Instalando, suportando e mantendo o Active Directory

Apresentação em tema: "Instalando, suportando e mantendo o Active Directory"— Transcrição da apresentação:

1

2 Instalando, suportando e mantendo o Active Directory

3 Agenda A família Windows 2000 Qual o Windows ideal pra você ?
Active Directory: conceitos Planejamento, implementação e migração Familia w2k: falar das versoes e destacar o Datacenter, mais recente lançamento. Windows ideal – comparar com ME Beneficios: fazer demos de Intellimirror, Práticas recomendadas Outros benefícios da plataforma que não devemos esquecer !!

4 A Família Windows 2000 Torna realidade o Internet Business
Infra-estrutura para aplicações Web Escalabilidade para Internet Segurança Maior Confiabilidade Alta disponibilidade Menos susceptível a falhas de sistema Configuração dinâmica do sistema Maior Gerenciamento Gerenciamento centralizado Gerenciamento de desktops Facilidade de implementação O melhor para novos dispositivos Laptops Rede Periféricos

5 Qual o Windows ideal ? Posicionamento dos Desktops
Alta confiabilidade para suporte a negócios Sistema de segurança para proteção de dados A melhor plataforma para a Economia Digital Suporte a computação móvel ESCRITÓRIO Windows 2000 Professional A melhor plataforma para multimídia Fácil instalação para redes domésticas CASA Windows Millenium Edition Maior suporte a jogos Maior suporte a SW/HW para usuários domésticos

6 Qual o servidor Windows ideal pra você ?
Funcionalidade e Capacidade Valor File, Print, Intranet servers 4 processadores SMP 4 GB RAM IIS CPU & bandwidth throttling E-commerce, Messaging, Database, ERP 8 processadores SMP 8 GB RAM Cluster Service de 2-nós Balanceamento de carga em rede Bancos de dados high-end 32 processadores SMP 64GB RAM Cluster Service de 4-nós Gerenciamento de Processos Substituem Windows NT Server 4.0

7 O novo Windows 2000 Datacenter
Altíssima escalabilidade e disponibilidade Cenários Back-end para grandes aplicações LOB e .COM Consolidação de servidores Aplicações complexas com alta necessidade de processamento e alto número de transações simultâneas Máquina otimizada para o hardware Disponibilidade de 99,9% garantida pelo fabricante e MCSC

8 O que é Active Directory ?
Usuários Windows Info sobre contas Privilégios Perfis Políticas Clientes Windows Perfil gerenciam. Info de rede Políticas Servidores Windows Perfil gerenciam. Info de rede Serviços Impressoras Compartilhamentos Políticas Aplicações Server config Único logon Info específica Políticas Dispositivos Rede Configuração Política QoS Política Segur. Internet Firewall Services Política Segur . Política VPN Outros Diretórios NDS, LDAP E-Commerce Outros NOS Usuários Segurança Servers Info mailbox Address book Active Directory Um Ponto Focal para: Gerenciamento Segurança Interoperabilidade Instalado no Windows 2000 executando-se DCPROMO.EXE

9 Componentes Lógicos do Active Directory
Objeto Unidade do Active Directory Possui 3 formatos de nome: LDAP: CN=Bill Gates,CN=Redmond, DC=Microsoft,DC=com UPN: NetBIOS: microsoft\billg Organizational Unit Container de objetos em comum Distribuição geográfica, funcional ou política

10 Grupos Tipos Escopos Segurança Distribuição Global D. Local Universal
GGCompany GGEurope GGAmerica GGAmerica2 DLCompany DLAmerica DLEurope Tipos Segurança Distribuição Escopos Global D. Local Universal couser1 couser2 couser3 euuser1 euuser2 euuser3 amuser1 amuser2 amuser3 UG1 company america.company europe.company

11 Domínios Limites para Segurança Limites de Replicação
Autenticação Limites de Replicação Limites do namespace DNS Limites para administração Motivos para se criar um novo domínio: Políticas de segurança diferentes Conectividade de rede (redes totalmente independentes) COMPANY

12 Árvores e Florestas Árvore: Hierarquia de domínios formando um namespace contíguo Floresta: Hierarquia de domínios formando um namespace contíguo ou não Formado por Relações de Confiança Entre florestas com trust explícito COMPANY DIVISION.COM COMPANY AMERICA.COMPANY EUROPE.COMPANY AMERICA.COMPANY NICARAGUA.AMERICA.COMPANY

