Escolar Documentos
Profissional Documentos
Cultura Documentos
M I C R O S O F T
24410B
L E A R N I N G
Instalao e configurao
do Windows Server 2012
O F I C I A L
ii
As informaes includas neste documento, incluindo URL e outras referncias a sites da Internet, esto
sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes,
produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui
mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos,
nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento
de todas as leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um
sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por
escrito, da Microsoft Corporation.
A Microsoft pode ter patentes, aplicativos de patente, marcas registradas, direitos autorais ou outros
direitos de propriedade intelectual abordando o assunto em questo neste documento. Exceto se
expressamente previsto em um acordo de licena por escrito da Microsoft, o fornecimento deste
documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra
propriedade intelectual.
Os nomes dos fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais referentes a esses
fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou
produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para
sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo
contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer
mudana ou atualizao em tais sites. A Microsoft no se responsabiliza pela divulgao por webcast ou
qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo
esses links somente para sua convenincia, e a incluso de tais links no implica endosso da Microsoft em
relao ao site ou aos produtos nele contidos.
2013 Microsoft Corporation. Todos os direitos reservados.
Microsoft e as marcas comerciais listadas em http://www.microsoft.com/about/legal/en/us/IntellectualProperty/
Trademarks/EN-US.aspx so marcas comerciais do grupo de empresas Microsoft. Todas as outras marcas
comerciais pertencem aos respectivos proprietrios
iii
Dispositivo em Sala de Aula significa 1 (um) computador dedicado e protegido que um Centro de
Treinamento Autorizado possui ou controla, localizado nas instalaes de treinamento do Centro
de Treinamento Autorizado que atende ou excede o nvel de hardware especificado para o referido
Curso Conduzido pelo Instrutor da Microsoft.
d. Usurio Final significa um indivduo que est (i) devidamente inscrito em e participando de uma
Sesso de Treinamento Autorizado ou Sesso de Treinamento Privado, (ii) um funcionrio de um
Membro MPN ou (iii) um funcionrio em tempo integral da Microsoft.
e. Contedo Licenciado significa o contedo que acompanha este contrato, que pode incluir
o Curso Conduzido pelo Instrutor da Microsoft ou o Contedo do Instrutor.
f.
Instrutor Certificado pela Microsoft ou MCT significa um indivduo que (i) contratado para
ministrar uma sesso de treinamento para Usurios Finais em nome de um Centro de Treinamento
Autorizado ou Membro do MPN e (ii) atualmente certificado como um Instrutor Certificado pela
Microsoft pelo Programa do Programa de Certificao da Microsoft.
iv
g. Curso Conduzido pelo Instrutor da Microsoft significa o curso de treinamento conduzido pelo
instrutor com a marca da Microsoft que instrui profissionais de TI e desenvolvedores nas
tecnologias da Microsoft. Um ttulo de Curso Conduzido pelo Instrutor da Microsoft pode
ser um curso com a marca MOC, Microsoft Dynamics ou Microsoft Business Group.
h. Membro do Programa Microsoft IT Academy significa um membro ativo do
Programa Microsoft IT Academy.
i.
j.
MOC significa o curso conduzido pelo instrutor de Official Microsoft Learning Product, conhecido
como Microsoft Official Course, que instrui profissionais de TI e desenvolvedores nas tecnologias
da Microsoft.
k. Membro MPN significa um membro ativo do programa Microsoft Partner Network com nvel silver
ou gold de boa reputao.
l.
vi
vii
c.
i.
viii
ix
xi
tout ce qui est reli au le contenu sous licence, aux services ou au contenu (y compris le code)
figurant sur des sites Internet tiers ou dans des programmes tiers; et
xii
Elle sapplique galement, mme si Microsoft connaissait ou devrait connatre lventualit dun tel
dommage. Si votre pays nautorise pas lexclusion ou la limitation de responsabilit pour les dommages
indirects, accessoires ou de quelque nature que ce soit, il se peut que la limitation ou lexclusion ci-dessus
ne sappliquera pas votre gard.
EFFET JURIDIQUE. Le prsent contrat dcrit certains droits juridiques. Vous pourriez avoir dautres
droits prvus par les lois de votre pays. Le prsent contrat ne modifie pas les droits que vous confrent
les lois de votre pays si celles-ci ne le permettent pas.
Revisado em junho de 2012
Bem-vindo!
Obrigado para participar do nosso treinamento. Trabalhamos com os nossos
Microsoft Certified Partners for Learning Solutions e Microsoft IT Academies para
proporcionar a voc uma experincia de aprendizado de alta qualidade, quer voc seja
um profissional buscando aprimorar suas habilidades ou um estudante se preparando
para uma carreira na rea de TI.
1 IDC,
xiii
xiv
Agradecimentos
A Microsoft Learning gostaria de reconhecer e agradecer s pessoas listadas a seguir pela sua colaborao
no desenvolvimento deste ttulo. O esforo dessas pessoas em vrias fases do desenvolvimento garantiu
que voc tivesse uma boa experincia em sala de aula.
xv
Contedo
Mdulo 1: Implantao e gerenciamento do Windows Server 2012
Lio 1: Viso geral do Windows Server 2012
Lio 2: Viso geral do gerenciamento do Windows Server 2012
Lio 3: Instalao do Windows Server 2012
Lio 4: Configurao ps-instalao do Windows Server 2012
Lio 5: Introduo ao Windows PowerShell
Laboratrio: Implantao e gerenciamento do Windows Server 2012
1-2
1-16
1-22
1-27
1-37
1-43
2-2
2-9
2-15
2-21
3-3
3-11
3-19
3-25
3-29
4-2
4-8
4-15
4-23
5-2
5-7
5-12
5-18
5-27
xvii
xviii
6-2
6-8
6-13
6-17
6-23
7-2
7-12
7-19
7-23
8-2
8-8
8-15
8-20
8-26
9-2
9-13
9-24
9-29
10-2
10-17
10-21
10-28
11-2
11-11
11-18
11-23
11-27
12-2
12-7
12-18
12-26
12-31
12-36
13-2
13-9
13-17
13-25
13-30
Respostas do laboratrio
Laboratrio do mdulo 1: Implantao e gerenciamento
do Windows Server 2012
Laboratrio do mdulo 2: Instalao de controladores de domnio
Laboratrio do mdulo 3: Gerenciamento de objetos dos Servios
de Domnio do Active Directory
Laboratrio do mdulo 4: Automao da administrao
do AD DS usando o Windows PowerShell
Laboratrio do mdulo 5: Implementao do IPv4
Laboratrio do mdulo 6: Implementao de DHCP
Laboratrio do mdulo 7: Implementao do DNS
Laboratrio do mdulo 8: Implementao do IPv6
Laboratrio do mdulo 9: Implementao de armazenamento local
Laboratrio do mdulo 10: Implementao de servios de arquivo
e impresso
Laboratrio do mdulo 11: Implementao da Poltica de Grupo
Laboratrio A do mdulo 12: Aumento da segurana de recursos
do servidor
Laboratrio B do mdulo 12: Configurao do AppLocker
e do Firewall do Windows
Laboratrio do mdulo 13: Implementao da virtualizao
de servidores com o Hyper-V
L1-1
L2-9
L3-13
L4-21
L5-25
L6-29
L7-35
L8-43
L9-47
L10-53
L11-61
L12-65
L12-72
L13-79
xix
Descrio do curso
xxi
Este curso faz parte de uma srie de trs partes que fornece as habilidades e os conhecimentos
necessrios para implementar uma infraestrutura central do Windows Server 2012 em um ambiente
corporativo existente. Coletivamente, os trs cursos abrangem a implementao, o gerenciamento, a
manuteno e o provisionamento de servios e infraestrutura em um ambiente Windows Server 2012.
Embora haja uma certa interseo em habilidades e tarefas entre os cursos, este curso abrange
principalmente a implementao e configurao iniciais de servios bsicos, incluindo o AD DS (Servios
de Domnio Active Directory), servios de rede e a configurao do Microsoft Hyper-V Server 2012.
Pblico-alvo
Este curso destina-se a Profissionais de TI (sistemas de informao) com experincia e bons conhecimento
sobre o sistema operacional Windows que desejam adquirir as habilidades e os conhecimentos
necessrios para implementar os principais servios de infraestrutura em um ambiente existente do
Windows Server 2012.
A audincia secundria consiste em indivduos que desejam certificao no exame 70-410, Instalao e
Configurao do Windows Server 2012.
Pr-requisitos do aluno
Este curso exige que os alunos atendam aos seguintes pr-requisitos:
Boa experincia prtica com clientes do sistema operacional Windows Vista, Windows 7
ou Windows 8
Tambm seria benfico para os alunos ter alguma experincia anterior com o sistema operacional
Windows Server.
Objetivos do curso
Ao concluir este curso, os alunos estaro aptos a:
Descrever o AD DS.
Implementar o IPv4:
Implementar o IPv6.
Estrutura do curso
Esta seo fornece um resumo do curso:
Mdulo 1, Implantao e gerenciamento do Windows Server 2012
Esse mdulo inicia o curso discutindo a instalao do Windows Server 2012. Esta no a tarefa
mais comumente realizada que discutida no curso, mas fornece um ponto de partida lgico
para que os alunos comecem a trabalhar com o Windows Server 2012.
Mdulo 2, Introduo aos Servios de Domnio do Active Directory
O AD DS uma parte central do gerenciamento de rede em um ambiente corporativo. Ele
introduzido no incio do curso para que os alunos possam us-lo para realizar outras tarefas,
como criar usurios e grupos, em mdulos posteriores. Neste mdulo, os alunos iro instalar
um controlador de domnio.
Mdulo 3, Gerenciamento de objetos dos Servios de Domnio do Active Directory
Este mdulo discute a criao e o gerenciamento de objetos especficos do AD DS, como
usurios, grupos e contas de computador. Esta uma parte essencial daquilo que um
administrador de servidor iniciante realiza diariamente. Algumas dessas tarefas tambm
so delegadas para a equipe de assistncia tcnica.
xxiii
Este mdulo inclui como o DNS converte nomes em endereos IP e por que isso importante
em um ambiente do Active Directory.
Mdulo 8, Implementao do IPv6
Esse mdulo introduz a configurao IPv6, que provavelmente um novo contedo
para os alunos. O Mdulo 8 separado do Mdulo 5, pois ambos so altamente tericos
e podem sobrecarregar os alunos se forem ensinados sequencialmente. No necessrio
ter conhecimento sobre IPv6 para os Mdulos 6 e 7.
Mdulo 9, Implementao de armazenamento local
Esse mdulo inclui contedo sobre configurao de armazenamento para
o Windows Server 2012. Essas informaes so pr-requisitos para o Mdulo 10,
que abrange a criao e a proteo de compartilhamentos de arquivos.
Mdulo 10, Implementao de servios de arquivo e impresso
Esse mdulo discute as configuraes de Poltica de Grupo especficas que podem ser usadas
para aumentar a segurana. As configuraes incluem polticas de segurana, polticas de
restrio de aplicativos e regras do Firewall do Windows.
Mdulo 13, Implementao da virtualizao de servidores com o Hyper-V
O mdulo final discute como configurar o Hyper-V e como criar mquinas virtuais. Esse
mdulo o ltimo, pois o laboratrio pode vir a afetar negativamente as mquinas virtuais
que j foram implantadas nas mquinas dos alunos.
Mapeamento do exame/curso
Este curso, 24410B: Instalao e configurao do Windows Server 2012, tem um mapeamento direto
do seu contedo com odomnio de objetivos para o exame da Microsoft 70-410: Instalao
e Configurao do Windows Server 2012.
A tabela abaixo fornecida como auxlio de estudo que ajudar voc na preparao para realizar esse
exame e para mostrar como os objetivos do exame e o contedo do curso se encaixam. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
Observao: os objetivos do exame esto disponveis online na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-410&locale=en-us#tab2
(Alguns dos sites abordados neste curso pode ser em Ingls).
Contedo do curso
Mdulo Lesson
Lab
Md 1
Lio 1
Md 1 Ex 1
Md 1
Md 3
Lio 4
Md 9
Md 3 Ex 2
(continuao)
Contedo do curso
Md 10
Lio 1/2
Md 10 Ex 1/2
Md 10
Lio 3
Md 10 Ex 3
Md 1
Lio 1/2/4 Md 1 Ex 2
Md 12
Lio 4
xxv
Md 12 Lab B Ex 2
Contedo do curso
Md 13 Lio 2
Md 9
Md 13 Ex 3/4
Lio 1
Md 13 Lio 2/3
Md 13 Ex 3/4
Md 13 Lio 4
Md 13 Ex 2
Md 1
Lio 4
Md 1 Ex 1/2
Md 5
Md 8
Lio 2/3/4
Lio 3/4
Md 5 Ex 1/2
Md 8 Ex 2
Md 6
Lio 1/2/3/4
Md 6 Ex 1/2
Md 7
Lio 1/2/3
Md 7 Ex 1/2/3
Contedo do curso
xxvii
Md 2
Lio 3
Md 2 Ex 1/2
Md 1
Lio 4
Md 3
Md 4
Lio 1
Lio 1/2/3
Md 3 Ex 2/3
Md 4 Ex 1/2/3
Md 3
Lio 1/2/4
Md 3 Ex 1/2/3
Md 4
Lio 1/2
Md 4 Ex 1
(continuao)
Contedo do curso
xxviii
Md 11 Lio 1/2
Md 11 Ex 1/2
Md 12 Lio 1/2
Md 12 Lab A
Ex 1/2/3
Contedo do curso
Md 12
Lio 3
Md 12 Lab B
Ex 1
Md 12
Lio 4
Md 12 Lab B
Ex 2
xxix
Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:
Experincia prtica com a instalao e a configurao de uma infraestrutura do Windows Server 2012
Tambm pode haver um estudo adicional e recursos de preparao, como testes prticos, disponveis
para voc se preparar para este exame. Os detalhes desses materiais esto disponveis na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-410&locale=en-us#tab3
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil de audincia
completo para este para este exame est disponvel na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-410&locale=en-us#tab1
A tabela de mapeamento do exame/curso descrita acima precisa no momento da impresso, porm
est sujeita a alterao a qualquer momento e a Microsoft no tem nenhuma responsabilidade por
qualquer discrepncia entre a verso publicada aqui e a verso disponvel online, e no fornecer
nenhuma notificao de tais alteraes.
Material do curso
Manual do curso Um guia de aprendizado em sala de aula sucinto contendo todas as informaes
tcnicas cruciais em um formato conciso e altamente direcionado, ideal para uma experincia efetiva
de aprendizado em sala de aula.
Laboratrios: fornecem uma plataforma real e prtica para que voc aplique as tcnicas e os
conhecimentos aprendidos em cada mdulo.
Respostas do laboratrio: Fornecem orientao passo a passo e imediata para a resoluo dos
laboratrios quando necessrio.
Recursos: Incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
mais atual na TechNet, na MSDN e na Microsoft Press.
xxx
Avaliao do curso Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.
Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para pesquisar sobre o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.
Esta seo fornece as informaes para configurao do ambiente de sala de aula para dar suporte
ao cenrio comercial do curso.
2.
Na caixa de dilogo Fechar, na lista O que voc quer a mquina virtual faa?, clique em
Desativar, exclua as alteraes e depois clique em OK.
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso.
Mquina virtual
24410B-LON-DC1
Funo
Um controlador de domnio executando o Windows Server 2012
no domnio Adatum.com.
24410B-LON-SVR1
24410B-LON-SVR2
24410B-LON-SVR3
24410B-LON-HOST1
24410B-LON-CORE
24410B-LON-RTR
24410B-LON-CL1
24410B-LON-CL2
xxxi
Configurao de software
Os seguintes itens de software esto instalados em cada mquina virtual:
Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma configurao
mnima de equipamento para os computadores do instrutor e do aluno em todas as salas de aula da CPLS
(Microsoft Certified Partner for Learning Solutions) nas quais os cursos Official Microsoft Learning Product
so ensinados.
Mova o mouse at o canto inferior direito da rea de trabalho para abrir um menu com:
Windows+C: Abre o mesmo menu que mover o mouse at o canto inferior direito.
Mdulo 1
Implantao e gerenciamento do Windows Server 2012
Contedo:
Viso geral do mdulo
1-1
1-2
1-16
1-22
1-27
1-37
1-43
1-52
Compreender os recursos de um novo sistema operacional Windows Server 2012 permite que voc tire
proveito desse sistema com eficincia. Sem compreender os recursos do seu novo sistema operacional
Windows Server 2012, voc pode acabar usando esse sistema da mesma maneira que costumava usar
a verso anterior e talvez perca as vantagens do novo sistema. Compreendendo como utilizar o seu
novo sistema operacional Windows Server 2012 de maneira plena e conhecendo as ferramentas
que esto disponveis para o gerenciamento dessa funcionalidade, voc capaz de proporcionar
mais valor para a sua organizao.
Este mdulo apresenta a nova interface administrativa do Windows Server 2012. Neste mdulo,
voc aprender os diferentes recursos e funes que esto disponveis com o sistema operacional
Windows Server 2012. Voc tambm conhecer as diferentes opes de instalao que podem
ser usadas na instalao do Windows Server 2012.
Este mdulo discute as etapas de configurao que voc pode realizar durante a instalao e aps
a implantao para garantir que os servidores possam comear a operar em suas funes atribudas.
Voc tambm aprender a usar o Windows PowerShell para realizar tarefas administrativas comuns
no Windows Server 2012.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever a diferena entre uma instalao Server Core do Windows Server 2012 e uma instalao
tradicional do Windows Server 2012.
Explicar o papel das funes de servidor que esto disponvel em computadores que executam
o Windows Server 2012.
Servidores locais
Como profissional de TI, voc provavelmente
j ouviu sobre computao em nuvem. Talvez
voc tenha ouvido como softwares e servios
esto sendo movidos para uma nuvem pblica
ou privada, j que a previso de que a nuvem
se torne um aspecto importante do futuro da
computao empresarial. Voc tambm pode
ter ouvido que o Windows Server 2012 j vem
preparado para a nuvem. Como profissional
de TI que trabalhou com servidores localmente
implantados, seria lgico perguntar, se tudo est
indo em direo computao em nuvem, por
que voc precisa aprender a implantar o Windows Server 2012 localmente?
1-2
A realidade que nem todos os servios e aplicativos usados diariamente devem ser hospedados
pela computao em nuvem. Servidores localmente implantados formam o backbone de uma rede
organizacional e fornecem os seguintes recursos para os clientes:
1-3
Arquivos e impressoras compartilhados. Servidores fornecem um local centralizado que permite aos
usurios armazenar e compartilhar documentos. Eles tambm hospedam recursos, como impressoras
compartilhadas, que permitem que grupos de usurios otimizem recursos de maneira mais eficiente.
Sem esses recursos centralizados e localmente implantados, o compartilhamento e o backup de
arquivos centralmente seria um processo muito mais complexo e demorado. Embora seja possvel
hospedar algumas dessas informaes com a computao em nuvem, nem sempre faz sentido
enviar um trabalho para uma impressora que se encontra na sala ao lado atravs de um servidor
que est hospedado em um local remoto.
Cada organizao ter seus prprios requisitos. Uma organizao em uma rea que possui conectividade
limitada com a Internet precisar depender mais de servidores locais do que uma organizao com acesso
a largura de banda de alta velocidade. importante que, mesmo no caso de problemas de conectividade
com a Internet, o trabalho em uma organizao possa continuar. A produtividade ser prejudicar se uma
falha na conexo com a Internet da organizao significar repentinamente que ningum pode ter acesso
a arquivos e impressoras compartilhados.
Embora o Windows Server 2012 esteja pronto para integrao com a computao em nuvem,
ele tambm ainda altamente adequado para as tarefas tradicionais que os sistemas operacionais
Windows Server tm executado ao longo da histria. Portanto, voc ainda poder configurar e
implantar o Windows Server 2012 para realizar as mesmas cargas de trabalho, ou semelhantes,
configuradas para servidores que executam o Windows Server 2003 e talvez at mesmo para
o Microsoft Windows NT Server 4.0.
Pergunta: Qual a diferena entre um servidor e um sistema operacional cliente?
Pergunta: Como a funo do servidor evoluiu com o passar do tempo desde o sistema
operacional Microsoft Windows NT 4.0 Server at o Windows Server 2012?
1-4
PaaS (Plataforma como um Servio). Com a PaaS, o provedor de hospedagem em nuvem fornece
a voc uma plataforma especfica. Por exemplo, um provedor pode permitir que voc hospede
bancos de dados. Voc gerencia o banco de dados propriamente dito, e o provedor de hospedagem
em nuvem hospeda o servidor de banco de dados. O SQL Azure um exemplo de PaaS.
SaaS (Software como um Servio). O provedor de hospedagem em nuvem hospeda seu aplicativo
e a infraestrutura inteira que d suporte a ele. Voc compra e executa um aplicativo de software
de um provedor de hospedagem em nuvem. O Windows InTune e o Microsoft Office 365 so
exemplos de SaaS.
1-5
Nuvens privadas so muito mais que implantaes de hipervisor em grande escala. Elas podem usar o
pacote de gerenciamento do Microsoft System Center 2012, que torna possvel fornecer a distribuio
via autoatendimento de servios e aplicativos. Por exemplo, em uma organizao que possui sua prpria
nuvem privada, seria possvel que os usurios utilizassem um portal de autoatendimento para solicitar
aplicativos multicamadas, incluindo componentes de armazenamento, servidor Web e servidor de
banco de dados. O Windows Server 2012 e os componentes do pacote do System Center 2012 so
configurados de tal forma que essa solicitao de servio pode ser processada automaticamente,
sem exigir a implantao manual de mquinas virtuais e softwares de servidor de banco de dados.
Pergunta: Que tipo de nuvem voc usaria para implantar uma mquina virtual
personalizada que executa o Windows Server 2012?
Descrio
O sistema operacional
Windows Server 2012
Standard
O sistema operacional
Windows Server 2012
Datacenter
(continuao)
Edio
Descrio
O sistema operacional
Windows Server 2012
Foundation
O sistema operacional
Windows Server 2012
Essentials
Microsoft Hyper-V
Server 2012
O sistema operacional
Windows Storage
Server2012
Workgroup
O sistema operacional
Windows Storage
Server 2012 Standard
O sistema operacional
Windows MultiPoint
Server 2012 Standard
O sistema operacional
Windows MultiPoint
Server 2012 Premium
1-6
1-7
A instalao Server Core a opo padro ao instalar o Windows Server 2012. Ela apresenta as seguintes
vantagens em comparao a implantao tradicional do Windows Server 2012:
Requisitos de atualizao reduzidos. Como o Server Core instala menos componentes, sua
implantao exige que voc instale menos atualizaes de software. Isso reduz o nmero
de reinicializaes mensais necessrias e tambm o tempo necessrio para um administrador
atender o Server Core.
Superfcie de hardware reduzida. Computadores Server Core exigem menos RAM e menos espao
em disco rgido. Quando virtualizados, isso significa que possvel implantar mais servidores no
mesmo host.
Nmeros cada vez maiores de aplicativos para servidor da Microsoft esto sendo projetados para
execuo em computadores com sistemas operacionais instalados com Servidor Core. Por exemplo,
voc pode instalar o SQL Server 2012 em computadores que esto executando a verso instalada
com Server Core do Windows Server 2008 R2.
Voc pode alternar do Server Core para a verso grfica do Windows Server 2012 executando o seguinte
cmdlet do Windows PowerShell, em que c:\mount o diretrio raiz de uma imagem montada que
hospeda a verso completa dos arquivos de instalao do Windows Server 2012:
Install-WindowsFeature -IncludeAllSubFeature User-Interfaces-Infra -Source c:\mount
Voc tambm pode usar o Windows Update ou o DVD de instalao como origem do arquivo
de instalao. Instalar os componentes grficos oferece a voc a opo de realizar tarefas
administrativas usando as ferramentas grficas.
Depois de realizar as tarefas administrativas necessrias, voc pode retornar o computador sua
configurao Server Core original. possvel alternar um computador que possui a verso grfica do
Windows Server 2012 para o Server Core removendo os seguintes componentes no recurso Interfaces
do Usurio e Infraestrutura:
1-8
Shell Grfico de Servidor. Contm a GUI completa, incluindo o Internet Explorer, o Explorador de
Arquivos e outros componentes de interface do usurio. Tem uma superfcie maior do que a opo
Ferramentas de Gerenciamento Grfico e Infraestrutura.
Observao: Tenha cautela ao remover recursos grficos, pois alguns servidores tero
outros componentes instalados que so dependentes desses recursos.
Quando conectado localmente, voc pode usar as ferramentas listadas na tabela a seguir para gerenciar
implantaes Server Core do Windows Server 2012.
Ferramenta
Funo
Cmd.exe
PowerShell.exe
Sconfig.cmd
Notepad.exe
Regedt32.exe
Msinfo32.exe
Taskmgr.exe
SCregEdit.wsf
2.
O Server Core d suporte para a maioria das funes e dos recursos do Windows Server 2012.
Porm, no possvel instalar as seguintes funes em um computador que executa o Server Core:
AD FS
Servidor de Aplicativos
Mesmo que uma funo esteja disponvel para um computador que est executando a opo de
instalao Server Core, um servio de funo especfico associado a essa funo pode no estar
disponvel.
Observao: Voc pode verificar quais funes no Server Core esto disponveis e quais
no esto executando a consulta Get-WindowsFeature | where-object {$_.InstallState -eq
Removed}.
Voc pode usar as seguintes ferramentas para gerenciar remotamente um computador que esteja
executando a opo de instalao Server Core:
1-9
Gerenciador do Servidor. possvel adicionar um servidor que esteja executando o Server Core para
o Gerenciador do Servidor a um servidor que tenha uma instalao completa do Windows. Em
seguida, voc poder gerenciar as funes do servidor em execuo no computador Server Core no
Gerenciador do Servidor. Voc pode configurar a rea de Trabalho Remota usando o Sconfig.cmd.
Windows PowerShell Remoto. O Windows PowerShell Remoto permite que voc execute
comandos ou scripts do Windows PowerShell em servidores remotos corretamente configurados
quando o script hospedado no servidor local. O Windows PowerShell Remoto tambm permite que
voc carregue localmente os mdulos do Windows PowerShell, como o Gerenciador do Servidor, e
execute os cmdlets disponveis nesse mdulo em servidores remotos adequadamente configurados.
rea de Trabalho Remota. Voc pode conectar-se a um computador que esteja executando a
opo de instalao Server Core usando a rea de Trabalho Remota. Voc pode configurar
a rea de Trabalho Remota usando o Sconfig.cmd.
Consoles de gerenciamento remoto. Para a maioria das funes de servidor, voc pode adicionar
um computador que esteja executando a opo de instalao Server Core a um console de
gerenciamento em execuo em outro computador.
Netsh.exe firewall set service remoteadmin enable ALL
Funo
AD CS
AD DS
AD FS
Servidor de Aplicativos
Servidor DHCP
Servidor DNS
Servidor de Fax
Servios de Arquivo e
Armazenamento
(continuao)
Funo
Funo
1-11
Hyper-V
Acesso Remoto
Windows DS
Quando voc implanta uma funo, o Windows Server 2012 define automaticamente alguns
aspectos da configurao do servidor (como configuraes de firewall) para dar suporte a
essa funo. O Windows Server 2012 tambm implanta dependncias de funo de maneira
automtica e simultnea. Por exemplo, quando voc instala a funo WSUS, os componentes da
funo Servidor Web (IIS) que so necessrios para suporte funo WSUS tambm so instalados
automaticamente.
Voc adiciona e remove funes usando o Assistente de Adio de Funes e Recursos, disponvel no
console Gerenciador de Servidores do Windows Server 2012. Se voc estiver usando o Server Core,
tambm poder adicionar e remover funes usando os cmdlets do Windows PowerShell InstallWindowsFeature e Remove-WindowsFeature.
Pergunta: Quais funes costumam estar colocalizadas no mesmo servidor?
Recurso
Descrio
Windows BranchCache
Armazenamento Avanado
Clustering de Failover
Gerenciamento de Poltica
de Grupo
Servios de Reconhecimento
de Manuscrito
(continuao)
Recurso
Descrio
1-13
Provedor de Armazenamento
de Destino iSCSI (Internet SCSI)
Servio iSNS
Media Foundation
Enfileiramento de Mensagens
Protocolo PNRP
Kit de Administrao do
Gerenciador de Conexes RAS
(Servidor de Acesso Remoto)
Assistncia Remota
Ferramentas de Administrao
de Servidor Remoto
(continuao)
Recurso
Descrio
Servidor SMTP
Servio SNMP
Cliente Telnet
Servidor Telnet
Cliente TFTP
Interfaces do Usurio
e Infraestrutura
WBF
(Windows Biometric Framework)
Encaminhador de Comentrios
do Windows
Windows PowerShell
(continuao)
Recurso
Descrio
1-15
Ferramentas de Migrao
do Windows Server
Gerenciamento de
Armazenamento Baseado
em Padres do Windows
Visualizador XPS
A instalao de Recursos sob Demanda permite adicionar e remover arquivos de funes e recursos,
tambm conhecidos como carga de recursos, no sistema operacional Windows Server 2012 para
conservar espao. Voc pode instalar funes e recursos em locais em que a carga de recursos no est
presente usando uma origem remota, como uma imagem montada do sistema operacional completo.
Se uma origem de instalao no estiver presente, mas houver uma conexo com a Internet, os arquivos
de origem sero baixados do Windows Update. A vantagem de uma instalao de Recursos sob
Demanda que ela requer menos espao em disco rgido em comparao a uma instalao tradicional.
A desvantagem que, se voc quiser adicionar uma funo ou um recurso, dever ter acesso a uma
origem de instalao montada. Isso algo que no ser necessrio se voc realizar uma instalao
do Windows Server 2012 com os recursos grficos habilitados.
Pergunta: Qual recurso voc precisa instalar para dar suporte resoluo de nomes
NetBIOS para computadores cliente que executam uma estao de trabalho com o sistema
operacional Microsoft Windows NT 4.0?
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Visualizar eventos
1-17
O Gerenciador de Servidores inclui uma ferramenta de Analisador de Prticas Recomendadas para todas
as funes do Windows Server 2012. Com o Analisador de Prticas Recomendadas, voc pode determinar
se as funes na sua rede esto funcionando eficientemente ou se existem problemas que precisam
ser corrigidos. O Analisador de Prticas Recomendadas examina como uma funo opera (incluindo a
consulta de logs de eventos associados em busca de eventos de aviso e erro) para que voc possa ficar
ciente de problemas de integridade associados a funes especficas antes que eles causem uma falha
que venha a afetar a funcionalidade do servidor.
prtica recomendada executar os servidores do Windows Server 2012 como uma instalao Server Core
e gerenci-la remotamente atravs do RSAT para Windows 8 ou dos outros mtodos de gerenciamento
remoto.
Alm do Windows PowerShell, as ferramentas que os administradores costumam usar incluem:
Centro Administrativo do Active Directory. Com esse console, voc pode realizar tarefas
administrativas do Active Directory, como elevar nveis funcionais de domnio e floresta e habilitar
a Lixeira do Active Directory. Esse console tambm pode ser usado para gerenciar o Controle
de Acesso Dinmico.
Usurios e Computadores do Active Directory. Com essa ferramenta, voc pode criar e gerenciar
usurios, computadores e grupos do Active Directory. Essa ferramenta tambm pode ser usada
para criar UOs (Unidades Organizacionais).
Console DNS. Com o console DNS, voc pode configurar e gerenciar a funo de Servidor DNS.
Isso inclui criar zonas de pesquisa direta e inversa e gerenciar registros DNS.
Visualizador de Eventos. Voc pode usar o Visualizador de Eventos para visualizar eventos registrados
nos logs de eventos do Windows Server 2012.
Console de Gerenciamento de Poltica de Grupo. Com essa ferramenta, voc pode editar GPOs
(Objetos de Poltica de Grupo) e gerenciar sua aplicao no AD DS.
Ferramenta Gerenciador do IIS. possvel usar essa ferramenta para gerenciar sites.
Monitor de Desempenho. possvel usar esse console para visualizar dados de desempenho de
registros selecionando contadores associados a recursos especficos que voc deseja monitorar.
Monitor de Recursos. possvel usar esse console para visualizar informaes em tempo real
sobre CPU, memria e utilizao de disco e rede.
Agendador de Tarefas. possvel usar esse console para gerenciar a execuo de tarefas agendadas.
Voc pode acessar cada uma dessas ferramentas no Gerenciador de Servidores acessando o menu
Ferramentas.
Observao: Voc tambm pode fixar ferramentas usadas com frequncia na barra
de tarefas do Windows Server 2012 ou na tela Iniciar.
Nesta demonstrao, voc ver como usar o Gerenciador de Servidores para realizar as seguintes tarefas:
Entrar no Windows Server 2012 e visualizar a rea de trabalho do Windows Server 2012.
Etapas da demonstrao
Entrar no Windows Server 2012 e visualizar a rea de trabalho
do Windows Server 2012
2.
3.
4.
5.
6.
7.
8.
9.
1-19
10. Na pgina Confirmar selees de instalao, marque a caixa de seleo Reiniciar cada servidor
de destino automaticamente, se necessrio, clique em Sim, clique em Instalar e clique em Fechar.
11. Clique no cone de sinalizador ao lado de Painel do Gerenciador de Servidores e analise
as mensagens.
Observao: possvel fechar esse console sem finalizar a tarefa.
Clique no n Painel.
2.
3.
2.
Saia de LON-DC1.
2.
Configurao de servios
Servios so programas executados em
segundo plano e que fornecem servios para
clientes e para o servidor host. Voc pode
gerenciar servios atravs do console de
Servios, que est disponvel no Gerenciador
de Servidores a partir do menu Ferramentas.
Ao proteger um computador, voc deve
desabilitar todos os servios, exceto aqueles que
so necessrios para as funes, os recursos e os
aplicativos que esto instalados no servidor.
Tipo de inicializao
Servios usam um dos seguintes tipos de inicializao:
Manual. O servio deve ser iniciado manualmente, seja por um programa ou por um administrador.
Recuperao de servios
Opes de recuperao determinam o que um servio em caso de falha. possvel acessar a guia
Recuperao na janela Propriedades do Servidor DNS. Na guia Recuperao, existem as seguintes
opes de recuperao:
Voc pode configurar diferentes opes de recuperao para a primeira falha, a segunda falha e falhas
subsequentes. Tambm pode configurar um perodo de tempo aps o qual o relgio de falhas do
servio redefinido.
2.
3.
1-21
Voc tambm pode habilitar o WinRM a partir de uma linha de comando executando o comando
WinRM -qc. possvel desabilitar o WinRM usando o mesmo mtodo usado para habilit-lo. Voc
pode desabilitar o WinRM em um computador que executa a opo de instalao Server Core usando
a ferramenta sconfig.cmd.
2.
3.
Na caixa de dilogo Propriedades do Sistema, na guia Remoto, selecione uma das opes a seguir:
o
No permitir conexes remotas com este computador. O estado padro de rea de trabalho
remota est desabilitado.
Permitir conexes remotas com este computador. Permite conexes a partir de clientes
de rea de Trabalho Remota sem suporte para a Autenticao no Nvel de Rede
Voc pode habilitar e pode desabilitar a rea de Trabalho Remota em computadores que executam
a opo de instalao Server Core usando a ferramenta de linha de comando sconfig.cmd.
Lio 3
Ao se preparar para instalar o Windows Server 2012, voc precisa saber se uma configurao de hardware
especfica apropriada. Voc tambm precisa saber se uma implantao Server Core pode ser mais
adequada que uma implantao de GUI completa e qual origem de instalao permite implantar
o Windows Server 2012 de maneira eficiente.
Nesta lio, voc aprender o processo de instalao do Windows Server 2012, incluindo os mtodos
que podem ser usados para instalar o sistema operacional, as diferentes opes de instalao,
os requerimentos de sistema mnimos e as decises que voc precisa tomar ao usar o Assistente
de Instalao.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever os mtodos diferentes que podem ser usados para instalar o Windows Server 2012.
Descrever as decises que voc precisa tomar ao realizar uma instalao do Windows Server 2012.
Mtodos de instalao
A Microsoft distribui o Windows Server 2012
em uma mdia ptica e em formato de imagem
.iso (ISO). O formato ISO est se tornando mais
comum medida que as organizaes adquirem
softwares via Internet em vez de obterem a mdia
removvel fsica.
Depois de obter o Windows Server 2012 da
Microsoft, voc poder usar seu prprio mtodo
para implantar esse sistema operacional. Voc
pode instalar o Windows Server 2012 usando
vrios mtodos, entre eles:
Mdia ptica
o
As vantagens incluem:
As desvantagens incluem:
Mdia USB
o
As vantagens incluem:
Todos os computadores com unidades USB permitem a inicializao a partir da mdia USB.
A imagem pode ser atualizada medida que novas atualizaes de software e drivers
se tornam disponveis.
As desvantagens incluem:
As vantagens incluem:
As vantagens incluem:
As desvantagens incluem:
Esse mtodo muito mais lento que o uso do Windows DS. Se voc j tem acesso a
uma mdia de DVD ou USB, mais simples usar essas ferramentas para a implantao
do sistema operacional.
Windows DS
o
nenhum.
Compartilhamento de Rede
o
Com softwares de virtualizao, voc pode montar a imagem ISO diretamente e instalar
o Windows Server 2012 na mquina virtual.
As desvantagens incluem:
Requer que o administrador realize etapas especiais para preparar a mdia USB a partir
de um arquivo ISO.
As vantagens incluem:
Voc pode implantar o Windows Server 2012 a partir de arquivos de imagem .wim ou
de arquivos VHD especialmente preparados.
Existe a opo de usar o Windows AIK (Kit de Instalao Automatizada) para configurar
a implantao simples.
1-23
As vantagens incluem:
As vantagens incluem:
Pergunta: Que outro mtodo pode ser usado para implantar o Windows Server 2012?
Tipos de instalao
A forma de implantar o Windows Server 2012 em
um servidor especfico depende das circunstncias
dessa instalao. A instalao em um servidor que
esteja executando o Windows Server 2008 R2
requer diferentes aes do que a instalao em
um servidor que esteja executando uma edio
x86 do Windows Server 2003.
Ao fazer uma instalao do sistema operacional
Windows Server 2012, voc pode escolher uma
das opes na tabela a seguir.
Opo de instalao
Descrio
Nova instalao
Atualizao
Migrao
Ao fazer uma nova instalao, voc pode implantar o Windows Server 2012 em um disco no
particionado ou em um volume existente. Voc tambm pode instalar o Windows Server 2012 para um
arquivo VHD especialmente preparado em um cenrio de inicializao de VHD ou inicializao nativa
de VHD (voc se deparar com o uso de ambos os termos, ou com variaes deles, para fazer referncia
a esse cenrio). A inicializao de VHD requer uma preparao especial e no uma opo que voc
pode escolher ao executar uma instalao tpica usando o Assistente de Instalao do Windows.
1-25
Ao considerar os requisitos de hardware, lembre-se de que o Windows Server 2012 pode ser implantado
virtualmente. O Windows Server 2012 tem suporte no Hyper-V e em algumas outras plataformas de
virtualizao que no so da Microsoft. As implantaes virtualizadas do Windows Server 2012 precisam
corresponder s mesmas especificaes de hardware das implantaes fsicas. Por exemplo, ao criar uma
mquina virtual para hospedar o Windows Server 2012, voc precisa garantir que a mquina virtual seja
configurada com uma quantidade suficiente de memria e espao em disco rgido.
O Windows Server 2012 apresenta os seguintes requisitos mnimos de hardware:
Espao na unidade de disco rgido: 32 GB, mais se o servidor tiver mais de 16 GB de RAM.
A edio Datacenter do Windows Server 2012 d suporte aos seguintes limites mximos de hardware:
4 TB de RAM
63 ns de cluster de failover
2.
Conecte uma unidade USB especialmente preparada que hospeda os arquivos de instalao
do Windows Server 2012.
Idioma a instalar
3.
Na segunda pgina do Assistente de Instalao do Windows, clique em Install now. Essa pgina
tambm pode ser usada para escolher a opo Repair Your Computer. Use essa opo no caso
de uma instalao ficar corrompida e voc no conseguir mais inicializar no Windows Server 2012.
4.
No Assistente de Instalao do Windows, na pgina Select The Operating System You Want
To Install, escolha uma das opes de instalao disponveis para o sistema operacional. A opo
padro Instalao Server Core.
5.
Na pgina License Terms, examine os termos da licena do sistema operacional. Voc deve optar
por aceitar os termos de licena para poder continuar com o processo de instalao.
6.
Upgrade. Selecione essa opo se voc tiver uma instalao existente do Windows Server
que deseja atualizar para o Windows Server 2012. Convm iniciar atualizaes a partir da
verso anterior do Windows Server em vez de inicializar a partir da origem de instalao.
7.
Na pgina Where do you want to install Windows?, escolha um disco disponvel no qual
instalar o Windows Server 2012. Tambm existe a opo de reparticionar e reformatar discos
nessa pgina. Ao clicar em Next, o processo de instalao copiar arquivos e reinicializar
o computador vrias vezes.
8.
Lio 4
1-27
O processo de instalao do Windows Server 2012 envolve responder um nmero mnimo de perguntas.
Depois de concluir a instalao, voc precisa realizar vrias etapas de configurao ps-instalao para
poder implant-la em um ambiente de produo. Essas etapas permitem preparar o servidor para a
funo que ele realizar na rede da sua organizao.
Esta lio inclui como realizar uma ampla variedade de tarefas de configurao ps-instalao, entre
elas configurar informaes de endereamento da rede, definir o nome de um servidor e ingressar
esse servidor no domnio, alm de compreender as opes de ativao do produto.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Configurar o endereo IP
2.
Na janela Conexes de Rede, clique com o boto direito do mouse no adaptador de rede
para o qual voc deseja configurar um endereo e clique em Properties.
3.
4.
IP address
Subnet Mask
Default Gateway
1-29
Por exemplo, para configurar o adaptador denominado Conexo Local com o endereo IPv4 10.10.10.10
e a mscara de sub-rede 255.255.255.0, digite os seguintes comandos:
Netsh interface ipv4 set address Conexo Local static 10.10.10.10 255.255.255.0
New-NetIPAddress InterfaceIndex 12 IPAddress 10.10.10.10 PrefixLength 24
Voc pode usar o mesmo contexto do comando netsh.exe para definir a configurao de DNS.
Por exemplo, para configurar o adaptador denominado Conexo Local de forma a usar o servidor DNS
no endereo IP 10.10.10.5 como o servidor DNS primrio, digite o seguinte comando:
Netsh interface ipv4 set dnsservers Conexo Local static 10.10.10.5 primary
Set-DNSClientServerAddress InterfaceIndex 12 ServerAddresses 10.10.10.5
Nos comandos do Windows PowerShell, o valor InterfaceIndex identifica qual adaptador voc
est configurando. Para obter uma lista completa de adaptadores com valores de InterfaceIndex
correspondentes, execute o cmdlet Get-NetIPInterface.
Com o Agrupamento NIC, voc pode aumentar a disponibilidade de um recurso de rede. Quando voc
configura o recurso de Agrupamento NIC, um computador usa um nico endereo de rede para vrias
placas. Se uma das placas falhar, o computador poder manter a comunicao com outros hosts na rede
que esto usando esse endereo compartilhado. O Agrupamento NIC no exige que as placas de rede
sejam do mesmo modelo ou usem o mesmo driver. Para agrupar placas de rede, siga estas etapas:
1.
2.
3.
4.
Na caixa de dilogo NIC Teaming, mantenha pressionada a tecla Ctrl e clique em cada adaptador
de rede que voc deseja adicionar equipe.
5.
Clique com o boto direito do mouse nesses adaptadores de rede selecionados e clique em
Add to New Team.
6.
Na caixa de dilogo New Team, fornea um nome para a equipe e clique em OK.
2.
Na janela Propriedades, clique no texto ativo ao lado de Nome do Computador. Isso ativar
a caixa de dilogo System Properties.
3.
4.
Na caixa de dilogo Computer Name/Domain Changes, insira o novo nome que voc deseja
atribuir ao computador.
5.
Antes de ingressar no domnio, conclua as etapas a seguir para verificar se o novo servidor est pronto
para ingressar no domnio:
Crie uma conta de computador no domnio que corresponda ao nome do computador que
voc deseja ingressar no domnio. Isso costuma ser feito quando vrios computadores precisam
ingressar no domnio automaticamente.
Ingresse o computador no domnio usando uma conta de segurana que possua o direito
de realizar operaes de ingresso em domnio.
Agora que voc renomeou o servidor do Windows Server 2012 e verificou que ele est pronto para
ingressar no domnio, possvel realizar esse ingresso.
Para ingressar o domnio usando o Gerenciador de Servidores, realize as etapas a seguir:
1.
2.
3.
4.
Na caixa de dilogo Computer Name/Domain Changes, na rea Member Of, clique na opo
Domain. Insira o novo nome de domnio e clique em OK.
5.
Na caixa de dilogo Windows Security, insira credenciais de domnio que permitam ingressar
o computador no domnio.
6.
Reinicie o computador.
1-31
1.
Faa logon no controlador de domnio com uma conta de usurio que possua os direitos apropriados
para ingressar outros computadores no domnio.
2.
Abra um prompt de comandos com privilgios elevados e use o comando djoin.exe com a opo
/provision. Voc tambm precisa especificar o domnio no qual deseja ingressar o computador,
o nome do computador que ser ingressado no domnio e o nome do arquivo de salvamento
que ser transferido para o destino do ingresso em domnio offline.
Por exemplo, para ingressar o computador Canberra ao domnio adatum.com usando o arquivo
de salvamento Canberra-join.txt, digite o seguinte comando:
djoin.exe /provision /domain adatum.com /machine canberra /savefile c:\canberrajoin.txt
3.
4.
Ativao Manual
Com a ativao manual, voc insere a chave do produto, e o servidor contata a Microsoft. Como
alternativa, um administrador realiza a ativao por telefone ou atravs de um site central especial.
Voc pode realizar a ativao manual a partir do console Gerenciador de Servidores seguindo
estas etapas:
1.
2.
3.
Na caixa de dilogo Ativao do Windows, insira a chave do produto (Product Key) e clique Ativar.
4.
Se uma conexo direta no puder ser estabelecida com os servidores de ativao da Microsoft,
sero exibidos detalhes sobre como realizar a ativao usando um site a partir de um dispositivo
que possua conexo com a Internet ou atravs de um nmero de telefone local.
Como os computadores que executam a opo de instalao Server Core no tm o console Gerenciador
de Servidores, voc tambm pode realizar a ativao manual usando o comando slmgr.vbs. Use o
comando slmgr.vbs /ipk para inserir a chave do produto e o comando slmgr.vbs /ato para realizar
a ativao aps a instalao dessa chave.
1-33
possvel realizar a ativao manual usando a chave do produto de varejo ou a chave de ativao
mltipla. A chave do produto de varejo pode ser usada para ativar apenas um computador. No entanto,
uma chave de ativao mltipla tem um nmero definido de ativaes que voc pode usar. Usando uma
chave de ativao mltipla, voc pode ativar vrios computadores at um limite de ativao definido.
Chaves de OEM so tipos especiais de chave de ativao que so fornecidos a um fabricante e que
permitem a ativao automtica quando um computador ligado pela primeira vez. Esse tipo de chave
de ativao geralmente usado com computadores que executam sistemas operacionais de cliente,
como o Windows 7 e o Windows 8. Chaves de OEM so raramente usadas em computadores que
executam sistemas operacionais de servidor.
A ativao manual em implantaes de servidor em grande escala pode ser trabalhosa. A Microsoft
fornece um mtodo de ativar vrios computadores automaticamente, sem exigir a especificao
de chaves de produto em cada sistema manualmente.
Ativao Automtica
Em verses anteriores do sistema operacional Windows Server, voc podia usar o KMS para realizar
a ativao centralizada de vrios clientes. A funo de servidor de Servios de Ativao de Volume no
Windows Server 2012 permite gerenciar um servidor KMS atravs de uma nova interface. Isso simplifica
o processo de instalao de uma chave KMS no servidor KMS. Ao instalar Servios de Ativao de Volume,
voc tambm pode configurar a ativao baseada no Active Directory. A ativao baseada no Active
Directory permite a ativao automtica de computadores ingressados em domnio. Quando voc usa
Servios de Ativao de Volume, cada computador ativado deve contatar periodicamente o servidor
KMS para renovar seu status de ativao.
Voc usa a VAMT (Ferramenta de Gerenciamento de Ativao de Volume) 3.0 em conjunto com Servios
de Ativao de Volume para realizar a ativao de vrios computadores em redes que no esto
conectadas diretamente Internet. A VAMT pode ser usada para gerar relatrios de licena e gerenciar
a ativao de clientes e servidores em redes corporativas.
Configurar o WinRM
Sair do sistema
Reiniciar o servidor
Desligar o servidor
2.
3.
Escolha o nmero de ndice do adaptador de rede ao qual voc deseja atribuir um endereo IP.
4.
Voc pode alterar o nome de um servidor usando o comando netdom com a opo renamecomputer.
Por exemplo, para renomear um computador como Melbourne, digite o seguinte comando:
Netdom renamecomputer %computername% /newname:Melbourne
Voc pode alterar o nome de um servidor com sconfig.cmd realizando as seguintes etapas:
1.
2.
3.
Voc deve reiniciar o servidor para que a alterao de configurao tenha efeito.
2.
3.
4.
5.
Fornea os detalhes, no formato domnio\nome de usurio, de uma conta que esteja autorizada
a ingressar no domnio.
6.
Voc tambm pode instalar uma funo ou um recurso do Windows usando o cmdlet
Install-WindowsFeature. Por exemplo, para instalar o recurso NLB, execute o comando:
Install-WindowsFeature NLB
1-35
Nem todos os recursos esto disponveis diretamente para instalao em um computador que executa
o sistema operacional Server Core. Voc pode determinar quais recursos no esto diretamente
disponveis para instalao executando o seguinte comando:
Get-WindowsFeature | Where-Object {$_.InstallState -eq Removed}
Voc pode adicionar uma funo ou um recurso que no est diretamente disponvel para instalao
usando o parmetro -Source do cmdlet Install-WindowsFeature. Voc deve especificar um local
de origem que hospede uma imagem de instalao montada incluindo a verso completa do
Windows Server 2012. possvel montar uma imagem de instalao usando a ferramenta de linha de
comando DISM.exe. Se voc no especificar um caminho de origem ao instalar um componente que
no est disponvel, e o servidor tiver conectividade com a Internet, o cmdlet Install-WindowsFeature
tentar recuperar arquivos de origem do Windows Update.
Adicionar a GUI
Voc pode configurar um computador Server Core com a GUI usando a ferramenta de linha de comando
sconfig.cmd. Para fazer isso, escolha a option 12 no menu Configurao do Servidor de sconfig.cmd.
Observao: Voc pode adicionar ou remover o componente grfico do sistema
operacional Windows Server 2012 usando o cmdlet Install-WindowsFeature.
Tambm pode usar a ferramenta de linha de comando dism.exe para adicionar e remover funes
e recursos do Windows a partir de uma implantao Server Core, mesmo que essa ferramenta seja
usada principalmente para o gerenciamento de arquivos de imagem.
Lio 5
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever cmdlets comuns do Windows PowerShell usados para gerenciar servios, processos,
funes e recursos.
1-37
Um nmero cada vez maior de produtos da Microsoft, como o Exchange Server 2010, apresenta
interfaces grficas que criam comandos do Windows PowerShell. Esses produtos permitem visualizar
o script do Windows PowerShell gerado, para que voc possa executar a tarefa posteriormente sem
ter que concluir todas as etapas na GUI. A capacidade de automatizar tarefas complexas simplifica
o trabalho de um administrador do servidor, alm de poupar tempo.
Voc pode estender a funcionalidade do Windows PowerShell adicionando mdulos. Por exemplo,
o mdulo Active Directory inclui cmdlets do Windows PowerShell que so especificamente teis para
a realizao de tarefas de gerenciamento relacionadas ao Active Directory. Por exemplo, o mdulo
Servidor DNS inclui cmdlets do Windows PowerShell que so especificamente teis para a realizao
de tarefas de gerenciamento relacionadas ao servidor DNS. O Windows PowerShell inclui recursos como
o preenchimento com Tab, que permite aos administradores preencher comandos pressionando a tecla
Tab, em vez de precisarem digitar o comando inteiro. Voc pode saber mais sobre a funcionalidade
de qualquer cmdlet do Windows PowerShell usando o cmdlet Get-Help.
