Windows Server 2003 Active Directory
Investigando e Diagnosticando
Problemas
Dirk F. Frehse
Especialista em soluções de Infra-estrutura
Microsoft Informática Ltda
dirk.frehse@microsoft.com
Requisitos
• Experiência com suporte de redes Microsoft®
• Experiência administrando servidores
Windows® Server 2003
• Experiência administrando domínios Active
Directory®
Nível 300
Agenda
•
•
•
•
•
•
•
Revisando Conceitos do Active Directory®
Ambiente de teste para Active Directory®
Monitorando DNS
Investigando problemas de Group Policy
Investigando problemas de Autenticação
Investigando problemas de Replicação
Investigando falhas do diretório
Active Directory
É o serviço que fornece informações sobre objetos na
rede e auxilia a localizá-los
Active Directory Gerencia:
Estações
Serviços
Arquivos
Usuários
Partições do Active Directory
• Partições Lógicas (naming context)
– Domain
• Informações sobre usuários, grupos, computadores e
contatos
– Schema
• Define as regras que detalham quais tipos de objetos
podem ser criados no Active Directory
– Configuration
• Informações sobre sites, site links e conexões de
replicação
Árvores do Active Directory
Schema
Compartilhado
CONTOSO.COM
Configuração
US.CONTOSO.COM
OHIO.US.CONTOSO.COM
Global Catalog
Relações de Confiança Transitivas
(Trusts)
CONTOSO.COM
UK.CONTOSO.COM
US.CONTOSO.COM
Florestas do Active Directory
FABRIKAM.COM
CONTOSO.COM
US.CONTOSO.COM
UK.FABRIKAM.COM
Schema
Configuração
Global
Catalog
Organizational Units (OU)
Organizadas para:
Administração
•Mesmos Requirementos
•Delegação
Group Policy
OU de Admin
OU de
Segurança
CONTOSO.COM
•Configuração
•Segurança
OU de Politica
Aplicações das Organizational Unit
Departamento
Londres
Desktops de Vendas
Departamento
Nova York
de Marketing
Impressoras
Dispositivos de Hardware
Active Directory Sites
Site A
Link WAN
Sites são usados:
•Localizar Serviços
•Otimizar Replicação
•Definir Políticas
Site B
Sites e Domínios
Site A
US.CONTOSO.COM
CONTOSO.COM
Site B
Global Catalog
• Abrange todos os domínios
• Contém atributos dos objetos
• Usado para pesquisas
• Logon de usuários
• Reside em domain controllers
Escopo da Replicação
No Dominio
•Domain NC
Na Floresta:
•Schema NC
•Configuration NC
Escopo da Replicação
Intersite
(Compressão)
Intrasite
(Token Ring)
Operations Masters
• Executam exclusivamente funções de rede
• Dentro de um escopo designado
• Instalação padrão ocorre no primeiro
domain controller
Papeis dos Operations Master
Funções de Floresta
Schema Master
Domain Master
Funções de Domínio
PDC Emulator
RID Master
Infrastructure
Agenda
•
•
•
•
•
•
•
Revisando Conceitos do Active Directory®
Ambiente de teste para Active Directory®
Monitorando DNS
Investigando problemas de Group Policy
Investigando problemas de Autenticação
Investigando problemas de Replicação
Investigando falhas do diretório
Ambiente de Testes do Active Directory
Por que criar um ambiente de testes?
•
•
•
•
Testar a resolução de problemas
Testar extensões do Schema
Testar aplicações
Testar o plano de Disaster Recovery
Ambiente de Testes do Active Directory
Criando o Ambiente de Testes
• Microsoft Group Policy Management Console
(GPMC)
– Cria um arquivo XML das GPOs do ambiente
– Cria GPOs do ambiente a partir de um arquivo XML
• Restauração do backup no ambiente de teste
– Fita de backup
– Backup do Volume Shadow Copy
• Crie seu servidor de teste a partir do ambiente de
produção – METADATA CLEANUP
http://www.microsoft.com/windowsserversystem/
storage/technologies/vss/default.mspx
Ambiente de Testes do Active Directory
Monitoramento do Active Directory
• Microsoft Operations Manager (MOM)
– Active Directory Management Pack (ADMP)
• Ferramentas do Windows Server 2003
• Scripts de monitoramento para Branch Office
• Recursos de Scritps do TechNet
– Repositórios de Scripts
– Guias e Labs para programação de Scriptis
– Ferramentas e utilitários para Scripts
http://www.microsoft.com/technet/scriptcenter/
default.mspx
Ambiente de Testes do Active Directory
Subsistemas a serem Monitorados
Espaço em Disco
Utilização de
CPU
Serviços
KCC
Desempenho
do DNS
Primary Domain Controller Emulator
RID Master
Infrastructure Master
Schema Master
Domain Naming Master
Group Policy
Ambiente de Testes do Active Directory
Planejar para Recuperação de Desastre
• Planejar a rotina de backup
• Planejar o backup de arquivos abertos
• Planejar o Automated System Recovery (ASR) em
máquinas sem sistema operacional
• Teste de Restauração
Window Server 2003 Deployment Kit
Planning for Disaster Recovery
Ambiente de Testes do Active Directory
Opções de Backup - Volume Shadow Copy Service
•Snapshot backup
•Tape backup
demonstração
Ambiente de Teste do Active
Directory


