Follow admAndreLuiz on Twitter

segunda-feira, 20 de março de 2023

Azure Virtual Desktop - External Users. Entendendo o Licenciamento

 Neste artigo, abordaremos o licenciamento da Área de Trabalho Virtual do Azure e como é diferente para usuários externos e para usuários internos, como os preços de acesso por usuário funcionam e como licenciar outros produtos que você planeja usar com a Área de Trabalho Virtual do Azure.

Primeiro vamos definir, em termos de compliance de licenciamento o que seriam usuários externos e internos

Os usuários internos são membros de sua própria organização, como funcionários de uma empresa ou alunos , no caso de uma escola.

 Os usuários externos não fazem parte da organização, como clientes por exemplo.

Uma observação: Não estramos tratando aqui de Identidades externas (IDs).Atualmente não temos suporte a externals IDs no Azure AVD. Para um usuário externo conectar é necessário gerenciar essas credenciais no próprio domínio.

Para os usuários internos as regras já eram claras, precisamos de possuir os seguintes licenciamentos, os quais não são vendidos como serviços do Azure:

Uma licença Windows ou Microsoft 365 qualificada:

  • Concede direitos de acesso à Área de Trabalho Virtual do Azure somente para usuários internos. Não licencia usuários externos,
  • Microsoft 365 E3/E5
  • Microsoft 365 A3/A5/Benefícios de Uso do Estudante
  • Microsoft 365 F3
  • Microsoft 365 Business Premium**
  • Windows 10 Enterprise E3/E5
  • Windows 10 Education A3/A5
  • Windows 10 VDA por usuário


E para os usuários externos como funciona ?

Você paga pelo preço de acesso por usuário por meio de sua assinatura ou assinaturas do Azure . Em cada período de cobrança, você paga apenas pelos usuários que realmente usaram o serviço. Somente os usuários que se conectam pelo menos uma vez à Área de Trabalho Virtual do Azure incorrem em um encargo de acesso.

Existem 2 níveis de preço:

  • O primeiro nível de preço é chamado de "Aplicativos". Esse preço simples é cobrado dos usuários que acessam pelo menos um grupo de aplicativos do RemoteApp e nenhum grupo de aplicativos da Área de Trabalho.
  • O segundo nível é "Aplicativos + Áreas de Trabalho". Esse preço é cobrado dos usuários que acessam pelo menos um grupo de aplicativos da Área de Trabalho.

ATENÇÃO

1) Se você tiver usuários internos para os quais está comprando licenças qualificadas, recomendamos que você forneça acesso à Área de Trabalho Virtual do Azure por meio de uma assinatura separada que não esteja registrada no preço de acesso por usuário para evitar o pagamento duplicado para esses usuários.

2) A licença de acesso por usuário da Área de Trabalho Virtual do Azure não é uma substituta completa de uma licença do Windows ou do Microsoft 365. As licenças por usuário só concedem direitos de acesso à Área de Trabalho Virtual do Azure e não incluem Microsoft Office, Microsoft 365 Defender por exemplo.

3) Não suporta hosts baseados em Windows server.

Resumindo a cobrança por usuário Externo:

  • Concede direitos de acesso à Área de Trabalho Virtual do Azure somente para usuários externos. Não concede acesso a membros da sua própria organização ou para fins comerciais internos.
  • Pagamento conforme o uso de acordo com um medidor do Azure.
  • O custo por usuário a cada mês depende do comportamento do usuário
  • Inclui apenas direitos de acesso à Área de Trabalho Virtual do Azure.


Espero que tenha sido útil essas informações deixo aqui o link de referência:

Andre Luiz Oliveira

Account Services Manager na 4msTech e Microsoft MVP Enterprise Mobility.

segunda-feira, 27 de janeiro de 2020

UPGRADE GRATÚITO WINDOWS 7 PARA WINDOWS 10. AINDA POSSO FAZER ?

Tenho recebido vários questionamentos no mundo corporativo se ainda posso atualizar do Windows 7 para o Windows 10 gratuitamente conforme a promoção lançada na época.

