04_CHAPTER 1_Planning an Active Directory Deployment Project

30CAPTULO 1Planejando um projeto de implantao do Active DirectoryRecursos adicionais31

CAPTULO 1Planejando um projeto de implantao do Active Directory

Ao implantar o servio de diretrio Active Directory do Microsoft Windows Server2003 em seu ambiente, voc pode obter os benefcios do modelo administrativo centralizado e delegado e a capacidade de logon nico proporcionada por ele. Aps identificar o ambiente atual e as metas de implantao de sua organizao, voc pode criar uma estratgia de implantao do Active Directory que melhor atenda s necessidades da organizao. Testar a implantao em um ambiente de laboratrio isolado e refin-la em reas piloto selecionadas de seu ambiente de produo ajudam a assegurar uma implantao tranqila em toda a organizao.Neste captulo4Viso geral do planejamento de um projeto de implantao do Active Directory

8Determinando o design e a estratgia de implantao de seu Active Directory

21Testando e verificando o processo de implantao

31Recursos adicionais

Informaes relacionadas Para obter mais informaes sobre planejamento, teste e conduo de um projeto piloto de implantao, consulte Criando um ambiente de teste e Planejando e testando para implantao de aplicativos, em Planejando, testando e conduzindo projetos pilotos de implantao, neste kit. Para obter mais informaes sobre a implantao do DNS (Sistema de Nome de Domnio) do Windows Server 2003, consulte Implantando DNS, em Implantando servios de rede, neste kit. Para obter mais informaes sobre Diretiva de Grupo, consulte o Guia de Servios Distribudos do Kit de Recursos do Microsoft Windows Server2003 (ou consulte o Guia de Servios Distribudos na Web em http://www.microsoft.com/reskit).Viso geral do planejamento de um projeto de implantao do Active DirectoryO Active Directory, nos sistemas operacionais Microsoft Windows Server2003, Standard Edition; Windows Server2003, Enterprise Edition e Windows Server2003, Datacenter Edition, permite s organizaes simplificar o gerenciamento de usurios e recursos, ao mesmo tempo em que cria uma infra-estrutura escalonvel, segura e gerencivel. possvel usar o Active Directory para gerenciar sua infra-estrutura de rede, inclusive filiais, o Microsoft Exchange Server e ambientes de vrias florestas.Embora as diretrizes apresentadas neste livro sejam apropriadas para quase todas as implantaes de gerenciamento de NOS (sistema operacional de rede), elas foram testadas e validadas especificamente para ambientes que contm menos de 100.000 usurios e menos de 1.000 sites, com conexes de rede de um mnimo de 28,8kbps (kilobits por segundo). Se seu ambiente no atender a esses critrios, considere usar uma firma de consultoria com experincia na implantao do Active Directory em ambientes mais complexos.Implantar o Active Directory proporciona os seguintes benefcios sua organizao: Administrao e gerenciamento de recursos simplificados. possvel delegar a administrao a todos os nveis da organizao e usar Diretivas de Grupo para centraliz-la. Maior segurana de rede e logon nico para usurios. O Active Directory oferece suporte a vrios protocolos de autenticao e certificados X.509, bem como a cartes inteligentes. Interoperabilidade com outros servios de diretrio. O Active Directory fornece interfaces abertas baseadas em padres que interoperam com outros aplicativos e servios de diretrio, como aplicativos de email. Recursos que reduzem os custos administrativos, aumentam a segurana e proporcionam funcionalidade adicional. As parties de diretrio de aplicativos permitem a definio de configuraes para replicao de dados especficos a aplicativos nos controladores de domnio. Ao elevar os nveis funcionais de domnio ou floresta para o Windows Server 2003, voc pode fazer o seguinte: Renomear domnios e controladores de domnio Estabelecer confiana bidirecional entre florestas Reestruturar florestas Aprimorar a replicao Remover algumas limitaes em ambientes com grande nmero de sitesEmbora o design e as estratgias de implantao do Active Directory do Windows Server2003 apresentados neste livro se baseiem em exaustivo teste de laboratrio e de programa piloto e em implementao com xito em ambientes de clientes, convm personalizar o design e a implantao de seu Active Directory para um melhor ajuste a ambientes especficos e complexos. Para obter mais informaes sobre a implantao do Active Directory em ambiente de filiais, consulte o Guia de Planejamento de Filiais do Active Directory. Para obter mais informaes sobre a implantao do Active Directory em ambiente Exchange, consulte Prticas Recomendadas de Design do Active Directory para Exchange2000. Para obter mais informaes sobre a implantao do Active Directory em ambiente de vrias florestas, consulte Consideraes sobre Vrias Florestas. Para fazer download desses guias, consulte o link Active Directory na pgina Web Resources (Recursos na Web), em http://www.microsoft.com/windows/reskits/webresources (em ingls), e clique em Planning & Deployment Guides.Este livro tambm oferece fluxogramas, ajudas de trabalho e exemplos de implantao para auxili-lo a otimizar o design e o processo de implantao de seu Active Directory.Processo de planejamento de um projeto de implantao do Active DirectoryPara planejar um projeto de implantao do Active Directory do Windows Server 2003, determine primeiramente o design e a estratgia de implantao, testando-os e verificando-os em seguida. A Figura1.1 mostra o processo de planejamento do projeto de implantao de seu Active Directory.Figura1.1Planejando um projeto de implantao do Active Directory

