Servico ad

1.993 visualizações

Publicada em

  • Seja o primeiro a comentar

Servico ad

  1. 1. Active Directory1 - INTRODUÇÃOQuando falamos de Serviços de diretórios, devemos antes saber o que é este componente e o que difere de outros modelos. Para darmoscontinuidade ao nosso aprendizado, começaremos com a teoria para no decorrer, demonstrar o funcionamento e configurações em umambiente Active Directory.Muitos ainda utilizam o ambiente de grupos de trabalhos, talvez por desconhecimento das economias que os serviço de diretóriosproporcionam para as empresas. Vejamos como funciona um ambiente sem Active Directory.No caso acima, expressamos um ambiente extremamente simples, sem qualquer conectividade externa. Cada estação de trabalho representao seu único meio de trabalho, havendo falhas, todo um grupo de usuários será afetada, causando a perda de produtividade.Neste modelo, podemos constatar os seguintes pontos: • dificuldade no gerenciamento e segurança das estações de trabalho: cada alteração na configuração deverá ser efetuada em cada estação. Supomos que essa alteração consuma 5 minutos de 1 operador, multiplique pela quantidade de estações e você verá o tempo de uma simples alteração ser reportada. • ausência de serviço de validação de acesso: autorização, autenticação e auditoria. Esses 3 pilares são encarregadas de dizer quem e quando poderá acessar um recurso e se o acesso foi realizado da maneira correta. • dificuldade de crescimento: as informações estão em várias estações, dificultando o processo de localização, backup/restore e tráfego das mesmas.Resumindo, ambientes workgroups são inseguros, improdutivos e instáveis.A informação é um ativo das empresas e o diferencial entre as concorrentes é maneira que estas são analisadas. Os processadores evoluíram,as informações cresceram e o mercado não espera. Na medida em que o ambiente computacional cresce nas empresas, a demanda poragilidade e segurança.A centralização de informações de maneira ordenada facilita administração de ambientes grandes e extremamente complexos. O ActiveDirectory é o serviço de diretórios para ambiente Microsoft Windows capaz de gerenciar todos os seus ativos de maneira segura,centralizada/descentralizada (dependendo do estrutura organizacional de sua corporação). Na figura abaixo, estaremos dando uma primeiravisão deste modelo:
  2. 2. Podemos notar que neste ambiente existe uma relação de heranças, possibilitando a organização de uma empresa. As alterações poderão serrepassadas de maneira clara e sem a necessidade de intervenção humana. A organização da empresa passa a ser expressa de maneira clara,facilitando a localização e integração dos dados.O AD (como é conhecido por muitos) não é o sucessor dos famosos domínios do NT4 e nem foi criado baseado no mesmo. O AD é umproduto lançado em conjunto com o Microsoft Windows 2000 e que acompanha toda a gama de produtos da Microsoft, tanto que ele deve serinstalado após configuração do Windows 2000/2003 Server.O Active Directory possibilita a união de várias empresas facilitando a unificação dos dados e os projetos de integração. Existem milhares deformas de expressar o ambiente Microsoft Active Directory. Veja o exemplo:Resumindo, o Active Directory é um serviço de diretórios poderoso, que permite o crescimento de maneira ordenada e saudável de toda suarede. Vejamos algumas características: • suporte LDAP nativo facilitando a integração com produtos de terceiros(Linux, Netware); • integrado com todos os produtos Microsoft (Exchange, SQL, SMS, MOM, ISA, Visual Studio); • gerenciamento centralizado ou descentralizado (de acordo com a necessidade da empresa); • maior capacidade de armazenamento de objetos; • integrado e dependente do serviço de DNS; • segurança em nível de objeto, com possibilidade de delegação de direitos (afinal, cadastrar usuário é algo que outras pessoas podem fazer); • distribuição de softwares de forma centralizada;Baseados nesses dois cenários podemos criar a seguinte comparação de esforços: » Não estamos considerando deslocamento em nenhum destes cenários » Existem n tarefas que são desempenhadas diariamente nas empresas.O quadro nos mostrou um índice de retrabalho de 5,7 vezes menor em um ambiente baseado em solução Microsoft. No final de um ano, vocêpoderá apresentar aos diretores da empresa o ROI deste produto.Para podermos instalar este serviço de diretório, antes de tudo, é necessário uma estratégia. Muitos analistas acham o processo de promoçãode um servidor para Domain Controller algo rápido, fácil e sem impacto na infra-estrutura. Caso o domínio seja criado de maneira errônea, todasua rede será impactada, causando perda de segurança, desempenho de rede, gerenciamento (guardem essa palavra, management). Amelhor situação seria a criação de um ambiente de simulação para implantação. Profissionais de alta competência necessitarão estarenvolvidos nesta fase. Neste ambiente você colocará a prova de fogo as situações que o AD infrentará ao longo dos anos, afinal você não estáinvestindo em algo para durar 1 ano.Existem muitas outras situações que devem ser abobadadas no projeto, tais como: • qual a visão da minha empresa para os próximos anos? • teremos fusões ou unificações? • novas unidades serão criadas?
