos os DCs de todos os domínios devem estar com o Windows Server 2003 instalado. Somente neste nível é que estarão disponíveis todos os recursos do Active Directory, incluindo a maioria das novidades introduzidas com o Windows Server 2003.
O que define se é possível ou não utilizar um determinado nível de funcionalidade é a existência ou não de DCs com versões anteriores do Windows, tais como o Windows 2000 Server e o Windows NT Server 4.0.
- Windows 2000 mixed: Suporta DCs com o Windows NT Server 4.0, Windows 2000 Server ou Windows Server 2003.Neste nível de funcionalidade não é possível a utilização de grupos Universais e não é possível renomear um DC (ao invés disso o DC tem que ser rebaixado a member server, faz-se a renomeação e promove-se o servidor novamente a DC);
- Windows 2000 native: Suporta DCs com o Windows 2000 Server ou com o Windows 2003 Server. Neste nível de funcionalidade são suportados grupos Universais. Neste nível é possível utilizar os grupos Universais porém não é possível renomear DCs sem antes rebaixa-los de volta a member server;
- Windows Server 2003 interim: Suporta DCs com o NT Server 4.0 ou com o Windows Server 2003. Este nível de funcionalidade é utilizado quando você está em processo de migração de uma rede baseada no Windows NT Server 4.0 para o Windows Server 2003;
- Windows Server 2003: Somente DCs com o Windows Server 2003. Este é o nível onde estão disponíveis todos os recursos e novidades do Active Directory.
Nota: Quando você altera de um modo de funcionalidade para o outro, não será mais possível criar DCs com versões não suportadas do Windows. Por exemplo, quando você passa do modo Windows 2000 mixed para o modo Windows 2000 Native, não será mais possível inserir DCs com o NT Server 4.0 e nem será voltar para o nível de funcionalidade anterior.
Agora vou falar sobre os níveis de funcionalidade da floresta e as características de cada nível. Esta é uma das novidades do Windows Server 2003, ou seja, o conceito de nível de funcionalidade da floresta. Conforme descrito anteriormente, estão disponíveis três diferentes níveis de funcionalidade de floresta, conforme detalhado a seguir:
- Windows 2000: Este é o nível de funcionalidade padrão. Neste nível podem coexistir DCs com o NT Server 4.0, Windows 2000 Server e Windows Server 2003. Normalmente é utilizado durante a fase de migração de uma rede baseada no NT Server 4.0 para o Windows Server 2003. Neste nível, a maioria das novidades do Active Directory no Windows Server 2003 estão desabilitadas, como por exemplo: melhorias na replicação do catálogo global (somente estarão disponíveis na replicação entre dois servidores de catálogo global baseados no Windows Server 2003), relação de confiança entre florestas, renomeação de domínio, melhorias na replicação do Active Directory, dentre outros;
- Windows Server 2003 interim: Este nível de funcionalidade da floresta é utilizado quando da migração de uma rede baseada no NT Server 4.0 diretamente para o Windows Server 2003. Suporta DCs baseados no NT Server 4.0 e no Windows Server 2003. A maioria das novidades do Active Directory não estão disponíveis neste nível de funcionalidade;
- Windows Server 2003: Este nível de funcionalidade da floresta é utilizado quando a migração já foi completada e somente existem DCs com o Windows Server 2003. Somente suporta DCs baseados no Windows Server 2003. É neste nível que estão disponíveis todas as novidades do Active Directory no Windows Server 2003.
Quando você configura o nível de funcionalidade mais alto, não poderão ser introduzidos DCs com as versões anteriores do Windows. Por exemplo, quando o nível de funcionalidade da floresta é configurado como Windows Server 2003, não será mais possível criar novos DCs baseados no NT Server 4.0 ou no Windows 2000 Server.
Como configurar o nível de funcionalidade de um domínio e de uma floresta:
Os níveis de funcionalidade do domínio e da floresta são configurados com o console Active Directory Domains and Trusts.
Configurando o nível de funcionalidade do domínio:
1. Faça o logon como Administrador ou com uma conta com permissão de administrador no domínio.
2. Abra o console Active Directory Domains and Trusts (Domínios e Relações de Confiança do ad): Start -> Administrative Tools -> Active Directory Domains and Trusts.
3. Será exibido o console Active Directory Domains and Trusts, onde é exibida a árvore de diretórios da sua rede, conforme indicado na Figura 1:
 |
| Figura 1 O console Active Directory Domains and Trusts. |
4. Clique com o botão direito no domínio a ser configurado e no menu que é exibido clique em Raise Domain Functional Level... (Definir o Nível de Funcionalidade do Domínio...)
5. Será exibida a janela Raise Domain Functional Level, indicada na Figura 2. Selecione o nível de funcionalidade desejado e clique em Raise. Surgirá uma mensagem informando que estas alterações afetarão todo o domínio. Clique em OK para fechar a mensagem e definir o nível de funcionalidade do domínio e que você não poderá voltar ao nível anterior. Por exemplo, quando você altera do nível Windows 2000 Mixed para o nível Windows 2000 Native, não será possível voltar ao nível Windows 2000 Mixed novamente.
 |
| Figura 2 A janela Raise Domain Functional Level. |
6. Surge uma mensagem informando que o nível de funcionalidade do domínio foi alterado. Clique em OK. Você estará de volta ao consolo Active Directory Domain and Trusts.
