INSTALANDO E CONFIGURANDO O ACTIVE DIRECTORY NO WINDOWS SERVER 2008

INSTALANDO E CONFIGURANDO O ACTIVE DIRECTORY NO WINDOWS SERVER 2008 Objetivo Esse artigo tem como objetivo demonstrar como instalar e configurar o Active Directory no Windows Server 2008. Será também apresentado o que há de novo no Active Directory e os novos recursos disponíveis. Nota Este artigo foi escrito com a versão final do Windows Server 2008, porém caso você ainda não possua a versão final do produto você poderá fazer o download e adquirir a chave do produto da versão Trial acessando a url abaixo: http://www.microsoft.com/windowsserver2008/audsel.mspx Esse artigo pressupõe que você já tenha instalado e configurado o Windows Server 2008, porém caso você ainda não tenha instalado o Windows Server 2008 acesse a url abaixo para ler o artigo que eu escrevi passo-a-passo, o qual ensina como instalar o Windows Server 2008 no Microsoft Virtual Server 2005 R2. http://www.guiamcse.com.br/artigos/instalando_o_windows_server_2008.html

Introdução O Active Directory Domain Services (AD DS) é um dos serviços de servidor disponíveis no Windows Server 2008. Ele fornece a distribuição do serviço de diretório, o qual pode ser utilizado para centralizar e gerenciar a segurança da sua rede. O que há de novo no Active Directory O Active Directory Domain Services (AD DS) inclui novas opções de instalação no Windows Server 2008. As novas opções de instalação incluídas são: Active Directory Domain Services Installation Wizard Instalação Unattended Read-Only Domain Controller (RODC) Domain Name System (DNS) Global Catalog Servers Durante a instalação do Active Directory você terá a opção de escolher o nível funcional da sua floresta e domínio. Se você escolher o nível funcional do domínio Windows Server 2008 você terá novos recursos disponíveis, como por exemplo, você poderá implementar múltiplas políticas de senha para usuários do domínio em um mesmo domínio. Esse novo recurso no Windows Server 2008 é chamado de Fine-Grained Password Policies. Para ver a lista completa dos novos recursos disponíveis acesse a url abaixo: http://technet2.microsoft.com/windowsserver2008/en/library/34678199-98f1-465f-9156-c600f723b31f1033.mspx?mfr=true Quando você instala o AD DS no Windows Server 2008 você tem várias novas opções de instalação, onde ambas estão disponíveis através do Active Directory Domain Services Installation Wizard e em uma instalação unattended através da linha de comando. As novas opções de instalação disponíveis são: DNS Server: No Windows Server 2008 a instalação e configuração do DNS Server são automáticas quando necessário. Quando você instala o DNS Server sobre o primeiro Domain Controller dentro de um novo domínio filho no Windows Server 2008, a delegação para o novo domínio é criado automaticamente no DNS Server.

Global Catalog Server: No Windows Server 2008 quando você está instalando um Domain Controller você tem a opção de adicionar a função de Global Catalog Server durante a instalação. RODC: O Read-Only Domain Controller (RODC) é uma opção nova de Domain Controller no Windows Server 2008. O primeiro Domain Controller na floresta ou domínio não pode ser um RODC. O RODC deve replicar com um Domain Controller que tenha sua base dados com a opção de escrita e que esteja executando o Windows Server 2008. Se você já tiver um Domain Controller executando o Windows Server 2008 em um domínio, você poderá instalar o RODC em um Domain Controller adicional. Instalando o Active Directory 1 Clique em Start, Run e digite dcpromo.exe. Será carregado o Active Directory Domain Service Installation Wizard conforme mostra a figura 1.1. Figura 1.1

2 Clique em Next para continuar. Será carregada a janela conforme mostra a figura 1.2. Figura 1.2

3 Em Operating System Compatibility é exibido um alerta sobre o novo padrão de segurança do Windows Server 2008, o qual informa que ele poderá causar um impacto em clientes Windows NT 4.0, clientes não Microsoft SMB e dispositivos NAS (Network Attached Storage) que não suportam algoritmo de criptografia forte. Leia o alerta e caso você esteja instalando um ambiente de produção avalie os impactos antes de prosseguir. Clique em Next para continuar. Será carregada a janela conforme mostra a figura 1.3. Figura 1.3

