O que são os Serviços de Domínio Active Directory e como eles funcionam?

Esta é uma pergunta canônica sobre os Serviços de Domínio Active Directory (AD DS).

O que é o Active Directory? O que faz e como funciona?

Como é organizado o Active Directory: floresta, domínio filho, árvore, site ou OU

Eu me pego explicando parte do que suponho ser de conhecimento comum quase diariamente. Esperamos que esta pergunta sirva como uma pergunta canônica e responda às perguntas mais básicas do Active Directory. Se você acha que pode melhorar a resposta a esta pergunta, edite-o.

O que é o Active Directory?

Os Serviços de Domínio Active Directory são o Directory Server da Microsoft. Ele fornece mecanismos de autenticação e autorização, além de uma estrutura na qual outros serviços relacionados podem ser implantados (Serviços de Certificados do AD, Serviços Federados do AD, etc.). É um banco de dados compatível com LDAP que contém objetos. Os objetos mais usados ​​são usuários, computadores e grupos. Esses objetos podem ser organizados em unidades organizacionais (OUs) por qualquer número de necessidades lógicas ou de negócios. Os Objetos de Diretiva de Grupo (GPOs) podem ser vinculados às OUs para centralizar as configurações de vários usuários ou computadores em uma organização.

Quando as pessoas dizem "Active Directory", normalmente estão se referindo a "Serviços de Domínio Active Directory". É importante observar que existem outras funções / produtos do Active Directory, como Serviços de Certificados, Serviços de Federação, Serviços de Diretório Leve, Serviços de Gerenciamento de Direitos, etc. Esta resposta se refere especificamente aos Serviços de Domínio Active Directory.

O que é um domínio e o que é uma floresta?

Uma floresta é um limite de segurança. Objetos em florestas separadas não podem interagir entre si, a menos que os administradores de cada floresta separada criem uma confiança entre eles. Por exemplo, uma conta de Administrador Corporativo domain1.com, que normalmente é a conta mais privilegiada de uma floresta, não terá permissões em uma segunda floresta denominada domain2.com, mesmo que essas florestas existam na mesma LAN, a menos que exista uma relação de confiança. .

Se você possui várias unidades de negócios separadas ou precisa de limites de segurança separados, precisará de várias florestas.

Um domínio é um limite de gerenciamento. Os domínios fazem parte de uma floresta. O primeiro domínio em uma floresta é conhecido como domínio raiz da floresta. Em muitas organizações pequenas e médias (e até algumas grandes), você encontrará apenas um único domínio em uma única floresta. O domínio raiz da floresta define o espaço para nome padrão da floresta. Por exemplo, se o primeiro domínio em uma nova floresta for nomeado domain1.com, esse será o domínio raiz da floresta. Se você tiver uma necessidade comercial de um domínio filho, por exemplo - uma filial em Chicago, poderá nomear o domínio filho chi. O FQDN do domínio filho seriachi.domain1.com. Você pode ver que o nome do domínio filho foi o nome do domínio raiz raiz da floresta anexado. Normalmente é assim que funciona. Você pode ter namespaces separados na mesma floresta, mas essa é uma lata de worms separada por um tempo diferente.

Na maioria dos casos, você deve tentar fazer todo o possível para ter um único domínio do AD. Ele simplifica o gerenciamento, e as versões modernas do AD facilitam a delegação de controle com base na OU, o que diminui a necessidade de domínios filho.

Posso nomear meu domínio como quiser, certo?

Na verdade não. dcpromo.exe, a ferramenta que lida com a promoção de um servidor para um controlador de domínio não é à prova de idiotas. Ele permite que você tome decisões erradas com a nomeação; portanto, preste atenção nesta seção se não tiver certeza. (Editar: o dcpromo está obsoleto no Server 2012. Use o Install-ADDSForestcmdlet do PowerShell ou instale o AD DS no Gerenciador do Servidor.)

