Portal Tecnologia

Olá prezados!!! Todos bem por aí?

Faz tempo que tou pensando em escrever um material bacana sobre ADMT, migração e consolidação de domínios, e pretendo fazer isso aos poucos, aqui pelo nosso PortalTec…

Pretendo focar esse material em migrações de usuários, grupos, computadores e file servers… Nada de muito avançado, pois tem muita coisa em “voga” quando se fala de ADMT, e de migrações…

Antes de qualquer coisa, é interessante analisarmos muito bem o ambiente no qual queremos utilizar o ADMT, e “matar” um monte de broncas antes de começar, portanto é imprescindível olharmos para alguns pontos: Read More »

Introdução:

Andei precisando nos últimos tempos, gerar uns pequenos “relatórios” de objetos do Active Directory para várias finalidades, e o dsquery/dsget me ajudaram muito a manter meu querido emprego

Acredito que muita gente não utilize esse tipo de procedimento, mais pela “dificuldade” de colocar o endereço completo das OUs (distinguished name, ou DN), do que a dificuldade de utilização dos comandos em si. Portanto, seguem algumas dicas:

Requisitos para utilização:

Os dois comandos estão disponíveis desde o Windows 2003 Server, ficando disponíveis na instalação das ferramentas administrativas de Active Directory.
Estes comandos podem ser utilizados também no Windows 2000 (copiando os executáveis para o sistema operacional…) porém necessitam ao menos o Service pack 3 instalado para que todos os parâmetros sejam correspondentes. O parâmetro -inactive, por exemplo, não pode ser utilizado em Service Packs anteriores.
Tendo cumprido com estes requisitos, em um Controlador de Domínio, abra o prompt de comando e rode quaisquer dos comandos.

Utilizando dsquery e dsget juntos:

Ambos os comandos se utilizam do tipo de objeto, para colher os dados, portanto temos a sintaxe:

dsquery ou dsget <computer ou user ou group ou contact…> -parâmetros

O dsquery é utilizado para trazer a lista de objetos aos quais se quer colher informações, em um formato que pode ser utilizado pelo dsget, para que as informações sejam mostradas.
Por exemplo:

Se rodarmos o comando:

dsquery computer “ou=Domain Controllers,dc=portaltecnologia,dc=net”

A saída no prompt de comando, será a lista de computadores dentro da OU “Domain Controllers”, mostrada em Distinguished Names conforme abaixo:

“CN=DC01,OU=Domain Controllers, dc=portaltecnologia,dc=net”
“CN=DC02,OU=Domain Controllers, dc=portaltecnologia,dc=net”
“CN=DC03,OU=Domain Controllers, dc=portaltecnologia,dc=net”

O dsget, concatenado ao dsquery “aproveita” cada linha saída e a utiliza para pegar informações do objeto representado. Portanto, se rodarmos:

dsquery computer “ou=Domain Controllers,dc=portaltecnologia,dc=net” | dsget computer –samid -disabled

Temos a saída correspondente a cada objeto, apresentando seu sAMAccountId e se este objeto está desabilitado ou não:

samid        disabled
DC01$        no
DC02$        no
DC03$        no

Portanto, as possibilidades são muito grandes.

Exemplos de Utilização:

*    Relatórios de usuários e máquinas desabilitadas.
*    Relatório de usuários que necessitam trocar senha.
*    Report de SID de objetos.
*    Relatórios com múltiplos parâmetros.
*    Relatório de máquinas inativas na rede, em semanas, utilizando o parâmetro “-inactive”.

Estes são exemplos simples e de utilização muito prática com o dsquery/dsget, porém existem outros parâmetros e objetos que podem ser pesquisados e listados.

A melhor fonte de informações sobre estes comandos é justamente o “manual” do Technet, com todos os parâmetros e funções fornecidas:
http://technet.microsoft.com/en-us/library/cc755162%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/cc732952%28WS.10%29.aspx

Façam bom proveito, e assim que tiver mais comandos úteis, compartilho por aqui!!!

Abraços!