O volume de questionamentos aumentou devido a diversos links que ensinam, técnicamente, a fazer o upgrade, ainda que tardio.

Voltando ao mundo corporativo, temos uma preocupação muito grande com a Compliance. Ai vem a pergunta:

Técnicamente funcionando o upgrade, a minha empresa está Compliance ou posso ter problemas com auditoria ?

A resposta é: NÃO ESTÁ EM CONFORMIDADE e SIM a empresa pode ter problemas com auditoria.

Vejamos os documentos oficiais sobre o assunto:

No site da Microsoft:

https://support.microsoft.com/pt-br/help/12435/windows-10-upgrade-faq

Destacamos as seguintes respostas :

"A oferta de upgrade gratuito para o Windows 10 ainda está disponível?
O upgrade gratuito para o Windows 10 por meio do aplicativo Obter o Windows 10 (GWX) foi encerrado em 29 de julho de 2016. "

"Ainda estarei qualificado para a oferta de upgrade gratuito se já tiver baixado o Windows 10 em uma unidade USB, mas ainda não tiver feito upgrade de meu dispositivo?
Todos os upgrades devem ter sido concluídos e chegado à tela de "boas-vindas" até 23h59 UTC-10 (Havaí) no dia 29 de julho de 2016; esse é um momento mundial."

Resumindo, a Empresa que ainda não atualizou o sistema operacional Windows 7,  deve procurar um parceiro de licenciamento e ver as opções de contrato. Dependendo do nível do contrato é possível uma compra de externsão do suporte,

Espero ter ajudado.





terça-feira, 20 de novembro de 2018

Licenciando VDI com Windows 10

Overview sobre o licenciamento VDI no Windows 10


Na verdade resolvi escrever isso pela dificuldade que tive de entender como licenciar corretamente o ambiente de VDI (Desktops Virtuais) no windows 10 em contratos por volume  e acredito que outras pessoas tenham dúvidas também. Utilizarei como base um documento do Windows 10 Volume licensing guide https://download.microsoft.com/download/2/d/1/2d14fe17-66c2-4d4c-af73-e122930b60f6/windows-10-volume-licensing-guide.pdf daonde também foram extraidas as figuras.
A maior dificuldade foi tentar entender o licenciamento de ambiente do VDI sem antes entender como o Windows 10 é comercializado e licenciado.

O Artigo completo está abaixo e espero que seja útil.


Artigo Completo baixe aqui

Obrigado.

André Oliveira




segunda-feira, 12 de novembro de 2018

Microsoft Cloud Office 365 Azure e a Normativa do BACEN Nº 4658


Se você tem clientes Microsoft Azure ou Office 365 do setor financeiro, se não foi, será, em breve questionado sobre a resolução BACEN Nº 4658  de 26/04/2018.

O que seria essa resolução e como ela impactaria o cliente ?

Vejamos o artigo 1o para termos uma noção.


Art. 1º Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

O Artigo 2o trata de segurança Cibernética

Art. 2º As instituições referidas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados ...

A pergunta é: Como os serviços da Microsoft endereçam essas necessidades de conformidade ? 

Segue em anexo um documento com as respostas e links para os controles que a Microsoft adota para endereçar essas necessidades.

Espero que seja útil .

https://1drv.ms/b/s!AnSO75GhsOWeiss59LjKOvpGEQZH3w


André Oliveira


segunda-feira, 8 de outubro de 2018

Dell University


Já pensou em começar sua carreira na maior empresa privada de tecnologia do mundo!?

A Dell estará de portas abertas para receber estudantes e apresentar nossas principais áreas de atuação e desafios.

Se você tem disponibilidade para estagiar de 1.5 a 2 anos, conhecimentos de inglês, pacote Office e possibilidade de atuar nas regiões de Porto Alegre/RS ou Hortolânida/SP, aplique-se no link abaixo

e aguarde nosso contato para saber mais sobre o processo seletivo.                                                                                       

Descubra seu futuro, #VemPraDell 
http://bit.ly/VemPraDell

#IWork4Dell








terça-feira, 17 de outubro de 2017

MICROSOFT IGNITE– 2017–FLÓRIDA

O que é o Ignite ?