13 DNS e Active Directory Active Directory é baseado em DNS
Registros SRV são utilizados para a localização do serviço de diretório (DNS Server deve suportar) DDNS para update dinâmico (overhead administrativo mínimo) Implementação: Não existe DNS: Windows 2000 DNS Terceiros: cheque requerimentos Passe para Windows 2000 DNS Atualize o existente com nova versão Delegue um sub-domínio a um servidor Windows 2000 DNS Now that we’ve covered the basic concepts, let’s talk about the DNS requirements for Windows Active Directory requires DNS (WINS is supported, it’s required for as long as you have clients that use WINS). Slide in Chris’ presentation on WINS SRV record. The DNS Server(s) that manage an Active Directory Domain must support the SRV record (RFC 2052). The SRV record is a generalization MX record, and allows specific services to be registered in DNS. For example, Domain Controllers and Global Catalogs are explicitly registered in DNS with those specific roles. So, when a client is looking for a DC or GC (e.g. for logon), it can locate an appropriate server that is providing that service. Dynamic DNS (DDNS). The DNS Server(s) that manage an Active Directory Domain should support the Dynamic Update Protocol (RFC 2136). Windows 2000 DNS clients (for A records), as well as DHCP Servers (for PTR records), will dynamically update the Microsoft DNS Server with mappings. In addition, Windows servers will register multiple records in DNS based on roles and other criteria. If Dynamic Update were not used, then every time any of the following were modified, the DNS would have to be manually updated: (DC name, Roles, Sites, IP Addresses, Promotion/Demotion). If your DNS server does not support dynamic updates, you will have a difficult time maintaining the DNS database – it is like trying to manually maintain your WINS today. Windows 2000 also provides: Incremental Zone Transfers. The Microsoft DNS server also supports Incremental Zone Transfers (RFC 1995). With standard DNS, full zone transfers between Primary and Secondary must be performed whenever there are any changes made to the database. Management of a single replication topology. Both DNS and AD have databases that are replicated amongst computers. With AD-integration of the DNS database, then only a single replication topology needs to be managed. Multi-master update. With standard DNS, changes to the DNS database may only be performed on the Primary master. Secondary masters always get their copies of the DNS database from a Primary master (or another secondary master). With AD-integration, changes to the DNS database can be performed on any DNS server that manages that zone. Secure dynamic update (RFC 2137). Allows authentication of hosts that are dynamically registering their names. Fully Tested and Compatible with AD.

14 Componentes Físicos do Active Directory

15 Sites e Links Site Links
Combinação de uma ou mais subredes IP conectadas por um link rápido (10Mbps ou mais) Contém ao menos um Domain Controller Links Definido no Active Directory como meio físico que separa dois ou mais sites Pode ser configurado com custo (de acordo com a banda)

16 Servidores Windows 2000 Domain Controllers
Um computador rodando Windows 2000 Server que armazena uma réplica do AD, após ser instalado o AD (dcpromo.exe) Todos os DCs podem ser utilizados para alterar o AD (cadastros, mudanças e retirada de objetos) Global Catalog Server Um domain controller que armazena uma cópia e processa consultas ao catálogo global O primeiro da forest é automaticamente criado na instalação do Active Directory, usualmente 1 GC por site

17 Formas de replicação do AD
Intra-Site (DCs no mesmo site) Por IP (Remote Procedure Call) Automaticamente configurado Baixa latência (atualizações frequentes) Topologia criada automaticamente pelo KCC Service (Knowledge Consistency Checker) Inter-Site (DCs de sites diferentes) Utiliza IP (RPC) ou SMTP (56bits) comprimido Modelo multi-master (Update Sequence Numbers) Depende de sincronização de relógio somente para casos de conflitos de atualização (Property Version Number)

18 Planejando e implementando
Etapas para elaboração de um bom projeto Estude o ambiente existente Identifique os objetivos de TI Conheça o conjunto de recursos do Windows 2000 Desenvolva uma lista de objetivos priorizados Identifique os recursos necessários Desenvolva o plano Receba aprovação (e patrocínio) executiva Aplique a migração tecnicamente

19 Migrando de Windows NT para Windows 2000

20 Pense sobre a estrutura do Active Directory …
Você tem como voltar seu sistema para NT 4 se encontrar problemas ? Defina planos de recuperação Você pode utilizar seu DNS Server existente, ou necessita de um novo ? Requer: DNS Dinâmico e SRV record Qual será sua estrutura de Organizational Units ? Funcional, geo-político ou político Como você pensa chamar seus domínios novos ? Crie uma estratégia de nomes (use nomes únicos e curtos)

21 Atualizando os Domain Controllers – Considerações
Em redes Windows 2000, todos os DCs possuem um mesmo status no domínio (Acaba PDC e BDC) IMPORTANTE: Para se conseguir a volta para NT 4 em caso de falha, começe por colocar um BDC off-line. Primeiro o PDC, depois os BDCs Uma opção é utilizar o ADMT (AD Migration Tool) que traz os objetos de um domínio NT4.0 para o AD !!

