Cinco Passos para garantir um DC saudável

Se existe um processo que pode salvar nossos finais de semana, é a verificação de um DC após a promoção, muitas vezes não fazemos a checagem da promoção de um DC, e com isto podemos ter vários problemas.

por Rover Marinho

Tecnologias

Active Directory

Sumário

Se existe um processo que pode salvar nossos finais de semana, é a verificação de um DC após a promoção, muitas vezes não fazemos a checagem da promoção de um DC, e com isto podemos ter vários problemas.

O que vamos citar neste artigo são alguns utilitários e processos que devemos checar, para garantir que nosso DC esta ativo e foi corretamente promovido em nosso domínio, vamos lá.

Conteúdo

1. Checando a resolução DNS do Domain Controller
1.1 – Configurando a Placa de Rede do DC
1.2 – Checando a Resolução de Reverso do DNS
1.3 – Criando a Zona Reversa e o registro PTR do DC

2. Verificando a existência das Pastas Netlogon e Sysvol
2.1 – O que é o compartilhamento Netlogon
2.2 – O que é o compartilhamento Sysvol

3. Testando a Resolução DNS para Dc e para FQDN do Domínio
3.1 – Testando a Resolução DNS para DC
3.2 – Testando a Resolução DNS para FQDN do Domínio

4. Verificando as FSMO`s

5. Checando o Event Viewer

Introdução

Este artigo foi desenvolvido para você que tem dúvidas sobre Active Directory. O que fazer para checar quando meu DC não traz os compartilhamentos de Netlogon e de Sysvol? Como ter certeza o DC recém criado é um Global Catalog?

Isto e outras perguntas juntamos neste artigo, de maneira fácil você aprenderá todos estes processos.

1 – Checando a resolução DNS do Domain Controller

Uma das tragédias que podem tirar seu ambiente do ar é a falta de resolução de nomes corretamente, felizmente o serviço de DNS de um Domain Controller pode ser integrado com o Active Directory, e caso você não tenha por favor o integre, muitos recursos são adicionados com esta integração.

Em nosso cenário, vamos usar um DNS com Zonas Integradas ao Active Directory, após terminarmos a promoção do DC e o mesmo sofrer a reinicialização, devemos fazer algumas configurações.

1.1 – Configurando a Placa de Rede do DC

Vamos configurar a placa de Rede do DC, se este for seu primeiro DC a ser promovido, o próprio utilitário do DCPROMO irá fazer o campo de DNS Preferencial ser alterado para 127.0.0.1, mesmo que antes, você já tenha alterado este campo, na Figura1 podemos ver este exemplo, segue abaixo:
Utilize o utilitário Nslookup no Command Prompt para conseguir levantar esta informação.

Figura 1 – Verificando a resposta do Nslookup

Vamos fazer a alteração na placa de rede de nosso servidor DC, edite as configurações da placa de rede e altere o DNS Preferencial para o IP de seu DC, em nosso exemplo estamos em um novo ambiente, estou usando o IP do próprio servidor, segue demonstração na Figura2:

Figura 2 – Alterando o DNS da Placa

Fazemos este procedimento para informar corretamente ao DC qual o DNS deve ser checado em uma consulta.

1.2 – Checando a Resolução de Reverso do DNS

Alguns procedimentos para aplicação de Policy e também regras no domínio dependem da resolução de nomes reversa, por isto devemos após a promoção de nosso DC, fazer o check para identificar se este recurso esta funcionando corretamente.
Para verificarmos isto utilizaremos o utilitário nslookup disponível no prompt de comando.

Digite o comando abaixo para verificar a resolução a Figura3 demonstra um cenário onde a zona reversa não é criada por default.

Figura 3 – DNS alterado mas sem resolução reversa

Neste momento já temos o DNS alterado (192.168.0.1) mas ainda não temos a resolução reversa em funcionamento (Unknown), iremos então criar a zona reversa de nosso domínio. Faça o seguinte procedimento:

· Abra o DNS (dnsmgmt.msc)

· Clique na opção Reverse Lookup Zones, caso esta opção esteja vazia Figura4,  iremos criar o Reverse Zone.