4 Em Choose a Deployment Configuration você tem a opção de criar um Domain Controller para uma floresta existente (Existing forest) ou criar um novo Domain Controller para uma nova floresta (Create a new domain in a new forest). Em nosso exemplo como estamos criando o primeiro Domain Controller da floresta selecione a opção Create a new domain in a new forest e em seguida clique em Next. Será carregada a janela conforme mostra a figura 1.4. Figura 1.4 5 Em Name the Forest Root Domain você irá definir o nome do domínio raiz da floresta. Esse nome também será o nome da sua floresta. Digite um nome FQDN (Fully Qualified Name), como por exemplo, guiamcse.net e em seguida clique em Next. Será carregada a janela conforme mostra a figura 1.5.

Nota O assistente de instalação do Active Directory irá verificar se o nome FQDN e NetBIOS escolhidos já estão em uso na floresta. Caso não esteja o assistente irá prosseguir para a próxima etapa. Figura 1.5 6 Em Set Forest Functional Level selecione o nível funcional da floresta. O nível funcional da floresta irá fornecer os recursos disponíveis conforme o nível selecionado, por exemplo, se você selecionar o nível funcional Windows 2000 você terá compatibilidade com Domain Controllers com Windows 2000, porém alguns novos recursos do Windows Server 2008 não estarão disponíveis. Os níveis de florestas disponíveis são: Windows 2000 Windows Server 2003 Windows Server 2008

Em nosso exemplo iremos selecionar o nível de floresta Windows Server 2003. Selecione o nível da floresta desejado e em seguida clique em Next. Será carregada a janela conforme mostra a figura 1.6. Figura 1.6 7 Em Set Domain Functional Level selecione o nível funcional do domínio. O nível funcional do domínio irá fornecer os recursos disponíveis conforme o nível selecionado, por exemplo, se você selecionar o nível funcional Windows Server 2003 você terá compatibilidade com Domain Controllers com Windows Server 2003, porém alguns novos recursos do Windows Server 2008 não estarão disponíveis. Os níveis de domínio são: Windows 2000 Windows Server 2003 Windows Server 2008

Nota Você provavelmente irá notar que na caixa de seleção do nível funcional do domínio não está sendo exibido a opção Windows 2000. Isso aconteceu porque no passo anterior quando você selecionou o nível da floresta Windows Server 2003 automaticamente excluiu o domínio Windows 2000 da lista de compatibilidade. Em nosso exemplo iremos selecionar o nível do domínio Windows Server 2003. Selecione o nível do domínio desejado e em seguida clique em Next. Será carregada a janela conforme mostra a figura 1.7. Figura 1.7 8 Em Additional Domain Controller Options permite você incluir opções adicionais no Domain Controller. Como estamos instalando o primeiro Domain Controller da floresta o assistente de instalação automaticamente seleciona a

opção Glogal Catalog. O assistente recomenda que o serviço de DNS Server seja instalado nesse Domain Controller. Em nosso exemplo iremos instalar o serviço de DNS Server nesse Domain Controller. Escolha a opção desejada e em seguida clique em Next. 9 Se você tiver um ou mais adaptadores de rede que recebe o endereço IP dinamicamente ou se você tiver somente um adaptador configurado com IPv4 e IPv6, em que um deles receba o endereço IP dinamicamente, você provavelmente receberá uma alerta conforme mostra a figura 1.8. Figura 1.8

10 Selecione a opção No, I will assign static IP addresses to all physical network adapters. 11 Em Control Panel abra o Network and Sharing Center. Será carregada a janela conforme mostra a figura 1.9. Figura 1.9

12 Em Tasks clique na opção Manage network connections. Será carregada a janela conforme mostra a figura 1.10. Figura 1.10

13 Selecione o Local Area Connection e em seguida clique em Properties. Será carregada a janela conforme mostra a figura 1.11. Figura 1.11 14 Desmarque o Internet Protocol Version 6 (TCP/IPv6) e clique no botão OK. Em Additional Domain Controller Options clique em Next para continuar. Será carregada a janela conforme mostra a figura 1.12.

