Planejamento Ad

Recursos adicionais

Planejando um projeto de implantação do Active Directory C A P Í T U L O

1

Ao implantar o serviço de diretório Active Directory do Microsoft ® Windows® Server 2003 em seu ambiente, você pode obter os benefícios do modelo administrativo centralizado e delegado e a capacidade de logon único proporcionada por ele. Após identificar o ambiente atual e as metas de implantação de sua organização, você pode criar uma estratégia de implantação do Active Directory que melhor atenda às necessidades da organização. Testar a implantação em um ambiente de laboratório isolado e refiná-la em áreas piloto selecionadas de seu ambiente de produção ajudam a assegurar uma implantação tranqüila em toda a organização.

Neste capítulo Visão geral do planejamento de um projeto de implantação do Active Directory....4 Determinando o design e a estratégia de implantação de seu Active Directory.....8 Testando e verificando o processo de implantação...............................................21 Recursos adicionais............................................................................................... 31

Informações relacionadas 

Para obter mais informações sobre planejamento, teste e condução de um projeto piloto de implantação, consulte “Criando um ambiente de teste” e “Planejando e testando para implantação de aplicativos”, em Planejando, testando e conduzindo projetos pilotos de implantação, neste kit.



Para obter mais informações sobre a implantação do DNS (Sistema de Nome de Domínio) do Windows Server 2003, consulte “Implantando DNS”, em Implantando serviços de rede, neste kit.



Para obter mais informações sobre Diretiva de Grupo, consulte o Guia de Serviços Distribuídos do Kit de Recursos do Microsoft® Windows® Server 2003 (ou consulte o Guia de Serviços Distribuídos na Web em http://www.microsoft.com/reskit).

3

4

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Visão geral do planejamento de um projeto de implantação do Active Directory O Active Directory, nos sistemas operacionais Microsoft ® Windows® Server 2003, Standard Edition; Windows® Server 2003, Enterprise Edition e Windows® Server 2003, Datacenter Edition, permite às organizações simplificar o gerenciamento de usuários e recursos, ao mesmo tempo em que cria uma infraestrutura escalonável, segura e gerenciável. É possível usar o Active Directory para gerenciar sua infraestrutura de rede, inclusive filiais, o Microsoft® Exchange Server e ambientes de várias florestas. Embora as diretrizes apresentadas neste livro sejam apropriadas para quase todas as implantações de gerenciamento de NOS (sistema operacional de rede), elas foram testadas e validadas especificamente para ambientes que contêm menos de 100.000 usuários e menos de 1.000 sites, com conexões de rede de um mínimo de 28,8 kbps (kilobits por segundo). Se seu ambiente não atender a esses critérios, considere usar uma firma de consultoria com experiência na implantação do Active Directory em ambientes mais complexos. Implantar o Active Directory proporciona os seguintes benefícios à sua organização: 

Administração e gerenciamento de recursos simplificados. É possível delegar a administração a todos os níveis da organização e usar Diretivas de Grupo para centralizá-la.



Maior segurança de rede e logon único para usuários. O Active Directory oferece suporte a vários protocolos de autenticação e certificados X.509, bem como a cartões inteligentes.



Interoperabilidade com outros serviços de diretório. O Active Directory fornece interfaces abertas baseadas em padrões que interoperam com outros aplicativos e serviços de diretório, como aplicativos de email.



Recursos que reduzem os custos administrativos, aumentam a segurança e proporcionam funcionalidade adicional. As partições de diretório de aplicativos permitem a definição de configurações para replicação de dados específicos a aplicativos nos controladores de domínio. Ao elevar os níveis funcionais de domínio ou floresta para o Windows Server 2003, você pode fazer o seguinte: 

Renomear domínios e controladores de domínio



Estabelecer confiança bidirecional entre florestas



Reestruturar florestas



Aprimorar a replicação



Remover algumas limitações em ambientes com grande número de sites

Recursos adicionais

Embora o design e as estratégias de implantação do Active Directory do Windows Server 2003 apresentados neste livro se baseiem em exaustivo teste de laboratório e de programa piloto e em implementação com êxito em ambientes de clientes, convém personalizar o design e a implantação de seu Active Directory para um melhor ajuste a ambientes específicos e complexos. Para obter mais informações sobre a implantação do Active Directory em ambiente de filiais, consulte o Guia de Planejamento de Filiais do Active Directory. Para obter mais informações sobre a implantação do Active Directory em ambiente Exchange, consulte Práticas Recomendadas de Design do Active Directory para Exchange 2000. Para obter mais informações sobre a implantação do Active Directory em ambiente de várias florestas, consulte Considerações sobre Várias Florestas. Para fazer download desses guias, consulte o link Active Directory na página Web Resources (Recursos na Web), em http://www.microsoft.com/windows/reskits/webresources (em inglês), e clique em “Planning & Deployment Guides”. Este livro também oferece fluxogramas, ajudas de trabalho e exemplos de implantação para auxiliá-lo a otimizar o design e o processo de implantação de seu Active Directory.

Processo de planejamento de um projeto de implantação do Active Directory Para planejar um projeto de implantação do Active Directory do Windows Server 2003, determine primeiramente o design e a estratégia de implantação, testando-os e verificando-os em seguida. A Figura 1.1 mostra o processo de planejamento do projeto de implantação de seu Active Directory. Figura 1.1 Planejando um projeto de implantação do Active Directory

5

6

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Informações gerais do Active Directory Antes de criar e implantar o Active Directory do Windows Server 2003, familiarize-se com o ciclo do projeto de implantação do Active Directory, bem como com os termos a ele relacionados necessários durante o processo de implantação do Active Directory do Windows Server 2003.