Figura 4 – Zona Reversa não cadastrada no Domínio

1.3 – Criando a Zona Reversa e o registro PTR do DC

Precisamos criar a Zona Reversa do DC para isto vamos utilizar o Wizard de criação de Zonas, siga as etapas abaixo:

a) Clique com o botão direito em Reverse Lookup Zone e selecione New Reverse Zone.

b) Na tela de Wizard Welcome clique em Next.

c) Na tela New Zone Wizard – Zone Types clique em Next (default Primary Zone e Active Directory Integrated).

d) Na tela New Zone Wizard – Active Directory Zone Replication Scope clique em Next.

e) Na tela New Zone Wizard – Reverse Lookup Zone Name marque a opção Ipv4 e clique em Next.

f) Na tela New Zone Wizard – Reverse Lookup Zone Name no campo Network ID coloque a Range IP da sua Infraestrutura e clique em Next.

g) Na tela New Zone Wizard – Dynamic Updates deixe o Default marcado e clique em Next.

h) Na tela New Zone Wizard – Summary clique em Finish para criar a Zona Reversa, conforme a Figura5.

Figura 5 – Zona Reversa Criada

Precisamos criar o registro PTR de nosso servidor, neste momento apenas existe a Zona Reversa não existe correção do erro gerado na Figura3, iremos corrigir este erro criando um novo registro PTR. Conforme Figura5, segue os passos:

a) Clique com o botão direito na sua Zona Reversa (0.168.192.in-addr.arpa) e selecione New Pointer (PTR)

b) Na tela de New Resource Record existem três campos conforme a Figura6, segue abaixo:

i.  Host IP Address – Este campo traz o IP do Registro PTR (IP do DC)

ii. FQDN  - Este campo traz o nome completo (Nome FQDN do Domínio - Reverse)

iii. Host Name – Nome do Servidor (Nome FQDN do DC)

Figura 6 – Criando o PTR do DC

Após o registro criado, podemos verificar que o registro PTR já esta disponível dentro da Zona Reversa, isto pode ser visto e testado com o utilitário Nslookup no prompt de comando, idêntico ao passo executado na Figura3, demonstramos este processo na Figura7, onde vemos o registro PTR ao fundo, criado na Zona Reversa.
Após isto abra uma nova seção no prompt de comando, para testar a resolução reversa de DNS com o Nslookup (Figura7).

Figura 7 – Testando a Resolução Reversa do Dns

2 – Verificando a Exitência das pastas Netlogon e Sysvol

Quando promovemos um servidor à função de Domain Controller, dois compartilhamentos muito importantes são criados dentro deste servidor, os compartilhamentos são Netlogon e Sysvol.

Para uma administração correta, é muito interessante dominarmos o pleno conhecimento destes compartilhamentos, assim entendendo para que servem e como checar erros nos mesmos.

2.1 – O que é o compartilhamento Netlogon

O compartilhamento Netlogon é usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informações com outros Dc`s. Esta replicação é feita de forma segura entre os DC`s.

O serviço responsável por esta replicação entre os Dc`s é o Netlogon (%SystemRoot%\System32\Netlogon.dll).
Para checar se os serviços estão configurados corretamente, no Windows Server 2003 precisamos instalar o Support Tools, no Windows Server 2008 o recurso já esta instalado.

Abra um prompt de comando e digite DCDIAG, o comando DCDIAG vai gerar um relatório do estado dos serviços do seu Active Directory, pode-se usar este relatório para levantamento de erros e verificação da estrutura do Domain Controller.

2.2 – O que é o compartilhamento Sysvol

O Compartilhamento Sysvol (System Volume) é usado no Windows 2000, Windows Server 2003 e Windows Server 2008 para compartilhar informações com outros Dc`s. As informações replicadas são Group Policy Objects, startup and shutdown scripts e logon and logoff scripts.

O serviço responsável por gerenciar estes atributos é o FRS (File Replication Service), ele gerecia a replicação do Sysvol, porém caso tenhamos um upgrade de Domain Function Level para Windows Server 2008, o serviço de replicação para os Dc`s passa a ser o DFRS (Distributed File System Replication), válido apenas para Dc`s com Windows Server 2008.

