Desvendando o Active Directory no Windows 2003- Parte II Operations Master:
No Active Directory, Directory, todos os Domain Controllers são iguais. Ou quase... Existem algumas funções especiais assinaladas somente a um certo DC. Essas funções são chamadas de Operations Masters. Por padrão o primeiro DC da floresta é o que possui as cinco funções e o primeiro DC de cada domínio possui três dessas funções. Funções a nível de Floresta: Schema Master:
Possui a função de controlar as alterações ao schema da floresta. É o schema que contém as definição de todos os objetos que podem ser criados em qualquer domínio da floresta (quando o primeiro domínio é criado, o AD nos disponibiliza cerca de 200 objetos, porém mais objetos podem ser adicionados - manualmente, ou pela instalação do outros softwares, como por exemplo o Exchange 2000.). Domain Naming Master:
É o DC responsável por fazer a adição e remoção de domínios na Floresta. Funções a nível de Domínio: Infrastructure Infrastructure Master:
É o responsável por atualizar referências de objetos do outros domínios no nosso domínio. Ele possui uma relação estreita com o Global Catalog. Quando ele acha que alguns objetos estão desatualizados, ele contacta o Global Catalog em busca de informações atuais, para poder atualizar as suas. Porém se o DC que é o Infrastructure Master for também o Global Catalog, o Infrastructure Master não irá funcionar. funcionar. Isso acontece por que como ele não tem como saber se as informações na sua base de dados já estão atualizadas ou não, ele nunca irá tentar buscar por novas atualizações. RID Master:
É o responsável por assinalar blocaos de RIDs para os outros domain controllers do domínio. Cada objeto criado em um DC recebe um Relative Identifier (RID), que vem do bloco de RIDs recebidos. Se um DC estiver sem mais nenhum RID para ser alocado a um novo objeto, ele requisita mais um bloco de RIDs ao RID Master. Master. Se o RID master estiver fora da rede, o DC que está requisitando o bloco não poderá mais criar nenhum objeto até receber um novo bloco. PDC Emulator:
É o DC responsável por atuar como PDC para BDCs NT 4.0 que ainda existam em nossa rede. Além de desempenhar essa função, ele é responsável por fazer a mudança de senhas para clientes anteriores ao Windows 2000, sincronizar o horário de todos os DCs da rede com o seu e é o parceiro de replicação preferido para mudanças de senhas (Isso significa que, quando alterarmos a nossa senha a partir, por exemplo, de um cliente Window XP, essa senha pode ser alterada em qualquer DC, mas esse DC terá que replicar imediatamente essa mudança para o PDC emulator. emulator. Isso é muito importante na seguinte situação: Você muda a sua senha em um DC; e logo tenta se autenticar em outro DC, porém esse outro DC não recebeu a replicação do Dc em que sua senha foi alterada e não é o PDC Emulator. Emulator. O seu comportamento padrão seria rejeitar a sua tentativa de autenticação, pois com as informações que ele possui, sua senha está incorreta. Porém, antes que qualquer DC rejeite 1
uma tentativa de autenticação por senha incorreta, ele contacta o PDC Emulator para saber se houve alguma mudança. No nosso caso, o DC que estamos tentando nos autenticar contacta o PDC, verifica que nossa senha foi alterada e autoriza o nosso logon.) Global Catalog:
O Global Catalog é responsável por conter um cópias das informações mais buscadas na floresta. Por padrão, ele inclui cerca de 20 por cento das informações existentes na floresta. É ele que permite que sejam feitas buscas por objetos, não importando seu local na floresta, permite o logon de um usuário de qualquer domínio se autentique em qualquer outro domínio da mesma floresta e ele também é responsável por armazenar informações sobre a participação em grupos universais. Por padrão, o primeiro DC da floresta é o Global Catalog Server, mas qualquer outro DC pode ser um Global Catalog. Para tornar um DC Global Catalog, fazemos o seguinte: Clicamos em Start, Programs, Administrative tools e em Active Directory Sites and Services :
Em Active Directory Sites And Services , Clique em "Default-First-Site-Name ", depois em "Servers", no nome do seu servidor que será o Global Catalog, em " NTDS Settings":
2
E em "NTDS Settings", clicamos com o botão direito em vamos em propriedades:
E habilitamos a checkbox do "Global Catalog". Depois é só clicar em OK e já possuímos o nosso Novo "Global Catalog". Como, por exemplo para poder obter informações sobre a participação em grupos universais, os DCs precisam consultar o Global Catalog, seria interessante ter diversos "Global Catalogs" espalhados por nossos Sites (Logo vamos falar sobre sites). Porém isso não é necessário em um ambiente nativo Windows 2003. Porém configurar que todos os DCs de um sites
3
armazenem no seu cache as informações que já consultaram no Global Catalog. Esse é um novo recurso no windows 2003! Então vamos ver como fazer essa configuração: Voltamos no Active Directory sites And Services , vamos em "Default-First-Site-Name ", em "NTDS Settings", clicamos com o botão direito e vamos em propriedades:
E habilitamos a opção " Enable Universal Group Membership Caching". Está feito! Sites:
O domínio é a divisão lógica da nossa rede. Já para podermos dividi-la fisicamente, utilizamos os sites. Domain Controllers no mesmo site possuem uma conexão de alta velocidade entre eles. Já DCs que não possuem um boa conexão (no mínimo 500 Kbps) entre eles, devem ser colocados em sites diferentes. Isso deve ser feito por que DCs no mesmo site replicam por um mecanismo chamado "Change Notification", que é de 5 minutos; isto significa que quando houver alguma alteração em um DC, depois de 5 minutos ele irá replicar essas informações recebidas aos outros DCs. Já entre sites, esse mecanismo não é utilizado. A replicação ocorre de acordo com o tempo configurado (por padrão é de 180 minutos). Bom vamos ver como criar um outro site! Vamos novamente em Active Directory Sites And Services , e em Sites, clicamos com o botão direito em vamos em "New Site":
4
Colocamos o nome do nosso site ( SP_site) e configuramos o link dele clicando em "DEFAULTIPSITELINK ", e depois clicamos em OK.
Veja, o nosso site já está criado! Novas Funcionalidades do Active Directory: Funcionalidade drag-and-drop: Agora é possível arrastar objetos para outros container do
AD (outras Ous).
Saved queries: É possível salvar parâmetros de buscas muito utilizados.
5
Ferramentas de linha de comando: Executar comando antes só feitos por wizards por
linha de comando.
Instalação de um DC adicional pelo backup de outro : Agora é possível fazer a
instalação de um DC, pelo backup de outro, evitando o tempo que as informações tinham de ser replicadas. Universal Memebership Caching: Como vimos, é possível que qualquer Dc guarde em seu
cache as informações que ele já consultou no global catalog, evitando tráfego desnecessário na rede. Renomear um Domain Controller: Agora é possível renomer um DC sem ter que
despromovê-lo e promovê-lo novamente.
Relações de confiança bi-direcionais transitivas entre florestas Reestruturação de florestas: Modificar a disposição de domínios na floresta sem ter que
despromovê-los.
Gerenciamento ilimitado de sites : Agora, o KCC (serviço que gera a topologia de
replicação nos sites) pode gerenciar um número ilimitado de sites, enquanto no Windows 2000 só podiamos gerenciar no máximo 200 sites.
6