Neste post irei falar sobre a instalação do Active Directory, porém sobre um outro ponto de vista, vou dar uma visão sobre a arquitetura deste. Farei a explanação usando algumas telas printadas.
É importante salientar que o primeiro passo é a configuração do endereçamento IP e este poderá ser feito, caso prefira, em linha de comando. (Está é para a galera do pinguim)
netsh int ip set address name=”Local Area Connection” static 192.168.1.3 255.255.255.0 192.168.1.3
netsh int ip set dns name=”Local Area Connection” static 192.168.1.3
Passo 1 – Uma das formas de instalar o Active Directory é através do comando dcpromo no “run”;
Passo 2 – O Windows irá checar se os binários do AD DS ( Serviços de Domínio de Active Directory).
Fazenda uma rápida explanação, esta tecnologia fornece serviços de autenticação e autorização em uma rede e suporta o gerenciamento de objetos através da GPO. É através dele que nós, os administradores de redes Windows, podemos gerenciar os objetos do AD.
Passo 3 – Vai aparecer um assistente dando a opção de você usar o modo avançado ou o “NNF”, eu prefiro o NNF.
Passo 4 – Vai dar um aviso, informando que Sistemas Operacionais mais antigos tais como, Windows NT, Windows 98 SE não poderão ser autenticados já que têm algoritmos de criptografia antigos.
Mas tem jeito pra isso também, viu? Veja ai embaixo uma dica:
To configure a domain controller to not require SMB packet signing or secure channel signing, disable the following settings in the Default Domain Controllers Policy:
Microsoft network server: Digitally sign communications (always)
Domain member: Digitally encrypt or sign secure channel data (always)
Back up the Default Domain Controllers Policy Group Policy object (GPO) before you modify it. Use the Group Policy Management Console (GPMC) to back up the GPO so that it can be restored, if necessary.
Membership in Domain Admins or Enterprise Admins, or equivalent, is the minimum required to complete this procedure. Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups (http://go.microsoft.com/fwlink/?LinkId=83477).
To disable SMB packet signing enforcement based domain controllers
1. To open GPMC, click Start, click Run, type gpmc.msc, and then click OK.
2. In the console tree, right-click Default Domain Controllers Policy in Domains\Current Domain Name\Group Policy objects\Default Domain Controllers Policy, and then click Edit.
3. In the Group Policy Management Editor window, in the console tree, go to Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options.
4. In the details pane, double-click Microsoft network server: Digitally sign communications (always).
5. Verify that the Define this policy setting check box is selected, click Disabled to prevent SMB packet signing from being required, and then click OK.
To apply the Group Policy change immediately, either restart the domain controller or open a command prompt, type the following command, and then press ENTER:
gpupdate /force
http://technet.microsoft.com/en-us/library/cc731654(WS.10).aspx
Passo 5 – Vai te dar a opção de criar uma nova floresta ou entrar em uma já existente.
Passo 6 – Vamos definir o nome DNS da zona.
Passo 7 – O Windows vai checar se o nome da nova floresta já está em uso.
Passo 8 – Depois o Windows fará um verificação do nome NetBios.
Passo 9 – Você irá decidir o nível funcional da floresta. No nosso caso iremos escolher o “Windows Server 2008”.
Quais as vantagens em escolher esta opção?
Na verdade não muda muita coisa entre o Nível funcional de floresta para o Windows Server 2003 e o Windows Server 2008.
Abaixo descrevo as melhorias citando parte do site “http://technet.microsoft.com/pt-br/library/cc771294.aspx”
Windows Server 2003
Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows 2000 nativo, além destes:
A disponibilidade da ferramenta de gerenciamento de domínio, Netdom.exe, para se preparar para renomear o controlador de domínio.
Atualização do carimbo de data/hora de logon. O atributo lastLogonTimestamp é atualizado com o último horário de logon do usuário ou computador. Este atributo é replicado no domínio.
A capacidade de definir o atributo userPassword como a senha efetiva no objeto inetOrgPerson e nos objetos de usuário.
