O que é o Active Directory

Com o grande aumento de redes corporativas, surgiu a necessidade de um artigo que aborde o inicio da tecnologia Microsoft, neste artigo falaremos sobre Active Directory, conversaremos e demonstraremos através de muitas ilustrações porque este serviço conhecido como AD, é tão importante na vida de pequenas, médias e grandes corporações.

por Rover Marinho

Tecnologias

Active Directory

Sumário

Com o grande aumento de redes corporativas, surgiu a necessidade de um artigo que aborde o inicio da tecnologia Microsoft, neste artigo falaremos sobre Active Directory, conversaremos e demonstraremos através de muitas ilustrações porque este serviço conhecido como AD, é tão importante na vida de pequenas, médias e grandes corporações.

Conteúdo

1. O que é serviço de diretório.

2. Por que usar o Active Directory?

2.1 - Domain Controller é Active Directory?

3. Infraestrutura do Active Directory

3.1 - Estrutura Lógica do Active Directory

3.2 - Estrutura Física do Active Directory

Introdução

Este artigo foi desenvolvido para você que tem dúvidas sobre Active Directory, pensamos em desenvolver um material que pudesse ser apreciado para o mais iniciante ao mais avançado em Active Directory, colocamos ou pelo menos tentamos, esboçar em conceitos bem simples a topologia lógica e fisíca do Active Directory.

Esperamos que este material possa ser utilizado para pesquisa e para estudo dos exames da Microsoft. Uma boa leitura...

1 - O que é um serviço de diretório

Um serviço de diretório pode se explicado com várias ilustrações, mas a ilustração que em minha opinião mais demonstra o verdadeiro sentido de um serviço de diretório é a figura de uma lista telefonica ou uma agenda pessoal.

Figura 1 – Lista Telefonica

Em nossa agenda podemos organizar, dias, semanas, meses e até anos, passando por pessoas, nomes, sobrenomes, datas de aniversário, dados importantes dentre outros.

O serviço de diretório tem exatamente o mesmo sentido, o sentido de organizar e principalmente ter um local centralizado para a busca de informações necessárias no dia a dia, para nossos trabalhos.

Quando criamos um novo usuário, estamos utilizando o serviço de diretório, nesta base de dados (agenda), estamos guardando,  nomes, sobrenomes, endereços, logins, senhas, grupos, ao qual o usuário pertence dentre outras tantas opções que podemos cadastrar, tudo isto ficará disponível dentro de uma base de dados, esta base de dados poderá ser utilizada pelos nossos servidores para vários trabalhos.

Hoje no mercado temos três soluções de serviço de diretório:

1- Open Ldap para Sistemas Open Source.

2- EDirectory para Sistemas Novell.

3- Active Directory para Sistemas Microsoft e com suporte para todos acima citados.

No mercado de hoje nossos negócios precisam ter informações rápidas, de fácil atualização, alta disponibilidade e principalmente muita segurança e o Active Directory pode nos oferecer todos estes atributos e muito mais...

2 - Por que usar o Active Directory?

O Active Directory assumiu o mercado de serviços de diretório pelo seu desempenho, segurança e principalmente disponibilidade, o Active Directory esta no mercado desde o lançamento do Windows 2000 Server, após o seu nascimento assumiu a liderança dos serviços de diretório, utilizando como base o LDAP e a comunicação através de replicação lançou vários atributos e principalmente ferramentas para facilitar o gerenciamento de informações nas empresas.

Hoje quando usamos um usuário para logar no domínio de nossa empresa, estamos utilizando um serviço de diretório e por consequência usando o Active Directory.

Abaixo temos uma figura para demonstrar todos os recursos que o Active Directory pode utilizar como serviço de diretório de sua empresa.

Figura 2 – Atributos do Active Directory

2.1 - Domain Controller (DC) é Active Directory (AD)?

Se perguntarmos a qualquer especialista ou Instrutor Microsoft (MCT), creio que esta deve ser a pergunta Top sem nenhuma chance de segunda colocada, pensando nisto desenhei a estrutura abaixo para podermos explicar esta informação. Bem, antes de mais nada não é a mesma coisa, ok.

Nos tópicos anteriores comparamos o AD com uma agenda, o AD fisicamente também tem um banco de dados, este banco é conhecido com NTDS.dit e esta localizado na pasta %SystemRoot%\NTDS\ntds.dit em uma instalação default do AD.