Thiago Tietze

Dica rápida. Se você quer alterar o local default onde cria contas de usuário e de computador no AD você deve usar o “rediusr.exe” e o “redircmp.exe”.

Quando você cria um usuário ele é criado na CN=Users. Você pode mudar para uma OU onde você pode atribuir GPOs com suas políticas da empresa.

Requisitos:

• nível funcional do domínio no mínimo windows 2003
• domain ou enterprise admin
• PDC emulator online e acessível
• OUs devem ser criadas antes de rodar o comando

O comando está localizado em: C:\Windows\System32.

Fontes:
http://technet.microsoft.com/en-us/library/cc771655%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/cc770619%28WS.10%29.aspx

[]s
Tiago Souza

Um vídeo muito legal que vi agora no site MSIT é: como recuperar a zona _Msdcs. Uma questão que é comum nos fórums Technet.

Para ver o vídeo acessem o link abaixo:

http://www.msit.com.br/PublicacaoDetalhes.aspx?id=4&type=v

[]s
Tiago Souza

Achei um post interessante no Hey Script Guy, segue a fonte:

http://blogs.technet.com/b/heyscriptingguy/archive/2010/07/20/hey-scripting-guy-how-can-i-use-windows-powershell-to-identify-inactive-user-accounts-in-active-directory-domain-services.aspx

Ele mostra alguns comandos para trabalhar com o módulo Active Directory no Power Shell. Você pode usa-lo para pesquisar contas inativas no AD. É muito útil na manutenção diária do seu domínio, fiz uma pesquisa rápida usando:

PS C:\Users\tiago.souza> Get-ADUser -Filter * -Properties “LastLogonDate” |
>> sort-object -property lastlogondate -descending |
>> Format-Table -property name, lastlogondate -AutoSize 

Nessa brincadeira encontrei diversos usuários que já efetuavam logon há um bom tempo. Você pode fazer algo semelhante usando o mmc do Active Directory, em Saved Queries, mas esse comando lhe permite variar algumas opções, visite o link para saber mais.

[]s
Tiago Souza

Encontrei por aí, fica a dica de leitura para os interessados no tema.

• Active Directory in Hyper-V environments, Part 1
• Active Directory in Hyper-V environments, Part 2
• Active Directory in Hyper-V environments, Part 3

[]s
Tiago Souza

Desculpem o tempo sem atualização, vou tentar no mínimo 1 post por semana, mas espero conseguir mais.

Uma leitura legal pra quem pretende virtualizar controladores de domínio no Hyper-V:

• http://technet.microsoft.com/pt-br/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Não tem muito segredo, mas sim algumas observações interessantes no documento. Pra não ter dor de cabeça futuramente vale a pena seguir as boas práticas do link.

[]s

Tiago Souza

Tem um comando que você pode rodar no seu DC para saber a versão do schema atual.

C:\WINDOWS\system32>schupgr.exe
Opened Connection to SERVER
SSPI Bind succeeded
Current Schema Version is 47
Upgrading schema to version 47
The schema has already been upgraded. Rerun setup to upgrade this DC.

No exemplo acima é 47, Windows Server 2008 R2.

Veja as versões x sistema operacionais.

13 – Windows 2000
30 – Windows 2003 e 2003 SP1
31 – Windows 2003 R2
44 – Windows 2008
47 – Windows 2008 R2

Há mais 2 maneiras de descobrir a versão do schema, eu particularmente acho essa mais rápida e fácil, para saber as outras visite o seguinte blog da Microsoft onde o colega Gilson Banin descreve as demais formas: http://blogs.technet.com/technetbr/archive/2008/09/16/tr-s-03-maneiras-de-identificar-qual-vers-o-do-active-directory-pela-vers-o-do-schema.aspx.

[]s
Tiago Souza

O que pode estar acontecendo é que você está usando o CD com a ferramenta 64 bits do adprep.

Ao tentar rodar o ADPREP /FORESTPREP de um CD Windows Server 2008 R2 x64, a seguinte mensagem poderá aparecer.

