Analizaremos as novidades nesta nova versão do Windows e como elas podem influenciar em novos projetos de Active Directory.
Afinal, quais foram as novidades no Serviço de Diretório da Microsoft no Windows 2008 R2 se comparado ao Windows 2003? Vamos listar algumas:
· Politicas de senha diferenciadas no mesmo dominio;
· Melhorias no assistente de instalação do Active Directory;
· Facilidades no gerenciamento através do powershell;
· Facilidade de gerenciamento para contas definidas como service-account;
· Lixeira para recuperacao de objetos excluidos;
· O Active Directory agora é um serviço (o que facilita manutenções a base);
· Volumes compartilhados (muito útil para uso pelo Hyper-V);
· Analizador de melhores práticas integrado;
· Read Only Domain Controller (RODC);
· Novo nivel funcional da floresta;
· Possibilidade de inclusao de hosts no AD de forma offline;
· Melhorias no processo de auditoria;
Na minha opiniao estas novidades são muito bem vindas, para que precisavamos reiniciar o servidor para fazer uma manutenção na Base do AD? Porque não era possivel ter politicas diferenciadas de senha para o mesmo dominio? Porque era tão dificil gerenciar a senha de contas utilizadas em serviços?
Sem dúvida alguma é o melhor SO já produzido pela Microsoft (pensamos isso tambem no lançamento das versões anteriores, rs) e o próximo com certeza terá boas novidades.
Enfim, chega de conversa e vamos ao que interessa.
Estrutura do laboratorio
Para o laboratório utilizaremos uma floresta com 3 dominios, sendo o root jsathler.spaces.live.com (dc-01) e dois filhos, americas. jsathler.spaces.live.com (dc-02) e europa. jsathler.spaces.live.com (dc-03).
O host dc-01 possui o Windows Advanced Server 2000 e os hosts dc-02 e dc-03 possuem o Windows Server 2003 Enterprise.
As zonas DNS americas e europa foram devidamente delegadas e o serviço de DNS nos hosts dc-02 e dc-03 fazem forward para o dc-01.
A zona _msdcs.jsathler.spaces.live.com ainda se encontra dentro da zona jsathler.spaces.live.com (configuração padrão durante a promoção de um DC executando o Windows 2000).
A seguir um desenho deste ambiente:
Objetivos
O objetivo é migrar todos os dominios da floresta para o Windows Server 2008 R2, elevando o nivel funcional após a migração (Windows 2008 R2 Functional Level).
O sysvol deverá ser reconfigurado para utilizar DFS-R para replicação e não mais o FRS.
Após a remoção dos hosts executando o Windows 2000/2003 as zonas dns deverão ser migradas para partições de aplicação e a zona _msdcs.jsathler.spaces.live.com deverá ser segregada da zona jsathler.spaces.live.com.
Criar uma zona de pesquisa reversa (192.168.1.0/24) e permitir que todos os DNS servers da floresta aceitem atualizações nela.
Como não faremos uma migração in-place, ao final teremos os seguintes hosts: jsathler.spaces.live.com (dc-04) e filhos, americas. jsathler.spaces.live.com (dc-05) e europa. jsathler.spaces.live.com (dc-06).
Pré-requisitos para a migração
A Microsoft finalmente resolveu padronizar seus produtos em x64, a maior prova disso é que o novo Windows Server 2008 R2 funciona apenas em x64 (sem falar no Exchange 2007, TMG, etc). Para minha surpresa nem versão de testes (como aconteceu com o Exchange 2007) foi liberada em x86.
Sendo assim não será possivel a migração in-place dos hosts que rodam o Windows Server 2003, pois em nosso laboratório todos os servidores rodam inicialmente na plataforma x86. Com esta “limitação”, fica claro tambem que não é possivel fazer uma migração in-place a partir do Windows 2000.
Caso seja necessário fazer a migração in-place (apesar de eu não conseguir visualizar uma) seria necessário migrar os hosts 2000 para 2003 (x86) e em seguida migrar para Windows Server 2008 (nao o R2), pois este ainda suporta plataforma x86.
Antes de iniciar a migração é indispensável que seja feito o backup dos hosts, principalmente do System State.
Outro ponto importante é verificar se não existem erros no ambiente verificando os logs do EventViewer, e se possivel rodar o dcdiag em cada DC da floresta. Caso sua empresa tenha direito de uso do ADST (Active Directory Snapshot Tool), esta é a hora de fazer uma validação do seu ambiente utilizando esta ferramenta.