Este diretório chamado de NTDS apenas existirá nos servidores que tenham a função de Domain Controllers (DC’s). Neste diretório existirão os arquivos relacionados abaixo:

Durante o processo de instalação do Active Directory, são criados cinco arquivos:

Ntds.dit - Arquivo de banco de dados do AD
Edb.log - Arquivo onde são armazenados todas as transações feitas no AD.
Edb.chk - Arquivo de checkpoint que controla quais transações do arquivo Edb.log já foram comitadas no arquivo Ntds.dit.
Res1.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso de falta de espaço em disco.
Res2.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso de falta de espaço em disco.

Bem agora sabemos que a estrutura lógica do AD é gravada em uma base de dados física chamada de Ntds.dit, porém DC é AD!

Não é claro que não, no desenho abaixo demonstramos claramente a diferença entre AD (estrutura lógica do AD) e DC (Servidor que contém uma cópia do NTDS.dit do AD).

No desenho abaixo imaginemos uma construção, estamos construindo um grande salão de festas, ok. Imaginem que nosso teto (retângulo azul) é nosso Active Directory, porém precisamos apoiar este teto em pilares (cilindros vermelhos), caso contrário nosso teto irá desabar, certo!

Figura 3 – Estrutura do Active Directory

É isto mesmo, o Active Directory é a estrutura lógica (teto), e os DC’s são servidores fisicos (pilares), por isto a necessidade de termos muitos DC’s, assim nosso AD mesmo na falha de um DC (pilar) ainda conseguirá responder as solicitações e pedidos de nosso AD.

Figura 4 – Estrutura do Active Directory com falha no DC

Isto só é possível pois cada servidor quando recebe a função de Domain Controller, herda a criação do diretório %SystemRoot%\NTDSe toda a estrutura comentada acima. Todos os dados criados originalmente são replicados para o novo DC criado, sendo assim em um AD (domínio) com três DC’s como na figura abaixo, estão atualizados com todos os dados identicamente, a isto damos o nome de replicação do Active Directory.

Figura 5 – NTDS.dit sendo replicado

3 - Infraestrutura de Active Directory

O Serviço de Diretório do AD é divido em duas estruturas a estrutura lógica e a estrutura física, é de grande importância o conhecimento pleno sobre a estrutura do AD. Nestas explicações daremos alguns toques de ferramentas que podem auxiliar na verificação deste processo, vale lembrar que estamos focando as explicações no Active Directory do Windows Server 2008, porém estas explicações poderão ser utilizadas em qualquer uma das versões de Active Directory.

3.1 - Estrutura Lógica do Active Directory

Quando falamos de estrutura lógica do Active Directory, muitos termos são falados, a estrutura lógica do AD consiste em Objetos, Unidades Organizacionais, Domínio, Árvores de Domínio e Floresta.

Utilizamos a estrutura lógica do AD para podermos gerenciar os objetos dentro da organização.

1 – Objetos

São os componentes mais básicos da estrutura lógica e representam, usuários, computadores e impressoras. Outros objetos podem ser criados porém esta é uma discussão posterior.

2 – Unidades Organizacionais

Uma OU é um objeto de conteiner, utilizado para organizar outros objetos. A organização pode ser feita de várias formas.

· Geográfica – Onde as OU’s representam Estados ou Cidades de sua estrutura física

o Exemplo: OU SP - OU RJ

· Setorial – Onde as OU’s representam setores da estrutura física da empresa, por unidade de negócio.

o Exemplo: OU Administrativo – OU Produção

· Departamental – Onde as OU’s represetam setores da estrutura física da empresa por departamento.

o Exemplo: OU RH – OU DP – OU Caldeira

· Hibrido – Modelo onde podemos interagir todos os modelos acima, na Figura abaixo temos um modelo disto.

Figura 6 – NTDS.dit sendo replicado

3 – Domínios

O domínio é a estrutura mais importante do Active Directory e tem 2 funções principais.

· Fecham um limite administrativo para objetos. “Quem esta fora não entra, quem esta dentro não sai”, claro que esta regra pode sofrer alteração mediante permissões de entrada e saída, como relações de confiança.

· Gerenciam a segurança de contas e recursos dentro do Active Directory

Vale lembrar que um domínio do Active Directory compartilham:

· Mesmo banco de dados Ntds.dit com cada Domain Controller dentro deste domínio.

· Diretivas de segurança.

· Relações de Confiança com outros domínios.

Podemos representar o domínio do Active Directory pela forma geométrica de um triângulo, conforme a Figura 5.