  3. 3. • terei usuários remotos acessando meus recursos internos? • quem serão os responsáveis pela administração? • qual será o meu sistema cliente? Que benefícios terei utilizando o meu parque? • utilizarei outros produtos Microsoft? • qual será a minha conexão com a internet? • utilizarei serviços Web para alavancar o foco da minha empresa?Existem ainda os questionamentos de outros setores das empresas, ligados diretamente a valores:Qual o meu custo por objeto criado no AD?Nenhum, o AD possibilita a criação de quantos objetos forem necessários.Teste em laboratórios já simularam ambientes com mais de 10milhões de objetos.Qual a necessidade de hardware para instalação?Dependerá do ambiente que você quer administrar. Veja por outro lado, quanto mais você poder centralizar os seus ativos, melhor será aadministração dos mesmos.Quais os sistemas clientes suportados?Podem fazer parte do domínio: - Windows NT4 Server/Workstation; - Windows 2000 Professional/ Server/Advanced/Datacenter; - Windows Server 2003 Web/Standard/Enterprise/Datacenter;Tenho como integrar como o meu ambiente Microsoft Windows NT4?Sim. O ideal é fazer a migração de seu domínio NT4 para o Active Directory na medida do possível, possibilitando a redução do TCO na suaempresa.Tenho como integrar outros sistemas operacionais?Sim. A linguagem LDAP é aberta a uma série de outros softwares existentes no mercado, ou seja, pode ser integrado com ambientesLinux/Unix.2 – COMPONENTES DO ACTIVE DIRECTORYAnteriormente vimos as diferenças dos ambientes com workgroup e os benefícios do Active Directory nas empresas. Agora veremos quais osobjetos e componentes que fazem parte do AD. Para podermos implantar ou gerenciar um ambiente como o Active Directory, é necessáriosabermos quais os seus componentes e qual a função de cada um deles em nossa rede.Conforme escrito anteriormente, os retornos sobre os investimentos de TI estão relacionados diretamente a implantação dos produtos.Qualquer que seja a implantação é necessária à análise e testes para logo após asua implantação. Lembre-se tempo é dinheiro e é justamenteisso que o AD irá lhe proporcionar: economia.Para facilitar o seu aprendizado, leve em consideração que o Active Directory é um banco de dados onde permite a inserção, alteração,exclusão, criação de regras como em qualquer outro banco de dados. Quando você cadastrar um objeto de forma equicada, essa informaçãopoderá ser interpretada de n maneiras por outros administradores de redes.Existem 2 tipos de topologias que devem ser configuradas sempre:Topologia Lógica: corresponde aos objetos existentes em todo Active Directory, organizando-os e definindo políticas específicas, delimitadosde maneira lógica. Para lembrar de maneira mais fácil, a console Active Directory Users and Computers gerencia esse estrutura.