Informaes gerais do Active Directory Antes de criar e implantar o Active Directory do Windows Server 2003, familiarize-se com o ciclo do projeto de implantao do Active Directory, bem como com os termos a ele relacionados necessrios durante o processo de implantao do Active Directory do Windows Server 2003.Ciclo do projeto de implantao do Active DirectoryUm projeto de implantao do Active Directory compreende trs fases: uma fase de design, uma fase de implantao e uma fase de operaes. Durante a fase de design, a equipe de design cria um projeto para a estrutura lgica do Active Directory que melhor atenda s necessidades de cada diviso da organizao que usar o servio de diretrio. Aprovado o projeto, a equipe de implantao testa o design em ambiente de laboratrio e, em seguida, faz a implementao no ambiente de produo. Como o teste executado pela equipe de implantao e, potencialmente, afeta a fase de design, pois trata-se de uma atividade intermediria que se refere tanto ao design, quanto implantao. Concluda a implantao, a equipe de operaes fica responsvel pela manuteno do servio de diretrio.O teste de laboratrio e a implementao de um programa piloto continuam por todo o tempo de vida da implantao do Active Directory.A Figura1.2 mostra a relao entre as fases do ciclo do projeto do Active Directory referente ao tempo de vida do projeto de implantao.Figura1.2Relao entre as fases do ciclo do projeto do Active Directory

Termos e definiesOs termos a seguir so importantes para a compreenso do processo de implantao do Active Directory do Windows Server 2003.Domnio do Active DirectoryUma unidade administrativa em uma rede computacional que, por questo de convenincia gerencial, agrupa diversos recursos, dentre os quais: Identidade de usurio em nvel de rede. Os domnios permitem que identidades de usurio sejam criadas uma vez e ganhem referncia em qualquer computador que esteja unido floresta em que o domnio est localizado. Os controladores de domnio que constituem um domnio so usados para armazenar contas e credenciais de usurios, como senhas ou certificados, de maneira segura. Autenticao. Os controladores de domnio fornecem servios de autenticao de usurios e disponibilizam dados de autorizao adicionais, como associaes em grupos de usurios. Esses servios podem ser usados para controlar o acesso a recursos da rede. Relaes de confiana. Os domnios estendem os servios de autenticao para usurios em outros domnios de sua prpria floresta, por meio de relaes de confiana bidirecionais automticas, e para usurios em domnios de outras florestas, por meio de relaes de confiana externas ou de florestas criadas manualmente. Administrao de diretivas. O domnio um escopo de diretrizes administrativas, como complexidade e regras para reutilizao de senhas. Replicao. O domnio define uma partio da rvore de diretrio que fornece os dados adequados para proporcionar os servios necessrios e que so replicados entre os controladores de domnio. Dessa forma, todos os controladores de domnio so pares em um domnio e so gerenciados como uma unidade.Floresta do Active DirectoryUm conjunto de um ou mais domnios do Active Directory que compartilha estrutura lgica, esquema de diretrio e configurao de rede comuns, bem como relaes de confiana transitivas, bidirecionais e automticas. Cada floresta uma instncia nica do diretrio e define um limite de segurana.Nvel funcional do Active DirectoryUma configurao do Active Directory do Windows Server2003 que habilita recursos avanados em nvel de domnio ou de floresta.MigraoO processo de mover um objeto de um domnio de origem para um domnio de destino, preservando-se ou modificando-se suas caractersticas para torn-lo acessvel no novo domnio.Reestruturao de domnioUm processo de migrao que envolve a modificao da estrutura de domnio de uma floresta. Uma reestruturao de domnio pode abranger a consolidao ou a adio de domnios e pode acontecer dentro de uma floresta ou entre florestas.Consolidao de domnioUm processo de reestruturao que compreende a eliminao de domnios do Microsoft WindowsNT4.0 ou do Active Directory, mesclando seus contedos com o contedo de outros domnios.Atualizao de domnioO processo de atualizar o servio de diretrio de um domnio para uma verso posterior do servio de diretrio. Isso compreende atualizar o sistema operacional em todos os controladores de domnio e elevar o nvel funcional do Active Directory, onde aplicvel.Atualizao de domnio in-locoO processo de atualizao do sistema operacional em todos os controladores de domnio que se baseiam no sistema operacional Windows NT 4.0 ou no Microsoft Windows2000 e elevar o nvel funcional do domnio, se aplicvel, embora deixando objetos do domnio, como usurios e grupos, in loco.Domnio regionalUm domnio filho criado com base em uma regio geogrfica para otimizar o trfego de replicao.Determinando o design e a estratgia de implantao de seu Active DirectoryAps realizar uma avaliao de nvel alto de seu ambiente atual e determinar as metas de implantao de seu Active Directory, voc poder determinar a estratgia de implantao que melhor funcione para seu ambiente. A Figura1.3 mostra as etapas para a definio do processo de implantao de seu Active Directory.Figura1.3Determinando o design e a estratgia de implantao

