Instalando, suportando e mantendo o Active Directory
Agenda A família Windows 2000 Qual o Windows ideal pra você ? Active Directory: conceitos Planejamento, implementação e migração Familia w2k: falar das versoes e destacar o Datacenter, mais recente lançamento. Windows ideal – comparar com ME Beneficios: fazer demos de Intellimirror, Práticas recomendadas Outros benefícios da plataforma que não devemos esquecer !!
A Família Windows 2000 Torna realidade o Internet Business Infra-estrutura para aplicações Web Escalabilidade para Internet Segurança Maior Confiabilidade Alta disponibilidade Menos susceptível a falhas de sistema Configuração dinâmica do sistema Maior Gerenciamento Gerenciamento centralizado Gerenciamento de desktops Facilidade de implementação O melhor para novos dispositivos Laptops Rede Periféricos
Qual o Windows ideal ? Posicionamento dos Desktops Alta confiabilidade para suporte a negócios Sistema de segurança para proteção de dados A melhor plataforma para a Economia Digital Suporte a computação móvel ESCRITÓRIO Windows 2000 Professional A melhor plataforma para multimídia Fácil instalação para redes domésticas CASA Windows Millenium Edition Maior suporte a jogos Maior suporte a SW/HW para usuários domésticos
Qual o servidor Windows ideal pra você ? Funcionalidade e Capacidade Valor File, Print, Intranet servers 4 processadores SMP 4 GB RAM IIS CPU & bandwidth throttling E-commerce, Messaging, Database, ERP 8 processadores SMP 8 GB RAM Cluster Service de 2-nós Balanceamento de carga em rede Bancos de dados high-end 32 processadores SMP 64GB RAM Cluster Service de 4-nós Gerenciamento de Processos Substituem Windows NT Server 4.0
O novo Windows 2000 Datacenter Altíssima escalabilidade e disponibilidade Cenários Back-end para grandes aplicações LOB e .COM Consolidação de servidores Aplicações complexas com alta necessidade de processamento e alto número de transações simultâneas Máquina otimizada para o hardware Disponibilidade de 99,9% garantida pelo fabricante e MCSC
O que é Active Directory ? Usuários Windows Info sobre contas Privilégios Perfis Políticas Clientes Windows Perfil gerenciam. Info de rede Políticas Servidores Windows Perfil gerenciam. Info de rede Serviços Impressoras Compartilhamentos Políticas Aplicações Server config Único logon Info específica Políticas Dispositivos Rede Configuração Política QoS Política Segur. Internet Firewall Services Política Segur . Política VPN Outros Diretórios NDS, LDAP E-Commerce Outros NOS Usuários Segurança E-Mail Servers Info mailbox Address book Active Directory Um Ponto Focal para: Gerenciamento Segurança Interoperabilidade Instalado no Windows 2000 executando-se DCPROMO.EXE
Componentes Lógicos do Active Directory Objeto Unidade do Active Directory Possui 3 formatos de nome: LDAP: CN=Bill Gates,CN=Redmond, DC=Microsoft,DC=com UPN: billg@microsoft.com NetBIOS: microsoft\billg Organizational Unit Container de objetos em comum Distribuição geográfica, funcional ou política
Grupos Tipos Escopos Segurança Distribuição Global D. Local Universal GGCompany GGEurope GGAmerica GGAmerica2 DLCompany DLAmerica DLEurope Tipos Segurança Distribuição Escopos Global D. Local Universal couser1 couser2 couser3 euuser1 euuser2 euuser3 amuser1 amuser2 amuser3 UG1 company america.company europe.company
Domínios Limites para Segurança Limites de Replicação Autenticação Limites de Replicação Limites do namespace DNS Limites para administração Motivos para se criar um novo domínio: Políticas de segurança diferentes Conectividade de rede (redes totalmente independentes) COMPANY
Árvores e Florestas Árvore: Hierarquia de domínios formando um namespace contíguo Floresta: Hierarquia de domínios formando um namespace contíguo ou não Formado por Relações de Confiança Entre florestas com trust explícito COMPANY DIVISION.COM COMPANY AMERICA.COMPANY EUROPE.COMPANY AMERICA.COMPANY NICARAGUA.AMERICA.COMPANY
DNS e Active Directory Active Directory é baseado em DNS Registros SRV são utilizados para a localização do serviço de diretório (DNS Server deve suportar) DDNS para update dinâmico (overhead administrativo mínimo) Implementação: Não existe DNS: Windows 2000 DNS Terceiros: cheque requerimentos Passe para Windows 2000 DNS Atualize o existente com nova versão Delegue um sub-domínio a um servidor Windows 2000 DNS Now that we’ve covered the basic concepts, let’s talk about the DNS requirements for Windows 2000. Active Directory requires DNS (WINS is supported, it’s required for as long as you have clients that use WINS). Slide in Chris’ presentation on WINS SRV record. The DNS Server(s) that