  4. 4. Topologia Física: representa a topologia de rede adotada pela empresa. Dessa maneira, o AD cria a topologia ideal para replicação dosdados de maneira eficiente. Outra função é prover o serviço de autenticação de maneira mais rápido, baseado na rede onde a estação estálocalizada, otimizando a banda. Para memorizar, as consoles o Active Directory Sites and Services e Active Directory Domains and Trusts sãoalgumas das ferramentas para gerenciamento dessa topologia.Vejamos agora os componentes da infraestrutura lógica e física que fazem parte do Active Directory:Floresta: é o conjunto de árvores na empresa, delimitando e empregando diretivas no ambiente em relação às versões dos controladores dedomínio. Através das florestas podem ser efetuadas relações de confiança para compartilhamento de dados com outras empresas. A florestadelimita a segurança das informações contidas no AD, tornando o Schema único(veremos o que é isso). Através da funcionalidade da Floresta,estaremos determinando se o domínio suportará a renomeação dos domínios (recurso existente apenas com Windows Server 2003).Árvore: conjunto de domínios com contigüidade de nome, formando uma hierarquia;Domínio: é um conjunto de objetos que delimitam de maneira administrativa o acesso aos objetos, delegando gerenciamento e funções parauma localidade ou setor.
  5. 5. Sites: representa a localidade ou região onde os recursos de rede estão localizados, facilitando o processo de logon dos usuários. Levando emconsideração o exemplo abaixo, os usuários do site de São Paulo devem tentar validar seus usuários no site local, evitando o consumo debanda entre as localidades.Unidades Organizacionais: utilizado para organização física dos objetos. As OU´s podem ser utilizadas para separar objetos em comum paraaplicação de diretivas de grupos (GPO´s).Domain Controller: servidor encarregado da autenticação dos usuários, replicação dos dados entre outros DC´s. Este servidor é responsávelpela comunicação com outros domínios da empresa. Para haver um serviço de diretório, é necessário pelo menos um Domain Controller emsua rede.Servidores Membros: são todos os outros servidores que não são Domain Controller, ou seja, servidores de aplicações tais como: File andPrint Sharing, SQL Server, Exchange Server, Isa Server, Metaframe, etc. A Microsoft recomenda que sempre que possível, sejam separadosos servidores de aplicação dos servidores de autenticação. Com isso, o ambiente se tornará mais estável e fácil de administrá-lo.Contas de Computador: em ambientes workgroup ou ainda em ambientes NT, não existias a presença desses contas. O fato é que eraextremamente simples a inclusão de novas estações de trabalho, causando assim uma desorganização generalizada. Podem existir contas decomputadores que executem os seguintes sistemas operacionais: Windows NT, Windows 2000, Windows XP, Windows Server 2003 eposteriores (até o presente momento não existem informações de que essas contas venham a desaparecer). Você poderá separar as suasestações de trabalho levando em consideração a região, departamento, função, etc.
  6. 6. Contas de Usuários: todo usuário que irá acessar o ambiente necessita de um usuário para verificação de suas credenciais. Conformecomentado anteriormente, você quer ter certeza de que os usuários que terão acesso aos recursos em sua rede nos horários, locais e meiosacertados com a Diretoria da empresa. Tanto no AD do Windows 2000 e Windows Server 2003, existe a possibilidade de garantir que assenhas serão complexas. No 2000, isso não vinha configurado por padrão, no 2003 já vem como uma série restrições.O cadastro de um usuário não significa apenas completar os campos nome e sobrenome. Nos próximos tutoriais, veremos que podemoscadastrar muitos outros dados nem sempre utilizados, mas que no momento de integração com outras ferramentas, serão importantes.Vejamos algumas informações do cadastro de um usuário:Grupos de usuários: assim como as contas de usuários, devemos detalhar o máximo possível a real necessidade de cada objeto no AD. Osgrupos de usuários são a forma mais simplifica de atribuir permissões ou direitos de maneira ágil, rápida e centralizada. Muitos grupos jáacompanham o sistema operacional como: administrators, power users, backup operators. Porêm, alguns grupos só existem após a instalaçãodo AD: Enterprise Admins, Domain Admins, Schema Admins. Vejamos um exemplo:Pasta Compartilhada: como estamos falando de gerenciamento, os compartilhamentos podem ser disponibilizados direto no AD,centralizando para o gerenciamento do seu ambiente.