A estratgia de implantao do Active Directory a ser aplicada varia de acordo com a configurao da rede existente. Por exemplo, se sua organizao atualmente executa o Windows 2000, voc pode simplesmente atualizar seu sistema operacional para o Windows Server 2003. Se sua organizao executa atualmente o Windows NT 4.0 ou um sistema operacional que no seja o Windows, ser necessrio, todavia, criar uma infra-estrutura do Active Directory antes de fazer a atualizao para o Windows Server 2003.Seu processo de implantao pode envolver a reestruturao de domnios existentes, seja dentro de uma floresta, seja entre florestas do Active Directory. Talvez seja necessrio reestruturar os domnios existentes aps implantar o Active Directory do Windows Server 2003 ou aps fazer alteraes organizacionais ou aquisies corporativas. Tambm possvel reestruturar domnios a partir de um ambiente Windows NT 4.0 para uma floresta do Active Directory, para atualizar seu ambiente de produo para o Windows Server 2003.A Tabela1.1 lista os possveis pontos de partida e metas para uma implantao do Active Directory do Windows Server 2003 e as etapas de implantao e os captulos correspondentes neste livro que se aplicam a cada um deles.Tabela1.1Ambiente atual, metas e captulos correspondentes para implantao do Active Directory do Windows Server 2003AmbienteMetas de implantaoCaptulos correspondentes

Nova organizaoCriar projeto de floresta, domnio, DNS e unidade organizacional.Captulo 2: Criando a estrutura lgica do Active Directory

Criar projeto de um site e link do site.Captulo 3: Criando a topologia de site

Avaliar requisitos de hardware.Captulo 4: Planejando a capacidade dos controladores de domnio

Implantar domnio raiz de floresta.Captulo 6: Implantando o domnio raiz de floresta do Windows Server2003

Implantar domnios regionais.Captulo 7: Implantando domnios regionais do Windows Server2003

Elevar os nveis funcionais de domnio e floresta.Captulo 5: Habilitando recursos avanados do Active Directory do Windows Server2003

WindowsNT4.0Criar projeto de floresta, domnio, DNS e unidade organizacional.Captulo 2: Criando a estrutura lgica do Active Directory

Criar projeto de um site e link do site.Captulo 3: Criando a topologia de site

Avaliar requisitos de hardware.Captulo 4: Planejando a capacidade dos controladores de domnio

Implantar domnio raiz de floresta.Captulo 6: Implantando o domnio raiz de floresta do Windows Server2003

Implantar domnios regionais.Captulo 7: Implantando domnios regionais do Windows Server2003

Atualizar domnios do Windows NT 4.0 in-loco que continuaro fazendo parte da estrutura de domnio de seu Active Directory.Captulo 8: Atualizando domnios do WindowsNT4.0 para Active Directory do Windows Server2003

Reestruturar outros domnios do WindowsNT4.0.Captulo 10: Reestruturando domnios do WindowsNT4.0 para uma floresta do Active Directory

Elevar os nveis funcionais de domnio e floresta.Captulo 5: Habilitando recursos avanados do Active Directory do Windows Server2003

Windows2000Atualizar controladores de domnio do Windows2000.Captulo 9: Atualizando domnios do Windows 2000 para domnios do Windows Server2003

Elevar os nveis funcionais de domnio e floresta.Captulo 5: Habilitando recursos avanados do Active Directory do Windows Server2003

A Tabela1.2 lista as metas e os captulos correspondentes que se aplicam reestruturao de domnios dentro de uma floresta ou entre florestas.Tabela1.2Metas e captulos correspondentes para reestruturao de domnios do Active DirectoryAoMetas de implantaoCaptulos correspondentes

Reestruturar domnios dentro de uma florestaCriar projeto de floresta, domnio, DNS e unidade organizacional.Captulo 2: Criando a estrutura lgica do Active Directory

Criar projeto de um site e link do site.Captulo 3: Criando a topologia de site

Usar uma ferramenta, como a ADMT (ferramenta de migrao do Active Directory), para reestruturar domnios dentro de uma floresta.Captulo 12: Reestruturando domnios do Active Directory dentro de uma floresta

Reestruturar domnios entre florestasCriar projeto de floresta, domnio, DNS e unidade organizacional.Captulo 2: Criando a estrutura lgica do Active Directory

Criar projeto de um site e link do site.Captulo 3: Criando a topologia de site

Usar uma ferramenta como a ADMT para reestruturar domnios entre florestas.Captulo 11: Reestruturando domnios do Active Directory entre florestas

