Cinco Passos para garantir um DC saudável

Publicado em:
14/11/2011

Fonte: http://www.itcentral.com.br

Tecnologias

Active Directory

Sumário

Se existe um processo que pode salvar nossos finais de semana, é a verificação de um DC após a promoção, muitas vezes não fazemos a checagem da promoção de um DC, e com isto podemos ter vários problemas.

O que vamos citar neste artigo são alguns utilitários e processos que devemos checar, para garantir que nosso DC esta ativo e foi corretamente promovido em nosso domínio, vamos lá.

Conteúdo

  1. Checando a resolução DNS do Domain Controller
    1.1 – Configurando a Placa de Rede do DC
    1.2 – Checando a Resolução de Reverso do DNS
    1.3 – Criando a Zona Reversa e o registro PTR do DC
  2. Verificando a existência das Pastas Netlogon e Sysvol
    2.1 – O que é o compartilhamento Netlogon
    2.2 – O que é o compartilhamento Sysvol
  3. Testando a Resolução DNS para Dc e para FQDN do Domínio
    3.1 – Testando a Resolução DNS para DC
    3.2 – Testando a Resolução DNS para FQDN do Domínio
  4. Verificando as FSMO`s
  5. Checando o Event Viewer

Introdução

Este artigo foi desenvolvido para você que tem dúvidas sobre Active Directory. O que fazer para checar quando meu DC não traz os compartilhamentos de Netlogon e de Sysvol? Como ter certeza o DC recém criado é um Global Catalog?

Isto e outras perguntas juntamos neste artigo, de maneira fácil você aprenderá todos estes processos.

1 – Checando a resolução DNS do Domain Controller

Uma das tragédias que podem tirar seu ambiente do ar é a falta de resolução de nomes corretamente, felizmente o serviço de DNS de um Domain Controller pode ser integrado com o Active Directory, e caso você não tenha por favor o integre, muitos recursos são adicionados com esta integração.

Em nosso cenário, vamos usar um DNS com Zonas Integradas ao Active Directory, após terminarmos a promoção do DC e o mesmo sofrer a reinicialização, devemos fazer algumas configurações.

1.1 – Configurando a Placa de Rede do DC

Vamos configurar a placa de Rede do DC, se este for seu primeiro DC a ser promovido, o próprio utilitário do DCPROMO irá fazer o campo de DNS Preferencial ser alterado para 127.0.0.1, mesmo que antes, você já tenha alterado este campo, na Figura1 podemos ver este exemplo, segue abaixo:
Utilize o utilitário Nslookup no Command Prompt para conseguir levantar esta informação.

 

Figura 1 – Verificando a resposta do Nslookup

Vamos fazer a alteração na placa de rede de nosso servidor DC, edite as configurações da placa de rede e altere o DNS Preferencial para o IP de seu DC, em nosso exemplo estamos em um novo ambiente, estou usando o IP do próprio servidor, segue demonstração na Figura2:

Figura 2 – Alterando o DNS da Placa

Fazemos este procedimento para informar corretamente ao DC qual o DNS deve ser checado em uma consulta.

1.2 – Checando a Resolução de Reverso do DNS

Alguns procedimentos para aplicação de Policy e também regras no domínio dependem da resolução de nomes reversa, por isto devemos após a promoção de nosso DC, fazer o check para identificar se este recurso esta funcionando corretamente.
Para verificarmos isto utilizaremos o utilitário nslookup disponível no prompt de comando.

Digite o comando abaixo para verificar a resolução a Figura3 demonstra um cenário onde a zona reversa não é criada por default.


Figura 3 – DNS alterado mas sem resolução reversa

Neste momento já temos o DNS alterado (192.168.0.1) mas ainda não temos a resolução reversa em funcionamento (Unknown), iremos então criar a zona reversa de nosso domínio. Faça o seguinte procedimento:

  • Abra o DNS (dnsmgmt.msc)
  • Clique na opção Reverse Lookup Zones, caso esta opção esteja vazia Figura4,  iremos criar o Reverse Zone.