Get (Obter)
New
Set
Restart (Reiniciar)
Resume
Stop (Parar)
Suspend
Clear (Limpar)
Limit
Remove (Remover)
Add (Adicionar)
Show
Write (Gravar)
1-39
Os parmetros do Windows PowerShell comeam com um trao. Cada cmdlet do Windows PowerShell
tem seu prprio conjunto de parmetros associado. possvel descobrir os parmetros de um cmdlet
especfico do Windows PowerShell executando o seguinte comando:
Get-Command CmdletName
possvel determinar quais cmdlets do Windows PowerShell esto disponveis executando o cmdlet
Get-Command. Os cmdlets do Windows PowerShell disponveis dependem dos mdulos que esto
carregados.
Cmdlets de servio
Voc pode usar os seguintes cmdlets do
Windows PowerShell para gerenciar servios
em um computador que esteja executando
o Windows Server 2012:
New-EventLog. Cria um novo log de eventos e uma nova fonte de eventos em um computador
que executa o Windows Server 2012.
Cmdlets de processo
Voc pode usar os seguintes cmdlets do Windows PowerShell para gerenciar processos
em um computador que esteja executando o Windows Server 2012:
1-41
O ISE do Windows PowerShell fornece cmdlets com cdigos de cor para auxiliar na soluo de problemas.
O ISE tambm fornece ferramentas de depurao que podem ser usadas para depurar scripts simples
e complexas do Windows PowerShell.
Voc pode usar o ambiente ISE do Windows PowerShell para visualizar cmdlets disponveis por mdulo.
Isso permite determinar qual mdulo do Windows PowerShell voc precisa carregar para acessar
um cmdlet especfico.
Etapas da demonstrao
Usar o Windows PowerShell para exibir os servios e processos em execuo
em um servidor
1.
2.
3.
Na barra de tarefas, clique com o boto direito do mouse no cone do Windows PowerShell
e clique em Executar como Administrador.
Etapas da demonstrao
2.
3.
No painel Comandos, use o menu suspenso Mdulos para selecionar o mdulo ServerManager.
2.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-SVR3
24410B-LON-CORE
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
4.
5.
a.
b.
Senha: Pa$$w0rd
1-43
2.
3.
4.
5.
1.
2.
Configure a unidade de DVD para usar o arquivo de imagem do Windows Server 2012 denominado
Windows2012_RTM.iso. Esse arquivo est localizado em C:\Program Files\Microsoft Learning\
24410\Drives.
3.
4.
Clique para instalar o sistema operacional Windows Server 2012 Datacenter Evaluation
(Server with a GUI).
5.
6.
7.
Insira a senha Pa$$w0rd nas caixas Password e Reenter password e clique em Finish para concluir
a instalao.
2.
3.
4.
5.
6.
Reinicie o computador.
2.
Na barra de tarefas, clique na exibio de hora e clique em Change date and time settings.
3.
Clique em Change Time Zone e defina o fuso horrio para o fuso horrio atual.
4.
Clique em Change Date and Time e verifique se a data e a hora que aparecem na caixa
de dilogo Time Zone Settings correspondem s configuraes de sala de aula.
5.
1.
2.
3.
Clique com o boto direito do mouse nos adaptadores de rede selecionados e clique em
Add to New Team.
4.
Insira LON-SVR3 na caixa Team name, clique em OK e feche a caixa de dilogo NIC Teaming.
Atualize o painel do console.
5.
6.
Na caixa de dilogo Network Connections, clique com o boto direito do mouse em LON-SVR3
e clique em Properties.
7.
8.
9.
IP Address: 172.16.0.101
2.
3.
1-45
4.
5.
Senha: Pa$$w0rd
6.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter implantado o Windows Server 2012 em
LON-SVR3. Tambm ter configurado LON-SVR3, incluindo alterao do nome, data e hora, conexo
de rede e agrupamento de rede.
A camada baseada na Web do aplicativo de marketing um aplicativo .NET. Para minimizar a superfcie
do sistema operacional e reduzir a necessidade de aplicar atualizaes de software, voc optou por
hospedar o componente IIS em um computador que est executando a opo de instalao Server Core
do sistema operacional Windows Server 2012.
Para permitir isso, voc precisar configurar um computador que execute o Windows Server 2012 com
a opo de instalao Server Core.
As principais tarefas deste exerccio so:
1.
2.
3.
Configurar a rede
4.
2.
3.
4.
5.
6.
7.
No prompt de comando, digite hostname e pressione Enter para verificar o nome do computador.
Verifique se voc est conectado ao servidor LON-CORE como Administrator com a senha
Pa$$w0rd.
2.
3.
4.
Clique em Change time zone e defina o fuso horrio como o mesmo fuso horrio usado em sala
de aula.
5.
Na caixa de dilogo Date and Time, clique em Change Date and Time e verifique se a data
e a hora correspondem s configuraes do seu local.
6.
Saia de sconfig.cmd.
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
6.
7.
No prompt Type the password associated with the domain user, digite Pa$$w0rd.
1-47
8.
9.
Reinicie o servidor.
10. Entre no servidor LON-CORE com a conta ADATUM\Administrador usando a senha Pa$$w0rd.
Resultados: Ao terminar o exerccio, voc ter configurado uma implantao Server Core
do Windows Server 2012 e verificado o nome do servidor.
2.
3.
1.
2.
3.
4.
5.
6.
7.
8.
2.
3.
4.
5.
6.
1-49
7.
8.
Clique em Fechar.
9.
Clique com o boto direito do mouse em LON-SVR3, clique em Adicionar Funes e Recursos
e clique em Prximo.
11. Verifique se a opo LON-SVR3.Adatum.com est selecionada e clique em Prximo duas vezes.
12. Clique em Windows Server Backup e depois em Prximo.
13. Marque a caixa de seleo Reiniciar cada servidor de destino automaticamente, se necessrio,
clique em Instalar e depois em Fechar.
14. No Gerenciador de Servidores, clique no n IIS e verifique se LON-CORE est listado.
2.
3.
4.
5.
6.
7.
8.
9.
Resultados: Ao concluir o exerccio, voc ter criado um grupo de servidores, implantado funes
e recursos e configurado as propriedades de um servio.
2.
3.
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
Digite o comando a seguir para verificar se o recurso Visualizador XPS no foi instalado
em LON-SVR3
Get-WindowsFeature -ComputerName LON-SVR3
4.
Para implantar o recurso Visualizador XPS em LON-SVR3, digite o seguinte comando e pressione
Enter:
Install-WindowsFeature XPS-Viewer -ComputerName LON-SVR3
5.
Digite o comando a seguir para verificar se o recurso Visualizador XPS est agora implantado
em LON-SVR3:
Get-WindowsFeature -ComputerName LON-SVR3
6.
7.
8.
9.
1-51
Resultados: Ao concluir o exerccio, voc ter usado o Windows PowerShell para realizar uma instalao
remota de recursos em vrios servidores.
Quando tiver concludo o laboratrio, retorne as mquinas virtuais para o estado inicial. Para fazer isso,
execute estas etapas:
1.
2.
3.
4.
Mdulo 2
Introduo aos Servios de Domnio do Active Directory
Contedo:
Viso geral do mdulo
2-1
2-2
2-9
2-15
2-21
2-25
O AD DS (Servios de Domnio do Active Directory) e seus servios relacionados formam a base para
as redes corporativas que executam sistemas operacionais Windows. O banco de dados do AD DS
o repositrio central de todos os objetos do domnio, como contas de usurio, contas de computador
e grupos. O AD DS oferece um diretrio hierrquico pesquisvel, alm de um mtodo de aplicao de
parmetros de configurao e segurana para objetos da empresa. Este mdulo aborda a estrutura do
AD DS e seus diversos componentes, como a floresta, o domnio e as UOs (unidades organizacionais).
O processo de instalao do AD DS em um servidor aprimorado e aperfeioado com o
Windows Server 2012. Este mdulo examina algumas das opes que esto disponveis
com o Windows Server 2012 para instalar o AD DS em um servidor.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Viso geral do AD DS
2-2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Viso geral do AD DS
O AD DS composto de componentes fsicos e
lgicos. Voc precisa entender a maneira como os
componentes do AD DS funcionam em conjunto,
para que possa gerenciar sua rede com eficincia
e controlar quais recursos seus usurios podem
acessar. Alm disso, voc pode usar muitas
outras opes do AD DS, inclusive a instalao
e configurao de softwares e atualizaes, o
gerenciamento da infraestrutura de segurana,
a habilitao de Acesso Remoto e DirectAccess,
e a manipulao de certificados.
Componentes fsicos
Descrio
Controladores de domnio
Repositrio de dados
Servidores de catlogo
global
RODC (controladores de
domnio somente leitura)
Componentes lgicos
Os componentes lgicos do AD DS so estruturas que voc usa para implementar um design do
Active Directory que seja apropriado para uma organizao. A tabela a seguir descreve alguns
dos tipos de estruturas lgicas que um banco de dados do Active Directory pode conter.
Componente lgico
Descrio
Partio
Esquema
Domnio
rvore de domnio
Floresta
Site
UO
Leitura adicional: Para obter mais informaes sobre domnios e florestas, consulte a
Referncia tcnica sobre domnios e florestas em http://go.microsoft.com/fwlink/?LinkId=104447.
2-3
2-4
Um nico domnio pode conter mais de 1 milho de objetos, portanto a maioria das organizaes precisa
implantar apenas um nico domnio. As organizaes que descentralizaram as estruturas administrativas,
ou que esto distribudas em vrios locais, podem implementar vrios domnios na mesma floresta
O que so UOs?
Uma unidade organizacional (UO) um objeto
continer dentro de um domnio que voc
pode usar para consolidar usurios, grupos,
computadores e outros objetos. H dois
motivos para voc criar UOs:
Para delegar o controle administrativo de objetos dentro da UO. Voc pode atribuir permisses
de gerenciamento em uma UO, dessa forma delegando o controle dessa UO a um usurio
ou grupo no AD DS que no seja o administrador.
possvel usar UOs para representar estruturas hierrquicas lgicas dentro de sua organizao.
Por exemplo, voc pode criar UOs que representem os departamentos de sua organizao, as
regies geogrficas da organizao ou uma combinao de regies departamentais e geogrficas.
As UOs podem ser usadas para gerenciar a configurao e o uso de contas de usurio, grupo
e computador com base em seu modelo organizacional.
Cada domnio do AD DS contm um conjunto padro de contineres e UOs que so criados quando
voc instala o AD DS, incluindo o seguinte:
Continer de usurios. O local padro para as novas contas de usurio e os grupos que voc cria
no domnio. O continer de usurios tambm contm as contas de administrador e convidado
para o domnio, alm de alguns grupos padro.
Continer de computadores. O local padro para as novas contas de computador que voc cria
no domnio.
2-5
Design da hierarquia
O design de uma hierarquia de UOs estabelecido pelas necessidades administrativas da organizao.
O design poder ser baseado em classificaes geogrficas, funcionais, de recursos ou de usurios. Seja
qual for a ordem, a hierarquia deve tornar possvel administrar recursos do AD DS com o mximo de
eficincia e flexibilidade possvel. Por exemplo, se todos os computadores que os administradores de TI
usam devem ser configurados de uma determinada forma, voc pode agrupar todos os computadores
em uma UO e designar um GPO para gerenciar seus computadores. Para simplificar a administrao,
voc tambm pode criar UOs dentro de outras UOs.
Por exemplo, sua organizao pode ter vrios escritrios, e cada um deles pode ter um conjunto
de administradores responsveis por gerenciar contas de usurio e computador em seus escritrios.
Alm disso, cada escritrio pode ter diferentes departamentos com requisitos distintos de configurao
de computadores. Nesse caso, voc poderia criar uma UO para o escritrio que usado para delegar a
administrao e, em seguida, criar uma UO do departamento dentro da UO do escritrio para atribuir
configuraes de rea de trabalho.
Embora no haja um limite tcnico para o nmero de nveis de sua estrutura de UO, para fins de
capacidade de gerenciamento, limite sua estrutura a uma profundidade de, no mximo, 10 nveis.
A maioria das organizaes usa cinco nveis ou menos para simplificar a administrao. Observe que
os aplicativos habilitados para o Active Directory podem ter restries na profundidade de UO dentro
da hierarquia. Esses aplicativos tambm podem ter restries no nmero de caracteres que podem
ser usados no nome distinto, que o caminho LDAP completo do objeto no diretrio.
2-6
A floresta do AD DS tambm o limite de replicao do catlogo global. Isso facilita a maioria das
formas de colaborao entre os usurios de domnios diferentes. Por exemplo, todos os destinatrios
do Microsoft Exchange Server 2010 so listados no catlogo global, tornando fcil enviar email para
qualquer um dos usurios da floresta, at aqueles de domnios diferentes.
Por padro, todos os domnios de uma floresta confiam automaticamente nos outros domnios da
floresta. Isso torna fcil habilitar o acesso a recursos como compartilhamentos de arquivos e sites
para todos os usurios de uma floresta, independentemente do domnio em que a conta de usurio
est localizada.
2-7
As definies de objetos controlam ambos os tipos de dados que os objetos podem armazenar e
a sintaxe dos dados. Usando essas informaes, o esquema garante que todos os objetos estejam de
acordo com suas definies padro. Com isso, o AD DS pode armazenar, recuperar e validar os dados que
gerencia, independentemente do aplicativo que a fonte original dos dados. Somente os dados que tm
uma definio de objeto existente no esquema podem ser armazenados no diretrio. Se um novo tipo de
dados precisar ser armazenado, primeiro dever ser criada uma nova definio de objeto para os dados
no esquema.
No AD DS, o esquema define o seguinte:
As regras que definem que tipos de objetos voc pode criar, que atributos devem ser definidos
(obrigatrios) quando voc cria o objeto e que atributos so opcionais
Voc pode usar uma conta que seja membro dos Administradores de Esquema para modificar os
componentes do esquema em um formato grfico. Exemplos de objetos que so definidos no esquema
incluem usurio, computador, grupo e site. Entre os muitos atributos esto location, accountExpires,
buildingName, company, manager e displayName.
2-8
O esquema replicado entre todos os controladores de domnio da floresta. Qualquer alterao feita no
esquema replicada em cada controlador de domnio da floresta do proprietrio da funo de mestre
de operaes de esquema, geralmente o primeiro controlador de domnio da floresta.
Como o esquema estabelece o modo como as informaes so armazenadas, e quaisquer alteraes que
so feitas no esquema afetam cada controlador de domnio, as alteraes no esquema devem ser feitas
somente quando necessrio. Antes de fazer qualquer alterao, voc deve revisar as alteraes usando
um processo rigorosamente controlado, e implement-las somente depois de executar testes que
assegurem que as alteraes no afetaro o restante da floresta e quaisquer aplicativos que usem
o AD DS de maneira adversa.
Embora voc talvez no faa alteraes no esquema diretamente, alguns aplicativos alteram o esquema
para dar suporte a recursos adicionais. Por exemplo, quando voc instala o Exchange Server 2010 em
sua floresta do AD DS, o programa de instalao estende o esquema para dar suporte a novos tipos
e atributos de objetos.
Lio 2
2-9
Todos os controladores de domnio so basicamente iguais, com duas excees. Os RODCs contm uma
cpia somente leitura do banco de dados do AD DS, enquanto outros controladores de domnio tm
uma cpia de leitura/gravao. Tambm h determinadas operaes que podem ser executadas apenas
em controladores de domnio especficos chamados mestres de operaes, que so discutidos no final
desta lio.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o processo de logon do AD DS, e a importncia dos registros DNS e SRV no processo
de logon.
Os controladores de domnio hospedam vrios outros servios relacionados ao Active Directory, inclusive
o servio de autenticao Kerberos, que usado pelas contas Usurio e Computador para a autenticao
de logon, e o KDC (centro de distribuio de chaves). O KDC o servio que emite o TGT (tquete de
concesso de tquete) para uma conta que faz logon no domnio do AD DS. Como opo, voc pode
configurar controladores de domnio para hospedar uma cpia do catlogo global do Active Directory.
Um domnio do AD DS deve sempre ter um mnimo de dois controladores de domnio. Desse modo, se
um dos controladores de domnio falhar, haver um backup para garantir a continuidade dos servios
de domnio do AD DS. Quando voc decidir adicionar mais de dois controladores de domnio, leve em
considerao o tamanho de sua organizao e os requisitos de desempenho.
Observao: Dois controladores de domnio devem ser considerados um mnimo absoluto.
Quando voc implanta um controlador de domnio em uma filial em que a segurana fsica abaixo
da ideal, h algumas medidas adicionais que podem ser usadas para reduzir o impacto de uma violao
de segurana. Uma opo implantar um RODC.
O RODC contm uma cpia somente leitura do banco de dados do AD DS e, por padro, no armazena
em cache nenhuma senha de usurio. Voc pode configurar o RODC para armazenar em cache as
senhas dos usurios da filial. Se um RODC for comprometido, a potencial perda de informaes ser
muito menor do que com um controlador de domnio de leitura/gravao completo. Uma outra opo
usar a Criptografia de Unidade de Disco BitLocker do Windows para criptografar o disco rgido do
controlador de domnio. Se o disco rgido for roubado, a criptografia BitLocker garantir que haja
uma chance muito baixa de um usurio mal-intencionado obter informaes teis dele.
Observao: O BitLocker um sistema de criptografia de unidade de disco que est
disponvel para sistemas operacionais Windows Server e para determinadas verses de sistemas
operacionais cliente do Windows. O BitLocker criptografa com segurana todo o sistema
operacional, para que o computador no possa ser iniciado sem que seja fornecida uma chave
privada e (opcionalmente) uma verificao de integridade. Um disco permanecer criptografado
mesmo se voc o transferir para outro computador.
2-11
Em um nico domnio, todos os controladores de domnio devem ser configurados como proprietrios do
catlogo global; entretanto, em um ambiente de vrios domnios, o mestre de infraestrutura no deve ser
um servidor de catlogo global. A deciso sobre quais controladores de domnio sero configurados para
conter uma cpia do catlogo global depende do trfego de replicao e da largura de banda da rede.
Muitas organizaes esto optando por tornar cada controlador de domnio um servidor de catlogo
global.
Pergunta: Um controlador de domnio deveria ser um catlogo global?
O processo de logon do AD DS
Quando voc faz logon no AD DS, seu sistema
examina o DNS procura de registros de recurso
de servios (SRV) para localizar o controlador de
domnio adequado mais prximo. Registros SRV
so registros que especificam informaes sobre
servios disponveis, e so registrados no DNS por
todos os controladores de domnio. Usando
pesquisas de DNS, os clientes podem localizar um
controlador de domnio adequado para atender
s suas solicitaes de logon.
Se o logon for bem-sucedido, a LSA (autoridade de segurana local) cria um token de acesso para o
usurio contendo os SIDs (identificadores de segurana) do usurio e de quaisquer grupos dos quais
o usurio seja membro. O token fornece as credenciais de acesso para qualquer processo iniciado por
esse usurio. Por exemplo, depois de fazer logon no AD DS, um usurio executa o Microsoft Office Word
e tenta abrir um arquivo. O Office Word usa as credenciais no token de acesso do usurio para verificar
o nvel das permisses do usurio para esse arquivo.
Observao: Um SID um nmero exclusivo no formato S-1-5-21-41300862813752200129-271587809-500, onde:
A ltima parte (500) a RID (ID relativa), que faz parte do SID que identifica a conta no banco
de dados de forma exclusiva
Cada conta de usurio e de computador e cada grupo que voc cria tem um SID exclusivo. Eles
s diferem uns dos outros por causa da RID exclusiva. Voc pode dizer que esse SID em particular
o SID da conta de administrador porque termina com a RID 500.
Sites
Os sites so usados por um sistema cliente quando ele precisa contatar um controlador de domnio.
Ele comea pesquisando registros SRV no DNS. Em seguida, o sistema cliente tenta conectar-se
a um controlador de domnio no mesmo site antes de tentar em outro lugar.
Os administradores podem definir sites no AD DS. Normalmente, os sites se alinham s partes da rede
que tm conectividade e largura de banda adequadas. Por exemplo, se uma filial estiver conectada ao
data center principal por um link de WAN no confivel, melhor definir o data center e a filial como
sites separados no AD DS.
Os registros SRV so registrados no DNS pelo servio Logon de Rede que executado em cada
controlador de domnio. Se os registros SRV no forem inseridos no DNS corretamente, voc poder
acionar o controlador de domnio para cancelar esses registros reiniciando o servio Logon de Rede
nesse controlador de domnio. Esse processo cancela apenas os registros SRV; se voc desejar cancelar
as informaes do registro de host (A) no DNS, dever executar ipconfig /registerdns a partir de um
prompt de comando, conforme faria para qualquer outro computador.
Embora o processo de logon aparea para o usurio como um evento nico, ele na verdade composto
de duas partes:
O usurio fornece as credenciais, geralmente um nome de conta de usurio e uma senha, que so
ento verificadas no banco de dados do AD DS. Se o nome da conta de usurio e a senha coincidirem
com as informaes que esto armazenadas no banco de dados do AD DS, o usurio se tornar
um usurio autenticado e o controlador de domnio emitir um TGT para ele. Nesse ponto, o usurio
no tem acesso a nenhum recurso da rede.
Um processo secundrio em segundo plano envia o TGT ao controlador de domnio e solicita acesso
ao computador local. O controlador de domnio emite um tquete de servio ao usurio, que ento
capaz de interagir com o computador local. Nesse ponto do processo, o usurio autenticado
no AD DS e faz logon no computador local.
2-13
A demonstrao mostra a voc como exibir os vrios tipos de registros SRV que os controladores de
domnio registram no DNS. Esses registros so cruciais para a operabilidade do AD DS, pois so usados
para localizar controladores de domnio para logons, alteraes de senha e edio de GPOs. Os registros
SRV tambm so usados pelos controladores de domnio para localizar parceiros de replicao.
Etapas da demonstrao
Exiba os registros SRV usando o Gerenciador DNS
1.
2.
Exiba os registros SRV registrados pelos controladores de domnio. Esses registros fornecem
caminhos alternativos para que os clientes possam descobri-los.
Mestres de operaes
Mestre de nomeao de domnios. Esse o controlador de domnio que deve ser contatado quando
voc adiciona ou remove um domnio, ou quando voc faz alteraes em nomes de domnios.
Mestre de esquema. Esse o controlador de domnio onde so feitas todas as alteraes de esquema.
Para fazer alteraes, voc normalmente faria logon no mestre de esquema como um membro dos
grupos Administradores de Esquema e Administradores de Empresa. Um usurio que for membro
desses dois grupos e tiver as permisses adequadas tambm poder editar o esquema usando
um script.
Mestre RID. Sempre que um objeto criado no AD DS, o controlador de domnio onde o objeto
criado atribui ao objeto um nmero de identificao exclusivo conhecido como SID. Para assegurar
que dois controladores de domnio no atribuam o mesmo SID a dois objetos diferentes, o mestre
RID aloca blocos de RIDs para cada controlador de domnio dentro do domnio.
Mestre de infraestrutura. Essa funo responsvel por manter referncias de objetos entre domnios,
como, por exemplo, quando um grupo em um domnio contm um membro de outro domnio.
Nesse caso, o mestre de infraestrutura responsvel por manter a integridade dessa referncia. Por
exemplo, quando voc observa a guia de segurana de um objeto, o sistema pesquisa os SIDs que
esto listados e os traduz em nomes. Em uma floresta de vrios domnios, o mestre de infraestrutura
pesquisa SIDs de outros domnios.
A funo de infraestrutura no deve residir em um servidor de catlogo global. A exceo quando
voc segue as prticas recomendadas e torna cada controlador de domnio um catlogo global.
Nesse caso, a funo de infraestrutura desabilitada porque cada controlador de domnio sabe a
respeito de cada objeto da floresta.
Mestre emulador PDC. O controlador de domnio que tem a funo de emulador PDC a fonte
de tempo do domnio. Os controladores de domnio que tm a funo de emulador PDC em cada
domnio de uma floresta sincronizam seu tempo com o controlador de domnio que tem a funo
de emulador PDC no domnio raiz da floresta. Voc define o emulador PDC no domnio raiz da
floresta para sincronizar com uma fonte de tempo atmica externa.
O emulador PDC tambm o controlador de domnio que recebe alteraes de senha urgentes.
Se a senha de um usurio for alterada, as informaes sero enviadas imediatamente ao controlador
de domnio que tem a funo de emulador PDC. Isso significa que, se o usurio subsequentemente
tentasse fazer logon e fosse autenticado por um controlador de domnio em um local diferente que
ainda no tivesse recebido uma atualizao sobre a nova senha, o controlador de domnio do local
no qual o usurio tentou fazer logon contataria o controlador de domnio que tem a funo de
emulador PDC e procuraria as alteraes recentes.
O emulador PDC tambm usado na edio de GPOs. Quando um GPO que no seja um GPO local
aberto para edio, a cpia que editada aquela armazenada no emulador PDC.
Observao: O catlogo global no uma das funes de mestre de operaes.
Pergunta: Por que voc tornaria um controlador de domnio um servidor
de catlogo global?
Lio 3
2-15
Esta lio examina vrias maneiras de instalar controladores de domnio adicionais. Ela tambm
demonstra o processo de uso do Gerenciador do Servidor para instalar o AD DS em um computador
local e em um servidor remoto. Ela tambm discute a instalao do AD DS em uma instalao Server Core,
alm da instalao do AD DS em um computador que usa um instantneo do banco de dados do
AD DS que armazenado em mdia removvel. Finalmente, ela examina o processo de atualizao de
um controlador de domnio de um sistema operacional Windows anterior para o Windows Server 2012.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrio
Algumas informaes adicionais que voc precisa ter antes de executar a promoo de controlador
de domnio so listadas na tabela a seguir.
Informaes necessrias
Descrio
2-17
O Assistente de Configurao dos Servios de Domnio do Active Directory continua por vrias pginas
diferentes, onde voc poder inserir pr-requisitos como o nome de domnio NetBIOS, a configurao
DNS, se o controlador de domnio dever ser um servidor de catlogo global e a senha do Modo
de Restaurao dos Servios de Diretrio. Finalmente, voc deve reiniciar para concluir a instalao.
Observao: Se voc precisar restaurar o banco de dados do AD DS de um backup,
reinicie o controlador de domnio no Modo de Restaurao dos Servios de Diretrio. Quando
o controlador de domnio iniciado, ele no est executando os servios do AD DS; em vez disso,
est sendo executado como um servidor membro do domnio. Para fazer logon nesse servidor na
ausncia do AD DS, entre usando uma senha do Modo de Recuperao dos Servios de Diretrio.
Execute dcpromo /unattend em um prompt de comando com as opes apropriadas, por exemplo:
Para executar uma atualizao in-loco de um computador que tem a funo AD DS instalada, voc deve
usar primeiro os comandos de linha de comando Adprep.exe /forestprep e Adprep.exe /domainprep
para preparar a floresta e o domnio. Uma atualizao de sistema operacional in-loco no executa a
preparao automtica de esquema e domnio. O Adprep.exe est includo na mdia de instalao
na pasta \Support\Adprep. No h nenhuma etapa de configurao adicional aps esse ponto,
e voc pode continuar a executar a atualizao do sistema operacional Windows Server 2012.
Quando voc promover um servidor do Windows Server 2012 para ser um controlador de domnio
em um domnio existente, e se voc estiver conectado como um membro dos grupos Administradores
de Esquema e Administradores de Empresa, o esquema AD DS ser atualizado automaticamente para
o Windows Server 2012. Nesse cenrio, voc no precisa executar os comandos do Adprep.exe antes
de iniciar a instalao.
1.
2.
3.
Aps a janela de seleo de sistema operacional e a pgina de aceitao da licena, na janela Que
tipo de instalao voc quer?, clique em Atualizao: Instalar o Windows e manter arquivos,
configuraes e aplicativos.
Implante e configure uma nova instalao do Windows Server 2012 e inclua-a no domnio.
2.
2-19
Para instalar um controlador de domnio usando IFM, navegue at um controlador de domnio que
no seja um RODC. Use a ferramenta Ntdsutil para criar um instantneo do banco de dados do AD DS e
depois copie o instantneo no servidor que ser promovido a controlador de domnio. Use o Gerenciador
do Servidor para promover o servidor a controlador de domnio selecionando a opo Instalar da Mdia
e, em seguida, fornecendo o caminho local do diretrio IFM que voc criou anteriormente.
O procedimento completo o seguinte:
1.
2.
No servidor que voc est promovendo a controlador de domnio, execute as seguintes etapas:
a.
b.
c.
d.
No momento apropriado durante o assistente, selecione a opo para instalar de IFM e fornea
o caminho local do diretrio de instantneo.
2-21
A A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres,
Inglaterra. Um escritrio de TI e um data center esto localizados em Londres para dar suporte a Londres
e a outros locais. Recentemente, a A. Datum implantou uma infraestrutura do Windows Server 2012
com clientes Windows 8.
Seu gerente pediu a voc para instalar um novo controlador de domnio no data center para melhorar
o desempenho de logon. Ele tambm pediu para voc criar um novo controlador de domnio para uma
filial usando o mtodo IFM.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 45 minutos
Mquinas virtuais
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: ADATUM
2.
3.
1.
2.
3.
A instalao levar vrios minutos. Quando a instalao for concluda, clique em Fechar para fechar
o Assistente de Adio de Funes e Recursos.
2.
Use Servios e Sites do Active Directory para tornar LON-SVR1 um servidor de catlogo global.
Resultados: Depois de concluir este exerccio, voc ter explorado o Gerenciador do Servidor
e promovido um servidor membro para ser um controlador de domnio.
2-23
Voc foi designado para gerenciar uma das novas filiais que esto sendo configuradas. Uma conexo
de rede mais rpida est agendada para ser instalada em algumas semanas. At l, a conectividade de
rede muito lenta.
Foi determinado que a filial requer um controlador de domnio para dar suporte a logons locais.
Para evitar problemas com a conexo de rede lenta, voc est usando o mtodo IFM para instalar
o controlador de domnio na filial.
As principais tarefas deste exerccio so:
1.
2.
3.
Usar IFM para configurar um servidor membro como um novo controlador de domnio
Em LON-DC1, abra uma interface de linha de comando administrativa e use Ntdsutil para criar um
backup IFM do banco de dados do AD DS e da pasta SYSVOL. Os comandos para criar o backup so
os seguintes:
Ntdsutil
Activate instance ntds
Ifm
Create sysvol full c:\ifm
2.
3.
Tarefa 3: Usar IFM para configurar um servidor membro como um novo controlador
de domnio
1.
2.
Em LON-SVR2, use o Gerenciador do Servidor com as opes a seguir para executar a configurao
ps-implantao do AD DS:
3.
Use a mdia IFM para configurar e instalar o AD DS. Use o local C:\IFM para a mdia IFM.
Resultados: Depois de concluir este exerccio, voc ter instalado um controlador de domnio adicional
para a filial usando IFM.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e clique
em Reverter.
3.
4.
2-25
Mdulo 3
Gerenciamento de objetos dos Servios de Domnio
do Active Directory
Contedo:
Viso geral do mdulo
3-1
3-3
3-11
3-19
3-25
3-29
3-36
Embora usurios e computadores, e at mesmo servios, mudem com o passar do tempo, as funes
e as regras corporativas tendem a permanecer mais estveis. Sua empresa provavelmente tem uma
funo financeira que requer determinados recursos na empresa. O(s) usurio(s) que executa(m) essa
funo pode(m) mudar com o passar do tempo, mas a funo permanecer relativamente a mesma.
Por esse motivo, no sensato gerenciar uma rede corporativa atribuindo direitos e permisses a
usurios, computadores ou identidades de servio individuais. Em vez disso, voc deve associar tarefas
de gerenciamento a grupos. Consequentemente, importante que voc saiba como usar grupos para
identificar funes administrativas e de usurio, para filtrar a Poltica de Grupo, para atribuir polticas
de senha exclusivas e para atribuir direitos e permisses.
Os computadores, assim como os usurios, so entidades de segurana:
Eles tm uma conta com nome de logon e senha que o Windows Server altera automaticamente
periodicamente.
Eles podem pertencer a grupos, ter acesso a recursos e voc pode configur-los usando a Poltica
de Grupo.
3-2
Em organizaes pequenas, uma pessoa pode ser responsvel por executar todas essas tarefas
administrativas dirias. Porm, em grandes redes corporativas, com milhares de usurios e computadores,
isso invivel. importante que um administrador de empresa saiba como delegar tarefas administrativas
especficas a usurios ou grupos designados para assegurar que a administrao da empresa seja eficiente
e efetiva.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como criar contas de usurio que podem ser usadas em uma rede corporativa.
Ferramentas de administrao do AD DS
Antes de comear a criar e gerenciar contas de
usurio, grupo e computador, importante que
voc entenda quais ferramentas pode usar para
executar essas diversas tarefas de gerenciamento.
Snap-ins administrativos
do Active Directory
A maioria da administrao do AD DS executada
com os seguintes snap-ins e consoles:
Servios e sites do Active Directory. Esse snap-in gerencia replicao, topologia de rede e servios
relacionados.
3-3
Domnios e relaes de confiana do Active Directory. Esse snap-in configura e mantm relaes
de confiana e o nvel funcional da floresta.
Snap-in Esquema do Active Directory. Esse snap-in examina e modifica a definio dos atributos
e objetos de classe do Active Directory. Ele o plano grfico do AD DS. Ele raramente exibido
e ainda mais raramente alterado. Portanto, o snap-in Esquema do Active Directory no instalado,
por padro.
3-4
Voc tambm pode instalar o RSAT em clientes Windows, incluindo o Windows Vista Service Pack 1
(ou mais recente), o Windows 7 e o Windows 8. Depois que voc baixar os arquivos de instalao do RSAT
do site da Microsoft, execute o Assistente de Configurao, que o orientar atravs da instalao. Aps
instalar o RSAT, ative a(s) ferramenta(s) que deseja usar. Para isso, no Painel de Controle, no aplicativo
Programas e Recursos, use o comando Ativar ou desativar recursos do Windows.
Leitura adicional: Para baixar os arquivos de instalao do RSAT, consulte o
Centro de Download da Microsoft em http://go.microsoft.com/fwlink/?LinkID=266735.
Windows PowerShell
Voc pode usar o mdulo do Active Directory para o Windows PowerShell (mdulo Active Directory)
para criar e gerenciar objetos no AD DS. O Windows PowerShell no s uma linguagem de scripts
como tambm lhe permite executar comandos que realizam tarefas administrativas, como criar
novas contas de usurio, configurar servios, excluir caixas de correio e funes semelhantes.
O Windows PowerShell instalado, por padro, no Windows Server 2012, mas o mdulo Active Directory
apenas est presente quando:
Voc instala a funo de servidor AD DS ou AD LDS (Active Directory Lightweight Directory Services).
Dsquery. Use para consultar objetos no AD DS que correspondem aos critrios fornecidos.
3-5
Permitir ou negar permisso a usurios para fazer logon em um computador com base na identidade
de sua conta de usurio.
Permitir acesso dos usurios a processos e servios para um contexto de segurana especfico.
Uma conta de usurio permite que um usurio faa logon em computadores e domnios com uma
identidade que possa ser autenticada pelo domnio. Ao criar uma conta de usurio, voc deve fornecer
um nome de logon de usurio que deve ser exclusivo no domnio/floresta em que a conta de usurio
criada.
Para maximizar a segurana, voc deve evitar que vrios usurios compartilhem uma nica conta
e, em vez disso, garantir que cada usurio que faz logon na rede tenha uma conta de usurio
e uma senha exclusiva.
Observao: Embora as contas do AD DS sejam o foco deste curso, voc tambm pode
armazenar contas de usurio no banco de dados SAM (gerenciador de contas de segurana)
local de cada computador, habilitando o logon e o acesso local aos recursos locais. A maioria
das contas de usurio locais est alm do escopo deste curso.
3-6
Uma conta de usurio inclui o nome de usurio e a senha, que servem como as credenciais de logon
de um usurio. Um objeto de usurio tambm inclui vrios outros atributos que descrevem e gerenciam
o usurio.
Voc pode usar o snap-in Usurios e Computadores do Active Directory, Central Administrativa do
Active Directory, Windows PowerShell ou a ferramenta de linha de comando dsadd.exe para criar
um objeto de usurio.
Ao criar contas de usurio locais, considere as seguintes propriedades:
A propriedade de conta de usurio Nome completo usada para criar vrios atributos de um objeto
de usurio, particularmente, as propriedades CN (nome comum) e nome para exibio. O CN de um
usurio o nome exibido no painel de detalhes do snap-in e deve ser exclusivo dentro do continer
ou da unidade organizacional. Se estiver criando um objeto de usurio para uma pessoa com o
mesmo nome de um usurio existente na mesma unidade organizacional ou no mesmo continer,
voc precisar inserir um nome exclusivo no campo Nome completo.
Voc pode gerenciar a lista de sufixos UPN disponveis usando o snap-in Domnios e Relaes
de Confiana do Active Directory. Clique com o boto direito do mouse na raiz do snap-in,
clique em Propriedadese use a guia Sufixos UPN para adicionar ou remover sufixos. O nome
DNS de seu domnio do AD DS est sempre disponvel como sufixo, e voc no pode remov-lo.
3-7
Ao criar um novo objeto de usurio, voc no precisa definir vrios atributos alm dos necessrios
para permitir que o usurio faa logon usando a conta. Como um objeto de usurio pode ser associado
a vrios atributos, importante que voc entenda o que so esses atributos e como voc pode us-los
em sua organizao.
Categorias de atributo
Os atributos de um objeto de usurio esto includos em vrias categorias abrangentes. Essas categorias
so exibidas no painel de navegao da caixa de dilogo Propriedades do Usurio no Central
Administrativa do Active Directory e incluem o seguinte:
Conta. Alm das propriedades de nome do usurio (Nome, Inicial do segundo nome, Sobrenome,
Nome completo) e dos diversos nomes de logon do usurio (Logon UPN do usurio, Logon
do usurio SamAccountName), voc pode configurar as seguintes propriedades adicionais:
o
Horrio de logon. Essa propriedade define quando a conta pode ser usada para acessar os
computadores de domnio. Voc pode usar a exibio de estilo de calendrio semanal para
definir o horrio de logon permitido e o horrio de logon negado.
Fazer logon em. Use essa propriedade para definir quais computadores um usurio pode usar
para fazer logon no domnio. Especifique o nome do computador e adicione-o a uma lista de
computadores permitidos.
Vencimento da conta. Esse valor til quando voc desejar criar contas de usurio de uso
temporrio. Por exemplo, voc talvez queira criar contas de usurio para estagirios que
sejam usadas apenas por um ano. Voc pode usar esse valor para definir antecipadamente
uma data de validade da conta. A conta no poder ser usada aps a data de validade at
ser reconfigurada manualmente por um administrador.
O usurio dever alterar a senha no prximo logon. Essa propriedade permite forar um
usurio a definir a prpria senha na prxima vez que ele fizer logon. Isso normalmente algo
que voc pode habilitar aps redefinir a senha de um usurio.
Carto inteligente necessrio para logon interativo. Esse valor redefine a senha do usurio
a um sequncia aleatria complexa de caracteres e define uma propriedade que exige que
o usurio utilize um carto inteligente para se autenticar durante o logon.
3-8
A senha nunca expira. Essa uma propriedade normalmente usada com contas de servio, ou
seja, as contas que no so usadas por usurios normais, mas pelos servios. Ao definir esse valor,
lembre-se de atualizar a senha manualmente periodicamente, porm, voc no forado a fazer
essa atualizao em um intervalo predeterminado. Consequentemente, a conta nunca poder
ser bloqueada devido expirao da senha, um recurso particularmente importante para contas
de servio.
O usurio no pode alterar a senha. Em geral, essa opo tambm usada para contas
de servio.
Armazene senha c/ criptografia reversvel. Essa poltica oferece suporte a aplicativos que
usam protocolos que necessitam conhecer a senha do usurio para fins de autenticao. O
armazenamento de senhas que usam criptografia reversvel essencialmente o mesmo que
armazenar verses das senhas com texto sem formatao. Por esse motivo, essa poltica nunca
deve ser habilitada, a menos que os requisitos do aplicativo sejam maiores que a necessidade
de proteger as informaes de senha. Essa poltica necessria ao usar a autenticao CHAP
atravs de acesso remoto ou o IAS (Servio de Autenticao da Internet). Ela tambm
necessria ao usar a autenticao Digest no IIS (Servios de Informaes da Internet).
A conta confivel para delegao. Voc pode usar essa propriedade para permitir que
uma conta de servio represente um usurio padro para acessar recursos de rede em nome
de um usurio.
Organizao. Isso inclui propriedades do usurio, como o Nome para exibio, o Escritrio,
o Endereo de email, vrios nmeros de telefone de contato, estrutura administrativa,
departamento e nomes de empresa, endereos etc.
Membro de. Essa seo permite que voc defina as associaes de grupo do usurio.
Perfil. Essa seo permite que voc configure um local para os dados pessoais do usurio
e defina um local para salvar o perfil de rea de trabalho do usurio quando ele fizer logoff.
Extenses. Essa seo expe vrias propriedades de usurio adicionais, cuja maioria normalmente
no requer configurao manual.
3-9
Caminho do perfil. Esse caminho pode ser local ou, mais normalmente, um caminho UNC.
As configuraes de rea de trabalho do usurio so armazenadas no perfil. Aps voc definir
um perfil de usurio usando um caminho UNC, qualquer computador de domnio que atender
ao logon de um usurio disponibilizar suas configuraes de rea de trabalho. Isso conhecido
como perfil mvel.
Observao: Como prtica recomendada, use uma subpasta da pasta base do usurio para
o caminho de perfil do usurio.
Script de logon. Esse script o nome de um arquivo em lotes contendo comandos executados
quando o usurio fizer logon. Normalmente, voc usa esses comandos para criar mapeamentos
de unidade. Em vez de usar um arquivo em lotes de script de logon, os administradores
normalmente implementam os scripts de logon usando GPOs (Objetos de Poltica de Grupo)
ou as preferncias da Poltica de Grupo. Se voc usar um script de logon, esse valor dever estar
apenas no formato de um nome de arquivo (com extenso). Os scripts devem ser armazenados
na pasta C:\Windows\SYSVOL\domain\scripts de todos os controladores de domnio.
Pasta base. Esse valor permite criar uma rea de armazenamento pessoal na qual os usurios podem
salvar seus documentos pessoais. Voc pode especificar um caminho local ou, mais normalmente,
um caminho UNC para a pasta do usurio. Voc tambm deve especificar uma letra de unidade
usada para mapear uma unidade de rede para o caminho UNC especificado. Em seguida, voc
poder configurar os documentos pessoais de um usurio para essa pasta base redirecionada.
Imagens
Downloads
rea de Trabalho
Msica
Links
Menu Iniciar
Vdeos
Pesquisas
Documento
Favoritos
Jogos Salvos
Contatos
Voc pode usar esses subns para definir todos os aspectos de perfil de rea de trabalho de um usurio
e as configuraes de aplicativo. Para um determinado subn, como Documentos, voc pode escolher
entre o redirecionamento Bsico e Avanado. No redirecionamento Bsico, todos os usurios afetados
pelo GPO tm a pasta Documentos redirecionada para uma subpasta nomeada individual fora de uma
pasta raiz comum definida por um nome UNC, por exemplo, \\LON-SVR1\Usurios\. O redirecionamento
avanado permite que voc use a associao de grupo de segurana para determinar onde as
configuraes e os documentos de um usurio sero armazenados.
Etapas da demonstrao
Abrir o Central Administrativa do Active Directory
Crie uma nova conta de usurio denominada Ed Meadows. Verifique se a conta foi criada
com uma senha forte.
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Tipos de grupo
Em uma rede corporativa baseada no
Windows Server 2012, h dois tipos de grupo:
segurana e distribuio. Ao criar um grupo,
escolha o tipo e o escopo de grupo.
Os grupos de distribuio, que no so habilitados
para segurana, so usados principalmente
por aplicativos de email. Isso significa que eles
no tm SIDs, portanto, eles no podem obter
permisso para recursos. O envio de uma
mensagem a um grupo de distribuio
faz com que ela seja enviada a todos
os membros do grupo.
3-11
Os grupos de segurana so entidades de segurana com SIDs. Portanto, voc pode usar esses grupos
em entradas de permisso de ACLs (listas de controle de acesso) para controlar a segurana do acesso
aos recursos. Voc tambm pode usar grupos de segurana como meio de distribuio para aplicativos
de email. Se voc desejar usar um grupo para gerenciar a segurana, ele deve ser um grupo de segurana.
Observao: O tipo de grupo padro segurana.
Como voc pode usar grupos de segurana para acesso a recursos e distribuio de emails, vrias
organizaes usam apenas grupos de segurana. Porm, recomendamos que se um grupo for usado
apenas para distribuio de emails, voc crie o grupo como um grupo de distribuio. Caso contrrio,
o grupo receber um SID, que ser adicionado ao token de acesso de segurana do usurio, podendo
resultar em um aumento de tamanho desnecessrio do token de segurana.
Observao: Considere que, quando voc adicionar um usurio a um grupo de segurana,
o token de acesso do usurio, que autentica os processos do usurio, somente ser atualizado
quando o usurio entrar no servio. Portanto, se o usurio j estiver conectado, ele dever fazer
logoff e logon novamente para atualizar seu token de acesso com qualquer associao de grupo
alterada.
Observao: O benefcio da utilizao de grupos de distribuio fica mais evidente nas
implantaes do Exchange Server de grande escala, principalmente onde h uma necessidade
de aninhar esses grupos de distribuio pela empresa.
Escopos de grupo
O Windows Server 2012 d suporte ao escopo
de grupo. O escopo de um grupo determina
o intervalo de recursos ou permisses
de um grupo e a associao de grupo.
H quatro escopos de grupo:
Voc s pode atribuir recursos e permisses em recursos locais, ou seja, no computador local.
3-13
Domnio Local. Esse tipo de grupo principalmente usado para gerenciar o acesso aos recursos
ou para atribuir responsabilidades (direitos) de gerenciamento (direitos). Os grupos de domnios
locais existem nos controladores de domnio de uma floresta AD DS e, consequentemente, o escopo
do grupo localizado para o domnio em que residem. As caractersticas importantes dos grupos
de domnios locais so:
o
Voc s pode atribuir recursos e permisses em recursos do domnio local, ou seja, em todos
os computadores do domnio local.
Global. Esse tipo de grupo principalmente usado para consolidar usurios com caractersticas
semelhantes. Por exemplo, os grupos globais so geralmente usados para consolidar os usurios
que fazem parte de um departamento ou de um local geogrfico. As caractersticas importantes
dos grupos globais so:
o
Universal. Esse tipo de grupo muito til em redes de vrios domnios, pois combina
as caractersticas dos grupos de domnios locais e dos grupos globais. Especificamente,
as caractersticas importantes dos grupos universais so:
o
Voc pode atribuir recursos e permisses em qualquer local da floresta, assim como ocorre
com os grupos globais.
Identidades
Grupos globais
Acesso
As identidades (contas de usurio e de computador) so membros dos grupos globais, que representam
funes corporativas. Esses grupos de funes (grupos globais) so membros dos grupos de domnios
locais, que representam as regras de gerenciamento, por exemplo, determinando quem tem permisso
de leitura para um conjunto especfico de pastas. Esses grupos de regras (grupos de domnios locais)
obtm acesso aos recursos. No caso de uma pasta compartilhada, o acesso concedido adicionando o
grupo de domnios locais ACL da pasta, com uma permisso que fornece o nvel de acesso apropriado.
Em uma floresta de vrios domnios, h tambm grupos universais, que so ajustados entre os grupos
globais e os grupos de domnios locais. Os grupos globais de vrios domnios so membros de um
nico grupo universal. Esse grupo universal membro dos grupos de domnios locais em vrios domnios.
Voc talvez se lembre do aninhamento como IGUDLA.
Exemplo de IGDLA
Esta figura do slide representa uma implementao de grupo que reflete a exibio tcnica de prticas
recomendadas de gerenciamento de grupo (IGDLA) e a exibio comercial do gerenciamento baseado
em regras e funes.
Considere o cenrio a seguir.
A fora de vendas da Contoso, Ltd acabou de concluir seu ano fiscal. Os arquivos de vendas do ano
anterior esto em uma pasta denominada Sales. A fora de vendas necessita de acesso de leitura a essa
pasta. Alm disso, uma equipe de auditores do Woodgrove Bank, um investidor potencial, necessita de
acesso de leitura pasta Sales para executar a auditoria. Execute as etapas a seguir para implementar
a segurana necessria a este cenrio:
1.
Atribua responsabilidades do cargo ou outras caractersticas comerciais comuns aos usurios para os
grupos de funes implementados como grupos de segurana globais. Faa isso separadamente em
cada domnio. Os vendedores da Contoso so adicionados a um grupo de funes Sales; os auditores
do Woodgrove Bank so adicionados a um grupo de funo Auditores.
2.
Crie um grupo para gerenciar o acesso s pastas Sales com permisso de leitura. Implemente isso no
domnio contendo o recurso que est sendo gerenciado. Nesse caso, a pasta Sales reside no domnio
Contoso. Portanto, crie o grupo de regras de gerenciamento de acesso aos recursos como um grupo
de domnios locais denominado ACL_Sales Folders_Read.
3-15
3.
Adicione os grupos de funes ao grupo de regras de gerenciamento de acesso aos recursos para
representar a regra de gerenciamento. Esses grupos podem ser provenientes de qualquer domnio
na floresta ou de um domnio confivel, como o Woodgrove Bank. Os grupos globais dos domnios
externos confiveis, ou de qualquer domnio na mesma floresta, podem ser membros de um grupo
de domnios locais.
4.
Atribua a permisso que implementa o nvel de acesso necessrio. Nesse caso, conceda a permisso
Permitir Ler ao grupo de domnios locais.
Grupos padro
O servidor do Windows Server 2012 cria vrios
grupos automaticamente. Eles so denominados
grupos locais padroe incluem grupos conhecidos,
como Administradores, Operadores de Backup e
Usurios da rea de Trabalho Remota. H grupos
adicionais criados em um domnio, ambos nos
contineres Builtin e Usurios, incluindo Admins.
do Domnio, Administradores de Empresa
e Administradores de Esquema.
A lista a seguir exibe um resumo dos recursos para
o subconjunto de grupos padro com permisses
e direitos de usurio significativos relacionados
ao gerenciamento do AD DS:
Administradores de Empresa (no continer Usurios do domnio raiz da floresta). Esse grupo
membro do grupo Administradores em cada domnio da floresta, o que lhe concede acesso completo
configurao de todos os controladores de domnio. Ele tambm possui a partio de configurao
do diretrio e tem controle total do contexto de nomenclatura de domnio em todos os domnios
de floresta.
Administradores de Esquema (continer Usurios do domnio raiz da floresta). Esse grupo possui
e tem controle total do esquema do Active Directory.
Admins. do Domnio (continer Usurios de cada domnio). Esse grupo adicionado ao grupo
Administradores de seu domnio. Portanto, ele herda todos os recursos do grupo Administradores.
Por padro, ele tambm adicionado ao grupo local Administradores de cada computador membro
de domnio, dando a Admins. do Domnio a propriedade de todos os computadores de domnio.
Opers de servidores (continer interno de cada domnio). Os membros desse grupo podem executar
tarefas de manuteno nos controladores de domnio. Eles tm o direito de fazer logon localmente,
iniciar e parar servios, executar operaes de backup e restaurao, formatar discos, criar ou excluir
compartilhamentos e desligar controladores de domnio. Por padro, esse grupo no tem membros.
Operadores de Conta (continer interno de cada domnio). Os membros desse grupo podem criar,
modificar e excluir contas de usurios, grupos e computadores localizados em qualquer unidade
organizacional do domnio (exceto na unidade organizacional Controladores de Domnio) e
no continer Usurios e Computadores. Os membros do grupo Operador de Conta no podem
modificar as contas que so membros dos grupos Administradores ou Admins. do Domnio nem
modificar esses grupos. Os membros do grupo Operador de Conta tambm podem fazer logon
localmente nos controladores de domnio. Por padro, esse grupo no tem membros.