Para a migração, o dominio precisa estar no modo nativo Windows 2000 ou superior e todos os hosts precisam do Windows 2000 SP4 ou Windows 2003 SP1.
Iniciando a migração
Apesar de não ser obrigatorio, faremos primeiro a migração do dominio root e depois dos dominios filhos.
Após migrar cada dominio para o Windows Server 2008 R2, faremos imediatamente a remoção do host “legado” (Esta ação esta sendo feita devido a limitações de hardware que possuo e não é um pré-requisito para migração dos demais dominios).
Uma vez que ja garantimos que os pré-requisitos foram atendidos, o próximo passo é extender o schema para suportar o Windows 2008 R2. Basta executar as atividades:
· X:\support\adprep\adprep32.exe /forestprep no servidor que detem a regra Schema Master (uma vez por floresta);
· X:\support\adprep\adprep32.exe /rodcprep no servidor que detem a regra PDCE (uma vez por floresta). Executar este passo apenas se for utilizar um RODC ou se quiser deixar o Active Directory preparado para tal;
· X:\support\adprep\adprep32.exe /domainprep /gpprep no servidor que detem a regra Infrastructure Master (uma vez por dominio);
Verificar após a execução de cada comando se o mesmo foi executado com sucesso. As seguintes mensagens caracterizam o sucesso na extensão do schema:
· “Adprep successfully update the forest-wide information.”
· “Adprep successfully update the domain-wide information.”
· “Adprep successfully update the Group Policy (GPO) information.”
· “Adprep completed without erros. All partitions are updated. See the ADPrep.log in directory C:\Winnt\debug\adprep\logs\20100203180632 for more information.”
Caso voce já possua algum DC rodando o Windows x64, utilize o adprep.exe ao invés do adprep32.exe.
Para instalação de um RODC é necessário que o nivel funcional da floresta esteja definido como Windows Server 2003 ou superior, e que o PDCE do dominio esteja executando o Windows Server 2008 ou Windows Server 2008 R2.
Obs.: Validar a extensão do schema do Active Directory em ambiente de testes antes de executar no ambiente de produção, pois caso sua Floresta possua alguma alteração de schema e a mesma não esteja em conformidade com RFC, problemas poderão ocorrer.
Finalmente vamos iniciar a instalação do primeiro DC executando o Windows Server 2008 R2. A instalação do SO não sera abordada neste artigo, apenas o processo de instalação do Active Directory.
Caso a Role de Active Directory não esteja instalada no servidor, durante o processo de promoção (dcpromo) a mesma será instalada.
1. Mãos a obra:
· Clicar em Start/Run e digitar dcpromo, em seguida clicar em OK;
· Após validar/instalar a role de Active Directory, a tela de instalação será mostrada, basta clicar em Next;
· Em seguida sera mostrado um aviso informando sobre uma politica de segurança nova no Windows 2008, leia com atenção para verificar se o seu ambiente pode ser impactado e em seguida clique em Next;
· Na tela “Choose a Deployment Configuration” selecione “Existing forest” e “Add a domain controller to an existing domain” e clique em Next;
· Informe o nome de um dominio na floresta em que este novo DC será configurado e informe as credenciais necessárias, em seguida clique em Next;
· Selecione o dominio que este novo DC fará parte e clique em Next;
· Caso o schema não tenha sido preparado para suportar RODC voce verá uma mensagem “You will not be able to install a read-only domain controller in this domain because adprep /rodcprep was not yet run.”, basta clicar em No para continuar, caso contrario esta mensagem não sera mostrada;
· Informe o site em que este DC deverá ser criado, ou marque a opção “Use the site that corresponds to the IP address of this computer” para que esta definição seja feita mediante informações de sub-net no AD;
· Na tela “Additional Domain Controller Options”, selecione as opções DNS Server e Global catalog e clique em Next;
· Uma nova mensagem será mostrada, informando que não foi possivel delegar a zona jsathler.spaces.live.com, basta clicar em Yes para continuar;
· Informe o caminho para a base, logs e sysvol e clique em Next;
· Informe a senha para acesso ao “Directory Services Restore mode” e clique em Next;
· Valide na tela “Summary” se todas as informações estão corretas e clique em Next. Caso queira salvar estas informações para criação não assistida (unattend) de outro DC no mesmo dominio, basta clicar no botão “Export settings” e informar um nome para o arquivo;
· Finalmente dará inicio a configuração do Active Directory e em seguida será solicitado que o mesmo seja reiniciado.
