http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx
[copiado do site acima. Apenas para minha documentação e não perder o material. Créditos do site acima!]
Cinco Passos para garantir um DC saudável
Se existe um processo que pode salvar nossos finais de semana, é a verificação de um DC após a promoção, muitas vezes não fazemos a checagem da promoção de um DC, e com isto podemos ter vários problemas.
47 6 0 23
Tecnologias
Active Directory
Sumário
Se existe um processo que pode salvar nossos finais de semana, é a verificação de um DC após a promoção, muitas vezes não fazemos a checagem da promoção de um DC, e com isto podemos ter vários problemas.
O que vamos citar neste artigo são alguns utilitários e processos que devemos checar, para garantir que nosso DC esta ativo e foi corretamente promovido em nosso domínio, vamos lá.
Conteúdo
- Checando a resolução DNS do Domain Controller
1.1 – Configurando a Placa de Rede do DC
1.2 – Checando a Resolução de Reverso do DNS
1.3 – Criando a Zona Reversa e o registro PTR do DC
- Verificando a existência das Pastas Netlogon e Sysvol
2.1 – O que é o compartilhamento Netlogon
2.2 – O que é o compartilhamento Sysvol
- Testando a Resolução DNS para Dc e para FQDN do Domínio
3.1 – Testando a Resolução DNS para DC
3.2 – Testando a Resolução DNS para FQDN do Domínio
- Verificando as FSMO`s
- Checando o Event Viewer
Introdução
Este artigo foi desenvolvido para você que tem dúvidas sobre Active Directory. O que fazer para checar quando meu DC não traz os compartilhamentos de Netlogon e de Sysvol? Como ter certeza o DC recém criado é um Global Catalog?
Isto e outras perguntas juntamos neste artigo, de maneira fácil você aprenderá todos estes processos.
1 – Checando a resolução DNS do Domain Controller
Uma das tragédias que podem tirar seu ambiente do ar é a falta de resolução de nomes corretamente, felizmente o serviço de DNS de um Domain Controller pode ser integrado com o Active Directory, e caso você não tenha por favor o integre, muitos recursos são adicionados com esta integração.
Em nosso cenário, vamos usar um DNS com Zonas Integradas ao Active Directory, após terminarmos a promoção do DC e o mesmo sofrer a reinicialização, devemos fazer algumas configurações.
1.1 – Configurando a Placa de Rede do DC
Vamos configurar a placa de Rede do DC, se este for seu primeiro DC a ser promovido, o próprio utilitário do DCPROMO irá fazer o campo de DNS Preferencial ser alterado para 127.0.0.1, mesmo que antes, você já tenha alterado este campo, na Figura1 podemos ver este exemplo, segue abaixo:
Utilize o utilitário Nslookup no Command Prompt para conseguir levantar esta informação.
Figura 1 – Verificando a resposta do Nslookup
Vamos fazer a alteração na placa de rede de nosso servidor DC, edite as configurações da placa de rede e altere o DNS Preferencial para o IP de seu DC, em nosso exemplo estamos em um novo ambiente, estou usando o IP do próprio servidor, segue demonstração na Figura2:
Figura 2 – Alterando o DNS da Placa
Fazemos este procedimento para informar corretamente ao DC qual o DNS deve ser checado em uma consulta.
1.2 – Checando a Resolução de Reverso do DNS
Alguns procedimentos para aplicação de Policy e também regras no domínio dependem da resolução de nomes reversa, por isto devemos após a promoção de nosso DC, fazer o check para identificar se este recurso esta funcionando corretamente.
Para verificarmos isto utilizaremos o utilitário nslookup disponível no prompt de comando.
Digite o comando abaixo para verificar a resolução a Figura3 demonstra um cenário onde a zona reversa não é criada por default.
Figura 3 – DNS alterado mas sem resolução reversa
Neste momento já temos o DNS alterado (192.168.0.1) mas ainda não temos a resolução reversa em funcionamento (Unknown), iremos então criar a zona reversa de nosso domínio. Faça o seguinte procedimento:
- Abra o DNS (dnsmgmt.msc)
- Clique na opção Reverse Lookup Zones, caso esta opção esteja vazia Figura4, iremos criar o Reverse Zone.