Ciclo do projeto de implantação do Active Directory Um projeto de implantação do Active Directory compreende três fases: uma fase de design, uma fase de implantação e uma fase de operações. Durante a fase de design, a equipe de design cria um projeto para a estrutura lógica do Active Directory que melhor atenda às necessidades de cada divisão da organização que usará o serviço de diretório. Aprovado o projeto, a equipe de implantação testa o design em ambiente de laboratório e, em seguida, faz a implementação no ambiente de produção. Como o teste é executado pela equipe de implantação e, potencialmente, afeta a fase de design, pois trata-se de uma atividade intermediária que se refere tanto ao design, quanto à implantação. Concluída a implantação, a equipe de operações fica responsável pela manutenção do serviço de diretório. O teste de laboratório e a implementação de um programa piloto continuam por todo o tempo de vida da implantação do Active Directory. A Figura 1.2 mostra a relação entre as fases do ciclo do projeto do Active Directory referente ao tempo de vida do projeto de implantação. Figura 1.2 Relação entre as fases do ciclo do projeto do Active Directory

Recursos adicionais

Termos e definições Os termos a seguir são importantes para a compreensão do processo de implantação do Active Directory do Windows Server 2003.

Domínio do Active Directory Uma unidade administrativa em uma rede computacional que, por questão de conveniência gerencial, agrupa diversos recursos, dentre os quais: 

Identidade de usuário em nível de rede. Os domínios permitem que identidades de usuário sejam criadas uma vez e ganhem referência em qualquer computador que esteja unido à floresta em que o domínio está localizado. Os controladores de domínio que constituem um domínio são usados para armazenar contas e credenciais de usuários, como senhas ou certificados, de maneira segura.



Autenticação. Os controladores de domínio fornecem serviços de autenticação de usuários e disponibilizam dados de autorização adicionais, como associações em grupos de usuários. Esses serviços podem ser usados para controlar o acesso a recursos da rede.



Relações de confiança. Os domínios estendem os serviços de autenticação para usuários em outros domínios de sua própria floresta, por meio de relações de confiança bidirecionais automáticas, e para usuários em domínios de outras florestas, por meio de relações de confiança externas ou de florestas criadas manualmente.



Administração de diretivas. O domínio é um escopo de diretrizes administrativas, como complexidade e regras para reutilização de senhas.



Replicação. O domínio define uma partição da árvore de diretório que fornece os dados adequados para proporcionar os serviços necessários e que são replicados entre os controladores de domínio. Dessa forma, todos os controladores de domínio são pares em um domínio e são gerenciados como uma unidade.

Floresta do Active Directory Um conjunto de um ou mais domínios do Active Directory que compartilha estrutura lógica, esquema de diretório e configuração de rede comuns, bem como relações de confiança transitivas, bidirecionais e automáticas. Cada floresta é uma instância única do diretório e define um limite de segurança.

Nível funcional do Active Directory Uma configuração do Active Directory do Windows Server 2003 que habilita recursos avançados em nível de domínio ou de floresta.

7

8

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Migração O processo de mover um objeto de um domínio de origem para um domínio de destino, preservando-se ou modificando-se suas características para torná-lo acessível no novo domínio.

Reestruturação de domínio Um processo de migração que envolve a modificação da estrutura de domínio de uma floresta. Uma reestruturação de domínio pode abranger a consolidação ou a adição de domínios e pode acontecer dentro de uma floresta ou entre florestas.

Consolidação de domínio Um processo de reestruturação que compreende a eliminação de domínios do Microsoft® Windows NT® 4.0 ou do Active Directory, mesclando seus conteúdos com o conteúdo de outros domínios.

Atualização de domínio O processo de atualizar o serviço de diretório de um domínio para uma versão posterior do serviço de diretório. Isso compreende atualizar o sistema operacional em todos os controladores de domínio e elevar o nível funcional do Active Directory, onde aplicável.

Atualização de domínio in-loco O processo de atualização do sistema operacional em todos os controladores de domínio que se baseiam no sistema operacional Windows NT 4.0 ou no Microsoft® Windows® 2000 e elevar o nível funcional do domínio, se aplicável, embora deixando objetos do domínio, como usuários e grupos, in loco.

Domínio regional Um domínio filho criado com base em uma região geográfica para otimizar o tráfego de replicação.

Determinando o design e a estratégia de implantação de seu Active Directory Após realizar uma avaliação de nível alto de seu ambiente atual e determinar as metas de implantação de seu Active Directory, você poderá determinar a estratégia de implantação que melhor funcione para seu ambiente. A Figura 1.3 mostra as etapas para a definição do processo de implantação de seu Active Directory.

Recursos adicionais

Figura 1.3 Determinando o design e a estratégia de implantação

A estratégia de implantação do Active Directory a ser aplicada varia de acordo com a configuração da rede existente. Por exemplo, se sua organização atualmente executa o Windows 2000, você pode simplesmente atualizar seu sistema operacional para o Windows Server 2003. Se sua organização executa atualmente o Windows NT 4.0 ou um sistema operacional que não seja o Windows, será necessário, todavia, criar uma infra-estrutura do Active Directory antes de fazer a atualização para o Windows Server 2003. Seu processo de implantação pode envolver a reestruturação de domínios existentes, seja dentro de uma floresta, seja entre florestas do Active Directory. Talvez seja necessário reestruturar os domínios existentes após implantar o Active Directory do Windows Server 2003 ou após fazer alterações organizacionais ou aquisições corporativas. Também é possível reestruturar domínios a partir de um ambiente Windows NT 4.0 para uma floresta do Active Directory, para atualizar seu ambiente de produção para o Windows Server 2003.