Antes de tudo, não use TLDs inventados como .local, .lan, .corp ou qualquer outra porcaria. Esses TLDs não são reservados. A ICANN está vendendo TLDs agora, então o mycompany.corpque você está usando hoje pode realmente pertencer a alguém amanhã. Se você possui mycompany.com, o mais inteligente é usar algo como internal.mycompany.comou ad.mycompany.compara o seu nome interno do AD. Se você usar mycompany.comcomo um site resolvível externamente, evite usá-lo também como seu nome interno do AD, pois você terminará com um DNS de cérebro dividido.

Controladores de domínio e catálogos globais

Um servidor que responde a solicitações de autenticação ou autorização é um controlador de domínio (DC). Na maioria dos casos, um controlador de domínio manterá uma cópia do catálogo global . Um Catálogo Global (GC) é um conjunto parcial de objetos em todos os domínios em uma floresta. É diretamente pesquisável, o que significa que as consultas entre domínios geralmente podem ser realizadas em um GC sem a necessidade de uma referência a um controlador de domínio no domínio de destino. Se um controlador de domínio for consultado na porta 3268 (3269 se estiver usando SSL), o GC está sendo consultado. Se a porta 389 (636 se estiver usando SSL) for consultada, uma consulta LDAP padrão será usada e os objetos existentes em outros domínios poderão exigir uma referência .

Quando um usuário tenta fazer logon em um computador que ingressou no AD usando suas credenciais do AD, a combinação de nome de usuário com senha e com sal e hash é enviada ao DC para a conta do usuário e a conta do computador que está efetuando login. Sim, o o computador também entra. Isso é importante, porque se algo acontecer com a conta do computador no AD, como alguém redefine ou exclui a conta, você pode receber um erro dizendo que não existe uma relação de confiança entre o computador e o domínio. Embora suas credenciais de rede estejam boas, o computador não é mais confiável para fazer login no domínio.

Preocupações de disponibilidade do controlador de domínio

Ouvi dizer que "tenho um controlador de domínio primário (PDC) e desejo instalar um controlador de domínio de backup (BDC)" com muito mais frequência em que gostaria de acreditar. O conceito de PDCs e BDCs morreu com o Windows NT4. O último bastião para PDCs estava em um AD de modo misto transicional do Windows 2000 quando você ainda tinha NT4 DCs. Basicamente, a menos que você esteja suportando uma instalação de 15 anos ou mais que nunca foi atualizada, você realmente não tem um PDC ou um BDC, apenas dois controladores de domínio.

Vários DCs são capazes de responder a solicitações de autenticação de diferentes usuários e computadores simultaneamente. Se um falhar, os outros continuarão a oferecer serviços de autenticação sem precisar tornar um "primário", como você faria nos dias NT4. É uma prática recomendada ter pelo menos dois controladores de domínio por domínio. Esses controladores de domínio devem conter uma cópia do GC e também devem ser servidores DNS que possuem uma cópia das zonas DNS integradas ao Active Directory para o seu domínio.

Funções FSMO

"Então, se não há PDCs, por que há uma função de PDC que apenas um único controlador de domínio pode ter?"

Eu ouço muito isso. Há uma função de emulador PDC . É diferente de ser um PDC. De fato, existem 5 funções flexíveis de operações de mestre único (FSMO) . Também são chamadas de funções de mestre de operações. Os dois termos são intercambiáveis. O que são e o que fazem? Boa pergunta! Os 5 papéis e suas funções são:

Mestre de Nomeação de Domínio - Existe apenas um Mestre de Nomeação de Domínio por floresta. O mestre de nomeação de domínio garante que, quando um novo domínio seja adicionado a uma floresta, ele seja exclusivo. Se o servidor que está com essa função estiver offline, você não poderá fazer alterações no espaço para nome do AD, o que inclui coisas como adicionar novos domínios filho.