Figura 4 – Zona Reversa não cadastrada no Domínio

1.3 – Criando a Zona Reversa e o registro PTR do DC

Precisamos criar a Zona Reversa do DC para isto vamos utilizar o Wizard de criação de Zonas, siga as etapas abaixo:

  1. Clique com o botão direito em Reverse Lookup Zone e selecione New Reverse Zone.
  2. Na tela de Wizard Welcome clique em Next.
  3. Na tela New Zone Wizard – Zone Types clique em Next (default Primary Zone e Active Directory Integrated).
  4. Na tela New Zone Wizard – Active Directory Zone Replication Scope clique em Next.
  5. Na tela New Zone Wizard – Reverse Lookup Zone Name marque a opção Ipv4 e clique em Next.
  6. Na tela New Zone Wizard – Reverse Lookup Zone Name no campo Network ID coloque a Range IP da sua Infraestrutura e clique em Next.
  7. Na tela New Zone Wizard – Dynamic Updates deixe o Default marcado e clique em Next.
  8. Na tela New Zone Wizard – Summary clique em Finish para criar a Zona Reversa, conforme a Figura5.


Figura 5 – Zona Reversa Criada

Precisamos criar o registro PTR de nosso servidor, neste momento apenas existe a Zona Reversa não existe correção do erro gerado na Figura3, iremos corrigir este erro criando um novo registro PTR. Conforme Figura5, segue os passos:

  1. Clique com o botão direito na sua Zona Reversa (0.168.192.in-addr.arpa) e selecione New Pointer (PTR)
  2. Na tela de New Resource Record existem três campos conforme a Figura6, segue abaixo:

i.         Host IP Address – Este campo traz o IP do Registro PTR (IP do DC)

ii.        FQDN  – Este campo traz o nome completo (Nome FQDN do Domínio – Reverse)

iii.        Host Name – Nome do Servidor (Nome FQDN do DC)


Figura 6 – Criando o PTR do DC

Após o registro criado, podemos verificar que o registro PTR já esta disponível dentro da Zona Reversa, isto pode ser visto e testado com o utilitário Nslookup no prompt de comando, idêntico ao passo executado na Figura3, demonstramos este processo na Figura7, onde vemos o registro PTR ao fundo, criado na Zona Reversa.
Após isto abra uma nova seção no prompt de comando, para testar a resolução reversa de DNS com o Nslookup (Figura7).


Figura 7 – Testando a Resolução Reversa do Dns

2 – Verificando a Exitência das pastas Netlogon e Sysvol

Quando promovemos um servidor à função de Domain Controller, dois compartilhamentos muito importantes são criados dentro deste servidor, os compartilhamentos são Netlogon e Sysvol.

Para uma administração correta, é muito interessante dominarmos o pleno conhecimento destes compartilhamentos, assim entendendo para que servem e como checar erros nos mesmos.

2.1 – O que é o compartilhamento Netlogon

O compartilhamento Netlogon é usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informações com outros Dc`s. Esta replicação é feita de forma segura entre os DC`s.

O serviço responsável por esta replicação entre os Dc`s é o Netlogon (%SystemRoot%\System32\Netlogon.dll).
Para checar se os serviços estão configurados corretamente, no Windows Server 2003 precisamos instalar o Support Tools, no Windows Server 2008 o recurso já esta instalado.

Abra um prompt de comando e digite DCDIAG, o comando DCDIAG vai gerar um relatório do estado dos serviços do seu Active Directory, pode-se usar este relatório para levantamento de erros e verificação da estrutura do Domain Controller.

2.2 – O que é o compartilhamento Sysvol

O Compartilhamento Sysvol (System Volume) é usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informações com outros Dc`s. As informações replicadas são Group Policy Objects, startup and shutdown scripts e logon and logoff scripts.

O serviço responsável por gerenciar estes atributos é o FRS (File Replication Service), ele gerecia a replicação do Sysvol, porém caso tenhamos um upgrade de Domain Function Level para Windows Server 2008, o serviço de replicação para os Dc`s passa a ser o DFRS (Distributed File System Replication), válido apenas para Dc`s com Windows Server 2008.

