Criar um AD para uma Vlan

AzzraeL · 8 de abril

Boa tarde pessoal,

Na empresa que trabalho estou com a seguinte questão, quero criar um AD para uma VLan específica, porém fico na dúvida de como devo configurar o servidor. A nossa estrutura de redes possui um gateway onde são criadas as VLans, um switch principal onde todas as vlans estão configuradas e outros 12 switchs gerenciaveis que se conectam aos computadores na rede. Possuimos hoje 6 VLans criadas e gostaria de colocar um Windows Server para ser o Administrador do AD para somente uma das VLans, as máquinas que vão ser usuarias do AD estão em mais de 1 switch então colocar o servidor antes do switch não é uma opção. Alguém com mais experiencia pode me ajudar com alguma dica?

jolao · 8 de abril

@AzzraeL Pelo que li, deu para perceber que seu ambiente e um pouco complexo, pois tem vários switch gerenciáveis... logo vai exigir conhecimentos específicos sobre o ambiente, meu conselho é, se não entende de TI/Network, não mexa, pois o risco de parar tudo e gigante....

mas e se mesmo assim quiser entra no campo, e fácil, suba um ADDS, atribua um Vlan para esse server no switch e uma porta trunk para essa vlan,

Pronto...

Minha duvida é; tem acesso a console do switch ?

Buga Laza · 8 de abril

Possível, é!

Mas antes de mais nada, qual a necessidade? Esse servidor teria um novo domínio? Faria parte da mesma floresta? Essa VLAN pode se comunicar com as demais?

AzzraeL · 9 de abril

@jolao Tenho certo conhecimento da área sim, fui eu mesmo quem configurou toda a rede e VLans, porém sou novo com esse sistema de domínio e Windows Server, quero fazer isso para melhorar o controle sobre os computadores da empresa e o uso dos mesmos. E sim, tenho acesso ao gateway e todos os switchs. É uma questão de melhoria, tanto para controle de uso quanto segurança de dados para ficar melhor encaixado na LGPD. Bom dizer que tenho um ambiente de teste que consigo verificar tudo antes de aplicar no ambiente de produção, também já testei tudo através de VMs e deu certo, porém nas VMs não tinha que me preocupar com as VLans que já existem entende? Por isso a dúvida.

@apresenta problemas Laza Esse servidor seria o administrador do domínio, atualmente não temos nenhum, então criaria a floresta e tudo mais, a Vlan que desejo colocar conversa com 1 outra VLan que é a dos servidores dos sistemas que a empresa usa.

Buga Laza · 9 de abril

Entendi, então seria uma implantação nova.

Bom... Você não implanta o controlador de domínio "para" uma VLAN. Esse servidor participa de uma VLAN, que, como você sabe, não é nada mais que uma sub-rede.

Tudo que você precisa fazer é configurar esse servidor, como já fez no ambiente de testes. Ele autenticará os usuários e responderá pelos serviços para qualquer VLAN em que esse servidor possa ser alcançado.

Como recomendação, sugiro apenas que mantenha ao menos dois controladores de domínio. Nesse caso, é importante notar que, como a inicialização do serviço DNS depende da sincronização inicial a partir de outros servidores DNS, o adaptador de rede jamais deve apontar para si mesmo como DNS preferencial, mas sim para algum servidor DNS que consiga alcançar outro controlador de domínio ou diretamente para o endereço de outro controlador de domínio.

AzzraeL · 9 de abril

@apresenta problemas Laza Obrigado pela dica! Eu estava com a dúvida de não querer criar outra rede interna como tinha feito nas VMs, nos testes eu usava a função de Roteamento NAT no servidor para criar outra rede interna, e com certeza se fizesse isso dentro da VLan, o gateway não conseguiria observar as máquinas que estivessem dentro dessa outra rede. Então pensei em uma alternativa, instalei a função de roteamento, criei um roteamento personalizado em que o servidor somente fará o roteamento da LAN e apontei o computador de testes para o IP do servidor dentro da VLan, funcionou perfeitamente. Dessa forma continuo podendo ver os computadores dentro do gateway (Unifi Dream Machine Pro) para gerenciar todas as configurações de rede e firewall da rede e o servidor somente realiza o direcionamento para o mesmo, tendo controle sobre o domínio. Agora é realizar o trabalho de mudar o IP de todas as máquinas para redirecionar para o domínio e criar os usuários e alguns scripts para instalar os programas geralmente usados automaticamente. Tem mais algumas dicas de como gerenciar de melhor forma os grupos e usuarios assim como scripts uteis?

