 | | |
| | |
|
Spaces home  Artur Higashiyama - MVP ...PhotosProfileFriendsMore |  Tools   |
Links a meu respeito
Lista de comunidades brasileiras sobre Microsoft
|
Artur Higashiyama - MVP Active Directory desde 2006Estudar - Praticar - Ensinar - Compartilhar - Progredir
6/13/2008 Nome DNS para o seu Active DirectoryUm dos benefícios do programa MVP é o acesso ao newsgroup privado da Microsoft.
Neste newsgroup, os moderadores são funcionários da própria Microsoft, seja da área de suporte (PSS) ou dos times de desenvolvimento de produto.
Como devem imaginar, as discussões são de altíssimo nível e protegidas pelo famoso NDA, ou seja, podem envolver questões sigilosas.
Porém, como são várias áreas cobertas pelo newsgroup, vemos muitas questões básicas (feitas por pessoas que não são experts no tópico em questão) como em qualquer outro newsgroup / fórum aberto.
E o post de hoje trata-se da pergunta mais básica do Active Directory: Qual deve ser o nome DNS do meu domínio do Active Directory?
Aviso: se você está procurando uma receita de bolo, pode parar de ler o post agora e vá navegar no Orkut, bater papo no Messenger, etc, que será muito mais proveitoso para você (acredite-me).
Se você respondeu: nomedaempresa.local mas não tem nem idéia do porquê faz isso, parabéns! Você é oficialmente um "maria-vai-com-as-outras". Siga o meu conselho acima e seja feliz.
A linha acima é o "divisor de águas". Daqui para frente, prepare-se para uma aventura filosófica e abençoada pelo grande mestre cervejeiro Rob Ranches.
Se você fez um curso oficial, ou leu um MOC, ou assistiu uma palestra do mestre ultraman Hara (e seus discípulos), ou até mesmo consultou certas documentações da Microsoft (como essa aqui: http://support.microsoft.com/kb/296250), aprendeu que para uma empresa pequena, você deve colocar: nomedaempresa.local
O grande paradoxo de toda regra ou diretriz é que ela é feita para facilitar a vida de alguém, seja o instrutor, o palestrante, o consultor, etc. Mas ao mesmo tempo, caso a pessoa não entenda o porquê da existência dessa regra, a aplicação dela pode surtir um efeito exatamente oposto.
Essa "regra" do nome DNS encaixa-se perfeitamente nesse paradoxo. E agora vamos entender o porquê!
Primeiro, vamos mostrar quais nomes poderiam ser utilizados (vamos usar a IT Central como exemplo):
itcentral.local
itcentral.com
itcentral.com.br
local.itcentral.com.br
itcentral.zz
e mais 1 zilhão de combinações possíveis...
Pergunta: Qual nome DNS deve ser utilizado?
Resposta: Qualquer um deles.
Justificativa: Porque cada um deles é válido para determinada situação. E é aí que reside o Santo Graal do conhecimento. O verdadeiro "connaisseur" do Active Directory analisa todo o projeto de TI da empresa: o presente e o futuro, as funcionalidades a serem implementadas, os aplicativos de servidores a serem utilizados, a distribuição geográfica, os serviços terceirizados, etc, para depois elaborar o Design do Active Directory.
Vamos piorar ainda mais a situação?
E se eu te disser que: Tanto Faz!
Independentemente do nome do domínio que você escolheu, eu consigo fazer o seu Active Directory funcionar perfeitamente. Seja com Split DNS / Split Brain, TLD tricks, Recipient Policies (dá-lhe Exchange), UPNs, etc, conseguimos configurar a sua rede sem problemas.
O grande foco do debate é: você consegue transformar um Fusca em uma Ferrari. Vale a pena? Qual o sentido? O que sobra do Fusca no final do processo? Quanto você gastou comparado a começar do zero? Por que um Fusca?
Coloco a seguir algumas considerações sobre o Active Directory:
- Vai ter Exchange na rede local? Já imaginou o que você deve fazer para o seu Exchange funcionar adequadamente com domínio .local?
- .local foi exemplicado em uma época onde o AD estava começando e a internet também. O mundo mudou...e você?
- .local é utilizado para outros fins no protocolo Apple Rendezvous e também no IPv6. Você conhece o IPv6?
- Você já ouviu falar dos TLDs .museum, .aero? Conhece a ISO 3166? Ah, e você sabia que até normas ISO são modificadas?