9

10

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

A Tabela 1.1 lista os possíveis pontos de partida e metas para uma implantação do Active Directory do Windows Server 2003 e as etapas de implantação e os capítulos correspondentes neste livro que se aplicam a cada um deles. Tabela 1.1 Ambiente atual, metas e capítulos correspondentes para implantação do Active Directory do Windows Server 2003 Ambiente

Nova organização

Metas de implantação

Capítulos correspondentes

Criar projeto de floresta, domínio, DNS e unidade organizacional.

Capítulo 2: “Criando a estrutura lógica do Active Directory”

Criar projeto de um site e link do site.

Capítulo 3: “Criando a topologia de site”

Avaliar requisitos de hardware.

Capítulo 4: “Planejando a capacidade dos controladores de domínio”

Implantar domínio raiz de floresta.

Capítulo 6: “Implantando o domínio raiz de floresta do Windows Server 2003”

Implantar domínios regionais.

Capítulo 7: “Implantando domínios regionais do Windows Server 2003”

Elevar os níveis Capítulo 5: “Habilitando recursos avançados do funcionais de domínio e Active Directory do Windows Server 2003” floresta. Windows NT 4.0

Criar projeto de floresta, domínio, DNS e unidade organizacional.

Capítulo 2: “Criando a estrutura lógica do Active Directory”

Criar projeto de um site e link do site.

Capítulo 3: “Criando a topologia de site”

Avaliar requisitos de hardware.

Capítulo 4: “Planejando a capacidade dos controladores de domínio”

Implantar domínio raiz de floresta.

Capítulo 6: “Implantando o domínio raiz de floresta do Windows Server 2003”

Implantar domínios regionais.

Capítulo 7: “Implantando domínios regionais do Windows Server 2003”

Atualizar domínios do Capítulo 8: “Atualizando domínios do Windows NT 4.0 in-loco Windows NT 4.0 para Active Directory do que continuarão Windows Server 2003” fazendo parte da estrutura de domínio de seu Active Directory.

Recursos adicionais

Reestruturar outros domínios do Windows NT 4.0.

11

Capítulo 10: “Reestruturando domínios do Windows NT 4.0 para uma floresta do Active Directory”

Elevar os níveis Capítulo 5: “Habilitando recursos avançados do funcionais de domínio e Active Directory do Windows Server 2003” floresta.

Windows 2000

Atualizar controladores de domínio do Windows 2000.

Capítulo 9: “Atualizando domínios do Windows 2000 para domínios do Windows Server 2003”

Elevar os níveis Capítulo 5: “Habilitando recursos avançados do funcionais de domínio e Active Directory do Windows Server 2003” floresta.

12

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

A Tabela 1.2 lista as metas e os capítulos correspondentes que se aplicam à reestruturação de domínios dentro de uma floresta ou entre florestas. Tabela 1.2 Metas e capítulos correspondentes para reestruturação de domínios do Active Directory Ação

Reestruturar domínios dentro de uma floresta

Reestruturar domínios entre florestas

Metas de implantação

Capítulos correspondentes

Criar projeto de floresta, domínio, DNS e unidade organizacional.

Capítulo 2: “Criando a estrutura lógica do Active Directory”

Criar projeto de um site e link do site.

Capítulo 3: “Criando a topologia de site”

Usar uma ferramenta, como a ADMT (ferramenta de migração do Active Directory), para reestruturar domínios dentro de uma floresta.

Capítulo 12: “Reestruturando domínios do Active Directory dentro de uma floresta”

Criar projeto de floresta, domínio, DNS e unidade organizacional.

Capítulo 2: “Criando a estrutura lógica do Active Directory”

Criar projeto de um site e link do site.

Capítulo 3: “Criando a topologia de site”

Usar uma ferramenta como Capítulo 11: “Reestruturando a ADMT para reestruturar domínios do Active Directory domínios entre florestas. entre florestas”

Determinando os requisitos de design de seu Active Directory Se seu ambiente de rede atualmente operar sem um serviço de diretório, ou se for necessário modificar sua infra-estrutura atual do Active Directory, efetue o processo de design de infra-estrutura do Active Directory. É necessário realizar um design abrangente da estrutura lógica de seu Active Directory antes de implantá-lo. Preparar minuciosamente o design de seu Active Directory é essencial para obter uma implantação econômica.

Design da estrutura lógica Antes de implantar o Active Directory do Windows Server 2003, é necessário planejar e criar a estrutura lógica do Active Directory para seu ambiente. A estrutura lógica do Active Directory determina como os objetos de diretório são organizados e proporciona um método eficaz de gerenciamento das contas e dos recursos compartilhados de sua rede. Ao criar a estrutura lógica do Active Directory, você define uma parte significativa da infra-estrutura de rede de sua organização.

Recursos adicionais

Para criar a estrutura lógica do Active Directory, determine o número de florestas necessárias para sua organização e, em seguida, crie projetos para domínios, DNS e unidades organizacionais.

13

14

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Design da topologia de site Após criar a estrutura lógica para a infra-estrutura de seu Active Directory, é necessário criar a topologia de site para sua rede. A topologia de site é uma representação lógica de sua rede física. Ela contém informações sobre a localização dos sites do Active Directory, os controladores de domínio do Active Directory de cada site e os links dos sites que oferecem suporte à replicação do Active Directory entre sites.