A capacidade de redirecionar contêineres de Usuários e Computadores. Por padrão, dois contêineres conhecidos são fornecidos para hospedar contas de computador e usuário/grupo: cn=Computadores, e cn=Usuários,. Esse recurso possibilita a definição de um novo local conhecido para essas contas.
O Gerenciador de Autorização pode armazenar as diretivas de autorização no AD DS.
A delegação limitada é incluída, o que possibilita aos aplicativos tirarem vantagem da delegação segura de credenciais de usuário por meio do protocolo de autenticação Kerberos. Você pode configurar a delegação para que tenha permissão somente para determinados serviços de destino.
A autenticação seletiva possui suporte, o que torna possível especificar os usuários e grupos de uma floresta confiável que terão permissão para autenticar servidores de recursos em uma floresta confiante.
Windows Server 2008
Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2003, além destes:
Suporte à Replicação do Sistema de Arquivos Distribuídos para SYSVOL, o que fornece uma replicação mais robusta e detalhada do conteúdo de SYSVOL.
Serviços de Criptografia Avançados (AES 128 e 256), suporte ao protocolo de autenticação Kerberos.
Últimas Informações de Logon Interativo, que mostram o horário do último logon interativo bem-sucedido de um usuário, a estação de trabalho que o originou e as falhas nas tentativas de logon desde o último logon.
Diretivas de senha refinadas, que possibilitam que as diretivas de senha e de bloqueio de conta sejam especificadas para usuários e grupos de segurança globais em um domínio.
Windows Server 2008 R2
Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2008, além dos seguintes recursos:
Garantia do mecanismo de autenticação, que agrupa informações sobre o tipo do método de logon (cartão inteligente ou nome de usuário/senha) usado para autenticar os usuários de domínio dentro do token Kerberos de cada usuário. Quando esse recurso é ativado em um ambiente de rede que implantou uma infraestrutura de gerenciamento de identidade federado, como o AD FS (Serviços de federação do Active Directory), as informações no token podem ser extraídas sempre que um usuário tentar acessar quaisquer aplicativos com reconhecimento de declarações desenvolvidos para determinar a autorização com base no método de logon de um usuário.
Veja como é fácil elevar o nível funcional:
Clique com o botão direito do mouse no nó da raiz de snap-in Active Directory Domains And Trusts e escolha Raise Forest Functional Level. Lá terá a opção de mudar.
Obs. Depois de elevado, não será mais possível rebaixá-lo.
Passo 10 – O Windows irá fazer um exame na configuração do DNS.
Passo 11 – Aparecerá uma recomendação de que o Serviço DNS seja instalado neste DC, quanto às informações sobre o Catálogo Global e o RODCs (que aparece nesta tela), falarei em outro post.
Passo 12 - Uma caixa de diálogo irá aparecer informando que uma delegação para este servidor DNS não pode ser criada porque a zona pai não pode ser encontrado ou não está executando o servidor DNS. A razão para isso é que este é o primeiro DC na rede. Não se preocupe, clique em Sim para continuar.
Passo 13 – Vai aparecer a opção de você escolher onde será instalado os diretórios de log, banco de dados do AD e o SYSVOL. A Microsoft recomenda que os logs e a base de dados sejam instalado em caminhos diferentes. (Na boa, o próximo post eu explico o que são o: SYSVOL e o NTDS).
Passo 14 – Aqui você define a senha de restauração do Active Directory. Caso você tenha esqueci a senha poderá usar os seguintes comandos para resetar a senha:
NTDSUTIL
set dsrm password
reset password on server null
Vai pedir pra você digitar duas vezes a senha e pronto, a senha já foi alterada.
Passo 15 – Vai aparecer um resumo informando sobre a instalação, se você quiser, poderá exportar as informações para um arquivo de resposta.
Passo 16 – Neste momento o assistente irá escrever as configurações feitas.
Passo 17 – Depois é só reiniciar e o seu AD DS está instalado.