Mestre de esquema - existe apenas um mestre de operações de esquema em uma floresta. É responsável por atualizar o esquema do Active Directory. As tarefas que exigem isso, como preparar o AD para uma nova versão do Windows Server funcionando como um controlador de domínio ou a instalação do Exchange, exigem modificações no esquema. Essas modificações devem ser feitas no Schema Master.

Mestre de infraestrutura - Há um mestre de infraestrutura por domínio. Se você possui apenas um domínio em sua floresta, não precisa se preocupar com isso. Se você tiver várias florestas, certifique-se de que essa função não seja mantida por um servidor que também seja detentor de GC, a menos que todo controlador de domínio na floresta seja um GC . O mestre da infraestrutura é responsável por garantir que as referências entre domínios sejam tratadas corretamente. Se um usuário em um domínio for adicionado a um grupo em outro domínio, o mestre de infraestrutura dos domínios em questão garantirá que ele seja tratado adequadamente. Essa função não funcionará corretamente se estiver em um catálogo global.

Mestre do RID - O Mestre do ID relativo (mestre do RID) é responsável pela emissão de conjuntos RID para os DCs. Há um mestre RID por domínio. Qualquer objeto em um domínio do AD tem um SID (Identificador de Segurança) exclusivo. Isso é composto de uma combinação do identificador de domínio e um identificador relativo. Cada objeto em um determinado domínio tem o mesmo identificador de domínio, portanto, o identificador relativo é o que torna os objetos únicos. Cada controlador de domínio possui um pool de IDs relativos a serem usados; portanto, quando esse controlador de domínio cria um novo objeto, ele anexa um RID que ainda não foi usado. Como os DCs são emitidos pools sem sobreposição, cada RID deve permanecer exclusivo pela duração da vida do domínio. Quando um controlador de domínio chega a ~ 100 RIDs restantes em seu pool, solicita um novo pool ao mestre do RID. Se o mestre do RID estiver offline por um longo período de tempo, a criação do objeto poderá falhar.

Emulador de PDC - Finalmente, chegamos ao papel mais incompreendido de todos, o papel de Emulador de PDC. Há um emulador de PDC por domínio. Se houver uma falha na tentativa de autenticação, ela será encaminhada para o emulador PDC. O emulador PDC funciona como o "desempatador" se uma senha foi atualizada em um controlador de domínio e ainda não foi replicada nos outros. O emulador PDC também é o servidor que controla a sincronização de horário no domínio. Todos os outros controladores de domínio sincronizam seu tempo com o emulador PDC. Todos os clientes sincronizam seu tempo no controlador de domínio em que efetuaram login. É importante que tudo permaneça a 5 minutos um do outro, caso contrário o Kerberos quebra e, quando isso acontece, todo mundo chora.

O importante é lembrar que os servidores em que essas funções são executadas não são definidos. Geralmente é trivial mudar essas funções, portanto, enquanto alguns CDs fazem um pouco mais do que outros, se eles caírem por curtos períodos de tempo, tudo normalmente funcionará normalmente. Se eles ficarem inativos por muito tempo, é fácil transferir de forma transparente as funções. É muito melhor do que os dias NT4 PDC / BDC, então pare de chamar seus CDs por esses nomes antigos. :)

Então, hum ... como os DCs compartilham informações se eles podem funcionar independentemente um do outro?

Replicação, é claro . Por padrão, os DCs pertencentes ao mesmo domínio no mesmo site replicarão seus dados entre si em intervalos de 15 segundos. Isso garante que tudo esteja relativamente atualizado.

Existem alguns eventos "urgentes" que disparam a replicação imediata. Esses eventos são: Uma conta é bloqueada para muitos logons com falha, uma alteração é feita na senha de domínio ou nas políticas de bloqueio, o segredo da LSA é alterado, a senha é alterada na conta de computador de um controlador de domínio ou a função Mestre do RID é transferida para um novo CD. Qualquer um desses eventos acionará um evento de replicação imediata.

