2.1 Planejando sua implantação

Conforme você planeja a implantação do Directory and Resource Administrator, use esta seção para avaliar seu ambiente de hardware e de software para compatibilidade e para anotar as portas e os protocolos necessários que você precisará configurar para a implantação.

2.1.1 Recomendações de recurso testadas

Esta seção fornece informações de dimensionamento para nossa recomendação de recurso básico. Os resultados podem variar de acordo com o hardware disponível, o ambiente específico e o tipo específico de dados processados, entre outros fatores. É provável que existam configurações de hardware maiores e mais potentes, capazes de lidar com uma carga mais pesada. Se você tiver perguntas, consulte os Serviços de Consultoria da NetIQ.

Executado em um ambiente com aproximadamente um milhão de objetos do Active Directory:

Componente	CPU	Memória	Armazenamento
Servidor de Administração do DRA	4 núcleos de CPU (x64) de 2,0 GHz	16 GB	100 GB
Console da Web do DRA	2 núcleos de CPU (x64) de 2,0 GHz	8 GB	100 GB
Gerador de relatórios do DRA	4 núcleos de CPU (x64) de 2,0 GHz	16 GB	100 GB
Servidor de workflow do DRA	4 núcleos de CPU (x64) de 2,0 GHz	16 GB	100 GB

Aprovisionamento de recursos de ambiente virtual

O DRA mantém segmentos de memória grandes ativos por períodos prolongados. Ao aprovisionar recursos para um ambiente virtual, as seguintes recomendações devem ser consideradas:

Alocar o armazenamento como “Thick Provisioned”
Definir a reserva de memória para Reservar Toda a Memória de Convidado (Toda Bloqueada)
Verifique se o arquivo de paginação é suficientemente grande para cobrir a realocação da memória inchada na camada virtual

2.1.2 Portas e protocolos necessários

As portas e os protocolos para comunicação com o DRA são fornecidos nesta seção.

As portas configuráveis são indicadas com um asterisco *
As portas que requerem um certificado são indicadas com dois asteriscos **

Servidores de administração do DRA

Protocolo e porta	Direção	Destino	Uso
TCP 135	Bidirecional	Servidores de administração do DRA	Mapeador de endpoint, um requisito básico para comunicação com o DRA; habilita servidores de Administração a localizarem uns aos outros em MMS
TCP 445	Bidirecional	Servidores de administração do DRA	Replicação de modelo de delegação; replicação de arquivo durante a sincronização de MMS (SMB)
Faixa de portas TCP dinâmicas *	Bidirecional	Controladores de domínio do Microsoft Active Directory, clientes do DRA	Por padrão, o DRA atribui portas dinamicamente da faixa de portas TCP de 1024 a 65535. No entanto, você pode configurar essa faixa usando serviços de componente. Para obter mais informações, veja Usando COM distribuído com firewalls (DCOM)
TCP 50000 *	Bidirecional	Servidores de administração do DRA	Replicação de atributo e comunicação servidor DRA-ADAM. (LDAP)
TCP 50001 *	Bidirecional	Servidores de administração do DRA	Replicação de atributos SSL (ADAM)
TCP/UDP 389	Saída	Controladores de domínio do Microsoft Active Directory	Gerenciamento de objetos do Active Directory (LDAP)
TCP/UDP 389	Saída	Microsoft Exchange Server	Gerenciamento de caixa de correio (LDAP)
TCP/UDP 53	Saída	Controladores de domínio do Microsoft Active Directory	Resolução de nome
TCP/UDP 88	Saída	Controladores de domínio do Microsoft Active Directory	Permite autenticação do servidor do DRA para os controladores de domínio (Kerberos)
TCP 80	Saída	Microsoft Exchange Server	Necessário para todos os servidores do Exchange locais de 2010 a 2013 (HTTP)
TCP 80	Saída	Microsoft Office 365	Acesso remoto ao PowerShell (HTTP)
TCP 443	Saída	Microsoft Office 365, Change Guardian	Acesso à API (Application Programming Interface) e integração do Change Guardian (HTTPS)
TCP 443, 5986, 5985	Saída	Microsoft PowerShell	Cmdlets nativos do PowerShell (HTTPS) e comunicação remota com o PowerShell
TCP 8092 * **	Saída	Servidor de workflow	Status e acionamento de workflow (HTTPS)
TCP 50101 *	Entrada	Cliente DRA	Clique o botão direito do mouse no relatório de histórico de mudanças para o relatório de auditoria da interface do usuário. Pode ser configurado durante a instalação.
TCP 8989	Host local	Serviço de arquivo de registro	Comunicação com o arquivo de registro (não precisa ser aberto por meio do firewall)
TCP 50102	Bidirecional	Serviço básico do DRA	Serviço de arquivo de registro
TCP 50103	Host local	Serviço de cache do DRA	Comunicação do serviço de cache no servidor do DRA (não precisa ser aberto por meio do firewall)
TCP 1433	Saída	Microsoft SQL Server	Coleta de dados do gerador de relatórios
UDP 1434	Saída	Microsoft SQL Server	O serviço de browser do SQL Server usa essa porta para identificar a porta para a instância nomeada.
TCP 8443	Bidirecional	Servidor do Change Guardian	Histórico de mudanças unificado