Swalls · 9 de abril

18 minutos atrás, apresenta problemas Laza disse:

Entendi, então seria uma implantação nova.

fiquei interessado no caso, lido com o serviço AD de uma empresa, mas ela está toda em uma rede única então nunca tive a oportunidade de testar novos casos.

19 minutos atrás, apresenta problemas Laza disse:

Tudo que você precisa fazer é configurar esse servidor, como já fez no ambiente de testes. Ele autenticará os usuários e responderá pelos serviços para qualquer VLAN em que esse servidor possa ser alcançado.

Basicamente criar a vlan e inserir o servidor novo nela para autenticar os usuários, correto?

21 minutos atrás, apresenta problemas Laza disse:

Como recomendação, sugiro apenas que mantenha ao menos dois controladores de domínio.

"Apenas" e "ao menos" não devem ser usados juntos, você quis dizer que é recomendado ter no mínimo 2 servidores controladores de domínio para manter a redundância, assim como diz a documentação?

23 minutos atrás, apresenta problemas Laza disse:

Nesse caso, é importante notar que, como a inicialização do serviço DNS depende da sincronização inicial a partir de outros servidores DNS, o adaptador de rede jamais deve apontar para si mesmo como DNS preferencial, mas sim para algum servidor DNS que consiga alcançar outro controlador de domínio ou diretamente para o endereço de outro controlador de domínio.

Igual criar um secundário na mesma rede? (onde cada servidor aponta uma para o outro no primário e para sí mesmo no secundário), só que como é vlan, tem que apontar para um servidor dns para que ele faça esse roteamento, correto?

2 horas atrás, AzzraeL disse:

tanto para controle de uso quanto segurança de dados para ficar melhor encaixado na LGPD.

Poderia me explicar esse caso? mês que vem vou começar minha iniciação a LGPD e gostaria de entender a relação LGPD com a separação da rede em 2 arvores em uma floresta.

Buga Laza · 9 de abril

26 minutos atrás, Swalls disse:

Basicamente criar a vlan e inserir o servidor novo nela para autenticar os usuários, correto?

Se assim desejar, é isso mesmo.

26 minutos atrás, Swalls disse:

"Apenas" e "ao menos" não devem ser usados juntos, você quis dizer que é recomendado ter no mínimo 2 servidores controladores de domínio para manter a redundância, assim como diz a documentação?

Com "apenas", eu quis dizer que era minha única sugestão. A sugestão é manter ao menos dois controladores de domínio.

26 minutos atrás, Swalls disse:

Igual criar um secundário na mesma rede? (onde cada servidor aponta uma para o outro no primário e para sí mesmo no secundário), só que como é vlan, tem que apontar para um servidor dns para que ele faça esse roteamento, correto?

O fato de haver uma VLAN não significa necessariamente que os servidores não podem se comunicar - pelo contrário, eles DEVEM se comunicar para replicar o Active Directory. Mas a ideia é essa: o servidor DNS primário de um controlador de domínio nunca pode ser ele mesmo, exceto em casos onde existe apenas um controlador de domínio. Em uma rede privada, não há problema em apontar diretamente para outro controlador de domínio, mas em uma rede pública, a recursão deve ser desabilitada nos servidores autoritativos, então seria necessária a implementação de um ou mais servidores recursivos, que seriam os servidores DNS para os controladores de domínio.

AzzraeL · 9 de abril

Citação

Poderia me explicar esse caso? mês que vem vou começar minha iniciação a LGPD e gostaria de entender a relação LGPD com a separação da rede em 2 arvores em uma floresta.