•Maior evento técnico mundial da Microsoft ,

•“1,000+ hours of content 700+ sessions, insights and roadmaps from industry leaders, and deep dives and live demos”

imageimage

terça-feira, 21 de março de 2017

quarta-feira, 2 de dezembro de 2015

Palestra Infnet Computação em Nuvem Microsoft

Computação em nuvem com a Microsoft

dia 03-12-2015 as 18:30
Inscrições Grátis :
PALESTRA: Computação em nuvem com a Microsoft
O conceito de computação em nuvem, refere-se à utilização da memória e das capacidades de armazenamento e cálculo de computadores e servidores compartilhados e interligados por meio da Internet, seguindo o princípio da computação em grade.
Saiba mais sobre esse tema utilizando os serviços da Microsoft.
Não perca os eventos de dezembro! Acompanhe pelo portal ou pelas redes sociais:

Andre luiz mattos oliveira
Andre Luiz Mattos Oliveira
Palestrante Instituto Infnet
Prof. André Luiz é Analista de Sistemas com MBA em Gestão de Projetos. Certificado pelo PMI,EXIN,VMWARE SYMANTEC  e MICROSOFT aonde foi premiado 8 anos seguidos com o Microsoft MVP Award. Fez carreira passando por grandes empresas no Brasil e exterior. Atualmente gerente de projetos da Brasoftware  para região sudeste gerenciando  projetos de nuvem para empresas de grande porte nacionais e multinacionais. Professor de graduação da Infnet e Palestrante da comunidade Microsoft com diversos trabalhos publicados.  


terça-feira, 11 de agosto de 2015

MS WEEKEND PRESENCIAL PORTO SEGURO BA

MSWeekend_Presencial.png

Inscrições Livres:

http://www.msweekend.com/agenda/presencial

 

Agenda

Credenciamento   08:00 -08:30                                                                                              

-----------------------------------------------------------------------------------------------------Solução de segurança Microsoft com Advanced Threat Analytics (ATA)

Horario: 08:30 - 09:30

Palestrante: Renato Nogueira

------------------------------------------------------------------------------------------------------

Serviços de Nuvem da microsoft

Horario: 09:30 - 10:30

Palestrante: Profº André Luiz

----------------------------------------------------------------------------------------------------
Coffee Break 10:30 - 11:00
----------------------------------------------------------------------------------------------------

Automatizando o Deployment Corporativo do Windows 10

Horario: 11:00 - 12:00

Palestrante: Eduardo Sena

----------------------------------------------------------------------------------------------------
Almoço  12:00 - 14:00
----------------------------------------------------------------------------------------------------

Gestão dos serviços com ITIL,  COBIT e MOF

 

Horario: 14:00 - 15:00

Palestrante: Jenner Souza

----------------------------------------------------------------------------------------------------
Coffee Break/Networking  15:00 - 16:00
----------------------------------------------------------------------------------------------------

Mesa Redonda

Horario: 16:00 - 17:00

Palestrante: Jenner Souza, Eduardo Sena, Prof André Luiz e Renato Nogueira

----------------------------------------------------------------------------------------------------
Encerramento / Sorteio de Brindes  17:00 - 17:30

terça-feira, 7 de julho de 2015

Visual Studio 2015! LANÇAMENTO

baner

Em 20 de julho, iremos celebrar a última release do Visual Studio 2015! Convidamos a todos a aprender sobre as novas features e tecnologias que acompanharão a nova versão. Você poderá interagir na sessão ao vivo, participar da sessão de perguntas e respostas com o time de engenharia, além de se aprofundar em detalhes técnicos, em mais de 60 sessões on-demand. Para acessar, clique aqui.

Teremos também a oportunidade de ver o time de Visual Studio criando uma solução fim-a-fim em um projeto open-source, alavancando as mais novas ferramentas e tecnologias. Veja como eles lidam com os mais diferentes cenários e tire suas dúvidas.

Participe do lançamento no dia 20 de julho, clicando aqui. Não é necessário fazer o registro, apenas acesse a URL no dia 20 de Julho, a partir das 12h30 (horário de Brasília). Siga @visualstudio e acompanhe as novidades.