As alterações de senha estão entre urgentes e não urgentes e são tratadas exclusivamente. Se a senha de um usuário for alterada DC01e um usuário tentar fazer login em um computador autenticado DC02antes da replicação, você esperaria que isso falhasse, certo? Felizmente isso não acontece. Suponha que também haja um terceiro DC03controlador de domínio aqui chamado que detém a função de emulador do PDC. Quando DC01é atualizada com a nova senha do usuário, essa alteração é imediatamente replicada para DC03também. Quando a tentativa de autenticação DC02falhar, a DC02seguir encaminha a tentativa de autenticação DC03, que verifica se é realmente boa e se o logon é permitido.

Vamos falar sobre DNS

O DNS é crítico para um AD funcionando corretamente. A linha oficial da Microsoft é que qualquer servidor DNS pode ser usado se estiver configurado corretamente. Se você tentar usar o BIND para hospedar suas zonas do AD, estará alto. A sério. Continue usando zonas DNS integradas do AD e use encaminhadores condicionais ou globais para outras zonas, se necessário. Todos os seus clientes devem estar configurados para usar seus servidores DNS do AD, por isso é importante ter redundância aqui. Se você tiver dois controladores de domínio, faça com que eles executem o DNS e configure seus clientes para usá-los na resolução de nomes.

Além disso, você precisará garantir que, se você tiver mais de um controlador de domínio, eles não serão listados primeiro para a resolução do DNS. Isso pode levar a uma situação em que eles estão em uma "ilha de replicação", onde são desconectados do restante da topologia de replicação do AD e não podem se recuperar. Se você tiver dois servidores DC01 - 10.1.1.1e DC02 - 10.1.1.2, a lista de servidores DNS deles deverá ser configurada da seguinte maneira:

Servidor: DC01 (10.1.1.1)
DNS primário - 10.1.1.2
DNS secundário - 127.0.0.1

Servidor: DC02 (10.1.1.2)
DNS primário - 10.1.1.1
DNS secundário - 127.0.0.1

OK, isso parece complicado. Por que eu quero usar o AD?

Porque uma vez que você sabe o que está fazendo, sua vida se torna infinitamente melhor. O AD permite a centralização do gerenciamento de usuários e computadores, bem como a centralização do acesso e uso de recursos. Imagine uma situação em que você tenha 50 usuários em um escritório. Se você quisesse que cada usuário tivesse seu próprio login em cada computador, teria que configurar 50 contas de usuário local em cada PC. Com o AD, você só precisa criar a conta do usuário uma vez e, por padrão, pode fazer login em qualquer PC no domínio. Se você quisesse reforçar a segurança, teria que fazer isso 50 vezes. Meio que um pesadelo, certo? Imagine também que você tenha um compartilhamento de arquivos em que deseja apenas metade dessas pessoas. Se você não estiver usando o AD, será necessário replicar o nome de usuário e as senhas manualmente no servidor para fornecer acesso sem aparência ou você ' teria que criar uma conta compartilhada e fornecer a cada usuário o nome de usuário e a senha. Uma maneira significa que você conhece (e precisa atualizar constantemente) as senhas dos usuários. A outra maneira significa que você não tem trilha de auditoria. Não é bom né?

Você também pode usar a Diretiva de Grupo ao configurar o AD. A Diretiva de Grupo é um conjunto de objetos vinculados às UOs que definem configurações para usuários e / ou computadores nessas UOs. Por exemplo, se você quiser fazer com que "Desligar" não esteja no menu Iniciar para 500 PCs de laboratório, faça isso em uma configuração na Diretiva de Grupo. Em vez de passar horas ou dias configurando manualmente as entradas de registro apropriadas, você cria um Objeto de Diretiva de Grupo uma vez, vincula-o à UO ou UOs corretas e nunca precisa pensar nele novamente. Existem centenas de GPOs que podem ser configurados, e a flexibilidade da Diretiva de Grupo é um dos principais motivos pelos quais a Microsoft é tão dominante no mercado corporativo.