Determinando os requisitos de design de seu Active DirectorySe seu ambiente de rede atualmente operar sem um servio de diretrio, ou se for necessrio modificar sua infra-estrutura atual do Active Directory, efetue o processo de design de infra-estrutura do Active Directory. necessrio realizar um design abrangente da estrutura lgica de seu Active Directory antes de implant-lo. Preparar minuciosamente o design de seu Active Directory essencial para obter uma implantao econmica.Design da estrutura lgicaAntes de implantar o Active Directory do Windows Server2003, necessrio planejar e criar a estrutura lgica do Active Directory para seu ambiente. A estrutura lgica do Active Directory determina como os objetos de diretrio so organizados e proporciona um mtodo eficaz de gerenciamento das contas e dos recursos compartilhados de sua rede. Ao criar a estrutura lgica do Active Directory, voc define uma parte significativa da infra-estrutura de rede de sua organizao.Para criar a estrutura lgica do Active Directory, determine o nmero de florestas necessrias para sua organizao e, em seguida, crie projetos para domnios, DNS e unidades organizacionais.Design da topologia de siteAps criar a estrutura lgica para a infra-estrutura de seu Active Directory, necessrio criar a topologia de site para sua rede. A topologia de site uma representao lgica de sua rede fsica. Ela contm informaes sobre a localizao dos sites do Active Directory, os controladores de domnio do Active Directory de cada site e os links dos sites que oferecem suporte replicao do Active Directory entre sites.Planejamento da capacidade dos controladores de domnioPara garantir um desempenho eficaz do Active Directory, necessrio determinar o nmero apropriado de controladores de domnio para cada site e verificar se eles atendem aos requisitos de hardware do Windows Server 2003. Um planejamento cuidadoso da capacidade de seus controladores de domnio assegura que os requisitos de hardware no sejam subestimados, o que poderia causar um mau desempenho dos controladores de domnio e do tempo de resposta dos aplicativos.Recursos avanados do Active DirectoryOs nveis funcionais do Active Directory do Windows Server 2003 permitem a habilitao de novos recursos, como replicao de associao de grupo aprimorada, desativao e redefinio de atributos e classes no esquema e relaes de confiana de floresta que exigem que todos os controladores de domnio no interior do domnio ou da floresta participante executem o Windows Server 2003. Parte do processo de design do Active Directory envolve a identificao dos nveis funcionais de domnio e floresta de que sua organizao necessita. Para implementar esses recursos do Active Directory do Windows Server 2003 em sua organizao, necessrio implantar primeiro o Active Directory e, em seguida, elevar a floresta e o domnio para o nvel funcional apropriado.Determinando os requisitos de implantao de seu Active DirectoryA estrutura do ambiente existente que determina a estratgia de implantao do Active Directory do Windows Server 2003. Se voc estiver criando um ambiente do Active Directory e no houver uma estrutura de domnio existente, ser necessrio concluir o design de seu Active Directory antes de criar o ambiente. Em seguida, voc poder implantar um novo domnio raiz de floresta e o restante de sua estrutura de domnio, de acordo com seu design.Raiz de floresta do WindowsServer2003Para implantar o Active Directory, necessrio implantar primeiro o domnio raiz de floresta do Windows Server 2003. Para tanto, necessrio configurar o DNS, implantar controladores de domnio raiz de floresta, configurar a topologia de site para o domnio raiz da floresta e configurar as funes de mestre de operaes.Domnios regionais do Windows Server2003Se voc estiver criando um ou mais domnios regionais novos em uma floresta do Windows Server 2003, ser necessrio implantar cada domnio regional aps a implantao do domnio raiz da floresta. Para tanto, necessrio delegar uma zona DNS e implantar controladores de domnio para cada domnio regional.Atualizao de domnios do Windows NT 4.0 para o Windows Server2003Ao realizar uma atualizao in-loco de domnios do Windows NT 4.0, possvel comear a usar o Active Directory sem ter que fazer nenhuma modificao na estrutura de domnio existente.Como alternativa, caso voc no deseje preservar a estrutura de domnio existente, reestruture os domnios do Windows NT 4.0 para uma floresta do Windows Server 2003. Para obter mais informaes sobre a reestruturao de domnios do Windows NT 4.0 para uma floresta do Windows Server 2003, consulte "Determinando seus requisitos de reestruturao", mais adiante neste captulo.Atualizao de domnios do Windows 2000 para o Windows Server2003Atualizar seus domnios do Windows2000 para o Windows Server 2003 um modo eficiente e direto de aproveitar os recursos e a funcionalidade adicional do Windows Server 2003. A atualizao do Windows2000 para o Windows Server2003 requer configurao de rede mnima e tem pouco impacto nas operaes do usurio.Determinando seus requisitos de reestruturaoComo parte da implantao do Active Directory, talvez seja conveniente reestruturar seu ambiente. Antes de fazer isso, necessrio determinar quando e como desejvel reestruturar o ambiente. Organizaes com estrutura de domnio do Windows NT 4.0 existente podem preferir realizar uma atualizao in-loco de alguns domnios e reestruturar outros. Alm disso, voc pode decidir reduzir a complexidade do ambiente, reestruturando domnios entre florestas ou reestruturando domnios dentro de uma floresta, aps a implantao do Active Directory.Reestruturao de domnios do Windows NT 4.0 para uma floresta do Windows Server2003Devido a sua maior escalabilidade, um ambiente do Active Directory do Windows Server2003 requer menos domnios do que um ambiente do WindowsNT4.0. Em vez de executar uma atualizao in-loco de seus domnios do WindowsNT4.0, talvez seja mais eficiente consolidar uma srie de domnios menores de contas e recursos do WindowsNT4.0 em alguns domnios maiores do Active Directory.Reestruturao de domnios do Active Directory entre florestasAo reestruturar domnios entre florestas do Windows Server2003, voc pode reduzir o nmero de domnios em seu ambiente e, assim, reduzir a complexidade e a sobrecarga administrativa. Quando objetos so migrados entre florestas, como parte do processo de reestruturao, os ambientes de domnio de origem e de destino existem simultaneamente. Isso permite a reverso para o ambiente de origem durante a migrao, se necessrio.Reestruturao de domnios do Active Directory intraflorestaAo reestruturar domnios do Windows Server2003 dentro de uma floresta do Windows Server2003, voc pode consolidar sua estrutura de domnio e, assim, reduzir a complexidade e a sobrecarga administrativa. Ao contrrio do processo de reestruturao de domnios do Windows Server 2003 entre florestas, quando domnios so reestruturados dentro de uma floresta, as contas migradas no existem mais no domnio de origem.A Tabela1.3 lista as diferenas entre uma reestruturao de domnios entre florestas e intrafloresta.Tabela1.3Diferenas entre reestruturaes de domnios entre florestas e intrafloresta

Considerao de migraoReestruturao entre florestasReestruturao intrafloresta

Preservao de objetosOs objetos so copiados, e no migrados. O objeto original permanece no local de origem para manter o acesso dos usurios aos recursos.Os objetos so migrados e no existem mais no local de origem.

