Active Directory

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Introdução 
Em um encontro de amigos, alguém perguntou: Você conhece Active Directory? A resposta foi 
rápida. Sim eu uso o ADUC “Active Directory Users and Computers” para gerenciar os objetos. 
Após pensar um pouco nesta resposta, desenvolvi este artigo. 
Pretendo com isto discutirmos o que é Active Directory, quais suas divisões físicas e lógicas, 
literalmente desmistificar todas as opções. 
Logo, se você já trabalha com o Active Directory, Exchange, Lync ou qualquer outra ferramenta 
dependente do AD, invista em ler estes artigos, este artigo foi desenvolvido para você que tem 
dúvidas sobre Active Directory! Pensamos em desenvolver um material que pudesse ser 
apreciado do mais iniciante ao mais avançado em Active Directory, colocamos ou pelo menos 
tentamos, esboçar em conceitos bem simples a topologia lógica e física do Active Directory. 
Nesta série de artigos abordaremos os seguintes tópicos: 
 AD, O que é Active Directory, Topologia Física e Lógica Parte1 
 AD, O que é Active Directory, ADDS, ADCS, ADFS, ADLDS, ADRMS Parte2 
 AD, O que é Active Directory, GC, FSMO e Virtualização Parte3 
Esperamos que este material possa ser utilizado para pesquisa e para estudo dos exames da 
Microsoft e também para o dia a dia de trabalho. Uma boa leitura... 
O que é um serviço de diretório 
1. O que é um serviço de diretório 
2. Por que usar o Active Directory? 
3. Domain Controller (DC) é Active Directory (AD)? 
4. Infraestrutura do Active Directory 
5. Estrutura Lógica do Active Directory 
6. Objetos 
7. Unidades Organizacionais 
8. Domínios 
9. Árvores de Domínio 
10. Floresta 
11. Estrutura Física do Active Directory 
12. Domain Controllers 
13. Sites 
1. O que é um serviço de diretório 
Um serviço de diretório pode se explicado com várias ilustrações, mas a ilustração que, em 
minha opinião, mais demonstra o verdadeiro sentido de um serviço de diretório é a figura de 
uma lista telefônica ou uma agenda pessoal. 
 
Em nossa agenda podemos organizar, dias, semanas, meses e até anos, passando por pessoas, 
nomes, sobrenomes, datas de aniversário, dados importantes dentre outros. 
O serviço de diretório tem exatamente o mesmo sentido, o sentido de organizar e 
principalmente ter um local centralizado para a busca de informações necessárias no dia a dia, 
para nossos trabalhos. 
Quando criamos um novo usuário, estamos utilizando o serviço de diretório, nesta base de 
dados (agenda), estamos guardando, nomes, sobrenomes, endereços, logins, senhas, grupos, ao 
qual o usuário pertence dentre outras tantas opções que podemos cadastrar, tudo isto ficará 
disponível dentro de uma base de dados, esta base de dados poderá ser utilizada pelos nossos 
servidores para vários trabalhos. 
Vamos citar três soluções de serviço de diretório: 
 Open Ldap para Sistemas Open Source. 
 EDirectory para Sistemas Novell. 
 Active Directory para Sistemas Microsoft e com suporte para todos acima citados. 
No mercado de hoje nossos negócios precisam ter informações rápidas, de fácil atualização, alta 
disponibilidade e principalmente muita segurança e o Active Directory pode nos oferecer todos 
estes atributos e muito mais... 
2 - Por que usar o Active Directory? 
O Active Directory assumiu o mercado de serviços de diretório pelo seu desempenho, 
segurança e principalmente disponibilidade, o Active Directory esta no mercado desde o 
lançamento do Windows 2000 Server, após o seu nascimento assumiu a liderança dos serviços 
de diretório, utilizando como base o LDAP e a comunicação através de replicação lançou vários 
atributos e principalmente ferramentas para facilitar o gerenciamento de informações nas 
empresas. 
Hoje quando usamos um usuário para logar no domínio de nossa empresa, estamos utilizando 
um serviço de diretório e por consequência usando o Active Directory. 
Abaixo temos uma figura para demonstrar todos os recursos que o Active Directory pode 
utilizar como serviço de diretório de sua empresa. 
 