Compartilhe conosco a sua experiência usando a hashtag #visualstudiortm

domingo, 19 de outubro de 2014

II Encontro de Profissionais de TI–TX Freitas Bahia

O II Encontro de Profissionais de TI: Tendências emergentes em uma área em expansão é um evento que abrange praticamente todos os tópicos de pesquisa em Ciência da Computação, envolvendo aplicabilidade, teoria, métodos e inovações tecnológicas.

Inscrições em

http://eventospitagoras.com.br/inscricoes

image

image

segunda-feira, 25 de agosto de 2014

Uma visão geral do Active Directory ou Domain Services (DS)

 

O serviço de diretórios é um dos principais serviços e deve implementado numa rede corporativa visando organização e facilidade de gerenciamento. Nesse artigo termos uma visão geral do Active Directory Domain Service , o serviço de diretório ativo do Windows 2008 Server. Esse artigo dará uma visão geral e nos próximos nos aprofundaremos na sua arquitetura e práticas de implementação  Descreveremos o que é o Active Directory e porque usá-lo. Abordaremos sua estrutura, como a sua divisão em domínios, árvores, florestas e unidades organizacionais. Também mostraremos passo a passo uma configuração de um controlador de domínio para um novo domínio, partindo da premissa de que toda a estrutura de rede já está em funcionamento e, o mais importante, o devido planejamento foi feito.

Usaremos como base para esse artigo o Windows 2008, porém os conceitos podem ser usados em versões anteriores salvo funções específicas do sistema operacional.

Gostaríamos de ressaltar que as principais atividades na implementação do Active Directory são de planejamento. Um planejamento correto do Active Directory vai dar escalabilidade , ou seja , vai permitir o crescimento da empresa sem comprometer os investimentos já realizados. Repetiremos essa palavra muitas vezes durante o artigo pois acreditamos que o PLANEJAMENTO é a principal etapa da implementação do Active Directory nas organizações.

Esperamos que esse artigo ajude a entender e dar um início aos estudos de viabilidade da implementação do Active Directory na sua organização.

O que é Active Directory?

Por definição o Active Directory Domain Services é o serviço de diretórios do Windows 2008. Nas versões anteriores chamávamos de Active Directory ou simplesmente AD. No Windows 2008 o Active Directory foi dividido em vários serviços , que são :

•Active Directory Domain Services

•Active Directory Lightweight Directory Services

•Active Directory Certificate Services

•Active Directory Rights Management Services

•Active Directory Federation Services

Um deles , o de diretório ou Domain Services , é o do qual iremos tratar nessa série de artigos, chamado AD-DS.

O AD-DS armazena os recursos da rede como usuários, grupos, computadores, arquivos, impressoras e aplicativos, os quais chamaremos de OBJETOS. Além disso fornece os serviços que tornam essas informações disponíveis como vemos na Figura 1.

clip_image004

Figura 1. O Active Directory armazena recursos da rede.

O AD-DS usa uma estrutura hierárquica para armazenar informações. Usuários, impressoras e demais recursos, os quais são armazenados como Objetos conforme citamos anteriormente.

Lembrando a estrutura de um banco de dados os objetos tem atributos como por exemplo o nome de um usuário ou seu email. A localização de uma impressora por exemplo é um exemplo de atributo de objeto. Aproveitando, damos a dica de por exemplo preenchermos os campos de observação no cadastro de impressoras , pois esses campos podem ser úteis na localização do recurso.

