Implementando o Active Directory
Uma série de guias práticos para implementações de produtos
Microsoft
 O intuito deste guia prático é mostrar o passo a passo como
é a implementação dos produtos, no nosso caso AD (Active Directory).
Vamos demonstrar como criamos o AD no primeiro servidor do domínio.
1. Preparação do Ambiente
Antes de implementarmos o Active Directory é importante validarmos os
seguintes pré-requisitos:
- IP fixo no servidor Windows 2003 onde o AD vai ser instalado
- Servidor com Windows Server 2003 com todos os Service Pack(s) e
Hotfix(es) instalados
- Eventviewer sem nenhuma mensagem de error ou warning (boa
prática)
- Não é necessário instalar DNS Server e nenhum outro software
adicional por enquanto
- Definir o nome FQDN (Full Qualified Domain Name) do domínio, de
preferência um nome DNS interno, no nosso caso guiapratico.local
ao invés de guiapratico.com.br.
- Configurar o IP do DNS primário para o próprio IP da seguinte
forma:
2. Implementação do Active Directory
Estando com o Windows Server 2003 atualizado e ligado e logado
como Administrator do servidor, vamos fazer os seguintes
procedimentos:
a) Validar a configuração da placa de rede
Ir
em Start, Control Panel, duplo clique em Network
Connections, botão direito na placa de rede e
Properties
Selecionar
Internet Protocol (Tcp/IP) e clicar no botão Properties
Devemos
colocar um IP fixo para o servidor e como ele é o primeiro
do domínio também definir no DNS ele próprio como servidor,
apesar de ele ainda não possuir o serviço de DNS.
|
 |
|
|
 |
b) Ir em Start e depois em
Run b) digitar dcpromo e OK
Com
isto iniciaremos o processo de instalação do Active Directory. |
|
| d) Tela de boas
vindas, clique em next
É
neste ponto que realmente começa a instalação do Active
Directory. |
 |
|
|
 |
e) A segunda tela do assistente é
informando que o Windows Server 2003 implementa segurança.
O
Assistente do Active Directory informa que o Windows Server 2003
possui mais segurançao que os anteriores. Portanto alguns
clientes legados (Windows 95 e Windows NT 4.0 SP3) como também
Apple Mac OS X e clientes Samba, podem não atender todos estes
requisitos de segurança.
Por default o Windows Server 2003 assina digitalmente os
pacotes SMB, com isto temos que ter alguns cuidados:
- Para máquinas Windows for Workgroups e/ou Windows 9x,
fazer upgrade ou instalar o Active Directory Client (gratuíto);
Para máquinas Windows NT4 instalar um service pack posterior
ao 3
- Se não puder fazer esta instalação é necessário
desabilitar na policie dos servidores 2003 o parâmetro:
Secure channel encryption or signing, caso contrário os
sistemas legados não conseguiram entrar e nem efetuar logon
no domínio.
|
|
|
f) Na terceira tela do assistente é
necessário definir se é um DC (Domain Controller) de um novo
domínio ou se vai ser adicionado há um domínio existente.
No
nosso caso como é o primeiro DC da rede é a primeira opção. |
 |
|
|
 |
g) A quarta tela
do assistente questiona como será criado o novo domínio, as
opções possíveis são explicadas abaixo:
Primeiro domínio de uma nova floresta, primeira máquina da
floresta Active Directory
- Child domain in an existing domain
tree
Adição de um domínio filho em uma floresta e árvore já
existente. No nosso exemplo o nosso domínio GuiaPratico será
adicionado a arvore
- Domain tree in an existing forest
Uma nova árvore de domínio em uma floresta existente
|
|
| h) Na quinta
tela do assistente devemos definir o nome dns da Zona, como já
definimos previamente, colocamos guiapratico.local |
 |
|
|
 |
i) Na sexta tela
do assistente definimos o nome NetBIOS do domínio, este nome
será utilizado em máquinas legadas (Windows 9x, NT) para
ingressarem no domínio. |
|
| j) Na sétima
tela do assistente, já terminamos a parte de configuração de
design do Active Directory e temos que validar onde o mesmo será
instalado, por default é implementado em C:\%SystemRoot%\NTDS
Para
trabalharmos com os arquivos da base do Active Directory
utilizamos o comando NTDSutil, para configurarmos
limpeza a base, desfragmentaçao e etc.. |
 |
|
 |
k) Na oitava
tela do assistente definimos onde fica o diretório físico do
compartilhamento SYSVOL, todo o conteúdo desta pasta é
replicado entre todos os DCs do mesmo domínio. |
|
| l)
Na nona tela do assistente o setup detectará
que não possuímos DNS Server instalado e nos dará três opções, a
mais viável é a segunda (marcada com um retângulo vermelho),
onde o setup instala e configura a zona dns do domínio (guiapratico.local)
automaticamente.