C:\support\adprep>adprep /forestprep

The image file C:\support\adprep\adprep.exe is valid, but is for a machine type other than the current machine

Isso acontece porque você está rodando a versão x64 em um DC 2003 x86, você deve localizar a versão 32 bits do ADPREP e rodar novamente.

C:\support\adprep>adprep32.exe /forestprep

 ADPREP WARNING:

 Before running adprep, all Windows 2000 Active Directory Domain Controllers in the forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.

 [User Action]

If ALL your existing Windows 2000 Active Directory Domain Controllers meet this requirement, type C and then press ENTER to continue. Otherwise, type any other key and press ENTER to quit.

c

Opened Connection to SRVDC01

SSPI Bind succeeded

Current Schema Version is 30

Upgrading schema to version 47

Connecting to “SRVDC01″

Logging in as current user using SSPI

Importing directory from file “C:\WINDOWS\system32\sch31.ldf”

Loading entries……………………………………………………….

Agora é só aguardar carregar tudo e pronto.

[]s
Tiago Souza

Encontrei um material bem legal escrito pelo Daniel Donda, do site: http://www.mcsesolution.com/. Entrei em contato com ele para que me liberasse a divulgação do material aqui no site.

É bem interessante, o formato é parecido com aqueles resumos de cursinho, faculdades, etc. Ele aborda as principais novidades de Active Directory no Windows Server 2008 R2. Ele pode servir de guia de estudos para o exame: 70-640: TS: Configuring Windows Server 2008 Active Directory.

Para fazer o download clique no link abaixo:

http://www.portaltecnologia.net/downloads/windows2008r2/active_directory_-_windows_server_2008_r2.pdf

Ou acesse o site do Daniel Donda, na área de downloads, onde tem mais materiais interessantes:

http://www.mcsesolution.com/component/option,com_phocadownload/Itemid,66/view,sections/

Obrigado Daniel.

[]s
Tiago Souza

Pessoal, achei um link bem interessante com 11 ferramentas essenciais para gerenciar o AD.

Deem uma olhada: http://technet.microsoft.com/pt-br/magazine/2007.09.adtools.aspx

–
Tiago Souza

Promovendo um windows server 2003 para domain controller

Esse é um artigo básico que aborda a promoção de um servidor membro para controlador de domínio. Ele mostra como instalar o Active Directory em um novo domínio de uma nova floresta.

Pré-requisitos

• Windows Server 2003 + todos Service Packs e Hotfixes instalados
• IP Fixo no servidor (escolher número e faixa de IP)
• Definir o nome do domínio

OBS:  Verifique a placa de rede e coloque como servidor DNS primário coloque o mesmo número IP do seu servidor, pois ele será o servidor primário de DNS do seu domínio.

Implementação

1 – Vamos rodar o comando dcpromo. Iniciar > Executar > dcpromo

2 – Iniciando o Wizard da instalação, clique NEXT

3 – Operating System Compatibility, apenas clique NEXT

 
4 – No nosso caso vamos instalar o primeiro domain controller para um novo domínio, deixamos a opção default selecionada “Domain controller for a new domain” e clicamos NEXT

 
5 – Vamos instalar um novo domínio para uma nova floresta, na opção defaul “Domain in a new forest” e clique NEXT

 
6 – Aqui vamos especificar o nome para o novo domínio

 
7 – Nessa etapa vamos especificar o nome NetBIOS para o novo domínio

 
8 – Aqui é mostrado o diretório padrão onde será armazenada a database e o log, vamos deixar o mesmo

 
9 – Aqui é onde será armazenado o diretório SYSVOL, vamos deixar o padrão

 
10 – Aqui foi verificado que não possui DNS instalado e você tem algumas opções, a que vamos usar é que vamos instalar e configurar o DNS neste computador e torná-lo primário (segunda opção)

 
11 – Na etapa de permissões vamos selecionar o padrão, compatível somente com Windows 2000 e 2003 Server, porque não vamos precisar de compatibilidade com versões anteriores. Se no seu caso tiver sistemas operacionais mais antigos selecione a primeira opção

 
12 – Aqui você estabelece uma senha de restore, essa senha só será usada se você precisar inicar o computador em modo de “Directory Services Restore Mode”

