Arquivo da categoria ‘Active Directory’

Fala galera!

Retomando as atividades do blog, gostaria de compartilhar com vocês algo bem bacana. Muita gente me questiona em aula, palestra, treinamentos a respeito de limites de Produto. Hoje trago a vocês um documento rico em informações a respeito dos Limites do Active Directory.

Nesse artigo é possível encontrar por exemplo o limite máximo suportado de GPO´s – 999 ou o limite de SID (Security Identifiers) que passou de 1 bilhão do Windows Server 2012 R2 para 2,147,483,647 no Windows Server 2012 R2.

Fonte:

Active Directory Maximum Limits – Scalability

https://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=ws.10).aspx#BKMK_SIDs

Aproveitem!

Rodrigo Lopes
MTAC – Microsoft Technical Audience Contributor | MCT | MCSE: Windows Server 2012, Private Cloud | MCSA: Windows Server, Office 365 | MCITP | Enterprise, Server, Lync and Virtualization Administrator, MCTS| Active Directory, MCTS | Windows Server 2008 Virtualization, MCDST, MCP

Anúncios

Olá pessoal,

Com o fim do Suporte para Windows Server 2003 se aproximando, cada vez mais Migrações de Active Directory estão sendo realizadas. Em um dos meus projetos recentes, encontrei um erro e gostaria de compartilhar com vocês:

Problema:

Ao executar a promoção de um Servidor com Windows Server 2012R2 à Domain Controller, o mesmo falha na verificação de Pré-requisitos. Ao executar de forma manual o ADPREP /FORESTPREP, que está na pasta ADPREP, dentro de Support do DVD do Windows Server 2012R2, você receberá os seguintes erros:

Error message 1

– “attributeId” attribute value for objects defined in Windows 2000 schema and extended schema do not match.

Error message 2

– “attributeSyntax” attribute value for objects defined in Windows 2000 schema and extended schema do not match.

Error message 3

– “isSingleValued” attribute value for objects defined in Windows 2000 schema and extended schema do not match.

Error message 4

– “governsId” attribute value for objects defined in Windows 2000 schema and extended schema do not match.

Ambas as mensagens de erro com o complemento:

A previous schema extension has defined the attribute value as “FALSE” for object “CN=nisMapEntry,CN=Schema,CN=Configuration,DC=abcd,DC=com,DC=br” differently than the schema extension needed for Windows Server 2012 .

[Status/Consequence]

Adprep cannot extend your existing schema

[User Action]

Contact the vendor of the application that previously extended the schema to resolve the inconsistency. Then run adprep again.

Causa:

Segundo a documentação KB919938, o problema refere-se a um serviço que foi instalado no FSMO da rede, o Microsoft Windows Services for Unix 2.0. Provavelmente o mesmo foi instalado por questões de compatibilidade e transferência de arquivos entre Servidores Unix e Windows. Isso ocorre devido às alterações de atributos e common names (CNs) durante as extensões do Schema do Windows Server 2003 para o Windows Services for UNIX 2.0 funcionar.

Solução:

Executar a instalação da ferramenta Idmschupg.exe , incluída no Hotfix da documentação KB919938 – https://support.microsoft.com/pt-br/kb/919938/

Para executar a ferramenta, vá até o Servidor Schema Master (FSMO), descompacte o Hotfix e no prompt de comando, vá até a pasta onde descompactou a ferramenta.

C:\temp\Idmschupg.exe

Para confirmar as alterações, pressione “C” maiúsculo, devido a ferramenta ser case sensitive.

Após a correção dos atributos, execute o Wizard Promote this Server to Domain Controller novamente, sucesso garantido!

Espero ter ajudado.

Abraços e até a próxima!