Planejamento da capacidade dos controladores de domínio Para garantir um desempenho eficaz do Active Directory, é necessário determinar o número apropriado de controladores de domínio para cada site e verificar se eles atendem aos requisitos de hardware do Windows Server 2003. Um planejamento cuidadoso da capacidade de seus controladores de domínio assegura que os requisitos de hardware não sejam subestimados, o que poderia causar um mau desempenho dos controladores de domínio e do tempo de resposta dos aplicativos.

Recursos avançados do Active Directory Os níveis funcionais do Active Directory do Windows Server 2003 permitem a habilitação de novos recursos, como replicação de associação de grupo aprimorada, desativação e redefinição de atributos e classes no esquema e relações de confiança de floresta que exigem que todos os controladores de domínio no interior do domínio ou da floresta participante executem o Windows Server 2003. Parte do processo de design do Active Directory envolve a identificação dos níveis funcionais de domínio e floresta de que sua organização necessita. Para implementar esses recursos do Active Directory do Windows Server 2003 em sua organização, é necessário implantar primeiro o Active Directory e, em seguida, elevar a floresta e o domínio para o nível funcional apropriado.

Determinando os requisitos de implantação de seu Active Directory A estrutura do ambiente existente é que determina a estratégia de implantação do Active Directory do Windows Server 2003. Se você estiver criando um ambiente do Active Directory e não houver uma estrutura de domínio existente, será necessário concluir o design de seu Active Directory antes de criar o ambiente. Em seguida, você poderá implantar um novo domínio raiz de floresta e o restante de sua estrutura de domínio, de acordo com seu design.

Raiz de floresta do Windows Server 2003 Para implantar o Active Directory, é necessário implantar primeiro o domínio raiz de floresta do Windows Server 2003. Para tanto, é necessário configurar o DNS, implantar controladores de domínio raiz de floresta, configurar a topologia de site para o domínio raiz da floresta e configurar as funções de mestre de operações.

Recursos adicionais

15

Domínios regionais do Windows Server 2003 Se você estiver criando um ou mais domínios regionais novos em uma floresta do Windows Server 2003, será necessário implantar cada domínio regional após a implantação do domínio raiz da floresta. Para tanto, é necessário delegar uma zona DNS e implantar controladores de domínio para cada domínio regional.

Atualização de domínios do Windows NT 4.0 para o Windows Server 2003 Ao realizar uma atualização in-loco de domínios do Windows NT 4.0, é possível começar a usar o Active Directory sem ter que fazer nenhuma modificação na estrutura de domínio existente. Como alternativa, caso você não deseje preservar a estrutura de domínio existente, reestruture os domínios do Windows NT 4.0 para uma floresta do Windows Server 2003. Para obter mais informações sobre a reestruturação de domínios do Windows NT 4.0 para uma floresta do Windows Server 2003, consulte "Determinando seus requisitos de reestruturação", mais adiante neste capítulo.

Atualização de domínios do Windows 2000 para o Windows Server 2003 Atualizar seus domínios do Windows 2000 para o Windows Server 2003 é um modo eficiente e direto de aproveitar os recursos e a funcionalidade adicional do Windows Server 2003. A atualização do Windows 2000 para o Windows Server 2003 requer configuração de rede mínima e tem pouco impacto nas operações do usuário.

Determinando seus requisitos de reestruturação Como parte da implantação do Active Directory, talvez seja conveniente reestruturar seu ambiente. Antes de fazer isso, é necessário determinar quando e como é desejável reestruturar o ambiente. Organizações com estrutura de domínio do Windows NT 4.0 existente podem preferir realizar uma atualização in-loco de alguns domínios e reestruturar outros. Além disso, você pode decidir reduzir a complexidade do ambiente, reestruturando domínios entre florestas ou reestruturando domínios dentro de uma floresta, após a implantação do Active Directory.

Reestruturação de domínios do Windows NT 4.0 para uma floresta do Windows Server 2003 Devido a sua maior escalabilidade, um ambiente do Active Directory do Windows Server 2003 requer menos domínios do que um ambiente do Windows NT 4.0. Em vez de executar uma atualização in-loco de seus domínios do Windows NT 4.0, talvez seja mais eficiente consolidar uma série de domínios menores de contas e recursos do Windows NT 4.0 em alguns domínios maiores do Active Directory.

16

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Reestruturação de domínios do Active Directory entre florestas Ao reestruturar domínios entre florestas do Windows Server 2003, você pode reduzir o número de domínios em seu ambiente e, assim, reduzir a complexidade e a sobrecarga administrativa. Quando objetos são migrados entre florestas, como parte do processo de reestruturação, os ambientes de domínio de origem e de destino existem simultaneamente. Isso permite a reversão para o ambiente de origem durante a migração, se necessário.

Reestruturação de domínios do Active Directory intrafloresta Ao reestruturar domínios do Windows Server 2003 dentro de uma floresta do Windows Server 2003, você pode consolidar sua estrutura de domínio e, assim, reduzir a complexidade e a sobrecarga administrativa. Ao contrário do processo de reestruturação de domínios do Windows Server 2003 entre florestas, quando domínios são reestruturados dentro de uma floresta, as contas migradas não existem mais no domínio de origem. A Tabela 1.3 lista as diferenças entre uma reestruturação de domínios entre florestas e intrafloresta. Tabela 1.3 Diferenças entre reestruturações de domínios entre florestas e intrafloresta Consideração de migração

Reestruturação entre florestas

Reestruturação intrafloresta

Preservação de objetos

Os objetos são copiados, e não migrados. O objeto original permanece no local de origem para manter o acesso dos usuários aos recursos.