Operadores de Backup (continer interno de cada domnio). Os membros desse grupo podem
executar operaes de backup e restaurao nos controladores de domnio, fazer logon
localmente e desligar os controladores de domnio. Por padro, esse grupo no tem membros.
Operadores de Impresso (continer interno de cada domnio). Os membros desse grupo podem
manter a filas de impresso nos controladores de domnio. Eles tambm podem fazer logon
localmente e desligar os controladores de domnio.
Voc precisa gerenciar cuidadosamente os grupos padro que fornecem privilgios administrativos,
pois eles geralmente tm privilgios mais amplos do que necessrio para a maioria dos ambientes
delegados e porque eles aplicam proteo com frequncia aos seus membros.
O grupo Operadores de Conta um bom exemplo disso. Se voc examinar os recursos do grupo
Operadores de Conta na lista anterior, poder verificar que os membros desse grupo tm direitos
muito amplos. Eles podem inclusive fazer logon localmente em um controlador de domnio. Em redes
muito pequenas, esses direitos provavelmente seriam apropriados para um ou dois indivduos que
normalmente seriam os administradores de domnio de qualquer forma. Em grandes empresas, os
direitos e as permisses concedidas ao grupo Operadores de Conta geralmente so bem mais amplos.
Alm disso, o grupo Operadores de Conta , assim como os outros grupos administrativos, um grupo
protegido.
Identidades especiais
O Windows e o AD DS tambm do suporte
a identidades especiais, que so grupos para
os quais a associao controlada pelo sistema
operacional. Voc no pode exibir os grupos
em qualquer lista (no snap-in Usurios e
Computadores do Active Directory, por exemplo),
no pode exibir ou modificar a associao dessas
identidades especiais nem pode adicion-los
a outros grupos. Porm, voc pode usar esses
grupos para atribuir direitos e permisses.
As identidades especiais mais importantes,
geralmente denominadas grupos (por
convenincia), so descritas na lista a seguir:
3-17
Logon Annimo. Essa identidade representa as conexes com um computador e seus recursos
que so feitas sem que sejam fornecidos nome de usurio e senha. Antes do Windows Server 2003,
esse grupo era membro do grupo Todos. A partir do Windows Server 2003, esse grupo no mais
membro padro do grupo Todos.
Usurios Autenticados. Representa as identidades que foram autenticadas. Esse grupo no inclui
a conta Convidado, mesmo que ela tenha uma senha.
Interativo. Representa os usurios que esto acessando um recurso durante sua conexo local com
o computador que est hospedando o recurso, ao contrrio dos usurios que esto acessando o
recurso na rede. Quando um usurio acessa um determinado recurso em um computador ao qual
est conectado localmente, ele automaticamente adicionado ao grupo Interativo para esse recurso.
O grupo Interativo tambm inclui os usurios que fazem logon atravs de uma conexo de rea
de Trabalho Remota.
Rede. Representa os usurios que esto acessando um recurso na rede, ao contrrio dos usurios
que esto conectados localmente no computador que est hospedando o recurso. Quando um
usurio acessa qualquer recurso especfico na rede, ele automaticamente adicionado ao grupo
Rede para esse recurso.
A importncia dessas identidades especiais que voc pode us-las para fornecer acesso aos recursos
com base no tipo de autenticao ou conexo, em vez de usar a conta de usurio. Por exemplo, voc
pode criar uma pasta em um sistema que permita aos usurios exibir contedo da pasta quando
eles estiverem conectados localmente no sistema, mas que no permita que esses mesmos usurios
exibam o contedo de uma unidade mapeada na rede. Para que isso seja possvel, atribua permisses
identidade especial interativa.
Etapas da demonstrao
Criar um novo grupo
1.
2.
Nas propriedades do grupo IT Managers, altere o escopo do grupo para Universal e o tipo
de grupo para Distribuio.
Adicione Ed Meadows lista Gerenciado por e, em seguida, conceda a ele a permisso O gerente
pode atualizar a lista de membros.
Lio 3
3-19
importante que voc saiba como executar essas vrias tarefas de gerenciamento de computador
para poder configurar e manter os objetos de computador dentro de sua organizao.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como controlar quem tem permisso para criar contas de computador.
Seu modelo administrativo posteriormente talvez precise dividir as unidades organizacionais de cliente
e de servidor. Vrias organizaes criam subunidades organizacionais sob a unidade organizacional
de servidor para coletar e gerenciar tipos especficos de servidores. Por exemplo, voc pode criar uma
unidade organizacional para servidores de arquivo e impresso e uma unidade organizacional para
servidores de banco de dados. Desse modo, voc poder delegar permisses para gerenciar os objetos
de computador na unidade organizacional apropriada equipe de administradores de cada tipo de
servidor. Da mesma forma, as organizaes distribudas geograficamente com equipes de suporte de rea
de trabalho locais geralmente dividem uma unidade organizacional pai para os clientes em subunidades
organizacionais para cada site. Essa abordagem permite que a equipe de suporte de cada site crie objetos
de computador no site para computadores cliente e ingresse os computadores no domnio usando esses
objetos de computador.
Independentemente desses exemplos especficos, o mais importante que a estrutura de sua unidade
organizacional reflita seu modelo administrativo, de modo que as suas unidades organizacionais possam
fornecer pontos de gerenciamento nicos para a delegao da administrao.
Alm disso, ao usar unidades organizacionais separadas, voc poder criar vrias configuraes de
linha de base usando GPOs diferentes que so vinculados s unidades organizacionais de cliente e de
servidor. Com a Poltica de Grupo, voc pode especificar a configurao para colees de computadores,
vinculando GPOs que contm instrues de configurao a unidades organizacionais. comum as
organizaes separarem os clientes em unidades organizacionais de rea de trabalho e de laptop.
Voc pode vincular os GPOs que especificam a configurao da rea de trabalho ou do laptop
s unidades organizacionais apropriadas.
Observao: Voc pode usar a ferramenta de linha de comando Redircmp.exe para
reconfigurar o continer de computador padro. Por exemplo, se desejar alterar o continer
de computador padro para uma unidade organizacional denominada mycomputers,
use esta sintaxe:
redircmp ou=mycomputers,DC=contoso,dc=com
3-21
Voc no deve ter excedido o nmero mximo de contas de computador que possvel adicionar
ao domnio. Por padro, os usurios somente podem adicionar, no mximo, dez computadores
ao domnio; esse valor conhecido como a cota de conta da mquina e controlado pelo valor
de MS-DS-MachineQuota. Voc pode modificar esse valor usando o snap-in do ADSIEdit.
Aps receber permisso para criar objetos de computador, voc poder fazer isso clicando com o boto
direito do mouse na unidade organizacional e, no menu Novo, clicando em Computador. Em seguida,
insira o nome do computador, seguindo a conveno de nomenclatura de sua empresa, e selecione
o usurio ou o grupo que ter permisso para ingressar o computador no domnio com essa conta.
O dois nomes computador, Nome de Computador e Nome de Computador (anterior ao Windows 2000),
devem ser idnticos. Muito raramente h uma justificativa para configur-los separadamente.
Delegao de permisses
Nesse caso, delegue a permisso para criar objetos de computador (denominada Criar Computador
objetos) aos administradores ou equipe de suporte apropriada. Essa permisso, que atribuda ao
grupo de uma unidade organizacional, permite que os membros do grupo criem objetos de computador
nessa unidade organizacional. Por exemplo, voc pode permitir que sua equipe de suporte de rea de
trabalho crie objetos de computador na unidade organizacional de clientes e que seus administradores de
servidor de arquivos criem objetos de computador na unidade organizacional de servidores de arquivos.
Para delegar permisses para criar contas de computador, voc pode usar o Assistente para Delegao
de Controle a fim de escolher uma tarefa personalizada para delegar.
Ao delegar permisses para gerenciar contas de computador, voc pode conceder permisses adicionais
alm das necessrias para criar contas de computador. Por exemplo, voc pode decidir permitir que um
administrador delegado gerencie as propriedades das contas de computador existentes, excluir a conta
de computador ou mover a conta de computador.
Observao: Se desejar permitir que um administrador delegado mova contas de
computador, observe que ele requer a permisso apropriada tanto no continer do AD DS
(onde o computador j existe) quanto no continer de destino (para o qual mover
o computador). Especificamente, ele deve ter as permisses Excluir Computador no
continer de origem e as permisses Criar Computador no continer de destino.
3-23
Um computador no foi usado por um longo perodo, talvez porque o usurio estivesse de frias
ou trabalhando longe do escritrio. Os computadores mudam de senha a cada 30 dias, e o AD DS
lembra-se das senhas atual e anterior. Se o computador no for usado dentro desse perodo, poder
ocorrer falha da autenticao.
O segredo LSA de um computador fica fora de sincronizao com a senha conhecida do domnio.
Voc pode imaginar que o computador tenha esquecido a senha. Embora no tenha esquecido
a senha, ele simplesmente discorda do domnio em relao senha real. Quando isso ocorrer,
o computador no poder ser autenticado, e o canal de segurana no poder ser criado.
Quando o canal de segurana falhar, voc deve redefini-lo. Vrios administradores fazem isso removendo
o computador do domnio, colocando-o em um grupo de trabalho e, em seguida, reingressando-o no
domnio. Porm, essa no uma prtica recomendada, pois tem a possibilidade de excluir a conta de
computador completamente. A excluso da conta de computador remove o SID do computador e,
principalmente, suas associaes de grupo. Quando voc reingressa-o no domnio executando esse
procedimento, embora o computador tenha o mesmo nome, a conta tem um novo SID e todas as
associaes de grupo do objeto de computador anterior devem ser recriadas para incluir o novo SID.
Portanto, se a relao de confiana com o domnio tiver sido perdida, no remova um computador
do domnio e depois reingresse-o. Em vez disso, redefina o canal de segurana. Isso garantir que
a conta de computador existente poder ser reutilizada.
Para redefinir o canal de segurana entre um membro de domnio e o domnio, use o snap-in Usurios
e Computadores do Active Directory, DSMod.exe, NetDom.exe ou NLTest.exe. Se voc redefinir a conta,
o SID do computador permanecer o mesmo e manter suas associaes de grupo.
Para redefinir o canal de segurana usando o Central Administrativa do Active Directory:
1.
2.
3.
2.
Para redefinir o canal de segurana usando NetDom.exe, digite o seguinte comando em um prompt
de comando, onde as credenciais pertencem ao grupo local Administradores do computador:
netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password |
*}
Esse comando redefine o canal de segurana tentando redefinir a senha no computador e no domnio,
portanto, ele no exige reingresso ou reinicializao.
Para redefinir o canal de segurana usando NLTest.exe, no computador que perdeu sua relao
de confiana, digite o seguinte comando em um prompt de comando:
NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER
Voc tambm pode usar o Windows PowerShell com mdulo Active Directory para redefinir uma conta
de computador. O exemplo a seguir demonstra como redefinir o canal de segurana entre o computador
local e o domnio no qual feito seu ingresso.
Voc deve executar este comando no computador local:
Test ComputerSecureChannel Repair
Lio 4
Delegao da administrao
3-25
Embora uma nica pessoa possa gerenciar uma rede pequena com algumas contas de usurio e de
computador, medida que a rede aumentar, o volume de trabalho relacionado ao gerenciamento da
rede tambm aumentar. Em um certo momento, as equipes com especializaes especficas evoluem,
cada uma com responsabilidade por algum aspecto especfico do gerenciamento de rede. Nos ambientes
do AD DS, prtica comum criar unidades organizacionais para organizar os objetos em rede em
uma estrutura departamental ou geogrfica e habilitar a configurao da delegao administrativa.
importante que voc saiba por que e como criar unidades organizacionais e como delegar tarefas
administrativas aos usurios nos objetos dentro dessas unidades organizacionais.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Permisses do AD DS
Todos os objetos AD DS, como usurios,
computadores e grupos, podem ser protegidos
usando uma lista de permisses. As permisses
em um objeto so chamadas de ACEs (entradas
de controle de acesso) e so atribudas a usurios,
grupos ou computadores, que tambm so
conhecidos como entidades de segurana. As
ACEs so salvas na DACL (lista de controle de
acesso discricionrio) do objeto, que faz parte
da ACL do objeto. A ACL contm a SACL (lista
de controle de acesso do sistema) que inclui
configuraes de auditoria.
Cada objeto no AD DS tem sua prpria ACL. Se voc tiver permisses suficientes, poder modificar as
permisses para controlar o nvel de acesso em um objeto AD DS especfico. A delegao do controle
administrativo envolve a atribuio de permisses que gerenciem o acesso a objetos e propriedades no
AD DS. Da mesma maneira que voc pode permitir que um grupo altere arquivos em uma pasta, voc
tambm pode permitir que um grupo, por exemplo, redefina senhas em objetos de usurio.
A DACL de um objeto tambm permite que voc atribua permisses s propriedades especficas de um
objeto. Por exemplo, voc pode permitir (ou negar) permisso para alterar as opes de telefone e email.
Isso, na verdade, no apenas uma propriedade. Ela forma um conjunto de propriedades que inclui vrias
propriedades especficas. A utilizao de conjuntos de propriedades permite que voc gerencie facilmente
os conjuntos de propriedades mais usados com frequncia. Entretanto, voc tambm pode atribuir
permisses mais granulares e permitir ou negar permisso para alterar apenas algumas informaes,
como o nmero de telefone do celular ou o endereo.
A atribuio da permisso de suporte tcnico para redefinir as senhas de cada objeto de usurio
individual entediante. Mesmo assim, no AD DS, no uma prtica recomendada atribuir permisses
a objetos individuais. Em vez disso, voc deve atribuir permisses no nvel de unidade organizacional.
As permisses que voc atribui a uma unidade organizacional so herdadas por todos os objetos da
unidade organizacional. Portanto, se voc der a permisso de suporte tcnico para redefinir as senhas
dos objetos de usurio e anexar essa permisso unidade organizacional que contm os usurios, todos
os objetos de usurio dentro dessa unidade organizacional herdaro essa permisso. Em apenas uma
nica etapa, voc ter delegado essa tarefa administrativa.
Os objetos filho herdam as permisses do continer pai ou da unidade organizacional. Esse continer
ou essa unidade organizacional herda suas permisses da unidade organizacional do continer pai. Se
for uma unidade organizacional ou um continer de primeiro nvel, ele herdar as permisses do prprio
domnio. O motivo de os objetos filho herdarem as permisses de seus pais que, por padro, cada
novo objeto criado com a opo Incluir permisses herdveis provenientes do pai deste objeto
habilitada.
Permisses efetivas do AD DS
As permisses Permitir, que permitem acesso, so cumulativas. Quando voc pertencer a vrios grupos,
e quando esses grupos tiverem obtido permisses que permitam uma variedade de tarefas, voc poder
executar todas as tarefas atribudas a todos esses grupos e as tarefas atribudas diretamente sua conta
de usurio.
3-27
As permisses Negar, que negam acesso, substituem as permisses Permitir equivalentes. Se voc estiver
em um grupo com permisso para redefinir senhas e tambm estiver em outro grupo cuja permisso
para redefinir senhas tenha sido negada, a permisso Negar lhe impedir de redefinir senhas.
Observao: Use raramente as permisses Negar. Na verdade, desnecessrio atribuir
as permisses Negar, pois se voc no atribuir uma permisso Permitir, os usurios no podero
executar a tarefa. Antes de atribuir uma permisso Negar, certifique-se de que voc no consiga
atingir seu objetivo removendo uma permisso Permitir. Por exemplo, se desejar delegar uma
permisso Permitir a um grupo, mas isentar apenas um membro desse grupo, voc poder
usar uma permisso Negar nessa conta de usurio especfica enquanto o grupo ainda mantm
a permisso Permitir.
Toda permisso granular. At mesmo se fosse negado a voc a capacidade de redefinir senhas, ainda
seria possvel voc obter essa capacidade atravs de outras permisses Permitir para alterar o nome
de logon ou o endereo de email do usurio.
Como os objetos filho herdam as permisses herdveis dos objetos pai, por padro, e como as permisses
explcitas podem substituir as permisses herdveis, uma permisso explcita Permitir na verdade
substituir uma permisso herdada Negar.
Infelizmente, a interao complexa das permisses de usurio, de grupo, explcitas, herdadas, Permitir
e Negar podem tornar as permisses efetivas entediantes. Voc pode usar as permisses relatadas pelo
comando DSACL ou listadas na guia Acesso Efetivo da caixa de dilogo Configuraes de Segurana
Avanadas para comear a avaliar as permisses efetivas, mas isso ainda uma tarefa manual.
Etapas da demonstrao
Delegar uma tarefa padro
1.
2.
Use o Assistente para Delegao de Controle para conceder ao grupo IT as seguintes tarefas
de gerenciamento padro na unidade organizacional IT:
o
Use o Assistente para Delegao de Controle para conceder ao grupo IT as seguintes permisses
na unidade organizacional IT:
o
2.
3.
Use a guia Segurana para verificar as permisses atribudas. Feche todas as janelas.
3-29
Voc tem trabalhado para a A. Datum como especialista de suporte de desktop e inspecionou os
computadores desktop para solucionar problemas de aplicativo e de rede. Voc aceitou uma promoo
recentemente para a equipe de suporte de servidores. Uma de suas primeiras atribuies foi configurar
o servio de infraestrutura para uma nova filial.
Para comear a implantao da nova filial, voc est preparando objetos AD DS. Como parte dessa
preparao, voc precisa criar uma unidade organizacional para a filial e delegar permisso para
gerenci-la. Depois disso, voc precisar criar usurios e grupos para a nova filial. Finalmente, voc
precisar redefinir o canal de segurana para uma conta de computador que perdeu conectividade
com o domnio na filial.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-CL1
Nome de usurio
ADATUM\Administrator
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
4.
5.
b.
Senha: Pa$$w0rd
c.
Domnio: ADATUM
A A. Datum delega o gerenciamento de cada filial a um grupo especfico. Isso permite que um
funcionrio que trabalha no local seja configurado como um administrador quando necessrio. Cada filial
tem um grupo de administradores de filial capaz de executar administrao completa dentro da unidade
organizacional Filial. Tambm h um grupo de suporte tcnico de filial capaz de gerenciar os usurios
da unidade organizacional Filial, mas no outros objetos. Voc precisa criar esses grupos para a nova
filial e delegar permisses aos grupos.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
2.
Administradores da Filial 1
Usurios da Filial 1
3.
4.
5.
Development\Bart Duncan
Managers\Ed Meadows
Marketing\Connie Vrettos
Research\Barbara Zighetti
Sales\Arlene Huff
3-31
6.
7.
b.
2.
2.
Adicione o grupo global Administradores da Filial 1 ao grupo de domnio local Opers de servidor.
Saia de LON-DC1.
3.
Entre como ADATUM\Holly com a senha Pa$$w0rd. Voc pode fazer logon localmente
em um controlador de domnio, pois Holly pertence indiretamente ao grupo de domnio
local Opers de servidores.
4.
5.
Tente excluir Sales\Aaren Ekelund. Voc no consegue porque Holly no tem as permisses
necessrias.
6.
Tente excluir Filial 1\Ed Meadows. Voc consegue porque Holly tem as permisses necessrias.
1.
2.
3.
4.
Adicione o grupo global Suporte Tcnico da Filial 1 ao grupo de domnio local Opers
de servidores. Saia de LON-DC1.
5.
Entre como ADATUM\Bart com a senha Pa$$w0rd. Voc pode fazer logon localmente
em um controlador de domnio, pois Bart pertence indiretamente ao grupo de domnio
local Opers de servidores.
6.
7.
Tente excluir Filial 1\Connie Vrettos. Voc no consegue porque Bart no tem as permisses
necessrias.
8.
9.
Resultados: Depois de concluir este exerccio, voc deve ter criado uma unidade organizacional
com xito e delegado a administrao dela ao grupo apropriado.
2.
3.
4.
2.
Modifique as permisses de pasta compartilhada, para que o grupo Todos tenha as permisses
Permitir Controle Total.
3.
Senha: Pa$$w0rd
Conta desativada
Cidade: Slough
2.
3.
3-33
Nome: Ed
Sobrenome: Meadows
Senha: Pa$$w0rd
Cidade: Slough
Saia de LON-DC1.
2.
Entre em LON-CL1 como ADATUM\Ed com a senha Pa$$w0rd. Voc conseguiu entrar com xito.
3.
4.
Saia de LON-CL1.
Resultados: Depois de concluir este exerccio, voc ter criado e testado com xito uma conta de usurio
criada a partir de um modelo.
Uma estao de trabalho perdeu sua conectividade com o domnio e no consegue autenticar os usurios
corretamente. Quando os usurios tentam acessar recursos dessa estao de trabalho, o acesso negado.
Voc precisa redefinir a conta de computador para recriar a relao de confiana entre o cliente e o
domnio.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
4.
Navegue at Filial 1.
5.
Alterne para LON-CL1 e tente entrar como ADATUM\Ed com a senha Pa$$w0rd. Uma mensagem
exibida e informa que ocorreu Falha na relao de confiana entre esta estao de trabalho
e o domnio primrio.
2.
2.
Abra o Painel de Controle, alterne para a exibio cones grandes e abra Sistema.
3.
4.
5.
Senha: Pa$$w0rd
Domnio: ADATUM
6.
7.
Entre como ADATUM\Ed com a senha Pa$$w0rd. Voc foi bem-sucedido, pois o computador
foi reingressado com xito.
Resultados: Depois de concluir este exerccio, voc ter redefinido uma relao de confiana com xito.
3-35
Quando tiver concludo o laboratrio, retorne as mquinas virtuais para o estado inicial. Para fazer isso,
execute estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-CL1 e clique
em Reverter.
3.
4.
Ferramentas
Ferramenta
Uso
Onde encontrar
Usurios e Computadores
do Active Directory
Gerenciar grupos
Ferramentas Administrativas
Gerenciar grupos
Utilitrios do DS
Gerenciar grupos
Linha de comando
Gerenciamento de contas
de computador
Ferramentas Administrativas
Djoin.exe
Linha de comando
Redircmp.exe
Alterar o continer de
computador padro
Linha de comando
DSACLS
Linha de comando
Prtica recomendada
Prticas recomendadas para gerenciamento das contas de usurio
3-37
No deixe os usurios compartilharem contas de usurio. Sempre crie uma conta de usurio para
cada indivduo, at mesmo se essa pessoa no permanecer muito tempo na sua organizao.
Certifique-se de escolher uma estratgia de nomenclatura para as contas de usurio que lhe permita
identificar o usurio ao qual a conta est relacionada. Certifique-se tambm de que a sua estratgia
de nomenclatura utilize nomes exclusivos dentro do seu domnio.
Ao gerenciar o acesso aos recursos, tente usar o grupo de domnio local e os grupos de funes.
Somente use grupos universais quando necessrio, pois eles sobrecarregam o trfego de replicao.
Use o Windows PowerShell com o Mdulo Active Directory para os trabalhos em lotes nos grupos.
Mdulo 4
4-1
4-2
4-8
4-15
4-23
4-28
Voc pode usar ferramentas de linha de comando e o Windows PowerShell para automatizar a
administrao do AD DS (Servios de Domnio do Active Directory). A automao da administrao
acelera processos que, de outra forma, voc poderia realizar manualmente. O Windows PowerShell
inclui cmdlets para administrao do AD DS e para a realizao de operaes em massa. Voc pode
usar operaes em massa para alterar vrios objetos do AD DS em uma nica etapa em vez de atualizar
cada objeto manualmente.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
4-2
4-3
Implementao mais rpida de operaes em massa. Por exemplo, possvel exportar uma lista
de novas contas de usurio de um aplicativo de recursos humanos. Voc usa uma ferramenta de
linha de comando ou um script para criar as novas contas de usurio com base nas informaes
exportadas. Isso muito mais rpido do que criar cada nova conta de usurio manualmente.
O que Csvde?
Csvde uma ferramenta de linha de
comando que exporta ou importa objetos do
Active Directory para ou a partir de um arquivo
de valores separados por vrgula (.csv). Muitos
aplicativos so capazes de exportar ou importar
dados de arquivos. csv. Isso torna o csvde til para
interoperabilidade com outros aplicativos, como
bancos de dados ou planilhas.
A principal limitao de csvde que ele no pode
modificar objetos existentes do Active Directory.
Ele apenas pode criar novos objetos. Por exemplo,
voc pode usar csvde para criar um conjunto de
novas contas de usurio, mas no pode us-lo para modificar as propriedades das contas de usurio
depois que elas so criadas. Tambm possvel usar csvde para exportar propriedades de objetos,
como uma lista de usurios e seus endereos de email.
Outras opes que podem ser usadas com csvde esto listadas na tabela a seguir.
Opo
Descrio
4-4
-d RootDN
-p SearchScope
-r Filter
-l ListOfAtrributes
Terminada a exportao, o arquivo .csv conter uma linha de cabealho e uma linha para cada objeto
que foi exportado. A linha de cabealho uma lista separada por vrgulas com os nomes dos atributos
para cada objeto.
Voc no pode usar csvde para importar senhas, pois as senhas em um arquivo .csv no so protegidas.
Como resultado, as contas de usurio criadas com csvde tm uma senha em branco e esto desabilitadas.
Observao: Para obter mais informaes sobre os parmetros de csvde, em um prompt
de comando, digite csvde /? e pressione Enter.
Leitura adicional: Para obter mais informaes sobre a sintaxe de consulta LDAP, consulte
Noes bsicas sobre consultas LDAP em http://go.microsoft.com/fwlink/?LinkId=168752.
O que Ldifde?
Ldifde uma ferramenta de linha de
comando que voc pode usar para exportar,
criar, modificar ou excluir objetos do AD DS.
Como csvde, ldifde usa dados que esto
armazenados em um arquivo. O arquivo deve
estar no formato LDIF (Formato de Intercmbio
de Dados LDAP). A maioria dos aplicativos no
consegue exportar ou importar dados no
formato LDIF. mais provvel que voc obtenha
dados no formato LDIF a partir de outro servio
de diretrio.
4-5
Para cada operao em um arquivo LDIF, a linha changetype define a operao a ser realizada.
Os valores vlidos so add, modify ou delete.
Algumas outras opes que podem ser usadas ao exportar objetos com ldifde esto listadas na tabela
a seguir.
Opo
Descrio
-d RootDN
-r Filter
-p SearchScope
4-6
-l ListOfAttributes
-o ListOfAttributes
Ferramenta
Descrio
DSadd
DSget
DSquery
DSmod
DSrm
DSmove
Pergunta: Que critrios voc pode usar para escolher entre csvde, ldifde e os comandos DS?
4-7
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Cmdlet
Descrio
New-ADUser
Set-ADUser
Remove-ADUser
Set-ADAccountPassword
Set-ADAccountExpiration
Unlock-ADAccount
4-8
(continuao)
Cmdlet
Descrio
Enable-ADAccount
Disable-ADAccount
4-9
Se voc usar o parmetro -AccountPassword para especificar uma senha, ser necessrio especificar
uma varivel que contenha a senha como uma cadeia de caracteres segura ou optar por receber um
prompt de senha. Uma cadeia de caracteres segura criptografada na memria. Se voc definir uma
senha, ser possvel habilitar a conta de usurio definindo o parmetro -Enabled como $true.
Alguns parmetros comuns usados para o cmdlet New-ADUser esto listados na tabela a seguir.
Parmetro
Descrio
AccountExpirationDate
AccountPassword
ChangePasswordAtLogon
Department
Habilitado
HomeDirectory
HomeDrive
GivenName
Surname
Path
Veja a seguir um exemplo de comando que voc pode usar para criar uma conta de usurio com um
prompt de senha:
New-ADUser "Sten Faerch" -AccountPassword (Read-Host -AsSecureString "Digitar senha")
-Department IT
Pergunta: Todos os parmetros de cmdlets que voc usa para gerenciar contas de usurio
so os mesmos?
Cmdlet
Descrio
New-ADGroup
Set-ADGroup
Get-ADGroup
Remove-ADGroup
Exclui grupos.
Add-ADGroupMember
Get-ADGroupMember
Remove-ADGroupMember
Add-ADPrincipalGroupMembership
Get-ADPrincipalGroupMembership
Remove-ADPrincipalGroupMembership
Descrio
Name (Nome)
GroupScope
DisplayName
(continuao)
Parmetro
Descrio
4-11
GroupCategory
ManagedBy
Path
SamAccountName
O comando a seguir um exemplo do que voc pode digitar em um prompt do Windows PowerShell
para criar um novo grupo:
Observao: Ao conectar uma lista de objetos a um cmdlet, voc transmite essa lista
para o cmdlet.
O comando a seguir pode ser usado para adicionar um membro a um grupo:
Add-ADGroupMember CustomerManagement -Members "Joe"
Cmdlet
Descrio
New-ADComputer
Set-ADComputer
Get-ADComputer
Remove-ADComputer
Test-ComputerSecureChannel
Reset-ComputerMachinePassword
Descrio
Name (Nome)
Path
Habilitado
Veja a seguir um exemplo que voc pode usar para criar uma conta de computador:
New-ADComputer -Name LON-SVR8 -Path "ou=marketing,dc=adatum,dc=com" -Enabled $true
Cmdlet
Descrio
New-ADOrganizationalUnit
Cria UOs.
Set-ADOrganizationalUnit
Get-ADOrganizationalUnit
Remove-ADOrganizationalUnit
Exclui UOs.
4-13
Voc pode usar o cmdlet New-ADOrganizationalUnit para criar uma nova UO de forma a representar
departamentos ou locais fsicos dentro da sua organizao.
A tabela a seguir mostra os parmetros usados com frequncia para o cmdlet
New-ADOrganizationalUnit.
Parmetro
Descrio
Name (Nome)
Path
ProtectedFromAccidentalDeletion
O seguinte um exemplo que voc pode usar quando deseja criar uma nova UO:
New-ADOrganizationalUnit -Name Sales -Path "ou=marketing,dc=adatum,dc=com"
-ProtectedFromAccidentalDeletion $true
Lio 3
4-15
O Windows PowerShell um poderoso ambiente de script que voc pode usar para realizar em massa
operaes que normalmente seriam entediantes de realizar manualmente. Voc tambm pode realizar
algumas operaes em massa em ferramentas grficas.
Para realizar operaes em massa usando o Windows PowerShell, primeiro voc deve entender como
criar consultas para uma lista de objetos do AD DS e como trabalhar com arquivos .csv. Em seguida,
pode criar scripts que realizam as operaes em massa necessrias.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
2.
Modifique os objetos definidos pela consulta. Ao usar ferramentas grficas, voc normalmente
seleciona os objetos que deseja modificar e ento edita as propriedades desses objetos. Ao usar
ferramentas de linha de comando, existe a opo de usar uma lista de objetos ou variveis para
identificar os objetos que voc deseja modificar.
Operaes em massa podem ser realizadas com ferramentas grficas, em um prompt de comando ou
com o uso de scripts. Cada mtodo para a realizao de operaes em massa tem capacidades diferentes.
Por exemplo:
Ferramentas grficas tendem a ser limitadas nas propriedades que elas podem modificar.
Ferramentas de linha de comando tendem a ser mais flexveis do que ferramentas grficas na
definio de consultas e apresentam mais opes para modificar propriedades de objetos.
Scripts podem combinar vrias aes de linha de comando para proporcionar maior complexidade
e flexibilidade.
Faa uma pesquisa ou crie um filtro para exibir os objetos que voc deseja modificar.
2.
Selecione os objetos.
3.
4.
Etapas da demonstrao
Criar uma consulta para todos os usurios
1.
2.
3.
4.
2.
Parmetro
Descrio
SearchBase
SearchScope
Define em que nvel abaixo de SearchBase uma pesquisa deve ser realizada.
Voc pode optar por procurar apenas na base, um nvel baixo ou por toda
a subrvore.
ResultSetSize
Propriedades
4-17
A tabela a seguir lista os operadores comuns que voc pode usar no Windows PowerShell.
Operador
Descrio
-eq
Igual a
-ne
Diferente de
-lt
Menor que
-le
-gt
Maior que
-ge
-like
Veja a seguir um comando que pode ser usado para exibir todas as propriedades de uma conta
de usurio:
Get-ADUser Administrador -Properties *
Veja a seguir um comando que pode ser usado para retornar todas as contas de usurio na UO Marketing
e todas as suas UOs filhas:
Get-ADUser -Filter * -SearchBase "ou=Marketing,dc=adatum,dc=com" -SearchScope subtree
Veja a seguir um comando que pode ser usado para mostrar todas as contas de usurio cuja ltima data
de logon anterior a uma data especfica:
Get-ADUser -Filter {lastlogondate -lt "maro 29, 2013"}
Veja a seguir um comando que pode ser usado para mostrar todas as contas de usurio no departamento
de Marketing cuja ltima data de logon anterior a uma data especfica:
Get-ADUser -Filter {(lastlogondate -lt "maro 29, 2013")
Leitura adicional: Para mais informaes sobre filtragem com cmdlets Get AD*,
consulte about_ActiveDirectory_Filter em http://go.microsoft.com/fwlink/?LinkID=266740.
Pergunta: Qual a diferena entre usar -eq e -like ao comparar cadeias de caracteres?
4-19
Veja a seguir um comando que pode ser usado para gerar uma lista de contas de usurio que no fizeram
logon desde uma data especificada e, em seguida, desabilitar essas contas:
Get-ADUser -Filter {lastlogondate -lt "maro 29, 2013"} | Disable-ADAccount
Pergunta: Que atributos de uma conta de usurio voc pode usar ao criar uma consulta
usando o parmetro Filter?
4-21
Voc pode usar um script para combinar vrios comandos do Windows PowerShell de forma a realizar
tarefas mais complexas. Em um script, voc costuma usar variveis e loops para processar dados.
Os scripts do Windows PowerShell tm uma extenso .ps1.
A poltica de execuo em um servidor determina se os scripts podem ser executados. A poltica de
execuo padro no Windows Server 2012 RemoteSigned. Isso significa que scripts locais podem
ser executados sem serem digitalmente assinados. Voc pode controlar a poltica de execuo usando
o cmdlet Set-ExecutionPolicy.
Nesta demonstrao, voc ver como:
Etapas da demonstrao
Configurar um departamento para os usurios
1.
2.
3.
4.
5.
Exiba uma lista de usurios formatada em tabela no departamento Research. Exiba o nome distinto
e o departamento usando o seguinte comando:
Get-ADUser Filter 'department -eq "Research"' | Format-Table
DistinguishedName,Department
6.
Use o parmetro Properties para permitir que o comando anterior mostre o departamento
corretamente. Usar o seguinte comando:
Criar uma UO
2.
3.
2.
4-23
A A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres,
Inglaterra. Um escritrio de TI e um data center esto localizados em Londres para dar suporte a Londres
e a outros locais. Recentemente, a A. Datum implantou uma infraestrutura do Windows Server 2012
com clientes Windows 8.
Voc trabalha para a A. Datum h vrios anos como especialista em suporte para desktop. Neste cargo,
voc visitou computadores desktop para solucionar problemas com aplicativos e redes. Voc aceitou
uma promoo recentemente para a equipe de suporte de servidores. Uma de suas primeiras atribuies
foi configurar o servio de infraestrutura para uma nova filial.
Como parte da configurao de uma nova filial, voc precisa criar contas de usurio e de grupo. No
eficiente criar vrios usurios com ferramentas grficas e, portanto, voc usar o Windows PowerShell.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 45 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
4.
5.
Senha: Pa$$w0rd
2.
2.
3.
Crie uma nova conta de usurio para Ty Carlson na UO LondonBranch usando o seguinte comando:
New-ADUser -Name Ty -DisplayName "Ty Carlson" -GivenName Ty -Surname Carlson -Path
"ou=LondonBranch,dc=adatum,dc=com"
4.
Altere a senha em branco da nova conta para Pa$$w0rd usando o seguinte comando:
Set-ADAccountPassword Ty
5.
6.
7.
Em LON-DC1, no prompt do Windows PowerShell, crie um novo grupo de segurana global para
os usurios na filial de Londres, usando o seguinte comando:
New-ADGroup LondonBranchUsers -Path "ou=LondonBranch,dc=adatum,dc=com" -GroupScope
Global -GroupCategory Security
2.
3.
Resultados: Depois de concluir este exerccio, voc ter criado contas de usurio e grupos usando
o Windows PowerShell.
4-25
Voc recebeu um arquivo .csv que contm uma longa lista de novos usurios para a filial. Seria
ineficiente criar esses individualmente com ferramentas grficas. Em vez disso, voc usar um script
do Windows PowerShell para criar os usurios. Uma colega experiente com scripts forneceu a voc
um script que ela mesma criou. Voc precisa modificar esse script para que ele corresponda ao formato
do seu arquivo .csv.
As principais tarefas deste exerccio so:
1.
2.
Preparar o script
3.
Executar o script
2.
Em LON-DC1, use o ISE (Ambiente de Script Integrado) do Windows PowerShell para modificar
as variveis em LabUsers.ps1:
o
$csvfile: E:\Labfiles\Mod04\labUsers.csv
$OU: "ou=LondonBranch,dc=adatum,dc=com"
2.
3.
1.
2.
No prompt do Windows PowerShell, use o seguinte comando para verificar se os usurios foram
criados:
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com"
3.
Resultados: Depois de concluir este exerccio, voc ter usado o Windows PowerShell para criar contas
de usurio em massa.
Voc recebeu uma solicitao para atualizar todas as contas de usurio na UO da nova filial com o
endereo correto do novo edifcio. Essa solicitao tambm inclui garantir que todas as novas contas
de usurio na filial sejam configuradas para forar os usurios a alterarem suas senhas no prximo logon.
As principais tarefas deste exerccio so:
1.
Forar todas as contas de usurio em LondonBranch a alterar suas senhas no prximo logon
2.
2.
No prompt do Windows PowerShell, crie uma consulta para contas de usurio na UO LondonBranch
usando o seguinte comando:
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Format-Wide
DistinguishedName
3.
No prompt do Windows PowerShell, modifique o comando anterior para forar todas as contas
de usurio a alterarem suas senhas no prximo logon usando o seguinte comando:
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Set-ADUser ChangePasswordAtLogon $true
2.
3.
Rua: Filial
Cidade: Londres
Resultados: Depois de concluir este exerccio, voc ter modificado contas de usurio em massa.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-CL1 e clique
em Reverter.
3.
4.
4-27
Mdulo 5
Implementao do IPv4
Contedo:
Viso geral do mdulo
5-1
5-2
5-7
5-12
5-18
5-27
5-32
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Implementao do IPv4
Lio 1
5-2
TCP/IP um pacote de protocolos padro do setor que fornece comunicao em uma rede heterognea.
Esta lio fornece uma viso geral do IPv4 e como ele se relaciona com outros protocolos para habilitar
a comunicao de rede. Ela tambm abrange o conceito de soquetes, quais aplicativos eles usam para
aceitar comunicaes de rede. No geral, esta lio fornece uma base para compreender e solucionar
problemas na comunicao de rede.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Em vez de criar um protocolo nico, a diviso das funes de rede em uma pilha de protocolos separados
proporciona vrios benefcios:
A criao ou a modificao de protocolos para dar suporte a novos padres no exige a modificao
de toda a pilha de protocolos.
Camada de aplicativo
A camada de aplicativo do modelo TCP/IP
corresponde camada de aplicativo, de
apresentao e de sesso do modelo de
referncia OSI. Essa camada fornece servios
e utilitrios que permitem que os aplicativos
acessem recursos de rede.
Camada de transporte
A camada de transporte corresponde camada de transporte do modelo OSI e responsvel
pela comunicao de ponta a ponta usando TCP ou UDP (User Datagram Protocol). O pacote de
protocolos TCP/IP oferece aos programadores de aplicativos a opo de TCP ou UDP ou como
um protocolo da camada de transporte:
5-3
TCP. Fornece comunicao confivel orientada a conexo para aplicativos. A comunicao orientada
a conexes confirma que o destino est pronto para receber dados antes de envi-los. Para tornar
a comunicao confivel, TCP confirma que todos os pacotes so recebidos. Comunicao confivel
desejada na maioria dos casos e usada pela maioria dos aplicativos. Servidores Web, clientes FTP
(File Transfer Protocol) e outros aplicativos que movem grandes quantidades de dados usam o TCP.
UDP. Fornece comunicao sem conexo e no confivel. Durante o uso de UDP, a entrega confivel
de responsabilidade do aplicativo. Os aplicativos usam UDP para comunicao mais rpida com
menos sobrecarga do que TCP. Aplicativos, como streaming de udio e vdeo, usam o UDP de forma
que um nico pacote ausente no atrase a reproduo. O UDP tambm usado por aplicativos que
enviam pequenas quantidades de dados, como pesquisas de nome do DNS (Sistema de Nomes
de Domnio).
Camada da Internet
A camada da Internet corresponde camada de rede do modelo OSI e consiste em vrios protocolos
separados, inclusive: IP; ARP (Address Resolution Protocol); IGMP (Internet Group Management Protocol)
e ICMP (Internet Control Message Protocol). Os protocolos na camada da Internet encapsulam dados da
camada de transporte em unidades chamadas pacotes, as endeream e encaminham para os respectivos
destinos.
Implementao do IPv4
5-4
ARP. O ARP usado pelo IP para determinar o endereo MAC (controle de acesso mdia) de
adaptadores de rede local ou seja, adaptadores instalados em computadores na rede local
a partir do endereo IP de um host local. O ARP se baseia em difuso, o que significa que
quadros ARP no podem passar por um roteador e, assim, so localizados. Algumas implementaes
do TCP/IP do suporte a RARP (ARP Inverso) em que o endereo MAC de um adaptador de rede
usado para determinar o endereo IP correspondente.
A camada da interface de rede (s vezes, chamada de camada de vnculo ou camada de vnculo de dados)
corresponde s camadas de vnculo de dados e fsica do modelo OSI. A camada da interface de rede
especifica os requisitos para enviar e receber pacotes na mdia de rede. Essa camada no costuma ser
considerada formalmente como parte do pacote de protocolos TCP/IP porque as tarefas so realizadas
pela combinao do driver do adaptador de rede e do adaptador de rede.
Aplicativos TCP/IP
Os aplicativos usam protocolos da camada
de aplicativo para se comunicar pela rede.
Um cliente e um servidor devem estar usando
o mesmo protocolo da camada de aplicativo
para se comunicarem. A tabela a seguir lista
alguns protocolos comuns da camada
de aplicativo.
Protocolo
Descrio
HTTP
HTTPS (HTTP/seguro)
FTP
(continuao)
Protocolo
Descrio
O que um soquete?
Quando um aplicativo deseja estabelecer
comunicao com um aplicativo em um
host remoto, ele cria um soquete TCP ou UDP,
conforme apropriado. Um soquete identifica
o seguinte como parte do processo
de comunicao:
5-5
Os aplicativos recebem um nmero de porta entre 0 e 65.535. As primeiras 1.024 portas so conhecidas
como portas bem conhecidas e so atribudas a aplicativos especficos. Aplicativos que escutam conexes
usam nmeros de porta consistentes para facilitar a conexo de aplicativos clientes. Se um aplicativo
escuta em um nmero de porta no padro, voc precisa especificar o nmero de porta ao se conectar
a ele. Aplicativos clientes normalmente usam um nmero de porta de origem aleatrio acima de 1.024.
A tabela a seguir identifica algumas dessas portas bem conhecidas.
Porta
Protocolo
Aplicativo
80
TCP
443
TCP
110
TCP
Implementao do IPv4
(continuao)
Porta
Protocolo
Aplicativo
143
TCP
25
TCP
53
UDP
53
TCP
20, 21
TCP
5-6
Voc precisa saber os nmeros de porta usados pelos aplicativos de forma que seja possvel configurar
firewalls para permitir a comunicao. A maioria dos aplicativos tem um nmero de porta padro para
essa finalidade, mas isso pode ser alterado quando necessrio. Por exemplo, alguns aplicativos baseados
na Web so executados em uma porta que no seja 80 ou 443.
Pergunta: H outras portas bem conhecidas nas quais voc consegue pensar?
Lio 2
5-7
A compreenso da comunicao de rede IPv4 fundamental para garantir que seja possvel implementar,
solucionar problemas e manter redes IPv4. Um dos componentes bsicos do endereamento IPv4 o
endereamento. A compreenso do endereamento, das mscaras de sub-rede e dos gateways padro
permite identificar a comunicao apropriada entre hosts. Para identificar erros de comunicao IPv4,
voc precisa compreender como o processo de comunicao deve funcionar.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como a notao decimal com pontos se relaciona com nmeros binrios.
Descrever uma rede IPv4 mais complexa com endereamento sem classes.
Endereamento IPv4
Para configurar a conectividade de rede,
voc deve estar familiarizado com os
endereos IPv4 e com a maneira como eles
funcionam. A comunicao de rede de um
computador dirigida ao endereo IPv4 desse
computer. Por isso, cada computador em rede
deve receber um endereo IPv4 exclusivo.
Cada endereo IPv4 tem 32 bits. Para deixar
endereos IP mais legveis, eles so exibidos em
notao decimal com pontos. A notao decimal
com pontos divide um endereo IPv4 de 32 bits
em quatro grupos de oito bits, convertidos em um
nmero decimal entre zero e 255. Os nmeros decimais so separados por um ponto. Cada nmero
decimal chamado de um octeto.
Implementao do IPv4
Mscara de sub-rede
Cada endereo IPv4 formado por uma ID de rede e uma ID de host. A ID de rede identifica a rede na
qual o computador est localizado. A ID do host identifica com exclusividade o computador nessa rede
especfica. Uma mscara de sub-rede identifica que parte de um endereo IPv4 a ID da rede, alm
de qual parte a ID do host.
Nos cenrios mais simples, cada octeto em uma mscara de sub-rede 255 ou 0. Um 255 representa
um octeto que faz parte da ID de rede e um 0 representa um octeto que faz parte da ID do host.
Por exemplo, um computador com um endereo IP 192.168.23.45 e uma mscara de sub-rede
255.255.255.0 tem uma ID da rede 192.168.23.0 e uma ID do host 0.0.0.45.
Observao: Os termos rede, sub-rede e VLAN (rede local virtual) costumam ser usados
entre si. Uma grande rede costuma ser subdividida em sub-redes, e VLANs so configuradas
em comutadores para representar sub-redes.
Gateway padro
Um gateway padro um dispositivo (normalmente um roteador), em uma rede TCP/IP que encaminha
pacotes IP para outras redes. As vrias redes internas em uma organizao podem ser conhecidas como
uma intranet.
Em uma intranet, qualquer rede especfica pode ter vrios roteadores que a conectam a outras redes,
tanto locais quanto remotas. Voc deve configurar um dos roteadores como o gateway padro para
hosts locais. Isso permite que os hosts locais se comuniquem com hosts em redes remotas.
Antes de enviar um pacote IPv4, um host usa a prpria mscara de sub-rede para determinar se o host
de destino est na mesma rede ou em uma rede remota. Se o host de destino estiver na mesma rede,
o host de envio transmitir o pacote diretamente ao host de destino. Se o host de destino estiver em
uma rede diferente, o host transmitir o pacote a um roteador para entrega.
Quando um host transmite um pacote para uma rede remota, o IPv4 consulta a tabela de roteamento
interna para determinar o roteador apropriado para que o pacote alcance a sub-rede de destino. Se a
tabela de roteamento no contiver nenhuma informao de roteamento sobre a sub-rede de destino,
o IPv4 encaminhar o pacote para o gateway padro. O host assume que o gateway padro contm
as informaes de roteamento necessrias. O gateway padro usado na maioria dos casos.
Os computadores clientes normalmente obtm as informaes de endereamento IP a partir de um
servidor DHCP. Isso mais simples do que atribuir manualmente um gateway padro em cada host.
A maioria dos servidores tem uma configurao IP esttica atribuda manualmente.
Pergunta: Como a comunicao de rede ser afetada se um gateway padro for
configurado incorretamente?
5-8
5-9
Como o pool de endereos IPv4 est ficando menor, os RIRs esto relutantes em alocar endereos IPv4
suprfluos. Tecnologias como NAT (converso de endereos de rede) permitem que os administradores
usem um nmero relativamente pequeno de endereos IPv4 pblicos e, ao mesmo tempo, permitem
que hosts locais se conectem a hosts remotos e servios na Internet.
A IANA define os intervalos de endereos na tabela a seguir como privados. Os roteadores baseados
na Internet no encaminham pacotes que se originam desses intervalos ou que se destinem a eles.
Rede
Intervalo
10.0.0.0/8
10.0.0.0-10.255.255.255
172.16.0.0/12
172.16.0.0-172.31.255.255
192.168.0.0/16
192.168.0.0-192.168.255.255
Dentro de um octeto de oito bits, cada posio de bit tem um valor decimal. Um bit definido
como 0 sempre tem um valor zero. Um bit definido como 1 pode ser convertido em um valor
decimal. O bit de ordem inferior o bit mais direita no octeto representa um valor decimal 1.
O bit de ordem superior o bit mais esquerda no octeto representa um valor decimal 128.
Se todos os bits em um octeto forem definidos como 1, o valor decimal do octeto ser 255
(ou seja: 128 + 64 + 32 + 16 + 8 + 4 + 2 + 1). Esse o valor mais alto possvel de um octeto.
Na maioria das vezes, possvel usar uma calculadora para converter nmeros decimais em binrios
e vice-versa. O aplicativo Calculadora includo em sistemas operacionais Windows pode executar
converses de decimal em binrio, conforme mostrado no exemplo a seguir.
Binrio
131.107.3.24
Primeiro octeto
Mscara de sub-rede
padro
Nmero de redes
Nmero de hosts
por rede
1-127
255.0.0.0
126
16,777,214
128-191
255.255.0.0
16,384
65,534
192-223
255.255.255.0
2,097,152
254
5-11
possvel usar a sub-rede para dividir uma rede grande em vrias redes menores. Em redes IPv4 simples,
a mscara de sub-rede define octetos completos como parte da ID de rede e da ID do host. Um 255
representa um octeto que faz parte da ID de rede, e um 0 representa um octeto que faz parte da
ID do host. Por exemplo, possvel usar a rede 10.0.0.0 com uma mscara de sub-rede 255.255.0.0
para criar 256 redes menores.
Observao: O endereo IPv4 127.0.0.1 usado como um endereo de loopback;
possvel usar esse endereo para testar a configurao local da pilha do protocolo IPv4.
Consequentemente, o endereo de rede 127 no permitido para configurar hosts de IPv4.
Lio 3
Sub-redes e super-redes
Na maioria das organizaes, voc precisa realizar a sub-rede para dividir a rede em sub-redes menores
e alocar essas sub-redes para finalidades ou locais especficos. Para isso, voc precisa compreender como
selecionar o nmero correto de bits a serem includos nas mscaras de sub-rede. Em alguns casos, voc
talvez tambm precise integrar vrias redes em uma nica rede maior por meio de super-redes.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Calcular uma mscara de sub-rede que d suporte a um nmero especfico de endereos de host.
Descrever as super-redes.
possvel identificar a ID da rede de uma mscara de sub-rede pelos 1s. possvel identificar a ID
do host pelos 0s. Qualquer bit obtido da ID do host e alocado para a ID de rede deve ser contguo
com a ID de rede original.
5-13
O processo matemtico usado para comparar um endereo IP e uma mscara de sub-rede chamado
de ANDing.
Quando voc usa mais bits para a mscara de sub-rede, mais sub-redes voc ter, mas menos hosts em
cada sub-rede. Usar mais bits do que voc precisa permite aumentar a sub-rede, mas limita o aumento
de hosts. Usar menos bits do que o necessrio permite aumentar o nmero de hosts que voc pode ter,
mas limita o aumento nas sub-redes.
Superar as limitaes das tecnologias atuais, como exceder o nmero mximo de hosts
que cada segmento pode ter.
A tabela a seguir indica o nmero de sub-redes que voc pode criar usando um nmero especfico
de bits.
Nmero de bits (n)
16
32
64
Para determinar os endereos de sub-rede rapidamente, possvel usar o bit de valor baixo na mscara
de sub-rede. Por exemplo, se voc escolher dividir em sub-redes a rede 172.16.0.0 usando trs bits, isso
significa que a mscara de sub-rede ser 255.255.224.0. O decimal 224 11100000 no binrio e o bit
mais baixo tem um valor de 32, de forma que o incremento entre cada endereo de sub-rede.