Servidor REST do DRA

Protocolo e porta	Direção	Destino	Uso
TCP 8755 * **	Entrada	Servidor IIS, cmdlets do PowerShell do DRA	Executar atividades de workflow baseadas em REST do DRA (ActivityBroker)
TCP 11192 * **	Saída	Serviço de host do DRA	Para comunicação entre o serviço REST do DRA e o serviço de administração do DRA
TCP 135	Saída	Controladores de domínio do Microsoft Active Directory	Descoberta automática usando o Ponto de Conexão do Serviço (SCP)
TCP 443	Saída	Controladores de domínio do Microsoft AD	Descoberta automática usando o Ponto de Conexão do Serviço (SCP)

Console da Web (IIS)

Protocolo e porta	Direção	Destino	Uso
TCP 8755 * **	Saída	Serviço REST do DRA	Para comunicação entre o console da Web do DRA, o PowerShell do DRA e o serviço de host do DRA
TCP 443	Entrada	Browser do cliente	Abrindo um site na web do DRA
TCP 443 **	Saída	Servidor de Advanced Authentication	Advanced Authentication

Console de administração e delegação do DRA

Protocolo e porta	Direção	Destino	Uso
TCP 135	Saída	Controladores de domínio do Microsoft Active Directory	Descoberta automática usando SCP
Faixa de portas TCP dinâmicas *	Saída	Servidores de administração do DRA	Atividades de workflow do adaptador do DRA. Por padrão, o DCOM atribui portas dinamicamente da faixa de portas TCP de 1024 a 65535. No entanto, você pode configurar essa faixa usando serviços de componente. Para obter mais informações, veja Usando COM distribuído com firewalls (DCOM)
TCP 50102	Saída	Serviço básico do DRA	Geração de relatórios do histórico de mudanças

Servidor de workflow

Protocolo e porta	Direção	Destino	Uso
TCP 8755	Saída	Servidores de administração do DRA	Executar atividades de workflow baseadas em REST do DRA (ActivityBroker)
Faixa de portas TCP dinâmicas *	Saída	Servidores de administração do DRA	Atividades de workflow do adaptador do DRA. Por padrão, o DCOM atribui portas dinamicamente da faixa de portas TCP de 1024 a 65535. No entanto, você pode configurar essa faixa usando serviços de componente. Para obter mais informações, veja Usando COM distribuído com firewalls (DCOM)
TCP 1433	Saída	Microsoft SQL Server	Armazenamento de dados de workflow
TCP 8091	Entrada	Console de operações e console de configuração	API (Application Programming Interface) de BSL do workflow (TCP)
TCP 8092 **	Entrada	Servidores de administração do DRA	API (Application Programming Interface) de BSL do workflow (HTTP)
TCP 2219	Host local	Provedor de Namespace	Usado pelo Provedor de Namespace para executar adaptadores
TCP 9900	Host local	Correlation Engine	Usado pelo Correlation Engine para comunicar-se com o Mecanismo de Workflow e o Provedor de Namespace
TCP 10117	Host local	Provedor de namespace do gerenciamento de recursos	Usado pelo Provedor de namespace do gerenciamento de recursos