Nos próximos posts, irei falar mais sobre o SYSVOL, NTDS, kerberos e o LDAP
É importante salientar que o primeiro passo é a configuração do endereçamento IP e este poderá ser feito, caso prefira, em linha de comando. (Está é para a galera do pinguim)
netsh int ip set address name=”Local Area Connection” static 192.168.1.3 255.255.255.0 192.168.1.3
netsh int ip set dns name=”Local Area Connection” static 192.168.1.3
Passo 1 – Uma das formas de instalar o Active Directory é através do comando dcpromo no “run”;
Passo 2 – O Windows irá checar se os binários do AD DS ( Serviços de Domínio de Active Directory).
Fazenda uma rápida explanação, esta tecnologia fornece serviços de autenticação e autorização em uma rede e suporta o gerenciamento de objetos através da GPO. É através dele que nós, os administradores de redes Windows, podemos gerenciar os objetos do AD.
Passo 3 – Vai aparecer um assistente dando a opção de você usar o modo avançado ou o “NNF”, eu prefiro o NNF.
Passo 4 – Vai dar um aviso, informando que Sistemas Operacionais mais antigos tais como, Windows NT, Windows 98 SE não poderão ser autenticados já que têm algoritmos de criptografia antigos.
Mas tem jeito pra isso também, viu? Veja ai embaixo uma dica:
To configure a domain controller to not require SMB packet signing or secure channel signing, disable the following settings in the Default Domain Controllers Policy:
Microsoft network server: Digitally sign communications (always)
Domain member: Digitally encrypt or sign secure channel data (always)
Back up the Default Domain Controllers Policy Group Policy object (GPO) before you modify it. Use the Group Policy Management Console (GPMC) to back up the GPO so that it can be restored, if necessary.
Membership in Domain Admins or Enterprise Admins, or equivalent, is the minimum required to complete this procedure. Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups (http://go.microsoft.com/fwlink/?LinkId=83477).
To disable SMB packet signing enforcement based domain controllers
1. To open GPMC, click Start, click Run, type gpmc.msc, and then click OK.
2. In the console tree, right-click Default Domain Controllers Policy in Domains\Current Domain Name\Group Policy objects\Default Domain Controllers Policy, and then click Edit.
3. In the Group Policy Management Editor window, in the console tree, go to Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options.
4. In the details pane, double-click Microsoft network server: Digitally sign communications (always).
5. Verify that the Define this policy setting check box is selected, click Disabled to prevent SMB packet signing from being required, and then click OK.
To apply the Group Policy change immediately, either restart the domain controller or open a command prompt, type the following command, and then press ENTER:
gpupdate /force
http://technet.microsoft.com/en-us/library/cc731654(WS.10).aspx
Passo 5 – Vai te dar a opção de criar uma nova floresta ou entrar em uma já existente.
Passo 6 – Vamos definir o nome DNS da zona.
Passo 7 – O Windows vai checar se o nome da nova floresta já está em uso.
Passo 8 – Depois o Windows fará um verificação do nome NetBios.
Passo 9 – Você irá decidir o nível funcional da floresta. No nosso caso iremos escolher o “Windows Server 2008”.
Quais as vantagens em escolher esta opção?
Na verdade não muda muita coisa entre o Nível funcional de floresta para o Windows Server 2003 e o Windows Server 2008.
Abaixo descrevo as melhorias citando parte do site “http://technet.microsoft.com/pt-br/library/cc771294.aspx”
Windows Server 2003
Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows 2000 nativo, além destes:
A disponibilidade da ferramenta de gerenciamento de domínio, Netdom.exe, para se preparar para renomear o controlador de domínio.
Atualização do carimbo de data/hora de logon. O atributo lastLogonTimestamp é atualizado com o último horário de logon do usuário ou computador. Este atributo é replicado no domínio.
A capacidade de definir o atributo userPassword como a senha efetiva no objeto inetOrgPerson e nos objetos de usuário.