manage an Active Directory Domain must support the SRV record (RFC 2052). The SRV record is a generalization MX record, and allows specific services to be registered in DNS. For example, Domain Controllers and Global Catalogs are explicitly registered in DNS with those specific roles. So, when a client is looking for a DC or GC (e.g. for logon), it can locate an appropriate server that is providing that service. Dynamic DNS (DDNS). The DNS Server(s) that manage an Active Directory Domain should support the Dynamic Update Protocol (RFC 2136). Windows 2000 DNS clients (for A records), as well as DHCP Servers (for PTR records), will dynamically update the Microsoft DNS Server with mappings. In addition, Windows 2000 servers will register multiple records in DNS based on roles and other criteria. If Dynamic Update were not used, then every time any of the following were modified, the DNS would have to be manually updated: (DC name, Roles, Sites, IP Addresses, Promotion/Demotion). If your DNS server does not support dynamic updates, you will have a difficult time maintaining the DNS database – it is like trying to manually maintain your WINS today. Windows 2000 also provides: Incremental Zone Transfers. The Microsoft DNS server also supports Incremental Zone Transfers (RFC 1995). With standard DNS, full zone transfers between Primary and Secondary must be performed whenever there are any changes made to the database. Management of a single replication topology. Both DNS and AD have databases that are replicated amongst computers. With AD-integration of the DNS database, then only a single replication topology needs to be managed. Multi-master update. With standard DNS, changes to the DNS database may only be performed on the Primary master. Secondary masters always get their copies of the DNS database from a Primary master (or another secondary master). With AD-integration, changes to the DNS database can be performed on any DNS server that manages that zone. Secure dynamic update (RFC 2137). Allows authentication of hosts that are dynamically registering their names. Fully Tested and Compatible with AD.
Componentes Físicos do Active Directory
Sites e Links Site Links Combinação de uma ou mais subredes IP conectadas por um link rápido (10Mbps ou mais) Contém ao menos um Domain Controller Links Definido no Active Directory como meio físico que separa dois ou mais sites Pode ser configurado com custo (de acordo com a banda)
Servidores Windows 2000 Domain Controllers Um computador rodando Windows 2000 Server que armazena uma réplica do AD, após ser instalado o AD (dcpromo.exe) Todos os DCs podem ser utilizados para alterar o AD (cadastros, mudanças e retirada de objetos) Global Catalog Server Um domain controller que armazena uma cópia e processa consultas ao catálogo global O primeiro da forest é automaticamente criado na instalação do Active Directory, usualmente 1 GC por site
Formas de replicação do AD Intra-Site (DCs no mesmo site) Por IP (Remote Procedure Call) Automaticamente configurado Baixa latência (atualizações frequentes) Topologia criada automaticamente pelo KCC Service (Knowledge Consistency Checker) Inter-Site (DCs de sites diferentes) Utiliza IP (RPC) ou SMTP (56bits) comprimido Modelo multi-master (Update Sequence Numbers) Depende de sincronização de relógio somente para casos de conflitos de atualização (Property Version Number)
Planejando e implementando Etapas para elaboração de um bom projeto Estude o ambiente existente Identifique os objetivos de TI Conheça o conjunto de recursos do Windows 2000 Desenvolva uma lista de objetivos priorizados Identifique os recursos necessários Desenvolva o plano Receba aprovação (e patrocínio) executiva Aplique a migração tecnicamente
Migrando de Windows NT para Windows 2000
Pense sobre a estrutura do Active Directory … Você tem como voltar seu sistema para NT 4 se encontrar problemas ? Defina planos de recuperação Você pode utilizar seu DNS Server existente, ou necessita de um novo ? Requer: DNS Dinâmico e SRV record Qual será sua estrutura de Organizational Units ? Funcional, geo-político ou político Como você pensa chamar seus domínios novos ? Crie uma estratégia de nomes (use nomes únicos e curtos)
Atualizando os Domain Controllers – Considerações Em redes Windows 2000, todos os DCs possuem um mesmo status no domínio (Acaba PDC e BDC) IMPORTANTE: Para se conseguir a volta para NT 4 em caso de falha, começe por colocar um BDC off-line. Primeiro o PDC, depois os BDCs Uma opção é utilizar o ADMT (AD Migration Tool) que traz os objetos de um domínio NT4.0 para o AD !!