  7. 7. Políticas de grupo (GPO): esse é o recurso que mais diferencia o Active Directory de outros serviços de diretório para ambiente Microsoft. AsGroup Policies (GPO) são responsáveis pela delimitação de direitos de contas de computadores e usuários. Através delas são possíveis: * distribuir softwares; * definir políticas de segurança; * membros de grupos; * restrições de aplicações; * padronização de ambientes;Reduzindo os poderes dos usuários em sua infra-estrutura, você estará agindo diretamente nos maiores causadores de problemas, focando osobjetivos da empresa com inovações tecnológicas.Zonas DNS: conforme comentado, o AD utiliza o serviço de DNS para comunicação. É possível a criação de zonas DNS que serão replicadasem conjunto com o Active Directory. Todos os registros são replicados de tempos em tempos, sem a necessidade da criação de zonasprimárias e secundárias, existentes em outros sistemas operacionais.Estes são os principais objetos do Active Directory. Mas, se esses objetos ficam em um banco de dados, como funcionam os dadosarmazenados no mesmo? Para responder essa pergunta, teremos que aprender a diferencia de dois outros itens que compõem o AD: classesde objetos e atributos.
  8. 8. Classes de objetos: é o conjunto de atributos que forma um objeto. Para facilitar o seu conhecimento, lembre o que é um atributo. Noexemplo abaixo vemos a classe user, que corresponde aos dados do objeto usuário.Atributos: são as especificações, descrições necessárias para que sejam criados os objetos, ou seja, são os campos criados para a Microsoftpara armazenar de forma ordenada os dados no AD. Veja o exemplo abaixo: Todos esses dados ficam armazenados em partições do Active Directory. Outras classes de objetos e atributos podem ser criadas para integração de suas aplicações, porêm, tenha cuidado ao criá- las, pois após a criação estes dados não poderão ser removidos, apenas desativados. Veja agora como fica o cadastro de um usuário no banco de dados do Active Directory:Podemos notar os atributos que estão cadastrados para esse objeto. Para visualizaras informações de atributos de classes você deverá utilizaras ferramentas ADSI Edit e Active Directory Schema. Todas essas são consoles MMC que podem ser instalados no Windows 2000 ouWindows Server 2003. O que podemos notar é que todos os objetos listados, em comum existem um campo destinado à segurança do objeto.Isto significa que baseado no seu ambiente, é possível dizer quais usuários terão poderes sobre cada objeto, tornando mais fácil a delegaçãodo seu ambiente. Outro ponto importante de ser ressaltado é que essas informações são idênticas tanto para ambientes do Windows 2000 ouWindows Server 2003.
  9. 9. 3 – INSTALANDO O ACTIVE DIRECTORYRequisitos para instalação do Active DirectoryConforme anteriormente, nós vimos alguns pontos necessários para começarmos a instalação o Active Directory. Caso você não tenha lido-os,recomendo que leia para melhor absorção do conteúdo.Antes de instalarmos o AD em um servidor, precisamos verificar se possuímos os requisitos mínimos em nossa rede. Para a instalação énecessário no mínimo: » Sistema Operacional Windows Server 2003 (todas, exceto Web Edition que só pode fazer parte do domínio) recomenda-se aversão mais atual para evitar migrações futuras. Pode ser instalado em um servidor existente com Windows 2000 Server, mas isso fica acritério do analista no momento do design de sua infra-estrutura. » 250MB de espaço em disco um ponto muito importante, este disco deverá ter o sistema de arquivos NTFS, caso não serápossível a instalação. Você poderá também fazer a conversão do seu disco para NTFS sem necessidade de reinstalação. Lembrando queconforme forem sendo adicionados objetos em sua floresta, será necessário mais espaço em disco. » Privilégios de administrador caso seja um novo domínio/floresta a ser criado é necessário que você pertença ao grupoadministrators local do servidor. » TCP/IP com DNS dois pontos muito importantes: um adaptador de rede com endereço IP fixo, ou seja, sem configurações viaDHCP; serviço de DNS Microsoft Windows ou com suporte a registros de recursos (lembrando que o AD é baseado em DNS, não necessitandodo WINS). Você poderia fazendo a configurando com serviços de DNS de outras empresas, desde que os mesmos aceitem esses recursos. » CD de instalação do Windows afinal de algum lugar devem vir os arquivos de instalação. : ) Se você atende a esses requisitos, vamos ao momento tão esperado: a criação da nova Floresta, Árvore e Domínio. Sempre alertamos que antes de qualquer implantação é necessário planejamento para construção do seu ambiente da melhormaneira para a sua empresa. Como a instalação possui uma série de passos, estaremos criando dois tutoriais para explicação. Procedimento para instalação do primeiro controlador de domínio na rede: OBS: » Todos os passos dos tutoriais serão executados em servidor Windows Server 2003 Standard. O processo de instalaçãopoderá ser efetuado em outra versão, porêm algumas telas aparecerão diferentes necessitando a intuição do analista responsávelpela instalação. » Recomendo que sempre seja efetuado um estudo com uma empresa antes da instalação do Active Directory. 1) Clique em Iniciar (Start) > Executar (Run) e digite dcpromo e pressione next. Será exibida a seguinte tela. Diferente do WindowsNT, é necessário a instalação dessa aplicação. No Windows NT, bastava você dizer qual seria o domínio e o mesmo era criado de maneiraextremamente simples e insegura.
