Subir Archivo

dominios windows2003.pdf

9
  Administração de Sistemas Operacionais de Redes Proprietários Aula 10 Os direitos desta obra foram cedidos à Universidade Nove de Julho

Upload: plensp

Post on 08-Oct-2015

18 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Administrao de Sistemas Operacionais

    de Redes Proprietrios

    Aula 10

    Os direitos desta obra foram cedidos Universidade Nove de Julho

  • Este material parte integrante da disciplina oferecida pela UNINOVE.

    O acesso s atividades, contedos multimdia e interativo, encontros virtuais, fruns de

    discusso e a comunicao com o professor devem ser feitos diretamente no ambiente

    virtual de aprendizagem UNINOVE.

    Uso consciente do papel.

    Cause boa impresso, imprima menos.

  • Aula 10: Controladores de Dominio, DCs Adicionais, DCs Filhos e

    FSMOs.

    Objetivo: Capacitar o aluno a instalar e configurar os Controladores de Domnios

    Domnios Adicionais, Domnios Filhos e Mestres de Operaes (FSMOs), utilizando

    os recursos de mquinas virtuais.

    1. Apresentao

    A adoo de um controlador de domnio deve ser feita mediante a avaliao

    do cenrio de rede em que estamos. Como estudamos anteriormente, ao criarmos o

    primeiro DC, conseqentemente, criamos a primeira floresta e a primeira rvore da

    floresta. Por este motivo, o domnio primrio conhecido pelo nome de PDC

    Primary Domain Controller.

    Um DC responsvel por suas prprias regras de acesso, polticas de

    segurana, critrios de armazenamento de arquivos, estrutura de pastas e Unidades

    Organizacionais, porm, tais regras so sempre definidas pelo administrador da

    rede.

    Os conceitos abordados nesta aula sero de carter prtico. Vamos montar

    um controlador de domnios primrio (DC), em seguida, um controlador de domnio

    adicional (DC Adicional) e, por ltimo, um controlado de domnio filho (DC Filho).

    Tambm estudaremos as funes dos Mestres de Operaes e suas

    responsabilidades sobre o domnio global.

    2. Domnio Adicional

    O Domnio Adicional representa um recurso de tolerncia a falhas bastante

    confivel. Trata-se de uma rplica do DC, com o mesmo servio e escopo de

    diretrios. Como em qualquer rede, um domnio adicional um host e deve ter seu

    nome e endereo IP nicos.

  • Sua principal funo autenticar usurios e controlar a empresa por meio do

    AD, juntamente com o DC, em caso de potenciais desastres. O Domnio Adicional

    funciona da mesma forma que o DC e tem os mesmo poderes, entretanto, a

    autoridade do domnio regulamentada e controlada pelos Mestres de Operaes,

    tambm conhecidos pelo nome de FSMOs (Flexible-Single masters Operations).

    Ao criarmos um domnio adicional, estamos promovendo um servidor

    Windows Server 2003 a um nvel elevado de gerenciamento e, agregando-o ao

    domnio primrio por meio da autorizao de um administrador do DC. preciso

    tambm, que o DNS seja apontado nas propriedades de rede do servidor candidato

    promoo, pois o principal caminho de consulta para a autorizao. Ento,

    podemos resumir:

    Servidor candidato a Controlador de Domnio adicional:

    Deve ter o IP na mesma faixa de endereamento do DC.

    Deve ter o endereo DNS do DC, registrado como DNS primrio.

    Deve ter a autorizao do administrador do DC para ingressar ao

    domnio.

    Esses pr requisitos so necessrios, tendo em vista o fato que estamos

    atribuindo o controle de um domnio para um novo servidor. Como j discutimos

    anteriormente, imprescindvel que o servio DNS esteja funcional e corretamente

    configurado na ordem de pesquisa, pois o primeiro servidor que responder

    requisio, ser utilizado como primrio.

    Visite a plataforma AVA e assista o slide show sobre a concepo passo-a-passo de

    um domnio adicional.

    3. Domnio Filho

    Na aula passada, aprendemos o conceito de Domnio e conclumos que trata-

    se de um limite administrativo e de segurana, ou seja: cada domnio responsvel

    por suas prprias regras e cenrios de administrao da rede corporativa. Por

  • exemplo, podemos organizar o cenrio empresarial com todos os seus setores:

    vendas, recursos humanos, financeiro, logstica, transportes, marketing e outros,

    atravs de Unidades Organizacionais (OUs) bem definidas, no AD. Os usurios de

    cada um desses setores, podem ser agrupados em Grupos Globais e alocados

    dentro de suas respectivas OUs.

    Entretanto, como podemos imaginar esse cenrio, se a empresa tem mais

    filiais ou, se a empresa possui um setor que no possa ser organizado em unidades

    Organizacionais, por questes de segurana ou estrutural? Sabemos que, em uma

    rede, no devem existir hosts desconectados, logo, os hosts do departamento

    FINANCEIRO, no podero permanecer isolados na rede.