A tabela a seguir mostra os endereos de sub-rede para este exemplo; os trs bits que voc opta
por usar na sub-rede da rede so mostrados em negrito.
Nmero de rede binrio
172.16.00000000.00000000
172.16.0.0
172.16.00100000.00000000
172.16.32.0
172.16.01000000.00000000
172.16.64.0
172.16.01100000.00000000
172.16.96.0
172.16.10000000.00000000
172.16.128.0
172.16.10100000.00000000
172.16.160.0
172.16.11000000.00000000
172.16.192.0
172.16.11100000.00000000
172.16.224.0
14
30
62
Voc pode calcular o intervalo de endereos de host de cada sub-rede usando o seguinte processo:
1.
2.
O ltimo host dois dgitos binrios mais baixo que a prxima ID de sub-rede.
Intervalo de hosts
172.16.64.0/19
172.16.64.1 172.16.95.254
172.16.96.0/19
172.16.96.1 172.16.127.254
172.16.128.0/19
172.16.128.1 172.16.159.254
Para criar um esquema de endereamento apropriado organizao, voc deve saber de quantas
sub-redes precisa e de quantos hosts precisa em cada sub-rede. Assim que tiver essas informaes,
ser possvel calcular uma mscara de sub-rede apropriada.
5-15
O que super-rede?
Super-rede integra vrias redes pequenas a
uma nica rede maior. Isso pode ser apropriado
quando voc tem uma rede pequena que
cresceu e precisa expandir o espao do endereo.
Por exemplo, uma filial que est usando a rede
192.168.16.0/24 e que usa todos os endereos
IP poderia ter a rede 192.168.17.0/24 adicional
alocada. Se usar a mscara de sub-rede padro
255.255.255.0 para essas redes, voc dever
realizar o roteamento entre elas. possvel usar a
super-rede para integr-las em uma nica rede.
16
A seguinte tabela mostra um exemplo de super-rede para duas redes de classe C. A parte da mscara
de sub-rede que voc est usando como parte da ID da rede mostrada em negrito.
Rede
Intervalo
192.168.00010000.00000000/24
192.168.16.0-192.168.16.255
192.168.00010001.00000000/24
192.168.17.0-192.168.17.255
192.168.00010000.00000000/23
192.168.16.0-192.168.17.255
5-17
Lio 4
As ferramentas para soluo de problemas no Windows Server 2012 so semelhantes a verses anteriores
de sistemas operacionais clientes Windows e sistemas operacionais de servidor. Porm, voc talvez no
esteja familiarizado com o Monitor de Rede, que possvel usar para realizar a anlise detalhada da
comunicao de rede.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Configurar um servidor para que ele obtenha uma configurao do IPv4 automaticamente.
Explicar como usar cmdlets do Windows PowerShell a fim de solucionar problemas do IPv4.
Descrever o processo da soluo de problemas usado para resolver problemas fundamentais do IPv4.
Endereo IPv4
Mscara de sub-rede
Gateway padro
Servidores DNS
5-19
A configurao esttica exige que voc visite cada computador e informe manualmente a configurao
do IPv4. Esse mtodo de gerenciamento do computador razovel para servidores, mas demora muito
para computadores clientes. A entrada manual em uma configurao esttica aumenta o risco de
equvocos de configurao.
possvel configurar um endereo IP esttico nas propriedades da conexo de rede ou usando a
ferramenta de linha de comando netsh. Por exemplo, o seguinte comando configura a conexo
local da interface com os seguintes parmetros:
Endereo IP esttico
10.10.0.10
Mscara de sub-rede
255.255.255.0
Gateway padro
10.10.0.1
O Windows Server 2012 tambm tem cmdlets do Windows PowerShell que possvel usar para gerenciar
a configurao de rede. A tabela a seguir descreve alguns dos cmdlets do Windows PowerShell
disponveis para configurar o IPv4.
Cmdlet
New-NetIPAddress
Set-NetIPInterface
New-NetRoute
Set-DNSClientServerAddresses
O seguinte cdigo um exemplo dos cmdlets do Windows PowerShell que possvel usar para configurar
a conexo local da interface com os seguintes parmetros:
Endereo IP esttico
10.10.0.10
Mscara de sub-rede
255.255.255.0
Gateway padro
10.10.0.1
A conexo local tambm configurada para usar servidores DNS 10.12.0.1 e 10.12.0.2.
Incluir resilincia no design do servio DHCP, de forma que a falha de um nico servidor no
interrompa o servio.
Configure os escopos cuidadosamente no servidor DHCP. Se voc cometer um erro, isso poder
afetar a rede inteira e impedir a comunicao.
Se voc usar um laptop para se conectar a vrias redes (como no trabalho e em casa), cada rede poder
exigir uma configurao de IP diferente. Os sistemas operacionais Windows do suporte ao uso do APIPA
(Automatic Private IP Addressing) ou um endereo IP esttico para essa situao.
Ao configurar computadores baseados no Windows para obter um endereo IPv4 do DHCP, use a guia
Configurao alternativa para controlar o comportamento se um servidor DHCP no estiver disponvel.
Por padro, o Windows usa o APIPA para atribuir automaticamente a si mesmo um endereo IP do
intervalo de endereos 169.254.0.0 a 169.254.255.255, mas sem nenhum gateway padro ou servidor
DNS; isso permite funcionalidade limitada.
O APIPA til na soluo de problemas de DHCP; se o computador tiver um endereo do intervalo
APIPA, isso indicar que o computador no pode se comunicar com um servidor DHCP.
O Windows Server 2012 tambm tem cmdlets do Windows PowerShell que possvel usar para habilitar
o DHCP para uma interface. A tabela a seguir descreve alguns dos cmdlets do Windows PowerShell
disponveis para configurar o DHCP em uma interface.
Cmdlet
Descrio
Get-NetIPInterface
Set-NetIPInterface
Get-NetAdapter
Restart-NetAdapter
5-21
O seguinte cdigo um exemplo de como possvel habilitar o DHCP para a conexo local do adaptador
e garantir que ele receba um endereo:
Set-NetIPInterface InterfaceAlias "Conexo Local" Dhcp Enabled
Restart-NetAdapter Name-"Conexo Local"
Ipconfig
Ipconfig uma ferramenta de linha de comando
que exibe a configurao de rede TCP/IP atual.
Alm disso, possvel usar o comando ipconfig
para atualizar as configuraes do DHCP e do
DNS. A tabela a seguir descreve as opes
de linha comando para ipconfig.
Comando
Descrio
ipconfig /all
ipconfig /release
ipconfig /renew
ipconfig /displaydns
ipconfig /flushdns
Ping
Ping uma ferramenta de linha de comando que verifica a conectividade no nvel de IP com outro
computador TCP/IP. Ela envia mensagens de solicitao de eco ICMP e exibe o recebimento das
mensagens de resposta de eco correspondentes. Ping o principal comando de TCP/IP usado para
solucionar problemas de conectividade; no entanto, os firewalls podem bloquear as mensagens ICMP.
Tracert
Tracert uma ferramenta de linha de comando que identifica o caminho usado at um computador de
destino enviando uma srie de solicitaes de eco ICMP. Tracert exibe a lista de interfaces do roteador
entre uma origem e um destino. Essa ferramenta tambm determina qual roteador falhou e em que
latncia (ou velocidade). Esses resultados talvez no sejam precisos caso o roteador esteja ocupado,
pois os pacotes ICMP recebem uma prioridade baixa do roteador.
Pathping
Pathping uma ferramenta de linha de comando que rastreia uma rota pela rede de maneira semelhante
ao Tracert. Porm, Pathping fornece estatsticas mais detalhadas sobre as etapas individuais, ou saltos,
pela rede. Pathping pode fornecer mais detalhes, pois envia 100 pacotes para cada roteador, o que
permite estabelecer tendncias.
Rota
Route uma ferramenta de linha de comando que permite exibir e modificar a tabela de
roteamento local. possvel us-lo para verificar o gateway padro, listado como a rota 0.0.0.0.
No Windows Server 2012, tambm possvel usar os cmdlets do Windows PowerShell para exibir
e modificar a tabela de roteamento. Entre os cmdlets para exibir e modificar a tabela de roteamento
local esto Get-NetRoute, New-NetRoute e Remove-NetRoute.
Telnet
possvel usar o recurso Cliente Telnet para verificar se uma porta de servidor est escutando.
Por exemplo, o comando telnet 10.10.0.10 25 tenta abrir uma conexo com o servidor de destino,
10.10.0.10, na porta 25, SMTP. Se estiver ativa e escutando, a porta retornar uma mensagem ao
Cliente Telnet.
Netstat
Netstat uma ferramenta de linha de comando que permite exibir estatsticas e conexes da rede. Por
exemplo, o comando netstat ab retorna todas as portas de escuta e o executvel que est escutando.
Monitor de Recursos
Monitor de Recursos uma ferramenta grfica que permite monitorar a utilizao de recursos do sistema.
possvel usar o Monitor de Recursos para exibir portas TCP e UDP em uso. Tambm possvel verificar
quais aplicativos esto usando portas especficas e o volume de dados que eles esto transferindo nessas
portas.
Diagnstico de Rede
Use o Diagnstico de Rede do Windows para diagnosticar e corrigir problemas de rede. No caso de
um problema de rede no Windows Server, a opo Diagnosticar Problemas de Conexo ajuda a
diagnosticar e reparar o problema. O Diagnstico de Rede do Windows retorna uma descrio possvel
do problema e uma soluo em potencial. Porm, a soluo pode exigir a interveno manual do usurio.
Visualizador de Eventos
Logs de eventos so arquivos que registram eventos significativos em um computador, como quando
um processo encontra um erro. Quando esses eventos ocorrem, o sistema operacional Windows registra
o evento em um log de eventos apropriado. possvel usar o Visualizador de Eventos para ler o log de
eventos. Os conflitos de IP, que podem impedir a inicializao dos servios, so listados no log de eventos
do sistema.
Objetivo
Get-NetAdapter
Restart-NetAdapter
Get-NetIPInterface
Get-NetIPAddress
Get-NetRoute
Get-NetConnectionProfile
Get-DNSClientCache
Get-DNSClientServerAddress
5-23
Se souber qual deve ser a configurao de rede correta para o host, use ipconfig para verificar
se ele est configurado dessa maneira. Se ipconfig retornar um endereo na rede 169.254.0.0/16,
ele indicar que houve falha no host para obter um endereo IP do DHCP.
2.
Use ping para saber se o host remoto responde. Se usar ping para retornar o nome DNS do host
remoto, voc verificar a resoluo de nomes e se o host responde. Lembre-se de que o Firewall
do Windows em servidores membros e computadores clientes costumam bloquear tentativas de
ping. Em um caso assim, a falta de uma resposta de ping talvez no indique que o host remoto
no funcional. Se voc conseguir executar ping em outros hosts remotos na mesma rede,
isso normalmente indicar que o problema est no host remoto.
3.
possvel usar um aplicativo para testar o servio que voc est conectando ao host remoto.
Por exemplo, use o Windows Internet Explorer para testar a conectividade com um servidor
Web. Tambm possvel usar Telnet para se conectar porta do aplicativo remoto.
4.
Use ping para saber se o gateway padro responde. A maioria dos roteadores responde a
solicitaes de ping. Se voc no receber uma resposta ao executar ping no gateway padro,
dever haver um erro de configurao no computador cliente, como o gateway padro
configurado incorretamente. Tambm possvel que o roteador esteja enfrentando erros.
Observao: possvel forar ping para usar o IPv4 em vez do IPv6 utilizando a opo -4.
Pergunta: Existe alguma outra etapa que voc usa para solucionar problemas
da conectividade de rede?
5-25
Hora e data: isso permite determinar em qual ordem os pacotes foram transmitidos.
Origem e destino: isso fornece os endereos IP de origem e destino de forma que seja possvel
determinar quais computadores esto envolvidos na caixa de dilogo.
Nome do protocolo: o protocolo de nvel mais alto que o Monitor de Rede pode identificar
listado por exemplo, ARP, ICMP, TCP e SMB. Conhecer o protocolo de alto nvel permite localizar
quais servios podem estar enfrentando ou causando o problema que voc est solucionando.
Quando voc seleciona um quadro no painel Resumo do Quadro, o painel Detalhes do Quadro
atualizado com o contedo desse quadro especfico. possvel passar pelos detalhes do quadro,
examinando o contedo de cada elemento conforme segue adiante.
Cada camada na arquitetura de rede do aplicativo para baixo encapsula seus dados no continer
da camada abaixo. Em outras palavras, uma solicitao HTTP encapsulada em um pacote IPv4 que,
por sua vez, encapsulada em um quadro Ethernet.
Quando voc coleta um grande volume de dados, pode ser difcil determinar quais quadros so
relevantes para seu problema especfico. Voc pode usar a filtragem para mostrar apenas os quadros
de interesse. Por exemplo, possvel selecionar para mostrar apenas pacotes relacionados ao DNS.
possvel usar o Monitor de Rede para capturar e exibir pacotes transmitidos na rede. Isso permite exibir
informaes detalhadas que normalmente no seriam possveis de ver. Esse tipo de informaes pode ser
til para solucionar problemas.
Nesta demonstrao, voc ver como:
Etapas da demonstrao
Capturar trfego de rede com o Monitor de Rede
Preparar execuo de uma captura de pacote
1.
2.
3.
ipconfig /flushdns
2.
3.
No Monitor de Rede, role a tela para baixo e selecione o primeiro pacote ICMP.
2.
Expanda a parte Icmp do pacote para exibir se ela uma Echo Request. Essa uma solicitao
de ping.
3.
4.
Expanda a parte Ethernet do pacote para exibir os endereos MAC de origem e de destino.
5.
6.
Na parte Icmp do pacote, verifique se ela uma Eco Reply. Essa a resposta solicitao de ping.
No Monitor de Rede, no painel Filtro de Exibio, carregue o filtro DNS padro DNSQueryName.
2.
3.
Aplique o filtro.
4.
Verifique se os pacotes foram filtrados para mostrar apenas os pacotes correspondentes ao filtro.
5-27
A. Datum Corporation tem um escritrio de TI e um data center em Londres, que d suporte a Londres
e a outros locais. Eles implantaram recentemente uma infraestrutura do Windows Server 2012 com
clientes Windows 8. Voc aceitou uma promoo recentemente para a equipe de suporte de servidores.
Uma de suas primeiras atribuies foi configurar o servio de infraestrutura para uma nova filial.
Aps uma reviso de segurana, o gerente solicitou o clculo de novas sub-redes para a filial a fim
de dar suporte segmentao do trfego de rede. Voc tambm precisa solucionar um problema
de conectividade em um servidor na filial.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 45 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-RTR
24410B-LON-SVR2
Nome de usurio
ADATUM\Administrador
Senha:
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Calcular os bits obrigatrios para dar suporte aos hosts em cada sub-rede
2.
Tarefa 1: Calcular os bits obrigatrios para dar suporte aos hosts em cada sub-rede
1.
Quantos bits so obrigatrios para dar suporte a 100 hosts na sub-rede do cliente?
2.
3.
Quantos bits so obrigatrios para dar suporte a 40 hosts na sub-rede de expanso futura?
4.
5.
Qual recurso permite que uma nica rede seja dividida em sub-redes de tamanhos variados?
6.
Quantos bits de host voc usar em cada sub-rede? Use a alocao mais simples possvel,
que uma sub-rede grande e duas sub-redes menores de mesmo tamanho.
Dado o nmero de bits de host alocado, qual a mscara de sub-rede que voc usar na sub-rede
do cliente? Calcule a mscara de sub-rede em binrio e decimal.
o
A sub-rede do cliente est usando sete bits para a ID do host. Por isso, voc usar 25 bits
para a mscara de sub-rede.
Binrio
Decimal
2.
A sub-rede do servidor est usando seis bits para a ID do host. Por isso, voc usar 26 bits
para a mscara de sub-rede.
Binrio
Decimal
Dado o nmero de bits de host alocado, qual a mscara de sub-rede que voc usar na sub-rede
de expanso futura? Calcule a mscara de sub-rede em binrio e decimal.
o
A sub-rede de expanso futura est usando seis bits para a ID do host. Por isso, voc
usar 26 bits para a mscara de sub-rede.
Binrio
4.
Decimal
Para a sub-rede do cliente, defina a ID da rede, o primeiro host disponvel, o ltimo host disponvel
e o endereo de difuso. Pressuponha que a sub-rede do cliente seja a primeira sub-rede alocada
no pool de endereos disponveis. Calcule as verses binria e decimal de cada endereo.
Descrio
Binrio
Decimal
ID de rede
Primeiro host
ltimo host
Difuso
5.
5-29
Dado o nmero de bits de host alocado, qual a mscara de sub-rede que voc usar na sub-rede
do servidor? Calcule a mscara de sub-rede em binrio e decimal.
o
3.
Para a sub-rede do servidor, defina a ID da rede, o primeiro host disponvel, o ltimo host disponvel
e o endereo de difuso. Pressuponha que a sub-rede do servidor seja a segunda sub-rede alocada
no pool de endereos disponveis. Calcule as verses binria e decimal de cada endereo.
Descrio
ID de rede
Primeiro host
ltimo host
Difuso
Binrio
Decimal
6.
Para a sub-rede de alocao futura, defina a ID da rede, o primeiro host disponvel, o ltimo host
disponvel e o endereo de difuso. Pressuponha que a sub-rede de alocao futura seja a
terceira sub-rede alocada no pool de endereos disponveis. Calcule as verses binria e decimal
de cada endereo.
Descrio
Binrio
Decimal
ID de rede
Primeiro host
ltimo host
Difuso
Resultados: Depois de concluir este exerccio, voc ter identificado as sub-redes obrigatrias para
atender aos requisitos do cenrio de laboratrio.
2.
3.
2.
3.
2.
Ipconfig
Ping
Tracert
Rota
Monitor de Rede
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e clique
em Reverter.
3.
4.
5-31
Permita o crescimento ao planejar sub-redes do IPv4. Isso garante que voc no precisa alterar
o esquema de configurao do IPv4.
Defina finalidades para intervalos de endereos especficos e sub-redes. Isso permite identificar
facilmente hosts com base nos respectivos endereos IP e usar firewalls para aumentar a segurana.
Use endereos IPv4 dinmicos para clientes. muito mais fcil gerenciar a configurao do IPv4
para computadores clientes usando o DHCP do que com a configurao manual.
Use endereos IPv4 estticos para servidores. Quando servidores tm um endereo IPv4 esttico,
mais fcil identificar onde os servios esto localizados na rede.
Conflitos de IP
Perguntas de reviso
Pergunta: Voc acabou de comear como um administrador de servidor para uma
organizao pequena com um nico local. A organizao est usando o intervalo de
endereos 131.107.88.0/24 para a rede interna. Isso uma preocupao?
Pergunta: Voc est trabalhando para uma organizao que presta servios de hospedagem
da Web a outras organizaes. Voc tem uma nica rede /24 do ISP para os hosts da Web.
Voc est quase sem endereos IPv4 e solicitou ao ISP um intervalo de endereos adicional.
O ideal que colocasse a rede existente na super-rede com a nova rede. Existe algum
requisito especfico para super-rede?
Pergunta: Voc instalou um novo aplicativo baseado na Web executado em um nmero
de porta no padro. Um colega est testando o acesso ao novo aplicativo baseado
na Web e indica que ele no consegue se conectar a ele. Quais so as causas mais provveis
do problema?
Ferramentas
Ferramenta
Use para
Onde encontrar
Monitor de Rede
Ipconfig
Prompt de comando
Ping
Prompt de comando
Tracert
Prompt de comando
Pathping
Prompt de comando
Rota
Prompt de comando
Telnet
Prompt de comando
Netstat
Prompt de comando
Monitor de recursos
Ferramentas no Gerenciador do
Servidor
Diagnsticos de
Rede do Windows
Visualizador
de Eventos
Ferramentas no Gerenciador
do Servidor
5-33
Mdulo 6
Implementao do protocolo DHCP
Contedo:
Viso geral do mdulo
6-1
6-2
6-8
6-13
6-17
6-23
6-28
O protocolo DHCP desempenha uma funo importante na infraestrutura do Windows Server 2012.
Ele o principal meio de distribuio de importantes informaes sobre configurao de rede para os
clientes da rede, alm de fornecer informaes de configurao a outros servios habilitados para rede,
inclusive Windows DS (Servios de Implantao do Windows) e NAP (Proteo de Acesso Rede).
Para dar suporte e solucionar problemas de uma infraestrutura de rede baseada no Windows Server,
importante compreender como implantar, configurar e solucionar problemas da funo de servidor
DHCP.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
6-2
Com a funo de servidor DHCP, possvel ajudar a garantir que todos os clientes tenham as informaes
de configurao apropriadas, o que ajuda a eliminar erros humanos durante a configurao. Quando
as informaes-chave de configurao so alteradas na rede, possvel atualiz-las usando a funo
de servidor DHCP sem ter que alterar as informaes diretamente em cada computador.
O DHCP tambm um servio importante para usurios mveis que mudam de rede com frequncia.
O DHCP permite que os administradores da rede ofeream informaes complexas de configurao da
rede para usurios no tcnicos, sem que os usurios tenham que lidar com os detalhes de configurao
de suas redes.
6-3
As configuraes com e sem estado do DHCP verso 6 (v6) tm suporte para configurao de clientes em
um ambiente do IPv6. A configurao com estado ocorre quando o servidor DHCPv6 atribui o endereo
IPv6 ao cliente com os dados adicionais DHCP. A configurao sem estado ocorre quando o roteador
de sub-rede atribui o endereo IPv6 automaticamente, e o servidor DHCPv6 atribui apenas outras
definies de configurao IPv6.
A NAP faz parte de um novo conjunto de ferramentas que impede acesso completo intranet de
computadores que no esto em conformidade com os requisitos de integridade do sistema. A NAP
com DHCP ajuda a isolar da rede corporativa os computadores possivelmente infectados por malware.
A NAP DHCP permite que os administradores confirmem se os clientes DHCP so compatveis com as
polticas de segurana internas. Por exemplo, todos os clientes da rede devem estar atualizados e ter um
programa antivrus vlido e atualizado instalado antes de receberem uma configurao de IP que permita
acesso completo intranet.
possvel instalar o DHCP como uma funo em uma instalao Server Core do Windows Server 2012.
Uma instalao Server Core permite criar um servidor com uma superfcie de ataque reduzida. Para
gerenciar o DHCP no Server Core, voc deve instalar e configurar a funo usando a interface de linha
de comando. Tambm possvel gerenciar a funo DHCP em execuo na instalao Server Core do
Windows Server 2012 em um console baseado em GUI (interface grfica do usurio), em que a funo
DHCP j est instalada.
Para ser considerado um cliente DHCP, um computador precisa ser configurado a fim de obter um
endereo IP automaticamente. Por padro, cada computador est configurado para obter um endereo IP
automaticamente. Em uma rede na qual um servidor DHCP esteja instalado, um cliente DHCP responder
a uma difuso DHCP.
Se um computador for configurado com um endereo IP por um administrador, esse computador
tem um endereo IP esttico e considerado um cliente no DHCP, alm de no se comunicar
com um servidor DHCP.
2.
Um servidor DHCP responde com um pacote DHCPOFFER. Esse pacote contm um endereo
potencial do cliente.
3.
O cliente recebe o pacote DHCPOFFER. Ele pode receber pacotes de vrios servidores; nesse caso,
ele costuma selecionar o servidor que deu a resposta mais rpida ao pacote DHCPDISCOVER.
Ele costuma ser o servidor DHCP mais prximo ao cliente. Em seguida, o cliente transmite
um DHCPREQUEST contendo um identificador de servidor. Isso informa aos servidores DHCP
que recebem a transmisso qual DHCPOFFER do servidor o cliente optou por aceitar.
4.
Os servidores DHCP recebem o DHCPREQUEST. Esses servidores no aceitos pelo cliente usam
a mensagem como notificao de que o cliente recusa a oferta do servidor. O servidor escolhido
armazena as informaes de endereo IP do cliente no banco de dados DHCP e responde com
uma mensagem DHCPACK. Se, por algum motivo, o servidor DHCP no conseguir fornecer o
endereo oferecido no DHCPOFFER inicial, o servidor DHCP enviar uma mensagem DHCPNAK.
6-4
6-5
Se o cliente DHCP no conseguir entrar em contato com o servidor DHCP, o cliente aguardar 87,5% do
tempo de concesso. Se a renovao for malsucedida, que significa que 100% do tempo de concesso
expirou, o computador cliente tentar entrar em contato com o gateway padro configurado. Se o
gateway no responder, o cliente ir pressupor que ele esteja em uma nova sub-rede e entrar na fase
de descoberta, na qual tenta obter uma configurao IP de qualquer servidor DHCP.
6-6
Etapas da demonstrao
Instalar a funo Servidor DHCP
1.
2.
3.
4.
2.
3.
6-7
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Intervalo de endereos IP. Esta propriedade lista o intervalo de endereos que pode ser oferecido
para concesso e costuma listar todo o intervalo de endereos para uma determinada sub-rede.
Mscara de sub-rede. Esta propriedade usada por computadores clientes para determinar
os respectivos locais na infraestrutura de rede da organizao.
Excluses. Esta propriedade lista endereos nicos ou blocos de endereos que esto dentro
do intervalo de endereos IP, mas que no sero oferecidos para concesso.
6-8
6-9
Durao da concesso. Esta propriedade lista a durao da concesso. Use duraes mais curtas
para escopos com endereos IP limitados e duraes mais longas para redes mais estticas.
Opes. possvel configurar muitas propriedades opcionais em um escopo, mas voc normalmente
configurar:
o
Escopos IPv6
possvel configurar as opes do escopo IPv6 como um escopo separado no n IPv6 do console DHCP.
O n IPv6 contm vrias opes diferentes que possvel modificar e um mecanismo de concesso
aprimorado.
Ao configurar um escopo DHCPv6, voc deve definir as seguintes propriedades:
Prefixo. O prefixo de endereo IPv6 parecido com o intervalo de endereos IPv4; basicamente,
ele define o endereo de rede.
Excluses. Esta propriedade lista endereos nicos ou blocos de endereos que esto dentro
do prefixo IPv6, mas que no sero oferecidos para concesso.
Tempos de vida desejados. Esta propriedade define por quanto tempo os endereos concedidos
sero vlidos.
Opes. Assim como acontece com IPv4, possvel configurar muitas opes.
Para configurar uma reserva, voc deve saber o endereo MAC (controle de acesso mdia) da interface
de rede do dispositivo ou o endereo fsico. Esse endereo indica ao servidor DHCP que o dispositivo
deve ter uma reserva. Voc pode adquirir um endereo MAC da interface de rede usando o comando
ipconfig/all. Geralmente, os endereos MAC para impressoras de rede e outros dispositivos de rede
esto impressos no dispositivo. A maioria dos computadores laptop tambm possui essas informaes
na parte inferior do chassi.
Nome
Mscara de sub-rede
Roteador
Servidores DNS
15
44
46
47
ID do escopo NetBIOS
51
Tempo de concesso
58
(continuao)
Cdigo de opo
Nome
59
31
33
Rota esttica
43
249
2.
3.
4.
Nvel de cliente reservado. Uma opo no nvel de reserva atribuda a um cliente DHCP.
6-11
Voc precisa compreender essas opes ao configurar o DHCP, logo, saber quais configuraes de nvel
tm prioridade ao definir configuraes diferentes em vrios nveis.
Se as configuraes de opo DHCP forem aplicadas em cada nvel, a opo aplicada pela ltima vez
substituir a configurao aplicada anteriormente. Por exemplo, se o gateway padro for configurado
no nvel de escopo e um gateway padro diferente for aplicado para um cliente reservado, a configurao
de cliente reservada se tornar a configurao efetiva.
Tambm possvel configurar polticas de atribuio de endereo no nvel do servidor ou no nvel
do escopo. A poltica de atribuio do endereo contm um conjunto de condies que voc define
para conceder endereos IP DHCP diferentes e configuraes a tipos diferentes de clientes DHCP,
como computadores, laptops, impressoras de rede ou telefones IP. As condies definidas nessas
polticas diferenciam vrios tipos de clientes e incluem vrios critrios, como endereo MAC
ou informaes do fornecedor.
possvel criar escopos usando o MMC (Console de Gerenciamento Microsoft) para a funo de
servidor DHCP ou o comando de configurao da rede Netsh. A ferramenta de linha de comando Netsh
permitir gerenciar escopos remotamente se o servidor DHCP estiver em execuo em uma instalao
Server Core do Windows Server 2012. A ferramenta de linha de comando Netsh tambm til para script
e automatizao do provisionamento de servidor.
Nesta demonstrao, voc ver como configurar escopo e opes de escopo em DHCP.
Etapas da demonstrao
Configurar escopo e opes de escopo em DHCP
1.
2.
3.
Nome: Filial
Comprimento: 16
Excluses: 172.16.0.190-172.16.0.200
Lio 3
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrio
Dhcp.mdb
Dhcp.tmp
6-13
(continuao)
Arquivo
Descrio
J50.log e
J50#####.log
J50.chk
Observao: Voc no deve remover ou alterar nenhum dos arquivos de banco de dados
do servio DHCP.
O banco de dados do servidor DHCP dinmico. Ele atualizado quando os clientes DHCP so
atribudos, ou quando liberam os respectivos parmetros de configurao TCP/IP. Como o banco
de dados DHCP no um banco de dados distribudo como o banco de dados do servidor WINS,
a manuteno do banco de dados do servidor DHCP menos complexo.
Por padro, o backup do banco de dados DHCP e das entradas de registro relacionadas feito
automaticamente em intervalos de 60 minutos. possvel alterar esse intervalo padro alterando
o valor de BackupInterval na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Tambm possvel fazer backup manualmente de um banco de dados DHCP a qualquer momento.
6-15
Todos os escopos
Reservas
Concesses
Todas as chaves do Registro e outras definies de configurao (por exemplo, configuraes do log
de auditoria e configuraes do local da pasta) definidas nas propriedades do servidor DHCP. Essas
configuraes so armazenadas na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Para fazer backup dessa chave, abra o Editor do Registro e salve a chave especificada em um arquivo
de texto.
Observao: As credenciais para a atualizao dinmica de DNS (nome do usurio,
domnio e senha) usadas pelo servidor DHCP durante o registro de computadores clientes
DHCP no DNS no so includas no backup com qualquer mtodo.
Se voc precisar restaurar o banco de dados, use a funo Restaurar no console do servidor DHCP. Ser
exibida uma solicitao para voc informar o local do backup. Depois de selecionar o local, o servio
DHCP ser parado e o banco de dados ser restaurado. Para restaurar o banco de dados, a conta do
usurio deve ter permisses de nvel administrativo ou ser membro do grupo Administradores DHCP.
Segurana de backup
Depois que o backup do arquivo do banco de dados DHCP for feito, ele dever ser colocado em um local
protegido que somente os Administradores DHCP possam acessar. Isso garante que todas as informaes
da rede contidas nos arquivos de backup permaneam protegidas.
Uso de Netsh
Tambm possvel usar comandos no contexto Netsh DHCP Server para fazer backup do banco de
dados; isso ser til quando voc quiser fazer backup do banco de dados em um local remoto usando
um arquivo de script.
O comando a seguir um script que pode ser usado no prompt DHCP Netsh Server para fazer backup
dos dados DHCP de todos os escopos:
export "c:\My Folder\Dhcp Configuration" all
Quando estiver reconciliando escopos, as entradas resumidas e detalhadas so comparadas para localizar
as inconsistncias.
Para corrigir e reparar essas inconsistncias, necessrio reconciliar todas as inconsistncias do escopo.
Assim que voc selecionar e reconciliar as inconsistncias do escopo, o servio DHCP restaurar os
endereos IP para o proprietrio original ou criar uma reserva temporria para eles. Essas reservas so
vlidas pelo perodo de concesso atribudo ao escopo. Aps o vencimento do perodo de concesso,
os endereos sero recuperados para uso futuro.
Lio 4
6-17
O protocolo DHCP no tem nenhum mtodo interno pra autenticao de usurios. Isso significa que
se voc no tiver cuidado, as concesses de IP podero ser para dispositivos e usurios no autorizados.
O DHCP o servio principal em ambientes de rede de muitas organizaes. Se o servio DHCP no
estiver funcionando corretamente ou se houver uma situao que esteja causando problemas com
o servidor DHCP, ser importante que voc possa identificar o problema e determinar as provveis
causas para resolv-lo.
Esta lio explica como impedir que usurios no autorizados obtenham uma concesso, como gerenciar
servidores DHCP no autorizados e como configurar servidores DHCP para que um grupo especfico
possa gerenci-los.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como restringir servidores DHCP no Microsoft no autorizados de conceder endereos IP.
Habilitao do registro em log de auditoria em todos os servidores DHCP: isso pode dar uma viso
histrica da atividade, alm de permitir o rastreamento quando um usurio no autorizado obtiver
um endereo IP na rede. Certifique-se de programar o tempo em intervalos regulares para verificar
os logs de auditoria.
6-19
As estatsticas do servidor DHCP apresentam uma viso geral do uso do servidor DHCP. possvel usar
esses dados para compreender rapidamente o estado do servidor DHCP. Informaes como nmero de
ofertas, nmero de solicitaes, total de endereos em uso e total de endereos disponvel podem ajudar
a dar uma ideia sobre a integridade do servidor. Estatsticas de servidor so mantidas separadamente
para o IPv4 e o IPv6.
Descrio
ID
Data
Hora
Descrio
Endereo IP
Nome do host
Endereo MAC
00,06/22/99,22:35:10,Started,,,,
55,06/22/99,22:45:38,Authorized(servicing),,domain1.local
Problema
Descrio
Exemplo
Conflitos de
endereo
O mesmo endereo IP
oferecido a dois clientes
distintos.
Falha ao obter
um endereo
DHCP
O cliente no recebe um
endereo DHCP e recebe
um endereamento
APIPA autoatribudo.
Soluo
6-21
(continuao)
Problema
Descrio
Exemplo
Endereo obtido
de um escopo
incorreto
O banco de
dados DHCP
sofre danos ou
perda de dados
O servidor
DHCP esgotou
seu pool de
endereos IP
Os escopos de IP do
servidor DHCP se
esgotaram. Qualquer
cliente novo que
solicite um endereo
IP recusado.
Soluo
6-23
A. Datum Corporation tem um escritrio de TI e um data center em Londres, que d suporte a Londres
e a outros locais. Recentemente, a A. Datum implantou uma infraestrutura do Windows Server 2012
com clientes Windows 8.
Voc aceitou uma promoo recentemente para a equipe de suporte de servidores. Uma de suas
primeiras atribuies foi configurar o servio de infraestrutura para uma nova filial. Como parte dessa
atribuio, voc precisa configurar um servidor DHCP que fornecer endereos IP e configurao para
computadores clientes. Os servidores so configurados com endereos IP estticos e no usam DHCP.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Implementar DHCP
Configurao do laboratrio
Tempo previsto: 45 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-SVR1
24410B-LON-RTR
24410B-LON-CL1
24410B-LON-CL2
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
4.
Senha: Pa$$w0rd
Domnio: ADATUM
5.
6.
Como parte da configurao da infraestrutura para a nova filial, voc precisa configurar um
servidor DHCP que fornecer endereos IP e configurao para computadores clientes. Os servidores
so configurados com endereos IP estticos e normalmente no usam o DHCP para obter endereos IP.
Um dos computadores clientes na filial precisa acessar um aplicativo contbil na matriz. A equipe de
rede usa firewalls com base em endereos IP para restringir o acesso a esse aplicativo. A equipe de rede
solicitou que voc atribua um endereo IP esttico a esse computador cliente. Em vez de configurar um
endereo IP esttico no computador cliente manualmente, voc opta por criar uma reserva no DHCP
para o computador cliente.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
2.
3.
2.
3.
No painel de navegao DHCP, navegue at IPv4, clique com o boto direito do mouse em IPv4
e clique em Novo escopo.
4.
5.
Nome: Filial
Comprimento: 16
Excluses: 172.16.0.190-172.16.0.200
Ative o escopo.
2.
6-25
3.
Abra a janela Prompt de Comando e inicie o processo DHCP usando o comando ipconfig /renew.
4.
Para testar a configurao, verifique se LON-CL1 recebeu um endereo IP do escopo DHCP digitando
ipconfig /all na janela Prompt de Comando.
Esse comando retornar informaes como endereo IP, Mscara de Sub-rede e status do DHCP
habilitado, que deveria ser Sim.
Na janela Prompt de Comando, digite ipconfig/all para exibir o endereo fsico do adaptador
de rede.
2.
3.
4.
No console DHCP, no painel de navegao, navegue at Filial, clique com o boto direito do mouse
em Reservas e clique em Nova Reserva.
5.
Crie uma nova reserva para LON-CL1 usando o endereo fsico do adaptador de rede LON-CL1
e o endereo IP 172.16.0.155.
6.
Resultados: Depois de concluir esse exerccio, voc ter implementado o DHCP, configurado o escopo
e as opes DHCP, alm de uma reserva DHCP.
2.
3.
Para evitar a configurao de um servidor DHCP adicional na sub-rede, o gerente solicitou a configurao
de um agente de retransmisso DHCP para outra sub-rede na filial.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
No painel de navegao, expanda IPv4, clique com o boto direito do mouse em Geral e clique
em Novo protocolo de roteamento.
2.
3.
Observao: Para testar como um cliente recebe um endereo IP do agente de retransmisso DHCP
em outra sub-rede, precisamos criar outro escopo DHCP.
1.
2.
6-27
3.
No DHCP, no painel de navegao, expanda lon-svr1.adatum.com, IPv4, clique com o boto direito
do mouse em IPv4 e clique em Novo escopo.
4.
Nome: Filial 2
Comprimento: 16
Excluses: 10.10.0.190-10.10.0.200
5.
Ative o escopo.
6.
7.
8.
9.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e clique
em Reverter.
3.
4.
Determine quais dispositivos precisam de reservas DHCP, como impressoras de rede, scanners
de rede ou cmeras baseadas em IP.
Perguntas de reviso
Pergunta: Voc tem duas sub-redes em sua organizao e deseja usar o DHCP para alocar
endereos a computadores cliente em ambas as sub-redes. Voc no deseja implantar dois
servidores DHCP. Quais fatores devem ser considerados?
Pergunta: A organizao cresceu e o escopo IPv4 chegou perto de esgotar os endereos.
O que fazer?
Pergunta: Quais informaes so necessrias para configurar uma reserva DHCP?
Pergunta: possvel configurar a opo 003 - Roteador como uma opo de escopo DHCP
no nvel de servidor?
Ferramentas
Ferramenta
Use para
Onde encontrar
DHCP
Gerenciador do Servidor
PowerShell
Barra de tarefas do
Windows na rea de
Trabalho
Ipconfig.exe
Linha de comando
Netsh.exe
Linha de comando
Regedit.exe
Interface do Windows
ou linha de comando
Mdulo 7
Implementao do Sistema de Nomes de Domnio
Contedo:
Viso geral do mdulo
7-1
7-2
7-12
7-19
7-23
7-28
Resoluo de nomes o processo de traduo por software de nomes que os usurios possam ler e
compreender, alm de endereos IP numricos, necessrios comunicao TCP/IP. Por isso, resoluo
de nomes um dos conceitos mais importantes de toda a infraestrutura de rede. Voc pode ver o DNS
como sendo a lista telefnica da Internet para computadores. Computadores clientes usam o processo
de resoluo de nomes ao localizar hosts na Internet e ao localizar outros hosts e servios em uma rede
interna. DNS uma das tecnologias mais comuns para resoluo de nomes. AD DS (Servios de Domnio
do Active Directory) depende muito do DNS, assim como o trfego da Internet. Este mdulo aborda
alguns conceitos bsicos da resoluo de nomes, alm da instalao e da configurao de um servio
Servidor DNS e seus componentes.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
7-2
possvel configurar um computador para se comunicar por uma rede usando um nome no lugar de
um endereo IP. O computador acaba usando a resoluo de nomes para localizar um endereo IP que
corresponda a um nome, como um nome de host. Esta lio se concentra nos tipos diferentes de nomes
de computador, nos mtodos usados para resolv-los e em como solucionar problemas relacionados
resoluo de nomes.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o DNS.
Tipo de nome
O tipo de nome (nome de host ou nome NetBIOS) usado por um aplicativo determinado pelo
desenvolvedor de aplicativo. Se o desenvolvedor criar um aplicativo para solicitar servios de rede
por meio de soquetes Windows, nomes de host sero usados. Se, por outro lado, o desenvolvedor
criar um aplicativo para solicitar servios por meio de NetBIOS, um nome NetBIOS ser usado.
A maioria dos aplicativos atuais, inclusive aplicativos de Internet, usam o soquetes Windows e, assim,
nomes de host, para acessar servios de rede. NetBIOS usado por muitos aplicativos anteriores
do sistema operacional Windows.
Verses anteriores de sistemas operacionais Windows, como Microsoft Windows 98 e
Windows Millennium Edition, exigem o NetBIOS para dar suporte a recursos de rede, como o
compartilhamento de arquivos. Porm, a partir do Microsoft Windows 2000, todos os sistemas
operacionais do suporte ao NetBIOS para que haja compatibilidade com verses anteriores
do Windows, mas eles mesmos no precisam do NetBIOS.
Observao: possvel usar aplicativos de soquetes Windows para especificar o
host de destino por endereo IP ou nome de host. Os aplicativos NetBIOS exigem o uso
de um nome NetBIOS.
Nomes de host
Um nome de host um nome amigvel que associado ao endereo IP de um computador para
identific-lo como um host TCP/IP. O nome de host pode ter at 255 caracteres e conter caracteres
alfabticos e numricos, pontos e hfens.
possvel usar nomes de host de diversas formas. As duas formas mais comuns so como um alias
e como um nome de domnio totalmente qualificado (FQDN). Um alias um nome nico associado
a um endereo IP, como payroll. possvel integrar um alias a um nome de domnio para criar um
FQDN. Um FQDN estruturado para uso na Internet e inclui pontos como separadores. Um exemplo
de FQDN payroll.contoso.com.
Nomes NetBIOS
7-3
O que DNS?
DNS um servio que resolve FQDNs e
outros nomes de host para endereos IP.
Todos os sistemas operacionais Windows Server
incluem um servio Servidor DNS.
7-4
O DNS usa um banco de dados (armazenado em um arquivo ou no AD DS) de nomes e endereos IP para
fornecer esse servio. O software cliente DNS executa consultas e atualizaes no banco de dados DNS.
Por exemplo, dentro de uma organizao, um usurio que est tentando para localizar um servidor de
impresso pode usar o nome DNS printserver.contoso.com, e o software cliente DNS resolver o nome
para o endereo IP de uma impressora, como 172.16.23.55. Mesmo que o endereo IP da impressora
mude, o nome amigvel pode permanecer o mesmo.
Originalmente, havia apenas um arquivo na Internet com uma lista de todos os nomes de
domnio e os respectivos endereos IP. Rapidamente, essa lista se tornou extensa demais para ser
gerenciada e distribuda. O DNS foi desenvolvido para solucionar os problemas associados ao uso
de um nico arquivo de Internet. Com a adoo do IPv6, o DNS se tornou ainda mais importante,
porque os endereos IPv6 so ainda mais complexos que os endereos IPv4
(por exemplo, 2001:db8:4136:e38c:384f:3764:b59c:3d97).
O DNS agrupa informaes sobre recursos de rede em uma estrutura hierrquica de domnios. A estrutura
hierrquica de domnios uma estrutura de rvore invertida que comea com um domnio raiz no pice e
desce at ramificaes separadas com nveis comuns de domnios pai, descendo at chegar aos domnios
filho individuais. A representao de toda a estrutura de domnio hierrquica conhecida como um
namespace DNS.
A Internet usa um nico namespace DNS com vrios servidores raiz. Para participar do namespace DNS
da Internet, um nome de domnio deve ser registrado com um registrador DNS. Isso garante que duas
organizaes no tentem usar o mesmo nome de domnio.
Se hosts localizados na Internet no precisarem resolver nomes no domnio, ser possvel hospedar um
domnio internamente, sem registr-lo. Porm, voc ainda deve garantir que o nome de domnio seja
exclusivo de nomes de domnios da Internet, ou a conectividade com recursos de Internet pode ser
afetada. Uma maneira comum de assegurar a exclusividade criar um domnio interno no domnio .local.
O domnio .local reservado para uso interno de maneira muito semelhante reserva de endereos IP
particulares para uso interno.
Alm de resolver nomes de host para endereos IP, o DNS pode ser usado para:
Localizar controladores de domnio e servidores de catlogo global. Isso usado durante o logon
no AD DS.
Resolver endereos IP para nomes de host. Isso til quando um arquivo de log contm apenas
o endereo IP de um host.
Localizar um servidor de email para entrega de email. Isso usado para a entrega de todo o email
da Internet.
7-5
As zonas de pesquisa direta resolvem nomes de host para endereos IP e hospedam registros de recurso
comuns, inclusive host (A), alias (CNAME), servio (SRV), servidor de mensagens (MX), incio de autoridade
(SOA), e registros de recurso de servidor de nomes (NS). O tipo de registro mais comum o registro
de recurso de host (A).
As zonas de pesquisa inversa resolvem endereos IP para nomes de domnio. Uma zona inversa funciona
da mesma maneira que uma zona direta, mas o endereo IP faz parte da consulta e o nome do host a
informao retornada. As zonas de pesquisa inversa hospedam registros de recurso SOA, NS e ponteiro
(PTR). Nem sempre as zonas inversas so configuradas, mas voc deve configur-las para reduzir as
mensagens de aviso e de erro.
Vrios protocolos padro de Internet dependem dos dados de pesquisa das zonas inversas para validar
as informaes das zonas diretas. Por exemplo, se a pesquisa direta indicar que training.contoso.com
est resolvido para 192.168.2.45, ser possvel usar uma pesquisa inversa para confirmar se 192.168.2.45
est associado a training.contoso.com.
Observao: No Windows Server 2008 R2 e no Windows Server 2012, tambm possvel
usar a tecnologia DNSSec para realizar um tipo de verificao semelhante.
7-6
Muitos servidores de email usam uma pesquisa inversa como uma maneira de reduzir o spam. Realizando
uma pesquisa inversa, os servidores de email tentam detectar servidores SMTP (Simple Mail Transfer
Protocol) abertos (retransmisses abertas).
Ser importante ter uma zona inversa, se voc tiver aplicativos que precisem procurar hosts pelos
respectivos endereos IP. Vrios aplicativos registram essas informaes em logs de segurana ou de
evento. Se vir uma atividade suspeita em um determinado endereo IP, voc poder pesquisar o nome
de host usando as informaes de zona inversa.
Registros de recurso
O arquivo de zona DNS armazena registros de recurso. Os registros de recurso especificam um tipo
de recurso e o endereo IP para localizar o recurso. O registro de recurso mais comum o registro
de recurso de host (A). Esse um registro simples que resolve um nome de host para um endereo IP.
O host pode ser uma estao de trabalho, um servidor ou outro dispositivo de rede, como um roteador.
Os registros de recurso tambm ajudam a localizar recursos para um domnio especfico.
Por exemplo, ao precisar localizar o servidor responsvel por entregar o email para outro domnio, um
Microsoft Exchange Server solicita o registro de recurso do servidor de mensagens (MX) desse domnio.
Esse registro aponta para o registro de recurso de host (A) do host que est executando o servio de
email SMTP.
Os registros de recurso tambm podem conter atributos personalizados. Por exemplo, os registros MX
tm um atributo de preferncia, que ser til se uma organizao tiver vrios servidores de email.
O registro MX informa ao servidor de envio o servidor de email preferido pela organizao de destino.
Os registros SRV tambm contm informaes sobre a porta que est sendo escutada pelo servio
e sobre o protocolo que voc deve usar para se comunicar com o servio.
Uma estao de trabalho consulta o servidor DNS local para obter o endereo IP www.microsoft.com.
2.
Se no tiver as informaes, o servidor DNS local consultar um servidor DNS raiz para obter o local
dos servidores DNS .com.
3.
O servidor DNS local consulta um servidor DNS .com para obter a localizao dos servidores DNS
microsoft.com.
4.
O servidor DNS local consulta o servidor DNS microsoft.com para obter o endereo IP
de www.microsoft.com.
5.
7-7
Cache. Depois que resolve um nome DNS, um servidor DNS local armazena os resultados em cache
por aproximadamente 24 horas. Solicitaes de resoluo subsequentes do nome DNS recebem
as informaes armazenadas em cache.
Encaminhamento. Em vez de consultar servidores raiz, possvel configurar um servidor DNS para
encaminhar solicitaes DNS a outro servidor DNS. Por exemplo, solicitaes de todos os nomes
da Internet podem ser encaminhadas para um servidor DNS em um ISP (provedor de servios
de Internet).
Por exemplo, convm configurar uma rede temporria para fins de teste sem uma infraestrutura
de servidor.
A LLMNR tem suporte no Windows Vista, no Windows Server 2008 e em todos os sistemas operacionais
Windows mais novos. Ela usa um sistema simples de mensagens de solicitao e resposta a fim de resolver
nomes de computador para endereos IPv6 ou IPv4. Para um n responder a uma solicitao LLMNR,
a descoberta de rede deve ser habilitada, mas a descoberta de rede no necessria para fazer uma
solicitao para resoluo de nomes.
Para usar a LLMNR, voc precisa ativar o recurso Descoberta de Rede para todos os ns na sub-rede local.
Esse recurso est disponvel na Central de Rede e Compartilhamento. Lembre-se de que a descoberta
de rede costuma estar desabilitada para qualquer rede designada como pblica.
Se voc quiser controlar o uso da LLMNR na rede, ser possvel configur-la via Poltica de Grupo.
Para desabilitar a LLMNR via Poltica de Grupo, defina o seguinte valor da Poltica de Grupo:
Poltica de Grupo = Configurao do Computador\Modelos Administrativos\Rede\Cliente DNS\
Desativar Inicializao por Multicast.
Defina esse valor como Habilitado caso voc no queira usar a LLMNR ou como Desabilitado caso
queira us-la.
DNS
Conforme abordado anteriormente, DNS o
padro Microsoft para resolver nomes de host
para endereos IP. Para obter mais informaes
sobre DNS, consulte o segundo tpico desta
Lio, O que DNS.
WINS
O WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes
NetBIOS de uma rede. Os sistemas operacionais Windows continuam tendo suporte a WINS para
fornecer compatibilidade com verses anteriores.
Voc pode resolver nomes NetBIOS usando:
7-8
7-9
1.
2.
3.
4.
Convertendo o nome do host em um nome NetBIOS e verificando o cache do nome NetBIOS local.
5.
6.
7.
Observao: possvel controlar a ordem usada para resolver nomes. Por exemplo, se voc
desabilitar NetBIOS sobre TCP/IP, nenhum dos mtodos de resoluo de nome NetBIOS ser
tentado. Como alternativa, possvel modificar o tipo de n NetBIOS, que altera a ordem na
qual os mtodos de resoluo de nome NetBIOS so tentados.
Ferramentas e comandos
As ferramentas de linha de comando e os comandos usados por voc para solucionar esses e outros
problemas de configurao so os seguintes:
Nslookup: Use essa ferramenta para consultar informaes do DNS. A ferramenta flexvel
e pode fornecer muitas informaes sobre o status do servidor DNS. Tambm possvel us-la
para pesquisar registros de recurso e validar as respectivas configuraes. Alm disso, tambm
possvel testar transferncias de zona, opes de segurana e resoluo de registro MX.
DNSCmd: use esta ferramenta de linha de comando para gerenciar a funo de servidor DNS.
Essa ferramenta ajuda a criar scripts de arquivos em lote para ajudar a automatizar tarefas
de gerenciamento do DNS de rotina ou realizar uma instalao autnoma simples e uma
configurao de novos servidores DNS na rede.
Dnslint: use esta ferramenta para diagnosticar problemas comuns do DNS. Essa ferramenta
diagnostica problemas de configurao ocorridos no DNS rapidamente e pode gerar uma
relatrio em HTML sobre o status do domnio que voc est testando.