Obs:
Como o DNS não está implementado será solicitado as mídias de
instalação do Windows Server 2003. |
 |
|
 |
m) Na décima
tela do assistente definimos qual será a permissão padrão para o
domínio, por default o legado permitia a leitura de certas
informações do domínio (Everyone), nós optamos por permissões
compatíveis com Windows 2000 e/ou 2003, que diz que somente
usuários Autenticados possam ler informações no domínio. |
|
| n) Esta é a
senha que será usada quando o Domain Controller for iniciado no
modo Directory Services Restore Mode, esta opção só aparece
quando rodamos o setup /cmdcons esta senha é somente para esta
finalidade, caso queiramos trocar é necessário acessar o
utilitário ntdsutil e escolher a opção Set DSRM
password |
 |
|
 |
o) Na penúltima
tela é mostrado um resumo de todas opções escolhidas durante o
assistente de instalação do Active Directory. |
|
|
p) E na última
tela, temos o tradicional Finish, que informa que a
criação foi com existo e que este servidor foi designado para o
Site default chamado Default-First-Site-Name.
Após
o Finish será necessário o reboot do servidor.
|
 |
|
3. Validando a Instalação
do Active Directory
Depois de executado os passos
acima e reiniciado o servidor. Devemos atentar para os seguintes pontos:
3.1. Analisar o arquivo de
log
O
assistente do Active Directory, gera dois arquivos de log: DCPROMO.LOG
e dcpromoui.log, o primeiro arquivo contém toda atividade que o
assistente de instalação executou no processo de criação do Active
Directory, já no segundo temos todas opções selecionadas e executadas na
interface gráfica que executamos no dcpromo.
Os
arquivos de instalação ficam no diretório c:\Windows\Debug.
3.2 Verificar se o
compartilhamento NETLOGON e SYSVOL estão disponíveis
O servidor
não é considerado Domain Controller enquanto não estiver com os
compartilhamentos NETLOGON e SYSVOL disponíveis, quando isto ocorre é
gerado um evento 13516 no Event Viewer de Aplicação informando que o
servidor já está apto a receber toda a gama de autenticação.
Logo após aparecer o Event ID
13516 é possível ir em Start / Run / e digitar \\<servidor>, onde
<servidor> é o nome do servidor que estamos instalando, deverá aparecer
os seguintes diretórios:
3.3 Verificando o Active
Directory Users and Computers
Depois que validamos a
instalação do Active Directory, devemos ir em Start / Run
/ dsa.msc e validar o Active Directory Users and Computers:
Podemos
perceber que o Active Directory Uses Computers aparece no formato padrão
com os usuários e grupos padrão.
4. Checklist da Instalação do Active Directory
| Etapa |
Passos necessários |
| 1 |
Instalar o sistema operacional Windows
Server 2003 + Updates (hotfixes + service pack) |
| 2 |
Definir o nome do domínio |
| 3 |
Configurar a placa de rede |
| 4 |
Rodar o dcpromo |
| 5 |
Reiniciar o servidor |
| 6 |
Validar a instalação do Active Directory (Eventviewer,
arquivos de logs e shares) |
| 7 |
Parabéns, você já está com um Active
Directory funcional! |
|