Finalmente a instalação foi finalizada, para verificar se esta tudo OK basta verificar os logs do EventViewer, a replicação através do repadmin e se o sysvol ja esta operacional no novo DC. O uso do dcdiag é recomenadado para esta validação.
2. Agora precisamos realizar algumas alterações no ambiente para garantir que a remoção do antigo DC (dc-01) não vai causar problemas no ambiente. Vamos lá:
· Alterar o servidor de forward no DNS dos dominios filho, utilizando o IP do novo host dc-04 (em nosso laboratório este IP é 192.168.1.4);
· Alterar todos os servidores do ambiente que utilizam o IP do dc-01 (192.168.1.1) como DNS primário (ou secundário) para utilizarem o novo host (dc-04), isso inclui os escopos DHCP;
· Mover as regras FSMO para o novo DC;
· Caso o servidor seja o PDCE e o mesmo esteja configurado para uso de uma fonte NTP externa, esta é a hora de configurar o NTP no novo host (dc-04) para usar a mesma fonte;
3. Por fim vamos despromover o dc-01. Mãos a obra:
· Clicar em Start/Run e digitar dcpromo, em seguida clicar em OK;
· A tela de instalação será mostrada, basta clicar em Next;
· Caso o host seja um Global Catalog, será mostrada uma mensagem, basta clicar em OK (única opção) para continuar. É importante garantir que existam outros GC’s no ambiente para evitar problemas (logon, indisponibilidade do Exchange, etc);
· Como o servidor não é o último DC do dominio, a opção “This server is the last domain controller in the domain” NÃO deve ser marcada. Clique em Next para continuar;
· Defina a nova senha para o usuário administrator local e clique em Next;
· Valide as informações na tela “Summary” e clique em Next para iniciar a remoção do serviço do Active Directory deste host;
· Finalmente dará inicio a remoção do Active Directory e em seguida será solicitado que o mesmo seja reiniciado. O servidor voltará como servidor membro do dominio;
· Através do mmc Sites and Services remova o objeto dc-01 no “caminho” Sites\MG-Ipatinga\Servers;
· Através da console do DNS Server, remova as informações referentes ao host que foi removido. Caso o scavenging esteja ativo no ambiente, este processo será realizado automaticamente;
4. Por fim vamos verificar se existem objetos DLT no dominio. Estes objetos são criados por padrão em dominios Windows 2000 ou em 2003 que foram migrados a partir do Windows 2000. Caso existam basta proceder com a remoção dos mesmos (http://support.microsoft.com/kb/312403).
5. Caso o numero de objetos DLT seja grande, é recomendado realizar o defrag offline da base do Active Directory afim de diminuir o espaço ocupado pela mesma. Esta ação deve ser feita apenas após o periodo definido no Tombstone Lifetime () que é quando os objetos são literalmente removidos da base do AD.
6. Caso tenha sido feita migração in-place a partir do Windows 2000, o defrag é tambem recomendado devido a mudança na forma de armazenamento do Security Descriptor adotada no Windows 2003 e superior. A base normalmente fica 40% menor.
Para migrar os demais dominios, basta repetir os procedimentos de 1 a 6.
Finalizando a migração
Alem de migrar os dominios para 2008, temos outros objetivos que precisam ser atendidos. Neste tópico iremos executa-los.
O primeiro deles é elevar os dominios e floresta para o nível funcional Windows Server 2008 R2, vamos lá:
· Através do mmc “Active Directory Users and Computers” clicar no dominio com o botão direito e selecionar “Raise domain functional level”, selecionar o nível “Windows Server 2008 R2” e clicar em Raise. Após executar esta ação NÃO será possivel instalar DC’s com outra versão do Windows que não seja Windows Server 2008 R2, então só faça isso se tiver certeza que consegue atender este pré requisito. Realizar este procedimento uma vez por dominio;
· Através do mmc “Active Directory Domain and Trusts” clicar em “Active Directory Domains and Trusts [host.dominio]” com o botão direito e selecionar “Raise forest functional level ” selecionar o nível “Windows Server 2008 R2”. Realizar este procedimento uma vez por floresta.