Se enxergamos o Active Directory como um Banco de Dados então os objetos seriam “registros” por exemplo o usuário ANDRÉ é um “registro” e os atributos como senha , email etc. seriam os “campos” desse banco. Para acessar esses dados temos as seguintes ferramentas disponíveis :

· Ferramentas, interfaces de usuário e componentes do Windows

· APIs (.NET, VBScript, Windows PowerShell)

· LDAP (Lightweight Directory Access Protocol)

O AD-DS É um repositório central de informações de rede, é organizado em domínios, árvores e florestas como veremos no detalhe. Os objetos são mantidos num domínio, detalhado ainda nesse artigo. Podemos dizer que o domínio é uma área (lógica) de organização e segurança do AD-DS. Figura 2

clip_image006

Figura 2. O domínio é uma área de organização e segurança do AD-DS

Aprofundando:

O atributo unicodePwd armazena o “hash” da senha, ou seja em formato ilegível.e o atributo userPassword é utilizado na alteração e redefinição de senha. Então quando quando alteramos uma senha, é feita uma “gravação” no atributo userPassword. O sistema então calcula o hash e o armazena em unicodePwd. Desta forma não conseguimos “recuperar” uma senha apenas sobrepô-la.

Porque usar Active Directory?

Na plataforma Microsoft ,temos duas opções de trabalhar compartilhando recursos em rede: ou usamos a  opção de grupo de trabalho (“Workgroup”) ou em forma de Domínio usando o AD-DS.

Normalmente usado em pequenas empresas ou em ambientes caseiros, a opção de trabalhar em grupo nos traz inconvenientes, por exemplo, o fato das contas de usuários e senhas serem armazenadas localmente em cada computador da rede e não existir nenhuma forma de sincronizar essas senhas. Em relação ao armazenamento de senhas podemos dizer que o AD-DS faz o armazenamento centralizado de identidades para todos os membros do domínio tendo assim um serviço de autenticação centralizado, hospedado por um servidor que desempenha o papel de um controlador de domínio do AD DS

O fato do Active Directory simplicar o gerenciamento da segurança armazenando as credenciais de usuário de uma forma centralizada, permite, por exemplo, a exclusão e inclusão de objetos para o domínio de um local só, permitindo também o Logon único em toda a rede. Outra vantagem de usarmos o AD-DS é a administração centralizada de estações de trabalho, como por exemplo, padronização da área de trabalho bem como instalações de software. Vemos assim que o AD-DS não é só usado para armazenar e fornecer informações, mas, também para gerenciar configurações.

A centralização e a organização de objetos na rede também favorece a redução de custos, principalmente os de administração. Além disso, aplicações específicas como por exemplo o servidor de correios da Microsoft, o Exchange Server utilizam suas extensões para se conectar e integrar os usuários criados no Active Directory como as caixas postais e demais serviços de colaboração, sendo possível enviar e-mails para grupos de distribuição de e-mails criados no Active Directory. Uma outro exemplo é uma aplicação que permita que funcionários do RH da empresa incluam usuários no AD usando como interface uma aplicação front-end.

Não existe nenhuma razão técnica para não usar o AD-DS , a não ser em casos extremos de redução de custos numa pequena empresa aonde não se tem recursos para implementação e administração de um ambiente de domínio.

Aprofundando

AD DS usa um protocolo de autenticação padrão do setor — ele não foi criado pela Microsoft.

O que é um Domínio ?

Como já mencionado, o DOMÍNIO é uma área lógica de segurança e é controlado por pelo menos um computador fazendo o papel de CONTROLADOR DE DOMÍNIO. Cada computador e conta de usuário faz parte de um domínio , simbolizado por um triângulo conforme vemos na Figura 2.

O que é Unidade Organizacional (OU) ?

O AD-DS pode conter milhares ou milhões de objetos, imaginemos todos esses objetos em um lugar só, teríamos um sério problema de gerenciamento. Então como podemos melhorar o gerenciamento ? Colocando os objetos em coleções chamadas de Unidades Organizacionais, as quais, podemos também chamar de OU ( sigla da nomenclatura em inglês) ou containers. Podemos dizer então, que o domínio pode ser dividido em unidades organizacionais visando melhorar o gerenciamento dos Objetos.

Com OUs você pode copiar a estrutura geográfica ou organizacional da sua empresa Figura 3 . .A divisão do domínio em unidades organizacionais requer um planejamento e acreditamos que merecem um artigo específico sobre o assunto. Em tese não existe certo ou errado no planejamento das OUs, apenas espera-se que o planejamento facilite ao máximo a gerência dos objetos.