    Para resolver este problema, podemos adotar a criao de um domnio filho,

    sob a responsabilidade do DC. Este tipo de domnio apresenta os mesmos conceitos

    de um DC ou DC Adicional e tambm caracteriza um limite administrativo e de

    segurana. Entretanto, na floresta, sua posio est abaixo do DC. Isso quer dizer

    que uma estao que pertence a um domnio filho, tambm pode ser conectada em

    um DC, desde que tenha uma conta vlida neste domnio. Ns apenas temos que

    selecionar o domnio correto em que o usurio tem conta cadastrada.

    Este tipo de arquitetura amparada por um mecanismo denominado Relao

    de Confiana, que garante o acesso de recursos em qualquer domnio confivel,

    mediante um processo de autenticao em seu prprio domnio. Estudaremos sobre

    Relaes de confiana na prxima aula.

    Visite a plataforma AVA e assista o slide show sobre a concepo passo-a-passo de

    um domnio filho.

    4. Mestres de Operaes (Flexible-Single Masters Operations)

    Os Mestres de Operaes so controladores que centralizam as principais

    funes dos DCs. Em uma floresta, todos os DCs adicionais, filhos e confiados

    possuem seus prprios Mestres de Operaes, porm, todos eles sabem que h

    apenas um deles que visto como a autoridade do domnio. Isso garante que as

  • alteraes que so feitas nos vrios domnios que podem compor a floresta no

    impactem sobre determinado servidor. Por exemplo, imagine que um administrador

    esteja alterando propriedades de um usurio no DC e que, ao mesmo tempo, outro

    administrador esteja excluindo esse mesmo usurio no DC Adicional. evidente que

    deva haver um controle eficaz, para que este tipo de alterao no cause problemas

    na base de dados dos ADs. Os mestres de Operaes so compostos por 5 regras,

    das quais 2 delas impactam diretamente sobre a floresta a qual pertencem.

    4.1. Regras que impactam na floresta

    4.1.1. Schema Master

    Corresponde parte principal do AD e composto por objetos e atributos que

    modelam sua estrutura. O SM define os tipos de atributos que cada objeto

    carregar. Como exemplo, podemos definir que um usurio do sistema ter um

    cdigo de acesso, senha, nome, endereo, telefone, durao de conta etc. O

    esquema, logicamente, deve ser o mesmo para toda a floresta Windows 2003 e,

    para isso, a regra SCHEMA MASTER faz o gerenciamento e evita que conflitos

    potenciais sejam gerados por conta de alteraes.

    4.1.2. Domain Naming Master

    Esta regra garante que em uma floresta no existam 2 ou mais nomes de

    servidores iguais. Em uma floresta, cada nome de rvore deve ser nico.

    4.2. Regras que impactam no Domnio

    4.2.1. PDC Emulator

    Primary Domain Controller Funciona como um emulador de um Primary

    Domain Controller. Mantm a compatibilidade entre servidores externos ou mais

    antigos, tipo NT 4.0. um item muito importante, pois impacta diretamente nas

    relaes de confiana entre domnios e as contas dos usurios e objetos.

    4.2.2. RID Master

  • Relative identification Em qualquer domnio, contas de usurios e objetos

    podem ser criados, porm, cada um desses objetos possui um identificador nico,

    conhecido como SID. O SID do objeto construdo baseado no SID do domnio,

    agregado a um segundo ID relativo. Um DC consegue criar 512 objetos, porm, ao

    atingir essa quantidade, dever solicitar ao RID MASTER o dobro dessa quantia,

    com a finalidade de evitar que existam objetos com mesmo RID no domnio.

    4.2.3. Infrastructure Master

    Esta regra assegura que o nome exibido pelos usurios (display name)

    pertencentes a um grupo sejam atualizados quando este atributo for alterado. um

    item muito importante em uma floresta (vrios domnios), pois a alterao feita em

    uma rvore refletir para todas as rvores.

    Note que as duas primeiras FSMOs afetam a floresta intera, de modo que,

    no h mais que duas em uma floresta. Cada controlador de domnio ter suas

    prprias FSMOs, mas todas obedecero hierarquia do domnio.

    5. Registrando o Schema

    O Schema Master a principal parte do Active Directory e contm todos os

    atributos que o modelam. O Schema pode ser customizado e, por questes de

    segurana, a Microsoft adotou o padro de disponibilidade mediante a autorizao e

    registro pelo administrador da rede. Dessa forma, nativamente, no possvel

    transferir as FSMOs para outro domnio, por exemplo, em caso de desastres.

