Pessoal, hoje eu quero deixar uma dica sobre Active Directory do Windows Server 2000, 2003 e 2008.
Quando você adiciona uma máquina (PC, Desktop, etc) em um domínio, automaticamente o ID dessa máquina fica registrado no Banco de Dados do Active Directory (A.D) do Windows. Exemplo: Você adicionou em um domínio a máquina "pc01", o nome "pc01" ficará registrado no A.D como sendo uma máquina do seu domínio.
Quando você for formatar essa máquina, provavelmente em uma empresa você irá querer utilizar o mesmo nome de rede, visto que na maioria das empresas, o nome do computador é geralmente sequencial com números e letras, de acordo com nomes de departamentos, números de série, etc...
A maioria do pessoal de TI peca na hora de migar o PC no domínio novamente, pois quando você migra, o A.D "tenta" sobrescrever o ID antigo, mas aí seus problemas começam (rs).
Um dos principais problemas é quando o operador tenta se logar e não consegue, pois geralmente o Windows envia mensagens dizendo que não achou o DNS e barra a autenticação do usuário....esse é apenas um dos erros.
Se você utilizar o comando ipconfig /flushdns aí conseguirá se logar, mas eventualmente ao se logar, teremos problemas....
A dica é: Sempre ao formatar uma máquina, apague o registro dela no A.D, pois ao migrá-la novamente, você não terá mais problemas, pq será criado um novo registro.
Esse post aborda de forma bem superficial o assunto DNS (domain name system), que é muito mais complexo, mas essa dica é um problema comum pra quem trabalha com redes e achei importante compartilhar.
Abs!
Artigo por Adelmo Jr , todos os direitos reservados.
E se a conta de computador que você deletou do AD possuir restrições e politicas próprias como um pc de gerente? O que você fará?
ResponderExcluirApagando a conta do AD vc pede todo os vinculos do objeto pc01 e ai faz todas regras do zero novamente????
Em relação ao registro que é criado dentro do domínio "pc01", quando vc apaga, por estar dentro do domínio, as regras de política serã reaplicadas novamente. Aplique as regras personalizadas para o gerente, claro vc sabendo quais são.
ResponderExcluirSobre sua pergunta da conta do AD, ao apagar o registro e criar novamente, as regras são aplicadas automaticamente ao novo registro.
Vou te dar um exemplo: Na empresa onde eu trabalhava tinha um servidor em SP como sendo o gerenciador de domínios e outro servidor aqui na região. Quando eu apagava o registro do pc aqui na região, todas GPO's que eram configuras para serem aplicadas a cada 30 minutos, elas aplicavam no meu servidor e consequentemente nos registros criados. Dê uma procurada em política de rede (GPO) que você achará artigos interessantes.
Adelmo (adelmonunes@bol.com.br)
Vamos recapitular então. O funcionamento de GPO eu sei por isso questionei seu post que é meio falho.
ResponderExcluirVou melhor explicar. Se dentro de seu dominio vc tem inumeras OU dividindo todo seu dominio, mas você tem 1 ou mais pessoas que devem ter as gpos aplicadas porém em algum momento ou alguma restrição deve ser liberada.
Ao invés de vc criar uma nova gpo e separar o computador da pessoa de conteiner poluindo o AD, você utiliza o recurso de herança e quebra.
Supondo que vc tem mais de 500 politicas entre quebra de herança por objeto e conteiners vc concorda que faendo esta manobra "FRANGA" você deveria reconfigurar o equipamento todo novamente inclusive as permissões particulares.
E se ao invez disso você apenas resetasse o objeto, ao entrar no dominio ele estaria pronto para receber seu antigo dono agora formatado e não perderia nenhuma peculiaridade do AD.
Nota: Técnico nunca deve apagar nada do AD que está em produção isso é uma prática recomendadissíma.
Outra coisa que ficou n o ar é o fato de precisar do flush dns para achar o servidor da rede. Ou seu DNS ta bugado com cache muito alto ou você criou uma imagem incorreta de instalação. Vai ai a dica... Melhorao post abraço.
Entendi o que você disse. Em seu cenário, funcionou seu procedimento e em meu cenário funcionou o procedimento que eu citei aqui.
ResponderExcluirNo meu cenário, eu tinha cerca de 30 políticas e quando eu apagava o registro e o recriava, as políticas são reaplicadas, certo?!
No caso de e ter uma pessoa especial, que é preciso liberar uma restrição especial, seu procedimento funcionaria.
Então podemos presumir que meu post não é falho, é somente uma das tentativa de ingressar a máquina no domínio sem ter problemas, mas isso depende do cenário de sua rede, como você quis dizer em seus comentários. Certo, concordo! È legal trocarmos esses conhecimentos.
Em relação ao DNS, acredito que ele esteja com um cache muito alto e só tive esse problema em outro ambiente de rede e não neste cenário que comentei.
Fica a dica de que algumas manobras de solução funcionam em diferentes ambientes de rede. Eu deveria ter comentado isso no post e se sua manobra funciona com você, a minha manobra funcionou comigo.
Obrigado.
Mesmo dizendo que "minha manobra" funciona no meu caso ou no seu caso vejamos as melhores práticas em administração de redes.
ResponderExcluirO que é mais técnico? Ficar apagando e recriando objetos dentro do AD, perdendo vínculos e SIDS ou apenas utilizar o recurso proporcionado pelo próprio AD e resetar o objeto mantendo todo ambiente?
Independente do cenário (pequeno ou grande)temos que procurar melhores práticas e expertise para resolver problemas do dia a dia, e não simplesmente achar uma suposta resposta ao problema como recriar o objeto e pronto.
Senão concorda comigo que cada pequeno problema no sistema operacional o técnico deveria formatar o pc, IE ta desconfigurado, formata. O media player não toca mp4, formata.
Entendo seu ponto de vista, pode ser que seja mesmo melhor resetar o objeto.
ResponderExcluirAcho também melhor procurar soluções, porque formatar é o caminho mais fácil.
De qualquer forma fica citado as 2 manobras. Quem acha melhor, rápido e conveniente escolhe qual se deve fazer. È o livre arbítrio.