Ipconfig: use este comando para exibir e modificar detalhes da configurao de IP usada pelo
computador. Essa ferramenta inclui outras opes de linha de comando que possvel usar para
solucionar problemas e dar suporte aos clientes DNS. possvel exibir o cache DNS local do cliente
usando o comando ipconfig/displaydns e limp-lo usando ipconfig/flushdns. Se voc quiser
registrar novamente um host no DNS, ser possvel usar ipconfig /registerdns.
Monitoramento em um servidor DNS: para testar se o servidor pode se comunicar com servidores
upstream, possvel realizar consultas locais simples e recursivas na guia Monitoramento. Tambm
possvel programar esses testes para intervalos regulares. A guia Monitoramento do servidor DNS
s est disponvel no Windows Server 2008 e no Windows Server 2012 dentro da caixa de dilogo
Propriedades do Nome do Servidor DNS. O cmdlet TestDNSServer tambm pode ser usado
para verificar a funcionalidade do servidor DNS.
No Windows Server 2012, existe um novo conjunto de cmdlets Windows PowerShell que possvel
usar no gerenciamento do cliente e do servidor DNS. Alguns dos cmdlets mais usados so os seguintes:
Resolve-DNSName. Este cmdlet realiza uma resoluo de nomes DNS para um nome especfico,
semelhante a Nslookup.
Esses cmdlets tambm permitem usar vrias opes, o que proporciona opes e funcionalidades
adicionais.
7-11
Ao solucionar problemas da resoluo de nomes, voc deve compreender quais mtodos de resoluo
do nome o computador est usando e em que ordem. Lembre-se de limpar o cache do Resolvedor de
DNS entre as tentativas de resoluo. Se no for possvel se conectar a um host remoto e voc suspeitar
de um problema na resoluo de nomes, ser possvel solucionar o problema da seguinte maneira:
1.
Abra um prompt de comando com privilgios elevados e limpe o cache do resolvedor de DNS
digitando ipconfig /flushdns. Tambm possvel pode abrir o Windows PowerShell e usar
o cmdlet equivalente Clear-DNSClientCache.
2.
Tente executar ping no host remoto pelo prprio endereo IP. Isso ajuda a identificar se o problema
est relacionado resoluo de nomes. Se o ping for bem-sucedido com o endereo IP, mas houver
falha pelo nome de host, ento o problema estar relacionado resoluo de nomes.
3.
Tente executar ping no host remoto pelo prprio nome do host. Para maior preciso, use o FQDN
com um ponto direita. Por exemplo, se estivesse trabalhando na Contoso, Ltd, voc digitaria
o seguinte comando no prompt de comando: Ping LON-dc1.contoso.com.
4.
LON-dc1.contoso.com
5.
Execute o teste Ping-by-host-name mais uma vez. Agora a resoluo de nomes deve ser
bem-sucedida. Verifique se o nome foi resolvido corretamente examinando o cache do resolvedor
de DNS. Para exibir o cache do resolvedor de DNS, em um prompt de comando, digite IPConfig
/displaydns, ou use o cmdlet Windows PowerShell equivalente.
6.
Remova a entrada que voc adicionou ao arquivo de hosts e limpe o cache do resolvedor mais
uma vez.
7.
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever encaminhamento.
Servidor DNS
Um servidor DNS responde a consultas DNS
recursivas e iterativas. Os servidores DNS tambm
podem hospedar uma ou mais zonas de um
domnio especfico. As zonas contm diferentes
registros de recursos. Os servidores DNS tambm
podem armazenar as pesquisas em cache para
reservar tempo para as consultas comuns.
Resolvedor de DNS
O resolvedor de DNS gera e envia consultas iterativas ou recursivas ao servidor DNS. Um resolvedor
de DNS pode ser qualquer computador que execute uma pesquisa de DNS que exija interao com
o servidor DNS. Os servidores DNS tambm podem emitir consultas DNS para outros servidores DNS.
7-13
Ao se comunicar com um servidor de dica de raiz, um servidor DNS usa somente uma consulta iterativa.
Se voc marcar a opo No usar recurso neste domnio (na caixa de dilogo DNS Propriedades
do Servidor), o servidor no poder realizar consultas nas dicas de raiz. Se voc configurar o servidor
que usa um encaminhador, ele tentar enviar uma consulta recursiva ao respectivo servidor de
encaminhamento; se o servidor de encaminhamento no responder essa consulta, o primeiro servidor
responder que no foi possvel localizar o host.
Autoritativa. Uma resposta autoritativa aquela na qual o servidor retorna uma resposta que ele sabe
estar correta, porque a solicitao direcionada ao servidor autoritativo que gerencia o domnio.
Um servidor DNS autoritativo ao hospedar uma cpia primria ou secundria de uma zona DNS.
No autoritativa. Uma resposta no autoritativa aquela na qual o servidor DNS que contm o
domnio solicitado no respectivo cache responde a uma consulta usando encaminhadores ou dicas
de raiz. Como a resposta fornecida pode no ser exata (porque somente o servidor DNS autoritativo
no domnio especificado pode emitir essas informaes), ela chamada de resposta no autoritativa.
Se for autoritativo para o namespace da consulta, o servidor DNS ir verificar a zona e fazer uma
das coisas a seguir:
Observao: Uma resposta autoritativa s pode ser dada pelo servidor com autoridade
direta para o nome consultado.
Se for no autoritativo para o namespace da consulta, o servidor DNS local far uma das coisas a seguir:
Usa endereos bem conhecidos de vrios servidores raiz para encontrar um servidor DNS autoritativo
que resolva a consulta. Esse processo usa dicas de raiz.
Consultas recursivas
Em uma consulta recursiva, o solicitante pede para o servidor DNS obter um endereo IP completamente
resolvido do recurso solicitado, antes de retornar a resposta ao solicitante. O servidor DNS pode precisar
executar vrias consultas a outros servidores DNS antes de localizar a resposta. As consultas recursivas
costumam ser feitas por um cliente DNS a um servidor DNS, ou por um servidor DNS configurado para
passar consultas no resolvidas a outro servidor DNS, no caso de um servidor DNS configurado para usar
um encaminhador.
Uma consulta recursiva tem dois resultados possveis:
Por motivos de segurana, s vezes necessrio desabilitar consultas recursivas em um servidor DNS.
Assim, o servidor DNS em questo no tentar encaminhar suas solicitaes DNS para outro servidor.
Isso til quando voc no deseja que um determinado servidor DNS se comunique fora da prpria
rede local.
Consultas iterativas
7-15
O que o encaminhamento?
Um encaminhador um servidor DNS de rede
que encaminha consultas de nomes externos
para servidores DNS fora da respectiva rede.
Tambm possvel criar e usar encaminhadores
condicionais para encaminhar consultas de
acordo com nomes de domnio especficos.
Assim que voc designa um servidor DNS
de rede como um encaminhador, outros
servidores DNS na rede encaminham as
consulta que no conseguem resolver localmente
para esse servidor. Usando um encaminhador,
possvel gerenciar a resoluo de nomes fora da
rede, como nomes na Internet. Isso melhora a eficincia da resoluo de nomes pelos computadores
da rede.
O encaminhador deve ser capaz de se comunicar com o servidor DNS localizado na Internet. Isso significa
que voc o configura para encaminhar solicitaes a outro servidor DNS ou para usar dicas de raiz para
se comunicar.
Prtica recomendada: Use um servidor DNS de encaminhamento central na resoluo
de nomes da Internet. Isso pode aumentar a segurana porque possvel isolar o servidor DNS
de encaminhamento em uma rede de permetro, o que garante que nenhum servidor dentro
da rede se comunique diretamente com a Internet.
Encaminhador condicional
Um encaminhador condicional um servidor DNS em uma rede que encaminha consultas DNS de acordo
com o nome de domnio DNS da consulta. Por exemplo, possvel configurar um servidor DNS para
encaminhar todas as consultas por ele recebidas sobre nomes que terminam com corp.contoso.com
para o endereo IP de um servidor DNS especfico ou para os endereos IP de vrios servidores DNS.
Isso pode ser til quando voc tem vrios namespaces DNS em uma floresta.
No Windows Server 2008 R2 e no Windows Server 2012, a configurao de encaminhador condicional foi
migrada para um n no console do DNS. possvel replicar essas informaes para outros servidores DNS
por meio do DNS integrado ao Active Directory.
Prtica recomendada: Use encaminhadores condicionais, se existirem vrios namespaces
internos. Isso agiliza a resoluo de nomes.
7-17
Quando voc instala a funo de servidor DNS, o snap-in Gerenciador DNS fica disponvel para adio
aos consoles administrativos. O snap-in adicionado automaticamente ao console Gerenciador do
Servidor e ao console Gerenciador DNS. possvel executar o Gerenciador DNS na caixa Iniciar digitando
dnsmgmt.msc.
Quando voc instala a funo de servidor DNS, a ferramenta de linha de comando dnscmd.exe tambm
adicionada. possvel usar a ferramenta DNSCmd para criar o script e automatizar a configurao
do DNS. Para ajudar nessa ferramenta, no prompt de comando, digite: dnscmd.exe /?.
No Windows Server 2012, tambm possvel usar o Windows PowerShell para gerenciar um servidor
DNS. recomendado que voc use cmdlets Windows PowerShell no gerenciamento baseado em linha
de comando do servidor DNS. Alm disso, possvel usar as ferramentas de linha de comando Nslookup,
DNSCmd, Dnslint,e Ipconfig no ambiente do Windows PowerShell.
Para administrar um servidor DNS remoto, adicione as Ferramentas de Administrao de Servidor Remoto
estao de trabalho administrativa, que deve estar executando um Windows Vista Service Pack 1 (SP1)
ou um sistema operacional Windows mais novo.
Configurar encaminhamento
Etapas da demonstrao
Instalar um segundo servidor DNS
1.
2.
3.
4.
Configurar encaminhamento
Lio 3
7-19
O servidor DNS hospeda dados da zona em um banco de dados do Active Directory ou no arquivo
da zona. Alm disso, o servidor DNS pode hospedar vrios tipos de zonas. Nessa lio, voc conhecer
tipos de zona DNS e zonas DNS integradas ao Active Directory.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Primria
Secundria
Stub
Zona primria
Zona secundria
Quando uma zona secundria uma zona na qual o servidor DNS o host, mas uma fonte secundria
de informaes da zona. As informaes sobre a zona nesse servidor devem ser obtidas em outro servidor
DNS remoto que tambm a hospeda. O servidor DNS deve ter acesso via rede ao servidor DNS remoto
para receber informaes atualizadas da zona. Como uma cpia de uma zona primria hospedada em
outro servidor, uma zona secundria no pode ser armazenada no AD DS. As zonas secundrias podero
ser teis se voc estiver replicando dados de zonas DNS no Windows.
Zona de stub
Uma zona de stub a cpia replicada de uma zona que contm apenas esses registros de recurso
necessrios para identificar os servidores DNS autoritativos dessa zona. A zona de stub resolve nomes
entre namespaces DNS distintos, que podem ser necessrios quando uma fuso corporativa exige que os
servidores DNS de dois namespaces DNS distintos resolvam nomes de clientes em ambos os namespaces.
Uma zona de stub apresenta:
O endereo IP de um ou mais servidores principais que podem ser usados para atualizar a zona
de stub.
Os servidores mestres para uma zona de stub so um ou mais servidores DNS autoritativos para a zona
filho. Esse costuma ser o servidor DNS que hospeda a zona primria para o nome de domnio delegado.
Se o AD DS armazenar os dados da zona, o DNS poder usar o modelo de replicao de vrios mestres
para replicar os dados da zona primria. Isso permite editar dados da zona em mais de um servidor DNS
simultaneamente.
7-21
1.
O cliente identifica um servidor de nomes e envia uma atualizao. Se o servidor de nomes hospedar
apenas uma zona secundria, o servidor de nomes recusar a atualizao do cliente. Se a zona no
for uma zona integrada ao Active Directory, o cliente poder precisar fazer isso vrias vezes.
2.
Se a zona der suporte a atualizaes dinmicas, o cliente acabar alcanando um servidor DNS
capaz de gravar na zona. Esse servidor DNS o servidor primrio para uma zona baseada em
arquivo padro ou qualquer controlador de domnio que seja um servidor de nomes para uma
zona integrada ao Active Directory.
3.
Se a zona for configurada para atualizaes dinmicas seguras, o servidor DNS recusar a alterao.
Assim, o cliente autentica e reenvia a atualizao.
Em algumas configuraes, voc talvez no queira que os clientes atualizem os respectivos registros,
mesmo em uma zona de atualizao dinmica. Nesse caso, possvel configurar o servidor DHCP
para confirmar os registros em nome dos clientes. Por padro, um cliente confirma o que um
registro (host/endereo), e o servidor DHCP define o registro PTR (ponteiro/pesquisa inversa).
Por padro, os sistemas operacionais Windows tentam confirmar os respectivos registros com o respectivo
servidor DNS. possvel modificar esse comportamento na configurao do IP cliente ou por meio da
Poltica de Grupo. Os controladores de domnio tambm confirmam os respectivos registros SRV no DNS,
alm dos registros de host. Os registros SRV so confirmados sempre que o servio NETLOGON iniciado.
Replicao de dados da zona DNS usando a replicao do AD DS. Uma das caractersticas da
replicao do Active Directory a replicao no nvel do atributo em que apenas atributos
alterados so replicados. Uma zona integrada ao Active Directory pode aproveitar esses benefcios
da replicao do Active Directory, em vez de replicar todo o arquivo de zona assim como acontece
em modelos de transferncia de zona DNS tradicionais.
Atualizaes dinmicas seguras. Uma zona integrada ao Active Directory pode impor atualizaes
dinmicas seguras.
Segurana granular. Assim como acontece com outros objetos do Active Directory, uma zona
integrada ao Active Directory permite delegar a administrao de zonas, domnios e registros
de recurso modificando a ACL (lista de controle de acesso) na zona.
Pergunta: Voc consegue pensar em alguma desvantagem em relao ao armazenamento
de informaes de DNS no AD DS?
Criar um registro
Etapas da demonstrao
Promover LON-SVR1 como um controlador de domnio adicional
1.
2.
3.
2.
3.
4.
5.
6.
Criar um registro
Crie um registro Novo Host na zona Contoso.com chamada de www e aponte-o para 172.16.0.100.
7-23
A. Datum Corporation tem um escritrio de TI e um data center em Londres, que d suporte a Londres
e a outros locais. Recentemente, a A. Datum implantou uma infraestrutura do Windows Server 2012
com clientes Windows 8. Voc precisa configurar o servio de infraestrutura para uma nova filial.
O gerenciador solicitou a voc a configurao do controlador de domnio na filial como um servidor DNS.
Voc tambm foi solicitado a criar alguns registros de host novos para dar suporte a um novo aplicativo
instalado. Por fim, voc precisa configurar o encaminhamento no servidor DNS na filial para dar suporte
resoluo de nomes da Internet.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 40 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-SVR1
24410B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: ADATUM
Como parte da configurao da infraestrutura para a nova filial, voc precisa configurar um servidor DNS
que fornecer a resoluo de nomes para a filial. O servidor DNS na filial tambm ser um controlador
de domnio. As zonas integradas ao Active Directory obrigatrias para dar suporte aos logons sero
replicadas automaticamente para a filial.
As principais tarefas deste exerccio so:
1.
Configurar LON-SVR1 como um controlador de domnio sem instalar a funo de servidor DNS
2.
3.
Revisar configuraes de servio no servidor DNS existente para confirmar dicas de raiz
4.
5.
6.
7.
8.
Use Adicionar Funes e Recursos no Gerenciador do Servidor para adicionar a funo Servios
de Domnio Active Directory a LON-SVR1.
2.
3.
4.
2.
b.
c.
2.
7-25
2.
2.
3.
4.
2.
3.
Em LON-SVR1, em uma janela do prompt de comando, inicie a ferramenta nslookup e tente resolver
www.nwraders.msft. Voc deve obter uma resposta e um endereo IP.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o DNS em LON-SVR1.
2.
3.
4.
2.
3.
4.
Tarefa 2: Criar vrios registros de host no domnio Adatum.com para aplicativos Web
1.
2.
3.
4.
2.
3.
Verifique se os registros www e ftp so exibidos. (Convm atualizar a zona Adatum.com e aguardar
alguns minutos para que esses registros sejam exibidos em LON-SVR1.)
2.
Execute ping em www.adatum.com. Verifique se ping resolve esse nome para 172.16.0.100.
3.
Execute ping em ftp.adatum.com. Verifique se ping resolve esse nome para 172.16.0.200.
Resultados: Depois de concluir este exerccio, voc ter configurado registros DNS.
2.
3.
4.
7-27
2.
2.
3.
4.
5.
Observe que voc continuar tendo esse registro resolvido com o IP anterior.
2.
3.
4.
2.
3.
Limpe o cache de resolvedor cliente em LON-CL1 digitando ipconfig /flushdns em uma janela
Prompt de Comando.
4.
Resultados: Depois de concluir este exerccio, voc ter examinado o cache do servidor DNS.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e clique
em Reverter.
3.
4.
Ferramentas
Nome da ferramenta
Usado para
Onde encontrar
Ferramentas Administrativas
Nslookup
Ipconfig
Cmdlets do
Windows PowerShell
Windows PowerShell
Prtica recomendada
Ao implementar o DNS, use as seguintes prticas recomendadas:
Mdulo 8
Implementao do IPv6
Contedo:
Viso geral do mdulo
8-1
8-2
8-8
8-15
8-20
8-26
8-31
IPv6 uma tecnologia que ajuda a Internet a dar suporte a uma base crescente e a um nmero cada vez
maior de dispositivos habilitados para IP. IPv4 foi o protocolo de Internet subjacente durante quase trinta
anos. A robustez, a escalabilidade e o conjunto de recurso limitado agora so desafiados pela necessidade
crescente de novos endereos IP. Isso se deve em grande parte ao crescimento rpido de novos
dispositivos com reconhecimento de rede.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Implementao do IPv6
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Benefcios do IPv6
O suporte do IPv6 est includo no
Windows Server 2012 e no Windows 8. A lista
de benefcios a seguir descreve por que o IPv6
est sendo implementado.
8-2
O espao de endereo IPv6 pblico alocado de maneira mais eficiente do que para o IPv4. Nem todos
os endereos IPv4 so alocados em blocos geogrficos, mas endereos pblicos IPv6 so. Isso significa
que, muito embora haja muito mais endereos, os roteadores da Internet podem processar dados de
maneira muito mais eficiente por conta da otimizao de endereo.
8-3
Os padres do IPv6 exigem suporte para o AH (Cabealho de Autenticao) e os cabealhos ESP (carga
til de segurana de encapsulamento) definidos pelo IPsec (segurana do protocolo de Internet). Embora
o suporte aos mtodos de autenticao do IPsec e os algoritmos criptogrficos no sejam especificados,
o IPsec foi definido desde o comeo como uma maneira de proteger os pacotes IPv6. Isso assegura a
disponibilidade do IPsec em todos os hosts IPv6. O suporte a IPsec no era obrigatrio para hosts IPv4,
mas costumava ser implementado.
Um pacote IPv6 contm um campo QoS (Qualidade de Servio) que especifica a velocidade com
que o pacote deve ser processado. Isso permite que o trfego de pacote IPv6 receba uma prioridade.
Por exemplo, quando voc estiver fazendo o streaming do trfego de vdeo, essencial que os pacotes
cheguem em tempo hbil. possvel definir o campo QoS para garantir que os dispositivos de rede
reconheam que a entrega do pacote tenha deteco de hora. O suporte para QoS era opcional
para hosts IPv4.
Todos os hosts IPv6 so configurados automaticamente com um endereo local de link que permite
ao host se comunicar na sub-rede local. Porm, assim como o APIPA (Automatic Private IP Addressing),
implementado como uma opo em ambientes IPv4, os computadores no so configurados
automaticamente com um gateway padro ou um servidor DNS (Sistema de Nomes de Domnio).
Extensibilidade
O IPv6 foi criado para que os desenvolvedores pudessem estend-lo com muito menos restries do
que o IPv4. Como um administrador de rede, voc no estender o IPv6, mas aplicativos comprados
podem usufruir isso para aprimorar a funcionalidade do IPv6.
Implementao do IPv6
IPv6
8-4
8-5
Isso pode parecer complexo para os usurios finais, mas a suposio de que os usurios dependam
de nomes DNS para resolver hosts e raramente digitem endereos IPv6 manualmente. O endereo IPv6
em hexadecimal tambm mais fcil de converter entre binrio e hexadecimal do que entre binrio
e decimal. Isso simplifica o trabalho com sub-redes e o clculo de hosts e redes.
Para calcular o valor hexadecimal para essa seo de quatro bits, adicione o valor de cada bit definido
como 1. No exemplo de 0010, o nico bit definido como 1 o bit atribudo ao valor 2. O resto definido
como zero. Por isso, o valor hexadecimal dessa seo de quatro bits 2.
Implementao do IPv6
0010
1111
8421
8421
0+0+2+0=2
8+4+2+1=15 ou hexadecimal F
8-6
O exemplo a seguir um endereo IPv6 nico na forma binria. Observe que a representao binria do
endereo IP bastante longa. As duas linhas seguintes de nmeros binrios representam um endereo IP:
0010000000000001000011011011100000000000000000000010111100111011
0000001010101010000000001111111111111110001010001001110001011010
O endereo de 128 bits agora dividido em limites de 16 bits (oito blocos de 16 bits):
0010000000000001 0000110110111000 0000000000000000 0010111100111011
0000001010101010 0000000011111111 1111111000101000 1001110001011010
Cada bloco dividido em sees de quatro bits. A seguinte tabela mostra os valores binrio
e hexadecimal correspondentes para cada seo de quatro bits:
Binrio
Hexadecimal
[0010][0000][0000][0001]
[2][0][0][1]
[0000][1101][1011][1000]
[0][D][B][8]
[0000][0000][0000][0000]
[0][0][0][0]
[0010][1111][0011][1011]
[2][F][3][B]
[0000][0010][1010][1010]
[0][2][A][A]
[0000][0000][1111][1111]
[0][0][F][F]
[1111][1110][0010][1000]
[F][E][2][8]
[1001][1100][0101][1010]
[9][C][5][A]
Cada bloco de 16 bits expressado como quatro caracteres hexadecimais e delimitado por dois-pontos.
O resultado o seguinte:
2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A
Voc pode simplificar ainda mais a representao do IPv6 removendo os zeros esquerda em cada
bloco de 16 bits. No entanto, cada bloco deve ter pelo menos um dgito. Com a supresso dos zeros
esquerda, a representao do endereo demonstrada da seguinte maneira:
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
Compresso de zeros
8-7
Quando ocorrem vrios blocos de zeros contguos, possvel suprimi-los e represent-los no endereo
como dois-pontos duplo (::), o que simplifica ainda mais a notao IPv6. O computador reconhece "::"
e o substitui pelo nmero de blocos necessrios para tornar o endereo IPv6 correto.
No exemplo a seguir, o endereo expresso usando-se a compresso de zeros:
2001:DB8::2F3B:2AA:FF:FE28:9C5A
Para saber a quantidade de bits 0 representados pelo caractere "::", possvel contar o nmero de blocos
no endereo compactado, subtrair esse nmero de oito e multiplicar o resultado por 16. Usando o
exemplo anterior, existem sete blocos. Subtraia sete de oito e multiplique o resultado (um) por 16.
Dessa forma, haver 16 bits ou 16 zeros no endereo em que o dois-pontos duplo est localizado.
S possvel usar a compactao de zeros uma vez em um determinado endereo. Se voc us-la
duas vezes ou mais, no haver como mostrar quantos bits 0 so representados pela instncia
do dois-pontos (::) duplo.
Para converter um endereo em binrio, use a inverso do mtodo descrito acima:
1.
2.
3.
Implementao do IPv6
Lio 2
Endereamento IPv6
Uma parte essencial do trabalho com IPv6 a compreenso dos tipos de endereo diferentes e quando
eles so usados. Isso permite compreender o processo de comunicao geral entre hosts IPv6 e realizar
a soluo de problemas. Voc tambm precisa compreender os processos disponveis para configurar
um host com um endereo IPv6 a fim de garantir que os hosts sejam configurados corretamente.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
8-8
Endereo IPv6
Endereo no especificado
0.0.0.0
::
Endereo de loopback
127.0.0.1
::1
Endereos configurados
automaticamente
169.254.0.0/16
FE80::/64
Endereo de difuso
255.255.255.255
Endereos multicast
224.0.0.0/4
FF00::/8
8-9
Parte corrigida definida como 001. Os trs bits de ordem superior so definidos como 001. O prefixo
dos endereos globais atribudos atualmente 2000::/3. Por isso, todos os endereos unicast globais
comeam com 2 ou 3.
Prefixo de roteamento global. Esse campo identifica o prefixo de roteamento global para o site
especfico de uma organizao. A combinao dos trs bits fixos e do prefixo de roteamento global
de 45 bits usada para criar um prefixo de site de 48 bits, atribudo ao site individual de uma
organizao. Depois da atribuio, os roteadores na Internet IPv6 encaminharo o trfego
IPv6 correspondente ao prefixo de 48 bits para os roteadores do site da organizao.
Os sete primeiros bits do identificador da organizao tm o valor binrio fixo 1111101. Todos os
endereos locais exclusivos tm o prefixo de endereo FC00::/7. O sinalizador Local (L) definido como 1
para indicar um endereo local. Um valor de sinalizador L configurado com 0 ainda no foi definido. Por
isso, os endereos locais exclusivos com o sinalizador L definido como 1 tm o prefixo de endereo FD::/8.
8-11
ID da zona
Independentemente do nmero de interfaces de rede no host, cada host IPv6 tem um nico endereo
de link-local. Se o host tiver vrias interfaces de rede, o mesmo endereo de link-local ser reutilizado em
cada interface da rede. Para permitir que hosts identifiquem a comunicao link-local em cada interface
da rede exclusiva, uma ID da zona adicionada ao endereo de link-local.
Uma ID da zona usada no seguinte formato:
Endereo%ID_zona
Cada host de envio determina a ID da zona a ser associada a cada interface. No h negociao da ID
da zona entre hosts. Por exemplo, na mesma rede, o host A pode usar 3 para a ID da zona na respectiva
interface e o host B pode usar 6 para a ID da zona na respectiva interface.
Cada interface em um host baseado no Windows recebe um ndice de interface exclusivo, que um
inteiro. Alm das placas de rede fsicas, as interfaces tambm incluem interfaces de loopback e tnel.
Os hosts IPv6 baseados no Windows usam o ndice de uma interface como a ID da zona dessa interface.
No exemplo a seguir, a ID da interface de rede 3.
fe80::2b0:d0ff:fee9:4143%3
Sem estado. Com a configurao automtica sem estado, a configurao de endereo se baseia
apenas no recebimento de mensagens de anncio de roteador. A configurao automtica sem
estado inclui um prefixo de roteador, mas no inclui opes de configurao adicionais como
servidores DNS.
Com estado. Com a configurao automtica com estado, a configurao se endereo se baseia
no uso de um protocolo de configurao de endereo com estado, como o DHCPv6, para obter
endereos e outras opes de configurao. Um host usa a configurao de endereo com estado
quando:
8-13
Durante a configurao automtica, o endereo IPv6 de um host passa por vrios estados que definem
o ciclo de vida do endereo IPv6. Os endereos configurados se encontram em um ou mais dos seguintes
estados:
Vlido. No estado vlido, o endereo foi verificado como exclusivo e pode enviar e receber trfego
unicast.
Preferencial. No estado preferencial, o endereo permite que um n envie e receba trfego unicast.
Preterido. Em um estado preterido, o endereo vlido, mas seu uso desestimulado para uma
nova comunicao.
Invlido. No estado invlido, o endereo no permite mais que um n receba ou envie trfego
unicast.
Na maioria dos casos, o IPv6 configurado dinamicamente usando DHCPv6 ou anncios de roteador.
Porm, tambm possvel configurar IPv6 manualmente com um endereo IPv6 esttico. O processo
de configurao do IPv6 semelhante ao processo de configurao do IPv4.
Nesta demonstrao, voc ver como:
Etapas da demonstrao
Exibir a configurao IPv6 usando IPconfig
1.
2.
3.
4.
2.
2.
2.
3.
4.
Lio 3
8-15
Desde sua criao, o IPv6 foi projetado para coexistncia a longo prazo com IPv4; na maioria dos casos,
a rede usar IPv4 e IPv6 por muitos anos. Consequentemente, voc precisa compreender como eles
coexistem.
Esta lio oferece uma viso geral das tecnologias que do suporte coexistncia dos dois protocolos IP.
Esta lio tambm descreve os tipos de n diferentes e as implementaes de pilha IP de IPv6. Por fim,
esta lio explica como o DNS resolve nomes para endereos IPv6 e os vrios tipos de tecnologias
de transio IPv6.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Quais so os tipos de n?
Ao planejar uma rede IPv6, voc deve saber quais
tipos de ns ou hosts esto na rede. A descrio
dos ns de uma maneira especfica ajuda a
definir os recursos na rede. As noes bsicas dos
recursos de cada tipo de n so importantes caso
voc use encapsulamento, porque determinados
tipos de tneis exigem tipos de n especficos.
As descries dos diversos tipos de ns so as
seguintes:
N somente IPv6. Este um n que implementa apenas IPv6 (e possui apenas endereos IPv6) e no
d suporte ao IPv4. Esse n s pode se comunicar com os ns e aplicativos IPv6 e no comum nos
dias de hoje. No entanto, talvez seu uso se torne mais frequente, pois dispositivos menores (como
celulares e computadores de mos) usam o protocolo IPv6 com exclusividade.
N IPv4/IPv6. Este um n que implementa o IPv4 e o IPv6. O Windows Server 2008 e os sistemas
operacionais Windows Server e Windows Vista mais novos, alm dos sistemas operacionais clientes
Windows mais recentes usam IPv4 e IPv6 por padro.
N IPv4. Este um n que implementa o IPv4. Pode ser um n somente IPv4 ou um n IPv6/IPv4.
N IPv6. Este um n que implementa o IPv6. Pode ser um n somente IPv6 ou um n IPv6/IPv4.
A coexistncia ocorre quando o maior nmero de ns (IPv4 ou IPv6) pode se comunicar usando uma
infraestrutura IPv4, uma infraestrutura IPv6 ou uma infraestrutura que uma combinao de IPv4 e
IPv6. Voc migrar efetivamente quando todos os ns IPv4 forem convertidos em ns somente IPv6.
No entanto, em um futuro prximo, a migrao prtica ser alcanada quando a maior quantidade
possvel de ns somente IPv4 for convertida em ns IPv6/IPv4. Os ns somente IPv4 podero se
comunicar com os ns somente IPv6 apenas quando voc estiver usando um proxy IPv4-para-IPv6
ou um gateway de converso.
8-17
Assim como usado como um servio de suporte em uma rede IPv4, o DNS tambm obrigatrio
em uma rede IPv6. Ao adicionar IPv6 rede, voc precisa verificar se adicionou os registros necessrio
ao suporte resoluo de nome para endereo e de endereo para nome IPv6. Os registros DNS
obrigatrios para coexistncia so:
Quando um nome pode ser resolvido para endereos IPv4 e IPv6, os endereos so retornados para o
cliente. Assim, o cliente escolhe qual endereo usar com base em polticas de prefixo. Nessas polticas
de prefixo, cada prefixo tem um nvel de precedncia atribudo. Uma precedncia mais alta preferida
em relao a uma precedncia mais baixa. A tabela a seguir exibe polticas de prefixo tpicas para
Windows Server 2012.
Prefixo
Precedncia
Rtulo
Descrio
::1/128
50
Loopback IPv6
::/0
40
Gateway padro
::ffff:0:0/96
10
2002::/16
6to4
2001::/32
Teredo
FC00::/7
13
Exclusivo local
(continuao)
Prefixo
Precedncia
Rtulo
Descrio
::/96
fec0::/10
11
3ffe::/16
12
6Bone (depreciado)
De maneira semelhante aos ns IPv4, os ns IPv6 usam registros do host criados automaticamente pelo
DNS dinmico. Tambm possvel criar manualmente registros de host para endereos IPv6. Um registro
de recurso de host IPv6 (AAAA) um tipo de registro exclusivo e diferente de um registro de recurso
de host IPv4 (A).
Nesta demonstrao, voc ver como:
Etapas da demonstrao
Configurar um registro de recurso de host IPv6 (AAAA)
1.
2.
No Gerenciador DNS, verifique se os endereos IPv6 foram registrados dinamicamente para LON-DC1
e LON-SVR1.
3.
Nome: WebApp
2.
Diferentemente do tnel para o protocolo PPTP e protocolo L2TP, no h troca de mensagens para
a instalao, manuteno ou trmino do tnel. Alm disso, o encapsulamento IPv6 atravs do IPv4
no oferece segurana para os pacotes IPv6 em encapsulamento. Isso significa que quando voc
usa o encapsulamento IPv6, ele no precisa estabelecer primeiramente uma conexo protegida.
8-19
possvel configurar manualmente o encapsulamento IPv6 via IPv4 ou usar tecnologias automatizadas,
como ISATAP, 6to4 ou Teredo que implementam o encapsulamento IPv6 via IPv4.
Lio 4
A transio de IPv4 para IPv6 exige coexistncia entre os dois protocolos. Muitos aplicativos e servios
dependem do IPv4 para serem removidos rapidamente. Porm, existem vrias tecnologias que ajudam na
transio permitindo a comunicao entre hosts apenas IPv4 e apenas IPv6. Tambm existem tecnologias
que permitem a comunicao IPv6 via redes IPv4.
Esta lio fornece informaes sobre ISATAP (Intra-Site Automatic Tunnel Addressing Protocol), 6to4
e Teredo, que ajudam a fornecer conectividade entre as tecnologias IPv4 e IPv6. Esta lio tambm
aborda proxy de porta, que fornece compatibilidade para aplicativos.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever ISATAP.
Descrever 6to4.
Descrever Teredo.
O que ISATAP?
ISATAP uma tecnologia de atribuio
de endereos que possvel usar para
fornecer a conectividade IPv6 unicast entre
hosts IPv6/IPv4 via intranet IPv4. Os pacotes IPv6
so encapsulados em pacotes IPv4 para
transmisso via rede. A comunicao pode
ocorrer diretamente entre dois hosts ISATAP em
uma rede IPv4 ou passar por um roteador ISATAP
caso uma rede s tenha hosts apenas IPv6.
Os hosts ISATAP no exigem configurao
manual e podem criar endereos ISATAP
usando mecanismos de configurao automtica
de endereo padro. Embora seja habilitado por padro, o componente ISATAP s atribuir endereos
baseados em ISATAP se puder resolver o nome ISATAP na rede.
Um endereo ISATAP baseado em um endereo IPv4 particular formatado como o seguinte exemplo:
[prefixo unicast de 64 bits]:0:5EFE:w.x.y.z
Um endereo ISATAP baseado em um endereo IPv4 pblico formatado como o seguinte exemplo:
[prefixo unicast de 64 bits]:200:5EFE:w.x.y.z
Por exemplo, FD00::5EFE:192 .168.137.133 um exemplo de um endereo IPv4 particular
e 2001:db8::200:5EFE:131 .107.137.133 um exemplo de um endereo IPv4 pblico.
8-21
Se no houver hosts apenas IPv6, o roteador ISATAP anunciar o prefixo IPv6 usado por clientes ISATAP.
A interface ISATAP em computadores clientes configurada para usar esse prefixo. Quando aplicativos
usam a interface ISATAP para entregar dados, o pacote IPV6 encapsulado em um pacote IPv4 para
entrega ao endereo IPv4 do host ISATAP de destino.
Se houver hosts apenas IPv6, o roteador ISATAP tambm descompactar pacotes IPv6. Os hosts ISATAP
enviam pacotes para o endereo IPv4 do roteador ISATAP. O roteador ISATAP descompacta os pacotes
IPv6 e os envia para a rede somente IPv6.
possvel iniciar o encapsulamento ISATAP de vrias formas, mas a maneira mais simples configurar
um registro de host ISATAP no DNS resolvido para o endereo IPv4 do roteador ISATAP. Os hosts
do Windows que podem resolver esse nome automaticamente comeam a usar o roteador ISATAP
especificado. Usando esse mtodo, possvel configurar ISATAP para vrios computadores
simultaneamente.
Tambm possvel definir a resoluo de nomes ISATAP em arquivo de hosts, mas isso no
recomendvel porque difcil de gerenciar.
Observao: Por padro, os servidores DNS no Windows Server 2008 ou em sistemas
operacionais Windows Server mais novos tm uma lista global de consultas no autorizadas que
impede a resoluo ISATAP, mesmo se o registro de host for criado e configurado corretamente.
Voc precisa remover ISATAP da lista global de consultas no autorizadas no DNS caso esteja
usando um registro de host ISATAP para configurar clientes ISATAP.
Outras maneiras como possvel configurar hosts com um roteador ISATAP so:
Observao: Todos os ns ISATAP so conectados a uma nica sub-rede IPv6. Isso significa
que todos os ns ISATAP fazem parte do mesmo site do AD DS (Servios de Domnio do
Active Directory), o que talvez no seja desejvel.
Assim, voc deve usar ISATAP apenas para testes limitados. Para implantao em toda a intranet,
voc deve implantar o suporte a IPv6 nativo.
O que 6to4?
6to4 uma tecnologia usada para fornecer
conectividade IPv6 unicast via Internet IPv4.
possvel usar 6to4 para fornecer conectividade
IPv6 entre dois sites IPv6 ou entre um host IPv6 e
um site IPv6. Porm, 6to4 no apropriado a
cenrios que exijam NAT.
Habilite o ICS (Compartilhamento de Conexo com a Internet). Quando voc habilita o ICS,
o Windows Server 2012 configurado automaticamente como um roteador 6to4.
O que Teredo?
Teredo semelhante a 6to4 ao permitir
encapsular pacotes IPv6 via Internet IPv4.
Porm, Teredo funciona corretamente mesmo
quando a NAT usada na conectividade com
a Internet. Teredo obrigatrio porque muitas
organizaes usam endereos IP particulares,
que exigem a NAT para acessar a Internet. Se um
dispositivo NAT puder ser configurado como
um roteador 6to4, Teredo no ser obrigatrio.
Observao: Teredo s ser usado
se IPv6 nativo, 6to4 ou ISATAP no fornecer
conectividade.
8-23
A comunicao IPv6 entre dois clientes Teredo via Internet IPv4 exige um servidor Teredo hospedado na
Internet IPv4. O servidor Teredo facilita a comunicao entre os dois clientes Teredo que atuam como um
ponto central conhecido para iniciar a comunicao. Normalmente, os hosts atrs de um dispositivo NAT
tm permisso para iniciar a comunicao de sada, mas no para aceitar a comunicao de entrada. Para
contornar esse problema, os clientes Teredo iniciam a comunicao com o servidor Teredo. Depois que
conexo iniciada com o servidor Teredo e depois que o dispositivo NAT tiver permitido a comunicao
de sada, qualquer comunicao adicional ocorrer diretamente entre os dois clientes Teredo.
Observao: Vrios servidores Teredo pblicos esto disponveis para uso na Internet.
Os sistemas operacionais Windows usam o servidor Teredo fornecido pela Microsoft em
teredo.ipv6.microsoft.com por padro.
Teredo tambm pode facilitar a comunicao com hosts somente IPv6 na Internet IPv6 usando
uma retransmisso Teredo. A retransmisso Teredo encaminha pacotes de um cliente Teredo
para a Internet IPv6.
possvel configurar o Windows Server 2012 como um cliente, retransmisso ou servidor Teredo. Para
configurar Teredo, use o cmdlet do Windows PowerShell Set-NetTeredoConfiguration. A configurao
padro de Teredo como um cliente. Quando configurado como um cliente, Teredo desabilitado
quando conectado a uma rede de domnio. Para habilitar Teredo em uma rede de domnio, voc deve
configur-lo como um cliente corporativo.
Um endereo Teredo um endereo IPv6 de 128 bits, mas usa uma estrutura diferente de endereos IPv6
unicast tpicos. A estrutura a seguinte:
2001::/32 (32 bits). Este o prefixo especfico de Teredo usado por todos os endereos Teredo.
Endereo IPv4 do servidor Teredo (32 bits). Isso identifica o servidor Teredo.
Opes (16 bits). H vrias opes que descrevem a configurao de comunicao, como se o cliente
est atrs da NAT.
Porta externa obscura (16 bits). Essa a porta externa usada na comunicao pelo dispositivo NAT
para a comunicao. Ela obscura para evitar que o dispositivo NAT a traduza.
Endereo IP externo obscuro (32 bits). Esse o endereo IP externo do dispositivo NAT. Ela obscura
para evitar que o dispositivo NAT a traduza.
Tambm possvel usar proxy de porta como um proxy entre hosts somente IPv4 e somente IPv6. Para
isso, voc deve configurar o DNS para resolver o nome do host remoto como o endereo do computador
do proxy de porta. Por exemplo, um host somente IPv4 resolveria o nome de um host somente IPv6 como
o endereo IPv4 do computador do proxy de porta. Os pacotes seriam enviados ao computador do proxy
de porta, que seriam colocados no proxy para o computador somente IPv6.
O proxy de porta tem as seguintes limitaes:
Ele limitado a apenas conexes TCP. Ele no pode ser usado em aplicativos que usam UDP.
Ele no pode alterar informaes de endereo inseridas na parte de dados do pacote. Se o aplicativo
(como FTP [File Transfer Protocol]) inserir informaes de endereo na parte dos dados, ele no
funcionar.
possvel configurar proxy de porta no Windows Server 2012 usando netsh interface portproxy.
Porm, a preferncia costuma ser usar uma tecnologia de encapsulamento em vez do proxy de porta.
8-25
Atualize a infraestrutura de roteamento para o roteamento IPv6 nativo. Voc deve atualizar os
roteadores para dar suporte aos protocolos de roteamento IPv6 e ao roteamento IPv6 nativo.
Atualize dispositivos para dar suporte a IPv6. Grande parte do hardware de rede atual d suporte
a IPv6, mas muitos outros tipos de dispositivos no. Voc precisa verificar se todos os dispositivos
conectados rede como impressoras e scanners tambm do suporte a IPv6.
Atualize a infraestrutura DNS para dar suporte ao endereo IPv6 e aos registros de recurso PTR.
Convm atualizar a infraestrutura DNS para dar suporte aos novos registros de recurso de endereo
de host IPv6 (AAAA) (obrigatrios) e aos registros de recurso PTR no domnio inverso IP6.ARPA, mas
isso opcional. Alm disso, verifique se os servidores DNS do suporte ao trfego DNS via IPv6 e
atualizao dinmica DNS para registros de recurso de endereo de host IPv6 (AAAA) de maneira
que os hosts IPv6 possam registrar automaticamente nomes e endereos IPv6.
Atualize os hosts para ns IPv6/IPv4. Voc deve atualizar os hosts para usar IPv4 e IPv6. Isso permite
que os hosts acessem recursos IPv4 e IPv6 durante o processo de migrao.
A maioria das organizaes dever adicionar IPv6 a um ambiente IPv4 existente e continuar tendo
coexistncia durante uma hora estendida. Muitos aplicativos e dispositivos herdados que no do
suporte a IPv6 continuam existindo, e a coexistncia muito mais simples do que o uso de tecnologias
de transio como ISATAP. Voc s dever remover IPv4 depois que os recursos que dependem dele
forem removidos ou atualizados para usar IPv6.
IPv6 habilitado por padro para o Windows Vista e sistemas operacionais clientes Windows mais
novos, alm do Windows Server 2008 e dos sistemas operacionais Windows Server mais novos. Como
uma prtica recomendada, voc no deve desabilitar IPv6 a menos que haja uma razo tcnica para
isso. Alguns recursos em sistemas operacionais Windows dependem do IPv6.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 30 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-RTR
24410B-LON-SVR2
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
8-27
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: ADATUM
Para a primeira etapa na configurao do laboratrio de teste, voc precisa configurar LON-DC1 como
um n somente IPv4 e LON-SVR2 como um n somente IPv6. Voc tambm precisa configurar LON-RTR
para dar suporte ao roteamento IPv6 adicionando uma rede a uma interface na rede IPv6 e habilitando
anncios de roteador. Os anncios de roteador permitem que os clientes IPv6 na rede IPv6 obtenham
a rede IPv6 correta automaticamente por meio da configurao sem estado.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
5.
2.
Execute ping em LON-DC1 para verificar se IPv4 est encaminhando por LON-RTR.
3.
Use ipconfig para verificar se LON-SVR2 s tem um endereo IPv6 de link-local que no
pode ser encaminhado.
2.
Desabilite IPv6 para Conexo Local a fim de tornar LON-DC1 um host somente IPv4.
2.
Desabilite IPv4 para Conexo Local a fim de tornar LON-SVR2 um host somente IPv6.
1.
2.
Configure um endereo de rede que ser usado na rede IPv6 usando o cmdlet New-NetRoute do
Windows PowerShell para adicionar uma rede IPv6 na Conexo Local 2 tabela de roteamento local:
New-NetRoute -InterfaceAlias "Conexo Local 2" -DestinationPrefix 2001:db8:0:1::/64 Publish Yes
3.
Permita que os clientes obtenham o endereo de rede IPv6 automaticamente de LON-RTR usando
o seguinte cmdlet Set-NetIPInterface para permitir anncios de roteador na Conexo Local 2:
4.
Use ipconfig para verificar se a Conexo Local 2 tem um Endereo IPv6 na rede 2001:db8:0:1::/64.
Esse endereo usado para comunicao na rede somente IPv6.
Em LON-SVR2, use ipconfig para verificar se a Conexo Local tem um Endereo IPv6
na rede 2001:db8:0:1::/64. O endereo de rede foi obtido do roteador pela configurao sem estado.
Resultados: Depois de concluir este exerccio, os alunos tero configurado uma rede somente IPv6.
Para configurar LON-RTR como um roteador ISATAP, voc precisa habilitar a interface IPv4 como o
roteador ISATAP. Em seguida, voc configura uma rede IPv6 na interface ISATAP e habilita o anncio da
rota de rede que inclui essa rede. Os clientes ISATAP obtero a rede IPv6 automaticamente dos anncios.
Para habilitar ISATAP automaticamente em clientes, voc precisa criar um registro de host ISATAP em
DNS. Clientes capazes de resolver esse nome se tornam clientes ISATAP automaticamente. Para permitir
que clientes resolvam esse nome, voc deve remover ISATAP da lista global de consultas no autorizadas
no servidor DNS.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
5.
Testar a conectividade
8-29
1.
2.
Adicione um registro de host ISATAP no domnio Adatum.com resolvido para 172.16.0.1. Os clientes
ISATAP resolvem esse nome de host para localizar o roteador ISATAP.
Em LON-RTR, configure o Endereo IP de Conexo Local como o roteador ISATAP. Use o seguinte
cmdlet Set-NetIsatapConfiguration para habilitar ISATAP:
Set-NetIsatapConfiguration -Router 172.16.0.1
2.
Use o seguinte cmdlet Get-NetIPAddress para identificar o ndice da interface ISATAP com
172.16.0.1 no Endereo de link-local.
Get-NetIPAddress | Format-Table InterfaceAlias,InterfaceIndex,IPv6Address
O encaminhamento habilitado
O anncio desabilitado
Get-NetIPInterface -InterfaceIndex IndexYouRecorded -PolicyStore ActiveStore |
Format-List
4.
A interface ISATAP de um roteador ISATAP deve ter encaminhamento e anncio habilitados. Use
o seguinte cmdlet Set-NetIPInterface para habilitar anncios de roteador na interface ISATAP:
Set-NetIPInterface -InterfaceIndex IndexYouRecorded -Advertising Enabled
5.
Crie uma nova rede IPv6 que ser usada na rede ISATAP. Use o seguinte cmdlet New-NetRoute
para configurar uma rota de rede para a interface ISATAP:
6.
Use o seguinte cmdlet Get-NetIPAddress para verificar se a interface ISATAP tem um Endereo IPv6
na rede 2001:db8:0:2::/64:
Get-NetIPAddress -InterfaceIndex IndexYouRecorded
2.
3.
4.
Execute ping em isatap para verificar se ele pode ser resolvido. O nome deve ser resolvido e voc
deve receber quatro respostas de 172.16.0.1.
2.
Use ipconfig para verificar se o adaptador Tnel de ISATAP tem um Endereo IPv6 na rede
2001:db8:0:2/64. Observe que esse endereo inclui o Endereo IPv4 de NYC-DC1.
Em LON-SVR2, use o seguinte comando ping para testar a conectividade com o endereo ISATAP
para LON-DC1:
ping 2001:db8:0:2:0:5efe:172.16.0.10
2.
3.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e clique
em Reverter.
3.
4.
Prtica recomendada
Use as seguintes prticas recomendadas ao implementar IPv6:
8-31
Mdulo 9
Implementao de armazenamento local
Contedo:
Viso geral do mdulo
9-1
9-2
9-13
9-24
9-29
9-34
Este mdulo apresenta as diferentes tecnologias de armazenamento. Ele discute como implementar as
solues de armazenamento no Windows Server 2012 e como usar Espaos de Armazenamento, um
novo recurso que voc pode usar para combinar discos em pools que so gerenciados automaticamente.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
9-2
Quanta resistncia voc precisa adicionar ao requisito inicial de armazenamento para garantir
que o seu investimento permanea seguro no futuro?
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o RAID.
9-3
SATA (Serial Advanced Technology Attachment). A SATA uma interface, ou canal, de barramento
de computador para conectar a placa-me ou adaptadores de dispositivo a dispositivos de
armazenamento em massa, como unidades de discos rgidos e unidades pticas. A SATA foi projetada
para substituir a EIDE. Ela capaz de usar os mesmos comandos de baixo nvel, mas os dispositivos
e adaptadores de host SATA se comunicam usando um cabo serial de alta velocidade atravs de dois
pares de condutores. A SATA foi introduzida em 2003. Ela pode operar com velocidades de 1,5, 3,0
e 6,0 GB por segundo, dependendo da reviso SATA (1, 2 ou 3, respectivamente). Unidades SATA
so mais econmicas em comparao a outras opes de unidade, mas tambm oferecem menos
desempenho. As organizaes podem optar por implantar unidades SATA quando precisarem de
grandes quantidades de armazenamento, mas sem alto desempenho. Discos SATA so geralmente
discos de baixo custo que oferecem armazenamento em massa. No entanto, por serem mais
econmicas, tambm so menos confiveis em comparao a discos SAS (SCSI conectado).
Uma variao na interface SATA a eSATA, projetada para permitir acesso de alta velocidade
a unidades SATA externamente conectadas.
SCSI (Small Computer System Interface). A SCSI um conjunto de padres para conexo fsica e
transferncia de dados entre computadores e dispositivos perifricos. A SCSI foi originalmente
introduzida em 1978, tendo sido concebida como uma interface em uma comunicao de nvel
inferior, permitindo que ela consuma menos energia de processamento e realize transaes
em velocidades mais altas. A SCSI se tornou um padro em 1986. Semelhante EIDE, a SCSI foi
projetada para execuo atravs de cabos paralelos. No entanto, recentemente, o uso foi ampliado
para a execuo atravs de outros meios. A especificao paralela de 1986 da SCSI apresentava
transferncias com velocidades iniciais de at 5 MB por segundo. A implementao mais recente
de 2003, a SCSI Ultra 640, tambm conhecida como Ultra 5, pode transferir dados com velocidades
de 640 MB por segundo. Discos SCSI proporcionam maior desempenho em comparao a discos
SATA, mas tambm so mais caros.
SAS. A SAS uma implementao adicional do padro SCSI. A SAS depende de um protocolo
serial ponto a ponto que substitui a tecnologia de barramento SCSI paralelo e utiliza o conjunto
de comandos SCSI padro. A SAS oferece compatibilidade retroativa com unidades SATA de
segunda gerao. Unidades SAS so confiveis e projetadas para operao 24 horas por dia
e sete dias por semana em datacenters. Com at 15.000 rotaes por minuto (RPM), esses
discos so tambm os discos rgidos tradicionais mais rpidos.
SSDs (Unidades de Estado Slido). SSDs so dispositivos de armazenamento de dados que utilizam
a memria de estado slido para armazenar dados em vez de utilizarem os discos giratrios e os
cabeotes mveis de leitura/gravao que so utilizados em outros discos. SSDs usam microchips
para armazenar os dados e no contm partes mveis. SSDs fornecem acesso rpido ao disco,
consomem menos energia e so menos suscetveis a falhas por queda do que os discos rgidos
tradicionais (como unidades SAS), mas tambm so muito mais caros por GB de armazenamento.