Rodrigo Lopes
MTAC – Microsoft Technical Audience Contributor | MCT | MCSE: Windows Server 2012, Private Cloud | MCSA: Windows Server, Office 365 | MCITP | Enterprise, Server, Lync and Virtualization Administrator, MCTS| Active Directory, MCTS | Windows Server 2008 Virtualization, MCDST, MCP

Boa tarde amigos,

Estamos chegando a mais uma fase de transição do Horário de Verão, que se inicia às 0hs do dia 21 de Outubro de 2012 ( terceiro domingo de Outubro ) e retorna às 0hs do dia 17 de Fevereiro de 2013 ( terceiro Domingo de Fevereiro ).

É importante verificar se o KB976098 de Dezembro de 2009 – Cumulative time zone update for Windows Operating Systems está aplicado nos equipamentos.

O mesmo pode ser substituído pelo KB2732052 de agosto 2012 – Cumulative time zone update for Windows Operating Systems, caso não possua o KB anterior.

Abaixo segue o Webcast da Microsoft sobre o DST 2012 / 2013:

http://support.microsoft.com/gp/cp_dst

O governo Brasileiro instituiu que a partir de Outubro de 2009 o Horário de verão passasse a ter datas fixas. Hotfixes cumulativos de zonas horárias são disponibilizadas em intervalos regulares. Estes hotfixes são publicados no Windows Update.

Clique aqui e introduza HQMS4S no campo ID de gravação para obter mais detalhes

Caso necessitem de auxílio, entrem em contato comigo!

Abraços,

Rodrigo Lopes
Absolut IT Soluções em Suporte e Tecnologia | Microsoft Cloud Partner
MCT | MCSA | MCSE: Private Cloud | MCITP | Enterprise, Server, Lync and Virtualization Administrator, MCTS| Active Directory, MCTS | Windows Server 2008 Virtualization, MCDST

Olá pessoal !

Estou trazendo aqui para vocês a solução de um problema que deixa muita gente de cabelos em pé no Active Directory, as falhas de Replicação entre Domain Controllers.

Muitas vezes essas falhas podem vir a ocorrer devido à queda de link de dados, que se prolongada, pode ocasionar na quebra do Secure channel pela perda do ticket de Kerberosdo Windows.

Nesse caso vou demonstrar com logs retirados de servidores reais, em produção, que tiveram seus nomes substituídos por ABSOLUTITDC:

Log extraído com o comando DCDIAG:

==== INBOUND NEIGHBORS ======================================

CN=Schema,CN=Configuration,DC=AbsolutIt,DC=MSFT
ANGELICA\ ABSOLUTITDC -01 via RPC
objectGuid: 1a263f6a-5546-43e4-a0ce-c8fa9fabc50d
Last attempt @ 2012-06-23 11:58.27 was successful.
ANGELICA \ ABSOLUTITDC -02 via RPC
objectGuid: 3fbc666b-a6af-448e-b56d-f190f1aaaa05
Last attempt @ 2012-06-23 11:58.27 was successful.
CASAVERDE\ABSOLUTITDC-03 via RPC
objectGuid: 76c6424f-68a4-484d-8ce0-ac10a7e1997d
Last attempt @ 2012-06-23 12:31.44 failed, result 5:
Access is denied.
Last success @ 2012-06-17 01:07.57.
1244 consecutive failure(s).

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

CN=Schema,CN=Configuration, DC=AbsolutIt,DC=MSFT

ANGELICA\ ABSOLUTITDC -01 via RPC
objectGuid: 1a263f6a-5546-43e4-a0ce-c8fa9fabc50d
ANGELICA\ ABSOLUTITDC -02 via RPC
objectGuid: 8025d5a8-4bed-460b-a0c6-4ba25017ff69
CASAVERDE\ABSOLUTITDC-03 via RPC
objectGuid: 76c6424f-68a4-484d-8ce0-ac10a7e1997d

******************************************************************************************************

Vamos aos procedimentos a serem executados:

Instalar o Support Tools(Caso seja Windows 2000/2003);

Executar o comando DCDIAG no Domain Controller principal ( FSMO ) – Caso não saiba qual é o DC que possui as regras de FSMO, execute o comando Netdom query fsmo

No nosso caso, o FSMO é o AbsolutDC-01.