Para visualizar a estrutura do Sysvol abra o prompt de comando e digite Start Sysvol, receberemos a tela da Figura8, com toda a estrutura do Sysvol, o comando Start Sysvol serve para demonstrar a estrutura de pastas, não importando se esta foi movida do caminho default.

Figura 8 – Utilizando o Start Sysvol

Após a abertura da tela podemos verificar se a estrutrua do Sysvol esta como da Figura8, em um próximo artigo falaremos especificamente sobre Infraestrutura de Sysvol e Netlogon.

3 – Testando a Resolução DNS para Dc e para FQDN do Domínio

A resolução DNS é muito importante para o domínio e um dos testes básicos para checar a resolução, é verificar se o FQDN do servidor ou o FQDN do Domínio estão respondendo para o mesmo lugar.

3.1 – Testando a Resolução DNS para DC

Quando acabamos de instalar um DC temos também que testar a resolução de rede de nosso Domain Controller, vale lembrar que se acessarmos o FQDN do Servidor (Figura9), nossa solicitação tem que nos levar para resolução da Figura10.

Na Figura9 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de Policies e também a estrutura de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com outros Dc`s.

Figura 9 – Acessando FQDN do DC


Figura 10 – Netlogon e Sysvol do DC

3.2 – Testando a Resolução DNS para FQDN do Domínio

Quando acabamos de instalar um DC temos também que testar a resolução de rede do FQDN do Domínio, vale lembrar que se acessarmos o FQDN do Domínio (Figura11), nossa solicitação tem que nos levar para resolução da Figura12.

Na Figura11 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de GPO e também a estrutura de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com outros Dc`s.

Quando desligamos o DC o Active Directory utiliza a resolução de nome FQDN do Domínio, sendo assim o usuário não será deslocado para o FQDN do DC e sim para o FQDN do Domínio, desta forma outro DC assume a função dos compartilhamentos.

Figura 11 – Acessando FQDN do Domínio

Figura 12 – Netlogon e Sysvol do Domínio

4 – Verificando as FSMO`s

Em nosso cenário estamos utilizando um único DC. Caso tenha mais Dc`s ou não é interessante sabermos se todas FSMO`s estão disponíveis, para isto, iremos checar as FSMO`s, isto é muito simples abra um Prompt de Comando e utilize o comando Netdom query FSMO, o resultado será a Figura13 que segue abaixo:


Figura 13 – Netdom para verificar as FSMO`s

Este comando demonstra onde as FSMO`s estão sendo gerenciadas.

5 – Checando o Event Viewer
Para finalizarmos não poderíamos deixar de falar do Event Viewer, ele foi remodelado no Windows Server 2008, porém continua agradável e demonstra tudo que ocorre em nossos servidores. Vale lembrar que a função de DC, tem algumas opções diferentes dos outros servidores.
A Figura14 demonstra o Event Viewer, este precisa ser checado após a promoção do Domain Controller, segue abaixo:


Figura 14 – Event Viewer para checar erros

Conclusão

Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem dúvidas sobre a função de Domain Controller no Active Directory, explicamos em 5 passos como garantir a saúde de seu DC após a promoção, desde o simples recurso de um PTR Zone Reverse, até a checagem das FSMO com o NETDOM, tenham uma ótima leitura

[ ]’s

Anúncios

Procedimento de Instalação e Configuração do AD-DS Active Directory Domain Services no Microsoft Windows Server 2008 / R2 64 Bits

Publicado em:
18/04/2011

Fonte: http://procedimentosemti.com.br

Hoje iremos ver o procedimento padrão para a instalação/configuração do AD-DS Active Directory Domain Services no Microsoft Windows Server 2008 R2 Enterprise com SP2 64 Bits, e também alguns testes e ajustes essenciais para garantir uma instalação com sucesso.

Em nosso exemplo será instalado e configurado o AD-DS Active Directory para ser o Domain Controller para o um novo Domain em uma nova Forest (Floresta)

01. Antes de iniciar a instalação/configuração do AD-DS Active Directory, e necessário configurar adequadamente o Host Name, em nosso exemplo: msigua01dc01

Para a instalação do AD-DS Active Directory, e obrigatório que a NIC (Network Interface Card) seja configurado com IP Static (DHCP Enabled NO), sendo necessário configurar o IP Address, Subnet
Mask, Default Gateway e DNS Server, seguindo o padrão que todo servidor tem que possuir IP Address Fixo.