· A partir de um DC, executar o comando: “dfsrmig /setglobalstate 1”.
o Para verificar se esta informação já foi replicada para os demais DC’s, basta executar o comando “dfsrmig /getmigrationstate”, a mensagem “All Domain Controllers have migrated successfully to Global state ('Prepared'). Migration has reached a consistent state on all Domain Controllers. Succeeded.” deve ser exibida;
· Em seguida executar o comando “dfsrmig /setglobalstate 2”
o Para verificar se esta informação já foi replicada para os demais DC’s, basta executar o comando “dfsrmig /getmigrationstate”, a mensagem “All Domain Controllers have migrated successfully to Global state ('Redirect'). Migration has reached a consistent state on all Domain Controllers. Succeeded.” deve ser exibida;
· Por fim, executar o comando “dfsrmig /setglobalstate 3”. A partir deste ponto é irreversivel o processo, ou seja não tem mais como fazer com que o Sysvol utilize o FRS
o Para verificar se esta informação já foi replicada para os demais DC’s, basta executar o comando “dfsrmig /getmigrationstate”, a mensagem “All Domain Controllers have migrated successfully to Global state ('Eliminated'). Migration has reached a consistent state on all Domain Controllers. Succeeded.” deve ser exibida;
· Pronto, a partir de agora todo novo DC no dominio irá utilizar DFS-R para replicação do Sysvol. Lembre-se que este processo precisa ser executado uma vez por dominio.
Por fim precisamos segregar a zona _msdcs.jsathler.spaces.live.com da zona jsathler.spaces.live.com e migrar todas as zonas integradas ao AD para as devidas partições de aplicação. Mãos a obra:
1. Segregando a zona _msdcs (uma vez por floresta)
· Através da console do DNS server no dominio root, exclua a zona _msdcs dentro da zona jsathler.spaces.live.com;
· Agora crie uma zona de pesquisa direta integrada ao AD denominada _msdcs.jsathler.spaces.live.com e na tela “Active Directory Zone Replication Scope” selecione a opção “To all DNS servers runing on domain controllers in this forest: jsathler.spaces.live.com”. Lembre-se de definir esta zona para aceitar apenas atualizações seguras. Aguarde a replicação do AD e verifique no DNS server dos demais dominios a existencia desta;
2. Migrando as zonas de dominio para partição de aplicação (uma vez por dominio)
· Através da console do DNS Server selecione a zona DNS referente ao dominio (no nosso laboratório jsathler.spaces.live.com, americas.jsathler.spaces.live.com ou europa.jsathler.spaces.live.com) e com o botao direito selecione as propriedades da zona;
· Clique no botao Change em frente ao texto “Replication: ” e selecione a opção “To all DNS servers running on domain controllers in this domain: dominio.com” (para cada dominio irá aparecer o sufixo DNS referente ao mesmo) e clique em OK;
· Na mensagem de aviso, clique em Yes e na tela de propriedades da zona clique em OK;
Faltou apenas criar (ou migrar) as zonas reversas de forma a replicar para todos os DNS servers da floresta (mesmo procedimento utilizado na segregação da zona _msdcs). Isso fará com que todos os DNS servers da floresta sejam autoritativos para a zona reversa.
3. Criação da zona reversa 192.168.1.0/24 (uma vez por floresta)
· Através da console do DNS server no dominio root, exclua a zona _msdcs dentro da zona jsathler.spaces.live.com;
· Agora crie uma zona de pesquisa reversa integrada ao AD para a rede 192.168.1 e na tela “Active Directory Zone Replication Scope” selecione a opção “To all DNS servers runing on domain controllers in this forest: jsathler.spaces.live.com”. Lembre-se de definir esta zona para aceitar apenas atualizações seguras. Aguarde a replicação do AD e verifique no DNS server dos demais dominios a existencia desta;
Pronto, todos os objetivos deste laboratório foram alcançados e toda a floresta se encontra em modo nativo Windows Server 2008 R2, assim como o Sysvol configurado para replicação pelo DFS-R e as zonas DNS devidamente configuradas para replicação entre os servidores na floresta.
A estrutura final do nosso laboratório ficará da seguinte forma:
Bom é isso ai pessoal, ate a próxima.
Juliano Sathler com mais de 8 anos de experiência na área de TI. Trabalha atualmente com suporte/projetos de Exchange Server e Active Directory em uma multinacional no interior de SP. Possui atualmente as certificações MCSA/MCSE +M +S em Windows 2000 e 2003, MCTS/MCITP em Exchange 2007 e MCT.
**Este artigo foi escrito por um membro da comunidade técnica, a Microsoft não oferece quaisquer garantias sobre o conteúdo aqui descrito.