Redefinida a conta do DC AbsolutDC-03 no DC AbsolutDC-01 e DC-02e vice e versa:

> netdom resetpwd /server: AbsolutDC-01 /userd:rede\Administrator /passwordd:* (solicita a senha da conta informada)

> netdom resetpwd /server: AbsolutDC-03 /userd:rede\ Administrator /passwordd:* (solicita a senha da conta informada)

> netdom resetpwd /server: AbsolutDC-02 /userd:rede\ Administrator /passwordd:* (solicita a senha da conta informada)

Executado o tshooting dos serviços do DC:

>dcdiag /fix

>repadmin /syncall

>repadmin /showreps

Redefinido o sincronismo de horário entre os DC’s.

Após executar os passos acima, seus Domain Controllers voltarão a replicar corretamente, sem erros.

Um abraço a todos,

Rodrigo Lopes
Absolut IT Soluções em Suporte e Tecnologia | Microsoft Partner
MCT | MCITP | Enterprise, Server, Lync and Virtualization Administrator, MCSA, MCTS | Active Directory, MCTS | Windows Server 2008 Virtualization, MCDST

Fala galera,

Para quem pretende encerrar o ano fazendo provas, segue um review sobre a 70-640 (TS:Active Directory).

 
Active Directory
http://www.microsoft.com/windowsserver2008/en/us/ad-main.aspx
 
Installing Active Directory on Windows 2008 Server Core
http://www.petri.co.il/installing-active-directory-windows-server-2008-core.htm
 
Instalação do Active Directory no Windows 2008 Server
http://www.videoaulasbrasil.com.br/softwares/instalacao-do-active-directory-no-windows-2008-server/
 
DNS
http://technet.microsoft.com/en-us/library/cc753635(WS.10).aspx

Windows Server 2008 DNS Servers may fail to resolve queries for some top-level domains
http://support.microsoft.com/kb/968372

Set Aging and Scavenging Properties for the DNS Server

http://technet.microsoft.com/en-us/library/cc753217.aspx
 
Active Directory Domain Services and DNS Server Migration Guide
http://technet.microsoft.com/en-us/library/dd379558(WS.10).aspx

Understanding Windows Server 2008 Active Directory Domain and Forest Functional Levels
http://www.petri.co.il/understanding-windows-server-2008-active-directory-domain-and-forest-functional-levels.htm
 
Group Policy
http://technet.microsoft.com/en-us/library/cc725828(WS.10).aspx

NAP, NPS e GPO
http://www.microsoft.com/windowsserver2008/en/us/security-policy.aspx
 
How Active Directory Replication Topology Works
http://technet.microsoft.com/en-us/library/cc755994(WS.10).aspx
 
Troubleshooting for Active Directory replication
http://www.timthetech.com/windows/windows-2008/active-directory/troubleshooting-active-directory-replication-on-windows-2008-dcs/
 
DCDiag
http://technet.microsoft.com/en-us/library/cc731968(WS.10).aspx

AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide
http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx
 
Creating PSO’s:
http://technet.microsoft.com/en-us/library/cc754461(WS.10).aspx

What’s New in Smart Cards – Windows 7, Windows Server 2008 R2
http://technet.microsoft.com/en-us/library/dd367851(WS.10).aspx

Instalando uma Enterprise root Certificate Authority no Windows Server 2008
http://www.linhadecodigo.com.br/artigo/2764/Instalando-uma-Enterprise-root-Certificate-Authority-no-Windows-Server-2008.aspx

Build and Deploy the Root Certificate Authority
http://technet.microsoft.com/en-us/library/cc501466.aspx

Windows PKI documentation reference and library
http://social.technet.microsoft.com/wiki/contents/articles/windows-pki-documentation-reference-and-library.aspx 