2.1.3 Plataformas suportadas

Para obter as informações mais recentes sobre as plataformas de software suportadas, consulte a página do Directory and Resource Administrator no site na Web da NetIQ:

Sistema gerenciado	Pré-requisitos
Active Directory	Microsoft Server 2012 Microsoft Server 2012 R2 Microsoft Server 2016
Microsoft Exchange	Microsoft Exchange 2010 SP3 (exceto para pastas públicas) Microsoft Exchange 2013 Microsoft Exchange 2016 Microsoft Skype Online
Microsoft Office 365	Microsoft Exchange Online Microsoft Skype Online Módulo do Microsoft Azure Active Directory para o Windows PowerShell https://docs.microsoft.com/en-us/office365/enterprise/powershell/connect-to-office-365-powershell Skype for Business Online, módulo do Windows PowerShell https://www.microsoft.com/en-us/download/details.aspx?id=39366
Skype for Business	Microsoft Skype for Business 2015
Histórico de mudanças	Change Guardian 5.0, 5.1
Browsers da Web	Microsoft Internet Explorer 11, Edge Google Chrome Mozilla Firefox

2.1.4 Requisitos do Servidor de Administração do DRA

O DRA tem os seguintes requisitos de servidor para software e contas:

Requisitos de software:

Componente	Pré-requisitos
Destino de Instalação Sistema Operacional	Sistema operacional do Servidor de Administração da NetIQ: Microsoft Windows Server 2012, 2012 R2, 2016 O Microsoft Windows 2008 R2 é suportado apenas para upgrade. NOTA:O servidor também precisa ser um membro de um domínio nativo suportado do Microsoft Windows Server. Interfaces do DRA do Windows: Microsoft Windows Server 2012, 2012 R2, 2016 Microsoft Windows 8.1 (x86 e x64), 10 (x86 e x64)
Instalador	Microsoft .NET Framework 4.5.2 e superior
Servidor de Administração	Directory and Resource Administrator: Microsoft .NET Framework 4.5.2 e superior Um dos seguintes: Pacotes redistribuíveis (x64 e x86) do Microsoft Visual C++ 2015 (Atualização 3) Pacotes redistribuíveis (x64 e x86) do Microsoft Visual C++ 2017 (Atualização 3) Enfileiramento de Mensagens da Microsoft Funções do Microsoft Active Directory Lightweight Directory Services Serviço de Registro Remoto iniciado Administração do Microsoft Office 365/Exchange Online: Módulo do Microsoft Azure Active Directory para o Windows PowerShell Assistente de entrada do Microsoft Online Services para profissionais de TI Skype for Business Online, módulo do Windows PowerShell Para obter mais informações, veja Plataformas suportadas.
Componentes legados da web	Servidor Web: Microsoft Internet Information Services (IIS) Versões 8.0, 8.5, 10 Componentes do Microsoft IIS: Microsoft Active Service Pages (ASP) Microsoft Active Service Pages .NET (ASP .Net) Serviço de função de segurança do Microsoft IIS Interfaces do DRA do Windows: Microsoft .NET Framework 4.5.2 Pacote redistribuível (x86) do Microsoft Visual C++ 2015 (Atualização 3)

Requisitos da conta:

Conta	Descrição	Permissões
Grupo AD LDS	A conta do serviço DRA precisa ser adicionada a este grupo para acesso ao AD LDS	Grupo de segurança local do domínio
Conta de serviço do DRA	As permissões necessárias para executar o Serviço de Administração da NetIQ	Permissões para “Usuários de COM Distribuído” Membro do Grupo de Admin do AD LDS Grupo de operadores de conta Grupos de arquivos de registro (OnePointOp ConfgAdms e OnePointOp) NOTA:Para obter mais informações sobre como configurar contas de acesso a domínio com privilégios mínimos, veja: Contas de acesso do DRA com privilégios mínimos.
Administrador do DRA	Conta do usuário ou grupo provisionado na função incorporada de administrador do DRA	Grupo de segurança local do domínio ou conta do usuário do domínio Membro do domínio gerenciado ou um domínio confiável Se você especificar uma conta de um domínio confiável, verifique se o computador do servidor de Administração pode autenticá-la.
Contas de Admin Assistente do DRA	Contas às quais serão delegados poderes via DRA	Adicione todas as contas de Admin Assistente do DRA ao grupo “Usuários de COM Distribuído” de modo que elas possam se conectar ao Servidor do DRA por meio de clientes remotos. NOTA:O DRA pode ser configurado para gerenciar isso para você durante a instalação.