Os objetos são migrados e não existem mais no local de origem.

Manutenção de histórico SID

A manutenção de histórico SID é opcional.

O histórico SID é obrigatório.

Retenção de senha

A retenção de senha é opcional.

As senhas são sempre retidas.

Migração de perfil de local

É necessário usar ferramentas como a ADMT para migrar perfis de local.

No caso de estações de trabalho que executam o Windows 2000 e posteriores, os perfis de local são migrados automaticamente, uma vez que a GUID de usuário é preservada. Entretanto, é necessário usar ferramentas como a ADMT para migrar perfis de local de estações de trabalho que executam o Windows NT 4.0 ou

Recursos adicionais

anterior. Conjuntos fechados

Não é necessário migrar contas em conjuntos fechados.

É necessário migrar contas em conjuntos fechados.

17

18

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Exemplo: estabelecendo uma estratégia de implantação do Active Directory Para ilustrar o processo de implantação do Active Directory, os capítulos deste livro apresentam um exemplo de como uma empresa fictícia, a Contoso Pharmaceuticals, implanta o Active Directory em seu ambiente. O ambiente da Contoso consiste em quatro domínios, todos os quais executam o Active Directory do Windows 2000. A Figura 1.4 mostra a estrutura de domínio atual da corporação Contoso. Figura 1.4 Estrutura de domínio da corporação Contoso

Após analisar o ambiente existente e identificar suas metas de implantação, a Contoso estabeleceu a seguinte estratégia de implantação do Active Directory: 

Atualizar domínios do Windows 2000 para domínios do Windows Server 2003



Habilitar recursos avançados do Active Directory, elevando os níveis funcionais de domínio e floresta.

Após atualizar todos os domínios do Windows 2000 para o Windows Server 2003, a Contoso reestruturará o domínio africa.concorp.contoso.com dentro da floresta para consolidá-lo com o domínio emea.concorp.contoso.com.

Recursos adicionais

19

A corporação Contoso está adquirindo uma empresa chamada Trey Research, que atualmente executa um ambiente com base no Windows NT 4.0, como mostrado na Figura 1.5. Figura 1.5 Ambiente atual da Trey Research

A Contoso estabeleceu a seguinte estratégia de implantação do Active Directory para a aquisição da Trey Research: 

Design da estrutura lógica do Active Directory, para criar projetos de floresta, domínio, DNS e unidade organizacional para o novo ambiente do Windows Server 2003.



Design da topologia de site, para criar os sites, links de site e pontes de links de site necessários.



Planejamento de capacidade de controladores de domínio, para determinar os requisitos de hardware do novo ambiente do Windows Server 2003.



Implantação de trccorp.treyresearch.net como domínio raiz de floresta.



Implantação de três domínios regionais. Equipes diferentes podem criar esses domínios simultaneamente. 

Atualização do domínio EAST para o Windows Server 2003, de modo a se tornar east.trccorp.treyresearch.net.



Criação de dois novos domínios regionais do Windows Server 2003, denominados asia.trccorp.treyresearch.net e west.trccorp.treyresearch.net.



Reestruturação dos domínios BOSTON, MAIL-APPS, PROD-APPS e OFFICE-APPS para o domínio do Windows Server 2003 east.trccorp.treyresearch.net, usando ADMT.



Elevação dos níveis funcionais de domínio e floresta para o Windows Server 2003.

A Figura 1.6 mostra o ambiente intermediário da Trey Research.

20

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Figura 1.6 Ambiente intermediário da Trey Research

Em um momento posterior, a Contoso estabeleceu que um único domínio para as regiões Europa, Oriente Médio e Ásia seria mais econômico, de modo que a etapa final do processo de implantação foi reestruturar asia.trccorp.treyresearch.net no domínio emea.concorp.contoso.com na floresta da Contoso, usando ADMT. A Figura 1.7 mostra a estrutura de domínio da corporação Contoso após a aquisição da Trey Research e da conclusão do processo de implantação do Active Directory do Windows Server 2003. Figura 1.7 Ambiente final da Contoso e da Trey Research

Recursos adicionais

21

Testando e verificando o processo de implantação Em toda a implantação do Active Directory, é possível minimizar o impacto em operações comerciais normais testando as suposições de design e verificando o processo de implantação em um programa piloto. À medida que você for criando o primeiro esboço de design de seu Active Directory, comece o teste e a verificação. Os testes e as verificações têm início durante a fase de design e continuam nas fases de implantação e de operações. A Figura 1.8 mostra o processo de teste e verificação do design e da implantação do Active Directory. Figura 1.8 Testando e verificando o design e a implantação do Active Directory

Testando o design e a implantação em ambiente de laboratório O teste de laboratório é a primeira avaliação do design do Active Directory. Durante o teste laboratorial, é possível confirmar as suposições feitas pelos arquitetos de design. À medida que o primeiro esboço de design do Active Directory for ficando pronto, comece a testar suposições de design específicas do processo de implantação em ambiente de laboratório. Testando o processo de implantação em laboratório, é possível descobrir problemas de design em potencial que podem afetá-lo e apresentar comentários à equipe de design para corrigir os problemas antes da implantação.