Nota: Esta resposta foi mesclada a esta pergunta a partir de uma pergunta diferente que perguntou sobre as diferenças entre florestas, domínios filho, árvores, sites e OUs. Isso não foi originalmente escrito como resposta a essa pergunta específica.

Floresta

Você deseja criar uma nova floresta quando precisar de um limite de segurança. Por exemplo, você pode ter uma rede de perímetro (DMZ) que deseja gerenciar com o AD, mas não deseja que seu AD interno esteja disponível na rede de perímetro por motivos de segurança. Nesse caso, você desejaria criar uma nova floresta para essa zona de segurança. Você também pode querer essa separação se tiver várias entidades que não confiam uma na outra - por exemplo, uma empresa de fachada que engloba negócios individuais que operam independentemente. Nesse caso, você deseja que cada entidade tenha sua própria floresta.

Domínio filho

Realmente, você não precisa mais disso. Existem alguns bons exemplos de quando você deseja um domínio filho. Um motivo herdado é devido a diferentes requisitos de diretiva de senha, mas isso não é mais válido, pois existem diretivas de senha refinadas disponíveis desde o Server 2008. Você realmente só precisa de um domínio filho se tiver áreas com incrível conectividade de rede ruim e desejar para reduzir drasticamente o tráfego de replicação - um navio de cruzeiro com conectividade WAN via satélite é um bom exemplo. Nesse caso, cada navio de cruzeiro pode ser seu próprio domínio filho, de modo a ser relativamente independente e ao mesmo tempo poder aproveitar os benefícios de estar na mesma floresta que outros domínios da mesma empresa.

Árvore

Esta é uma bola ímpar. Novas árvores são usadas quando você deseja manter os benefícios de gerenciamento de uma única floresta, mas possui um domínio em um novo espaço para nome DNS. Por exemplo, corp.example.compode ser a raiz da floresta, mas você pode ter ad.mdmarra.comna mesma floresta usando uma nova árvore. As mesmas regras e recomendações para domínios filhos se aplicam aqui - use-as com moderação. Eles geralmente não são necessários nos anúncios modernos.

Local

Um site deve representar um limite físico ou lógico na sua rede. Por exemplo, filiais. Os sites são usados ​​para selecionar de maneira inteligente parceiros de replicação para controladores de domínio em diferentes áreas. Sem definir sites, todos os controladores de domínio serão tratados como se estivessem no mesmo local físico e replicados em uma topologia de malha. Na prática, a maioria das organizações é configurada logicamente, portanto sites e serviços devem ser configurados para refletir isso.

Outros aplicativos também usam sites e serviços. O DFS usa-o para referências de namespace e seleção de parceiros de replicação. O Exchange e o Outlook o usam para encontrar o catálogo global "mais próximo" a ser consultado. Os computadores ingressados ​​no domínio o utilizam para localizar os CDs "mais próximos" para autenticação. Sem isso, seu tráfego de replicação e autenticação é como o Oeste Selvagem.

Unidade organizacional

Eles devem ser criados de maneira a refletir a necessidade da organização de delegar permissões e aplicar políticas de grupo. Muitas organizações têm uma UO por site, porque aplicam o GPO dessa maneira - isso é bobagem, porque você pode aplicar o GPO a um site a partir de Sites e Serviços. Outras organizações separam OUs por departamento ou função. Isso faz sentido para muitas pessoas, mas o design realmente da unidade organizacional deve atender às suas necessidades e é bastante flexível. Não há "uma maneira" de fazer isso.

Uma empresa multinacional pode ter nível superior OUs de North America, Europe, Asia, South America, Africapara que eles possam delegar privilégios administrativos com base no continente. Outras organizações podem ter de nível superior OUs de Human Resources, Accounting, Sales, etc, se isso faz mais sentido para eles. Outras organizações têm necessidades políticas mínimas e usam um layout "plano" com just Employee Userse Employee Computers. Realmente não há resposta certa aqui, é o que atende às necessidades da sua empresa.