Manuteno de histrico SIDA manuteno de histrico SID opcional. O histrico SID obrigatrio.

Reteno de senhaA reteno de senha opcional.As senhas so sempre retidas.

Migrao de perfil de local necessrio usar ferramentas como a ADMT para migrar perfis de local.No caso de estaes de trabalho que executam o Windows 2000 e posteriores, os perfis de local so migrados automaticamente, uma vez que a GUID de usurio preservada. Entretanto, necessrio usar ferramentas como a ADMT para migrar perfis de local de estaes de trabalho que executam o Windows NT 4.0 ou anterior.

Conjuntos fechadosNo necessrio migrar contas em conjuntos fechados. necessrio migrar contas em conjuntos fechados.

Exemplo: estabelecendo uma estratgia de implantao do Active DirectoryPara ilustrar o processo de implantao do Active Directory, os captulos deste livro apresentam um exemplo de como uma empresa fictcia, a Contoso Pharmaceuticals, implanta o Active Directory em seu ambiente. O ambiente da Contoso consiste em quatro domnios, todos os quais executam o Active Directory do Windows 2000. A Figura1.4 mostra a estrutura de domnio atual da corporao Contoso.Figura1.4Estrutura de domnio da corporao Contoso

Aps analisar o ambiente existente e identificar suas metas de implantao, a Contoso estabeleceu a seguinte estratgia de implantao do Active Directory: Atualizar domnios do Windows 2000 para domnios do Windows Server2003 Habilitar recursos avanados do Active Directory, elevando os nveis funcionais de domnio e floresta.Aps atualizar todos os domnios do Windows 2000 para o Windows Server 2003, a Contoso reestruturar o domnio africa.concorp.contoso.com dentro da floresta para consolid-lo com o domnio emea.concorp.contoso.com.A corporao Contoso est adquirindo uma empresa chamada Trey Research, que atualmente executa um ambiente com base no Windows NT 4.0, como mostrado na Figura1.5.Figura1.5Ambiente atual da Trey Research

A Contoso estabeleceu a seguinte estratgia de implantao do Active Directory para a aquisio da Trey Research: Design da estrutura lgica do Active Directory, para criar projetos de floresta, domnio, DNS e unidade organizacional para o novo ambiente do Windows Server 2003. Design da topologia de site, para criar os sites, links de site e pontes de links de site necessrios. Planejamento de capacidade de controladores de domnio, para determinar os requisitos de hardware do novo ambiente do Windows Server 2003. Implantao de trccorp.treyresearch.net como domnio raiz de floresta. Implantao de trs domnios regionais. Equipes diferentes podem criar esses domnios simultaneamente. Atualizao do domnio EAST para o Windows Server2003, de modo a se tornar east.trccorp.treyresearch.net. Criao de dois novos domnios regionais do Windows Server2003, denominados asia.trccorp.treyresearch.net e west.trccorp.treyresearch.net. Reestruturao dos domnios BOSTON, MAIL-APPS, PROD-APPS e OFFICE-APPS para o domnio do Windows Server2003 east.trccorp.treyresearch.net, usando ADMT. Elevao dos nveis funcionais de domnio e floresta para o Windows Server 2003.A Figura1.6 mostra o ambiente intermedirio daTrey Research.Figura1.6Ambiente intermedirio da Trey Research

Em um momento posterior, a Contoso estabeleceu que um nico domnio para as regies Europa, Oriente Mdio e sia seria mais econmico, de modo que a etapa final do processo de implantao foi reestruturar asia.trccorp.treyresearch.net no domnio emea.concorp.contoso.com na floresta da Contoso, usando ADMT.A Figura1.7 mostra a estrutura de domnio da corporao Contoso aps a aquisio da Trey Research e da concluso do processo de implantao do Active Directory do Windows Server 2003.Figura1.7Ambiente final da Contoso e da Trey Research

Testando e verificando o processo de implantaoEm toda a implantao do Active Directory, possvel minimizar o impacto em operaes comerciais normais testando as suposies de design e verificando o processo de implantao em um programa piloto. medida que voc for criando o primeiro esboo de design de seu Active Directory, comece o teste e a verificao. Os testes e as verificaes tm incio durante a fase de design e continuam nas fases de implantao e de operaes.A Figura1.8 mostra o processo de teste e verificao do design e da implantao do Active Directory.Figura1.8Testando e verificando o design e a implantao do Active Directory