  10. 10. 2) Na próxima tela será apresentada a tela de aviso de compatibilidade com outros sistemas operacionais, assim como os própriosda Microsoft. O Windows Server 2003 já vem configurado para aceitar apenas conexões seguras e que venham assinadas digitalmente (épossível a desativação desse recurso conforme necessidade, pois faz parte de uma GPO criada durante a instalação, porêm você terá umaperda na segurança de sua rede). Pressione Next. 3) Como estamos criando um novo domínio, selecione a primeira opção. Esta opção vale também para situação de criação dedomínios filhos. Após pressione next. Outro ponto importante é que caso você possua algum arquivo com recurso de EFS ativado, estes arquivos serão decriptados edeverão ser encriptados novamente depois, pois os usuários locais são excluídos, deixando apenas os usuários do domínio. 4) Como estamos criando um novo domínio e uma nova floresta selecione a primeira opção e pressione next. Podemos ainda criarum domínio filho ou ainda uma nova árvore de domínios em uma floresta já existente. Esses assuntos estarão vendo em outros momentospara simulação de ambientes complexos.
  11. 11. 5) Neste momento será solicitado o nome dns na qual o Active Directory será conhecido. Como este é o primeiro domínio na floresta,ele será responsável por toda a relação de herança. Digite o nome completo do domínio, no meu caso será empresa.local (um domínio quenão será publicado na internet). No momento que você pressionar next, o instalador enviará uma solicitação para o servidor de DNSconfigurado para verificar se esse domínio já não existe. Caso já exista, será veiculada a informação solicitando a alteração do domínio. 6) Na próxima tela será exibida a primeira porção do domínio DNS como sugestão para o nome netbios do domínio. Isso seráutilizado para os clientes que não utilizam DNS para localização de recursos (Windows 9x/Windows NT). Caso você queira alterar, digite onome e pressione next. No momento que você der continuidade, o servidor fará novamente uma consulta na rede para verificar se existe algumdomínio netbios igual ao solicitado. 7) Lembra-se do que falamos referente o AD ser um banco de dados? Pois é, nesta tela é apresentada a solicitação do local ondeserão armazenados os dados e os arquivos de log. Caso você tenha planejado um domínio com milhões de objetos, utilize discos quepossibilitam uma ótima velocidade de leitura e gravação. Caso seja um serviço de missão crítica, utilize algum serviço de redundância dediscos (RAID 1, 5, 0+1). Isso ficará a seu critério.
  12. 12. 8) Todos os arquivos necessários para autenticação, scripts, gpos devem ficar disponíveis para todos os usuários. A Microsoft járecomenda a pasta conforme na figura para armazenamento desses dados. O conteúdo dessa pasta será replicado com todos os DC´smembros do mesmo domínio, para garantir as mesmas configurações independente de onde você se conecte. Pressione next. 9) Como eu ainda não havia instalado ainda um serviço de dns na minha rede, foi exibida essa tela. Recomendo sempre que sejainstalado o serviço de DNS da Microsoft para controle do ambiente, facilitando o gerenciamento dos analistas, sem a necessidade daintervenção de analistas de outras plataformas. Selecione a segunda opção e pressione next. 10) Um ponto crucial para construção de seu domínio é a versão dos sistemas operacionais que estarão presentes noscontroladores de domínio e servidores membros (não se destina as estações que farão parte). Caso você terá servidores Windows 2000Server, selecione a primeira opção, caso contrário, marque a segunda opção. Após a instalação é possível a alteração desta opção.
