O que é um controlador de domínio: história e evolução

Os administradores de TI têm trabalhado com e em torno do Active Directory desde a introdução da tecnologia no Windows 2000 Server. O Windows 2000 Server foi lançado em 17 de fevereiro de 2000, mas muitos administradores começaram a trabalhar com o Active Directory no final de 1999, quando foi lançado para fabricação (RTM) em 15 de dezembro de 1999.

Nesta parte do nosso tutorial falaremos sobre controlador de domínio.

O que é um Controlador de Domínio?

O controlador de domínio é a espinha dorsal do Active Directory. Sem um controlador de domínio, você não pode ter um diretório!

Você pode usar até 1.200 controladores de domínio em um único domínio. Mas, não julgue o ambiente de outro administrador pelo tamanho ou escala dele! Vamos olhar a evolução do controlador de domínio:

• O Windows NT 3.1 introduziu o domínio original da Microsoft

O Windows NT 3.1 (posteriormente 3.5 e depois 3.51) não deve ser confundido com o Windows 3.1, que era um sistema operacional cliente de 16 bits. A funcionalidade de domínio incluída no Windows NT não era um modelo multi-mestre como o AD DS. Assim, havia um controlador de domínio primário (PDC) e controladores de domínio de backup (BDCs). Todas as alterações eram gerenciadas pelo PDC. Um BDC poderia ser promovido a PDC em uma situação de recuperação de desastres. Hoje, temos o papel FSMO de Emulador de PDC, que está diretamente relacionado ao PDC original.

• O Windows 2000 Server introduziu o Active Directory

Com o lançamento do Windows 2000 Server, a Microsoft reformulou grande parte do domínio tradicional e comercializou o serviço como Active Directory. Uma característica importante do Active Directory era o modelo multi-master, que permitia que a maioria das funcionalidades do Active Directory, incluindo alterações, ocorresse em qualquer DC no domínio.

• O Windows Server 2003 introduziu novos recursos

Com o Windows Server 2003, o Active Directory foi atualizado com algumas melhorias administrativas (como a seleção múltipla de objetos em ADUC), adicionou a capacidade de criar confianças de floresta e adicionou o recurso de cache de associação a grupos universais. Outras funcionalidades também foram adicionadas ou expandidas, especialmente em torno da administração via linha de comando.

• O Windows Server 2003 R2 introduziu o AD FS e o Modo de Aplicativo do Active Directory (ADAM)

AD FS e ADAM foram grandes melhorias, especialmente olhando para eles hoje em 2015. Naquela época, no entanto, eles não eram muito utilizados. ADAM mais tarde se tornou AD LDS enquanto AD FS foi atualizado ao longo do tempo para integração com a nuvem.

• O Windows Server 2008 introduziu controladores de domínio somente leitura (RODCs) e políticas de senha de granularidade fina

Com o Windows Server 2008, os RODCs tornaram-se uma opção que permitiu aos administradores implementar DCs em armários de computadores inseguros em filiais, entre outros usos. Além disso, políticas de password policies foram introduzidas, embora com alguns desafios administrativos, como não ter uma interface gráfica para gerir as políticas. O Windows Server 2008 R2 introduziu a lixeira e o módulo do PowerShell. O Windows Server 2008 R2 continuou a refinar algumas das funcionalidades introduzidas no Windows Server 2008 e ofereceu a Recycle Bin e um módulo do PowerShell que era essencial para os administradores poderem gerir eficazmente o AD DS a partir do PowerShell.

• O Windows Server 2012 introduziu um gerenciamento simplificado e suporte aprimorado à virtualização

As tão esperadas ferramentas de interface gráfica do usuário para gerenciar a Lixeira e políticas de senha detalhadas foram introduzidas. Além disso, a virtualização foi aprimorada e o suporte para virtualizar DCs tornou-se comum. Veja https://technet.microsoft.com/en-us/library/hh831477.aspx para um guia completo sobre as mudanças.

• Windows Server 2012 R2 focado em melhorias de segurança

Novos recursos incluíram autenticação multifator, single sign-on a partir de dispositivos conectados e controle de acesso multifator. Veja https://technet.microsoft.com/en-us/library/dn268294.aspx para um guia completo sobre as alterações.

Mais informações sobre os fundamentos do Active Directory podem ser encontradas em nosso AD tutorial for beginners.

FAQ

O que é um controlador de domínio?

Um controlador de domínio é um servidor Windows que gerencia a autenticação e autorização de usuários dentro de uma rede de domínio Windows. Ele armazena as informações das contas de usuário, aplica as políticas de segurança e autentica os usuários quando fazem login em computadores associados ao domínio. Os controladores de domínio executam o Active Directory Domain Services (AD DS), que mantém um banco de dados centralizado dos objetos da rede, incluindo usuários, computadores, grupos e unidades organizacionais. Quando alguém faz login em um computador do domínio, o controlador de domínio verifica suas credenciais e determina quais recursos essa pessoa pode acessar com base em sua identidade e nas associações de grupo. Essa abordagem de gerenciamento centralizado de identidades permite a aplicação de políticas de segurança consistentes em toda a rede e fornece a base para os controles de least privilege access controls. A Data security que começa pela identidade depende de controladores de domínio configurados corretamente para aplicar as políticas de acesso e monitorar a monitor user activity.