A capacidade de redirecionar contêineres de Usuários e Computadores. Por padrão, dois contêineres conhecidos são fornecidos para hospedar contas de computador e usuário/grupo: cn=Computadores,
O Gerenciador de Autorização pode armazenar as diretivas de autorização no AD DS.
A delegação limitada é incluída, o que possibilita aos aplicativos tirarem vantagem da delegação segura de credenciais de usuário por meio do protocolo de autenticação Kerberos. Você pode configurar a delegação para que tenha permissão somente para determinados serviços de destino.
A autenticação seletiva possui suporte, o que torna possível especificar os usuários e grupos de uma floresta confiável que terão permissão para autenticar servidores de recursos em uma floresta confiante.
Windows Server 2008
Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2003, além destes:
Suporte à Replicação do Sistema de Arquivos Distribuídos para SYSVOL, o que fornece uma replicação mais robusta e detalhada do conteúdo de SYSVOL.
Serviços de Criptografia Avançados (AES 128 e 256), suporte ao protocolo de autenticação Kerberos.
Últimas Informações de Logon Interativo, que mostram o horário do último logon interativo bem-sucedido de um usuário, a estação de trabalho que o originou e as falhas nas tentativas de logon desde o último logon.
Diretivas de senha refinadas, que possibilitam que as diretivas de senha e de bloqueio de conta sejam especificadas para usuários e grupos de segurança globais em um domínio.
Windows Server 2008 R2
Todos os recursos padrão do Active Directory, todos os recursos do nível funcional de domínio do Windows Server 2008, além dos seguintes recursos:
Garantia do mecanismo de autenticação, que agrupa informações sobre o tipo do método de logon (cartão inteligente ou nome de usuário/senha) usado para autenticar os usuários de domínio dentro do token Kerberos de cada usuário. Quando esse recurso é ativado em um ambiente de rede que implantou uma infraestrutura de gerenciamento de identidade federado, como o AD FS (Serviços de federação do Active Directory), as informações no token podem ser extraídas sempre que um usuário tentar acessar quaisquer aplicativos com reconhecimento de declarações desenvolvidos para determinar a autorização com base no método de logon de um usuário.
Veja como é fácil elevar o nível funcional:
Clique com o botão direito do mouse no nó da raiz de snap-in Active Directory Domains And Trusts e escolha Raise Forest Functional Level. Lá terá a opção de mudar.
Obs. Depois de elevado, não será mais possível rebaixá-lo.
Passo 10 – O Windows irá fazer um exame na configuração do DNS.
Passo 11 – Aparecerá uma recomendação de que o Serviço DNS seja instalado neste DC, quanto às informações sobre o Catálogo Global e o RODCs (que aparece nesta tela), falarei em outro post.
Passo 12 - Uma caixa de diálogo irá aparecer informando que uma delegação para este servidor DNS não pode ser criada porque a zona pai não pode ser encontrado ou não está executando o servidor DNS. A razão para isso é que este é o primeiro DC na rede. Não se preocupe, clique em Sim para continuar.
Passo 13 – Vai aparecer a opção de você escolher onde será instalado os diretórios de log, banco de dados do AD e o SYSVOL. A Microsoft recomenda que os logs e a base de dados sejam instalado em caminhos diferentes. (Na boa, o próximo post eu explico o que são o: SYSVOL e o NTDS).
Passo 14 – Aqui você define a senha de restauração do Active Directory. Caso você tenha esqueci a senha poderá usar os seguintes comandos para resetar a senha:
NTDSUTIL
set dsrm password
reset password on server null
Vai pedir pra você digitar duas vezes a senha e pronto, a senha já foi alterada.
Passo 15 – Vai aparecer um resumo informando sobre a instalação, se você quiser, poderá exportar as informações para um arquivo de resposta.
Passo 16 – Neste momento o assistente irá escrever as configurações feitas.
Passo 17 – Depois é só reiniciar e o seu AD DS está instalado.
Nos próximos posts, irei falar mais sobre o SYSVOL, NTDS, kerberos e o LDAP