Active Directory Lightweight Directory Services
http://technet.microsoft.com/en-us/library/cc731868(WS.10).aspx

Upgrading from ADAM to AD LDS
http://technet.microsoft.com/pt-br/library/cc732566(WS.10).aspx

Active Directory Federation Services
http://technet.microsoft.com/pt-br/library/cc772128(WS.10).aspx
http://www.infoworld.com/d/windows/using-activedirectory-federation-services-single-sign-644

Configuring Active Directory Federation Services
http://blogs.msdn.com/b/card/archive/2010/01/16/configuring-active-directory-federation-services-2-0.aspx

Online Responder Installation, Configuration, and Troubleshooting Guide
http://technet.microsoft.com/en-us/library/cc770413(WS.10).aspx

Identify a Key Recovery Agent
http://technet.microsoft.com/en-us/library/cc770588.aspx

Active Directory RMS
http://technet.microsoft.com/pt-br/library/cc706990(WS.10).aspx

Para praticar, não se esqueçam dos V-Labs da Microsoft:

V-LABS:
http://www.microsoft.com/events/vlabs/default.mspx

 

Um abraço e bons estudos !

Rodrigo Lopes
Absolut IT Soluções em Suporte e Tecnologia | Microsoft Partner
MCT | MCITP | Enterprise, Server and Virtualization Administrator, MCSA, MCTS | Active Directory, MCTS | Windows Server 2008 Virtualization, MCDST
IM: rodrigollopes@live.com

Olá pessoal,

Muita gente me pergunta nas aulas sobre as diferenças do TRANSFER e do SEIZE das FSMO Roles do Active Directory.

Em algumas situações de perda / desastres de AD, é necessário transferir as regras do Domain Controller principal para um outro controlador e é ai que a coisa complica.

O procedimento a ser realizado é simples através do uso de documentações porém, existe a necessidade de se compreender o ambiente afetado antes de colocar os procedimentos em prática.

O processo de TRANSFER das FSMO’S já postado por mim aqui no Blog deve ser realizado quando o Domain Controller principal estiver ativo e respondendo normalmente, processo este que deve ser executado em casos de manutenção do equipamento ou alguma situação específica.

O processo do SEIZE das FSMO’S deve ser realizado quando o Domain Controller principal não estiver respondendo na rede, por qualquer motivo que impossibilite esse equipamento de voltar à rede.

Nesse caso, devemos executar os seguintes procedimentos:

Em um Domain Controller, clique em Start, digite RunCMD e no prompt digite Ntdsutil .

C:\WINDOWS>ntdsutil:

Digite roles, e pressione ENTER.

ntdsutil: roles
fsmo maintenance:

Digite connections, e pressione ENTER.

fsmo maintenance: connections
server connections:

Digite connect to server <servername>, onde <servername> é o nome do Servidor que você irá usar e ENTER. No exemplo, nosso Server é o serverlab:

server connections: connect to server serverlab

Binding to serverlab …
Connected to serverlab using credentials of locally logged on user.
server connections:

Em server connections: digite q, e ressione ENTER novamente.

server connections: q
fsmo maintenance:

Digite seize <role>, onde <role> é a role que você executará o seize. Por exemplo, para o seize do RID Master role, você deverá digitar seize rid master:

Siga os passos:

Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master

Você receberá o aviso do seize. Clique em Yes.

Depois de executar o seize das roles, digite q e pressione ENTER para fechar a o Ntdsutil.

Mais informações:

http://support.microsoft.com/kb/223787/en-us

 

Abraços,

Rodrigo Lopes
Absolut IT Soluções em Suporte e Tecnologia | Microsoft Partner
MCT | MCITP | Enterprise, Server and Virtualization Administrator, MCSA, MCTS | Active Directory, MCTS | Windows Server 2008 Virtualization, MCDST
IM: rodrigollopes@live.com