Em geral, SSDs usam uma interface SATA e, portanto, voc pode substituir unidades de disco
rgido por SSDs sem exigir modificaes.
Observao: Discos de Fibre Channel, Firewire ou conectados via USB tambm so opes
de armazenamento disponveis. Eles definem o barramento de transporte ou o tipo de disco. Por
exemplo, discos conectados via USB so usados principalmente com unidades SATA ou SSD para
armazenar dados.
9-4
Um sistema DAS tpico composto por um dispositivo de armazenamento de dados que inclui
vrias unidades de disco rgido que se conectam diretamente a um computador atravs de um HBA
(adaptador de barramento de host). Entre o DAS e o computador, no h dispositivos de rede como,
hubs, comutadores ou roteadores. Em vez disso, o armazenamento est conectado diretamente ao
servidor que o utiliza, tornando o DAS o sistema de armazenamento mais fcil de se implantar e manter.
Em geral, o DAS tambm o armazenamento mais econmico disponvel hoje em dia e est amplamente
disponvel em vrias velocidades e tamanhos para acomodar diversas instalaes. Alm de ser econmico,
o DAS muito fcil de configurar. Na maioria dos casos, basta ligar o dispositivo, verificar se o sistema
operacional Windows em execuo o reconhece e ento usar o Gerenciamento de Disco para configurar
os discos.
9-5
O armazenamento local dos dados no DAS torna a centralizao de dados mais difcil, pois eles esto
localizados em vrios servidores. Isso pode tornar o backup dos dados mais complexo e, para os usurios,
mais difcil localizar os dados que eles esto procurando. Alm disso, se qualquer dispositivo com um
DAS conectado passar por uma falha de energia, o armazenamento nesse computador se tornar
indisponvel.
O DAS tambm possui desvantagens no que diz respeito a suas metodologias de acesso. Devido forma
como operaes de leitura e gravao so manipuladas pelo sistema operacional do servidor, o DAS pode
ser mais lento em comparao a outras tecnologias de armazenamento. Outra desvantagem que o DAS
compartilha a capacidade de processamento e a memria do servidor ao qual ele est conectado. Isso
significa que, em servidores muito ocupados, o acesso ao disco ficar lento quando o sistema operacional
est sobrecarregado.
9-6
O NAS oferece um nico local para todos os arquivos crticos, em vez de os espalhar internamente
em vrios servidores ou dispositivos com o DAS.
Unidades NAS so acessveis a partir de qualquer sistema operacional. Muitas vezes, elas tm suporte
a vrios protocolos e pode servir dados via CIFS e NFS simultaneamente. Por exemplo, hosts Windows
e Linux podem acessar simultaneamente uma unidade NAS.
O NAS tambm pode ser considerado uma soluo Plug and Play fcil de instalar, implantar e gerenciar,
com ou sem a equipe de TI no local.
9-7
Tecnologias SAN fazem operaes de leitura e gravao em nveis de blocos, tornando o acesso aos
dados muito mais rpido. Por exemplo, com a maioria de DAS e NAS, se voc gravar um arquivo de 8 GB,
o arquivo inteiro dever ser lido/gravado, e sua soma de verificao dever ser calculada. Com a SAN,
o arquivo gravado no disco com base no tamanho do bloco para o qual a SAN est configurada. Essa
velocidade obtida por metodologias de acesso de fibra e gravao em nvel de bloco, em vez de exigir
a leitura/gravao de um arquivo inteiro com o uso de uma soma de verificao.
SANs tambm fornecem:
Alto nvel de redundncia. A maioria das SANs implantada com vrios dispositivos de rede e
caminhos atravs da rede. Alm disso, o dispositivo de armazenamento contm componentes
redundantes, como fontes de alimentao e discos rgidos.
9-8
Para gerenciar uma SAN, comum usar ferramentas de linha de comando. Voc deve ter uma
compreenso slida da tecnologia subjacente, incluindo a configurao de LUNs, a rede de Fibre Channel,
o dimensionamento de blocos e outros fatores. Alm disso, cada fornecedor de armazenamento muitas
vezes implementa SANs usando diferentes ferramentas e recursos. Por causa disso, as organizaes
geralmente tm um pessoal dedicado cuja nica funo gerenciar a implantao da SAN.
Observao: Voc pode implementar SANs usando vrias tecnologias. As opes mais
comuns so Fibre Channel e iSCSI.
O que o RAID?
RAID uma tecnologia que voc pode usar para
configurar sistemas de armazenamento que
oferecem alta confiabilidade e (potencialmente)
alto desempenho. O RAID implementa sistemas
de armazenamento combinando vrios discos em
uma nica unidade lgica, chamada de matriz
RAID. Dependendo da configurao, uma matriz
RAID pode suportar a falha de um ou mais dos
discos rgidos fsicos ou pode proporcionar maior
desempenho em comparao capacidade
disponvel usando um nico disco.
9-9
Informaes de paridade. Informaes de paridade so usadas no caso de uma falha do disco para
calcular as informaes que estavam armazenadas em um disco. Se voc usar essa opo, o servidor
ou controlador RAID calcular as informaes de paridade para cada bloco de dados gravado nos
discos e, em seguida, ir armazena essas informaes em outro disco ou em vrios discos. Se um dos
discos da matriz RAID falhar, o servidor pode usar os dados que ainda esto disponveis nos discos
funcionais junto com as informaes de paridade para recriar os dados que estavam armazenados
no disco que falhou.
Subsistemas RAID tambm podem fornecer um desempenho potencialmente melhor do que discos
nicos, distribuindo leituras e gravaes de discos entre vrios discos. Por exemplo, ao implementar
a diviso de discos, o servidor pode ler informaes de todos os discos rgidos no conjunto de diviso.
Quando combinado com vrios controladores de disco, isso pode proporcionar melhorias significativas
no desempenho do disco.
Observao: Embora o RAID possa fornecer um nvel mais alto de tolerncia a falhas
de disco, voc no deve usar o RAID para substituir backups tradicionais. Se um servidor tivesse
um pico de energia ou uma falha catastrfica, e todos os discos falhassem, voc ainda precisaria
depender de backups padro.
O RAID de software executado expondo todos os discos que esto disponveis no servidor ao sistema
operacional e depois configurando o RAID a partir do sistema operacional. O Windows Server 2012 d
suporte ao uso de RAID de software, e voc pode usar o Gerenciamento de Disco para configurar vrios
nveis de RAID.
Ao optar pela implementao do RAID de hardware ou software, considere o seguinte:
O RAID de hardware requer controladores de disco compatveis com RAID. A maioria dos
controladores de disco fornecidos com novos servidores apresenta essa funcionalidade.
Em servidores mais antigos, voc pode obter melhor desempenho com o RAID de software ao usar
a paridade, pois o processador do servidor pode calcular a paridade mais rapidamente do que o
controlador de disco. Este no mais um problema com servidores mais recentes, nos quais voc
pode obter melhor desempenho no servidor ao descarregar os clculos de paridade no controlador
de disco.
Nveis de RAID
Ao implementar o RAID, voc precisa decidir que
nvel ser implementado.
A tabela abaixo lista os recursos para cada nvel
de RAID diferente.
Nvel
Descrio
Desempenho
Utilizao
do espao
Redundncia
Comentrios
RAID 0
Conjunto dividido
sem paridade ou
espelhamento
Os dados so
escritos
sequencialmente em
cada disco
Alto
desempenho
de leitura e
gravao
Todo o espao
nos discos est
disponvel
Use apenas em
situaes nas quais
voc precisa de
alto desempenho e
pode tolerar a
perda de dados
RAID 1
Conjunto espelhado
sem paridade
ou diviso
Os dados so
gravados nos
dois discos
simultaneamente
Bom
desempenho
S pode usar
a quantidade
de espao
disponvel no
menor dos
discos
Pode tolerar
uma falha de
apenas um disco
Usado
frequentemente
para volumes do
sistema e de
inicializao com
RAID de hardware
(continuao)
Nvel
Descrio
Desempenho
Utilizao
do espao
Redundncia
Comentrios
9-11
RAID 2
Os dados so
gravados em bits
em cada disco com
paridade gravada
em um ou mais
discos separados
Desempenho
extremamente
alto
Usa um ou
mais discos
para paridade
Pode tolerar
uma falha de
apenas um disco
RAID 3
Os dados so
gravados em bytes
em cada disco com
paridade gravada
em um ou mais
discos separados
Desempenho
muito alto
Usa um disco
para paridade
Pode tolerar
uma falha de
apenas um disco
RAID 4
Os dados so
gravados em blocos
em cada disco com
paridade gravada
em um disco
dedicado
Bom
desempenho
de leitura,
fraco
desempenho
de gravao
Usa um disco
para paridade
Pode tolerar
uma falha de
apenas um disco
Raramente
utilizado
RAID 5
Conjunto dividido
com paridade
distribuda
Os dados so
gravados em blocos
em cada disco com
paridade espalhada
entre todos os
discos
Bom
desempenho
de leitura,
fraco
desempenho
de gravao
Usa o
equivalente a
um disco para
paridade
Pode tolerar
uma falha de
apenas um disco
Normalmente
usado para
armazenamento de
dados, quando o
desempenho no
crtico, mas
importante
maximizar o uso do
disco
RAID 6
Conjunto dividido
com paridade
distribuda dupla
Os dados so
gravados em blocos
em cada disco com
paridade dupla
gravada entre
todos os discos
Bom
desempenho
de leitura,
fraco
desempenho
de gravao
Usa o
equivalente a
dois discos
para paridade
Pode tolerar
duas falhas de
disco
Normalmente
usado para
armazenamento
de dados, quando
o desempenho
no crtico, mas
importante
maximizar o uso
do disco e a
disponibilidade
RAID
0+1
Conjuntos divididos
em um conjunto
espelhado
Um conjunto de
unidades dividido
e, em seguida, o
conjunto de diviso
espelhado
Desempenho
de leitura e
gravao
muito bom
Apenas
metade do
espao em
disco est
disponvel
devido ao
espelhamento
Pode tolerar a
falha de dois ou
mais discos,
desde que todos
os discos com
falha estejam no
mesmo conjunto
de diviso
No costuma
ser usado
(continuao)
Nvel
Descrio
Desempenho
Utilizao
do espao
Redundncia
Comentrios
RAID
1+0
(ou 10)
Conjunto espelhado
em um conjunto
de distribuio
Vrias unidades so
espelhadas em um
segundo conjunto
de unidades, e em
seguida, uma
unidade de cada
espelhamento
dividida
Desempenho
de leitura e
gravao
muito bom
Apenas
metade do
espao em
disco est
disponvel
devido ao
espelhamento
Pode tolerar a
falha de dois ou
mais discos,
desde que
ambos os discos
em um
espelhamento
no falhem
Usado
frequentemente
em cenrios
nos quais
desempenho e
redundncia so
fatores crticos, e o
custo dos discos
adicionais
necessrios
aceitvel
RAID
5+0
(ou 50)
Conjunto dividido
com paridade
distribuda em um
conjunto de diviso
As unidades so
divididas com RAID
5 e depois divididas
sem paridade
Bom
desempenho
de leitura,
melhor
desempenho
de gravao
que o RAID 5
O equivalente
a pelo menos
dois discos
usado para
paridade
Fornece melhor
tolerncia a
falhas do que
um nico nvel
de RAID
Esse nvel
recomendado para
aplicativos que
exigem alta
tolerncia a falhas,
capacidade e
desempenho de
posicionamento
aleatrio
Requer pelo menos
seis unidades
Lio 2
9-13
Por exemplo, depois de identificar a melhor soluo de armazenamento ou escolher uma combinao de
solues de armazenamento, voc precisa descobrir a melhor maneira de gerenciar esse armazenamento.
Faa a si mesmo as seguintes perguntas:
Esta lio aborda estas e outras questes semelhantes, incluindo por que importante gerenciar discos
e que ferramentas que voc precisa usar para isso.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
MBR
O formato de tabela de parties MBR o esquema de particionamento padro que tem sido utilizado
em discos rgidos desde os primeiros computadores pessoais na dcada de 80. O formato da tabela de
parties MBR tem as seguintes caractersticas:
Se voc inicializar um disco com mais de 2 TB usando o MBR, os discos apenas podero armazenar
volumes de at 2 TB, e o restante do armazenamento no ser usado. Voc dever converter
o disco em GPT se quiser usar todo o espao.
Observao: Voc pode usar o formato de tabela de parties MBR para unidades de disco
que nunca ultrapassam 2 TB de tamanho. Isso proporciona um pouco mais de espao, pois a GPT
requer mais espao em disco que o MBR. No entanto, a Microsoft recomenda que a GPT sempre
seja usada como prtica recomendada.
GPT
A GPT foi introduzida com o Windows Server 2003 e o Windows XP 64-bit Edition para superar
as
limitaes do MBR e para manipular discos maiores. A GPT tem as seguintes caractersticas:
Para inicializar a partir de uma tabela de parties GPT, o BIOS deve dar suporte para GPT.
Observao: Se o disco rgido for maior que 2 TB, voc dever usar o formato de tabela
de parties GPT.
Leitura adicional: Para ver perguntas frequentes sobre a arquitetura de discos de tabelas
de particionamento GUID, consulte http://go.microsoft.com/fwlink/?LinkID=266748.
Disco bsico
O armazenamento bsico usa tabelas de parties
normais que so usadas por todas as verses
do sistema operacional Windows. Um disco
que inicializado para armazenamento bsico
chamado de disco bsico. Um disco bsico
contm parties bsicas, como parties
primrias e parties estendidas. Voc pode
subdividir parties estendidas em unidades
lgicas.
9-15
Por padro, quando voc inicializa um disco no sistema operacional Windows, esse disco est configurado
como um disco bsico. possvel converter discos bsicos facilmente em discos dinmicos sem qualquer
perda de dados. No entanto, ao converter um disco dinmico em um disco bsico, todos os dados do
disco so perdidos.
No h ganho de desempenho ao se converter discos bsicos em discos dinmicos, e alguns aplicativos
no podem manipular os dados que esto armazenados em discos dinmicos. Por esses motivos,
a maioria dos administradores no converte discos bsicos em discos dinmicos, a menos que seja
necessrio usar algumas das opes adicionais de configurao de volume que esto disponveis
com discos dinmicos.
Disco dinmico
O armazenamento dinmico foi introduzido no sistema operacional Microsoft Windows 2000 Server.
Um disco que inicializado para armazenamento dinmico chamado de disco dinmico. Um disco
dinmico contm volumes dinmicos. Com o armazenamento dinmico, voc pode realizar o
gerenciamento de discos e volumes sem a necessidade de reiniciar os computadores que executam
sistemas operacionais Windows.
Ao configurar discos dinmicos, voc cria volumes ao invs de parties. Um volume uma unidade de
armazenamento formada a partir do espao livre em um ou mais discos. Voc pode formatar o volume
com um sistema de arquivos e pode atribuir a ele uma letra de unidade ou configur-lo com um ponto
de montagem.
A lista a seguir representa os volumes dinmicos que esto disponveis:
Volumes simples. Um volume simples usa espao livre a partir de um nico disco. Pode ser uma nica
regio em um disco ou pode consistir de vrias regies concatenadas. Um volume simples pode ser
estendido no mesmo disco ou em discos adicionais. Se um volume simples for estendido entre vrios
discos, ele se tornar um volume estendido.
Volumes estendidos. Um volume estendido criado a partir do espao livre em disco que vinculado
em vrios discos. Voc pode ampliar um volume estendido at um mximo de 32 discos. Um volume
estendido no pode ser espelhado e no tolerante a falhas. Portanto, se voc perder um disco,
perder todo o volume estendido.
Volumes divididos. Um volume dividido tem dados que so distribudos em dois ou mais discos fsicos.
Os dados sobre esse tipo de volume so alocados de maneira uniforme e alternativa a cada um dos
discos fsicos. Um volume dividido no pode ser espelhado ou estendido e no tolerante a falhas.
Isso significa que a perda de um disco provoca a perda imediata de todos os dados. A diviso
tambm conhecida como RAID-0.
Volumes espelhados. Um volume espelhado um volume tolerante a falhas que tem todos os dados
duplicados em dois discos fsicos. Todos os dados em um volume so copiados para outro disco
de modo a fornecer redundncia de dados. Se um dos discos falhar, os dados ainda podero ser
acessados pelo disco restante. Um volume espelhado no pode ser estendido. O espelhamento
tambm chamado de RAID-1.
Volumes RAID-5. Um volume RAID-5 um volume tolerante a falhas que tem dados divididos entre
um mnimo de trs ou mais discos. A paridade tambm dividida entre a matriz de discos. Se um
disco fsico falhar, a parte do volume RAID-5 que estava no disco que falhou poder ser recriada a
partir dos dados restantes e da paridade. Um volume RAID-5 no pode ser estendido ou espelhado.
Para obter mais informaes sobre sobre o funcionamento de volumes e discos bsicos,
consulte http://go.microsoft.com/fwlink/?LinkID=199648.
Para obter mais informaes sobre sobre o funcionamento de volumes e discos bsicos,
consulte http://go.microsoft.com/fwlink/?LinkID=199649.
FAT
9-17
O sistema de arquivos projetado especialmente para unidades flash o exFAT (FAT Estendido). Ele pode
ser usado nos casos em que o FAT32 no adequado, por exemplo, quando voc precisa de um formato
de disco que funcione com uma televiso, o que requer um disco com mais de 2 TB. Vrios dar suportes
de mdia tm suporte para o exFAT, como televisores modernos de tela plana, centrais de mdia e players
de mdia portteis.
NTFS
O NTFS o sistema de arquivos padro para todos os sistemas operacionais Windows a partir
do Windows NT Server 3.1. Ao contrrio do FAT, no existem objetos especiais no disco e no h
nenhuma dependncia em relao ao hardware subjacente, como setores de 512 bytes. Alm disso,
no NTFS, no existem locais especiais no disco, como tabelas.
O NTFS um aperfeioamento do FAT em vrios sentidos, como melhor suporte para metadados e o
uso de estruturas de dados avanadas para melhorar a confiabilidade, o desempenho e a utilizao do
espao em disco. O NTFS tambm tem extenses adicionais, como ACLs (listas de controle de acesso)
de segurana, que voc pode usar para auditoria, dirio de sistema de arquivos e criptografia.
O NTFS necessrio para vrias funes e recursos do Windows Server 2012, como o AD DS (Servios
de Domnio Active Directory, VSS (Servio de Cpias de Sombra de Volume), DFS (Sistema de Arquivos
Distribudo) e FRS (Servio de Replicao de Arquivos). O NTFS tambm oferece um nvel muito mais alto
de segurana que o FAT ou o FAT 32.
Voc deve usar o ReFS com volumes muito grandes e compartilhamentos de arquivos muito grandes para
superar a limitao do NTFS de correo e verificao de erros. Como o ReFS no estava disponvel antes
do Windows Server 2012 (a nica opo era o NTFS), faz sentido us-lo com o Windows Server 2012
em vez do NTFS para obter melhor verificao de erros, melhor confiabilidade e menos corrupo.
Leitura adicional:
O que o ReFS?
O ReFS um novo recurso no
Windows Server 2012. Ele se baseia no sistema de
arquivos NTFS e oferece as seguintes vantagens:
Notificaes de alterao
Instantneos de volume
IDs de arquivo
9-19
Como o ReFS usa um subconjunto de recursos do NTFS, ele foi projetado para manter a compatibilidade
com verses mais antigas do NTFS. Portanto, aplicativos que so executados no Windows Server 2012
podem acessar arquivos no ReFS como fariam no NTFS. No entanto, uma unidade formatado para
ReFS no reconhecida quando colocada em computadores que executam sistemas operacionais
Windows Server anteriores ao Windows Server 2012.
Com o NTFS, voc pode alterar o tamanho de um cluster. Porm, com o ReFS, cada cluster tem
um tamanho fixo de 64 KB, que no pode ser alterado. O EFS (Sistema de Arquivos Criptografado)
para arquivos no tm suporte no ReFS.
Como o prprio nome indica, o novo sistema de arquivos oferece maior resilincia, ou seja, melhor
verificao de dados, correo de erros e escalabilidade.
Alm da sua maior resilincia, o ReFS tambm supera o NTFS, oferecendo tamanhos mximos maiores
para arquivos individuais, diretrios, volumes de disco e outros itens.
Atributo
Limite
Aproximadamente 16 EB
(18.446.744.073.709.551.616 bytes)
2^64
(continuao)
Atributo
Limite
2^64
32,000
4 petabytes (PB)
Sem limite
Sem limite
Pontos de montagem
Pontos de montagem so usados em sistemas
operacionais Windows para tornar uma parte
de um disco ou o disco inteiro utilizvel pelo
sistema operacional. Mais comumente, pontos
de montagem esto associados a mapeamentos
de letras de unidade, para que o sistema
operacional possa obter acesso ao disco
atravs da letra de unidade.
Desde a introduo do Windows Server 2000, possvel habilitar pontos de montagem de volume, que
voc pode usar em seguida para montar um disco rgido em uma pasta vazia que est localizada em
outra unidade. Por exemplo, se voc adicionar um novo disco rgido a um servidor, em vez de montar
a unidade usando uma letra de unidade, ser possvel atribuir um nome de pasta, como C:\datadrive,
a essa unidade. Quando isso feito, sempre que voc acessar a pasta C:\datadrive, na verdade voc
estar acessando o novo disco rgido.
9-21
Se voc est ficando sem espao em disco em um servidor e deseja adicionar espao em disco sem
modificar a estrutura de pastas. possvel adicionar o disco rgido e configurar uma pasta de forma
que ela aponte para o disco rgido.
Se voc est ficando sem letras disponveis para atribuir a parties ou volumes. Se voc possui vrios
discos rgidos que esto conectados ao servidor, talvez fique sem letras do alfabeto disponveis para
usar como letras de unidade. Usando um ponto de montagem de volume, voc pode adicionar
outras parties ou volumes sem usar mais letras de unidade.
Se voc precisa separar a E/S (entrada/sada) de disco em uma estrutura de pastas. Por exemplo,
se voc estiver usando um aplicativo que requer uma estrutura de arquivos especfica, mas que
utiliza os discos rgidos extensivamente, ser possvel separar a E/S de disco criando um ponto
de montagem de volume dentro da estrutura de pastas.
Links
Um link um tipo especial de arquivo que contm uma referncia a outro arquivo ou diretrio no
formato de um caminho absoluto ou relativo. O Windows d suporte aos dois tipos de links a seguir:
Links operam de maneira transparente. Aplicativos que fazem leituras ou gravaes em arquivos
nomeados por um link se comportam como se estivessem operando diretamente no arquivo de destino.
Por exemplo, voc pode usar um link simblico para se vincular a um arquivo de disco rgido virtual pai
do Hyper-V (.vhd) a partir de outro local. O Hyper-V usa o link para trabalhar com o disco rgido virtual
(VHD) pai, como faria o arquivo original. A vantagem de usar links simblicos que voc no precisa
modificar as propriedades do seu VHD diferencial.
Observao: No Hyper-V, voc pode usar um disco rgido virtual (VHD) diferencial para
poupar espao, fazendo alteraes apenas no VHD filho, quando esse VHD filho faz parte
de uma relao de VHD pai/filho.
Links so s vezes mais fceis de gerenciar do que pontos de montagem. Pontos de montagem foram
voc a colocar os arquivos na raiz dos volumes, enquanto, com links, voc pode ser mais flexvel em
termos do local onde salvar arquivos.
Voc pode criar links usando o comando mklink no aplicativo Prompt de Comando
Etapas da demonstrao
Criar um ponto de montagem
1.
2.
3.
4.
Tamanho: 4000 MB
5.
Espere at que o volume seja criado, clique com o boto direito do mouse em PontoDeMontagem
e depois clique em Alterar letra de unidade e caminho.
6.
7.
Na barra de tarefas, abra uma janela do Explorador de Arquivos e clique em Disco Local (C:).
Agora, voc ver a pasta PontoDeMontagem com um tamanho de 4.095.996 KB atribuda.
Observe o cone atribudo ao ponto de montagem.
2.
3.
4.
2.
9-23
Ao estender um volume com outros discos, voc cria um disco dinmico com um volume estendido.
Em um volume estendido, se um disco falhar, todos os dados nesse volume sero perdidos. Alm
disso, um volume estendido no pode conter parties de inicializao ou do sistema e, portanto,
voc no pode estender suas parties de inicializao usando outro disco.
Quando voc deseja diminuir uma partio, arquivos imveis, como arquivos de pgina, no so
realocados. Isso significa que voc no pode recuperar o espao alm do local em que esses arquivos
se encontram no volume. Se for necessrio diminuir ainda mais uma partio, voc precisar excluir
ou mover esses arquivos imveis. Por exemplo, possvel remover o arquivo de pgina, diminuir
o volume e, em seguida, adicionar o arquivo de pgina de volta.
Observao: Como prtica recomendada para diminuir volumes, voc deve desfragmentar
os arquivos no volume antes de diminui-lo. Esse mtodo retorna a quantidade mxima de espao
livre em disco. Durante o processo de desfragmentao, voc pode identificar qualquer arquivo
imvel.
Para modificar um volume, voc pode usar o Gerenciamento de Disco, a ferramenta Diskpart.exe
ou o cmdlet Resize-Partition no Windows PowerShell.
Leitura adicional:
Lio 3
O gerenciamento de discos fsicos que esto conectados diretamente a um servidor tem provado ser uma
tarefa entediante para os administradores. Para superar esse problema, muitas organizaes usam SANs,
que essencialmente agrupam discos fsicos.
SANs exigem uma configurao especializada e, por vezes, componentes de hardware especializados,
o que as torna muito caras. Para superar esses problemas, voc pode usar Espaos de Armazenamento,
um recurso do Windows Server 2012 que agrupa discos e os apresenta ao sistema operacional como um
nico disco. Esta lio explica como configurar e implementar o recurso Espaos de Armazenamento.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Unidade de disco. Um volume que voc pode acessar a partir do seu sistema operacional Windows,
por exemplo, usando uma letra de unidade.
Disco virtual (ou espao de armazenamento). Semelhante a um disco fsico sob a perspectiva de
usurios e aplicativos. No entanto, discos virtuais so mais flexveis porque incluem provisionamento
dinmico ou alocaes JIT (just-in-time) e incluem resilincia a falhas de disco fsico com
funcionalidade interna, como espelhamento.
Disco fsico. Discos fsicos so discos como SATA ou SAS. Se voc quiser adicionar discos fsicos
a um pool de armazenamento, esses discos precisam atender aos seguintes requisitos:
o
Um disco fsico necessrio para criar um pool de armazenamento. No mnimo dois discos
fsicos so necessrios para criar um disco virtual espelho resistente.
No mnimo trs discos fsicos so necessrios para criar um disco virtual com a resilincia
atravs de paridade.
Os discos devem estar em branco e no formatados. Nenhum volume deve existir neles.
Layout de Armazenamento
Esse recurso define o nmero de discos no pool
de armazenamento que so alocados. As opes
vlidas incluem:
9-25
Simples. Um espao simples tem diviso de dados, mas no tem nenhuma redundncia. Na diviso
de dados, os dados logicamente sequenciais so segmentados em todos os discos, de modo que o
acesso a esses segmentos sequenciais possa ser feito a diferentes unidades de armazenamento fsico.
A diviso torna possvel o acesso a vrios segmentos de dados simultaneamente. No hospede dados
importantes em um volume simples, pois ele no fornece recursos de failover no caso de falha do
disco que est armazenando os dados.
Espelhamentos em duas e trs direes. Espaos espelho mantm duas ou trs cpias dos dados que
eles hospedam (duas cpias de dados para dois espelhos em duas direes e trs cpias de dados
para espelhos em trs direes). A duplicao acontece com cada escrita para assegurar que todas
as cpias de dados sempre sejam atuais. Espaos espelho tambm dividem os dados entre vrias
unidades fsicas. Espaos espelho proporcionam o benefcio de uma maior taxa de transferncia
de dados e uma menor latncia de acesso. Tambm no apresentam riscos de corromper os dados
em repouso e no exigem um estgio extra de dirio durante a gravao de dados.
Alocao de unidade
Define como a unidade est alocada ao pool. As opes so:
Automtica. Esta a atribuio padro quando qualquer unidade adicionada a um pool. O recurso
Espaos de Armazenamento pode selecionar automaticamente a capacidade disponvel em unidades
de repositrio de dados tanto para criao de espao de armazenamento quanto para alocao JIT.
Espera Ativa. Unidades adicionadas como Esperas Ativas a um pool so unidades de reserva que no
so usadas para a criao de um espao de armazenamento. Se ocorrer uma falha em uma unidade
que esteja hospedando colunas de um espao de armazenamento, uma unidade de reserva ser
chamada para substituir a unidade com falha.
Esquemas de provisionamento
Voc pode provisionar um disco virtual usando dois esquemas diferentes:
9-27
O clustering de failover impede a interrupo em cargas de trabalho ou dados em caso de uma falha na
mquina. Para que um pool possa dar suporte para failover, o clustering de todas as unidades atribudas
deve dar suporte um protocolo multi-iniciador, como o SAS.
Observao: Voc pode usar Espaos de Armazenamento para discos virtuais de
provisionamento fixo e dinmico dentro do mesmo pool de armazenamento. conveniente
ter ambos os tipos provisionados no mesmo pool de armazenamento, principalmente quando
eles esto relacionados com a mesma carga de trabalho. Por exemplo, voc pode optar por ter
um espao de provisionamento dinmico para hospedar um banco de dados e um espao de
provisionamento fixo para hospedar seu log.
Pergunta: Qual o nome de um disco virtual que maior que a quantidade de espao
em disco disponvel na parte de discos fsicos do pool de armazenamento?
Descrio
Get-StoragePool
Get-VirtualDisk
Repair-VirtualDisk
(continuao)
Cmdlet do Windows PowerShell
Descrio
Get-PhysicalDisk |
Where{$_.HealthStatus ne Healthy}
Reset-PhysicalDisk
Get-VirtualDisk | Get-PhysicalDisk
Etapas da demonstrao
Criar um pool de armazenamento
1.
2.
3.
No painel DISCOS VIRTUAIS, crie um Novo Disco Virtual com as seguintes configuraes:
o
Tamanho: 2 GB
2.
Na pgina Exibir resultados, aguarde at que a tarefa seja concluda e verifique se a caixa de seleo
Criar um volume quando este assistente fechar est marcada.
3.
4.
9-29
A A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres,
Inglaterra. Um escritrio de TI e um datacenter esto localizados em Londres como suporte localizao
em Londres e outras localizaes. Recentemente, a A. Datum implantou uma infraestrutura do
Windows Server 2012 com clientes Windows 8.
Voc trabalha para a A. Datum h vrios anos como especialista em suporte para desktop. Neste cargo,
voc visitou computadores desktop para solucionar problemas com aplicativos e redes. Recentemente,
voc aceitou uma promoo para trabalhar na equipe de suporte a servidores. Uma de suas primeiras
atribuies foi configurar o servio de infraestrutura para uma nova filial.
Seu gerente lhe pediu para adicionar espao em disco a um servidor de arquivos. Apos a criao dos
volumes, seu gerente tambm lhe pediu para redimensionar esses volumes com base em informaes
atualizadas que ele recebeu. Por fim, voc precisa tornar o armazenamento de dados redundante,
criando um disco virtual com espalhamento em trs direes.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Redimensionar volumes.
Configurao do laboratrio
Tempo previsto: 30 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-SVR1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique em
Gerenciador do Hyper-V.
1.
2.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
3.
4.
Senha: Pa$$w0rd
Domnio: ADATUM
2.
3.
2.
3.
2.
Letra de Unidade: F
Letra de Unidade: G
2.
Use o Explorador de Arquivos para se certificar de que voc consegue acessar os seguintes volumes:
o
Volume1 (F:)
Volume2 (G:)
Resultados: Aps a concluso deste exerccio, voc ter inicializado um novo disco e, em seguida, ter
criado e formatado dois volumes simples. Voc tambm ter confirmado que as letras de unidade esto
disponveis no Explorador de Arquivos.
9-31
Aps a instalao do novo disco no servidor de arquivos, seu gerente lhe procura para comunicar que
as informaes fornecidas estavam incorretas. Ele agora precisa que voc redimensione os volumes
sem perder dados.
As principais tarefas deste exerccio so:
1.
Diminuir o Volume1
2.
Estender o Volume2
Use Gerenciamento de Disco para diminuir o Volume1 (F:) para 3000 MB.
2.
Resultados: Depois de concluir este exerccio, voc dever ter um volume menor e estender outro.
Depois de criar o pool de armazenamento, voc tambm precisa criar um disco virtual redundante.
Como os dados so crticos, a solicitao de armazenamento redundante especifica que voc precisa
usar um volume com espelhamento em trs direes. Pouco depois de o volume entrar em uso, um
disco apresenta falha, e voc precisa adicionar outro disco ao pool de armazenamento para substitu-lo.
As principais tarefas deste exerccio so:
1.
2.
3.
Copiar um arquivo para o volume e verificar se ele est visvel no Explorador de Arquivos
4.
5.
6.
2.
3.
Nome: StoragePool1
Discos fsicos:
o
PhysicalDisk3
PhysicalDisk4
PhysicalDisk5
PhysicalDisk6
PhysicalDisk7
2.
Letra de unidade: H
2.
3.
Abra o Explorador de Arquivos na barra de tarefas e acesse Volume Espelhado (H:). Voc ver
write.exe na lista de arquivos.
9-33
2.
Abra o Explorador de Arquivos e navegue at H:\write.exe para garantir que o acesso ao arquivo
ainda esteja disponvel.
3.
4.
Abra a caixa de dilogo Propriedades do Disco Espelhado e acesse o painel Integridade. Observe
que o Estado de Integridade indica um Aviso. O Status Operacional deve indicar Incompleto
ou Degradado.
2.
3.
4.
No painel DISCOS FSICOS, clique com o boto direito do mouse no disco que exibe um aviso
ao lado e depois selecione Remover Disco.
5.
Clique no boto Atualizar Pools de Armazenamento para ver os avisos que desaparecem.
Resultados: Aps a concluso deste laboratrio, voc ter criado um pool de armazenamento e
adicionado cinco discos a ele. Em seguida, voc ter criado um disco virtual de provisionamento dinmico
com espelhamento em trs direes a partir desse pool de armazenamento. Voc tambm ter copiado
um arquivo para o novo volume e confirmado que ele acessvel. Em seguida, aps a remoo de uma
unidade fsica, voc ter verificado que o disco virtual ainda estava disponvel e acessvel. Finalmente,
voc ter adicionado outro disco fsico ao pool de armazenamento.
2.
3.
4.
Ferramentas
Ferramenta
Gerenciamento de Disco
Uso
Inicializar discos
Criar e modificar volumes
Diskpart.exe
Inicializar discos
Onde encontrar
No Gerenciador do Servidor, no
menu Ferramentas (parte de
Gerenciamento do Computador)
Prompt de comando
Prompt de comando
Chkdsk.exe
Prompt de comando
Ferramenta de desfragmentao
de disco para volumes
formatados em NTFS.
Prompt de comando
Prtica recomendada
Veja a seguir as prticas recomendadas:
Se voc deseja diminuir um volume, desfragmente-o primeiro para que voc possa recuperar
mais espao do volume.
Use o formato de tabela de parties GPT para discos com mais de 2 TB.
Use o recurso Espaos de Armazenamento para que o sistema operacional Windows gerencie
seus discos.
Mdulo 10
Implementao de servios de arquivo e impresso
Contedo:
Viso geral do mdulo
10-1
10-2
10-17
10-21
10-28
10-35
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como as permisses efetivas funcionam quando voc acessa pastas compartilhadas.
As permisses NTFS podem ser herdadas de pastas pai. Por padro, as permisses NTFS atribudas
a uma pasta tambm so atribudas a pastas ou arquivos recm-criados dentro dessa pasta pai.
Permisses padro
10-3
As permisses padro fornecem as configuraes de permisso usadas com mais frequncia para arquivos
e pastas. As permisses padro so atribudas na janela Atribuio de Permisses NTFS.
A tabela a seguir fornece detalhes das opes de permisso padro para arquivos e pastas NTFS.
Permisses de arquivo
Descrio
Controle Total
Modificar
Ler e Executar
Leitura
Gravar
Listar contedo da
pasta (somente pastas)
Permisses avanadas
As permisses avanadas podem fornecer um nvel muito maior de controle sobre arquivos e pastas NTFS.
Para acess-las, clique no boto Avanado da guia Segurana da caixa de dilogo Propriedades de um
arquivo ou de uma pasta.
A tabela a seguir fornece detalhes das permisses avanadas para arquivos e pastas NTFS.
Permisses de arquivo
Descrio
Desviar Pasta/
Executar Arquivo
Ler Atributos
Ler Atributos
Estendidos
Criar Arquivos/
Gravar Dados
Criar Pastas/
Acrescentar Dados
(continuao)
Permisses de arquivo
Descrio
10-5
Gravar Atributos
Gravar Atributos
Estendidos
Excluir Subpastas
e Arquivos
Excluso
Ler Permisses
Alterar Permisses
Apropriar-se
Sincronizar
Para a pasta Imagens de Marketing, um administrador optou por atribuir permisses Permitir
a Adam Carter para o tipo de permisso Ler. No comportamento padro de permisses NTFS,
Adam Carter ter acesso de Leitura aos arquivos e s pastas contidas na pasta Imagens de Marketing.
Quando as permisses NTFS forem aplicadas, os resultados sero cumulativos. Por exemplo, no
exemplo anterior, suponha que Adam Carter tambm faa parte do grupo Marketing. O grupo
Marketing recebeu permisses de Gravao na pasta Imagens de Marketing. Quando combinarmos
as permisses atribudas conta de usurio de Adam Carter com as permisses atribudas ao grupo
Marketing, Adam teria as permisses Ler e Gravar para a pasta Imagens de Marketing.
Explcita versus Herdada. Quando voc aplica permisses NTFS, as permisses aplicadas
explicitamente a um arquivo ou uma pasta tm precedncia sobre as herdadas de uma pasta pai.
Negar versus Permitir. Depois que as permisses NTFS forem divididas em permisses explcitas
e herdadas, qualquer permisso Negar existente substituir as permisses Permitir conflitantes
dentro do grupo.
Portanto, levando em conta essas regras, as permisses NTFS sero aplicadas na seguinte ordem:
1.
Negar Explcita
2.
Permitir Explcita
3.
Negar Herdada
4.
Permitir Herdada
importante lembrar que as permisses NTFS so cumulativas, e essas regras s se aplicam quando duas
configuraes de permisso NTFS esto em conflito entre si.
Clique com o boto direito do mouse no arquivo ou na pasta para a qual deseja atribuir permisses
e, em seguida, clique em Propriedades.
2.
Na caixa de dilogo Propriedades, clique na guia Segurana. Nessa guia, voc pode selecionar
os usurios ou os grupos atuais que receberam as permisses atribudas para exibir as permisses
especficas designadas a cada entidade de segurana.
3.
Para abrir uma caixa de dilogo de permisses editvel, que lhe permitir modificar as permisses
existentes ou adicionar novos usurios ou grupos, clique no boto Editar.
10-7
A maioria das organizaes implanta servidores de arquivos dedicados para hospedar as pastas
compartilhadas. Os arquivos podem ser armazenados em pastas compartilhadas de acordo com
categorias ou funes. Por exemplo, voc pode colocar os arquivos compartilhados do Departamento
de Vendas em uma pasta compartilhada e os arquivos compartilhados do Departamento de Marketing
em outra.
Observao: O processo de compartilhamento s se aplica ao nvel de pasta.
Voc no pode compartilhar um arquivo individual ou um grupo de arquivos.
Usurios geralmente acessam uma pasta compartilhada atravs da rede usando seu endereo UNC
(Conveno de Nomenclatura Universal). O endereo UNC contm o nome do servidor no qual a pasta
est hospedada e o nome real da pasta compartilhada, separado por uma barra invertida (\) e precedida
por duas barras invertidas (\\). Por exemplo, o caminho UNC da pasta compartilhada Vendas no servidor
LON-SVR1 seria \\LON-SVR1\Vendas.
Use a ferramenta de linha de comando Net use em uma janela de linha de comando.
Compartilhamentos administrativos
Voc pode criar pastas compartilhadas administrativas (ou ocultas) que precisam estar disponveis na
rede, mas devem estar ocultas para os usurios que navegam na rede. Voc pode acessar uma pasta
compartilhada administrativa digitando seu caminho UNC, mas ela no ser exibida se voc pesquisar
o servidor usando uma janela do Windows Explorer. As pastas compartilhadas administrativas
normalmente tambm tm um conjunto de permisses mais restritivo atribudo pasta compartilhada
para refletir a natureza administrativa do contedo da pasta.
Para ocultar uma pasta compartilhada, acrescente o smbolo de dlar ($) ao nome da pasta.
Por exemplo, uma pasta compartilhada em LON-SVR1 denominada Vendas pode ser transformada
em pasta compartilhada oculta se for denominada Vendas$. A pasta compartilhada estar acessvel
pela rede usando o caminho UNC \\LON-SVR1\Vendas$.
Observao: As permisses de pasta compartilhada aplicam-se somente aos usurios que
acessam a pasta atravs da rede. Elas no afetam os usurios que acessam a pasta localmente no
computador no qual a pasta est armazenada.
Da mesma forma que as permisses NTFS, voc pode atribuir permisses de pasta compartilhada a
usurios, grupos ou computadores. Porm, ao contrrio das permisses NTFS, as permisses de pasta
compartilhada no so configurveis para arquivos ou pastas individuais dentro da pasta compartilhada.
As permisses de pasta compartilhada so definidas uma vez para a prpria pasta compartilhada e
aplicadas universalmente a todo o contedo da pasta compartilhada para os usurios que acessam
a pasta atravs da rede.
Quando voc cria uma pasta compartilhada, a permisso compartilhada padro atribuda para o grupo
Todos definido como Ler.
A tabela a seguir lista as permisses que voc pode conceder a uma pasta compartilhada.
Permisso de pasta
compartilhada
Descrio
Leitura
Alterar
Controle Total
Herana de permisses
Por padro, o NTFS e as pastas compartilhadas
usam herana para propagar permisses em
toda a estrutura de pastas. Quando voc cria
um arquivo ou uma pasta, ela atribuda
automaticamente s permisses definidas em
qualquer pasta existente acima dela (pasta pai)
na hierarquia da estrutura de pastas.
Permisses atribudas
Ler Marketing
Nenhum conjunto
Gravar Editores de Nova York
Nenhum conjunto
Permisses de Adam
Leitura
Ler (herdada)
Ler(i) + Gravar
Ler(i) + Gravar(i)
Nesse exemplo, Adam membro de dois grupos que receberam permisses para arquivos ou pastas
da estrutura de pastas. So eles:
10-9
A pasta de nvel superior, Marketing, tem uma permisso atribuda para o Grupo Marketing que
lhe d acesso de leitura.
No prximo nvel, a pasta Imagens de Marketing no tem nenhuma permisso explcita definida,
mas, por causa da herana de permisses, Adam tem acesso de Leitura a essa pasta e seu contedo
a partir das permisses definidas na pasta Marketing.
No terceiro nvel, a pasta Nova York tem permisses Gravar atribudas a um dos grupos de Adam
Editores de Nova York. Alm dessa permisso Gravar explicitamente atribuda, a pasta Nova York
tambm herda a permisso Ler da pasta Marketing. Essas permisses so transmitidas para objetos de
arquivo e pasta e acumuladas com qualquer permisso explcita Ler e Gravar definida nesses arquivos.
Conflitos de permisso
s vezes, as permisses explicitamente definidas em um arquivo ou uma pasta entraro em conflito
com as permisses herdadas de uma pasta pai. Nesses casos, as permisses explicitamente atribudas
sempre substituiro as permisses herdadas. No exemplo especfico, se fosse negado o acesso Gravar
Adam Carter para a pasta pai Marketing, mas tivesse sido concedido acesso Gravar explicitamente
pasta Nova York, as permisses de acesso Gravar concedidas teriam precedncia sobre a permisso
herdada Negar acesso de gravao.
Bloqueio de herana
Voc tambm pode desabilitar o comportamento de herana para um arquivo ou uma pasta (e seu
contedo) em uma unidade NTFS a fim de definir permisses explicitamente para um conjunto de
objetos sem incluir nenhuma das permisses herdadas de qualquer pasta pai. O Windows Server 2012
fornece uma opo para bloquear a herana em um arquivo ou uma pasta. Para bloquear a herana
em um arquivo ou uma pasta, execute as etapas a seguir:
Clique com o boto direito do mouse no arquivo ou na pasta em que deseja bloquear a herana
e, em seguida, clique em Propriedades.
Neste momento, voc ser solicitado a converter as permisses herdadas em permisses explcitas ou
remover todas as permisses herdadas do objeto para iniciar com uma lista de permisses em branco.
10-10
Depois que voc bloquear a herana, as alteraes feitas nas permisses na estrutura de pastas pai no
ter mais efeito nas permisses para o objeto filho (e seu contedo) que bloqueou herana, a menos que
voc redefina esse comportamento de uma das pastas pai, marcando a caixa de seleo Substituir todas
as entradas de permisso de objeto filho por entradas hereditrias deste objeto. Quando voc
marca essa caixa de seleo, o conjunto de permisses existente na pasta atual propagado at todos
os objetos filho na estrutura de rvore e substitui todas as permisses atribudas explicitamente para
esses arquivos e pastas. Essa caixa de seleo est localizada diretamente abaixo da caixa de seleo
Incluir permisses herdveis provenientes do pai deste objeto.
Permisses efetivas
O acesso a um arquivo ou uma pasta no
Windows Server 2012 concedido com base
em uma combinao de permisses. Quando um
usurio tenta acessar um arquivo ou uma pasta,
a permisso aplicvel depende de vrios fatores,
incluindo:
10-11
As permisses cumulativas so a combinao das permisses NTFS mais altas concedidas ao usurio
e a todos os grupos dos quais o usurio membro. Por exemplo, se um usurio for membro de
um grupo que tenha a permisso Ler e for membro de um grupo que tenha a permisso Modificar,
ele obter as permisses Modificar cumulativas.
Cada objeto de uma unidade NTFS ou do Servios de Domnio Active Directory (AD DS)
proprietrio. O proprietrio controla como as permisses so definidas no objeto e para
quem elas so concedidas. Por exemplo, um usurio que cria um arquivo em uma pasta
onde tem permisses Modificar pode alterar as permisses no arquivo para Controle Total.
O Windows Server 2012 fornece a ferramenta Permisses Efetivas que mostra as permisses NTFS efetivas
em um arquivo ou uma pasta para um usurio, com base nas permisses atribudas conta de usurio
e aos grupos aos quais a conta de usurio pertence. possvel acessar a ferramenta Permisses Efetivas
executando as seguintes etapas:
1.
Clique com o boto direito do mouse no arquivo ou na pasta cujas permisses deseja analisar
e, em seguida, clique em Propriedades.
2.
3.
4.
10-12
Se voc definir as permisses NTFS em uma pasta como Controle Total, mas definir as permisses
de pasta compartilhada como Ler, o usurio ter apenas a permisso Ler ao acessar a pasta atravs
da rede. O acesso ser restrito no nvel de pasta compartilhada e qualquer acesso mais elevado
no nvel de permisses NTFS no ser aplicado.
Da mesma forma, se voc definir a permisso de pasta compartilhada como Controle Total e
definir as permisses NTFS como Gravar, o usurio no ter nenhuma restrio no nvel de pasta
compartilhada, mas as permisses NTFS na pasta concedero apenas permisses Gravar a essa pasta.
O usurio deve ter permisses apropriadas tanto no arquivo ou na pasta NTFS como na pasta
compartilhada. Se nenhuma permisso existir para o usurio (como indivduo ou como membro
de um grupo) em qualquer um dos dois recursos, o acesso ser negado.
Conceda permisses a grupos, em vez de a usurios. Os grupos podem ter sempre indivduos
adicionados ou excludos, enquanto as permisses analisadas caso a caso so difceis
de acompanhar e trabalhosas de gerenciar.
Use as permisses Negar somente quando necessrio. Como as permisses Negar so herdadas,
a atribuio de permisses Negar a uma pasta poder impedir o acesso dos usurios aos arquivos
mais abaixo na rvore de estrutura de pastas. Somente atribua permisses Negar nestas situaes:
Para excluir uma permisso especfica quando voc tiver concedido permisses Controle Total
a um usurio ou um grupo
Nunca negue ao grupo o acesso Todos a um objeto. Caso contrrio, voc negar o acesso
Administradores, inclusive para voc. Nesse caso, remova o grupo Todos da lista de permisses,
desde que voc conceda permisses a outros usurios, grupos ou computadores para o objeto.
Conceda permisses a um objeto localizado no nvel mais alto possvel na estrutura de pastas, de
modo que as configuraes de segurana se propaguem por toda a rvore. Por exemplo, em vez
de colocar os grupos que representam todos os departamentos da empresa juntos em uma pasta Ler,
atribua Usurios do Domnio (que um grupo padro para todas as contas de usurio no domnio)
ao compartilhamento. Dessa maneira, voc no precisar atualizar os grupos de departamento antes
de os novos usurios receberem a pasta compartilhada.
Use permisses NTFS em vez de permisses compartilhadas para um acesso refinado. A configurao
de permisses NTFS e de permisses de pasta compartilhada pode ser difcil. Considere atribuir as
permisses mais restritivas para um grupo contendo vrios usurios no nvel de pasta compartilhada
e, em seguida, use as permisses NTFS para atribuir permisses mais especficas.
10-13
1.
2.
3.
4.
No painel Compartilhamentos, clique com o boto direito do mouse na pasta compartilhada para a
qual voc deseja habilitar a enumerao baseada em acesso e, em seguida, clique em Propriedades.
5.
Quando a caixa de seleo Quando a caixa de seleo estiver selecionada, a enumerao baseada em
acesso ser habilitada na pasta compartilhada. Essa configurao exclusiva a cada pasta compartilhada
no servidor.
Observao: O console Servios de Arquivo e Armazenamento o nico local na interface
do Windows Server 2012 onde voc pode configurar enumerao baseada em acesso para uma
pasta compartilhada. A enumerao baseada em acesso no est disponvel em nenhuma caixa
de dilogo de propriedades que pode ser acessada clicando com o boto direito do mouse na
pasta compartilhada, no Explorador de Arquivos.
Windows 8
Windows 7
Windows Vista
Windows XP
Com o Windows Server 2012, voc exibe a janela Configuraes Offline para uma pasta compartilhada,
clicando no boto Cache na janela Compartilhamento Avanado. As seguintes opes esto disponveis
na janela Configuraes Offline:
Somente os arquivos e programas especificados pelos usurios ficam disponveis offline. Essa
a opo padro quando voc configura uma pasta compartilhada. Quando voc usa essa opo,
por padro, nenhum arquivo ou programa est disponvel offline, e os usurios controlam quais
arquivos e programas desejaro acessar quando no estiverem conectados rede. Se preferir,
voc pode escolher a opo Habilitar BranchCache. Essa opo habilita os computadores que
esto acessando os arquivos para armazenar em cache os arquivos baixados da pasta que usa
o Windows BranchCache. Voc deve instalar e configurar o BranchCache no servidor
Windows Server 2012 para selecionar essa opo.
Nenhum arquivo ou programa da pasta compartilhada fica disponvel offline. Essa opo impede
que os computadores cliente faam cpias dos arquivos e programas na pasta compartilhada.
10-14
10-15
Otimizado para desempenho. Se voc marcar a caixa de seleo Otimizado para desempenho,
os arquivos executveis (.exe, .dll) executados a partir da pasta compartilhada por um computador
cliente sero automaticamente armazenados em cache nesse computador cliente. Na prxima vez
que o computador cliente executar os arquivos executveis, ele acessar seu cache local em vez
da pasta compartilhada no servidor.
Voc pode configurar os computadores que executam o Windows Server 2012 e o Windows 8 para
usar o modo Sempre disponvel offline quando eles acessarem as pastas compartilhadas. Quando voc
configura essa opo, os computadores cliente sempre usam a verso armazenada localmente em cache
dos arquivos de um compartilhamento de rede, at mesmo se eles estiverem conectados ao servidor
de arquivos por uma conexo de rede de alta velocidade.