- Active Directory não tem relacionamento com o domínio de internet da empresa. Active Directory serve para autenticação e serviços de diretório.
E finalmente, vem a máxima: o Active Directory é o "cérebro + coração" da sua rede.
Todos os serviços e funcionalidades dependem dele. Infelizmente, 99% dos ADs são configurados e mantidos por pessoas sem capacitação. É por isso que existem inúmeras brechas de segurança na sua rede e também porque sua rede dá tanto problema assim. Vamos corrigir isso?
Comece estudando aqui:
HugZ, Artur Higashiyama Microsoft Most Valuable Professional - Directory Services IT Central - www.itcentral.com.br 6/12/2008 CoreConfigurator- a ferramenta ideal para o Server CoreComo meus amigos sabem (e todas as pessoas que já assistiram minha palestra de Windows Server 2008), eu odeio o Server Core do Windows Server 2008.
Apesar das inúmeras vantagens, eu ainda acho que o Server Core é um passo para trás.
Afinal, desde o Windows v1.0 que a ideologia da Microsoft é a da interface gráfica. Aliás, nas poucas vezes que uso um Apple, sempre sinto falta do botão direito do mouse...
Mas, pelo visto não estou sozinho.
Meu amigo MVP Daniel Petri (www.petri.co.il) também odeia e acabou "cutucando" tanto outro colega MVP que criou-se uma ferramenta gráfica para configuração básica de um Server Core.
Portanto, meus agradecimentos ao colega MVP Guy Teverovsky (http://blogs.microsoft.co.il/blogs/guyt/) por desenvolver o "CoreConfigurator".
Faça o download da última versão no link abaixo:
Para instalar o programa no Server Core, utilize a seguinte linha de comando:
msiexec /i CoreConfigurator.msi
E para executá-lo, rode o seguinte comando:
windows\system32>"C:\Program Files\CoreConfigurator\CoreConfigurator.exe"
Agora sim! Chega de ficar copiando scripts...
HugZ,
Artur Higashiyama Microsoft Most Valuable Professional - Directory Services IT Central - www.itcentral.com.br Mega-Evento dia 21/06No dia 21/06 vai acontecer um Mega-Evento organizado pelas comunidades Microsoft.
Será o União Dot.NET v3.5.
Trata-se de uma união das maiores comunidades de desenvolvedores da Microsoft do Brasil e dessa vez a IT Central foi convidada para agregar conteúdo na parte de infra-estrutura.
Eu vou participar falando sobre como está o mercado de trabalho para os profissionais da Microsoft. Vai ser muito interessante, tanto para quem vai iniciar nessa área como para quem já está nesse caminho faz tempo.
O evento é gratuito!
Link para inscrição e maiores detalhes:
HugZ,
Artur Higashiyama 6/9/2008 MVP Summit 2008O MVP Summit 2008 foi em abril, mas agora eu publico um vídeo feito pela Microsoft ilustrando o que é exatamente o Summit.
Video: MVP Summit 2008 Opening 6/2/2008 RODC Windows 2008 Compatibility PackSe você for utilizar o RODC em um ambiente misto (isto é, XP e 2003), então você precisa fazer o download do "RODC Windows 2008 Compatibility Pack".
O pacote serve para oferecer suporte ao famoso "mixed mode operations", que aqui no Brasil é uma realidade freqüente. Afinal, as empresas ainda estão migrando para o Windows Server 2003 e Windows XP; Windows Vista e Windows Server 2008 são casos isolados e raros.
Entretanto, como XP e 2003 não foram projetados para lidar com os "checks" e "flags" adicionais introduzidos pelo RODC, algumas funcionalidades ainda não funcionam adequadamente.
Para ver a lista de problemas conhecidos, as correções e os "workarounds", acesse o KB oficial:
HugZ, Artur Higashiyama Microsoft Most Valuable Professional - Directory Services IT Central - www.itcentral.com.br 5/27/2008 Como modificar as permissões de usuários e grupos de gerenciamento do RODCNo MMC (Microsoft Management Console) do Active Directory Users and Computers, escolha a pasta Domain Controllers, selecione o computador RODC, entre nas Propriedades e acesse a guia Managed By.
No campo Select User or Group, você pode configurar as permissões dos usuários e grupos que podem gerenciar o seu RODC.
OBS: Repare que cada RODC pode ter diferentes administradores que não são necessariamente Domain Administrators. Os administradores do RODC podem ser Domain Users com permissões de gerenciamento de um específico RODC.