22 Caminhos para o upgrade
Domain Controllers Domain Controller Windows 2000 PDC or BDC Windows NT 3.51 or 4.0 Member Servers Member Server Windows NT 3.51 or 4.0 Windows 2000 Domain Controller Opcional Windows NT 3.1 or 3.5 Windows NT 3.1 or 3.5 Windows NT 3.51 or 4.0 Windows 2000

23 Atualizando inicialmente seu Primary Domain Controller (PDC)
Execute WINNT32.EXE a partir do CD Setup atualiza seu sistema operacional Computador reinicia, logue-se como Administrador Active Directory Installation wizard é executado Configure o novo domínio e DNS

24 Objetos migrados no upgrade
Usuários  Container Users Computadores  Container Computers Grupos Globais  Container Users Grupos Locais  Container Users Grupos Built-in  Container Built-in Permissões NTFS, de impressoras e grupos locais.

25 Convertendo o Active Directory para o modo Nativo
O Active Directory possui 2 modos: Misto: padrão, para coexistência com DCs NT 3.51/4.0 Perde-se recursos como grupos universais e nesting Nativo: somente DCs Windows 2000 O AD a toda força !!! Uma vez convertido, não tem como retornar para o modo misto !!

26 Práticas recomendadas
Quanto mais níveis de OUs, menor a performance GC é fundamental ! Minimizar o número de domínios Até 500 usuários, 2 DCs. A partir disso, mais 1 DC a cada 500 usuários novos Sizing: Usuário, grupo e computador ocupam 3600 bytes, outros objetos 1100 bytes e novo atributo 100 bytes. Dobrar o resultado. Utilizar zonas DNS integradas ao AD ADUC tem limite de 2000 usuários numa OU

27 Entendendo os benefícios do Active Directory
Grupo Global

28 Pra começar … Facilidade de se localizar os recursos na rede
Objetos são publicados e facilmente encontrados via ferramentas de pesquisa Infra-estrutura de TI como um espelho da organização Através das OUs, é feita a divisão geográfica, funcional e política da empresa Também o organograma da empresa está no Active Directory

29 Segurança, Escalabilidade e Confiabilidade
Autenticação baseada em Kerberos v5.0 Escalabilidade Não há limite prático para número de objetos no diretório Confiabilidade Estrutura de Domain Controllers e replicação garante a autenticação dos usuários Directory Services Repair Mode                                                                                                                                                                                                                                                             

30 Capacidade de desenvolvimento
Via ADSI (Active Directory Services Interface), pode-se desenvolver aplicações fácil e rapidamente Suporte nativo a LDAP, o protocolo padrão Internet para acesso a diretórios Com ADSI, pode-se aumentar o schema, ou seja, incluir novos atributos para os objetos Aplicações exemplo: StreetMarket Recursos Humanos Org Web                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       

31 Interoperabilidade de diretórios
Interoperabilidade total com Netware, através do Microsoft Directory Synchronization Services Disponível na Web Requer Cliente Novell Sincronia em duas vias com NDS e uma via em modo bindery Interoperabilidade também com o diretório da Sun (em breve) Interoperabilidade com Exchange 5.5 com o ADC Mesmo diretório do Exchange 2000

32 Delegar Direitos – Mudando o modo de gerenciar
Permissões podem ser aplicadas para objetos e atributos Direitos específicos para cada usuário Através de assistente simples Opções de Delegação (exemplos) Geograficamente: Admins em Nova York Organizacional: Admins no Financeiro Por tarefa: Admins de Impressoras

33 IntelliMirror A grande mudança no dia-a-dia !!
IntelliMirror é o atributo de “Siga-Me” para: Gerenciamento de Configurações Centralizado Gerenciamento de Softwares Centralizado Gerenciamento de Documentos Centralizado Então, se meu PC falhar? Recarregue o Sistema Operacional, então o IntelliMirror recupera suas configurações pessoais, aplicações e documentos !!!

34 E tem muito, mas muito mais no Windows 2000 !
Pastas off-line Gerenciamento all-in-one com o Microsoft Management Console System File Protection Internet Printing Protocol (IPP) Cluster Services e NLB Terminal Services via Web Windows Installer Implemente as novas features !

35 Terminal Services Como ele funciona
… e ela aparece aqui ... 3 Aplicações executadas no servidor... 1 Thin Client Software Terminal Server Software Agora via Web !! …a interface do usuário é enviada através de conexão 2 Uso de máquinas do legado para aplicações 32 bits Gerenciamento Remoto

36 Escalabilidade e Disponibilidade para Internet
COM+ Components COM+ load balancing Application Servers 1 2 8 … 3 Clientes Network Load Balancing Data Servers SQL, Exchange, File Cluster Service 1 2 3 4 … 32 IIS Web Server ou outros serviços IP

37 Onde encontrar mais informações ?

38