Instalando um Dc 2008 em Floresta 2003

  • Artigo

Rover Marinho MCSE, MCSA, MCTS, MCITP, MCT, MVP Janeiro 2009

Tecnologias: Windows Server 2008

Sumário: Este artigo explica passo a passo como promover um servidor executando o Windows Server 2008 como controlador de domínio

Conteúdo

Introdução
Pré-requisitos
Preparando a Floresta de Domínio 2003
Instalando o Controlador de Domínio 2008 na Floresta 2003
Conclusão
Referencias e Topicos Relacionados
Sobre o Autor

Introdução

Neste tutorial, apresentaremos as novidades na promoção de um Windows Server 2008 com o papel de Domain Controller, conheceremos todas as novas configurações que podem ser feitas desde o momento da configuração do Domain Controller.

Início da página

Pré-Requisitos

Para instalarmos um DC no AD DS temos que cumprir alguns pré requisitos necessários no ambiente, abaixo segue cada um dos requisitos necessários para esta tarefa:

Hard Disk: Minimode 10GB

No AD DS para uma instalação limpa de um servidor Windows Server 2008 que terá o papel de GC os seguintes requisitos são necessários para o DC.

  • 15 MB de espaço requerido para Partição de Instalação do Sistema
  • 250 MB de espaço disponível para o NTDS.dit
  • 50 MB para o Extensible Storage Engine (Esent) para gerenciar os Transaction Logs

Será necessário ter em sua placa de rede as configurações de seu IP privado, segue abaixo demonstração:

Figura1 – Configuração de Placa em Ipv4

  • DNS

No Windows Server 2008 o Dns é necessário como nas versões anteriores o que difere é que no Windows Server 2008 ao promover o primeiro DC o DNS é oferecido a ser instalado e pode-se também fazer de forma manual sua instalação, porém a novidade esta por parte da promoção de um Primeiro DC em um domínio filho, neste momento a delegação para o domínio filho no DNS é criada automáticamente.

  • Credenciais

Para instalar um novo DC em Windows Server 2008 precisamos identificar como estamos fazendo a promoçãodo DC, neste caso temos três cenários:

Credenciais para Promover DC 2008

Cenários Desejados

Permissões Necessárias

Primeiro Dc 2008 em Nova Floresta 2008

Administrador Local da Máquina

Dc 2008 Adicional em Domínio 2000/2003

Domain Admins – Grupo Global

Novo Domínio em árvore 2000/2003

Enterprise Admins – Grupo Global

  • Compatibilidade nos Clientes Legados

Para os clientes legados é de grande valia fazer a análise de todo o processo de clientes disponíveis na rede antes de Promover um Dc Windows Server 2008.

O grande aspecto é que o Dc Windows Server 2008 é o Windows Server mais seguro já existente na família Server, com isto ele utiliza dois níveis de Segurança:

  • Server Message Block (SMB) Signing and Encryption
  • Signing of Secure Channel Network Traffic

No Windows Server 2008 policies são utilizadas para impedir que outro tipo de criptográfia seja utilizada para o logon de clientes, para rebaixar o nível de segurança provendo o acesso de clientes legados siga os passos abaixo descritos:

  • Acesse o Windows 2008 DC
  • Abra o Group Police Management (GPMC)
  • Edite a Default Domain Policy
  • Localize: Computer Configuration | Policies | Administrative Templates | System | Net Logon
  • Habilite  “Allow Cryptography Algorihms Compatible With Windows NT 4.0”

No Windows Server 2008, para construir um DC na plataforma 2008 interagindo com outros níveis de Floresta, será necessário a extensão do Active Directory na Floresta 2003.

 Identifique qual é o Nível Funcional da Floresta, para isto abra o Active Directory Users and Computers, selecione o Domínio ao qual estamos falando, em propriedades verifique os campos Domain Functional Level e Forest Functional Level. Abaixo na Figura2 demonstramos:

Figura2 – Configuração de Functional Level

Compatibilidade nos Clientes Legados

Para os clientes legados o Windows Server 2008 traz grandes modificações na área de Segurança. Para conhecer um pouco sobre elas leia o Artigo: “Instalando o Windows Server 2008 como DC” neste artigo falamos sobre “Clientes Legados” e mudanças efetuadas.

Início da página

Preparando a Floresta de Domínio 2003

Para instalarmos um DC 2008 em uma floresta 2003 temos dois passos, temos que preparar à Floresta e o Domínio para que possa receber o Dc 2008.

Vamos utilizar o DVD do Windows Server 2008 para fazer este processo, vale lembrar que para executar este processo é melhor executar direto no DC 2003 que detenha as FSMO`s (Schema Master), assim a replicação será mais rápida.