7. Feche o console.
Agora vou mostrar os passos para configura o nível de funcionalidade da floresta. Para executar esta operação você deve fazer o logon com uma conta com permissão de Enterprise Admin.
Configurando o nível de funcionalidade da floresta:
1. Faça o logon com uma conta com permissão de Enterprise Admin.
2. Abra o console Active Directory Domains and Trusts (Domínios e Relações de Confiança do ad): Start -> Administrative Tools -> Active Directory Domains and Trusts.
3. Será exibido o console Active Directory Domains and Trusts, onde é exibida a árvore de diretórios da sua rede.
4. Clique com o botão direito na raiz da árvore a ser configurada e no menu que é exibido clique em Raise Forest Functional Level... (Definir o Nível de Funcionalidade da Floresta...)
5. Será exibida a janela Raise Forest Functional Level, indicada na Figura 2. Selecione o nível de funcionalidade desejado e clique em Raise. Surgirá uma mensagem informando que estas alterações afetarão todos os domínios. Clique em OK para fechar a mensagem e definir o nível de funcionalidade do domínio e que você não poderá voltar ao nível anterior. Por exemplo, quando você altera do nível Windows 2000 para o nível Windows Server 2003, não será possível voltar ao nível Windows 2000 novamente.
Figura 3 A janela Raise Forest Functional Level.
Gerenciando relações de confiança entre domínios.
Conforme descrito no post sobre WINDOWS SERVER 2003: ACTIVE DIRECTORY - CONCEITOS, o Windows Server 2003 cria e gerencia, automaticamente, as relações de confiança entre os domínios de uma árvore de domínios. Porém em determinadas situações, pode ser necessária a criação de relações de confiança, manualmente, pelo Administrador. Para criar relações de confiança manualmente (Trusts), o administrador utiliza o console Active Directory Domains and Trusts. A seguir descrevo os passos para acessar a janela para criação de relações de confiança manualmente.
Configurando relações de confiança manualmente:
1. Faça o logon como Administrador ou com uma conta com permissão de administrador no domínio.
2. Abra o console Active Directory Domains and Trusts (Domínios e Relações de Confiança do Active Directory): Start -> Administrative Tools -> Active Directory Domains and Trusts.
3. Será exibido o console Active Directory Domains and Trusts, onde é exibida a árvore de diretórios da sua rede.
4. Clique com o botão direito no domínio a ser configurado e no menu que é exibido clique em Propriedades (Properties).
5. Na janela de Propriedades dê um clique na guia Trusts. Nesta guia, indicada na Figura 4, o administrador pode criar relações de confiança com outros domínios e definir as características desta relação de confiança, conforme descrito anteriomente.
 |
| Figura 4 A guia Trusts da janela de propriedades do domínio. |
Configurando um DC como Servidor de Catálogo Global.
Para que um usuário possa fazer o logon e ser autenticado na rede, ele precisa contatar um Servidor de Catálogo Global, conforme descrito anteriomente. Por padrão, o primeiro DC de um domínio é, automaticamente, configurado como Servidor de Catálogo Global. A recomendação da Microsoft é que você tenha, pelo menos, um Servidor de Catálogo Global em cada site, para reduzir o tempo necessário para o logon e evitar tráfego adicional nos links de Wan. A seguir mostrarei os passos necessários para configurar um DC como Servidor de Catálogo Global.
Como configurar um DC como Servidor de Catálogo Global:
1. Faça o logon com uma conta com permissão de Enterprise Admin.
2. Abra o console Active Directory Sites and Services (Dites e Serviços do Active Directory): Start -> Administrative Tools -> Active Directory Sites and Services.
3. Será exibido o console Active Directory Domains and Trusts, onde é exibida a árvore de sites da sua rede. Lembrando, do posts anteriores, que os sites representam a divisão física da rede e são utilizados para otimizar e gerenciar o tráfego de replicação entre os DCs de um domínio.
4. Acesse o site onde está o servidor que você quer configurar como Servidor de Catálogo Global, conforme exemplo da Figura 5, onde foi selecionado o servidor SRV-WIN2003.
 |
| Figura 5 Selecionando o DC a ser configurado como Servidor de Catálogo Global. |
5. Abaixo do nome do servidor, clique com o botão direito do mouse na opção NTDS Settings. No menu que é exibido clique em Propriedades (Properties).
6. Será exibida a janela NTDS Settings com a guia Geral selecionada. Para transformar o DC selecionado em um Servidor de Catálogo Global, marque a opção Global Catalog (Catálogo Global), conforme exemplo da Figura 6:
 |
| Figura 6 Transformando o DC selecionado em um Servidor de Catálog Global. |
7. Clique em OK e pronto, o DC SRV-WIN2003 será configurado como Servidor de Catálogo Global e, além da cópia completa de todos os objetos do seu próprio domínio, passará a ter uma cópia parcial (somente alguns atributos), de todos os objetos dos demais domínios, conforme explicado nos posts anteriores.
Nenhum comentário:
Postar um comentário