Figura 1.12 15 Será exibido um alerta informando que a delegação para o DNS Server não pode ser criada. Essa mensagem pode ser ignorada, porque o serviço de DNS Server ainda não está instalado e configurado no Domain Controller, o qual será feito pelo assistente de instalação do Active Directory. Clique no botão Yes. Será carregada a janela conforme mostra a figura 1.13. Figura 1.13 16 Em Location for Database, Log Files, and SYSVOL você irá definir onde será armazenado o database, os arquivos de log e a pasta SYSVOL. Em nosso exemplo como temos somente um volume iremos deixar o caminho padrão e em seguida clicar em Next. Será carregada a janela conforme mostra a figura 1.14.

Nota Para uma melhor performance e fácil recuperação do Active Directory é recomendável armazenar o database e os arquivos de logs e volumes separados. Figura 1.14

17 Em Directory Services Restore Mode Administrator Password digite uma senha, a qual será utilizada quando esse Domain Controller for iniciado em Restore Mode e em seguida clique em Next. Será carregada a janela conforme mostra a figura 1.15. Nota A senha deve ser complexa. Figura 1.15

18 Em Summary você irá visualizar todas as opções escolhidas com o assistente de instalação do Active Directory. Você também tem a opção de exportar as configurações para serem utilizadas em um arquivo de resposta em uma futura instalação, sendo necessário somente clicar no botão Export settings e salvar o arquivo em um local seguro. Clique em Next para continuar. Será carregada a janela conforme mostra a figura 1.16. Figura 1.16

19 Nesse momento o assistente de instalação do Active Directory irá instalar e configurar o serviço de DNS, o próprio Active Directory e todas as demais opções necessárias. Aguarde até o termino da instalação. Será carregada a janela conforme mostra a figura 1.17. Nota Se você selecionar a opção Reboot on completion o Domain Controller será reiniciado após o término da instalação. Figura 1.17

20 Quando for exibida a tela conforme a figura 1.17 a instalação do Active Directory terá sido completada. Clique em Finish. Será carregada a janela conforme mostra a figura 1.18. Figura 1.18 21 Clique no botão Restart Now. Navegando no Active Directory 22 Após concluir a instalação do Active Directory o próximo passo é navegar na console. Para abrir a console do Active Directory clique em Start, Administrative Tools e selecione Active Directory Users and Computers. Será carregada a janela conforme mostra a figura 1.19. Figura 1.19

23 Basicamente a console do Active Directory não mudou muito, sendo que a mudança que você irá perceber será no visual dos objetivos do Active Directory, incluindo usuários, computadores, grupos e containers. Clique no container Builtin. Será carregada a janela conforme mostra a figura 1.20. Figura 1.20 24 No container Builtin do Windows Server 2008 foram criados 21 grupos, sendo que em comparação ao Windows Server 2003 em uma instalação padrão do Active Directory são criados 17 grupos. Os quatros grupos adicionais que foram criados são: Certificate Service DCOM Access Cryptographic Operators Event Log Readers IIS_IUSRS

Nota Os containers Computers, Domain Controllers e ForeignSecurityPrincipals continuam sem nenhuma alteração. Clique no container Users. Será carregada a janela conforme mostra a figura 1.21. Figura 1.21 25 No container Users do Windows Server 2008 foram criados 4 grupos novos, os quais serão utilizados quando você instalar um Domain Controller no modo RODC (Read-Only Domain Controller). Os quatros grupos adicionais que foram criados são: Allowed RODC Password Replication Group Denied RODC Password Replication Group Enterprise Read-only Domain Controllers Read-only Domain Controllers Autor: LUCIANO LIMA Fonte: www.guiamcse.com.br