4 – Árvores de Domínio

Quando precisamos criar um segundo domínio por necessidades de mudanças principalmente no processo de segurança temos o que chamamos de domínios filhos.

Quando temos um domínio pai com seus domínios filhos, chamamos de árvore de domínio, pois dividem o mesmo sufixo DNS porém em distribuição hierárquica. Abaixo colocamos um exemplo para ilustrar nossa explicação.

Criamos o domínio livemotion.local coforme Figura 7, para podermos configurar diretivas de segurança. Em um dado momento precisamos criar um domínio novo, que tenha acesso aos recursos do domínio livemotion.local, porém tenha suas próprias necessidades de segurança, Figura 8.

Figura 7 – Domínio Único

Figura 8 – Árvore de Domínio

Conforme as figuras acima, podemos ver que quando temos um domínio filho, imediatamente estamos vinculados a um domínio pai, e esta divisão hierárquica de nome chamamos de Árvore de Domínios.

5 – Floresta

O primeiro domínio de uma Floresta chamamos de Root Domain e a Floresta receberá o nome deste domínio, a floresta pode ser feita de um único domínio com também estar dividida com várias árvores dentro da mesma floresta.

Figura 9 – Forest Root Domain

 

3.2 - Estrutura Física do Active Directory

Quando falamos de estrutura física do Active Directory, alguns termos são utilizados, a estrutura física do AD consiste em Domain Controllers e Sites.

A estrutura física do AD é totalmente independente da estrutura lógica do AD. A estrutura física é responsável por Otimizar o tráfego de rede.

1 – Domain Controllers

Bem, neste momento precisamos aumentar o nível de nossa discussão sobre AD, no início deste artigo, focamos em fazer o público entender o AD, agora iremos mostrar como o Active Directory funciona nos DC’s, vamos lá...

Um Domain Controller ou DC tem a função de executar o Active Directory e também armazenar a base do Active Directory e Replicar esta base com outros DC’s.

Quando falamos de Árvores de Domínio ou até mesmo Floresta, vale lembrar que um DC pode apenas suportar um único domínio.

Para criar uma disponibilidade do Active Directory podemos ter mais de um DC, sendo assim num exemplo de 2 Dc’s temos a base do Active Directory sendo replicada identica para os dois Dc’s.

A base do Active Directory o NTDS.dit é divido em partições, conforme a Figura 10.

Figura 10 – Partições do NTDS.dit

Estas partições formam o arquivo NTDS.dit, este é replicado entre cada um dos DC’s de seu domínio, consequentemente o arquivo é replicado para cada DC, tendo todos os Dc’s sincronizados logo teremos um Active Directory saudável.

2 - Sites

Os Sites servem para organizar a latência de replicação de Dc’s dentro do mesmo site, bem como fazer com que os DC’s daquele determinado Site não utilizem o link de replicação de forma desnecessária.

Através da organização por sites do Active Directory, podemos limitar um deternimano grupo de computadores a estabelecer contato com sua Matriz, ou vice-versa apenas nos horários de menor fluxo, este conceito chamamos de agendamento de replicação.

Enfim os sites do AD são utilizados para fazer com que um determinado Range ou Ranges, estejam separados por distâncias fisícas, porém que os dados dos DC’s sejam replicados continuamente ou em horários pré-agendados, tendo assim Dc atualizados mesmo em grandes distâncias.

Conclusão

Para concluir, gostaria de informar que este artigo foi desenvolvido para todos aqueles que tem dúvidas sobre o Active Directory, no Windows Server 2008 muitas mudanças foram efetuadas, mas o conceito absorvido neste artigo poderá ser levado para novas plataformas de Active Directory.

Revise cada tópico deste artigo, de topologia fisíca a topologia lógica, este artigo foi escrito para você, principalmente pratique, a Microsoft detém vários softwares para máquinas virtuais que são bem interessantes para emularmos ambientes do Active Directory.

Referências + Tópicos Relacionados

Para elaboração deste artigo utilizamos além do dia a dia como instrutor, materiais que servem como leitura posterior.

1 – Active Directory – Administrator’s Pocket Consutant (livro de bolso para o Administrator de Active Directory)

2 – Windows Server 2003 Active Directory and Network Infrastructure – Exam 70-297 (Ótima referência para Exames)

3 – Building Enterprise Active Directory Services – Notes from the Field

Muitos foram os blogs navegados e opiniões retiradas de muitos bate-papos com amigos, gostaria de agradecer a todos.