Instalando um Controlador de Domínio através do IFM

O IFM (Install from Media) facilita a instalação de novos Domain Controllers em sites ou localidades que possuem um link de baixa velocidade.

Entendendo o IFM (Install from Media)

Esta funcionalidade tem por objetivo facilitar e minimizar o tempo de instalação e replicação de Domain Controllers adicionais que estão localizados em outras localidades com links de baixa velocidade.

Com o IFM é possível promover um Domain Controller adicional utilizando arquivos de backup de um Domain Controller existente permitindo que somente os objetos que foram alterados desde a data do backup, sejam replicados entre o novo Domain Controller e os Domain Controllers existentes.

Esta operação miniza o trafego na rede, fazendo com que a replicação inicial que é executada toda vez que adicionamos um novo Domain Controller, não aconteça.

Esta nova funcionalidade pode ser utilizada através da opção /ADV do comando DCPROMO, o que veremos neste artigo passo a passo.

Limitações do IFM (Install from Media)

Esta opção somente pode ser utilizada para a instalação de Domain Controllers adicionais pertencentes ao mesmo domínio do Domain Controller de onde foi originado o arquivo de backup que esta sendo utilizado, ou seja, não podemos fazer backup de um Domain Controller do domínio A e utilizar este arquivo de backup para adicionar um novo Domain Controller do domínio B.

Não é possível utilizar arquivos de backup muito antigos. Lembre-se que muitos objetos são criados ou apagados (tombstone) no seu domínio, e que o lifetime do tombstone esta limitado a 60 dias por default.

A) Fazendo backup do System State de um Domain Controller existente.

1. Faça o logon com a conta de administrador em um Domain Controller do seu domínio.
2. Click em Start -> Programs -> Acessories -> System Tools -> Backup.
3. Click na aba Backup e marque a opção System State.
   
4. Click no botão Browse e informe o diretório onde será armazenado o arquivo de backup.
   
5. Click no botão Start Backup.
   
6. Informe a descrição e o label para o backup e click no botão Start Backup.
   
7. Aguarde o termino do Backup.
   
8. Após o termino da tarefa verifique se o status do backup. Caso o status for diferente de"Completed" não prossiga.
   

B) Fazendo restore do System State no futuro Domain Controller adicional.

Antes de iniciarmos o processo de restore, é necessário realizarmos a copia do arquivo de backup que acabamos de gerar. Esta copia pode ser feita para qualquer tipo de mídia, CD, DVD, Fita, Pen Drive, HD externo, etc.

Como o intuito deste procedimento e desta nova funcionalidade é minizar o trafego no link que é gerado pela replicação do Active Directory quando adicionamos um novo Domain Controller que esta localizado em uma filial ou localidade com um link de baixa velocidade, utilizarei aqui o processo de gravação de mídia (CD).

Após efetuar a "queima do CD" siga para os próximos passos.

1. Efetue logon com a conta de administrador no servidor que será o novo Domain Controller do seu domínio.
2. Click em Start -> Programs -> Acessories -> System Tools -> Backup.
3. Click na Aba Restore and Manage Media.
   
4. Click no menu Tools e em seguida em Catalog a backup file.
   
5. Click no botão Browse e selecione a unidade onde encontra-se o arquivo de backup originado anteriormente.
   
6. Em meu caso estou apontando para a unidade de CDRom.
   
7. Selecione a item System State, conforme figura abaixo.
   
8. Em Restore files to, selecione a opção Alternate location.
   
9. Em Alternate location, click no botão Browse e selecione a unidade e diretório onde encontra-se o arquivo de backup.
   
10. Click no botão Start Restore.
    
11. Click no botão OK no aviso de Warnig.
    
12. Click no botão OK para confirmar o inicio do restore para o local selecionado.
    
13. Aguarde a finalização do restore.
    
14. Verifique o status do restore. Caso o mesmo seja diferente de "Completed", não prossiga e verifique o que pode estar saindo errado.
    

C) Criando o Domain Controller adicional.

1. Efetue logon com a conta de administrador no servidor que será o novo Domain Controller do seu domínio.
2. Click em Start -> Run e digite DCPROMO /ADV. Click no botão OK
   
3. O Wizard de instalação do Active Diretory será inicializado. Click no botão Next
   
4. Na tela Operating System Compatibility, click no botão Next.
   
5. Na tela Domain Controller Type, selecione a opção "Additional domain controller for an existing domain" e em seguida click no botão Next.
   
6. Na tela Copy Domain Information, selecione e opção "From these restored backup files".
   
7. Click no botão Browse.
   
8. Selecione a unidade e diretório onde foram restauradas as informações do arquivo de backup. Em meu caso estou selecionando a unidade de CDROM D: e o diretório New Domain Controller. Click no botão OK.
   