Figura 4 – Zona Reversa não cadastrada no Domínio
1.3 – Criando a Zona Reversa e o registro PTR do DC
Precisamos criar a Zona Reversa do DC para isto vamos utilizar o Wizard de criação de Zonas, siga as etapas abaixo:
a) Clique com o botão direito em Reverse Lookup Zone e selecione New Reverse Zone.
b) Na tela de Wizard Welcome clique em Next.
c) Na tela New Zone Wizard – Zone Types clique em Next (default Primary Zone e Active Directory Integrated).
d) Na tela New Zone Wizard – Active Directory Zone Replication Scope clique em Next.
e) Na tela New Zone Wizard – Reverse Lookup Zone Name marque a opção Ipv4 e clique em Next.
f) Na tela New Zone Wizard – Reverse Lookup Zone Name no campo Network ID coloque a Range IP da sua Infraestrutura e clique em Next.
g) Na tela New Zone Wizard – Dynamic Updates deixe o Default marcado e clique em Next.
h) Na tela New Zone Wizard – Summary clique em Finish para criar a Zona Reversa, conforme a Figura5.
Figura 5 – Zona Reversa Criada
Precisamos criar o registro PTR de nosso servidor, neste momento apenas existe a Zona Reversa não existe correção do erro gerado na Figura3, iremos corrigir este erro criando um novo registro PTR. Conforme Figura5, segue os passos:
a) Clique com o botão direito na sua Zona Reversa (0.168.192.in-addr.arpa) e selecione New Pointer (PTR)
b) Na tela de New Resource Record existem três campos conforme a Figura6, segue abaixo:
- Host IP Address – Este campo traz o IP do Registro PTR (IP do DC)
- FQDN – Este campo traz o nome completo (Nome FQDN do Domínio – Reverse)
- Host Name – Nome do Servidor (Nome FQDN do DC)
Figura 6 – Criando o PTR do DC
Após o registro criado, podemos verificar que o registro PTR já esta disponível dentro da Zona Reversa, isto pode ser visto e testado com o utilitário Nslookup no prompt de comando, idêntico ao passo executado na Figura3, demonstramos este processo na Figura7, onde vemos o registro PTR ao fundo, criado na Zona Reversa.
Após isto abra uma nova seção no prompt de comando, para testar a resolução reversa de DNS com o Nslookup (Figura7).
Figura 7 – Testando a Resolução Reversa do Dns
2 – Verificando a Exitência das pastas Netlogon e Sysvol
Quando promovemos um servidor à função de Domain Controller, dois compartilhamentos muito importantes são criados dentro deste servidor, os compartilhamentos são Netlogon e Sysvol.
Para uma administração correta, é muito interessante dominarmos o pleno conhecimento destes compartilhamentos, assim entendendo para que servem e como checar erros nos mesmos.
2.1 – O que é o compartilhamento Netlogon
O compartilhamento Netlogon é usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informações com outros Dc`s. Esta replicação é feita de forma segura entre os DC`s.
O serviço responsável por esta replicação entre os Dc`s é o Netlogon(%SystemRoot%\System32\Netlogon.dll).
Para checar se os serviços estão configurados corretamente, no Windows Server 2003 precisamos instalar o Support Tools, no Windows Server 2008 o recurso já esta instalado.
Abra um prompt de comando e digite DCDIAG, o comando DCDIAG vai gerar um relatório do estado dos serviços do seu Active Directory, pode-se usar este relatório para levantamento de erros e verificação da estrutura do Domain Controller.
2.2 – O que é o compartilhamento Sysvol
O Compartilhamento Sysvol (System Volume) é usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informações com outros Dc`s. As informações replicadas são Group Policy Objects, startup and shutdown scripts e logon and logoff scripts.
O serviço responsável por gerenciar estes atributos é o FRS (File Replication Service), ele gerecia a replicação do Sysvol, porém caso tenhamos um upgrade de Domain Function Level para Windows Server 2008, o serviço de replicação para os Dc`s passa a ser o DFRS (Distributed File System Replication), válido apenas para Dc`s com Windows Server 2008.
Para visualizar a estrutura do Sysvol abra o prompt de comando e digite Start Sysvol, receberemos a tela da Figura8, com toda a estrutura do Sysvol, o comando Start Sysvol serve para demonstrar a estrutura de pastas, não importando se esta foi movida do caminho default.
Figura 8 – Utilizando o Start Sysvol
Após a abertura da tela podemos verificar se a estrutrua do Sysvol esta como da Figura8, em um próximo artigo falaremos especificamente sobre Infraestrutura de Sysvol e Netlogon.