Uma informação importante e que o DNS Server Primary deve ser apontado para o próprio servidor, esse assunto será abortado mais a frente.

02. Antes de promovedor o servidor, iremos instalar o Role necessária, clique em: Start, Administrative Tools e selecione: Server Manager

03. Na tela de Server Manager, clique na opção: Roles na tela das Roles instaladas clique em: Add Roles

04. Na tela de Add Roles Wizard Before You Begin, clique em: <Next>

05. Na tela Select Server Roles, selecione: Active Directory Domain Services

06. Na tela de Add features required for Active Directory Domain Services clique em: <Add Required Features>

07. Na tela de Select Server Roles, marque a opção: Active Directory Domain Services clique em: <Next>

08. Na tela de Active Directory Domain Services, clique em: <Next>

09. Na tela Confirm Installation Selections clique em: <Install>

10. Na tela de Installation Progress o processo de instalação demora uns minutos


11. Na tela de Installation Results clique em: <Close>

12. Na tela Server Manager, podemos ver a falha do AD-DS Active Directory Domain Services, clique nessa opção.

13. Na tela de Summary, podemos ver que apenas a Role foi instalada, sendo necessária agora a promoção do Domain Controller utilizando o comando: dcpromo.exe

14. Clique em: Start, no campo de busca digite: dcpromo será localizado o comando, clique no mesmo.

15. Na tela de Welcome to the Active Directory Domain Services Installation Wizard, clique em: <Next>

16. Na tela de Operating System Compatibility, clique em: <Next>

17. Na tela de Choose a Deployment Configuration, selecione: Create a new domain in a new Forest, clique em: <Next>

18. Na tela de Name the Forest Root Domain, no campo FQDN of the forest root domain, digite o nome de dominio totalmente qualificado, em nosso exemplo: msi.intra clique em: <Next>

19. Na tela de Set Forest Functional Level, em nosso exemplo já iremos elevar o nível da Floresta para Windows Server 2008 R2, nesse cenário não teremos controladores de domínio rodando o Microsoft Windows 2003 Server, clique em: <Next>

20. Na tela de Additional Domain Controller Options, marque a opção: DNS Server clique em: <Next>


21. Nat ela de Active Directory Domain Services Installation Wizard referente a delegação de zona DNS autoritativa, clique em: <Yes>

22. Na tela de Location for Database, Log Files and SYSVOL, mantenha o padrão e clique em: <Next>

23. Na tela de Directory Services Restore Mode Administrator Password, nos campos Password e Confirm password, digite a senha do modo de restauração, clique em: <Next>

24. Na tela de Summary, clique em: <Next>

25. Dependendo do seu hardware, o processo de instalação demora alguns minutos.

26. Na tela Completing the Active Directory Domain Services Installation Wizard, clique em: <Finish>

27.Na tela de Active Directory Domain Services Installation Wizard, clique em: <Restart Now>

28. Após o sistema ser reinicializado, pressione: CTRL + ALT + DELETE para ser logar no servidor.

29. Na tela de Login, já podemos ver que o usuário já faz logon no domínio criado: MSI\Administrator, digite a senha e clique na Logar (Seta Azul)

30. Após se logar no servidor, a mesma falha que acontecia no Microsoft Windows 2003 Server, após a instalação do AD-DS as configurações de DNS e alterada para o IP de Loopback


31. Para alteramos as configurações de DNS, digite o comando: netsh interface ip set dns Lan static 172.16.0.2 primary <Enter> para o IP DNS secundário digite o comando:

netsh interface ip add dns Lan 172.16.0.1 index=2 <Enter> para ver o resultado da alteração digite o comando: netsh interface ip show config <Enter>

Obs: O nome da placa de rede nesse exemplo e: Lan sendo alterada do padrão

32. Para validamos o processo de instalação do Active Directory, podemos executar o comando: netdom query fsmo <Enter> podemos ver as funções FSMO
configuradas em nosso servidor corretamente.