Essa configurao normalmente resulta em um acesso mais rpido aos arquivos dos computadores
cliente, principalmente quando a conectividade ou a velocidade de uma conexo de rede est
intermitente. A sincronizao com os arquivos no servidor ocorre de acordo com a configurao
dos arquivos offline do computador cliente.
Para habilitar o modo Sempre Offline, use a Poltica de Grupo para habilitar a configurao Configurar
modo de vnculos lentos e defina o valor de latncia para 1. A configurao Configurar modo
de vnculos lentos est localizada na Poltica de Grupo, sob o n Configurao do Computador\
Polticas Administrativas\Rede\Arquivos Offline.
Etapas da demonstrao
Criar uma pasta compartilhada
1.
2.
3.
2.
3.
10-16
1.
2.
3.
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
10-17
Por padro, os blocos de disco alterados so armazenados na mesma unidade do arquivo original, mas
esse comportamento pode ser modificado. Voc tambm pode definir a quantidade de espao em disco
alocada para as cpias de sombra. Vrios instantneos so retidos at que o espao em disco alocado
esteja cheio. Depois disso, os instantneos mais antigos so removidos para liberar espao para novos
instantneos. A quantidade de espao em disco usada por um instantneo baseada no tamanho das
alteraes de disco entre os instantneos.
Como um instantneo no uma cpia completa de arquivos, voc no pode usar cpias de sombra
para substituir os backups tradicionais. Se o disco que contm uma unidade for perdido ou danificado,
os instantneos dessa unidade tambm sero perdidos.
As cpias de sombra so adequadas para recuperar arquivos de dados, mas no para dados mais
complexos (como bancos de dados), que precisam ser logicamente consistentes antes da execuo
de um backup. Um banco de dados restaurado de verses anteriores provavelmente estar corrompido
e necessitar de reparos do banco de dados.
10-18
Aumente a frequncia das cpias de sombra para os dados alterados com frequncia. Isto aumenta
a probabilidade de que as alteraes recentes de arquivo sejam capturadas.
Aumente a frequncia de cpias de sombra para dados importantes. Isso aumentar a probabilidade
de captura das alteraes recentes no arquivo.
10-19
Ao exibir as verses anteriores de uma pasta, voc pode procurar os arquivos disponveis e selecionar
apenas o arquivo necessrio. Se vrias verses de arquivos estiverem disponveis, voc poder examinar
cada verso antes de decidir qual delas restaurar. Finalmente, voc pode copiar uma verso anterior
de um arquivo para um local alternativo em vez de restaur-la ao seu local anterior. Isso impede a
substituio da verso de arquivo atual.
Os clientes dos sistemas operacionais Windows XP com Service Pack 2 (SP2) ou verso mais recente,
Windows Vista e Windows 7 so capazes de acessar as verses anteriores dos arquivos sem a instalao
de nenhum software adicional. A capacidade de acessar as verses anteriores dos arquivos no tem
mais suporte nos sistemas operacionais Windows anteriores ao Windows XP com SP2.
Modificar o arquivo.
Etapas da demonstrao
Configurar cpias de sombra
1.
2.
2.
3.
4.
No Explorador de Arquivos, clique com o boto direito do mouse em Disco Local (C:) e, em seguida,
clique em Configurar cpias de sombra.
2.
3.
Modificar o arquivo
1.
2.
3.
2.
3.
4.
Abra TestFile.txt para abrir o documento e verifique se a verso anterior foi restaurada.
10-20
Lio 3
10-21
Ao usar a funo Servios de Impresso e Documentos no Windows Server 2012, voc pode compartilhar
impressoras em uma rede e centralizar o gerenciamento do servidor de impresso e da impressora
de rede. Ao usar o console Gerenciamento de Impresso, voc pode monitorar as filas de impresso
e receber notificaes importantes referentes atividade do servidor de impresso.
O Windows Server 2012 apresenta novos recursos e alteraes importantes na funo Servios de
Impresso e Documentos que podem ser usados para voc gerenciar melhor seu ambiente de impresso
pela rede. Esta lio explica os aspectos importantes da impresso pela rede e introduz novos recursos
de impresso pela rede disponveis no Windows Server 2012.
Objetivos da lio
Depois de concluir a lio, voc ser capaz de:
10-22
Custos reduzidos. Uma impressora de rede mais cara do que as impressoras geralmente usadas para
impresso local, mas ela tambm reduz significativamente os custos com consumveis e apresenta
melhor qualidade de impresso. Portanto, o custo de impresso ainda minimizado, pois o custo
inicial da impressora dividido entre todos os computadores que se conectam com essa impressora.
Por exemplo, uma nica impressora de rede pode atender 100 usurios ou mais.
Os usurios podem procurar impressoras facilmente. Voc tambm pode publicar impressoras
de rede no AD DS, que permite que os usurios procurem impressoras em seu domnio.
O Windows Server 2012 e o Windows 8 incluem suporte para os drivers de impresso v4, que permite
gerenciamento e instalao aprimorados do driver do dispositivo de impresso. Com base no modelo v4,
os fabricantes de dispositivo de impresso podem criar Drivers de Classe de Impresso que do suporte
a recursos e linguagem de impresso semelhantes que podem ser comuns a um grande conjunto de
dispositivos. As linguagens de impresso comuns podem incluir PCL, .ps ou XPS (XML Paper Specification).
Os drivers V4 so normalmente entregues usando o Windows Update ou o Windows Software Update
Services. Ao contrrio dos drivers v3, os drivers V4 no so entregues de um repositrio de impressora
hospedado no servidor de impresso.
O modelo de driver V4 oferece os seguintes benefcios:
Os arquivos de driver so isolados por driver, evitando conflitos de nomeao de arquivos de driver.
10-23
Os pacotes de driver so menores e mais simplificados do que os drivers v3, resultando em tempos
de instalao de driver mais rpidos.
Gerenciar esta impressora: Esta permisso permite que os usurios modifiquem configuraes
de impresso, inclusive atualizar drivers. Por padro, esta permisso dada a Administradores,
Operadores de Servidor e Operadores de Impresso.
Gerenciar documentos: essa permisso permite que os usurios modifiquem e excluam os trabalhos
de impresso na fila. Essa permisso atribuda ao PROPRIETRIO CRIADOR, que significa que o
usurio que cria um trabalho de impresso gerencia esse trabalho. Administradores, Operadores
de Servidor e Operadores de Impresso tambm recebem essa permisso para todos os trabalhos
de impresso.
Etapas da demonstrao
Criar uma impressora compartilhada
1.
2.
Adicione uma impressora usando a porta local LPT1 e o driver Brother Color Leg Type1 Class
driver.
3.
4.
2.
Adicione uma impressora usando a porta local LPT1 e o driver Brother Color Leg Type1 Class
driver.
3.
4.
2.
10-24
10-25
As impressoras devem usar o mesmo driver: Os clientes usam um nico driver de impressora
para gerar trabalhos de impresso. Todas as impressoras devem aceitar trabalhos de impresso
no mesmo formato. Em muitos casos, isso significa que um nico modelo de impressora usado.
10-26
A Impresso Direta na Filial transparente ao usurio. Alm disso, o usurio poder imprimir at
mesmo se o servidor de impresso no estiver disponvel por algum motivo (por exemplo, se o link WAN
(rede de longa distncia) para o data center estiver inoperante). Isso porque as informaes da impressora
so armazenadas em cache no computador cliente da filial.
2.
3.
Para configurar a Impresso Direta na Filial usando o Windows PowerShell, digite o cmdlet a seguir
em um prompt do Windows PowerShell:
Set-Printer -name "<Nome de Impressora>" -ComputerName <Nome do Servidor de Impresso> RenderingMode BranchOffice
10-27
Instalao manual. Cada usurio pode adicionar impressoras manualmente, navegando na rede ou
usando o Assistente para Adicionar Impressora. importante observar que as impressoras de rede
instaladas manualmente s estaro disponveis para o usurio que as instalou. Se vrios usurios
compartilharem um computador, cada um deles dever instalar a impressora manualmente.
10-28
Seu gerente lhe pediu recentemente para configurar os servios de arquivo e impresso para a filial.
Isso requer que voc configure uma nova pasta compartilhada que ser usada por vrios departamentos,
configure cpias de sombra nos servidores de arquivos e configure um pool de impressoras.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 45 minutos
Mquinas virtuais
24410B-LON-CL1
24410B-LON-DC1
24410B-LON-SVR1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: ADATUM
10-29
2.
3.
4.
5.
6.
7.
E:\Dados
E:\Dados\Development
E:\Dados\Marketing
E:\Dados\Research
E:\Dados\Sales
2.
3.
Permisses
E:\Dados
Nenhuma alterao
E:\Dados\Desenvolvimento
Modificar: ADATUM\Desenvolvimento
E:\Dados\Marketing
Modificar: ADATUM\Marketing
E:\Dados\Pesquisa
Modificar: ADATUM\Pesquisa
E:\Dados\Vendas
Modificar: ADATUM\Vendas
2.
2.
3.
Navegue at \\LON-SVR1\Dados.
4.
Observao: Bernard no deve ter acesso pasta Desenvolvimento. Porm, embora Bernard
ainda possa ver as outras pastas, ele no tem acesso ao seu contedo.
5.
Saia de LON-CL1.
2.
3.
4.
Clique em Compartilhamentos.
5.
10-30
2.
Observao: Bernard agora pode exibir apenas a pasta Desenvolvimento, a pasta para
a qual ele recebeu permisses.
3.
4.
Saia de LON-CL1.
2.
3.
Navegue at a unidade E.
4.
Abra a janela Propriedades para a pasta Dados e desabilite o modo de cache de arquivos offline.
10-31
Resultados: Depois de concluir este exerccio, voc ter criado uma nova pasta compartilhada para ser
usada por vrios departamentos.
A A. Datum Corporation armazena backups diariamente fora do local para a recuperao de desastres.
Todas as manhs, o backup da noite anterior levado para fora do local. Para recuperar um arquivo do
backup, necessrio trazer as fitas de backup de volta ao local. Em geral, o tempo para a recuperao
de um arquivo de backup pode ser um dia ou mais.
Seu gerente lhe pediu para assegurar que as cpias de sombra estejam habilitadas no servidor de
arquivos para que voc possa restaurar os arquivos modificados ou excludos recentemente sem
usar uma fita de backup. Como os dados nessa filial so alterados com frequncia, pediram a voc
para configurar uma cpia de sombra que fosse criada uma vez por hora.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
Navegue at a unidade E, clique com o boto direito do mouse em Allfiles (E:) e, em seguida,
clique em Configurar cpias de sombra.
4.
5.
Defina as configuraes para agendar cpias de sombra de hora em hora para a unidade E.
2.
3.
Retorne caixa de dilogo Cpias de Sombra; ela ainda deve estar aberta na guia Cpias
de Sombra. Clique em Criar Agora.
2.
3.
4.
5.
6.
Resultados: Depois de concluir este exerccio, voc ter habilitado cpias de sombra no servidor
de arquivos.
2.
3.
4.
5.
10-32
2.
2.
Compartilhe a impressora.
3.
4.
Em LON-SVR1, no console Gerenciamento de Impresso, crie uma nova porta com a seguinte
configurao:
2.
3.
2.
2.
10-33
3.
4.
Resultados: Depois de concluir este exerccio, voc ter instalado a funo de servidor Servios
de Impresso e Documento e instalado uma impressora com o pool de impressoras.
Pergunta: Como a implementao da enumerao baseada em acesso beneficia os usurios
da pasta compartilhada Dados neste laboratrio?
Pergunta: H outro modo de recuperar o arquivo no exerccio de cpia de sombra? Qual
o benefcio das cpias de sombra em comparao?
Pergunta: No Exerccio 3, como voc configuraria a Impresso Direta na Filial se estivesse
em um local remoto e no tivesse acesso GUI do Windows Server 2012 para o servidor
de impresso?
10-34
Ferramentas
10-35
Nome da ferramenta
Usada para
Onde encontrar
Ferramenta
Permisses Efetivas
Ferramenta de linha
de comando Net use
Console
Gerenciamento
de Impresso
Mdulo 11
Implementao da Poltica de Grupo
Contedo:
Viso geral do mdulo
11-1
11-2
11-11
11-18
11-23
11-27
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
A Poltica de Grupo lhe permite controlar o ambiente de computao. importante que voc entenda
o modo de funcionamento da Poltica de Grupo, para poder aplicar a Poltica de Grupo corretamente.
Esta lio apresenta uma viso geral da estrutura da Poltica de Grupo e define os Objetos de Poltica de
Grupo (GPOs) locais e baseados em domnio. Ele tambm descreve os tipos de configuraes disponveis
para usurios e grupos.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
GPOs
Um GPO um objeto que contm uma ou mais
configuraes de poltica que aplicam definies
de configurao para usurios, computadores ou ambos. Os modelos de GPO so armazenados no
SYSVOL, enquanto os objetos contineres de GPO so armazenados no AD DS. Os GPOs podem ser
gerenciados atravs do GPMC (Console de Gerenciamento de Poltica de Grupo). GPOs no podem ser
vinculados aos contineres de Usurios e Computadores. GPOs podem ser vinculados a sites, domnios
e unidades organizacionais.
11-3
Uma configurao de Poltica de Grupo o componente mais granular da Poltica de Grupo. Ela define
uma alterao de configurao especfica a ser aplicada a um objeto (um computador ou um usurio,
ou ambos) dentro do AD DS (Servios de Domnio Active Directory). A Poltica de Grupo tem milhares
de definies configurveis. Essas configuraes podem afetar praticamente toda a rea do ambiente
de computao. Nem todas as configuraes podem ser se aplicadas a todas as verses anteriores dos
sistemas operacionais Windows Server e Windows. Cada nova verso introduz novas configuraes e
recursos que somente so aplicveis a essa verso especfica. Se um computador tiver uma configurao
de Poltica de Grupo aplicada que ele no consiga processar, ele simplesmente a ignorar.
A maioria das configuraes de poltica tm trs estados:
As configuraes de usurio e computador tm, cada uma, trs reas de configurao, conforme descrito
na tabela a seguir.
Seo
Descrio
Configuraes de software
Configuraes do sistema
operacional Windows
Modelos administrativos
Alm das sees de Poltica de Grupo mostradas na tabela anterior, um n Preferncias est presente sob
os ns Configurao do Computador e Configurao do Usurio no Editor de Gerenciamento de Poltica
de Grupo. As preferncias fornecem ainda mais recursos para configurar o ambiente e sero abordadas
posteriormente neste mdulo.
Todos os sistemas que executam sistemas operacionais de cliente ou servidor Microsoft Windows 2000,
ou verso mais recente, tambm tm GPOs locais disponveis. As configuraes de poltica local s se
aplicam mquina local, mas voc pode export-las para outros computadores ou import-las deles.
11-5
2.
3.
Com exceo das categorias Administrador ou No administrador, no possvel aplicar GPOs locais
a grupos, mas somente a contas de usurios locais individuais. Os usurios de domnio esto sujeitos
Poltica de Grupo local ou s configuraes de Administrador ou No administrador, conforme
apropriado.
Observao: Os administradores de domnio podem desabilitar o processamento dos
GPOs locais nos clientes que estejam executando sistemas operacionais cliente Windows e
sistemas operacionais Windows Server, habilitando a configurao de poltica Desativar
Processamento de Objetos de Polticas de Grupo Locais em um GPO de domnio.
O Cliente de Poltica de Grupo pode identificar um GPO atualizado pelo seu nmero de verso. Cada GPO
tem um nmero de verso que incrementado toda vez que feita uma alterao. O nmero de verso
armazenado como um atributo do continer de Poltica de Grupo e em um arquivo de texto, o GPT.ini,
na pasta Modelo de Poltica de Grupo. O Cliente de Poltica de Grupo sabe o nmero de verso de cada
GPO que foi aplicado anteriormente. Se, durante a atualizao da Poltica de Grupo, o Cliente de Poltica
de Grupo descobrir que o nmero de verso do continer de Poltica de Grupo foi alterado, as CSEs sero
informadas de que o GPO foi atualizado.
Durante a edio de uma Poltica de Grupo, a verso no computador com a funo FSMO (operaes de
mestre nico flexveis) do emulador PDC (controlador de domnio primrio) a verso que est sendo
editada. Por padro, o GPMC focalizado no emulador PDC, independentemente do computador usado
para executar a edio. possvel alterar o foco do GPMC para editar uma verso em um controlador
de domnio diferente.
11-7
As preferncias podem ser aplicadas apenas uma vez na inicializao ou no logon ou podem ser
atualizadas em intervalos.
As preferncias podem ser facilmente destinadas a certos usurios ou computadores por vrias
maneiras, como associao a um grupo de segurana ou verso do sistema operacional.
Mapear impressoras
Agendar tarefas
Configuraes disponveis
Os GPOs de incio s podem conter
configuraes do n Modelos Administrativos
da seo Configurao do Usurio ou da
seo Configurao do Computador. Os ns
Configuraes de Software e Configuraes
do Windows da Poltica de Grupo no esto
disponveis, pois envolvem a interao de servios e so mais complexos e dependentes de domnio.
Voc pode exportar GPOs de incio para um arquivo de gabinete (.cab) e, em seguida, carregar esse
arquivo em outro ambiente completamente independente do domnio/floresta de origem. Exportando
um GPO de incio lhe permite enviar o arquivo .cab a outros administradores que podem usar isto ento
em outras reas. Por exemplo, voc pode criar um GPO que defina as configuraes de segurana do
Internet Explorer. Se voc quiser que todos os sites e domnios empreguem as mesmas configuraes,
voc poder exportar o GPO de incio para um arquivo .cab e distribu-lo.
Edio de GPOs
O grupo Proprietrios Criadores de Poltica de Grupo permite que seus membros criem novos GPOs
e editem ou excluam os GPOs criados por eles.
Admins. do Domnio
Administradores de Empresa
Proprietrio Criador
Sistema Local
Conceder permisso explicitamente ao grupo ou ao usurio para criar GPOs usando o GPMC
11-9
11-10
Voc pode delegar a capacidade de usar as ferramentas de relatrio por meio do GPMC ou do Assistente
para Delegao de Controle em Usurios e Computadores do Active Directory.
Etapas da demonstrao
Criar um GPO usando o GPMC
Entre em LON-DC1 como Administrador com a senha Pa$$w0rd e crie uma poltica denominada
Proibir o Windows Messenger.
2.
Lio 2
11-11
Entender como a Poltica de Grupo aplicada fundamental para poder desenvolver uma estratgia de
Poltica de Grupo. Esta lio mostra como a Poltica de Grupo associada a objetos do Active Directory,
como ela processada e como controlar o aplicativo de Poltica de Grupo. Depois de voc criar os
GPOs e definir as configuraes a serem aplicadas, eles devem ser vinculados a contineres. Os GPOs
so aplicados em uma ordem especfica. Essa ordem pode determinar quais configuraes sero aplicadas
aos objetos. H duas polticas padro criadas automaticamente. Essas polticas so usadas para entregar
a senha e as configuraes de segurana para o domnio e os controladores de domnio. A aplicao
de polticas tambm pode ser controlada pela filtragem de segurana.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Links de GPO
Depois que voc criar um GPO e definir todas
as configuraes a serem entregues, a prxima
etapa ser vincular a poltica a um continer do
Active Directory. Um link de GPO a conexo
lgica da poltica com um continer. Voc pode
vincular um nico GPO a vrios contineres
usando o GPMC. Voc pode vincular GPOs
aos seguintes tipos de contineres:
Sites
Domnios
UOs
Quando um GPO vinculado a um continer, por padro, a poltica aplicada a todos os objetos no
continer e subsequentemente a todos os contineres filho sob esse objeto pai. Isso ocorre porque as
permisses padro do GPO so definidas de modo que Usurios Autenticados tenham as permisses
Leitura e Aplicar Poltica de Grupo. Voc pode modificar esse comportamento, gerenciando permisses
no GPO.
Voc pode desabilitar os links para os contineres, o que remover as definies de configurao. Voc
tambm pode excluir links. A excluso de links no exclui o GPO real, somente a conexo lgica com
o continer.
11-12
Os GPOs no podem ser vinculados diretamente a usurios, grupos ou computadores. Alm disso, eles
no podem ser vinculados a contineres de sistema no AD DS, incluindo Builtin, Computadores, Usurios
ou Contas de Servio Gerenciado. Os contineres de sistema do AD DS recebem configuraes de Poltica
de Grupo dos GPOs vinculados apenas ao nvel de domnio.
Aplicao de GPOs
As definies de configurao de computador
so aplicadas na inicializao e, em seguida,
atualizadas em intervalos regulares. Qualquer
script de inicializao executado na inicializao
do computador. O intervalo padro a cada
90 minutos, mas isso configurvel. A exceo ao
intervalo definido em relao aos controladores
de domnio, cujas configuraes so atualizadas
a cada cinco minutos.
As configuraes de usurio so aplicadas no
logon e atualizadas em intervalos regulares
configurveis; o padro tambm 90 minutos.
Qualquer script de logon executado no logon.
Observao: Vrias configuraes de usurio requerem dois logons para que o usurio
perceba o efeito do GPO. Isso porque os usurios que fazem logon no mesmo computador
usam credenciais armazenadas em cache para acelerar os logons. Isso significa que, embora as
configuraes de poltica estejam sendo entregues ao computador, o usurio j est conectado
e, portanto, as configuraes s entraro em vigor no prximo logon. A configurao de
redirecionamento de pasta um exemplo disso.
Voc pode alterar o intervalo de atualizao, definindo uma configurao de Poltica de Grupo.
Para configuraes de computador, a configurao de intervalo de atualizao est localizada no
n Configurao do Computador\Polticas\Modelos Administrativos\Sistema\Poltica de Grupo. Para
configuraes de usurio, o intervalo de atualizao est localizado nas configuraes correspondentes
em Configurao do Usurio. Uma exceo ao intervalo de atualizao em relao s configuraes de
segurana. A seo de configuraes de segurana da Poltica de Grupo ser atualizada a cada 16 horas,
independentemente do intervalo definido para o intervalo de atualizao.
Voc tambm pode atualizar a Poltica de Grupo manualmente. O utilitrio de linha de comando
Gpupdate atualiza e entrega qualquer nova configurao de Poltica de Grupo. O comando
Gpupdate /force atualiza todas as configuraes de Poltica de Grupo. Tambm h um novo
cmdlet do Windows PowerShell, o Invoke-Gpupdate, que executa a mesma funo.
Um novo recurso do Windows Server 2012 a Atualizao Remota de Polticas. Esse recurso permite
que os administradores utilizem o GPMC para direcionar uma UO e forar a atualizao da Poltica de
Grupo em todos os seus computadores e nos usurios conectados. Para isso, clique com o boto direito
do mouse em qualquer UO e, em seguida, clique em Atualizao da Poltica de Grupo. A atualizao
ocorrer em at 10 minutos.
11-13
1.
2.
3.
4.
GPOs de UO. As polticas vinculadas a UOs so processadas em seguida. Essas polticas contm
configuraes que so exclusivas aos objetos nessa UO. Por exemplo, os usurios de Vendas podem
ter configuraes necessrias especiais. Voc pode vincular uma poltica UO Vendas para entregar
essas configuraes.
5.
Os objetos nos contineres recebem o efeito cumulativo de todas as polticas em sua ordem de
processamento. No caso de um conflito entre as configuraes, a ltima poltica aplicada ter efeito.
Por exemplo, uma poltica no nvel de domnio pode restringir o acesso s ferramentas de edio do
Registro, mas voc pode configurar uma poltica no nvel de UO e vincul-la UO IT para reverter
essa poltica. Como a poltica no nvel de UO aplicada posteriormente no processo, o acesso s
ferramentas do Registro estaria disponvel.
Observao: Outros mtodos, como Imposio e Bloqueio de Herana, podem alterar
o efeito das polticas nos contineres.
Se forem aplicadas vrias polticas no mesmo nvel, o administrador poder atribuir um valor preferencial
para controlar a ordem de processamento. A ordem de preferncia padro a ordem em que as polticas
foram vinculadas.
Voc tambm pode desabilitar a configurao de usurio ou de computador de um GPO especfico. Se
uma seo de uma poltica for conhecidamente vazia, voc dever desabilitar a seo vazia para acelerar
o processamento da poltica. Por exemplo, se voc tiver uma poltica que s entregue configurao da
rea de trabalho do usurio, poder desabilitar o lado do computador da poltica.
11-14
11-15
Como alternativa, se tiver criado um GPO que s deva ser se aplicado a alguns princpios de segurana
em um continer, voc poder remover o grupo Usurios Autenticados da ACL, adicionar os princpios
de segurana que devem receber as configuraes de GPO e conceder a eles as permisses Leitura
e Aplicar Poltica de Grupo. Por exemplo, voc pode ter um GPO com definies de configurao de
computador que s devam ser aplicadas a laptops. Voc pode remover o grupo Usurios Autenticados
da ACL, adicionar as contas de computador dos laptops e conceder a elas as permisses Leitura
e Aplicar Poltica de Grupo.
Observao: Como prtica recomendada, nunca negue acesso ao grupo Usurio
Autenticado. Caso contrrio, os princpios de segurana nunca recebero as configuraes
de GPO.
A ACL de um GPO acessada no GPMC, selecionando o GPO na pasta Objeto de Poltica de Grupo
e clicando na guia Delegao>Avanado.
Scenario
11-16
A ilustrao a seguir representa uma parte da estrutura do AD DS da A. Datum Corporation que contm
a UO Vendas com suas UOs filho e a UO Servidores.
O GPO1 vinculado ao
continer do domnio
Adatum. O GPO configura
opes de energia
que desligam os monitores
e os discos aps 30 minutos
de inatividade e restringe
o acesso s ferramentas
de edio do Registro.
O GPO4 configura um conjunto diferente de opes de energia para assegurar que os servidores
nunca entrem no modo de economia de energia.
Pergunta da discusso
Com base nesse cenrio, responda s perguntas a seguir:
Pergunta: Quais opes de energia os servidores recebero na UO Servidores?
Pergunta: Quais opes de energia os laptops recebero na UO Laptops de Vendas?
Pergunta: Quais opes de energia todos os outros computadores no domnio recebero?
Pergunta: Os usurios na UO Usurios de Vendas que criaram polticas locais para conceder
acesso ao Painel de Controle podero acessar o Painel de Controle?
Pergunta: Se voc precisasse conceder acesso ao Painel de Controle para alguns usurios,
como voc faria isso?
Pergunta: O GPO2 pode ser se aplicado a outras UOs de departamento?
Usar o cmdlet Gpresult para enviar a sada dos resultados para um arquivo HTML.
Etapas da demonstrao
Usar Gpupdate para atualizar a Poltica de Grupo
Usar o cmdlet Gpresult para enviar a sada dos resultados para um arquivo HTML
1.
Use Gpresult /H para criar um arquivo HTML que exiba as configuraes atuais de GPO.
2.
Use o Assistente para Modelagem de Poltica de Grupo para simular uma aplicao de poltica
para os usurios na UO Gerentes que entram em qualquer computador.
11-17
Lio 3
11-18
As organizaes maiores podem ter diversos GPOs com vrios administradores gerenciando-os. Quando
um administrador edita um GPO, os arquivos de modelo so recebidos da estao de trabalho local.
O repositrio central fornece uma nica pasta no SYSVOL que contm todos os modelos necessrios
criar e editar GPOs. Esta lio aborda os arquivos que compem os modelos e discute como criar
um local de repositrio central para fornecer consistncia nos modelos usados pelos administradores.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
O Repositrio Central trata desse problema. O Repositrio Central fornece um nico ponto a partir
do qual as estaes de trabalho de administrao podem baixar os mesmos arquivos ADMX e ADML
ao editarem um GPO. O Repositrio Central detectado automaticamente pelos sistemas operacionais
Windows a partir da verso Windows Vista em diante e pelos sistemas operacionais Windows Server 2008.
Desse modo, a estao de trabalho local usada pelo administrador para realizar a administrao verificar
sempre a existncia de um Repositrio Central antes de carregar os arquivos ADMX e ADML locais no
Editor de Objeto de Poltica de Grupo. Quando a estao de trabalho local detectar um Repositrio
Central, ela baixar os arquivos de modelo desse local. Assim, a experincia de administrao ser
consistente em vrias estaes de trabalho.
11-19
Voc deve criar e provisionar o Repositrio Central manualmente. Primeiro crie uma pasta em
um controlador de domnio, atribua a ela o nome PolicyDefinitions e armazene a pasta em
C:\Windows\SYSVOL\sysvol\{Nome de Domnio}\Policies\. Essa pasta agora ser seu Repositrio Central.
Em seguida, copie todo o contedo da pasta C:\Windows\PolicyDefinitions para o Repositrio Central.
Os arquivos ADML nessa pasta tambm esto em uma pasta especfica de idioma (por exemplo, en-US).
Eles so organizados em subpastas que armazenam opes de configurao para reas especficas
do ambiente, como rede, sistema e componentes do Windows.
Algumas configuraes existem para Usurio e Computador. Por exemplo, h uma configurao
para impedir que o Windows Messenger seja executado nos modelos Usurio e Computador.
No caso de configuraes conflitantes, a configurao Computador prevalecer.
Algumas configuraes s esto disponveis para certas verses dos sistemas operacionais Windows,
como vrias novas configuraes que somente podem ser se aplicadas ao Windows 7 e s verses
mais recentes dos sistemas operacionais. Clicar duas vezes nas configuraes exibir as verses
suportadas para essa configurao. Qualquer configurao que no possa ser processada por
um sistema operacional Windows mais antigo simplesmente ser ignorada por esse sistema.
Arquivos ADM
11-20
Antes do Windows Vista, os modelos administrativos tinham uma extenso de arquivo .adm (ADM). Os
arquivos ADM eram especficos a um idioma e eram difceis de serem personalizados. Os arquivos ADM
so armazenados no SYSVOL como parte do modelo Poltica de Grupo. Se um arquivos ADM for usado
em vrios GPOs, o arquivo ser armazenado vrias vezes. Isso aumenta o tamanho de SYSVOL e, portanto,
aumenta o tamanho do trfego de replicao do Active Directory.
Ns
Painel de Controle
Rede
Impressoras
Sistema
Componentes do Windows
Todas as Configuraes
Configuraes do usurio
Painel de Controle
rea de Trabalho
Rede
Pastas Compartilhadas
Menu Iniciar e barra de tarefas
Sistema
Componentes do Windows
Todas as Configuraes
11-21
A maioria dos ns contm vrias subpastas para organizar ainda mais as configuraes em agrupamentos
lgicos. At mesmo com essa organizao, localizar a configurao necessria pode ser uma tarefa
assustadora. Para ajud-lo a localizar as configuraes, na pasta Todas as Configuraes, voc pode
filtrar a lista inteira de configuraes na seo Computador ou Usurio. As opes de filtro a seguir
esto disponveis:
Gerenciado ou no gerenciado
Configurado ou no configurado
Comentado
Por palavra-chave
Por plataforma
Voc tambm pode combinar vrios critrios. Por exemplo, voc pode filtrar para localizar todas
as configuraes definidas aplicveis ao Internet Explorer 10, usando a palavra-chave ActiveX.
11-22
As alteraes feitas por uma configurao de Poltica de Grupo e o bloqueio da interface do usurio
sero liberados se o usurio ou o computador ficar fora do escopo do GPO. Por exemplo, se voc
excluir um GPO, as configuraes de poltica gerenciadas que tinham sido aplicadas a um usurio
sero liberadas. Isso significa que, geralmente, a configurao redefinida para seu estado anterior.
Alm disso, a interface do usurio para a configurao est habilitada.
11-23
Seu gerente lhe pediu para criar um repositrio central para os arquivos ADMX a fim de assegurar que
todos possam editar os GPOs criados com os arquivos ADMX personalizados. Voc tambm precisa
criar um GPO de incio que inclua as configuraes do Internet Explorer e, portanto, configura um
GPO que aplica configuraes de GPO para o departamento de Marketing e o departamento de IT.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Criar GPOs.
Configurao do laboratrio
Tempo previsto: 40 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
execute as etapas a seguir:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
11-24
2.
3.
4.
2.
Inicie o GPMC.
3.
Na pasta Objeto de Poltica de Grupo, abra a Poltica de Domnio Padro e exiba o local dos
modelos administrativos.
2.
Crie uma pasta denominada PolicyDefinitions que ser usada para o Repositrio Central.
Verifique se o Editor de Objeto de Poltica de Grupo est usando os arquivos ADMX da pasta central
PolicyDefinitions, exibindo o texto de informaes de local da pasta Modelos administrativos.
Resultados: Depois de concluir este exerccio, voc ter configurado um Repositrio Central.
11-25
Seu gerente lhe pediu para criar um GPO de incio que pudesse ser usado para todos os departamentos
com configuraes de restrio padro para o Internet Explorer. Nesse caso, voc precisa criar os GPOs
que entregaro as configuraes para os membros de todos os departamentos, exceto o departamento
de IT.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
5.
6.
7.
2.
Configure o GPO de incio denominado Restries do Internet Explorer para desabilitar a pgina
Geral de Opes da Internet.
Crie um novo GPO denominado Restries do IE com base no GPO de incio Restries
do Internet Explorer e vincule-o ao domnio Adatum.com.
2.
3.
4.
5.
Saia de LON-CL1.
11-26
2.
Configure a filtragem de segurana na poltica Restries do Internet Explorer para negar acesso
ao departamento de IT.
2.
3.
Tente alterar sua home page. Verifique se a caixa de dilogo Propriedades da Internet aberta
para a guia Geral e se todas as configuraes esto disponveis.
4.
Saia de LON-CL1.
2.
3.
4.
5.
Saia de LON-CL1.
2.
3.
4.
Ferramentas
Ferramenta
Uso
Onde encontrar
11-27
GPMC (Console de
Gerenciamento de
Poltica de Grupo)
No Gerenciador do Servidor,
no menu Ferramentas
Editor de Objeto de
Poltica de Grupo
RSoP (Conjunto de
Polticas Resultante)
No GPMC
Assistente para
Modelagem de
Poltica de Grupo
No GPMC
Editor de Poltica
de Grupo Local
Acessado criando um
novo MMC (Console de
Gerenciamento Microsoft)
no computador local e
adicionando o Editor de
Objeto de Poltica de Grupo
Prtica recomendada
Veja a seguir as prticas recomendadas:
No use as polticas Domnio Padro e Controladores de Domnio Padro para outras utilizaes.
Em vez disso, crie novas polticas.
Limite o uso da filtragem de segurana e de outros mecanismos que fazem diagnsticos mais
complexos.
Desabilite a seo Usurio ou Computador das polticas se ela no tiver nenhuma configurao
definida.
Adicione comentrios aos seus GPOs para explicar a funo das polticas.
11-28
Mdulo 12
Proteo de servidores Windows usando Objetos
de Poltica de Grupo
Contedo:
Viso geral do mdulo
12-1
12-2
12-7
12-18
12-26
12-31
12-36
12-43
Para se proteger contra ameaas de segurana, as empresas devem ter polticas de segurana bem
projetadas que incluem vrios componentes organizacionais e relacionados a TI. Polticas de segurana
devem ser avaliadas regularmente, pois, conforme as ameaas de segurana evoluem, o setor de TI
tambm precisa evoluir.
Antes de comear a projetar polticas de segurana para ajudar a proteger os dados, os servios e a
infraestrutura de TI da sua organizao, voc deve aprender a identificar ameaas de segurana, planejar
sua estratgia para reduzir essas ameaas e proteger a infraestrutura do seu Windows Server 2012.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
medida que as organizaes expandem sua disponibilidade de dados de rede, aplicativos e sistemas,
garantir a segurana da infraestrutura de rede se torna cada vez mais difcil. Tecnologias de segurana no
Windows Server 2012 permitem que as organizaes forneam melhor proteo para seus recursos de
rede e ativos organizacionais em ambientes e cenrios de negcios cada vez mais complexos. Esta lio
examina as ferramentas e os conceitos que esto disponveis para a implementao da segurana dentro
de uma infraestrutura do Windows 8 e do Windows Server 2012.
O Windows Server 2012 inclui diversos recursos que oferecem mtodos diferentes para a implementao
da segurana. Esses recursos se combinam para formar o ncleo da funcionalidade de segurana do
Windows Server 2012. Para manter um ambiente seguro, essencial entender esses recursos e seus
conceitos associados e estar familiarizado com a sua implementao bsica.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Identificar riscos de segurana para o Windows Server 2012 e os custos associados a eles.
12-3
Medidas de poltica de segurana precisam operar no contexto das polticas organizacionais sobre
prticas recomendadas de segurana. Por exemplo, a execuo de uma poltica de senha forte do usurio
no ser til se os usurios anotarem suas senhas e coloc-las ao lado de suas telas de computador.
Esses usurios precisam ser instrudos sobre como proteger suas senhas. Outro exemplo de prtica
recomendada de segurana garantir que os usurios no deixem seus computadores sem primeiro
bloquearem a rea de trabalho ou sarem do computador. Ao estabelecer uma base de segurana para
a rede da sua organizao, uma boa idia comear estabelecendo as polticas e os procedimentos
apropriados e, em seguida, tornar os usurios cientes deles. Voc pode ento Avanar para os outros
aspectos do modelo de proteo em camadas.
Segurana fsica
Se qualquer pessoa no autorizada puder obter acesso fsico a um computador na sua rede, a maioria
das outras medidas de segurana no ser til. Voc deve garantir que os computadores que contm os
dados mais sensveis (como servidores) sejam fisicamente seguros e que o acesso seja concedido apenas
a pessoas autorizadas.
Permetro
Nos dias de hoje, nenhuma organizao uma empresa isolada. Organizaes operam na Internet,
e muitos recursos de rede organizacionais esto disponveis na Internet. Isso pode incluir um site que
descreva os servios da sua organizao, ou os servios internos que voc disponibiliza externamente,
como Webconferncias e emails, de modo que os usurios possam trabalhar a partir de casa ou de
escritrios remotos.
Redes de permetro marcam o limite entre redes pblicas e privadas. Fornecer servidores de proxy
reverso na rede de permetro permite que voc fornea mais servios corporativos seguros em toda
a rede pblica.
Redes
Depois de conectados a uma rede (interna ou pblica), seus computadores ficam suscetveis a uma
srie de ameaas, incluindo espionagem, falsificao, negao de servio e ataques de reproduo.
Ao implementar o protocolo IPsec, voc pode criptografar o trfego de rede e proteger os dados
enquanto em transferncia entre computadores.
Quando a comunicao ocorre atravs de redes pblicas, como por funcionrios que esto trabalhando
de casa ou de escritrios remotos, como prtica recomendada, voc deve se conectar a uma soluo
de firewall, como o Forefront TMG 2010, para se proteger de diferentes tipos de ameaas de rede.
A prxima camada de defesa a camada que usada para o computador host. Juntas, as etapas a seguir
formam um processo que chamado de proteo de segurana de computadores host. No computador
host, voc deve:
Use consistentemente o recurso Windows Update em sistemas operacionais Windows para manter
seus aplicativos atualizados.
Teste aplicativos para determinar se eles tm vulnerabilidades de segurana que possam permitir
que um invasor externo comprometa aplicativos ou outros componentes de rede.
Segurana de dados
A camada final de segurana a proteo de dados. Para ajudar a garantir a proteo da sua rede,
voc deve:
12-5
Verificar o uso apropriado de permisses de usurio para arquivos usando ACLs (Listas de Controle
de Acesso).
Para obter os informes e os boletins de segurana mais recentes da Microsoft, consulte o artigo
sobre segurana para profissionais de TI em http://go.microsoft.com/fwlink/?LinkID=266741.
Para obter mais informaes sobre tipos comuns de ataques de rede, consulte
http://go.microsoft.com/fwlink/?LinkID=266742.
Pergunta: Quantas camadas do modelo de proteo em camadas voc deve implementar
na sua organizao?
Siga o princpio do privilgio mais baixo. Fornea a usurios e contas de servio os nveis de
permisso mais baixos necessrios para concluir tarefas. Isso garante menor impacto caso
algum malware use essas credenciais. Garante tambm que os usurios fiquem limitados em
suas capacidades de excluso acidental de dados ou modificao de importantes configuraes
do sistema operacional.
Restrinja o acesso fsico. Se algum tiver acesso fsico a seus servidores, essa pessoa ter praticamente
acesso ilimitado aos dados desses servidores. Uma pessoa no autorizada pode usar uma ampla
variedade de ferramentas para redefinir rapidamente a senha em contas de administrador local
e permitir acesso local, ou utilizar uma unidade USB para introduzir malwares.
Lio 2
Para aplicar essas configuraes de segurana a vrios usurios e computadores na sua organizao,
voc pode usar a Poltica de Grupo. Por exemplo, voc pode definir configurao de poltica de senha
usando a Poltica de Grupo e, em seguida, implant-las para vrios usurios.
A Poltica de Grupo tem um amplo componente de segurana que voc pode usar para configurar
a segurana tanto para usurios quanto para computadores. Voc pode aplicar a segurana
consistentemente em toda a organizao no AD DS (Servios de Domnio Active Directory)
definindo configuraes de segurana em um GPO (Objeto de Poltica de Grupo) associado
a um site, um domnio ou uma UO (Unidade Organizacional).
Ao concluir esta lio, voc ser capaz de:
Leitura adicional: Clique no seguinte link para procurar uma lista detalhada
de configuraes da Poltica de Grupo: http://go.microsoft.com/fwlink/?LinkID=266744.
12-7
Grupos Restritos. Associao de grupos que podem ter direitos e permisses especiais
Ao configurar um modelo de segurana, voc pode us-lo para configurar um nico computador ou
para configurar vrios computadores na rede. Veja a seguir algumas maneiras de configurar e distribuir
modelos de segurana:
Snap-in de Modelos de Segurana. Os snap-in de Modelos de Segurana pode ser usado para criar
uma poltica de segurana com o uso de modelos de segurana.
Assistente de Configurao e Anlise de Segurana. Esse assistente uma ferramenta que voc pode
usar para analisar e configurar a segurana do computador.
Poltica de Grupo. A Poltica de Grupo uma tecnologia que voc pode usar para analisar e definir
configuraes de computador, incluindo a distribuio de configuraes de segurana especficas.
Direitos de logon definem quem tem autorizao para fazer logon em um computador e como esses
usurios podem fazer logon. Por exemplo, direitos de logon podem definir o direito de fazer logon
em um sistema localmente.
Voc pode configurar direitos atravs da Poltica de Grupo. Inicialmente, a poltica de domnio padro
no tem direitos de usurio definidos.
Voc pode definir configuraes para Direitos de Usurio acessando Configurao do Computador\
Polticas\Configuraes do Windows\Configuraes de Segurana\Polticas Locais\Atribuio de Direitos
de Usurio no GPMC (Console de Gerenciamento de Poltica de Grupo).
12-9
Alguns exemplos de direitos de usurio comumente utilizados (e as polticas configuradas por eles) so:
Adicionar estaes de trabalho ao domnio. Determina quais usurios ou grupos podem adicionar
estaes de trabalho ao domnio.
Permitir logon localmente. Determina quais usurios podem fazer logon no computador.
Permitir logon atravs dos Servios de rea de Trabalho Remota. Determina quais usurios
ou grupos tm permisso para fazer logon como Cliente de Servios de rea de Trabalho Remota.
Fazer backup de arquivos e diretrios. Determina quais usurios tm permisso para fazer backup
de arquivos e pastas em um computador.
Alterar a hora do sistema. Determina quais usurios ou grupos tm os direitos de alterar a data
e a hora no relgio interno do computador.
Desligar o sistema. Determina quais dos usurios que so localmente conectados a um computador
tm permisso para desligar esse computador.
Prompts de logon
Voc tambm pode definir configuraes para Opes de Segurana acessando o seguinte local
no GPMC: Configurao do Computador\Polticas\Configuraes do Windows\Configuraes
de Segurana\Polticas Locais\Opes de Segurana
Os exemplos a seguir representam Opes de Segurana utilizadas com frequncia:
Pedir que o usurio altere a senha antes que ela expire. Determina quantos dias antes de a senha
de um usurio expirar o sistema operacional fornece um aviso.
Logon interativo: no exibir o ltimo nome do usurio. Determina se o nome do ltimo usurio
a fazer logon no computador exibido na janela de logon do Windows.
Dispositivos: restringir acesso ao CD-ROM apenas aos usurios com logon local. Determina
se um CD-ROM est acessvel para usurios locais e remotos simultaneamente.
12-10
Se o usurio for um administrador, ele confirmar a elevao do seu nvel de permisso e continuar.
Esse processo de solicitao de aprovao conhecido como Modo de Aprovao de Administrador.
Ao usar esse processo de notificao e elevao para privilgios de conta de administrador, alteraes
no podem ser feitas no computador sem que o usurio saiba, pois um prompt solicita a permisso do
usurio ou as credenciais de administrador. Isso pode ajudar a impedir que softwares mal-intencionados
(malware) e spywares sejam instalados em um computador ou faam alteraes nesse computador.
O Controle de Conta de Usurio permite que as seguintes alteraes em nvel de sistema ocorram
sem prompts, mesmo quando um usurio est conectado como um usurio local:
12-11
Instalar drivers do Windows Update ou drivers que so fornecidos junto com o sistema operacional
Voc pode modificar a experincia de notificao do Controle de Conta de Usurio de forma a ajustar a
frequncia e o comportamento de prompts desse recurso. Para modificar o comportamento do Controle
de Conta de Usurio em um nico computador, acesse o painel de controle do Windows Server 2012,
em Sistema e Segurana.
Voc tambm pode definir configuraes de Controle de Conta de Usurio acessando o seguinte local
no GPMC: Configurao do Computador\Polticas\Configuraes do Windows\Configuraes
de Segurana\Polticas Locais\Opes de Segurana
Veja a seguir exemplos de algumas configuraes de GPO que voc pode definir para o Controle
de Conta de Usurio:
Controle de Conta de Usurio: elevar somente executveis assinados e validados. Quando voc
habilita essa configurao, uma verificao de PKI (Infraestrutura de Chave Pblica) realizada no
arquivo executvel para verificar se ele provm de uma fonte confivel. Se o arquivo for verificado,
ele poder ser executado.
12-12
Aps a configurao da auditoria, as informaes em logs de eventos de segurana podem ajudar a sua
organizao a auditar a conformidade com importantes dados relacionados a segurana e aos negcios,
acompanhando atividades precisamente definidas como:
Um funcionrio dentro de um grupo definido que acessou uma pasta importante contendo dados
de diferentes departamentos.
Um usurio que est tentando fazer logon em sua conta repetidamente sem sucesso a partir de um
computador interno da empresa. Voc pode descobrir que o proprietrio da conta de usurio estava
de frias naquela semana, o que significa que outro funcionrio estava tentando fazer logon com
uma conta de usurio diferente.
Voc pode definir configuraes de Auditoria de Segurana acessando o seguinte local no GPMC:
Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\
Polticas Locais\Poltica de Auditoria
Veja a seguir exemplos de algumas configuraes de GPO que voc pode definir para auditoria:
Auditoria de eventos de logon de conta. Determina se o sistema operacional faz auditoria sempre
que o computador valida as credenciais de uma conta.
12-13
Embora voc possa controlar grupos de domnio atribuindo polticas de Grupos Restritos a controladores
de domnio, essa configurao deve ser usada principalmente para configurar a associao de grupos
crticos, como Administradores de Empresa e Administradores de Esquema. Voc tambm pode usar essa
configurao para controlar a associao de grupos locais internos em estaes de trabalho e servidores
membros. Por exemplo, possvel colocar o grupo Assistncia Tcnica no grupo local Administradores
em todas as estaes de trabalho.
No possvel especificar usurios locais em um GPO de domnio. Os usurios locais que esto
atualmente no grupo local controlado pela poltica de Grupos Restritos sero removidos. A nica
exceo a isso que a conta local de Administradores est sempre no grupo local de Administradores.
12-14
Voc pode definir as configuraes para Grupos Restritos acessando o seguinte local no GPMC:
Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\
Grupos Restritos
Polticas de Conta
Componentes de poltica de conta incluem polticas de senha, polticas de bloqueio de conta e
a Poltica Kerberos.
Voc pode definir configuraes de poltica de conta acessando o seguinte local no GPMC:
Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\
Polticas de Conta.
Poltica de Senha
As polticas de senha que voc pode configurar esto listadas na tabela a seguir.
Poltica
A senha deve
satisfazer a requisitos
de complexidade
12-15
Funo
Prtica recomendada
Respeite o requisito de
comprimento estabelecido
pelo Comprimento Mnimo da
Senha, com um mnimo de trs
caracteres se o Comprimento
Mnimo da Senha for definido
como 0..
Impor histrico
de senha
Tempo de vida
mximo da senha
(continuao)
Poltica
Funo
Prtica recomendada
Tempo de vida
mnimo da senha
Comprimento
mnimo da senha
Armazenar a senha
com criptografia
reversvel
12-16
12-17
Funo
Prtica recomendada
Limite de bloqueio
de conta
Durao do bloqueio
de conta
Zerar contador
de bloqueios
de conta aps
Usar um intervalo de 30 a
60 minutos geralmente
suficiente para impedir ataques
automatizados e tentativas
manuais por parte de um
atacante de adivinhar senhas.
Poltica Kerberos
Essa poltica para contas de usurio de domnio e determina configuraes relacionadas a Kerberos,
como a vida til e a imposio de tquetes. Polticas Kerberos no existem na Poltica de Computador
Local.
12-18
A A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres,
Inglaterra. Um escritrio de TI e um datacenter esto localizados em Londres como suporte localizao
em Londres e outras localizaes. Recentemente, a A. Datum implantou uma infraestrutura do
Windows Server 2012 com clientes Windows 8.
Voc trabalha para a A. Datum h vrios anos como especialista em suporte para desktop. Neste cargo,
voc visitou computadores desktop para solucionar problemas com aplicativos e redes. Recentemente,
voc aceitou uma promoo para trabalhar na equipe de suporte a servidores. Como novo membro
da equipe, voc ajuda a implantar e a configurar novos servidores e servios na infraestrutura existente
com base nas instrues recebidas do gerente de TI.
Seu gerente lhe deu algumas configuraes de segurana que precisam ser implementadas em todos
os servidores membros. Voc tambm precisa implementar a auditoria do sistema de arquivos para
um compartilhamento de arquivos usado pelo departamento de Marketing. Finalmente, voc precisa
implementar a auditoria para logons de domnio.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-SVR1
24410B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
12-19
Senha: Pa$$w0rd
A empresa A. Datum usa o grupo de Administradores do Computador para fornecer aos administradores
permisses para administrar servidores membros. Como parte do processo de instalao de um
novo servidor, o grupo de Administradores do Computador no domnio adicionado ao grupo de
Administradores local no novo servidor. Recentemente, essa etapa importante no era feita durante
a configurao de vrios novos servidores membros.
Para assegurar que o grupo de Administradores do Computador sempre receba permisso para gerenciar
servidores membros, o gerente pediu para voc criar um GPO que defina a associao do grupo local de
Administradores em servidores membros, de forma a incluir Administradores de Servidor de Computador.
Esse GPO tambm precisa habilitar o Modo de Aprovao de Administrador para o Controle de Conta
de Usurio.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
5.
6.
7.
8.
2.
3.
12-20
2.
3.
2.
3.
4.
5.
2.
3.
4.
5.
2.
3.
12-21
2.
3.
2.
Abra uma janela do Windows PowerShell e, no prompt do Windows PowerShell, digite o seguinte
comando:
Gpupdate /force
3.
Saia de LON-SVR1.
4.
5.
6.
Para se preparar para o prximo exerccio, faa logoff de LON-SVR1 e volte a fazer logon
em LON-SVR1 como ADATUM\Administrador com a senha Pa$$w0rd.
Resultados: Ao terminar este exerccio, voc ter usado a Poltica de Grupo para proteger servidores
Membro.
2.
3.
4.
5.
2.
3.
4.
5.
6.
Saia de LON-DC1.
2.
3.
4.
2.
Em LON-SVR1, na janela Disco Local (C:), defina a auditoria na pasta Marketing, com as seguintes
configuraes:
o
Tipo: Todas
12-22
2.