Caminhos para o upgrade Domain Controllers Domain Controller Windows 2000 PDC or BDC Windows NT 3.51 or 4.0 Member Servers Member Server Windows NT 3.51 or 4.0 Windows 2000 Domain Controller Opcional Windows NT 3.1 or 3.5 Windows NT 3.1 or 3.5 Windows NT 3.51 or 4.0 Windows 2000
Atualizando inicialmente seu Primary Domain Controller (PDC) Execute WINNT32.EXE a partir do CD Setup atualiza seu sistema operacional Computador reinicia, logue-se como Administrador Active Directory Installation wizard é executado Configure o novo domínio e DNS
Objetos migrados no upgrade Usuários Container Users Computadores Container Computers Grupos Globais Container Users Grupos Locais Container Users Grupos Built-in Container Built-in Permissões NTFS, de impressoras e grupos locais.
Convertendo o Active Directory para o modo Nativo O Active Directory possui 2 modos: Misto: padrão, para coexistência com DCs NT 3.51/4.0 Perde-se recursos como grupos universais e nesting Nativo: somente DCs Windows 2000 O AD a toda força !!! Uma vez convertido, não tem como retornar para o modo misto !!
Práticas recomendadas Quanto mais níveis de OUs, menor a performance GC é fundamental ! Minimizar o número de domínios Até 500 usuários, 2 DCs. A partir disso, mais 1 DC a cada 500 usuários novos Sizing: Usuário, grupo e computador ocupam 3600 bytes, outros objetos 1100 bytes e novo atributo 100 bytes. Dobrar o resultado. Utilizar zonas DNS integradas ao AD ADUC tem limite de 2000 usuários numa OU
Entendendo os benefícios do Active Directory Grupo Global
Pra começar … Facilidade de se localizar os recursos na rede Objetos são publicados e facilmente encontrados via ferramentas de pesquisa Infra-estrutura de TI como um espelho da organização Através das OUs, é feita a divisão geográfica, funcional e política da empresa Também o organograma da empresa está no Active Directory
Segurança, Escalabilidade e Confiabilidade Autenticação baseada em Kerberos v5.0 Escalabilidade Não há limite prático para número de objetos no diretório http://esc.compaq.com/phonebook Confiabilidade Estrutura de Domain Controllers e replicação garante a autenticação dos usuários Directory Services Repair Mode
Capacidade de desenvolvimento Via ADSI (Active Directory Services Interface), pode-se desenvolver aplicações fácil e rapidamente Suporte nativo a LDAP, o protocolo padrão Internet para acesso a diretórios Com ADSI, pode-se aumentar o schema, ou seja, incluir novos atributos para os objetos Aplicações exemplo: StreetMarket Recursos Humanos Org Web
Interoperabilidade de diretórios Interoperabilidade total com Netware, através do Microsoft Directory Synchronization Services Disponível na Web Requer Cliente Novell Sincronia em duas vias com NDS e uma via em modo bindery Interoperabilidade também com o diretório da Sun (em breve) Interoperabilidade com Exchange 5.5 com o ADC Mesmo diretório do Exchange 2000
Delegar Direitos – Mudando o modo de gerenciar Permissões podem ser aplicadas para objetos e atributos Direitos específicos para cada usuário Através de assistente simples Opções de Delegação (exemplos) Geograficamente: Admins em Nova York Organizacional: Admins no Financeiro Por tarefa: Admins de Impressoras
IntelliMirror A grande mudança no dia-a-dia !! IntelliMirror é o atributo de “Siga-Me” para: Gerenciamento de Configurações Centralizado Gerenciamento de Softwares Centralizado Gerenciamento de Documentos Centralizado Então, se meu PC falhar? Recarregue o Sistema Operacional, então o IntelliMirror recupera suas configurações pessoais, aplicações e documentos !!!
E tem muito, mas muito mais no Windows 2000 ! Pastas off-line Gerenciamento all-in-one com o Microsoft Management Console System File Protection Internet Printing Protocol (IPP) Cluster Services e NLB Terminal Services via Web Windows Installer Implemente as novas features !
Terminal Services Como ele funciona … e ela aparece aqui ... 3 Aplicações executadas no servidor... 1 Thin Client Software Terminal Server Software Agora via Web !! …a interface do usuário é enviada através de conexão 2 Uso de máquinas do legado para aplicações 32 bits Gerenciamento Remoto
Escalabilidade e Disponibilidade para Internet COM+ Components COM+ load balancing Application Servers 1 2 8 … 3 Clientes Network Load Balancing Data Servers SQL, Exchange, File Cluster Service 1 2 3 4 … 32 IIS Web Server ou outros serviços IP
Onde encontrar mais informações ? http://www.microsoft.com/brasil/windows2000 http://www.microsoft.com/windows/professional http://www.microsoft.com/windows/server http://www.microsoft.com/windows/server/deploy/compatible/default.asp http://www.searchwin2000.com