MODULO 4

Active Directory e DNS

MODULO 4Active Directory e DNS

1

ÍndiceIntrodução.......................................................................................................................................... 2

Active Directory, identidade e acesso......................................................................................................2

Componentes de uma infraestrutura do Active Directory.......................................................................2Armazenamento de dados do Active Directory..............................................................................2Controladores de domínio.............................................................................................................2Domínio..........................................................................................................................................2Floresta..........................................................................................................................................2Árvore............................................................................................................................................3Nível funcional...............................................................................................................................3Unidade Organizacional.................................................................................................................3Sites................................................................................................................................................3

Configurando o DNS................................................................................................................................3DNS no Windows Server 2008............................................................................................................3Componentes do DNS.........................................................................................................................3

As funções do Servidor DNS....................................................................................................................4Um servidor DNS compatível com RFC (Request for Comments)........................................................4A interoperabilidade com outras implementações de servidor DNS...................................................4Suporte para os Serviços de Domínio Active Directory (AD DS)...........................................................4Armazenamento de zona DNS aprimorado no AD DS.........................................................................4Encaminhadores condicionais.............................................................................................................4Zonas de stub......................................................................................................................................5Recursos de segurança avançados do DNS.........................................................................................5Integração com outros serviços de rede da Microsoft........................................................................5Mais facilidade de administração.......................................................................................................5Suporte ao protocolo de atualização dinâmica em conformidade com a RFC....................................5Suporte para transferência de zona incremental entre servidores.....................................................5Resolução de nome de host de rótulo único sem WINS......................................................................5

MODULO 4Active Directory e DNS

2

IntroduçãoO Active Directory Domain Services (AD DS) fornece a funcionalidade de uma solução Identity and access – IDA (identidade e acesso) para redes corpotativas.

Neste treinamento será abordada apenas as funcionalidades do AD DS.

Após este módulo, você será capaz de: Entender a estrutura de funcionamento do Active Directory. Identificar as estruturas compostas do Active Directory Entender o funcionamento do DNS.

Tempo estimado: 40 minutos

Active Directory, identidade e acessoÉ necessário para manter a segurança de recursos corporativos como arquivos, e-mails, aplicativos e banco de dados. Uma infraestrutura de IDA deve conter:

Armazenar informações sobre usuários, grupos, computadores e outras identidades; Autenticar uma identidade; Controlar acesso; Fornecer uma trilha de auditoria;

Componentes de uma infraestrutura do Active DirectoryO AD DS fornece a base da solução IDA e o gerenciamento de uma rede corporativa. Infraestrutura do Active Directory:

Armazenamento de dados do Active DirectoryÉ um único arquivos chamada Ntds.dit e está localizado por padrão na pasta %SystemRoot%\Ntds em um controlador de domínio. O banco de dados é dividido em várias partições, incluindo o esquema, configurações, catálogo global e o contexto de nomeção de domínios que contém os dados sobre objetos dentro de um domínio – usuários, grupos e computadores, por exemplo.

Controladores de domínioTambém chamados DCs, são servidores que executam a função de AD DS. Como parte dessa função, eles também executam o serviço de Kerberos Key Distribution Center (KDS), que realiza a autenticação e outros serviços do Active Directory.

DomínioÉ uma entidade administrativa dentro da qual certas capacidades e características são compartilhadas. Primeiro, todos os controladores de domínio replicam a partição do armazenamento de dados do domínio, a qual contém entre outras coisas os dados da identidade dos usuários do domínio, grupos e computadores.

FlorestaÉ uma coleção de um ou mais domínios do Active Directory. O primeiro domínio instalado em uma floresta contém uma única definição de configuração de rede e uma única instância do

MODULO 4Active Directory e DNS

3

esquema de diretório. Uma floresta é uma instância única do diretório – nenhum dado é replicado pelo Active Directory fora dos limites da floresta.

ÁrvoreO namespace DNS dos domínios em uma floresta cria árvores dentro da floresta. Se um domínio for um subdomínio de outro domínio, os dois domínios serão considerados uma árvore.

Nível funcionalÉ uma configuração do AD DS que habilita recursos avançados do AD DS por todo o domínio ou por toda a floresta.

Há três níveis funcionais de um domínio:

Nativos Windows 2000; Windows Server 2003; Windows Server 2008.

Dois níveis funcionais de floresta:

Windows Server 2003; Windows Server 2008.

Unidade OrganizacionalÉ um banco de dados hierárquico. Os objetos no armazenamento de dados podem ser agrupados em contêineres. Outro tipo de contêiner é a unidade organizacional (Organizational Unit – OU). As Ous, além de fornecerem um contêiner para objetos, também fornecem um escopo com o qual gerencia os objetos. Isso ocorre porque as OUs podem ter objetos chamados Group Policy Objects (GPOs) vinculadas a eles.

SitesUm site define um limite de uso de replicações em questão e serviços. Controladores de domínio dentro de um site replicam as modificações em questão de segundos. As modificações são replicadas entre sites de maneira controlada sob a suposição de que as conexões entre os sites são lentas.

Configurando o DNSO DNS converte principalmente nomes de host de IP em edereços IP. Ele também pode converter endereços IP em nomes de host nas zonas de pesquisa inversa DNS. A conversão de nomes é importante para Ipv4 porque é difícil lembrar os endereços Ipv4. É ainda mais importante para Ipv6 porque é quase impossível lembrar endereços Ipv6.