3 - Domain Controller (DC) é Active 
Directory (AD)? 
Se perguntarmos a qualquer especialista ou Instrutor Microsoft (MCT), creio que esta deve ser a 
pergunta Top sem nenhuma chance de segunda colocada, pensando nisto desenhei a estrutura 
abaixo para podermos explicar esta informação. 
Bem, antes de mais nada, não é a mesma coisa! Ok. 
Nos tópicos anteriores comparamos o AD com uma agenda, o AD físicamente também tem um 
banco de dados, este banco é conhecido com NTDS.dit e esta localizado na pasta 
%SystemRoot%\NTDS\ntds.dit em uma instalação default do AD. 
Este diretório chamado de NTDS apenas existirá nos servidores que tenham a função de 
Domain Controllers (DC’s). Neste diretório existirão os arquivos relacionados abaixo: 
Durante o processo de instalação do Active Directory, são criados cinco arquivos: 
Ntds.dit - Arquivo de banco de dados do AD 
Edb.log - Arquivo onde são armazenados todas as transações feitas no AD. 
Edb.chk - Arquivo de checkpoint controla transações no arquivo Edb.log já foram comitadas no 
arquivo Ntds.dit. 
Res1.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso 
de falta de espaço em disco. 
Res2.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso 
de falta de espaço em disco. 
Bem, agora sabemos que a estrutura lógica do AD é gravada em uma base de dados física 
chamada de Ntds.dit, porém DC é AD? 
Não é claro que não, no desenho abaixo demonstramos claramente a diferença entre AD 
(estrutura lógica do AD) e DC (Servidor que contém uma cópia do NTDS.dit do AD). 
No desenho abaixo imaginemos uma construção, estamos construindo um grande salão de 
festas. Imaginem que nosso teto (retângulo azul) é nosso Active Directory, porém precisamos 
apoiar este teto em pilares (cilindros vermelhos), caso contrário nosso teto irá desabar, certo? 
 
É isto mesmo, o Active Directory é a estrutura lógica (teto), e os DC’s são servidores fisicos 
(pilares), por isto a necessidade de termos muitos DC’s espalhados. Assim nosso AD mesmo na 
falha de um DC (pilar) ou vários DC’s ainda conseguirá responder as solicitações e pedidos de 
nossa infraestrutura. 
 
Isto só é possível pois cada servidor quando recebe a função de Domain Controller, herda a 
criação do diretório %SystemRoot%\NTDS\ e toda a estrutura comentada acima. Todos os 
dados criados originalmente são replicados para o novo DC criado. 
Assim em um AD (domínio) com três DC’s como na figura abaixo, todos os Dc’s estão 
atualizados com todos os dados igualmente, isto recebe o nome de replicação do Active 
Directory. 
 
4 - Infraestrutura de Active Directory 
O Serviço de Diretório do AD é divido em duas estruturas a estrutura lógica e a estrutura física, 
o conhecimento pleno sobre a estrutura do AD é muito importante, principalmente quando 
maior for sua estrutura. Nestas explicações informaremos algumas ferramentas que podem 
auxiliar na verificação deste processo, vale lembrar que estamos focando as explicações no 
Active Directory do Windows Server 2008 R2, porém estas explicações poderão ser utilizadas em 
qualquer uma das versões de Active Directory, nos próximos artigos falaremos das evoluções 
para as futuras versões. 
5 - Estrutura Lógica do Active Directory 
Quando falamos de estrutura lógica do Active Directory, muitos termos são falados, a estrutura 
lógica do AD consiste em Objetos, Unidades Organizacionais, Domínio, Árvores de Domínio e 
Floresta. 
Utilizamos a estrutura lógica do AD para podermos gerenciar os objetos dentro da organização. 
6 – Objetos 
São os componentes mais básicos da estrutura lógica e representam, usuários, computadores e 
impressoras. Outros objetos podem ser criados porém esta é
uma discussão posterior. 
7 – Unidades Organizacionais 
Uma OU é um objeto de container, utilizado para organizar outros objetos. A organização pode 
ser feita de várias formas. 
 Geográfica – Onde as OU’s representam Estadas ou Cidades de sua estrutura física 
Exemplo: OU SP - OU RJ 
 Setorial – Onde as OU’s representam setores da estrutura física da empresa, por 
unidade de negócio. Exemplo: OU Administrativo – OU Produção 
 Departamental – Onde as OU’s representam setores da estrutura física da empresa por 
departamento. Exemplo: OU RH – OU DP – OU Caldeira 
 Híbrido – Modelo onde podemos interagir todos os modelos acima, na Figura abaixo 
temos um modelo disto. 
 