Criando um ambiente de teste para Active
Directory
Usando contadores específicos do Active
Directory do System Monitor
Agenda
•
•
•
•
•
•
•
Revisando Conceitos do Active Directory®
Ambiente de teste para Active Directory®
Monitorando DNS
Investigando problemas de Group Policy
Investigando problemas de Autenticação
Investigando problemas de Replicação
Investigando falhas do diretório
Monitorando o DNS
Ferramentas para Domain Naming System
•
•
•
•
•
•
•
NSLookUp - ferramenta de linha de comando
DNSCMD
Contadores de Performance
DCDiag
NetDiag
Debug logging
DNSLINT
demonstração
Monitorand DNS



Monitorando e investigando o DNS
Configurando o DNS Debug Logging
Usando DNSLint para DNS
Agenda
•
•
•
•
•
•
•
Revisando Conceitos do Active Directory®
Ambiente de teste para Active Directory®
Monitorando DNS
Investigando problemas de Group Policy
Investigando problemas de Autenticação
Investigando problemas de Replicação
Investigando falhas do diretório
Investigando Problemas de Group
Policy
Tecnologias Relacionadas a Group Policy
Active Directory
Organizational Unit
Conectividade
SYSVOL
DNS
Replicação
Default Policy
S.O. Client e
demonstração
Investigando Group Policy

Investigando aplicações de Group Policy
Agenda
•
•
•
•
•
•
•
Revisando Conceitos do Active Directory®
Ambiente de teste para Active Directory®
Monitorando DNS
Investigando problemas de Group Policy
Investigando problemas de Autenticação
Investigando problemas de Replicação
Investigando falhas do diretório
Investigando Problemas de
Autenticação
Processo de Autenticação Kerberos
KRB_AS_REQ
Cliente
KRB_AS_REP
KRB_TGS_REQ
KRB_TGS_REP
KRB_AP_REQ
Key Distribution
Center (KDC)
Sub-Protocolos
KRB_AP_REP
1. Authentication Service
2. Ticket Granting Service
Servidor de Recursos
3. Troca entre Client e/
Servidor
Investigando Problemas de
Autenticação
Ferramentas para Travamento de Contas
•
•
•
•
•
•
•
AcctInfo.dll
ALockout.dll
ALoInfor.exe
EnableKerbLog.vbs
EventCombMT.exe
LockoutStatus.exe
NLParse.exe
Search for Account Lockout and Management Tools at
http://download.microsoft.com
demonstração
Investigando Autenticação


Componentes da Autenticação do Kerberos
Investigando Autenticação
Agenda
•
•
•
•
•
•
•
Revisando Conceitos do Active Directory®
Ambiente de teste para Active Directory®
Monitorando DNS
Investigando problemas de Group Policy
Investigando problemas de Autenticação
Investigando problemas de Replicação
Investigando falhas do diretório
Replicação
Replicação entre Controladores de Domínio
Replicação do Diretório
Objetos do diretório (usuários, computadores, etc.)
Controlador
de Domínio
File Replication Service
SYSVOL (logon scripts, policies, etc.)
Controlador
de Domínio
demonstration
Replicação


Monitorando parceiros de replicação com
Sonar
Usando Ultrasound para monitorar a
replicação do FRS
Agenda
•
•
•
•
•
•
•
Revisando Conceitos do Active Directory®
Ambiente de teste para Active Directory®
Monitorando DNS
Investigando problemas de Group Policy
Investigando problemas de Autenticação
Investigando problemas de Replicação
Investigando falhas do diretório
Resolvendo Questões de Falha de
Diretório
Ferramentas
• DCDIAG
– Analisa controladores de domínios da floresta
• NETDOM
– Verifica relações de confiança entre domínios (Trusts)
– Verifica credencias de replicação dos controladores de
domínio
• NTDSUTIL
– Manutenção da base de dados
– Gerenciamento das FSMO roles
– Limpeza de metadados desnecessários
Resolvendo Questões de Falha de
Diretório
Ferramentas para Replicação
• Active Directory Replication Monitor (replmon.exe)
– Mostra o status da replicação do Active Directory
– Mostra a topologia de replicação no formato gráfico
– Força a replicação entre controladores de domínio
• Replication Diagnostics Tool (repadmin.exe)
– Diagnostica problemas de replicação
– Mostra os parceiros de replicação para um DC
– Rastreia objetos replicados
Install Windows Server 2003 Support Tools from the OS
installation CD
Resolvendo Questões de Falha de
Diretório
File Replication Service
• NTFRSUTL
– Examina o estado do File Replication Service
• Sonar
– Monitora estatísticas chaves nos membros do
FRS
• Ultrasound
– Monitora e resolve conjuntos de replicas do FRS
Search http://www.microsoft.com/technet for
FRS Tools and Settings
demonstração
Investigando Falhas do Diretório


Simulando uma falha
Investigando a Replicação
Resumo
• Implemente uma solução de monitoramento
• Crie um baseline de desempenho para
serviços importantes
• Tenha as ferramentas de troubleshooting
instaladas no sistema:
– Ferramentas de Suporte do Windows Server
2003
– Ferramentas do Resource Kit
– Ferramentas complementares
Seu potencial. Nossa inspiração.
MR
© 2005 Microsoft Corporation. Todos os direitos reservados.
O propósito desta apresentação é apenas informativa. Microsoft não faz nenhuma garantia expressa ou implícita nesta apresentação.
Download

Investigando e Diagnosticando AD