Para visualizar a estrutura do Sysvol abra o prompt de comando e digite Start Sysvol, receberemos a tela da Figura8, com toda a estrutura do Sysvol, o comando Start Sysvol serve para demonstrar a estrutura de pastas, não importando se esta foi movida do caminho default.

Figura 8 – Utilizando o Start Sysvol

Após a abertura da tela podemos verificar se a estrutrua do Sysvol esta como da Figura8, em um próximo artigo falaremos especificamente sobre Infraestrutura de Sysvol e Netlogon.

3 – Testando a Resolução DNS para Dc e para FQDN do Domínio

A resolução DNS é muito importante para o domínio e um dos testes básicos para checar a resolução, é verificar se o FQDN do servidor ou o FQDN do Domínio estão respondendo para o mesmo lugar.

3.1 – Testando a Resolução DNS para DC

Quando acabamos de instalar um DC temos também que testar a resolução de rede de nosso Domain Controller, vale lembrar que se acessarmos o FQDN do Servidor (Figura9), nossa solicitação tem que nos levar para resolução da Figura10.

Na Figura9 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de Policies e também a estrutura de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com outros Dc`s.

Figura 9 – Acessando FQDN do DC

Figura 10 – Netlogon e Sysvol do DC

3.2 – Testando a Resolução DNS para FQDN do Domínio

Quando acabamos de instalar um DC temos também que testar a resolução de rede do FQDN do Domínio, vale lembrar que se acessarmos o FQDN do Domínio (Figura11), nossa solicitação tem que nos levar para resolução da Figura12.

Na Figura11 vemos as pastas Netlogon e Sysvol nestas pastas temos a estrutura de GPO e também a estrutura de scripts da Rede, bem como todas alterações no Domínio utilizam estas pastas para replicar com outros Dc`s.

Quando desligamos o DC o Active Directory utiliza a resolução de nome FQDN do Domínio, sendo assim o usuário não será deslocado para o FQDN do DC e sim para o FQDN do Domínio, desta forma outro DC assume a função dos compartilhamentos.

Figura 11 – Acessando FQDN do Domínio

Figura 12 – Netlogon e Sysvol do Domínio

4 – Verificando as FSMO`s

Em nosso cenário estamos utilizando um único DC. Caso tenha mais Dc`s ou não é interessante sabermos se todas FSMO`s estão disponíveis, para isto, iremos checar as FSMO`s, isto é muito simples abra um Prompt de Comando e utilize o comando Netdom query FSMO, o resultado será a Figura13 que segue abaixo:

Figura 13 – Netdom para verificar as FSMO`s

Este comando demonstra onde as FSMO`s estão sendo gerenciadas.

5 – Checando o Event Viewer
Para finalizarmos não poderíamos deixar de falar do Event Viewer, ele foi remodelado no Windows Server 2008, porém continua agradável e demonstra tudo que ocorre em nossos servidores. Vale lembrar que a função de DC, tem algumas opções diferentes dos outros servidores.
A Figura14 demonstra o Event Viewer, este precisa ser checado após a promoção do Domain Controller, segue abaixo:

Figura 14 – Event Viewer para checar erros

Conclusão

Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem dúvidas sobre a função de Domain Controller no Active Directory, explicamos em 5 passos como garantir a saúde de seu DC após a promoção, desde o simples recurso de um PTR Zone Reverse, até a checagem das FSMO com o NETDOM, tenham uma ótima leitura.

Referências + Tópicos Relacionados

Para elaboração deste artigo utilizamos além do dia a dia como instrutor, materiais que servem como leitura posterior.

1 – Active Directory – Administrator’s Pocket Consutant (livro de bolso para o Administrator de Active Directory).

2 – Windows Server 2003 Active Directory and Network Infrastructure – Exam 70-297 (Ótima referência para Exames).

3 – Building Enterprise Active Directory Services – Notes from the Field.

4 – Windows Internals 5º Edition – Covering Windows Server 2008 and Windows Vista (A melhor referência sobre Internals).

Muitos foram os blogs navegados e opiniões retiradas de muitos bate-papos com amigos, gostaria de agradecer a todos.