  13. 13. 11) Outro ponto muito importante é a senha do Administrador para 12) Nesta tela será exibido um resumo de tudo que será efetuado,recuperação dos serviços de diretórios (esta senha é totalmente caso algo esteja em desacordo, pressione back para efetuar aindependente da atual do administrador local) no caso de um alteração. Até este momento nenhuma configuração foi efetuada nodesastre. Recomendo que essa senha seja armazenada (assim servidor. Somente após pressionar next é que o show dará início.como outras senhas de usuários privilegiados) em algum tipo demídia em um cofre. Lembre, mais vale um pássaro na mão do quedois voando, ou seja, a informação é um ativo e necessita estarsegura.13) Aguarde a configuração do seu ambiente. Neste momento será 14) Caso a sua instalação tenha ocorrido com sucesso, aparecerá aefetuada uma série de alterações que estaremos vendo nos próximos seguinte tela. Reinicie o computador e verifique a tela detutoriais. Neste momento poderá ser solicitado o local dos discos de autenticação aparecerá o domínio no qual você deseja efetuar logon.instalação do Active Directory.Caso você utilize outros sistemas operacionais (Linux, Unix) que possam ser integrados ao Active Directory, é o momento para projetar aunificação da base de dados dos usuários. Quanto mais você poder centralizar os seus cadastros mais simples será o gerenciamento dascontas, maior será a segurança.
  14. 14. 4 – A IMPORTÂNCIA DE UM CONTROLADOR DE DOMÍNIO ADICIONALCom as empresas cada vez mais dependentes da tecnologia para continuidade do seu negócio, estamos maisdependentes de um ambiente computacional integro e tolerante a falhas, pois sistema parado significa prejuízo nobolso. Mas estando falando de computadores, estamos sujeitos a falhas e paradas, certo? Errado.Falaremos sobre a importância de um controlador de domínio adicional na sua empresa, cujo ambiente sejabaseado em Active Directory como gerenciador de recursos de redes.Um controlador de domínio adicional fornece confiabilidade, desempenho e tolerância a falhas para uma empresa,visto que você terá uma redundância total de contas de usuários, computadores e afins.Em um ambiente Windows 2000, 2003 e 2008 cada controlador de domínio contém uma cópia completa do seupróprio diretório de partição, permitindo assim que o DC adicional assuma o ambiente de forma transparente paraos usuários, permitindo uma janela de tempo para que o Controlador seja recuperado, e na pior das hipóteses, oDC adicional poderá ser transformado no principal através de algumas manobras nele.Sendo assim, para obter um sistema tolerante a falhas com o Active Directory, tenha pelo menos um Controladorde Domínio Adicional na sua empresa, ou seu negocio pode parar. Mão na massa!Sabendo sobre a importância, segue um tutorial de como promover um controlador de domínio adicionalNote que um domínio sem controladores adicionais possui apenas um controlador na unidade organizacionalDomain ControllersNo Servidor que será promovido à Controlador de Essa é apenas a tela de boas vindas, clique emDomínio Adicional execute o comando dcpromo avançar. Clique em Next
  15. 15. Clique em Next Nessa tela você deve escolher controlador de domínio adicional para um domínio existenteEspecifique o nome do administrador do domínio e ou Adicione novamente o nome do domíniousuário com privilégio suficiente, coloque a senha e onome do domínioNessa tela o wizard aponta onde será armazenado o Localização da pasta sysvol, clique em nextdatabase e log do Active Directory
  16. 16. Digite a senha do modo de restauração -> Anote e Tela do sumário, clique em Próximoclique em nextObserve se o processo não apresentará erros Ao concluir a duplicação dos dados o wizard apresenta a tela de finishReinicie o servidor membro, que nesse próximo restartele passará a ser um controlador de dominio adicional
  17. 17. Note agora que na OU Domain Controllers o novo DC apareceráComo o objetivo de possuir um DC adicional é manter redundância do serviço, abra o Active directory sites eservices, vá em NTDS Settings do novo servidor de DC e clique em propriedadesMarque a opção Global Catalog e clique em ok. O novo DC será promovido a Catalogo Global em 5 minutos e apartir desse momente seu Active Directory está redundante.

×