22

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Verifique se o ambiente de laboratório de teste está isolado do resto da rede de produção de sua organização e represente, em uma escala pequena, a configuração de hardware e sistema operacional dos computadores na organização. Inclua controladores de domínio no ambiente de laboratório suficientes para oferecer suporte a uma amostra representativa de seu design de site, inclusive parceiros de replicação intra-site e entre sites, links de site e intervalos de replicação realistas. Inclua contas de usuário e de grupo e outros recursos exclusivamente designados para o teste. Garanta que seu ambiente de teste dê acesso a configurações de teste de serviços externos, como acesso ao mainframe ou à Internet, conforme a necessidade. Preserve o laboratório para testar novos procedimentos e treinar a equipe de implantação. A equipe de implantação pode usar o ambiente de laboratório para conhecer as especificidades de seu processo de implantação e ganhar familiaridade com as ferramentas de implantação e migração usadas durante a implantação do Active Directory. Normalmente, os testes de suposições de design e os testes do processo de implantação são realizados por equipes diferentes. A Tabela 1.4 lista os testes de laboratório e os membros de equipe que os realizam no laboratório. Tabela 1.4 Testes de laboratório e membros de equipe correspondentes Processo de teste

Testar suposições de design

Testar processo de implantação

Testes de laboratório

Membros de equipe

Analisar a replicação e a topologia de site do Active Directory.

Equipe de design, proprietário da topologia de site e equipe de implantação.

Testar compatibilidade de aplicativos e área de trabalho.

Equipe de design.

Testar a recuperação de desastres.

Proprietário da floresta e equipe de implantação.

Testar a migração de contas e recursos.

Proprietário da floresta e equipe de implantação.

Avaliar delegação, administração e gerenciamento.

Proprietário da floresta.

Testando suposições de design Durante o processo de design, a equipe de design faz suposições que são incorporadas ao design do Active Directory, como replicação e compatibilidade de aplicativos. Depois que a equipe conclui um esboço preliminar do design, ela deve por à prova essas suposições no ambiente de laboratório. Para testar as suposições de design no ambiente de laboratório, a equipe de design deve: 

Analisar a replicação e a topologia de site do Active Directory.

Recursos adicionais



Desenvolver um plano de teste e, em seguida, testar a compatibilidade de aplicativos e área de trabalho.

23

24

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Analisar a replicação e a topologia de site do Active Directory O design da topologia de site especifica à latência máxima de replicação. Trata-se da quantidade de tempo necessária para replicar alterações em toda a floresta. A equipe de design deve verificar se a latência de replicação em nível de floresta é menor ou igual à latência máxima de replicação especificada no design. A equipe deve realizar um teste de caso extremo, com base no número máximo de saltos pressupostos no design. A equipe deve observar o tempo necessário para a convergência de replicação quando um controlador de domínio ou link de comunicações falha.

Para analisar a replicação entre sites e o failover de sites do Active Directory 1. Identifique os controladores de domínio responsáveis pela replicação entre sites, usando os Sites e Serviços do Active Directory. 2. Desconecte os controladores de domínio ou desabilite os links de comunicações usados em replicação entre sites. 3. Permita que o KCC (Verificador de Consistência de Conhecimento) configure automaticamente a nova topologia de replicação. 4. Identifique os controladores de domínio responsáveis agora pela replicação entre sites. 5. Reconecte os controladores de domínio ou habilite os links de comunicações. 6. Verifique se a topologia de replicação entre sites retorna ao estado original, conforme identificado na etapa 1.

Verificar compatibilidade de aplicativos e área de trabalho A equipe de design também deve determinar a compatibilidade entre aplicativos, os sistemas operacionais de área de trabalho e o Active Directory. Normalmente, os aspectos de teste de aplicativos afetados por uma migração ou atualização do Active Directory abrangem aplicativos executados em servidores e computadores clientes, além do uso por acesso remoto. Verifique as suposições de design de compatibilidade de aplicativos e área de trabalho, criando uma lista com todos os aplicativos críticos. Faça com que os membros da equipe de design testem cada aplicativo para verificar se ele opera corretamente no ambiente migrado. Ao verificar a compatibilidade de aplicativos e área de trabalho, verifique se: 

Os aplicativos de servidor existentes, como aqueles em execução atualmente em um BDC (controlador de domínio de backup) do Windows NT 4.0, podem ser executados em servidores membros e controladores de domínio baseados no Windows Server 2003. Por exemplo, alguns aplicativos de servidor executados em BDCs aproveitam os Grupos Locais Compartilhados. Para executar esses aplicativos de servidor em um controlador de domínio baseado no Windows Server 2003, verifique se os aplicativos são executados corretamente, usando grupos locais de domínio do Active Directory.



Os aplicativos de servidores executados em um misto de servidores baseados no Windows Server 2003 e no Windows NT 4.0 conseguem interoperar uns com os outros. Por exemplo, verifique se um servidor baseado no Windows Server 2003, executando o Microsoft® SQL Server™, consegue interagir com um servidor com base no Windows NT 4.0 executando o mesmo aplicativo.

Recursos adicionais



Os aplicativos de área de trabalho existentes podem ser executados corretamente, quando a infra-estrutura de domínio é migrada para o Active Directory do Windows Server 2003.



Os aplicativos existentes que usam segurança Windows integrada podem ser executados corretamente, quando a infra-estrutura de domínio é migrada para o Active Directory do Windows Server 2003.