 
13 – Aqui é apresentado um sumário de todas as opções escolhidas, revise antes de instalar e clique NEXT

 
14 – A tela do wizard quando está instalado o AD

 
15 – Será solicitado o disco de instalação do Windows Server 2003 para que ele busque os arquivos do DNS

 
16 – Acesse o i386 do CD e clique OK

 
17 – Após selecionar o CD, clique NEXT e aguarde a instalação do DNS

 
18 – Clique em finish para finalizar e reinicie seu servidor

19 – Verifique os arquivos de log de instalação gerados em C:\WINDOWS\Debug. Como mostra a figura abaixo

 
20 – Você pode verificar também no container “Domain Controllers” o nome do computador que você acabou de promover 

Pronto, você já tem seu primeiro Domain Controller do seu primeiro domínio, parabéns, caso tenha alguma dúvida deixe uma mensagem.

Abraços.

–
Tiago Souza
 

EDIT: 15/09/2010 – A edição foi realizada para inclusão de conteúdo técnico e links que achei interessante.

Voltamos para a terceira parte da migração (leia aqui a segunda parte).

Para migrar o Windows 2003 para 2008 você precisa realizar algumas alterações no seu ambiente, vejamos os pontos importantes.

• Há dois modos para atualizar o sistema 2003 para 2008:
  • Upgrade In-Place
  • Migração
• Nos dois casos temos que preparar a floresta e o domínio para receber o novo S.O 2008 da seguinte forma:

  Colocamos o cd de instalação do 2008 no DC 2003, abrimos o prompt de comando e navegamos até D:\sources\adprep e rodamos os seguintes comandos

  - adprep /forestprep
  - adprep /domainprep

  Obs: Se você estiver atualizando para 2008 R2 dê uma olhada nisso também: http://www.portaltecnologia.net/2010/03/22/problema-ao-estender-o-schema-do-ad-2003-para-2008-r2/. Entenda também os níveis funcionais de domínio.

• Depois de executar os comandos acima no DC 2003 e instalar o novo servidor com o Windows 2008 você deve prom0vê-lo à Domain Controller (http://www.portaltecnologia.net/2008/09/26/instalando-active-directory-no-windows-server-2008/)
• Depois da promoção é importante mover as funções FSMO para esse novo DC, da seguinte forma:
  • Utilize o comando NETDOM query FSMO e verifique quais o servidores que detém esses papéis
  • Depois execute o NDTSUTIL e os seguintes comandos

    Roles
    Connections
    Connect to server <servidor> (após digite “q”)
    Transfer rid master
    Transfer pdc
    Transfer schema master
    Transfer naming master
    Transfer infrastructure master

  • Para saber mais sobre o comando acima visite o site de suporte: http://support.microsoft.com/kb/255504/pt-br
    
• É possível fazer também o mesmo processo utilizando os consoles (modo gráfico)
• Para migrar o DNS, se sua zona for integrada ao AD no 2003 ela será replicada para o novo AD 2008 automaticamente. Caso não seja integrada consulte: http://technet.microsoft.com/en-us/library/dd379558%28WS.10%29.aspx e http://technet.microsoft.com/en-us/library/cc755303.aspx
• Para migrar o DHCP: http://www.portaltecnologia.net/2010/04/30/migracao-dhcp-windows-2003-para-2008-r2/

Links de referência:

• http://technet.microsoft.com/pt-br/ee334180.aspx
• http://technet.microsoft.com/pt-br/ee334181.aspx
• http://technet.microsoft.com/pt-br/ee334182.aspx
• http://support.microsoft.com/kb/255504/pt-br
• http://mctnet.blogspot.com/2009/08/palestras-na-green-treinamento.html
• http://support.microsoft.com/kb/948070
• http://www.microsoft.com/windowsserver2008/en/us/why-upgrade-2003.aspx
• http://social.technet.microsoft.com/forums/pt-br/categories/
• http://technet.microsoft.com/en-us/library/dd379558%28WS.10%29.aspx
• http://technet.microsoft.com/en-us/library/cc755303.aspx

Abraços.

–
Tiago Souza