As OUs não são apenas úteis para organização, mas, também podemos delegar tarefas administrativas para determinada OU incluindo as que estiverem abaixo dela na hierarquia, assim, usuários que não são administradores do domínio podem executar determinadas tarefas antes destinadas somente a administradores. Por exemplo, na Figura 4 podemos delegar poderes a uma equipe de help desk para reiniciar senhas para a Diretoria Administrativa. Assim, os administradores do domínio tem poderes sobre todo o domínio, mas a equipe de help desk tem poderes de reiniciar as senhas da Diretoria Administrativa e consequentemente da Contabilidade, do RH e do Financeiro, porém, a mesma equipe de help desk não pode reiniciar as senhas da diretoria industrial porque não lhe foi delegado essa tarefa.

Outro bom motivo para dividirmos o domínio em OUs é a possibilidade de gerenciamento do ambiente de trabalho dos usuários e seus desktops. Esse gerenciamento de ambiente de trabalho é feito através de diretivas de grupo. As diretivas de grupo impõe determinados parâmetros aos usuários e computadores. Um exemplo, usando ainda a Figura 4 poderíamos ter uma diretiva de grupo para o a OU Financeiro direcionando a página inicial do Internet Explorer para o site da intranet do setor. As diretivas de grupo são muito importantes na gerência do domínio e serão alvo de outro artigo bem específico.

clip_image008

Figura 3. Divisão do domínio em OUs copiando a estrutura organizacional.

clip_image010

Figura 4 Ferramenta de gerencia do AD-DS na qual criamos e gerenciamos OUs.

O que é uma Árvore de domínio ?

Existem casos nos quais a administração do domínio é distribuída em países ou cidades diferentes, ai nesse caso a subdivisão do domínio feito por OUs pode não ser suficiente pois temos a administração do domínio feita por administradores diferentes em diferentes localidades e talvez em outros idiomas. Também temos casos de que a empresa usa padrões de segurança muito diferentes entre suas localidades. Existem casos que exigem que uma empresa precise se subdividir em subdomínios, figura 5, que chamamos domínios filhos formando assim uma Árvore de Domínio, figura 6.

Então uma árvore de domínio é um conjunto de Domínios e Subdomínios utilizando uma hierarquia de nomes baseada em DNS (Domain Name System), na qual o domínio filho recebe o nome do pai e cresce pela esquerda. Por exemplo a empresa comercial.com.br pode ter um subdomínio filial.comercial.com.br.

Após criado o domínio RAIZ ou ROOT os domínios filhos são adicionados diretamente abaixo. Como mencionado no parágrafo anterior, podemos observar que o nome do domínio filho cresce para a ESQUERDA mantendo-se o nome do domínio PAI.

Numa relação de domínio pai e domínio filho a relação de confiança é bidirecional , significa que , por exemplo, um usuário do domínio pode ter acesso a qualquer recurso da Àrvore ( salvo os que lhe tenham sido restringidos).

O Domínio é a fronteira máxima de uma política de senha por exemplo , se uma localidade da empresa exige uma outra política seria o caso de criarmos um subdomínio. A divisão em subdomínios é um estudo complexo e mais uma vez reiteramos a necessidade de um exaustivo planejamento evitando assim, custos e esforços desnecessários. Quanto mais subdividido o domínio mais variáveis são incluídas no ambiente, por exemplo mais controladores de domínio, mais replicações são necessárias, etc..

clip_image012

Figura 5. Divisão do domínio ADCorp.com.br nos subdomínios EUA e AFRICA.

clip_image014

Figura 6 Divisão do domínio ADCorp.com.br nos subdomínios EUA e AFRICA

O que é uma Floresta ?

O modelo de árvore de domínio conforme explicamos anteriormente é extensível a outras árvores podendo assim ser criada uma FLORESTA, Múltiplas árvores de domínio são úteis em fusões, ou aonde a empresa quer manter identidade de nomes diferentes. Então uma floresta é uma junção de uma ou mais árvores de domínio. Figura 7.

clip_image016

Figura 7. Relação de confiança entre árvores diferentes criando-se uma Floresta.

O que é Catálogo Global ?