25

Se você descobrir que um aplicativo de servidor não pode ser migrado para um controlador de domínio com base no Windows Server 2003, tente reinstalar o aplicativo ou uma versão posterior do aplicativo em um servidor membro baseado no Windows Server 2003. Se o aplicativo não puder ser executado em um servidor que executa o Windows Server 2003, você poderá continuar executando o aplicativo em um servidor em que o Windows NT 4.0 ou Windows 2000 seja executado. Comente com a equipe de design que o domínio do aplicativo de servidor não pode ser atualizado in-loco ou consolidado e deve permanecer até que esteja disponível uma versão do aplicativo que possa ser executada em um controlador de domínio com base no Windows Server 2003. Como meta de implantação de longo prazo, faça a transição de todo aplicativo executado atualmente em controladores de domínio para servidores membros.

Testando o processo de implantação Em um ambiente de laboratório, antes de começar o programa piloto, a equipe de implantação deve testar tarefas específicas essenciais para o processo de implantação do Active Directory, como a migração de contas e recursos do Windows NT 4.0 para o Active Directory do Windows Server 2003. Para verificar o processo de implantação no ambiente de laboratório: 

Teste a recuperação de desastres.



Teste a migração de contas e recursos.



Avalie delegação, administração e gerenciamento.

Testar a recuperação de desastres Teste a recuperação de desastres em seu ambiente de laboratório para validar que os usuários possam fazer logon dentro de um tempo de resposta aceitável até que um controlador de domínio seja restaurado e para determinar o tempo necessário para armazenar o controlador de domínio que falhou. Para implementar um processo de recuperação de desastres em sua implantação do Active Directory, faça o backup dos dados de Estado do Sistema em, pelo menos, dois controladores de domínio no ambiente de laboratório. Feito o backup dos dados, é necessário testar a validade da fita de backup e do processo de restauração. Teste os seguintes cenários: 

Faça uma restauração não-autoritarista do controlador de domínio cujo banco de dados de serviços de diretório contenha os dados corrompidos.



Faça uma restauração autoritarista de um controlador de domínio para restaurar os dados do Active Directory que foram apagados.

26

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Verifique se os testes representam as velocidades de conexão mais lentas de seu ambiente e o maior número de contas de usuário. Por exemplo, ao determinar o tempo necessário para restaurar um controlador de domínio que falhou, lembre-se de testar os dados de Estado do Sistema de seu backup para todo controlador de domínio que seja o único em um site conectado a uma taxa de transmissão de dados de 128 Kbps ou inferior. Além disso, teste a restauração dos dados de Estado do Sistema de seu backup para todo controlador em um domínio que contenha mais do que 20.000 contas de usuário. Quando um controlador de domínio estiver conectado a outros controladores de domínio a uma taxa de transmissão de dados igual ou superior a 128 Kbps, teste o processo de instalação do Active Directory em um novo controlador de domínio e deixe a replicação do Active Directory repopular o banco de dados do Active Directory. Para obter mais informações sobre testes de recuperação de desastres, consulte o link Active Directory Disaster Recovery (.doc), na página Web Resources, em http://www.microsoft.com/windows/reskits/webresources (em inglês).

Testar a migração de contas e recursos Para testar o processo de implantação quanto à migração de contas e recursos, use os procedimentos apresentados no capítulo sobre o processo de reestruturação que você está planejando. Organizações que planejam reestruturar domínios do Windows NT 4.0 também podem executar os seguintes testes em seu processo de reestruturação:

Para testar o processo de implantação quanto à migração de contas e recursos 1. Em dois ou mais domínios de contas Windows NT 4.0 de produção, crie novos controlados de domínio de backup (BDCs). 2. Remova os novos BDCs da rede de produção. 3. Instale os novos BDCs no ambiente de laboratório. 4. Promova os novos BDCs a PDCs (controladores de domínio primários). 5. Execute atualizações in-loco e reestruture os domínios de conta em seu laboratório. 6. Faça migrações de contas e recursos, usando uma ferramenta de migração tal como a ADMT. 7. Verifique se as contas migradas têm acesso aos recursos e preserve os perfis de usuário.

Recursos adicionais

27

Avaliar delegação, administração e gerenciamento Avalie os processos de delegação, administração e gerenciamento, criando a estrutura de unidades organizacionais especificada em seu design do Active Directory. Delegue o controle das unidades organizacionais a contas de grupo específicas utilizadas para administração. Siga estas etapas para verificar o êxito da delegação:

Para verificar o êxito da delegação do controle de unidades organizacionais a grupos específicos 1. Faça logon como um usuário que pertence à conta de grupo à qual o controle foi delegado. 2. Execute tarefas administrativas em objetos dentro da unidade organizacional (por exemplo, modifique as propriedades de um usuário em uma unidade organizacional da conta). 3. Faça uma tentativa e, subseqüentemente, falhe para executar tarefas administrativas em unidades organizacionais às quais o grupo administrativo não tem controle delegado.

Verificando a implantação de um programa piloto No ambiente de laboratório, verifique se o processo de implantação funciona fora de seu ambiente de produção, em contas e recursos que se aproximam de seu ambiente de produção. Se seu ambiente executar o Active Directory do Windows 2000, use o programa piloto existente para verificar a implantação do Windows Server 2003. No programa piloto de implantação, identifique um subconjunto controlado das contas (de usuários, grupos e serviços) e recursos que existem no ambiente de produção. Realize o processo de implantação nas contas e nos recursos identificados. As metas do programa piloto compreendem: 

Estender o teste a um subconjunto do ambiente de produção.



Providenciar um ambiente de teste para outros grupos de design e implantação, como a implantação do Exchange 2000.



Verificar o processo e os procedimentos de atualização de infra-estrutura de rede e sistema operacional.



Verificar a operação adequada das atualizações de aplicativos.



Avaliar o impacto do monitoramento de soluções na infra-estrutura de rede e nos servidores monitorados.