Testando o design e a implantao em ambiente de laboratrioO teste de laboratrio a primeira avaliao do design do Active Directory. Durante o teste laboratorial, possvel confirmar as suposies feitas pelos arquitetos de design. medida que o primeiro esboo de design do Active Directory for ficando pronto, comece a testar suposies de design especficas do processo de implantao em ambiente de laboratrio. Testando o processo de implantao em laboratrio, possvel descobrir problemas de design em potencial que podem afet-lo e apresentar comentrios equipe de design para corrigir os problemas antes da implantao.Verifique se o ambiente de laboratrio de teste est isolado do resto da rede de produo de sua organizao e represente, em uma escala pequena, a configurao de hardware e sistema operacional dos computadores na organizao. Inclua controladores de domnio no ambiente de laboratrio suficientes para oferecer suporte a uma amostra representativa de seu design de site, inclusive parceiros de replicao intra-site e entre sites, links de site e intervalos de replicao realistas.Inclua contas de usurio e de grupo e outros recursos exclusivamente designados para o teste. Garanta que seu ambiente de teste d acesso a configuraes de teste de servios externos, como acesso ao mainframe ou Internet, conforme a necessidade. Preserve o laboratrio para testar novos procedimentos e treinar a equipe de implantao.A equipe de implantao pode usar o ambiente de laboratrio para conhecer as especificidades de seu processo de implantao e ganhar familiaridade com as ferramentas de implantao e migrao usadas durante a implantao do Active Directory.Normalmente, os testes de suposies de design e os testes do processo de implantao so realizados por equipes diferentes. A Tabela1.4 lista os testes de laboratrio e os membros de equipe que os realizam no laboratrio.Tabela1.4Testes de laboratrio e membros de equipe correspondentesProcesso de testeTestes de laboratrioMembros de equipe

Testar suposies de designAnalisar a replicao e a topologia de site do Active Directory.Equipe de design, proprietrio da topologia de site e equipe de implantao.

Testar compatibilidade de aplicativos e rea de trabalho.Equipe de design.

Testar processo de implantaoTestar a recuperao de desastres. Proprietrio da floresta e equipe de implantao.

Testar a migrao de contas e recursos. Proprietrio da floresta e equipe de implantao.

Avaliar delegao, administrao e gerenciamento. Proprietrio da floresta.

Testando suposies de designDurante o processo de design, a equipe de design faz suposies que so incorporadas ao design do Active Directory, como replicao e compatibilidade de aplicativos. Depois que a equipe conclui um esboo preliminar do design, ela deve por prova essas suposies no ambiente de laboratrio.Para testar as suposies de design no ambiente de laboratrio, a equipe de design deve: Analisar a replicao e a topologia de site do Active Directory. Desenvolver um plano de teste e, em seguida, testar a compatibilidade de aplicativos e rea de trabalho.Analisar a replicao e a topologia de site do Active DirectoryO design da topologia de site especifica latncia mxima de replicao. Trata-se da quantidade de tempo necessria para replicar alteraes em toda a floresta. A equipe de design deve verificar se a latncia de replicao em nvel de floresta menor ou igual latncia mxima de replicao especificada no design. A equipe deve realizar um teste de caso extremo, com base no nmero mximo de saltos pressupostos no design. A equipe deve observar o tempo necessrio para a convergncia de replicao quando um controlador de domnio ou link de comunicaes falha.