33. Executamos o comando: nslookup msi.intra <Enter>, podemos ver que ainda a
zona reversa do servidor de DNS não foi configurada.

34. Executamos o comando: ping msi.intra <Enter>, podemos ver que resolução de
nome do domínio está OK

35. Executamos o comando: gpresult /r | more <Enter>, podemos ver que o nosso
servidor e o controlador de domínio primário.

36. Iremos agora configurar nosso DNS, clique em: Start, Administrative Tools selecione: DNS

37. Na tela de DNS Manager, expanda a raiz do Forward Lookup Zone, selecione a zona do nosso domínio, em nosso exemplo: msi.intra podemos ver nosso registro do tipo Host (A) criado corretamente.

38. Iremos criar nossa zona reversa, selecioen: Reverse Lookup Zones, clique com o
botão direito do mouse, será apresentado um menu de opções, selecione: New
Zone

39. Na tela Welcome to the New Zone Wizard, clique em: <Next>

40. Na tela Zone Type selecione:
Primary zone clique em: <Next


41. Na tela Reverse Lookup Zone Name, selecione: IPv4 Reverse Lookup Zone clique em: <Next>

42. Na tela de Reverse Lookup Zone Name, no campo Network ID, digite o Id da rede, em nosso exemplo: 172.16.0 clique em: <Next>

43. Na tela de Dynamic Update, selecioen: Allow only secure dynamic updates, clique em:
<Next>


44. Completing the New Zone Wizard, clique em: <Finish>


45. Após a criação da zona, iremos fazer a criação do ponteiro do nosso servidor, clique com o botão direito na zona criada, será apresentado um menu de opções, selecione: New Pointer (PTR)

46. Localize na zona de forward do registro do Host do servidor, em nosso exemplo:
msigua01dcc01, selecione o mesmo e clique em: <OK>

47. No campo Host IP Address digite o IP do servidor, em nosso exemplo: 172.16.0.2
após te selecionado o servidor, clique em: <OK>

48. Podemos ver a criação do registro feito com sucesso.

49. Testando novamente nosso servidor, executamos o comando: nslookup msi.intra
<Enter> podemos ver que a resolução reversa foi feita com
sucesso.

50. Validando as ultimas opções do servidor, iremos verificar se as pastas compartilhadas NETLOGON e SYSVOL foram criadas corretamente, digite o comando:
net share <Enter>

51. Digite o comando: start sysvol <Enter>

52. Podemos ver que as pastas padrões do SYSVOL foram criadas corretamente.

53.Para validarmos os últimos processos da saúde do nosso Active Directory, iremos executar o comando: dcdiag <Enter>, podemos ver que todos os teste foram feitos com sucesso.

54. Para fechar nosso procedimento, iremos executar o comando: repadmin /showrepl msi.intra podemos ver como está a saúde da replicação do SYSVOL em nosso servidor, executando o comando: dcdiag /test:replications também vemos como está essa saúde.

Espero que vocês tenham gostado desse procedimento, até a próxima

[ ]’s

Instalação Active Directory | Preparando DNS

Publicado em:
11/01/2011

Por: Fábio Augusto

Olá Pessoal,

Os alunos sempre me perguntam sobre o processo de instalação do Active Directory, começando pelo DNS.

Para Windows Server 2003 será necessário instalar o DNS e para Windows Server 2008 será necessário adicionar a Role de DNS.

Informo que existe duas maneiras para instalação do Active Directory:

1º – O Assistende de Instalação do Active Directory (DCPROMO)  faz TUDO, ou seja, instalação do DNS, criação da zona e configuração do DNS e depois a instalação do AD.

2º – Nesta opção você instala o DNS e cria a Zona depois executar o comando DCPROMO, segue abaixo a descrição detalhada deste procedimento.

1- O primeiro passo para preparar o DNS é criação da Zona DNS.