Descobrir quaisquer problemas potenciais no processo de implantação causados por complexidades que não puderam ser modeladas no ambiente de laboratório.



Examinar o processo de implantação para corrigir quaisquer problemas descobertos antes da implantação de produção.

28

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Em sua implantação piloto, comece com os usuários envolvidos no projeto de implantação e, em seguida, inclua usuários representativos da população de usuários.

Recursos adicionais

Importante Ao migrar usuários de produção para o piloto, deixe as contas de usuário habilitadas nos ambientes de produção e piloto. Deixando as contas de usuário habilitadas no ambiente de produção, você fornecerá um plano de fallback, se ocorrerem problemas no ambiente piloto.

Para criar um programa piloto de implantação em seu ambiente 1. Crie domínio_raiz_floresta (onde domínio_raiz_floresta é o nome de um domínio raiz de floresta vazio do Active Directory criado acrescentando-se “-teste” ao nome do domínio raiz de floresta de produção). 2. Crie domínio_regional (onde domínio_regional é o nome de domínio regional no programa piloto) acrescentando “-teste” a um domínio regional de produção. 3. Estabeleça as relações de confiança apropriadas entre domínio_regional e domínio_winnt (onde domínio_winnt é um domínio de contas ou recursos do Windows NT 4.0). 4. Migre as contas e os recursos selecionados de domínio_winnt para domínio_regional. 5. Verifique se os usuários e administradores conseguem executar, no mínimo, as mesmas tarefas que podiam antes da migração (como acesso a recursos, administração de contas e administração de recursos).

Exemplo: criando um programa piloto de implantação para a Trey Research A corporação Contoso e a Trey Research criaram um programa piloto para a implantação do Active Directory. A Tabela 1.5 lista os nomes que elas forneceram para a implantação piloto. Tabela 1.5 Exemplo de programa piloto de implantação Domínio

Nome

domínio_raiz_floresta

trccorp-test.treyresearch.net

domínio_regional

east-test.trccorp-test.treyresearch.net

domínio_winnt

BOSTON para domínio de contas OFFICE-APPS para domínio de recursos

A Figura 1.9 ilustra a configuração da implantação piloto.

29

30

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory

Figura 1.9 Configuração da implantação piloto

Concluindo o programa piloto de implantação Terminado o programa piloto de implantação, preserve o ambiente da implantação piloto e use-o como ambiente de estágios para sua implantação de produção. Continue a usar a floresta piloto para verificar novos processos de implantação, como adicionar novos aplicativos ou extensões de esquema, instalar sistemas operacionais, criar objetos de Diretiva de Grupo ou reestruturar unidades organizacionais. Como dissemos anteriormente, providencie um plano de fallback, deixando as contas de usuário habilitadas tanto no ambiente de produção original, quanto no ambiente de implantação piloto. Mantenha os usuários no ambiente de implantação piloto para que façam seu trabalho de produção; não migre as contas do ambiente de implantação piloto para a floresta de produção. Em vez disso, se decidir mover os usuários do piloto para outra floresta de produção, migre-os a partir do ambiente de produção original. Isso garante que todos os usuários na floresta de produção tenham contas consistentes e facilita a solução de problemas.

Recursos adicionais

31

Exemplo: concluindo o programa piloto de implantação para a Trey Research A Figura 1.10 mostra uma comparação entre o design da floresta piloto e a implantação da floresta de produção do Active Directory. Figura 1.10 Comparação entre floresta piloto e floresta de produção

Recursos adicionais Os recursos abaixo contêm informações e ferramentas adicionais relacionadas a este capítulo.

Informações relacionadas 

“Criando a estrutura lógica do Active Directory”, neste livro.



“Criando a topologia de site”, neste livro.



“Planejando a capacidade dos controladores de domínio”, neste livro.



“Habilitando recursos avançados do Active Directory do Windows Server 2003”, neste livro.



“Implantando o domínio raiz de floresta do Windows Server 2003”, neste livro.

32

CAPÍTULO 1

Planejando um projeto de implantação do Active Directory



“Implantando domínios regionais do Windows Server 2003”, neste livro.



“Atualizando domínios do Windows NT 4.0 para o Active Directory do Windows Server 2003”, neste livro.



“Atualizando domínios do Windows 2000 para domínios do Windows Server 2003”, neste livro.



“Reestruturando domínios do Windows NT 4.0 para uma floresta do Active Directory”, neste livro.



“Reestruturando domínios do Active Directory entre florestas”, neste livro.



“Reestruturando domínios do Active Directory dentro de uma floresta”, neste livro.



“Implantando DNS”, em Implantando serviços de rede, neste kit.



O link Active Directory na página Web Resources), em http://www.microsoft.com/windows/reskits/webresources. (em inglês) Clique em “Planning & Deployment Guides” para encontrar links adicionais para o download dos seguintes guias em inglês: 

Active Directory Branch Office Planning Guide



Active Directory Operations Guide



Best Practice Active Directory Design for Exchange 2000



Multiple Forest Considerations



Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part I

Tópicos de ajuda relacionados Para obter melhores resultados na identificação de tópicos da Ajuda por título, no Centro de Ajuda e Suporte, na caixa Pesquisar, clique em Definir opções de pesquisa. Em Tópicos da Ajuda, marque a caixa de seleção Pesquisar somente em títulos. 

“Active Directory”, no Centro de Ajuda e Suporte do Windows Server 2003.



“Ferramentas de Suporte do Windows”, em “Ferramentas” no Centro de Ajuda e Suporte do Windows Server 2003.