O Catálogo global mantém alguns atributos de todos os objetos do domínio permitindo assim a localização de qualquer objeto em qualquer lugar da empresa, figura 8 , Assim é possível que um usuário do escritório de Paris (França) localize uma impressora no 2º andar do escritório de Luanda (Angola) pesquisando-se no Catálogo Global.

clip_image018

Figura 8. O catálogo global mantém uma série de atributos dos objetos do domínio.

O que é um Controlador de domínio ?

O Catálogo global é replicado pelos Controladores de Domínio (computadores designados para tal função)

, assim qualquer informação adicionada aos domínios são conhecidas por todos os controladores pela REPLICAÇÂO , o que também garante uma certa redundância das informações,Figura 9. Então um objeto criado/deletado ou modificado no subdomínio AFRICA.ADcorp.com.br é conhecido pelo servidor do domínio ADCorp.com.br porque os controladores de domínios usam a replicação para se atualizarem.

clip_image020

Figura 9. Os controladores se domínio compartilham o catálogo global atualizado

Em uma organização grande, é recomendável pelo menos dois controladores de domínio por local físico pois assim garantimos o ambiente no caso de falha de um dos controladores naquele local. A ausência de um controlador num local físico implica que será necessário um tráfego na wan em busca de informações que estão no AD-DS como a autenticação de usuários por exemplo. Em empresas menores podemos ter apenas um controlador para o domínio todo, porém é sempre bom lembrar que deve ser levado em conta o tráfego de rede em locais que usam um controlador de domínio localizado através de um link WAN além da indisponibilidade causada na falha desse único servidor .

Entre outras funções um controlador de domínio deve :

• Manter uma cópia do Active Directory

• Responder a pesquisas ao Active Directory

• Autenticar os usuários para a rede

Aprofundando:

Em ambientes virtualizados é uma recomendação do autor que pelo menos um controlador de domínio seja configurado em um host físico pois assim garantimos o ambiente no caso de problema na estrutura de virtualização;

Dentre as vantagens de virtualização do controlador de um controlador de domínio podemos citar :

· Consolidação. Você pode consolidar vários controladores de domínio com outros servidores

· Testes. Você pode montar um ambiente de produção usando muito menos hardware do que faria com servidores físicos

· Desempenho. Segundo o site da Microsoft “Se você seguir todas as recomendações de desempenho ... poderá esperar uma redução em desempenho de apenas 2 por cento para 12 por cento em um único controlador de domínio executado em uma máquina virtual sob carga pesada em comparação a um controlador de domínio executado em hardware nativo com as mesmas especificações.”

Em relação as desvantagens quase todas apontam para o uso dos VHDs e os cuidados com os mesmos, principalmente em relação a segurança das pessoas que tem autoridade para manipulação dos discos virtuais.

Como o banco de Dados do Active directory é armazenado ?

O banco de dados do active directory é na realidade um arquivo e uma pasta. O arquivo NTDS.DIT é o “banco de dados” que dá suporte aos objetos e atributos e a pasta SYSVOL seria um “banco de dados” (de tipos) que dá suporte ao gerenciamento baseado em diretiva (scripts e diretivas) ambos estão localizados nos controladores de domínio. Por exemplo a pasta Sysvol , que é compartilhado com o nome de NETLOGON para efeito de compatibilidade , pode conter scripts de logon , scripts que serão executados assim que um usuário dá LOG ON no domínio.

O arquivo NTDS.DIT localizado em %systemroot%\NTDS\ntds.dit contém partições, Figura 10,

§ Esquema

§ Configuração

§ Contexto de nomenclatura de domínio

§ DNS (partições de aplicativos)

§ Catálogo global também chamado de
Conjunto de Atributos Parcial (PAS)

clip_image022

Figura10. Conteúdo do arquivo NTDS.DIT

No caso da existência de vários domínios a partição de configuração e o esquema são replicados para todos os domínios da floresta, mas a partição de Domínio, aonde temos dados completos dos objetos, é compartilhada apenas pelos controladores do mesmo domínio. Então como um usuário de um domínio pode localizar dados de outro domínio ?