DNS no Windows Server 2008O papel do servidor DNS do Windows Server 2008 é totalmente compatível com todos os padrões publicados e é compatível com a maior parte dos sistemas de DNS. Ele conserva os recursos introduzidos pelo DNS do Windows Server 2003, inclusive a configuração dinâmica e transferência de zona incremental e indroduz vários recursos novos e aprimoramentos significativos.

MODULO 4Active Directory e DNS

4

Componentes do DNS Espaço de nomes DNS Nomes da internet ou rede interna Servidores DNS Banco de dados com nomes e IPs Registros do DNS (Resource Records) Entradas no banco de dados DNS Clientes DNS conhecidos como “resolvers”

A funções do Servidor DNS

Um servidor DNS compatível com RFC (Request for Comments)O DNS é um protocolo aberto. Ele é padronizado por um conjunto de RFCs. A Microsoft oferece suporte e obedece a essas especificações padrão.

A interoperabilidade com outras implementações de servidor DNSComo o serviço Servidor DNS do Windows Server 2008 é compatível com RFC e pode usar formatos padrões de arquivo de dados DNS e de registros de recursos, pode funcionar bem com a maioria das outras implementações de servidor DNS, como as que usam o software BIND (Berkeley Internet Name Domain).

Suporte para os Serviços de Domínio Active Directory (AD DS)O DNS é necessário para que o AD DS possa oferecer aos computadores da rede a capacidade de localizar controladores de domínio e para oferecer suporte à replicação do AD DS. Se você instalar a função de servidor do AD DS em um servidor, também deverá instalar e configurar o serviço Servidor DNS no novo controlador de domínio. Isso garante a melhor integração e o melhor suporte possíveis para o AD DS e para os recursos avançados do servidor DNS. Você pode, no entanto, usar outro tipo de servidor DNS para oferecer suporte à implantação do AD DS. Quando outros tipos de servidores DNS forem usados, considere alguns problemas adicionais, relacionados à interoperabilidade do DNS.

Armazenamento de zona DNS aprimorado no AD DSAs zonas DNS podem ser armazenadas nas partições de diretório de domínios ou de aplicativos do AD DS. Uma partição de diretório de aplicativos é uma estrutura de dados do AD DS que distingue dados para finalidades de replicação diferentes. Você pode especificar em que partição de diretório de aplicativos do AD DS uma zona será armazenada e, consequentemente, entre quais controladores de domínio os dados dessa zona serão replicados. O serviço Servidor DNS mantém duas partições de diretório de aplicativos, DomainDnsZones e ForestDnsZones, em todos os domínios e florestas para armazenar zonas para a replicação padrão.

Encaminhadores condicionaisO serviço Servidor DNS estende a funcionalidade de encaminhadores padrão ao oferecer encaminhadores condicionais. Um encaminhador condicional é um servidor DNS de uma rede que encaminha consultas DNS de acordo com o nome de domínio DNS na consulta. Por exemplo, você pode configurar um servidor DNS para encaminhar todas as consultas recebidas

MODULO 4Active Directory e DNS

5

sobre nomes que terminam com corp.contoso.com para o endereço IP de um servidor DNS específico ou para os endereços IP de vários servidores DNS.

Zonas de stub O DNS oferece suporte a um tipo de zona chamado zona de stub. Ela é uma cópia de uma zona que contém somente os registros de recursos necessários para a identificação dos servidores DNS autoritativos para essa zona. Uma zona de stub mantém um servidor DNS que hospeda uma zona pai atualizada com os servidores DNS autoritativos para sua zona filha. Isso ajuda a manter a eficiência da resolução de nomes DNS.

Recursos de segurança avançados do DNS O DNS oferece administração de segurança avançada para os serviços Servidor DNS, Cliente DNS e para os dados DNS.

Integração com outros serviços de rede da Microsoft O serviço Servidor DNS oferece integração com outros serviços e contém recursos além daqueles especificados nas RFCs. Esses recursos incluem a integração com os serviços AD DS, WINS e DHCP.

Mais facilidade de administração O Gerenciador DNS, o snap-in do DNS no Console de Gerenciamento Microsoft (MMC), oferece uma interface gráfica do usuário (GUI) para o gerenciamento do serviço Servidor DNS. Além disso, existem vários assistentes de configuração a execução de tarefas comuns de administração do servidor. Além do snap-in do DNS, outras ferramentas foram fornecidas para ajudá-lo a gerenciar melhor e a oferecer suporte aos servidores e clientes DNS da sua rede.

Suporte ao protocolo de atualização dinâmica em conformidade com a RFCO serviço Servidor DNS permite que clientes atualizem dinamicamente os registros de recursos, com base no protocolo de atualização dinâmica (RFC 2136). Isso aperfeiçoa a administração do DNS ao reduzir o tempo necessário para o gerenciamento manual desses registros. Os computadores que estiverem executando o serviço Cliente DNS poderão registrar seus nomes DNS e endereços IP dinamicamente.

Suporte para transferência de zona incremental entre servidores Os servidores DNS que armazenam dados DNS em arquivos usam transferências de zona para replicar informações sobre uma parte do namespace DNS. Quando transfere zonas que não estão integradas ao AD DS, o serviço Servidor DNS utiliza a transferência de zona incremental para replicar somente as partes alteradas de uma zona, economizando largura de banda da rede.

Resolução de nome de host de rótulo único sem WINSO serviço Servidor DNS oferece suporte a uma zona chamada GlobalNames para o armazenamento de nomes de rótulo único, nomes que não contêm o nome de um domínio pai (como .com). Em redes em que o WINS não é utilizado, a zona GlobalNames oferece a resolução de nomes de rótulo único para um conjunto limitado de servidores administrados de forma centralizada com endereços IP fixos.