Contas de acesso do DRA com privilégios mínimos

Abaixo estão as permissões e privilégios necessários para as contas especificadas e os comandos de configuração que você precisa executar.

Conta de acesso a domínio: Atribua as permissões do Active Directory a seguir à conta de acesso a domínio:

Controle TOTAL sobre objetos de Usuário
Controle TOTAL sobre objetos de Computador
Controle TOTAL sobre objetos de Grupo
Controle TOTAL sobre objetos de Contato
Controle TOTAL sobre objetos de Unidade Organizacional
Controle TOTAL sobre objetos Inetorgperson
Controle TOTAL sobre objetos de Impressora
Controle TOTAL sobre objetos de Domínio Incorporado
Controle TOTAL sobre objetos de Container
Controle TOTAL sobre objetos MsExchSystemObjectContainer
Controle TOTAL sobre Grupos de Distribuição Dinâmica
Controle TOTAL sobre Pastas Públicas

Especifique os privilégios a seguir com um escopo de “Este objeto e todos os objetos filhos” para a conta de serviço do domínio:

Permitir a criação de objetos de computador
Permitir o apagamento de objetos de computador
Permitir a criação de objetos de contato
Permitir o apagamento de objetos de contato
Permitir a criação de Objetos de Grupo
Permitir o apagamento de Objetos de Grupo
Permitir o apagamento de objetos InetOrgPerson
Permitir a criação de objetos de Unidade Organizacional
Permitir o apagamento de objetos de Unidade Organizacional
Permitir a criação de Objetos do Usuário
Permitir o apagamento de Objetos do Usuário
Permitir a criação de Grupos de Distribuição Dinâmica
Permitir o apagamento de Grupos de Distribuição Dinâmica
Permitir a criação de Ponto de Conexão do Serviço
Permitir o apagamento de Ponto de Conexão do Serviço
Permitir a criação de Container
Permitir o apagamento de Container
Permitir a criação de Pastas Públicas
Permitir o apagamento de Pastas Públicas

Conta de Acesso do Locatário ao Office 365: Atribua as permissões do Active Directory a seguir à conta de acesso ao locatário do Office 365:

Administrador de Gerenciamento de Usuários no Office 365
Gerenciamento de Destinatários no Exchange Online

Conta de Acesso ao Exchange: Atribua a função Gerenciamento Organizacional à conta de acesso ao Exchange para gerenciar o Exchange 2010.

Conta de Acesso ao Skype: Verifique se essa conta é um usuário habilitado para o Skype e que é um membro de pelo menos uma das seguintes opções:

Função CSAdministrator
Ambas as funções CSUserAdministrator e CSArchiving

Conta de Acesso à Pasta Pública: Atribua as permissões do Active Directory a seguir à conta de acesso à pasta pública:

Gerenciamento de Pasta Pública
Pastas Públicas Habilitadas para E-mail

Publicar instalação do DRA:

Execute o comando a seguir para delegar a permissão para o “Container de Objetos Apagados” da pasta Instalação do DRA (observação: o comando precisa ser executado por um administrador do domínio):

DraDelObjsUtil.exe /domain:<NetbiosDomainName> /delegate:<Nome da Conta>
Execute o comando a seguir para delegar permissão para a “NetIQReceyleBin OU” da pasta Instalação do DRA (observação: isso só pode ser feito após adicionar os respectivos domínios a serem gerenciados pelo DRA):

DraRecycleBinUtil.exe /domain:<NomeDeDomínioNetbios> /delegate:<NomeDaConta>
Adicione a conta de anulação com o mínimo de privilégios ao grupo “Administradores Locais” em cada computador em que o DRA gerenciará recursos como Impressoras, Serviços, Registro de Eventos, Dispositivos etc.
Conceda à conta de anulação com o mínimo de privilégios “Permissão Total” para pastas compartilhadas ou pastas DFS em que Diretórios pessoais são provisionados.
Adicione a conta de anulação com o mínimo de privilégios à função “Gerenciamento Organizacional” para gerenciar objetos do Exchange.