Como tornar seu servidor 2019 um controlador de domínio?

A promoção de um Windows Server 2019 para controlador de domínio requer a instalação do papel de Active Directory Domain Services e a execução do assistente de promoção de controlador de domínio. Primeiro, certifique-se de que o seu servidor atende aos requisitos, incluindo um endereço IP estático, configuração de DNS adequada e espaço em disco suficiente. Instale o papel de AD DS usando o Server Manager ou PowerShell:

      Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
      

Após a instalação, execute o dcpromo através da área de notificação do Server Manager ou use o PowerShell:

      # For a new forest
Install-ADDSForest

# For an existing domain
Install-ADDSDomainController
      

O assistente o guia na configuração do nome de domínio, nível funcional da floresta, opções de DNS e senha do Modo de Restauração dos Serviços de Diretório. Após a promoção, verifique se o controlador de domínio está funcionando corretamente, verificando os logs do Visualizador de Eventos e testando a autenticação. Sempre planeje cuidadosamente a estrutura do seu Active Directory antes da promoção, pois as alterações se tornam mais complexas uma vez que o controlador de domínio está operacional.

Quantos controladores de domínio são necessários para um pequeno escritório?

Escritórios pequenos normalmente precisam de pelo menos dois controladores de domínio para redundância e tolerância a falhas, mesmo com tão poucos quanto 85 usuários em múltiplos locais. A regra geral é um controlador de domínio por local mais um adicional para backup, mas isso depende das suas necessidades específicas. Para organizações com 85 usuários e 4 escritórios, considere colocar um controlador de domínio no seu local principal e controladores de domínio adicionais nos locais remotos com conexões WAN lentas ou muitos usuários. Uma topologia hub-and-spoke com dois controladores de domínio no escritório principal e Read-Only Domain Controllers (RODCs) nos locais remotos menores frequentemente oferece o melhor equilíbrio entre desempenho e segurança. Lembre-se de que os controladores de domínio lidam com solicitações de autenticação, então os usuários experimentam atrasos no login ao se conectar a controladores de domínio remotos através de links de rede lentos. Planeje para o crescimento e considere que a colocação de controladores de domínio impacta diretamente na experiência do usuário e na segurança da rede.

Como rebaixar um controlador de domínio?

A rebaixamento de um controlador de domínio requer um planejamento cuidadoso para evitar interromper os serviços de autenticação e transferir quaisquer funções FSMO que o servidor detenha. Primeiro, identifique se o controlador de domínio detém alguma função FSMO:

      netdom query fsmo
      

Transfira-os para outro controlador de domínio, se necessário. Certifique-se de que tem pelo menos um outro controlador de domínio funcional no domínio antes de prosseguir. Utilize o assistente de Remoção de Funções e Recursos do Server Manager ou o PowerShell:

      Uninstall-ADDSDomainController
      

O processo remove os dados do Active Directory, rebaixa o servidor para o status de servidor membro e atualiza os registros DNS. Durante o rebaixamento, especifique uma senha de administrador local para o estado pós-rebaixamento do servidor. Verifique se o rebaixamento foi concluído com sucesso, certificando-se de que o servidor não aparece mais em Sites e Serviços do Active Directory e que os controladores de domínio restantes podem autenticar os usuários corretamente. Planeje este processo durante as janelas de manutenção, pois ele afeta temporariamente a replicação.

O que faz um controlador de domínio?

Um controlador de domínio atua como a autoridade central para autenticação, autorização e serviços de diretório em um ambiente de domínio Windows. Ele autentica as credenciais do usuário quando as pessoas fazem login em computadores unidos ao domínio, determina quais recursos os usuários podem acessar com base em sua identidade e associação a grupos, e aplica políticas de segurança em toda a rede. Controladores de domínio também replicam dados do Active Directory com outros controladores de domínio para garantir consistência e disponibilidade, gerenciam serviços DNS para resolução de nomes de domínio e manage Group Policy para garantir uma configuração consistente em todos os computadores do domínio. Além da autenticação básica, controladores de domínio fornecem registro de auditoria das atividades dos usuários, suportam a funcionalidade de single sign-on e permitem o gerenciamento centralizado de contas de usuários e objetos de computador. Este gerenciamento centralizado de identidade cria a base para a implementação de controles de acesso de privilégio mínimo e monitoramento do comportamento do usuário para detectar ameaças à segurança potenciais antes que se tornem violações.