    Um desastre um evento inesperado, que pode comprometer potencialmente

    as funcionalidades do domnio. Por este motivo, aprendemos que fundamental a

    existncia de domnios adicionais, que respondam pelo DC, caso este no possa

    autenticar e validar seus usurios. Entretanto, em caso de um desastre, no adianta

    somente ter o DC Adicional disponvel, funcionando e autenticando usurios;

    preciso transferir toda a autoridade para ele, de modo a promov-lo a DC. O

    procedimento a ser executado a transferncia dos 5 Mestres de Operaes para o

  • DC Adicional, mas para isso, fundamental que o Schema Master esteja funcional e

    habilitado.

    Para habilit-lo, preciso registrar um arquivo de biblioteca, que

    disponibilizado pelo Windows e pode ser feito facilmente atravs do Menu Iniciar. Os

    passos para registrar o Schema Master so:

    1- Clique em Iniciar Executar e digite regsvr32 schmmgmt.dll

    2- Clique em Iniciar Executar e digite mmc

    3- No console que se abre, clique sobre o menu Arquivo, escolha

    Add/Remover Snap in e escolha Adicionar

    4- Na lista, escolha Active Directory Schema e adicione ao console

    Depois de habilitada, podemos fazer alteraes e at mesmo transferir suas

    funes para outro servidor, tornando-o autoridade. Note que, no console do

    Schema, todos os atributos de objetos so listados e podem ser configurados da

    maneira que for preciso.

    6. Transferindo os Mestres de Operaes

    Como estudamos nesta aula, o Controlador de Domnio (DCs) detm as

    atribuies de controle de todo o domnio e tambm, a insgnia da autoridade

    mxima. Embora existam outros DCs no domnio e, todos eles tenham seus Mestres

    de Operaes, todos tm conhecimento entre si, sobre quem a autoridade e como

    funciona o domnio. Imagine se houvessem duas ou mais autoridades em um

    domnio: enquanto uma decide que um usurio pode ser validado, a outra est

    trocando a senha do mesmo usurio, por exemplo. Esse procedimento causaria um

    imenso conflito de informaes.

    Por este motivo, em um domnio deve haver apenas uma autoridade. Se

    houver problemas com esta autoridade, ser preciso nomear outra para decidir e

    controlar as alteraes e gerenciamento do domnio, de forma centralizada. Em

  • outras palavras, se um DC, por qualquer motivo parar de funcionar, seus Mestres de

    Operaes tero de ser transferidos para outro DC Adicional, convertendo-o em DC

    Primrio.

    Por fim, o DC desativado ter que ser efetivamente removido do domnio, pois

    os restos de suas funcionalidades continuaro a ser enxergados por todo o

    domnio. Aprenderemos a forma correta de efetuar esses procedimentos nas

    prximas aulas.

    Chegamos ao final de mais uma aula. Agora, visite a plataforma do AVA, resolva os

    exerccios e verifique seu conhecimento. Caso fique alguma dvida, leve a questo

    ao Frum e divida com seus colegas e professor.

    Referncias:

    BADDINI, FRANCISCO, Windows Server 2003 em Portugus Implementao e

    Administrao, 7 Edio, 4 Reimpresso, rica, So Paulo, 2009.

    MINASI MARK...[et al.], Dominando o Windows Server 2003 A Biblia, Pearson

    Books, So Paulo, 2003.


Dominios vegetaiss

2º ano dominios morfoclimáticos

Scripts Para Bloquear Sites e Dominios No ISA Server

9 nos dominios-da_mediunidade-1954

Introdução a Linguistica Dominios e Fronteiras - Mussalim e Bentes

Nos dominios da Mediunidade Cap13

Biomas brasileiros dominios vegetais_ii ano

Climas Brasileiros e Dominios Climaticos

7 Dominios Da Permacultura

Estruturas de Concreto Armado II-2013-Dominios

Metodo de decorar os dominios de escrituras do Livro de Mormon

Dominios climatobotanicos-brasileiros

dominios da imagem 7

Dominios planos

Nos dominios da mediunidade - Cap.3

Dominios morfoclimaticos superhumanas

Dominios Morfoclimaticos do Brasil

DOMINIOS MORFOCLIMÁTICOS

Nos dominios da mediunidade

Aula dominios morfoclimaticos_do_brasil_16-05-2012_parte3

Dominios morfoclimaticos- 2014

Aula dominios morfoclimaticos_do_brasil_16-05-2012_parte1

5-Os Dominios Vegetais e o Extrativismo Vegetal

7 dominios-da-permacultura

Dominios%20 morfoclim%c1ticos

Dominios morfoclimaticos exercicios

Dominios Morfoclimáticos

1-Os Grandes Dominios Morfoclimaticos Do Brasil

LOS DOMINIOS DEL ONIX NEGRO - LA CONEXION de Adriana Gonzalez Marquez - Primer Capitulo

6 Arvore Da Vida-3 Dominios

3-Os Dominios Vegetais Originais e o Extrativismo Vegetal

Revista Dominios - Ed. 166

Aula dominios morfoclimaticos_do_brasil_16-05-2012_parte2

Dominios morfoclimaticos

Tecnicas de Ensino e Dominios de Aprendizagem