HugZ, Artur Higashiyama Microsoft Most Valuable Professional - Directory Services IT Central - www.itcentral.com.br 5/22/2008 IT Central - Entrevista - Rodolfo RoimApós o MVP Summit, tive a oportunidade de entrevistar o nosso MVP Lead do Brasil, o Rodolfo Roim.
Foi um bate-papo bem informal, no qual conversamos a respeito da comunidade Microsoft, do programa MVP e do trabalho dele junto aos MVPs brasileiros.
O vídeo foi publicado hoje no site da IT Central:
HugZ, Artur Higashiyama Microsoft Most Valuable Professional - Directory Services IT Central - www.itcentral.com.br 5/19/2008 Como verificar se a senha de um usuário está (ou pode ser) armazenada em um RODCVá até as Propriedades do Computador no RODC. Acesse a guia "Password Replication Policy" e clique no botão "Advanced" (Avançado). O computador mostrará as contas que possuem a senha armazenada no RODC.
O administrador pode utilizar o botão "Prepopulate Passwords" (Pré-armazenar Senhas) na caixa de diálogo do "Advanced Password Replication Policy" para acelerar o processo de logon dos usuários na primeira vez.
DICA: Você pode usar utilitários como o "Proactive Password Auditor" (http://www.elcomsoft.com/ppa.html) para verificar as senhas armazenadas. Contas que não são permitidas o armazenamento aparecerão como vazias. Este utilitário pode inclusive zerar o cache do RODC.
HugZ, Artur Higashiyama - MVP Windows Server System - Directory Services IT Central - www.itcentral.com.br 5/16/2008 Como controlar a replicação de senhas e caching de credenciais no RODCPor padrão, um RODC não armazena nenhuma senha de usuário ou computador. Você pode alterar essa política através do PRP (Password Replication Policy - Política de Replicação de Senha).
Para alterar o PRP, vá até as Propriedades do Computador do RODC e acesse a guia do PRP. Clique na opção "Allowed RODC Password Replication" e você verá a tela de Adicionar Grupos, Usuários e Computadores. A seguir, selecione o check-box "Allow passwords for the account to replicate to this RODC".
Certos membros dos grupos essenciais, como os administradores e "server operators" (operadores de servidor), são excluídos (negados) por padrão, e o status de negado sempre irá prevalecer sobre o status de permitido. Apenas os usuários pertencentes ao "Allowed RODC Password Replication Group" podem ter as suas credenciais armazenadas.
Best Practices (Práticas Recomendadas):
Uma política padrão deve criar um grupo para cada filial (branch office) com um RODC, e adicionar os usuários das respectivas filiais. Depois o administrador pode permitir a replicação de senhas para o grupo, para o RODC correspondente.
HugZ, Artur Higashiyama - MVP Windows Server System - Directory Services IT Central - www.itcentral.com.br 5/15/2008 Como criar um "unattended answer file" (arquivo de instalação automatizada) para uma promoção de um DCO arquivo é no formato TXT com vários parâmetros que dependem do tipo de promoção (ou remoção) do DC. A melhor opção no caso do Windows Server 2008 é rodar o Dcpromo em um servidor Server 2008 e especificar todos os parâmetros desejados. Então, na última tela, clicar em "Export Settings" (Exportar Configurações). Com isso, você obterá um arquivo TXT com o conteúdo necessário para automatizar o Dcpromo. Note que você precisa entrar com o "SafeModeAdminPassword", e você pode querer entrar com a senha da conta para a promoção do servidor, a não ser que você entre com a senha durante o processo de promoção. O código abaixo é o arquivo gerado para um novo RODC em um domínio existente: ; Se você deixar os parâmetros de "Password" e/ou "DNSDelegationPassword"
Para utilizar o arquivo, adicione o parâmetro /unattend, como no exemplo abaixo: dcpromo.exe /unattend:C:\temp\answerfile.txt
HugZ, Artur Higashiyama - MVP Windows Server System - Directory Services IT Central - www.itcentral.com.br
|
Lista de blogs que eu leio dos meus amigos da Microsoft Brasil
Lista de blogs que eu leio dos meus amigos MVPs
Lista de blogs críticos da Microsoft - Porque é sempre bom ouvir os 2 lados...
Lista de downloads úteis para o dia-a-dia
Softwares Não-Microsoft que eu utilizo
Lista de blogs que eu leio de funcionários da Microsoft Corporation
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Invite as friend
Profile
Blog
Photos
Lists