Para analisar a replicao entre sites e o failover de sites do Active Directory1. Identifique os controladores de domnio responsveis pela replicao entre sites, usando os Sites e Servios do Active Directory.2. Desconecte os controladores de domnio ou desabilite os links de comunicaes usados em replicao entre sites.3. Permita que o KCC (Verificador de Consistncia de Conhecimento) configure automaticamente a nova topologia de replicao.4. Identifique os controladores de domnio responsveis agora pela replicao entre sites.5. Reconecte os controladores de domnio ou habilite os links de comunicaes.6. Verifique se a topologia de replicao entre sites retorna ao estado original, conforme identificado na etapa1.Verificar compatibilidade de aplicativos e rea de trabalhoA equipe de design tambm deve determinar a compatibilidade entre aplicativos, os sistemas operacionais de rea de trabalho e o Active Directory. Normalmente, os aspectos de teste de aplicativos afetados por uma migrao ou atualizao do Active Directory abrangem aplicativos executados em servidores e computadores clientes, alm do uso por acesso remoto.Verifique as suposies de design de compatibilidade de aplicativos e rea de trabalho, criando uma lista com todos os aplicativos crticos. Faa com que os membros da equipe de design testem cada aplicativo para verificar se ele opera corretamente no ambiente migrado.Ao verificar a compatibilidade de aplicativos e rea de trabalho, verifique se: Os aplicativos de servidor existentes, como aqueles em execuo atualmente em um BDC (controlador de domnio de backup) do Windows NT 4.0, podem ser executados em servidores membros e controladores de domnio baseados no Windows Server 2003.Por exemplo, alguns aplicativos de servidor executados em BDCs aproveitam os Grupos Locais Compartilhados. Para executar esses aplicativos de servidor em um controlador de domnio baseado no Windows Server 2003, verifique se os aplicativos so executados corretamente, usando grupos locais de domnio do Active Directory. Os aplicativos de servidores executados em um misto de servidores baseados no Windows Server2003 e no Windows NT4.0 conseguem interoperar uns com os outros.Por exemplo, verifique se um servidor baseado no Windows Server 2003, executando o Microsoft SQL Server, consegue interagir com um servidor com base no WindowsNT4.0 executando o mesmo aplicativo. Os aplicativos de rea de trabalho existentes podem ser executados corretamente, quando a infra-estrutura de domnio migrada para o Active Directory do Windows Server 2003. Os aplicativos existentes que usam segurana Windows integrada podem ser executados corretamente, quando a infra-estrutura de domnio migrada para o Active Directory do Windows Server 2003.Se voc descobrir que um aplicativo de servidor no pode ser migrado para um controlador de domnio com base no Windows Server 2003, tente reinstalar o aplicativo ou uma verso posterior do aplicativo em um servidor membro baseado no Windows Server 2003. Se o aplicativo no puder ser executado em um servidor que executa o Windows Server 2003, voc poder continuar executando o aplicativo em um servidor em que o Windows NT 4.0 ou Windows 2000 seja executado.Comente com a equipe de design que o domnio do aplicativo de servidor no pode ser atualizado in-loco ou consolidado e deve permanecer at que esteja disponvel uma verso do aplicativo que possa ser executada em um controlador de domnio com base no Windows Server 2003. Como meta de implantao de longo prazo, faa a transio de todo aplicativo executado atualmente em controladores de domnio para servidores membros.Testando o processo de implantaoEm um ambiente de laboratrio, antes de comear o programa piloto, a equipe de implantao deve testar tarefas especficas essenciais para o processo de implantao do Active Directory, como a migrao de contas e recursos do Windows NT 4.0 para o Active Directory do Windows Server 2003.Para verificar o processo de implantao no ambiente de laboratrio: Teste a recuperao de desastres. Teste a migrao de contas e recursos. Avalie delegao, administrao e gerenciamento.Testar a recuperao de desastresTeste a recuperao de desastres em seu ambiente de laboratrio para validar que os usurios possam fazer logon dentro de um tempo de resposta aceitvel at que um controlador de domnio seja restaurado e para determinar o tempo necessrio para armazenar o controlador de domnio que falhou.Para implementar um processo de recuperao de desastres em sua implantao do Active Directory, faa o backup dos dados de Estado do Sistema em, pelo menos, dois controladores de domnio no ambiente de laboratrio. Feito o backup dos dados, necessrio testar a validade da fita de backup e do processo de restaurao. Teste os seguintes cenrios: Faa uma restaurao no-autoritarista do controlador de domnio cujo banco de dados de servios de diretrio contenha os dados corrompidos. Faa uma restaurao autoritarista de um controlador de domnio para restaurar os dados do Active Directory que foram apagados.Verifique se os testes representam as velocidades de conexo mais lentas de seu ambiente e o maior nmero de contas de usurio.Por exemplo, ao determinar o tempo necessrio para restaurar um controlador de domnio que falhou, lembre-se de testar os dados de Estado do Sistema de seu backup para todo controlador de domnio que seja o nico em um site conectado a uma taxa de transmisso de dados de 128Kbps ou inferior. Alm disso, teste a restaurao dos dados de Estado do Sistema de seu backup para todo controlador em um domnio que contenha mais do que 20.000 contas de usurio.Quando um controlador de domnio estiver conectado a outros controladores de domnio a uma taxa de transmisso de dados igual ou superior a 128Kbps, teste o processo de instalao do Active Directory em um novo controlador de domnio e deixe a replicao do Active Directory repopular o banco de dados do Active Directory.Para obter mais informaes sobre testes de recuperao de desastres, consulte o link Active Directory Disaster Recovery (.doc), na pgina Web Resources, em http://www.microsoft.com/windows/reskits/webresources (em ingls).Testar a migrao de contas e recursosPara testar o processo de implantao quanto migrao de contas e recursos, use os procedimentos apresentados no captulo sobre o processo de reestruturao que voc est planejando. Organizaes que planejam reestruturar domnios do Windows NT 4.0 tambm podem executar os seguintes testes em seu processo de reestruturao:

Para testar o processo de implantao quanto migrao de contas e recursos7. Em dois ou mais domnios de contas WindowsNT4.0 de produo, crie novos controlados de domnio de backup (BDCs).8. Remova os novos BDCs da rede de produo.9. Instale os novos BDCs no ambiente de laboratrio.10. Promova os novos BDCs a PDCs (controladores de domnio primrios).11. Execute atualizaes in-loco e reestruture os domnios de conta em seu laboratrio.12. Faa migraes de contas e recursos, usando uma ferramenta de migrao tal como a ADMT.13. Verifique se as contas migradas tm acesso aos recursos e preserve os perfis de usurio.Avaliar delegao, administrao e gerenciamentoAvalie os processos de delegao, administrao e gerenciamento, criando a estrutura de unidades organizacionais especificada em seu design do Active Directory. Delegue o controle das unidades organizacionais a contas de grupo especficas utilizadas para administrao. Siga estas etapas para verificar o xito da delegao:

Para verificar o xito da delegao do controle de unidades organizacionais a grupos especficos1. Faa logon como um usurio que pertence conta de grupo qual o controle foi delegado.2. Execute tarefas administrativas em objetos dentro da unidade organizacional (por exemplo, modifique as propriedades de um usurio em uma unidade organizacional da conta).3. Faa uma tentativa e, subseqentemente, falhe para executar tarefas administrativas em unidades organizacionais s quais o grupo administrativo no tem controle delegado.Verificando a implantao de um programa pilotoNo ambiente de laboratrio, verifique se o processo de implantao funciona fora de seu ambiente de produo, em contas e recursos que se aproximam de seu ambiente de produo. Se seu ambiente executar o Active Directory do Windows2000, use o programa piloto existente para verificar a implantao do Windows Server2003. No programa piloto de implantao, identifique um subconjunto controlado das contas (de usurios, grupos e servios) e recursos que existem no ambiente de produo. Realize o processo de implantao nas contas e nos recursos identificados.As metas do programa piloto compreendem: Estender o teste a um subconjunto do ambiente de produo. Providenciar um ambiente de teste para outros grupos de design e implantao, como a implantao do Exchange2000. Verificar o processo e os procedimentos de atualizao de infra-estrutura de rede e sistema operacional. Verificar a operao adequada das atualizaes de aplicativos. Avaliar o impacto do monitoramento de solues na infra-estrutura de rede e nos servidores monitorados. Descobrir quaisquer problemas potenciais no processo de implantao causados por complexidades que no puderam ser modeladas no ambiente de laboratrio. Examinar o processo de implantao para corrigir quaisquer problemas descobertos antes da implantao de produo.Em sua implantao piloto, comece com os usurios envolvidos no projeto de implantao e, em seguida, inclua usurios representativos da populao de usurios.