Já explicamos anteriormente o Catálogo Global , então podemos agora nos aprofundar e dizer que o catálogo global leva uma parte dos atributos para os outros domínios funcionando como se fosse um índice ,

Quando um usuário pesquisa dados de um objeto pertencente a outro domínio , é feita uma consulta ao Catálogo Global que detém os objetos e alguns atributos básicos para sua localização, Figura 8. Localizado o objeto no catálogo, é possível buscar o restante dos atributos na partição de domínio no domínio original do objeto.

Vamos analisar a Figura 11. Um usuário do domínio B (amarelo) faz uma pesquisa por um usuário pertencente ao domínio A (verde). Como uma parte da partição de domínio A é replicada para o domínio B é possível localizar o usuário. Um detalhe que, essa parte de um domínio replicada para outro (dentro da mesma floresta) não leva todos os dados do objeto, mas apenas os atributos mais comuns para consultas úteis , por exemplo nome e sobrenome, reforçando assim nossa idéia de funcionar como um índice.

Quando instalamos o primeiro controlador de domínio ele detém a função de Catálogo Global (GC global catalog) , porém quando colocamos controladores de domínio adicionais ele pode ou não deter essa função.

Seguindo a prática recomendada atualmente, o ideal seria transformar cada controlador de domínio em um GC. Talvez haja algumas situações (muito raras) em que não seja apropriado, mas na grande maioria podemos confirmar essa recomendação principalmente em empresas que utilizam o Exchange, o servidor de colaboração da Microsoft. Além da presença do Exchange server podemos afirmar que é recomendável todo controlador de domínio ser um GC principalmente nos casos de um site consultar o GC pela porta 3268 ou uma conexão em um GC em outro site não for confiável ou lenta.

clip_image024

Figura11. Partição PAS é replicada nos outros domínios.

Como criar uma nova floresta no windows 2008 ?

Toda confguraçãode ADDS passa por um exaustivo planejamento, Os dados que precisamos planejar antes de criar a nova floresta e configurar o primeiro controlador de domínio são

· Nome DNS do domínio (ex ADgroup.com)

· Nome NetBIOS do domínio (ex ADgroup)

· A nova floresta precisará dar suporte a controladores de domínio que estão executando versões anteriores do Windows (opção nível funcional)

· Detalhes sobre como o DNS será implementado para dar suporte ao AD DS

· Configuração IP do controlador de domínio

· Nome de usuário e senha de uma conta no grupo Administradores do servidor. Localização do armazenamento de dados (ntds.dit) e de SYSVOL sendo que o padrão é %systemroot% (c:\windows)

Com esses dados podemos já configurar o primeiro controlador de domínio da floresta.

Conclusão

O Active directory é o serviço de diretórios do Windows 2008 server , chamado aqui de AD-DS. Descrevemos como o AD-DS é estruturado discorremos sobre suas principais ferramentas e configurações além de discutirmos alguns pontos de planejamento. Comentamos sobre Unidades Organizacionais (OUs) e vagamente sobre as GPOs ( Diretivas de Grupo)

O conhecimento profundo do AD DS requer um estudo aprofundado e algumas horas de laboratório e experimentação. O domínio das ferramentas de manutenção e as técnicas também são importantes para um administrador ter sucesso num ambiente complexo com o AD-DS. O Backup também não foi abordado e acreditamos ser uma parte importante das funções do administrador.

Existem vários pontos que não abordamos como por exemplo grupos de segurança específicos como o grupo Universal, Níveis funcionais de domínios e florestas, transferências de funções master entre controladores de domínio entre outros. Temas que esperamos abordar nos próximos artigos. Algumas ações mais complexas também devem ser alvos de estudos atenciosos como por exemplo problemas de replicação , problemas de conflitos durante a replicação , recuperação de objetos deletados, etc..

No momento a Microsoft já liberou algumas informções do Windows Server 8 que deve trazer muitas mudanças principalmente na área do AD-DS e de Virtualização , fiquemos atentos.

Esperamos que esse artigo seja o início de sua jornada pelo conhecimento do AD-DS bem como seu planejamento e sua manutenção.