8 – Domínios 
O domínio é a estrutura mais importante do Active Directory e tem 2 funções principais. 
 Fecham um limite administrativo para objetos. “Quem esta fora não entra, quem esta 
dentro não sai”, claro que esta regra pode sofrer alteração mediante permissões de 
entrada e saída, como relações de confiança. 
 Gerenciam a segurança de contas e recursos dentro do Active Directory 
Vale lembrar que um domínio do Active Directory compartilham: 
 Mesmo banco de dados Ntds.dit com cada Domain Controller dentro deste domínio. 
 Diretivas de segurança. 
 Relações de Confiança com outros domínios. 
Podemos representar o domínio do Active Directory pela forma geométrica de um triângulo. 
9 – Árvores de Domínio 
Quando precisamos criar um segundo domínio, na maioria das vezes por necessidades no 
processo de segurança temos o que chamamos de domínios filhos. 
Quando temos um domínio pai com seus domínios filhos, chamamos de árvore de domínio, 
pois dividem o mesmo sufixo DNS, porém em distribuição hierárquica. Abaixo colocamos um 
exemplo para ilustrar nossa explicação. 
Criamos o domínio livemotion.local (Figura esquerda abaixo), para podermos configurar 
diretivas de segurança, em um dado momento, precisamos criar um domínio novo, que tenha 
acesso aos recursos do domínio livemotion.local, porém tenha suas próprias necessidades de 
segurança (Figura direita abaixo). 
 
Conforme as figuras acima, podemos ver que quando temos um domínio filho, imediatamente 
estamos vinculados a um domínio pai, e esta divisão hierárquica de nome chamamos de Árvore 
de Domínios. 
10 – Floresta 
O primeiro domínio de uma Floresta, chamamos de Root Domain, a Floresta receberá o nome 
deste domínio, a floresta pode ser feita de um único domínio com também estar dividida com 
várias árvores dentro da mesma floresta. 
 
11 - Estrutura Física do Active Directory 
Quando falamos de estrutura física do Active Directory, alguns termos são utilizados, a estrutura 
física do AD consiste em Domain Controllers e Sites. 
A estrutura física do AD é totalmente independente da estrutura lógica do AD. A estrutura física 
é responsável por timizar o tráfego de rede e manter segurança em locais físicos distintos. 
12 – Domain Controllers 
Bem, neste momento precisamos aumentar o nível de nossa discussão sobre AD, no início deste 
artigo, focamos em explicar o funcionamento do AD, agora iremos mostrar como o Active 
Directory funciona nos DC’s. 
Um Domain Controller ou DC tem a função de executar o Active Directory e também armazenar 
a base do Active Directory bem como Replicar esta base “alterações” com outros DC’s. 
Quando falamos de Árvores de Domínio ou até mesmo Floresta, vale lembrar que um DC pode 
apenas suportar um único domínio. 
Para criar uma disponibilidade do Active Directory podemos ter mais de um DC, sendo assim 
num exemplo de 2 Dc’s temos a base do Active Directory sendo replicada de forma perfeita 
entre os dois Dc’s. 
A base do Active Directory o NTDS.dit é divido em partições, conforme a figura demonstrada 
abaixo: 
 
Estas partições formam o arquivo NTDS.dit, este é replicado entre cada um dos DC’s de seu 
domínio, consequentemente o arquivo é replicado para cada DC, tendo todos os Dc’s 
sincronizados logo teremos um Active Directory saudável e que pode suprir a falha de um DC, 
sem afetar o serviço de diretório do domínio. 
13 - Sites 
Os Sites servem para organizar a latência de replicação de Dc’s dentro do mesmo site, bem 
como fazer com que os DC’s daquele determinado Site não utilizem o link de replicação de 
forma desnecessária. 
Através da organização por sites do Active Directory, podemos limitar um deternimano grupo 
de computadores a estabelecer contato com sua Matriz, ou vice-versa apenas nos horários de 
menor fluxo, este conceito chamamos de agendamento de replicação. 
Enfim os sites do AD são utilizados para fazer com que um determinado Range IP, mesmo que 
separados por distâncias físicas, possam propiciar acesso e resposta aos serviços de diretório e 
infraestrutura de forma organizada. Porém para que os dados dos DC’s sejam replicados 
continuamente ou em horários pré-agendados, precisamos configurar os Sites e as replicações, 
com isto mantemos todo nosso parque atualizado, mesmo trabalhando em grandes distâncias. 
A replicação do Active Directory entre sites pode ser utilizando IP ou SMTP (para redes lentas). 
Conclusão 
Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem 
dúvidas sobre o Active Directory, no Windows Server muitas mudanças foram efetuadas, mas o 
conceito absorvido neste artigo poderá ser levado para novas plataformas de Active Directory. 
Revise cada tópico deste artigo, de topologia física a topologia lógica, este artigo foi escrito 
para você! Aguarde os outros artigos da série.