3 – Testando a Resolução DNS para Dc e para FQDN do Domínio
A resolução DNS é muito importante para o domínio e um dos testes básicos para checar a resolução, é verificar se o FQDN do servidor ou o FQDN do Domínio estão respondendo para o mesmo lugar.
3.1 – Testando a Resolução DNS para DC
Quando acabamos de instalar um DC temos também que testar a resolução de rede de nosso Domain Controller, vale lembrar que se acessarmos o FQDN do Servidor (Figura9), nossa solicitação tem que nos levar para resolução da Figura10.
Na Figura9 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de Policies e também a estrutura de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com outros Dc`s.
Figura 9 – Acessando FQDN do DC
Figura 10 – Netlogon e Sysvol do DC
3.2 – Testando a Resolução DNS para FQDN do Domínio
Quando acabamos de instalar um DC temos também que testar a resolução de rede do FQDN do Domínio, vale lembrar que se acessarmos o FQDN do Domínio (Figura11), nossa solicitação tem que nos levar para resolução da Figura12.
Na Figura11 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de GPO e também a estrutura de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com outros Dc`s.
Quando desligamos o DC o Active Directory utiliza a resolução de nome FQDN do Domínio, sendo assim o usuário não será deslocado para o FQDN do DC e sim para o FQDN do Domínio, desta forma outro DC assume a função dos compartilhamentos.
Figura 11 – Acessando FQDN do Domínio
Figura 12 – Netlogon e Sysvol do Domínio
4 – Verificando as FSMO`s
Em nosso cenário estamos utilizando um único DC. Caso tenha mais Dc`s ou não é interessante sabermos se todas FSMO`s estão disponíveis, para isto, iremos checar as FSMO`s, isto é muito simples abra um Prompt de Comando e utilize o comando Netdom query FSMO, o resultado será a Figura13 que segue abaixo:
Figura 13 – Netdom para verificar as FSMO`s
Este comando demonstra onde as FSMO`s estão sendo gerenciadas.
5 – Checando o Event Viewer
Para finalizarmos não poderíamos deixar de falar do Event Viewer, ele foi remodelado no Windows Server 2008, porém continua agradável e demonstra tudo que ocorre em nossos servidores. Vale lembrar que a função de DC, tem algumas opções diferentes dos outros servidores.
A Figura14 demonstra o Event Viewer, este precisa ser checado após a promoção do Domain Controller, segue abaixo:
Figura 14 – Event Viewer para checar erros
Conclusão
Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem dúvidas sobre a função de Domain Controller no Active Directory, explicamos em 5 passos como garantir a saúde de seu DC após a promoção, desde o simples recurso de um PTR Zone Reverse, até a checagem das FSMO com o NETDOM, tenham uma ótima leitura.
Referências + Tópicos Relacionados
Para elaboração deste artigo utilizamos além do dia a dia como instrutor, materiais que servem como leitura posterior.
1 – Active Directory – Administrator’s Pocket Consutant (livro de bolso para o Administrator de Active Directory).
2 – Windows Server 2003 Active Directory and Network Infrastructure – Exam 70-297 (Ótima referência para Exames).
3 – Building Enterprise Active Directory Services – Notes from the Field.
4 – Windows Internals 5º Edition – Covering Windows Server 2008 and Windows Vista (A melhor referência sobre Internals).
Muitos foram os blogs navegados e opiniões retiradas de muitos bate-papos com amigos, gostaria de agradecer a todos.
Rover Marinho – Atua no mercado de infra-estrutura desde 1998, especializando-se na área de Active Directory, Exchange e infra-estrutura de produtos Microsoft. Trabalha como Consultor e Instrutor em um grande CPLS em São Paulo, onde atua com os produtos: Exchange, Active Directory, Cluster e Projetos Específicos. Grande ênfase na comunidade TechNet, é colunista de muitos sites de Infraestrutura e colaborador da comunidadeITCentral. Atua ministrando palestras e Eventos de Produtos Microsoft, Rover Marinho é certificado MCP, MCSA, MCSE, MCTS, MCITP, MCT e MVP em Directory Services. Para conhecerem suas últimas publicações acessem o Blog: http://rovermarinho.spaces.live.com.
47 6 0 23
Leia também
Read more: http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx#ixzz31tnZx8zr