Dentro do DVD do Windows Server 2008 na pasta Source\Adprep, existe o arquivo de execução da preparação “adprep.exe”, o conteúdo da pasta esta na Figura3 para demonstração:

Figura3 – Conteúdo da pasta Source\Adprep

Abaixo demonstramos a linha de código dos dois comandos de preparação:

PREPARANDO A FLORESTA COM O ADPREP

Abra um prompt de comando e acesse o DVD do Windows Server 2008

Acesse Sources\Adprep e Execute o comando “adprep.exe /forestprep”, o resultado segue abaixo:

D:\sources\adprep>adprep /forestprep

ADPREP WARNING:

Before running adprep, all Windows 2000 Active Directory Domain Controllers in the forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.

[User Action]
If ALL your existing Windows 2000 Active Directory Domain Controllers meet thisrequirement, type C and then press ENTER to continue. Otherwise, type any otherkey and press ENTER to quit.
c
Opened Connection to DC-01W2K3
SSPI Bind succeeded
Current Schema Version is 30
Upgrading schema to version 44
Connecting to "DC-01W2K3"
Logging in as current user using SSPI
Importing directory from file "C:\WINDOWS\system32\sch31.ldf"
Loading entries.................................................................
139 entries modified successfully.

The command has completed successfully
Connecting to "DC-01w2k3.dedini.com.br"
Logging in as current user using SSPI
Importing directory from file "C:\WINDOWS\system32\PAS.ldf"
Loading entries..............
13 entries modified successfully.

The command has completed successfully
................................................................................
Adprep successfully updated the forest-wide information.

Quadro1 – Configuração descrita do Adprep /Forestprep

PREPARANDO O DOMÍNIO COM O ADPREP

Abra um prompt de comando e acesse o DVD do Windows Server 2008

Acesse Sources\Adprep e Execute o comando “adprep.exe /domainprep”, o resultado segue abaixo:

D:\sources\adprep>adprep /domainprep /gpprep
Running domainprep ...
Domain-wide information has already been updated.

[Status/Consequence]
Adprep did not attempt to rerun this operation.

Adprep successfully updated the Group Policy Object (GPO) information.

Quadro2 – Configuração descrita do Adprep /Domainprep

 Início da página

Instalando o Controlador de Domínio 2008 na Floresta 2003

Clique no Menu Iniciar | Executar e digite: DCPROMO, conforme a Figura4.

Figura4 – Tela de Execução do Dcpromo

Em seguida a tela da Figura5 irá aparecer onde você deverá marcar a opção “Use Advanced Mode Installation”, esta opção traz todas as telas de configurações!

Figura5 – Tela Inicial do Active Directory Domain Services

Na Figura6 o DCPromo demonstra todas as mudanças feitas em compatibilidade pelo Windows Server

2008 – DC, deixo a dica de leitura desta explicação para todos que trabalhem com clientes legados.

Figura6 – Compatibilidade de Sistema Legados

Nesta Figura7, podemos verificar a opção para “Existing Forest”, assim poderemos escolher entre adicionar um DC no Domínio já criado ou criar um novo domínio filho. Iremos optar por criar um Dc adicional em um Domínio existente.

Figura7 – Escolhendo o Modo de Existing Forest

Após clicarmos em Next, a Tela da Figura8 aparece. Nesta tela configuraremos o domínio ao qual nós queremos ter acesso com um DC adicional.

Inclua o domínio conforme mostrad abaixo e não esqueça de validar as credenciais clicando em “SET”.

Figura8 – Tela de Configuração de Sufixo DNS do Domínio Interno

O serviço de DCPROMO faz um checagem em toda Floresta e tenta localizar este domínio ao qual foi cadastrado na Figura8 caso posistivo, a imagem da Figura9 aparece e podemos selecionar o domínio ao qual queremos adicionar o DC.

Figura9 – Domínio Localizado para Instalar Dc Adicional

Ao clicar em Next receberemos a Imagem das Figuras10 e Figura11, isto acontece pois será necessário prepararmos a Floresta (Quadro1) e também o Domínio (Quadro2), caso contrário não conseguiremos passar adiante.

Figura10 – Erro informando a necessidade do Adprep /ForestPrep

Figura11 – Erro informando a necessidade do Adprep /DomainPrep

Após prepararmos o ambiente receberemos a tela da Figura12, informando que não conseguiremos instalar a função de Read Only Domain Controller (RODC), pois não temos todos os pré-requisitos, lembramos que para instalar a função de RODC será necessário pelo menos um DC 2008 no ambiente. Para maiores conhecimentos acesse: http://rovermarinho.spaces.live.com

**Figura12 – Alerta sobre a impossibilidade de Instalar o RODC

Uma nova fase de configuração do DCPROMO é evidente agora com o Windows 2008. Podemos configurar diretamente na instalação o Sites-And-Services ao qual o Dc fará parte!