Para criar um programa piloto de implantao em seu ambiente1. Crie domnio_raiz_floresta (onde domnio_raiz_floresta o nome de um domnio raiz de floresta vazio do Active Directory criado acrescentando-se -teste ao nome do domnio raiz de floresta de produo).2. Crie domnio_regional (onde domnio_regional o nome de domnio regional no programa piloto) acrescentando -teste a um domnio regional de produo.3. Estabelea as relaes de confiana apropriadas entre domnio_regional e domnio_winnt (onde domnio_winnt um domnio de contas ou recursos do WindowsNT4.0).4. Migre as contas e os recursos selecionados de domnio_winnt para domnio_regional.5. Verifique se os usurios e administradores conseguem executar, no mnimo, as mesmas tarefas que podiam antes da migrao (como acesso a recursos, administrao de contas e administrao de recursos).

ImportanteAo migrar usurios de produo para o piloto, deixe as contas de usurio habilitadas nos ambientes de produo e piloto. Deixando as contas de usurio habilitadas no ambiente de produo, voc fornecer um plano de fallback, se ocorrerem problemas no ambiente piloto.Exemplo: criando um programa piloto de implantao para a Trey ResearchA corporao Contoso e a Trey Research criaram um programa piloto para a implantao do Active Directory. A Tabela1.5 lista os nomes que elas forneceram para a implantao piloto.Tabela1.5Exemplo de programa piloto de implantaoDomnioNome

domnio_raiz_florestatrccorp-test.treyresearch.net

domnio_regionaleast-test.trccorp-test.treyresearch.net

domnio_winntBOSTON para domnio de contasOFFICE-APPS para domnio de recursos

A Figura1.9 ilustra a configurao da implantao piloto.Figura1.9Configurao da implantao piloto

Concluindo o programa piloto de implantaoTerminado o programa piloto de implantao, preserve o ambiente da implantao piloto e use-o como ambiente de estgios para sua implantao de produo. Continue a usar a floresta piloto para verificar novos processos de implantao, como adicionar novos aplicativos ou extenses de esquema, instalar sistemas operacionais, criar objetos de Diretiva de Grupo ou reestruturar unidades organizacionais.Como dissemos anteriormente, providencie um plano de fallback, deixando as contas de usurio habilitadas tanto no ambiente de produo original, quanto no ambiente de implantao piloto. Mantenha os usurios no ambiente de implantao piloto para que faam seu trabalho de produo; no migre as contas do ambiente de implantao piloto para a floresta de produo. Em vez disso, se decidir mover os usurios do piloto para outra floresta de produo, migre-os a partir do ambiente de produo original. Isso garante que todos os usurios na floresta de produo tenham contas consistentes e facilita a soluo de problemas.Exemplo: concluindo o programa piloto de implantao para a Trey ResearchA Figura1.10 mostra uma comparao entre o design da floresta piloto e a implantao da floresta de produo do Active Directory.Figura1.10Comparao entre floresta piloto e floresta de produo

Recursos adicionaisOs recursos abaixo contm informaes e ferramentas adicionais relacionadas a este captulo.Informaes relacionadas Criando a estrutura lgica do Active Directory, neste livro. Criando a topologia de site, neste livro. Planejando a capacidade dos controladores de domnio, neste livro. Habilitando recursos avanados do Active Directory do Windows Server2003, neste livro. Implantando o domnio raiz de floresta do Windows Server2003, neste livro. Implantando domnios regionais do Windows Server2003, neste livro. Atualizando domnios do WindowsNT4.0 para o Active Directory do Windows Server2003, neste livro. Atualizando domnios do Windows2000 para domnios do Windows Server2003, neste livro. Reestruturando domnios do WindowsNT4.0 para uma floresta do Active Directory, neste livro. Reestruturando domnios do Active Directory entre florestas, neste livro. Reestruturando domnios do Active Directory dentro de uma floresta, neste livro. Implantando DNS, em Implantando servios de rede, neste kit. O link Active Directory na pgina Web Resources), em http://www.microsoft.com/windows/reskits/webresources. (em ingls) Clique em Planning & Deployment Guides para encontrar links adicionais para o download dos seguintes guias em ingls: Active Directory Branch Office Planning Guide Active Directory Operations Guide Best Practice Active Directory Design for Exchange2000 Multiple Forest Considerations Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part ITpicos de ajuda relacionadosPara obter melhores resultados na identificao de tpicos da Ajuda por ttulo, no Centro de Ajuda e Suporte, na caixa Pesquisar, clique em Definir opes de pesquisa. Em Tpicos da Ajuda, marque a caixa de seleo Pesquisar somente em ttulos. Active Directory, no Centro de Ajuda e Suporte do Windows Server2003. Ferramentas de Suporte do Windows, em Ferramentas no Centro de Ajuda e Suporte do Windows Server2003.