ScreenHunter_003

2. Criação da Nova Zona

ScreenHunter_004

3- Criação da Zona Primaria

ScreenHunter_005

4- Digitar o nome da ZONA. “contoso.corp”

ScreenHunter_006

5- Arquivo da zona DNS

ScreenHunter_007

6- Permitir atualizações seguras e não seguras

ScreenHunter_008

7- Finalizar Assistente

ScreenHunter_009

ScreenHunter_010

8- Criação da Zona reversa

ScreenHunter_011

9- Criação da Zona Reversa

ScreenHunter_012

10- Criação da Zona Primaria

ScreenHunter_013

11- Tipo de endereço reverso “IPv4”,

ScreenHunter_014

12- Digitar do endereço da rede

ScreenHunter_016

13- Arquivo da zona de DNS reverso

ScreenHunter_017

14- Permitir atualizações seguras e não seguras

ScreenHunter_018

15- Finalizar o Assistente

ScreenHunter_019

16 – Criar o ponteiro Reverso

ScreenHunter_021

17 – Digitar o IP e o nome do Servidor.

ScreenHunter_024

ScreenHunter_025

18- Configuração correta do TCP/IP “ O IP do DNS deve ser o mesmo do Servidor”

ScreenHunter_026

19- Para testar  se a configuração está correta, basta utilizar o comando NSLOOKUPScreenHunter_028

ScreenHunter_029

Se aparecer igual a tela acima, a configuração da preparação está correta.

Depois do DNS instalado, testado, devemos executar o DCPROMO.

Sendo assim, o dcpromo irá identificar que já existe uma zona criada e irá criar algumas configurações adicionais, por exemplo registros SRVs.

Na Versão Windows Server 2003, também funciona assim, Neste artigo ensinei a instalar corretamente o DNS, no Próximo post, vou mostrar como instalar o Active Directory no  Windows Server 2008.

Até a Próxima

[  ]`s

Transferindo FSMO com NTDSUTIL no Windows Server 2008

Windows Server 2008
Publicado em:
04/01/2011
 
Em alguns casos será preciso transferir os papéis de um controlador de domínio primário, seja para substituí-lo ou para seguir as melhores práticas da Microsoft. Neste artigo veremos como executar esta tarefa administrativa no Windows Server 2008 utilizando a ferramenta NTDSUTIL.

Validando FSMO [Servidor atual]
1. Abra o Command Prompt
2. Digite NETDOM QUERY FSMO

Figura 1 – Validando FSMO no servidor atual

Validando PDC [Servidor atual]
1. Abra o Command Prompt
2. Digite NETDOM QUERY PDC

Figura 2 – Validando PDC atual

Para transferir as FSMO é preciso que um controlador de domínio adicional esteja disponível na rede, neste artigo não iremos abordar como promovê-lo para maiores informações acesse a documentação oficial da Microsoft em: http://www.technetbrasil.com.br/

Pontos importantes antes da transferência:
– Verifique se os controladores de domínio estão replicando corretamente
– Verifique se o processo de resolução de nomes está funcionando
– Integre as zonas DNS com o Active Directory para garantir a integridade e replicação

Transferindo FSMO
1. Abra o Command Prompt
2. Digite NTDSUTIL e siga os passos a seguir
3. NTDSUTIL: roles
4. FSMO MAINTENACE: connections
5. SERVER CONNECTIONS: connect to server [nomedoserver]*
6. SERVER CONNECTIONS: q
7. FSMO MAINTENACE: transfer [fsmo]**
8. Repita o passo 7 para todos os papéis

* [nomedoserver] Nome do servidor de destino.
** [fsmo] Nome do papel a ser transferido.

Figura 3 – Transferindo PDC

Ao entrar com o comando de transferência de cada papel, uma tela de confirmação irá aparecer como na figura 3 , você deverá confirmar a ação para executá-la. Após finalizar as transferências de papéis é preciso valida-las.

Validando FSMO [Servidor novo]
1. Abra o Command Prompt
2. Digite NETDOM QUERY FSMO

 Figura 4 – Validando FSMO no servidor novo

Validando PDC [Servidor novo]
1. Abra o Command Prompt
2. Digite NETDOM QUERY PDC

Figura 5 – Validando PDC novo

Este artigo mostrou como transferir e validar FSMO no Windows Server 2008 utilizando a ferramenta NTDSUTIL.

[ ]`s