Marque o Site ao qual o seu DC fará parte e prossiga clicando em Next.

**Figura13 – Opção de Site and Services que o Dc pertencerá

Conforme imagem da Figura14, esta tela podemos adicionar e remover funções de nosso DC, adicione as funções necessárias e continue clicando em Next.

Figura14 – Preferências dentro do Dc Adicional

Temos que configurar (Figura15) onde nosso servidor irá replicar os dados do Active Directory, ou através de replicação pela rede ou utilizando um backup de System State de outro servidor DC.

Figura15 – Replicar dados por rede ou por System State

Na Figura16 temos o domain controller que será o parent de replicação, esta função já existia no Dcpromo do Windows Server 2003 mas era uma linha de comando, agora temos a opção em modo visual.

Figura16 – Tela de Escolha do DC Parent (Pai)

Toda instalação de Active Directory quando programada escolhe os locais para alocar o Database, Logs e a pasta Sysvol. Na Figura17 temos a tela de configuração.

Figura17 – Local de Instalação do Database, Log e Sysvol

Após isto temos que configurar a Senha de Active Directory Restore que por Default esta exigindo ser uma senha totalmente Complexa. (Figura18)

Figura18 – Senha de Restore Mode

Por Final receberemos a Figura19 com o Summary de instalação, vale lembrar que nesta tela temos o botão “Export Settings”, sempre que instalar qualquer servidor em Unattended você precisará criar este arquivo, conforme Quadro3.

Figura19 – Summary com resumo de Instalação

; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
;   dcpromo.exe /unattend:C:\Users\Administrator\Desktop\ExportConfig.txt
;
; You may need to fill in password fields prior to using the unattend file.
; If you leave the values for "Password" and/or "DNSDelegationPassword"
; as "*", then you will be asked for credentials at runtime.
;
[DCInstall]
; Replica DC promotion
ReplicaOrNewDomain=Replica
ReplicaDomainDNSName=dedi.com.br
SiteName=Default-First-Site-Name
InstallDNS=No
ConfirmGc=Yes
CreateDNSDelegation=No
UserDomain=dedi.com.br
UserName=dedi.com.br\administrator
Password=*
ReplicationSourceDC=DC-01w2k3.dedi.com.br
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=
; Run-time flags (optional)
; CriticalReplicationOnly=Yes
; RebootOnCompletion=Yes

Quadro3 – Configuração Unattend para DC adicional

Na Figura20 temos a tela de replicação de dados entre o Dc 2008 e o DC 2003, neste momento todas as configurações do Active Directory estão populando o banco de dados NTDS.dit do novo Dc.

Figura20 – Tela de Replicação de Dados do Active Directory

Por Final temos a tela da Figura21, onde recebemos a informação de que o DC foi promovido com sucesso, após isto será solicitado um Restart (Figura22) e teremos um novo DC em atividade.

Figura21 – Tela de Confirmação de Instalação

Figura22 – Tela de Restart para efetivar as opções de DC

Podemos verificar a instalação observando a tela da Figura23, onde temos agora os dois DC`s em trabalhos tanto o Dc2003 quanto o Dc2008.

Figura23 – Tela de Confirmação do DC-02W2K8 como DC

Início da página

Conclusão

Este artigo é o primeiro artigo da série de Windows Server 2008, falamos sobre todo o processo de instalação de uma Floresta/Domínio em Windows Server 2008, bem como a criação de seu primeiro Domain Controller.

Referências + Tópicos Relacionados

Para mais informações sobre o Windows Server 2008, acesse:
https://www.microsoft.com/windowsserver2008/en/us/default.aspx
https://www.microsoft.com/windowsserver2008/en/us/serverunleashed/default.html

http://www.microsfot.com/brasil/servidores

Sobre o Autor

Rover Marinho atua no mercado de infra-estrutura há 11 anos, especializando-se na área de infra-estrutura e produtos Microsoft. Trabalha como Gerente de Infraestrutura  e Instrutor na Brás & Figueiredo, onde atua com os produtos: Exchange, Isa Server, Cluster e Projetos Específicos. Grande ênfase na comunidade TechNet. Atua ministrando palestrar e Eventos de Produtos Microsoft, Rover Marinho é certificado Mcp, Mcsa, Mcse, Mct, Mcts e MVP.

 Início da página