9. Click no botão Next.
   
10. Na tela Global Catalog, selecione a opção "No" neste primeiro momento. Podemos configurar esta opção posteriormente e conforme necessidade e design do Active Directory. Click no botão Next.
    
    NOTA: Quando fizemos backup do Domain Controller existente, o mesmo desempenha a função de GC (Global Catalog). Como estamos utilizando os arquivos deste servidor para promover um Domain Controller adicional, temos a opção de configurá-lo também como GCa partir deste ponto.
11. Entre com as credenciais do domínio. Click no botão Next.
    
12. Entre com a unidade e diretório onde serão instalados o Banco de Dados e os Logs do Active Directory. Em meu caso mantive o location Default. Click no botão Next.
    
13. Entre com a unidade e diretório onde ficará a pasta SYSVOL. Em meu caso mantive o location Default. Click no botão Next.
    
14. Digite a senha do usuário Administrator para a opção de Restore Mode. Click no botão Next.
    
15. Verifique se as informações estão corretas e em seguida click no botão Next.
    
16. Aguarde a conclusão da instalação do Domain Controller adicional.
    
17. Click no botão Finish para completar a instalação.
    
18. Reinicialize o servidor para que as configurações se efetivem.
    

Criando uma política de VPN no Windows Server 2003

Neste artigo, descreveremos como criar uma política de VPN baseada em algumas características importantes do RRAS, por exemplo:

• O horário permitido de conexão
• Recurso de Alocação de Banda (BAP)

É bastante importante lembrar que ao configuramos o RRAS como um VPN Server ele já nos trás uma política padrão com a característica de Deny Conection, cabe então ao administrador validar esta política e alinhá-la de acordo com as necessidades de segurança da empresa.

Primeiramente acessaremos o console do RRAS e selecionaremos o item de Remote Access Policies.

Clicaremos com o botão direito do mouse sobre ele e selecionaremos o item de New Remote Access Policy.

Da qual abrirá o seguinte assistente de criação:

Selecionaremos o botão Next e temos as seguintes opções

Use the wizard to set up a tipical policy for a common scenario - Esta opção nos oferece algumas configurações padrões para a criação de políticas destinadas a VPN, Wirelless LAN, Dial - UP e Ethernet.

Set up a custom policy - Oferece um assistente para a criação de uma política de acesso, neste nosso exemplo será a opção escolhida.

Policy Name - Definiremos o nome Política de Acesso ADM conforme a tela a seguir

Clicando no botão Next temos a opção de configurar as Condições das Políticas (Policy Conditions)

No nosso exemplo selecionaremos através do botão ADD o item Day and Time Restrictions

Após esta seleção temos a tela da qual podemos usar para especificar o horário de conexão, no nosso caso será de 08:00 AM as 17:00 PM de Domingo a Sábado,

Clicaremos no botão OK e a condição será adicionada:

Clicando no botão Next temos a seguinte tela Permissões

Da qual temos as seguintes opções:

Deny Remote Access Permission - Esta opção negará todas as conexões que foram feitas de acordo com o Day and Time Restriction.

Grant Remote Access Permission - Esta opção permitirá todas as conexões que foram feitas de acordo com o Day and Time Restriction.

No nosso exemplo selecionaremos a opção de Grant Remote Access Permission

Selecionaremos o botão Next e temos a tela onde podemos executar configurações quanto ao perfil de política

Clicando no botão Edit Profile acessaremos a guia Multilink

De acordo com a definição de nossa política alteramos o seguinte valores:

• Ativaremos Allow Multilink Conections para no máximo duas portas.
• Alteraremos a Configuração de BAP para 40 % pelo período de tempo de 1 minuto

Motivo das Alterações

• Teremos um controle mais efetivo sobre as porta utilizadas para Multi - Conexão
• Diminuindo a porcentagem e o tempo do Item BAP otimizaremos a utilização do recurso

Após as alterações teremos a seguinte configuração:

Clicaremos no botão OK e voltaremos à tela de Profile

Selecionaremos Next e temos a tela de resumo do assistente:

Clicando em Finish vemos que a política foi corretamente adicionada ao RRAS em Remote Access Policies

Para finalizar, três itens de extrema importância:

• Seu RRAS deve ter ao menos uma política, caso contrário todas as conexões serão rejeitadas
• Alinhe sua política de acesso com as diretrizes de segurança de sua empresa.
• Documente suas políticas de forma clara e concisa e definas responsáveis pela sua manutenção e alterações a medida que for necessário.
                                                                                                                                     
  Até a próxima.