2.1.5 Requisitos de extensões e Console da Web do DRA

Os requisitos para o console da Web e as extensões REST incluem os seguintes:

Requisitos de software:

Componente	Pré-requisitos
Destino de Instalação	Sistema Operacional: Microsoft Windows Server 2016, Microsoft Windows 10 com Microsoft IIS 10 Microsoft Windows Server 2012, 2012 R2 com Microsoft IIS 8.0, 8.5
Serviço de host do DRA	Microsoft .NET Framework 4.5.2 Servidor de Administração do DRA
Serviço e endpoint REST do DRA	Microsoft .NET Framework 4.5.2
Extensões do PowerShell	Microsoft .NET Framework 4.5.2 PowerShell 4.0
Console da Web do DRA	Servidor Web: Microsoft Internet Information Server 8.0, 8.5, 10 WCF do Microsoft Internet Information Services (Ativação) Componentes do Microsoft IIS: Servidor Web Recursos HTTP comuns Conteúdo estático Documento padrão Browser do diretório Erros HTTP Desenvolvimento de Aplicativo ASP Saúde e diagnóstico Registro HTTP Monitor de solicitações Segurança Autenticação básica Desempenho Compressão de conteúdo estático Ferramentas de gerenciamento de servidor Web

2.1.6 Requisitos do gerador de relatórios

Os requisitos para o gerador de relatórios do DRA incluem os seguintes:

Requisitos de software:

Componente	Pré-requisitos
Destino de Instalação	Sistema Operacional: Microsoft Windows Server 2012, 2012 R2, 2016
NetIQ Reporting Center (v3.2)	Banco de dados: Microsoft SQL Server 2012, 2014, 2016 Microsoft SQL Server Reporting Services Servidor Web: Microsoft Internet Information Server 8.0, 8.5, 10 Componentes do Microsoft IIS: ASP .NET 4.0 Microsoft .NET Framework 3.5: Cada servidor de administração do DRA que se conecta ao Gerador de Relatórios do DRA também precisa do .NET Framework 3.5. NOTA:Ao instalar o NetIQ Reporting Center (NRC) em um computador com SQL Server, o .NET Framework 3.5 pode exigir uma instalação manual antes de instalar o NRC.
Gerador de relatórios do DRA	Banco de dados: Microsoft SQL Server Integration Services Microsoft SQL Server Agent

Componente

Pré-requisitos

Destino de Instalação

Sistema Operacional:

Microsoft Windows Server 2012, 2012 R2, 2016

NetIQ Reporting Center (v3.2)

Banco de dados:

Microsoft SQL Server 2012, 2014, 2016
Microsoft SQL Server Reporting Services

Servidor Web:

Microsoft Internet Information Server 8.0, 8.5, 10
Componentes do Microsoft IIS:
- ASP .NET 4.0

Microsoft .NET Framework 3.5:

Cada servidor de administração do DRA que se conecta ao Gerador de Relatórios do DRA também precisa do .NET Framework 3.5.

NOTA:Ao instalar o NetIQ Reporting Center (NRC) em um computador com SQL Server, o .NET Framework 3.5 pode exigir uma instalação manual antes de instalar o NRC.

Gerador de relatórios do DRA

Banco de dados:

Microsoft SQL Server Integration Services
Microsoft SQL Server Agent

2.1.7 Requisitos para licenciamento

Sua licença determina os produtos e recursos que você pode usar. O DRA requer que uma chave de licença esteja instalada com o Servidor de Administração.

Após instalar o servidor de administração, você poderá usar o Utilitário de Verificação de Saúde para instalar uma chave de licença de avaliação (License1.lic) que permite gerenciar um número ilimitado de contas de usuário e caixas de correio por 30 dias.

Consulte o Contrato de Licença por Usuário Final (EULA) para obter informações adicionais sobre definição e restrições de licenças.