• Artigo recomendado: Replicação do Active Directory

    Posted over 7 years ago
    by Danilo Bordini-MSFT}

    Pessoal,

    Um dos itens que necessita de bom entendimento para planejamento e implementação é a replicação do Active Directory.

    Introduzido com o Windows Server 2000, o AD é um modelo de base multi-master de replicação, diferente do bom e velho NT 4.0, onde havia apenas 1 servidor responsável pelas alterações da BASE (PDC) e outros servidores somente controle (BDCs)

    No modelo multimaster, todos os Domain Controllers podem receber e processar alterações (tais como, inclusão de objetos, alterações de senha, exclusões, etc) e por isso, é necessário haver um algorítmo para processamento da replicação dos dados entre esses servidores e resolução de conflitos.

    O artigo Um guia para a replicação do Active Directory , publicado na Technet Magazine de Outubro contém um artigo bem explicativo, com exemplos, que mostra e explica como a replicação do AD funciona, e menciona também como esta será afetada com a inclusão, no Windows Server 2008, doRODC - Read Only Domain Controllerr, Domain Controller Somente-leitura.

    Vale a pena revisar !

  • Como melhorar a performance do Windows Terminal Services

    Posted over 7 years ago
    by Danilo Bordini-MSFT}

    Pessoal,

    Estou, desde ontem, iniciando minha preparação para as palestras do Teched Brasil 2007 que estarei proferindo (em breve farei um post sobre isto ;-)), e encontrei um artigo muito interessante que recomendo a leitura:

    How to improve Windows Terminal Services Performance

    Este artigo, dividido em seções, abrange desde configurações de hardware (como por exemplo o porquê do uso de x64, como otimizar memória, disco, etc) até configurações a nível de client RDP. É bem interessante e vale até mesmo criar um "checklist" baseado nas orientações para que todas as implementações de TS possam ser de boa qualidade e com boa performance.

    []'s

  • Topologia do Active Directory

    Posted over 7 years ago
    by Danilo Bordini-MSFT}

    Pessoal,

    A Microsoft já algum tempo possui uma ferramenta que auxilia na criação de desenhos e diagramas em Visio de topologia do Active Directory e Exchange e agora há uma versão pública.

    Chama-se "Microsoft Active Directory Topology Diagrammer".

    É simplesmente uma "mão na roda". Basta que você o execute, escolha quais parâmetros deseja "desenhar" (como por exemplo, estrutura de OUs, Conectores de Exchange, Site e Services, etc) e ele cria automaticamente o desenho no formato Visio pra você.

    Experimento (pré-requisito: pelo menos o Visio 2003)

  • Report de permssões NTFS

    Posted over 7 years ago
    by Danilo Bordini-MSFT}

    Um de nossos amigos ITPros colocou uma pergunta aqui no Blog o qual julguei muito interessante e talvez, por ser dúvida de muitos, resolvi dedicar um post a isto.

    Como gerar um relatorio (.csv ou .txt) de todas as permisões NTFS de determinado volume ou diretório ?

    Bem, nos meus tempos de suporte, eu usei e muito, a ferramenta DUMPSEC

    Essa ferramenta, da SomarSoft, é gratuita e gera relatórios poderosos que exibem quais grupos ou usuários possuem permissões em pastas e arquivos.

    Inclusive, nos meus tempos auge de script, eu gerava reports com DUMPSEC e depois usava o CACLS para aplicar permissões NTFS (loucura total ;-)

    Espero que tenha sido uma boa dica

  • Active Directory e Acrônimos

    Posted over 7 years ago
    by Danilo Bordini-MSFT}

    Preparando minhas últimas apresentações e eventos (inclusive já me preparando para apresentar algumas palestras no Teched Brasil 2007), me deparei com algumas "siglas' ou acrônimos que muitas vezes já são usados algum tempo, e outro, nem tanto. Assim, neste post, resolvi sumarizar algum deles para que possamos criar uma "lista amigável" de "sopa de letrinhas". Aqui vai:

    • ACL (Access Control List) = conjunto de permissões (pode ser a nível de arquivos ou objetos do AD) que define quais grupos ou usuários possuem direitos ou permissões de escrita, leitura, etc em determinado objeto
    • AD (Active Directory) = Diretório Ativo, base LDAP Microsoft que se torna repositório de objetos, como contas de computadores, usuários, senhas, grupos de uma organização. Fisicamente, um arquivo ntds.dit em disco armazena todas essas informações
    • AD DB (Active Directory Database)
    • AD FS (Active Directory Federation Services) = Serviço de Federação Microsoft, disponível desde o Windows Server 2003 R2 que permite que empresas ou organizaçòes diferentes "conectem" seus diretórios para prover acesso a recursos baseados em web (extranets, por exemplo), providenciando uma experiência de logon único
    • AD LDS (Active Directory Lightweight) = Conhecido como ADAM (Active Directory Application Mode), mudou de nome agora no Windows Server 2008 e seu propósito é providenciar uma base LDAP à desenvolvedores para que estes possam integrar seus softwares e armazenar dados em tais bases
    • AD Restartable = Nova feature do Windows Server 2008, onde o AD agora é um serviço do Windows e pode via interface gráfica ou linha de comando, ser parado e inicializado sem a necessidade de reboot do servidor e sem impactar outros serviços, tais como file e print services.
    • AD RMS (Active Directory Right Management Services) = O bem conhecido RMS, utilizado para proteger arquivos e informações (exemplo: envie um email à organização e não permite que nenhum funcionário encaminhe ou imprima o email), agora é um componente do AD Services no Windows Server 2008
    • DA (Domain Administrator) = Conta no domínio que pertence ao grupo "Domain Admins", que possui direitos administrativos sobre um domínio Active Directory
    • DFS-R (Distributed File System - Replication) = Versão 2.0 do DFS, introduzido no Windows 2000 Server, para replicação de arquivos entre file servers (e agora, da pasta SYSVOL do Windows Server 2008)
    • DC (Domain Controller) = Servidor responsável por ter uma cópia da base do Active Directory, leitura/gravação
    • FQDN (Fully Qualified Domain Name) = Estrutura de nomenclatura DNS, que providencia resolução de nomes em níveis hierárquicos. Toda a resolução de nomes do AD é baseada em DNS
    • FRS (File Replication Service) = Sistema de replicação de arquivos, usado para pasta SYSVOL de Controladores de Dominio. Esta pasta possui por exemplo, os settings de políticas de grupos, que devem estar disponíveis em todos os Controladores do domínio
    • GNZ (GlobalNames Zone) = Zona especial de DNS usada para resolução de nomes "single-label" ou FLAT - o modelo do WINS. Esta zona tem por objetivo providenciar o mesmo mecanismo de resolução de nome WINS para que não seja necessário manter esse serviço em funcionamento por causa de uma aplicação que depende disto.
    • GPO (Group Policy Object) = Objeto do AD que providencia políticas de grupo para estações de trabalho ou servidores. Como por exemplo, definir um papel de parede padrão
    • GPMC (Group Policy Management Console) = interface gráfica distribúida gratuitamente para edição e troubleshooting de GPO's
    • IFM (Install from Media) = via ntdsutil.exe, criar uma cópia da base do AD para ser usada durante o processo de DCPROMO em outro Domain Controller (em um escritório remoto, por exemplo)
    • KDC (Key Distribution Center) = sistema de geração de tickets em uma rede kerberos, que faz a criação de tokens de acesso
    • MLGPO (Multiple Local Group Policy Objects) = novo recurso disponível no Windows Server 2008, permite que você crie múltiplas GPOs a nível de máquina local (até o Windows Server 2003, restrito a apenas 1 Local Policy)
    • RODC (Read Only Domain Controller) = Controlador de Domínio somente leitura, novo recurso do Windows Server 2008
    • SSO (Single Sign-on) - Recurso para providenciar experiência melhor ao usuário, que ao invés de ter que se lembrar de múltiplas contas e senhas, existe um sistema que faz toda essa integração por ele
    • SYSVOL (System Volume)