@Swalls Basicamente, com cada usuário tendo acessos limitados conforme a sua necessidade e gerenciado por um administrador de rede, os dados consequentemente ficam mais seguros porque você está diminuindo a chance de um vazamento de informações em que algum usuário não deveria ter acesso. Aliado a isso, com cada funcionário tendo seu usuário de acesso é mais fácil ter controle sobre as suas ações e seus arquivos, sendo que outro usuário, mesmo que entre no mesmo computador, não terá acesso à essas informações e arquivos. Também é possível citar melhores dados em caso de reclamações trabalhistas, sendo que os usuarios e senhas não devem ser compartilhados com outros funcionários, então se for possível identificar que alguma ação danosa dentro do sistema partiu de um determinado usuário, a "culpa" recai sobre o mesmo, pois outro funcionário não deveria ter acesso à isso. Recomendo dar uma lida na LGPD antes de partir para alguma ação, a lei não é tão extensa e seus artigos são pequenos em sua maioria, dá pra ter uma ideia legal de como agir em determinadas situações e o que evitar de acontecer perante a norma legal. Trabalho em uma empresa familiar e felizmente está crescendo bastante, principalmente em funcionários e sistemas, então não dá mais pra ficar gerenciando máquina a máquina pessoalmente e muito menos somente instalando um Windows com usuario administrador, que é feito por padrão inicialmente, e deixando na mão do funcionário. Já tivemos problemas com isso, a gota d'agua foi um ransonware há algumas semanas, sorte que tinhamos backups de todos os sistemas e bancos de dados, então não perdemos nada, só tempo para voltar tudo mesmo. Por isso estou estudando sobre ADDS e segurança de dados, hoje em dia em empresas mesmo de pequeno porte é importante demais pra deixar passar.

@apresenta problemas LazaSobre a instalação, como tenho somente 1 controlador do dominio por enquanto, todos os computadores vão apontar para o DNS que é o IP do controlador correto? Futuramente tendo mais 1 controlador, posso apontar o DNS principal para um e o secundário para o outro? Ou deixaria um somente para ser o controlador do ADDS e o outro para ser o servidor DNS?

@SwallsSobre a instalação, é mais simples que aparenta, somente coloque o controlador de domínio dentro da VLan desejada, funcionou de primeira aqui, não use a função NAT se possuir um gateway que identifica aparelhos ou rede como uma Dream Machine Pro que é o meu caso aqui, senão perderá o acesso aos computadores dentro da NAT criada pelo servidor do ADDS

Buga Laza · 9 de abril

31 minutos atrás, AzzraeL disse:

Sobre a instalação, como tenho somente 1 controlador do dominio por enquanto, todos os computadores vão apontar para o DNS que é o IP do controlador correto?

Correto!

32 minutos atrás, AzzraeL disse:

Futuramente tendo mais 1 controlador, posso apontar o DNS principal para um e o secundário para o outro? Ou deixaria um somente para ser o controlador do ADDS e o outro para ser o servidor DNS?

Todo controlador de domínio hospeda o servidor DNS, então ambos podem ser os servidores DNS para as estações e, para os servidores, um será o servidor DNS primário do outro.

Swalls · 9 de abril

40 minutos atrás, apresenta problemas Laza disse:

Todo controlador de domínio hospeda o servidor DNS, então ambos podem ser os servidores DNS para as estações e, para os servidores, um será o servidor DNS primário do outro.

Na vdd, até onde vai minha experiência, o servidor DNS tem que ser escolhido no momento que tiver instalando os serviços do AD. (tenho experiência somente com o 2012 e 2019)

jolao · 9 de abril

@AzzraeL cara, uma duvida, voce tem algum firewall de borda ou perímetro?

Buga Laza · 9 de abril

1 hora atrás, Swalls disse:

Na vdd, até onde vai minha experiência, o servidor DNS tem que ser escolhido no momento que tiver instalando os serviços do AD. (tenho experiência somente com o 2012 e 2019)

O assistente de promoção a controlador de domínio do Windows 2000 perguntava se o servidor DNS deveria ser instalado. Nas versões seguintes nunca vi essa opção.

Talvez seja possível instalar o ADDS sem o servidor DNS através da linha de comando. Mas, através da interface gráfica, se o servidor DNS não estiver presente no computador, ele será instalado durante a promoção.

AzzraeL · 10 de abril

@jolao Cara, nunca ouvi por esses nomes, mas pelo que pude pesquisar rapidamente se encaixa como firewall de perímetro, é uma Unifi Dream Machine Pro, da Ubiquiti, ela acumula diversas funções em um único dispositivo, estou gostando bastante da experiência de trabalhar com ela, bem mais intuitivo que uma RB da Mikrotik... haha

Swalls · 10 de abril

@apresenta problemas Laza interessante, sempre que crio um gerenciador AD por CLI eu seleciono as opções de DNS, então nunca vi ser instalado automaticamente, vou testar uma vm qualquer dia.

Buga Laza · 10 de abril

A minha resposta anterior está incorreta. O assistente das demais versões do Windows Server também permite selecionar se o servidor DNS deve ou não ser instalado.

Desta forma, não necessariamente todo controlador de domínio hospeda o servidor DNS, mas o mais comum é que o DNS esteja presente com o ADDS.