3.
4.
5.
Saia de LON-CL1 e depois entre novamente como ADATUM\Adam com a senha Pa$$w0rd.
6.
7.
8.
Saia de LON-CL1.
2.
3.
ID do Evento: 4663
Resultados: Ao terminar este exerccio, voc dever ter habilitado a auditoria de acesso ao sistema
de arquivos.
12-23
Aps uma reviso segurana, o comit de poltica de TI decidiu comear a acompanhar todos os logons
de usurios no domnio. Seu gerente lhe pediu para habilitar a auditoria de logons de domnio e verificar
se esse recurso est funcionando.
As principais tarefas deste exerccio so:
1.
2.
Execute GPUpdate
3.
4.
5.
6.
2.
3.
4.
5.
6.
7.
2.
3.
4.
Observao: Essa senha est propositalmente incorreta para gerar uma entrada de log
de segurana que mostra que foi feita uma tentativa mal sucedida de logon.
2.
3.
Observao: Essa senha est correta, e voc deve ser capaz de entrar com sucesso
como Adam.
12-24
2.
3.
Examine os logs de eventos em busca da seguinte mensagem: "ID do Evento 4624 O logon
de uma conta foi conectada com xito. Novo Logon: ID de Segurana: ADATUM\Adam.
Resultados: Ao terminar este exerccio, voc ter habilitado a auditoria de logon de domnio.
12-25
Lio 3
Restrio de softwares
Os usurios precisam ter acesso aos aplicativos que os ajudam a trabalhar. No entanto, aplicativos
desnecessrios ou indesejados muitas vezes so instalados em computadores cliente, seja
intencionalmente ou para fins mal-intencionados ou no comerciais. Softwares sem suporte ou no
utilizados no so mantidos ou protegidos pelos administradores e podem ser usados como ponto de
entrada para invasores obterem acesso no autorizado ou espalharem vrus de computador. Por isso,
de extrema importncia que voc garanta que apenas os softwares necessrios sejam instalados em
todos os computadores da sua organizao. Tambm vital que voc impea a execuo de softwares
no permitidos ou no mais utilizados ou compatveis.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
12-26
Explicar como usar polticas de restrio de software para impedir a execuo de softwares
no autorizados em servidores e clientes.
Descrever regras do AppLocker e como us-las para impedir a execuo de softwares no autorizados
em servidores e clientes.
Regras
Regras determinam como a SRP responde a um aplicativo que est sendo executado ou instalado.
Elas so as principais construes em uma SRP, e um grupo de regras determina como uma SRP
responde a aplicativos que esto sendo executados. Regras podem se basear em um dos seguintes
critrios que se aplicam ao arquivo executvel principal do aplicativo em questo:
Nvel de Segurana
Cada SRP aplicada recebe um nvel de segurana que determina de que modo o sistema operacional
reage quando o aplicativo que est definido na regra executado. As trs configuraes de nvel de
segurana disponveis so as seguintes:
Usurio Bsico. Permite que o software identificado na regra seja executado como um usurio
no administrativo padro.
Irrestrito. Permite que o software identificado na regra seja executado sem restries pela SRP.
Usando essas trs configuraes, existem trs maneiras principais de usar SRPs:
12-27
Se um administrador tiver uma lista completa de todos os softwares que devem ter autorizao
para serem executados em clientes, o Nvel de Segurana Padro poder ser definido como
No Permitido. Todos os aplicativos que devem ter autorizao para serem executados
podem ser identificados nas regras de SRP que aplicariam o nvel de segurana Usurio Bsico
ou Irrestrito a cada aplicativo, dependendo dos requisitos de segurana.
Se um administrador no tiver uma lista completa dos softwares que devem ter autorizao para
serem executados em clientes, o Nvel de Segurana Padro poder ser definido como Irrestrito
ou Usurio Bsico, dependendo dos requisitos de segurana. Qualquer aplicativo que no deve
ter autorizao para ser executado pode ser identificado com o uso de regras de SRP, que usariam
uma configurao de nvel de segurana No Permitido.
O que AppLocker?
O AppLocker, introduzido nos
sistemas operacionais Windows 7 e
Windows Server 2008 R2, um recurso
de configurao de segurana que controla
quais aplicativos os usurios esto autorizados
a executar.
O AppLocker oferece aos administradores uma
ampla variedade de mtodos para determinar
de maneira rpida e concisa a identidade de
aplicativos que eles podem querer restringir
ou aos quais eles podem querer permitir acesso.
Voc aplica o AppLocker atravs da Poltica de
Grupo a objetos de computador dentro de uma UO. Voc tambm pode aplicar regras de AppLocker
individuais a usurios ou grupos individuais do AD DS.
O AppLocker tambm contm opes para monitorar ou auditar a aplicao de regras. O AppLocker
pode ajudar as organizaes a evitar a execuo de softwares sem licena ou mal-intencionados,
alm de poder restringir a instalao de controles ActiveX. Ele tambm pode reduzir o custo total
de propriedade, garantindo que as estaes de trabalho sejam padronizados em toda a empresa e
que os usurios estejam executando apenas os softwares e os aplicativos aprovados pela empresa.
Usando a tecnologia AppLocker, as empresas podem reduzir a sobrecarga administrativa e ajudar
os administradores a controlar como os usurios podem acessar e usar arquivos, como arquivos .exe,
scripts, arquivos do Windows Installer (.msi e .msp) e DLLs.
Voc pode usar o AppLocker para restringir softwares que:
No tm permisso para serem usados na empresa. Por exemplo, softwares que possam atrapalhar
a produtividade dos funcionrios, como softwares de rede social, ou softwares que transmitam
arquivos de vdeo ou imagens usando uma grande quantidade de largura de banda de rede
e espao em disco.
No so mais usados ou foram substitudos por uma verso mais recente. Por exemplo, softwares
para os quais no existe mais manuteno ou cujas licenas expiraram.
12-28
12-29
Voc pode definir configuraes do AppLocker navegando no GPMC at: Configurao do Computador\
Polticas\Configuraes do Windows\Configuraes de Segurana\Polticas de Controle de Aplicativo.
Observao: O AppLocker utiliza o servio de Identidade de Aplicativo para verificar os
atributos de um arquivo. Esse servio deve ser configurado para ser iniciado automaticamente
em cada computador no qual o AppLocker deve ser aplicado. Se o servio de Identidade de
Aplicativo no estiver em execuo, polticas do AppLocker no sero aplicadas.
Leitura adicional: Para obter mais informaes sobre o AppLocker, consulte a viso geral
do AppLocker em http://go.microsoft.com/fwlink/?LinkID=266745.
Regras do AppLocker
O AppLocker define regras baseadas em atributos
de arquivos que so derivados da assinatura
digital do arquivo. Atributos de arquivos na
assinatura digital incluem:
Nome do fornecedor
Nome do produto
Nome do arquivo
Verso do arquivo
Configurao padro
Permitir e Negar so aes de regras que permitem ou negam a execuo de aplicativos com base em
uma lista de aplicativos que voc configura. A ao Permitir em regras limita a execuo de aplicativos
a uma lista permitida de aplicativos, bloqueando todo o resto. A ao Negar em regras tem uma
abordagem oposta e permite a execuo de qualquer aplicativo, exceto aqueles em uma lista de
aplicativos negados. Essas aes tambm fornecer um meio de identificar excees a essas aes.
Quando a poltica do AppLocker est definida como Impor, as regras so impostas, e todos os eventos
so auditados. Quando a poltica do AppLocker est definida como Somente Auditoria, as regras so
avaliadas e os eventos so gravados no Log do AppLocker, mas nenhum tipo de imposio ocorre.
Etapas da demonstrao
Criar um GPO para impor as regras padro de Executveis do AppLocker
12-30
1.
2.
3.
4.
5.
Defina a permisso da nova regra como Negar, a condio como Fornecedor e selecione
wordpad.exe. Se solicitado, clique em OK para criar regras padro.
6.
7.
8.
9.
2.
Abra uma janela de Prompt de Comando, digite gpupdate /force e pressione Enter.
3.
4.
Na janela de Prompt de Comando, digite gpupdate /force e pressione Enter. Aguarde a atualizao
da poltica.
Lio 4
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
12-31
Regras de entrada controlam a comunicao que iniciada por outro dispositivo ou computador na rede
com o computador host. Por padro, toda comunicao de entrada bloqueada, exceto o trfego que
explicitamente permitido por uma regra de entrada.
Regras de sada controlam a comunicao que iniciada pelo computador host e est destinada para
um dispositivo ou computador na rede. Por padro, toda comunicao de sada permitida, exceto
o trfego que explicitamente bloqueado por uma regra de sada. Se voc optar por bloquear todas
as comunicaes de sada, exceto o trfego que explicitamente permitido, dever catalogar
cuidadosamente os softwares que podem ser executados nesse computador e a comunicao
de rede exigida por esses softwares.
Voc pode criar regras de entrada e sada com base em portas UDP e TCP, e tambm com base em
outros protocolos. Tambm pode criar regras de entrada e sada que permitem o acesso a uma rede
executvel especfica, independentemente do nmero da porta que est sendo usada.
12-32
12-33
Perfis de firewall
O Firewall do Windows com Segurana
Avanada usa perfis de firewall para fornecer
uma configurao consistente para redes de um
tipo especfico e permite que voc defina uma
rede ou como rede de domnio, rede pblica
ou rede privada.
Com o Firewall do Windows com Segurana
Avanada, voc pode definir um conjunto de
configuraes para cada tipo de rede. Cada
conjunto de configuraes chamado de perfil
de firewall. As regras de firewall so ativadas
somente para perfis de firewall especficos.
O Firewall do Windows com Segurana Avanada inclui os perfis na tabela a seguir.
Perfil
Descrio
Pblico
Privado
Domnio
O Windows Server 2012 permite que vrios perfis de firewall fiquem ativos em servidor ao mesmo tempo.
Isso significa que um servidor multihomed que esteja conectado rede interna e rede de permetro
pode aplicar o perfil de firewall de domnio rede interna e o perfil de firewall pblico ou privado rede
de permetro.
Iseno de Autenticao. voc pode usar uma iseno de autenticao para designar conexes
que no exigem autenticao. possvel designar computadores por um endereo IP especfico,
um intervalo de endereos IP, uma sub-rede ou por um grupo predefinido, como um gateway.
Tnel. Com uma regra de tnel, voc pode proteger conexes entre computadores de gateway.
Normalmente, voc usaria uma regra de tnel ao conectar-se atravs da Internet entre dois
gateways de segurana.
Personalizada. Use uma regra personalizada para autenticar conexes entre dois pontos de
extremidade quando voc no pode configurar regras de autenticao necessrias usando
as outras regras disponveis no novo Assistente para Nova Regra de Segurana de Conexo.
12-34
Regras de firewall permitem o trfego atravs do firewall, mas no protegem esse trfego. Para proteger
o trfego com IPsec, voc pode criar regras de segurana de conexo. No entanto, regras de segurana
de conexo no permitem o trfego atravs de um firewall. Voc deve criar uma regra de firewall para
fazer isso. Regras de segurana de conexo no so aplicadas a programas e servios. Em vez disso,
elas so aplicadas entre os computadores que compem os dois pontos de extremidade.
12-35
Uso de Poltica de Grupo. A maneira preferencial de distribuir regras de firewall usando a Poltica de
Grupo. Depois de criar e testar um GPO com as regras de firewall necessrias, voc pode implant-las
rapidamente e com preciso em vrios computadores.
Observao: Quando voc importa regras de firewall, elas so tratadas como um conjunto
completo e substituem todas as regras de firewall atualmente configuradas.
12-36
Seu gerente lhe pediu para implementar o AppLocker de forma a impedir a execuo de aplicativos no
padro. Ele tambm lhe pediu para criar novas regras do Firewall do Windows para todos os servidores
membros que executam aplicativos baseados na Web.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24410B-LON-DC1
24410B-LON-SVR1
24410B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
execute as etapas a seguir:
1.
2.
3.
4.
Senha: Pa$$w0rd
12-37
Seu gerente lhe pediu para configurar novas polticas de AppLocker para controlar o uso de aplicaes
nas reas de trabalho dos usurios. A nova configurao deve permitir que programas sejam executados
apenas a partir de locais aprovados. Todos os usurios devem ser capazes de executar aplicativos a partir
do diretrio C:\Windows e de C:\Arquivos de Programas.
Voc tambm precisa adicionar uma exceo para executar um aplicativo personalizado que reside
em um local no padro. A primeira fase da implementao registrar a conformidade com regras.
A segunda fase de implementao impedir que programas no autorizados sejam executados.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
Executar GPUpdate
5.
6.
7.
Criar uma regra que permita a execuo do software a partir de um local especfico
8.
9.
2.
3.
2.
No GPMC, no continer Objetos de Poltica de Grupo, crie um novo GPO com o nome
GPO de Controle de Software.
3.
4.
5.
6.
Regras de Executveis
Regras de Script
Regras Executveis
Regras de Script
7.
8.
9.
2.
3.
2.
12-38
2.
3.
Clique em MSI e Scripts e analise o log de eventos 8005 que contm o seguinte texto:
%OSDRIVE%\CUSTOMAPP\APP1.BAT permitido para execuo.
12-39
Tarefa 7: Criar uma regra que permita a execuo do software a partir de um local
especfico
1.
2.
3.
Permisses: Permitir
Condies: Caminho
Caminho: %OSDRIVE%\CustomApp\app1.bat
2.
Use a opo Impor regras para configurar a imposio de regras para o seguinte:
o
Regras executveis
Regras de Script
2.
3.
4.
5.
2.
Confirme que o aplicativo no pode ser executado a partir da pasta Documentos e verifique se
a seguinte mensagem exibida: Este programa est bloqueado por uma poltica de grupo.
Para obter mais informaes, contate o administrador do sistema.
12-40
Resultados: Ao terminar este exerccio, voc ter configurado polticas AppLocker para todos os usurios
cujas contas de computador esto localizadas na unidade organizacional de Computadores Cliente. As
polticas configuradas devem permitir que esses usurios executem aplicativos que esto localizados nas
pastas C:\Windows e C:\Arquivos de Programas e executem o aplicativo personalizado app1.bat na pasta
C:\CustomApp.
2.
3.
4.
5.
6.
7.
8.
2.
No GPMC, no continer Objetos de Poltica de Grupo, crie um novo GPO com o nome
GPO de Servidores de Aplicativos.
3.
4.
5.
12-41
2.
3.
2.
3.
4.
Reinicie LON-SVR1 e depois faa logon novamente como ADATUM\Administrador com a senha
Pa$$w0rd.
2.
3.
4.
Resultados: Ao terminar este exerccio, voc ter usado a Poltica de Grupo para configurar o Firewall
do Windows com Segurana Avanada para criar regras para servidores de aplicativos.
2.
3.
4.
12-42
Ferramentas
Ferramenta
Use para
Onde encontrar
12-43
Console de
Gerenciamento de
Poltica de Grupo
Gerenciador do
Servidor/Ferramentas
AppLocker
Firewall do Windows
com segurana avanada
Gerenciador do
Servidor/Ferramentas, se
configurados individualmente,
ou Editor de GPO no GPMC
para implantao com a Poltica
de Grupo
Gerenciador de
Compatibilidade
de Segurana
Implantao de polticas de
segurana com base em
recomendaes do Guia de
Segurana da Microsoft e em
prticas recomendadas do setor
Prtica recomendada
Veja a seguir as prticas recomendadas:
12-44
Sempre faa uma avaliao detalhada dos riscos de segurana antes de planejar quais recursos
de segurana a sua organizao deve implantar.
Crie um GPO separado para configuraes de segurana que se aplicam aos diferentes tipos de
usurios na sua organizao, pois cada departamento pode ter necessidades de segurana distintas.
Sempre teste as configuraes de segurana que voc pretende implementar com um GPO em um
ambiente isolado que no seja de produo. Apenas implante polticas no seu ambiente de produo
depois de concluir esses testes com sucesso.
Mdulo 13
Implementao da virtualizao de servidores
com o Hyper-V
Contedo:
Viso geral do mdulo
13-1
13-2
13-9
13-17
13-25
13-30
13-37
Avaliao do curso
13-38
A virtualizao de servidores tem sido apenas uma parte do sistema operacional Windows Server desde
o lanamento do Windows Server 2008 e da introduo da funo do Hyper-V. Usando virtualizao
de Servidores, sua organizao pode economizar dinheiro por meio da consolidao de servidores.
Porm, para usar a Virtualizao de Servidores de forma mais eficiente, os administradores de servidor
devem ser capazes de decidir quais cargas de trabalho sero executadas com eficincia em mquinas
virtuais e quais cargas de trabalho de servidor devem permanecer implantadas em um ambiente
de servidor mais tradicional.
Este mdulo apresenta a funo Hyper-V no Windows Server 2012, os componentes dessa funo,
como implant-la da melhor forma possvel e tambm os novos recursos da funo Hyper-V que
foram introduzidos com o Windows Server 2012.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Implementar o Hyper-V.
Lio 1
Voc pode implantar vrios tipos diferentes de tecnologias de virtualizao em redes nas quais sistemas
operacionais Windows estejam implantados. Os tipos de tecnologias de virtualizao que voc seleciona
dependem do que a sua organizao precisa realizar. Embora este mdulo enfatize principalmente
a virtualizao de servidores, nesta lio, voc aprender outros tipos de tecnologias de virtualizao,
bem como as situaes em que mais apropriado implant-los.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
13-3
Com a implementao de mquinas virtuais, voc usa componentes de hardware de forma mais eficiente.
Na maioria dos casos, um servio ou aplicativo no consume mais do que uma frao dos recursos do
servidor de virtualizao. Isso significa que voc pode instalar vrios servios e aplicativos no mesmo
servidor de virtualizao e, em seguida, implant-los em vrias mquinas virtuais. Isso garante que os
recursos desse servidor de virtualizao sejam usadas com mais eficincia. Por exemplo, suponha que
voc tenha quatro servios e aplicativos distintos, cada um deles consumindo de 10% a 15% dos recursos
de hardware de um servidor de virtualizao. Voc pode instalar esses servios e aplicativos em mquinas
virtuais e depois inseri-los no mesmo hardware no qual, em mdia, eles consomem um total de 40%
a 60% do hardware do servidor de virtualizao.
Este exemplo simplificado. Em ambientes reais, voc deve fazer os preparativos adequados antes da
co-localizao de mquinas virtuais. Voc precisa garantir que as necessidades de recursos de hardware
de todas as mquinas virtuais que esto hospedadas no servidor de virtualizao no excedam os
recursos de hardware do servidor.
Consolidao de servidores
Com a virtualizao de servidores, voc pode consolidar servidores que, de outra forma, precisariam
ser executados em hardwares separados em um nico servidor de virtualizao. Como cada mquina
virtual em um servidor de virtualizao est isolada das outras mquinas virtuais no mesmo servidor,
possvel implantar servios e aplicativos incompatveis uns com os outros no mesmo computador
fsico, desde que voc os hospede em mquinas virtuais. Exemplos desses servios e aplicativos incluem o
Microsoft Exchange Server 2010, o SQL Server 2012 e o AD DS (Servios de Domnio Active Directory).
Isso significa que, agora, uma organizao precisa implantar apenas um servidor fsico em vez dos trs
servidores que teriam sido necessrios no passado.
Prtica recomendada: Recomendamos que voc no implante um servidor de caixa de
correio do Microsoft Exchange no mesmo computador que contenha uma funo de controlador
de domnio. Tambm recomendamos que voc no implante uma instncia de banco de dados
do SQL Server 2012 no mesmo computador que contenha a funo de controlador de domnio.
Em vez disso, implante cada uma dessas cargas de trabalho em mquinas virtuais separadas e
depois execute essas mquinas virtuais como convidadas no mesmo servidor de virtualizao.
Esta uma configurao com suporte.
Modelos de mquinas virtuais para configuraes de servidor comuns esto includas com produtos
como o Microsoft System Center 2012 - Virtual Machine Manager (VMM). Nesses modelos, muitos
dos parmetros foram predefinidos com configuraes comuns e, portanto, voc no precisa definir
por conta prpria a configurao de cada parmetro.
Voc tambm pode criar portais de autoatendimento de mquinas virtuais que permitem que os
usurios finais provisionem servidores e aplicativos aprovados automaticamente. Isso diminui a carga
de trabalho da equipe de administrao de sistema. Voc cria esses portais de autoatendimento
de mquinas virtuais com o VMM e o Microsoft System Center 2012 - Service Manager.
A capacidade baseada em nuvem elstica, ou seja, pode aumentar ou diminuir rapidamente conforme
necessrio. Por exemplo, em uma soluo tradicionalmente hospedada, voc pode escolher um chassis de
servidor especfico, mas, se a sua necessidade por capacidade ou desempenho aumentar, ser necessrio
mudar para uma classe maior de hardware de servidor. Tudo isso leva tempo e requer planejamento.
Da mesma forma, se a sua necessidade por capacidade ou desempenho diminuir, voc precisar decidir
se deseja migrar para uma classe inferior de hardware que justifique os custos ou se a sua organizao
deve continuar a pagar por uma classe de hardware de que voc no precisa no momento e pode
ou no vir a precisar no futuro. Usando um provedor de hospedagem, a capacidade dimensionada
automaticamente, e voc no precisa desperdiar tempo ou dinheiro para mudar de um servidor
para outro.
Mquinas virtuais, aplicativos e servios baseados em nuvem podem ser teis quando voc precisa
fornecer solues de prova de conceito para projetos propostos. Em vez de adquirir hardware de
teste e depois implantar nesse hardware uma soluo de prova de conceito, voc pode implementar
rapidamente uma mquina virtual baseada em nuvem e depois implantar nela a sua soluo de prova
de conceito. Em seguida, assim que essa soluo de prova de conceito validada, possvel descartar
a mquina virtual, ou mant-la, dependendo de questes operacionais. Alm de ser mais rpida, essa
soluo mais econmica do que comprar o hardware para a soluo de prova de conceito, que voc
poder optar por descartar se o projeto no for aprovado.
13-5
Em plataformas baseadas em nuvem, como o Windows Azure, voc pode implantar aplicativos sem
precisar implantar a infraestrutura de servidor subjacente. Por exemplo, se voc precisar de um banco
de dados, em vez de implantar o Windows Server 2012 e o SQL Server 2012 e depois implantar o banco
de dados especfico, possvel alugar o servidor de banco de dados baseado em nuvem e hospedar
o banco de dados nesse servidor.
Para que uma estratgia baseada em nuvem seja bem-sucedida, voc deve determinar que servios e
aplicativos so mais econmicos para implantar em uma plataforma baseada em nuvem e quais servios
e aplicativos so mais econmicos para hospedar em um ambiente de servidor mais tradicional em suas
prprias instalaes. Muitos fatores que so exclusivos para a sua organizao esto envolvidos nessa
determinao, e uma estratgia que melhor para uma organizao pode no ser apropriada para outra.
Na VDI (Virtual Desktop Infrastructure), sistemas operacionais cliente so hospedados centralmente como
mquinas virtuais, e os clientes se conectam a essas mquinas virtuais usando softwares de cliente, como
a RDC. Voc pode configurar um servidor para dar suporte VDI selecionando uma instalao de Servios
de rea de Trabalho Remota no Assistente de Adio de Funes e Recursos. Ao configurar um servidor
de virtualizao para funcionar como um servidor VDI, voc pode instalar a funo Host de Virtualizao
de rea de Trabalho Remota alm da funo Hyper-V.
A VDI pode simplificar o gerenciamento de sistemas operacionais cliente fazendo o seguinte:
Se um computador cliente falhar, garantindo que os usurios ainda possam acessar suas mquinas
virtuais usando outros mtodos de RDC.
Voc tambm pode usar a VDI para implementar uma poltica na qual o usurio deve trazer seu
prprio dispositivo. Nesse cenrio, os usurios trazem seus prprios computadores para o escritrio
e usam softwares de RDC para se conectarem mquina virtual designada.
Virtualizao de apresentao
A virtualizao de apresentao diferente da
virtualizao de rea de trabalho das seguintes
formas:
Em redes que usam o Windows Server 2012, a virtualizao de apresentao fornecida pela funo
de servidor de Servios de rea de Trabalho Remota. Os clientes podem acessar a virtualizao
de apresentao das seguintes formas:
13-7
rea de Trabalho Completa. Os clientes podem usar um cliente de rea de trabalho remota, como
a RDC, para acessar uma sesso de rea de trabalho completa e executar aplicativos no servidor
de virtualizao do Windows Server 2012.
Aplicativos RemoteApp. Em vez de usar um cliente de rea de trabalho completa como a RDC,
o recurso RemoteApp do Windows Server faz com que aplicativos executados no servidor
do Windows Server 2012 possam ser exibidos no computador cliente. Voc pode implantar
aplicativos RemoteApp como arquivos do Windows Installer (.msi) usando mtodos tradicionais
de implantao de software. Isso permite associar tipos de arquivo a aplicativos RemoteApp.
Acesso via Web da rea de Trabalho Remota. Usando o Acesso via Web rea de Trabalho Remota,
os clientes podem acessar um site em um servidor especialmente configurado e depois iniciar
aplicativos RemoteApp e sesses de rea de Trabalho Remota a partir de seus navegadores.
O Gateway de rea de Trabalho Remota faz com que clientes externos possam acessar a rea de Trabalho
Remota e o recurso RemoteApp sem usarem a VPN (rede virtual privada) ou o DirectAccess, um recurso
dos sistemas operacionais Windows 7 e Windows 8. O Gateway de rea de Trabalho Remota um servio
de funo que voc pode instalar em um computador que executa o Windows Server 2012. Servidores
de Gateway de rea de Trabalho Remota so implantados em redes de permetro. Em seguida, voc
configura o cliente RDC com o endereo de servidores de Gateway de rea de Trabalho Remota. Quando
isso feito, o cliente verifica se o servidor de rea de trabalho remota de destino se encontra na rede
da organizao. Se o servidor de rea de trabalho remota estiver na rede, o cliente estabelecer uma
conexo direta com ele. Se o servidor de rea de trabalho remota no estiver na rede, o cliente rotear
a conexo com ele atravs do servidor de Gateway de rea de Trabalho Remota.
Isolamento de aplicativos
O App-V isola o aplicativo do sistema operacional e o executa em um ambiente virtual separado.
O App-V tambm isola os aplicativos de outros aplicativos que esto sendo executados no mesmo
computador. Isso significa que voc pode executar aplicativos possivelmente incompatveis quando
executados juntos no mesmo computador. Por exemplo, voc pode usar o App-V para implantar
e executar diferentes verses do Microsoft Office Word simultaneamente.
Streaming de aplicativos
Portabilidade de aplicativos
Quando o App-V implantado com o Microsoft System Center 2012 Configuration Manager, os usurios
podem usar os mesmos aplicativos em vrios computadores cliente, sem precisarem de uma instalao
tradicional nesses computadores. Por exemplo, um usurio pode entrar no computador de um colega e
usar o App-V para fazer streaming de um aplicativo e, assim, poder us-lo nesse computador. O aplicativo
no instalado localmente e, quando o usurio sai, ele deixa de ficar disponvel para os outros usurios
nesse computador.
Assim como o App-V permite que os usurios acessem seus aplicativos a partir de diferentes
computadores cliente, o Microsoft User Experience Virtualization (UE-V) permite que esses usurios
tenham as mesmas configuraes de sistema operacional e aplicativos em vrios dispositivos que estejam
executando o Windows 7 e o Windows 8. Por exemplo, quando um usurio define uma configurao
para um aplicativo que distribudo via App-V em um computador (por exemplo, configurar uma guia
personalizada na faixa de opes de um produto do Microsoft Office), essa configurao fica disponvel
automaticamente quando o aplicativo distribudo via App-V para outro computador.
Lio 2
Implementao do Hyper-V
13-9
Compreender como o Hyper-V funciona e como as mquinas virtuais funcionam fundamental para
a implantao efetiva da virtualizao de servidores em um ambiente de rede do Windows Server 2012.
Esta lio discute o Hyper-V e os requisitos de hardware para implantar o Hyper-V em um computador
que executa o Windows Server 2012. Esta lio tambm discute os componentes de uma mquina virtual
(com nfase na Memria Dinmica) e os benefcios de servios de integrao de mquina virtual. Por
fim, ela discute como medir o uso de recursos da mquina virtual com cmdlets do Windows PowerShell.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
O que o Hyper-V?
O Hyper-V a funo de virtualizao
de hardware que est disponvel no
Windows Server 2012. A virtualizao de
hardware fornece uma camada de hipervisor que
tem acesso direto ao hardware do servidor host.
O sistema operacional host e todas as mquinas
virtuais em execuo no host acessam o hardware
atravs da camada de hipervisor. Isso diferente
dos produtos de virtualizao de software, como
o Microsoft Virtual Server 2005 R2, que usam o
sistema operacional do servidor de virtualizao
para fornecer acesso indireto ao hardware
do servidor.
Voc pode implantar o Hyper-V em um computador que esteja executando o Windows Server 2012 com
o Assistente de Adio de Funes e Recursos. Voc pode configurar o Windows Server 2012 como um
servidor de virtualizao usando a funo Hyper-V. Dessa forma, o Windows Server 2012 pode hospedar
mquinas virtuais convidadas que estejam executando sistemas operacionais com suporte. Voc pode
gerenciar a administrao de mquinas virtuais localmente atravs do Windows PowerShell ou pode
controlar esse processo remotamente atravs do console Gerenciador do Hyper-V.
Voc pode instalar a funo Hyper-V tanto na configurao Server Core quanto na configurao
no Server Core do Windows Server 2012. H tambm uma edio Microsoft Hyper-V Server 2012,
que inclui apenas os componentes necessrios para hospedar mquinas virtuais.
Observao: Em alguns documentos, o servidor de virtualizao (por exemplo,
o computador com Windows Server 2012 que est executando o Hyper-V) chamado
de partio pai, enquanto uma mquina virtual em execuo no servidor chamada
de partio filho.
O servidor deve ter memria suficiente para dar suporte a todas as mquinas virtuais que devem
ser executadas ao mesmo tempo, alm de memria suficiente para executar o sistema operacional
Windows Server 2012 host.
O servidor deve ter pelo menos 4 GB de RAM.
Uma mquina virtual hospedada no Hyper-V no Windows Server 2012 pode dar suporte
a no mximo 2 terabytes (TB) de RAM.
13-10
13-11
A partir de qual dispositivo a mquina virtual inicializada (por exemplo, a partir de uma
unidade de DVD, de uma interface IDE, de um adaptador de rede legado ou de um disquete)
Memria. Voc pode alocar at 1 TB de recursos de memria para uma mquina virtual individual.
Processador. Voc pode alocar at 64 processadores virtuais para uma nica mquina virtual.
Controlador IDE 0. Uma mquina virtual pode dar suporte a apenas dois controladores IDE e, por
padro, dois so alocados para cada mquina virtual. Cada controlador IDE pode dar suporte a dois
dispositivos.
Voc pode conectar VHDs (unidades de disco rgido virtuais) ou unidades de DVD virtuais para um
controlador IDE. Se a mquina virtual for inicializada a partir de um VHD ou de uma unidade de DVD
virtual, o dispositivo de inicializao dever estar conectado a um controlador IDE. Voc pode usar
controladores IDE para conectar VHDs e unidades de DVD a mquinas virtuais que usam qualquer
sistema operacional sem suporte para servios de integrao.
IDE controlador 1. Permite que unidades de disco rgido virtuais e unidades de DVD adicionais
sejam implantadas na mquina virtual.
Controlador SCSI. Voc pode usar um controlador SCSI apenas em mquinas virtuais que possuem
sistemas operacionais com suporte para servios de integrao.
Unidade de disco. Permite mapear uma imagem de disquete virtual para uma unidade de disco
virtual.
Voc pode adicionar o hardware a seguir a uma mquina virtual editando as propriedades da mquina
virtual e depois clicando em Adicionar Hardware:
13-12
Controlador SCSI. Voc pode adicionar at quatro dispositivos SCSI virtuais. Cada controlador
d suporte a at 64 discos.
Adaptador de rede. Uma nica mquina virtual pode ter no mximo oito adaptadores de rede
sintticos.
Adaptador de rede legado. Voc pode usar adaptadores de rede legados com qualquer sistema
operacional que no d suporte para servios de integrao. Tambm pode usar adaptadores de
rede legados para implantar imagens do sistema operacional em toda a rede. Uma nica mquina
virtual pode ter at quatro adaptadores de rede legados.
Adaptador de Fibre Channel. Se voc adicionar um adaptador de Fibre Channel a uma mquina
virtual, esta poder se conectar diretamente a uma rede SAN de Fibre Channel. Apenas ser possvel
adicionar um adaptador de Fibre Channel a uma mquina virtual se o servidor de virtualizao tiver
um HBA (adaptador de barramento do host) que tambm tenha um driver do Windows Server 2012
com suporte para Fibre Channel virtual.
Permitir que a mquina virtual solicite memria adicional necessria para a mquina virtual.
Assim, usando a Memria Dinmica, voc no precisa mais adivinhar a quantidade de memria
necessria para uma mquina virtual. Em vez disso, basta configurar o Hyper-V para que a mquina
virtual receba o mximo de memria de que ela precisa.
Com o Windows Server 2012, voc pode modificar alguns dos valores mnimos e mximos da
Memria Dinmica enquanto a mquina virtual est em execuo. Isso no era possvel com
o Windows Server 2008 R2 SP1. Voc pode realizar essa tarefa a partir da caixa de dilogo
Configuraes de uma Mquina Virtual.
Observao: Mquinas virtuais devem oferecer suporte a servios de integrao
do Hyper-V para usarem a Memria Dinmica.
Paginao Inteligente
13-13
Possivelmente, as mquinas virtuais precisaro de mais memria durante a inicializao do que durante
a operao normal. A Paginao Inteligente, que um novo recurso do Windows Server 2012, atribui
memria temporria adicional a uma mquina virtual quando voc a reinicia. Isso significa que voc
pode alocar memria com base nas necessidades da mquina virtual enquanto ela est operando
normalmente, em vez de alocar memria com base na quantidade necessria durante a inicializao.
A Paginao Inteligente usa a paginao de disco para atribuir memria temporria adicional a uma
mquina virtual enquanto ela est sendo reiniciada. No entanto, o uso da Paginao Inteligente pode
reduzir o desempenho, pois utiliza recursos de disco que, de outra forma, poderiam ser usados pelo
servidor host e outras mquinas virtuais.
Observao: Voc pode configurar a memria da mquina virtual usando
o cmdlet Set-VMMemory do Windows PowerShell.
Leitura adicional: Para obter mais informaes sobre a Memria Dinmica
do Hyper-V, consulte a viso geral sobre Memria Dinmica do Hyper-V em
http://go.microsoft.com/fwlink/?LinkId=269713.
Os sistemas operacionais convidados de mquina virtual com suporte pelo Hyper-V e que podem usar
Servios de Integrao incluem:
CentOS 6.0-6.2
CentOS 5.5-5.7
13-14
Desligamento do sistema operacional. Permite que o servidor que executa o Hyper-V inicie
um desligamento normal da mquina virtual convidada.
Intercmbio de dados. Permite que o servidor que executa o Hyper-V grave dados no registro
da mquina virtual.
Backup (instantneo de volume). Permite que o provedor de VSS (Servio de Cpias de Sombra
de Volume) crie instantneos da mquina virtual para operaes de backup, sem interromper
as operaes normais da mquina virtual.
13-15
Nada. A mquina virtual no iniciada automaticamente quando o servidor que executa o Hyper-V
iniciado, mesmo quando ela estava em um estado em execuo na ocasio em que o servidor
foi desligado.
Iniciar automaticamente se ela estava em execuo quando o servio parou. A mquina virtual
ser reiniciada se estava em execuo quando o servidor com o Hyper-V recebeu o comando de
desligamento, ou se a mquina virtual estava em execuo quando o servidor sofreu uma falha
que causou o seu desligamento.
Sempre iniciar esta mquina virtual automaticamente. A mquina virtual sempre iniciada quando
o servidor que executa o Hyper-V iniciado. Voc pode configurar um atraso de inicializao
para garantir que vrias mquinas virtuais no tentem ser inicializadas todas ao mesmo tempo.
Salvar o estado de mquina virtual. Essa opo salva o estado ativo da mquina virtual no disco,
incluindo a memria, quando o servidor recebe um comando de desligamento. Isso torna possvel
para a mquina virtual ser reiniciada quando o servidor que est executando o Hyper-V reiniciado.
Desligar a mquina virtual. A mquina virtual desligada quando o servidor recebe um comando
de desligamento. possvel haver perda de dados quando isso acontece.
13-16
Ao medir o quanto desses recursos cada uma das mquinas virtuais utiliza, uma organizao pode
cobrar departamentos ou clientes com base em quantos recursos suas mquinas virtuais usam, em vez
de cobrarem uma taxa fixa por mquina virtual. Uma organizao com apenas clientes internos tambm
pode usar essas medidas para ver os padres de uso e planejar futuras expanses. Voc executa tarefas
de medio de recursos a partir de uma interface de linha de comando do Windows PowerShell usando
os seguintes cmdlets:
Measure-VM. Exibe estatsticas de medio de recursos para uma mquina virtual especfica.
Observao: No h nenhuma ferramenta de GUI que voc possa usar para realizar
a medio de recursos.
Leitura adicional: Para obter mais informaes sobre a medio de recursos
para o Hyper-V, consulte a viso geral sobre medio de recursos do Hyper-V em
http://go.microsoft.com/fwlink/?LinkId=269714.
13-17
Lio 3
Nesta lio, voc conhecer os diferentes tipos de VHD, os diferentes formatos de VHD e os benefcios
e as limitaes do uso de instantneos de mquina virtual.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
VHDs com o formato vhdx. podem ter at 64 TB, enquanto VHDs com o formato .vhd esto
limitados a 2 TB.
VHDs com o formato vhdx. apresentam menos chances de serem corrompidos se o servidor
de virtualizao sofrer uma falta de energia inesperada.
VHDs com o formato .vhdx podem conter VHDs dinmicos e diferenciais maiores, o que significa
que esses VHDs apresentam melhor desempenho.
Voc pode converter um VHD com o formato .vhd no formato .vhdx usando o Assistente para Edio
de Discos Rgidos Virtuais. Convm fazer isso se voc tiver atualizado um servidor de virtualizao do
Windows Server 2008 ou do Windows Server 2008 R2 para o Windows Server 2012. Tambm possvel
converter um VHD com o formato .vhdx no formato .vhd.
13-18
Agora, o Windows Server 2012 oferece suporte ao armazenamento de todos os arquivos de mquina
virtual, incluindo VHDs nos compartilhamentos de arquivos SMB 3.0. Esta uma alternativa para
o armazenamento desses arquivos em dispositivos SAN de Fibre Channel ou iSCSI (Internet SCSI). Ao criar
uma mquina virtual no Hyper-V no Windows Server 2012, voc pode especificar um compartilhamento
de rede ao escolher o local do VHD ou ao anexar um VHD existente. O compartilhamento de arquivos
deve dar suporte ao SMB 3.0. Isso significa que voc deve inserir VHDs em compartilhamentos de
arquivos que esto hospedados em servidores de arquivos com o Windows Server 2012. Verses
mais antigas do Windows Server no do suporte para o SMB 3.0.
Leitura adicional: Para obter mais informaes sobre formatos de VHD,
consulte a viso geral sobre formatos de discos rgidos virtuais do Hyper-V em
http://go.microsoft.com/fwlink/?LinkId=269715.
13-19
Quando voc cria VHDs fixos, todo o espao em disco rgido especificado alocado durante o processo
de criao. Isso minimiza a fragmentao, o que melhora o desempenho do VHD quando o disco est em
um dispositivo de armazenamento tradicional (ou seja, no em estado slido). Porm, a alocao de todo
o espao em disco rgido especificado durante o processo de criao tem uma desvantagem: em muitas
situaes, voc no saber precisamente de quanto espao em disco uma mquina virtual precisa.
Portanto, voc pode acabar alocando espao que no realmente necessrio.
Observao: A fragmentao do disco um problema menor quando VHDs esto
hospedados em volumes RAID ou em SSDs. Melhorias no Hyper-V (desde que ele foi
introduzido pela primeira vez com o Windows Server 2008) tambm minimizam as
diferenas de desempenho entre VHDs dinmicos e fixos.
Para criar um VHD fixo, siga estas etapas:
1.
2.
3.
Na pgina Antes de Comear do Assistente para Criao de Discos Rgidos Virtuais, clique
em Avanar.
4.
No Assistente para Criao de Discos Rgidos Virtuais, na pgina Escolher Formato de Disco,
clique em VHD ou em VHDX e depois clique em Avanar.
5.
6.
Na pgina Especificar Nome e Local, insira um nome para o VHD e depois especifique uma pasta
na qual voc deseja hospedar o arquivo VHD.
7.
Copiar o contedo de um disco fsico especificado. Com essa opo, voc pode replicar um
disco fsico existente no servidor como um VHD. O VHD fixo ter o mesmo tamanho que o disco
fsico. Replicar um disco rgido fsico existente no altera os dados nesse disco.
Copiar o contedo de um disco rgido virtual especificado. Com essa opo, voc pode criar
um novo disco rgido fixo com base no contedo de um VHD existente.
Observao: Voc pode criar um novo disco rgido fixo usando o cmdlet New-VHD
do Windows PowerShell com o parmetro -Fixed.
13-20
Quando voc cria um VHD de expanso dinmica, pode especificar um tamanho mximo, mas o disco
usa apenas o espao de que ele precisa e cresce conforme necessrio. Um VHD de expanso dinmica
pode ser criado com o formato .vhd ou .vhdx. Um novo VHD de expanso dinmica com o formato .vhd
alocado com cerca de 260 KB. Um novo VHD de expanso dinmica com o formato .vhdx alocado
com cerca de 4.096 KB.
Um VHD de expanso dinmica cresce medida que voc salva arquivos nele. No entanto, se voc excluir
arquivos de um VHD de expanso dinmica, ele no ir encolher. Voc s pode reduzir um arquivo VHD
de expanso dinmica realizando uma operao de compactao.
Para criar um VHD de expanso dinmica, siga as etapas acima para a criao de um VHD fixo, com
a diferena de que, na pgina Escolher Tipo de Disco (na etapa 5), voc clica em Expanso Dinmica
em vez de em Tamanho Fixo.
Observao: Voc pode criar um novo disco rgido dinmico usando o cmdlet New-VHD
do Windows PowerShell com o parmetro -Dynamic.
Verifique se o disco rgido de destino est offline. Se no estiver offline, use o console de
Gerenciamento de Disco no servidor de virtualizao para coloc-lo offline.
2.
Use o console Gerenciador do Hyper-V para editar as propriedades da mquina virtual existente.
3.
4.
Na caixa de dilogo Disco Rgido, clique em Disco Rgido Fsico. No menu suspenso, selecione
o disco que voc deseja usar como armazenamento com conexo direta.
Gerenciamento de VHDs
De vez em quando, voc precisa executar
operaes de manuteno em VHDs. Por exemplo,
talvez voc queira converter um VHD em outro
formato conforme as suas necessidades mudarem
ou at mesmo compactar um VHD para liberar
espao. Voc pode realizar as seguintes operaes
de manuteno em VHDs:
Converso de um disco
13-21
Quando voc converte um VHD, o contedo do VHD existente copiado para um VHD recm-criado.
Por exemplo, quando voc converte um VHD fixo em um VHD de expanso dinmica, um novo disco
dinmico criado e, em seguida, o contedo do disco fixo copiados para o novo disco dinmico,
e o disco fixo excludo.
Para converter um VHD de fixo para dinmico ou de dinmico para fixo, siga estas etapas:
1.
2.
3.
Na pgina Disco Rgido Virtual Local, clique em Procurar e selecione o VHD que voc
deseja converter.
4.
5.
Na pgina Converter Disco Rgido Virtual, escolha entre os formatos VHD e VHDX.
6.
Na pgina Converter Disco Rgido Virtual, escolha entre Tamanho Fixo e Expanso Dinmica. Se
voc tambm quiser converter o tipo de disco rgido, escolha o tipo apropriado e clique em Avanar.
7.
2.
No Assistente para Edio de Discos Rgidos Virtuais, selecione a opo Compactar ou Expandir.
2.
3.
4.
5.
6.
Para criar um VHD diferencial usando o cmdlet New-VHD do Windows PowerShell, siga o padro
do exemplo a seguir. Para criar um novo VHD diferencial denominado c:\diff-disk.vhd que usa
o VHD c:\parent.vhd, use o seguinte comando do Windows PowerShell:
New-VHD c:\diff-disk.vhd -ParentPath C:\parent.vhd
13-22
Uso de instantneos
Instantneos so uma imagem esttica dos dados
em uma mquina virtual em um determinado
momento. Instantneos so armazenados no
formato .avhd ou .avhdx, dependendo do formato
do VHD. Voc pode criar um instantneo de uma
mquina virtual a partir do menu Ao da janela
Conexo com Mquina Virtual ou a partir do
console Gerenciador do Hyper-V. Cada mquina
virtual pode ter no mximo 50 instantneos.
Voc pode criar instantneos a qualquer
momento, mesmo quando uma mquina virtual
est desligada. Quando voc cria um instantneo
de uma mquina virtual em execuo, ele inclui o contedo da memria dessa mquina virtual.
Ao criar instantneos de vrias mquinas virtuais que fazem parte do mesmo grupo, por exemplo,
um controlador de domnio virtual e um servidor membro virtual, voc deve criar esses instantneos
simultaneamente. Isso garante que itens como senhas de contas de computador sejam os mesmos
em todos os instantneos.
13-23
Lembre-se de que, quando voc reverte para um instantneo, est revertendo para o estado de um
computador naquele determinado momento. Se voc retornar um computador a um ponto antes de
ter realizado uma alterao de senha de computador com um controlador de domnio, ser necessrio
reingressar esse computador no domnio ou executar o comando netdom resetpwd.
Exportao de instantneos
Voc pode realizar uma exportao de mquina virtual de um instantneo. Quando isso feito,
o Hyper-V cria VHDs completos que representam o estado da mquina virtual no momento que
o
instantneo foi tirado. Se voc optar por exportar uma mquina virtual inteira, todos os instantneos
associados a ela tambm sero exportados.
Quando voc cria um instantneo, o Hyper-V grava arquivos de VHD diferencial (.avhd ou .avhdx), que
armazenam os dados que diferenciam o instantneo do instantneo anterior ou do VHD pai. Quando
voc exclui instantneos, esses dados so descartados ou mesclados no instantneo anterior ou VHD
pai. Por exemplo:
Se voc excluir o instantneo mais recente, os dados sero descartados. Com o Hyper-V no
Windows Server 2012, esse espao recuperado imediatamente, e no quando a mquina
virtual desligada.
Se voc excluir o segundo instantneo mais recente, os dados sero mesclados para que
os estados dele e do instantneo anterior possam manter a integridade.
Gerenciamento de instantneos
13-24
Quando voc aplica um instantneo, a mquina virtual reverte para a configurao tal como ela existia
na ocasio em que o instantneo foi tirado. Reverter para um instantneo no exclui os instantneos
existentes. Se voc aplicar um instantneo aps fazer uma alterao de configurao em um instantneo
diferente, ser solicitado a criar outro instantneo. Apenas ser necessrio criar um novo instantneo
se voc quiser retornar para aquela configurao atual.
possvel criar rvores de instantneos que possuem ramificaes diferentes. Por exemplo, considere
o seguinte cenrio:
Voc tira um instantneo de uma mquina virtual na segunda-feira, na tera-feira e na quarta-feira.
Na quinta-feira, decide aplicar o instantneo da tera-feira. Logo depois de aplicar o instantneo
de tera-feira, voc faz alteraes na configurao da mquina virtual.
Neste cenrio, a ramificao original a srie de instantneos tirados na segunda-feira, na tera-feira
e na quarta-feira. Voc cria uma nova ramificao aplicando o instantneo de tera-feira e fazendo
alteraes na mquina virtual. Voc pode ter vrias ramificaes, desde que no ultrapasse o limite
de 50 instantneos por mquina virtual.
Lio 4
13-25
O Hyper-V oferece vrias opes diferentes para comunicao em rede entre mquinas virtuais.
possvel configurar mquinas virtuais que se comunicam com uma rede externa de maneira semelhante
a hosts fsicos tradicionalmente implantados. possvel configurar mquinas virtuais para que elas se
comuniquem apenas com um nmero limitado de outras mquinas virtuais que esto hospedadas no
mesmo servidor. Conhecer as opes disponveis para redes virtuais do Hyper-V garante que voc possa
aproveitar essas opes para atender s necessidades da sua organizao da melhor maneira possvel.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Externo. Esse tipo de comutador mapeia uma rede para um adaptador de rede especfico ou uma
equipe de adaptadores de rede. O Windows Server 2012 d suporte ao mapeamento de uma rede
externa para um adaptador de rede sem fio quando o servio de rede local sem fio est instalado
no servidor de virtualizao e este ltimo possui um adaptador compatvel.
Ao configurar uma rede virtual, voc tambm pode configurar uma ID de LAN virtual (VLAN) a ser
associada com a rede. Isso permite estender VLANs existentes na rede externa para VLANs dentro
do comutador de rede do servidor de virtualizao. VLANs permitem particionar o trfego de rede
e funcionam como redes lgicas separadas. O trfego s poder passar de uma VLAN para outra
se atravessar um roteador.
Voc pode configurar as seguintes extenses para cada tipo de comutador virtual:
13-26
Captura NDIS da Microsoft. Essa extenso permite que os dados que esto atravessando o comutador
virtual sejam capturados.
Plataforma para Filtros do Windows da Microsoft. Essa extenso permite que os dados que esto
atravessando o comutador virtual sejam filtrado.
Endereo IP do cliente. Esse endereo atribudo pelo cliente mquina virtual. Esse endereo IP
configurado de modo que a comunicao com a rede interna do cliente ocorra mesmo que a
mquina virtual possa estar hospedada em um servidor de virtualizao conectado a uma rede IP
pblica separada. Para exibir o endereo IP do cliente, em um prompt de comando na mquina
virtual, execute IPCONFIG.
Endereo IP do provedor. Esse endereo atribudo pelo provedor de hospedagem. Esse endereo
visvel para o provedor de hospedagem e para outras mquinas na rede fsica, mas no visvel
a partir da mquina virtual.
A Virtualizao de Rede permite hospedar vrias mquinas que usam o mesmo endereo de cliente
(por exemplo, 192.168.15.101) no mesmo servidor que executa o Hyper-V, pois as mquinas virtuais
tm endereos IP de provedor diferentes.
Leitura adicional: Para obter mais informaes sobre sobre a virtualizao
de rede, consulte a viso geral sobre virtualizao de rede do Hyper-V em
http://go.microsoft.com/fwlink/?LinkId=269717.
13-27
2.
3.
4.
5.
Endereos MAC esto em formato hexadecimal. Ao configurar intervalos para vrios hosts Hyper-V,
voc deve alterar os valores do antepenltimo par de dgitos. A tabela a seguir mostra exemplos
de intervalos para vrios hosts Hyper-V.
Host Hyper-V
Host 1
Mnimo: 00-15-5D-0F-AB-00
Mximo: 00-15-5D-0F-AB-FF
Host 2
Mnimo: 00-15-5D-0F-AC-00
Mximo: 00-15-5D-0F-AC-FF
Host 3
Mnimo: 00-15-5D-0F-AD-00
Mximo: 00-15-5D-0F-AD-FF
13-28
ID DA VLAN. Voc pode especificar uma ID de VLAN que a mquina virtual usa para a comunicao
que transmitida atravs desse adaptador.
Gerenciamento de Largura de Banda. Voc aloca uma largura de banda mnima e mxima para
o adaptador. A alocao de largura de banda mnima reservada pelo Hyper-V para o adaptador
de rede, mesmo quando adaptadores de rede virtual em outras mquinas virtuais esto trabalhando
no limite.
Ambos os adaptadores de rede sintticos e adaptadores de rede legados do suporte para os seguintes
recursos avanados:
Alocao de endereo MAC. Voc pode configurar um endereo MAC a ser atribudo a partir do
pool de endereos MAC, ou pode configurar o adaptador de rede para usar um endereo MAC fixo.
Tambm pode configurar a falsificao de endereos MAC. Isto til quando a mquina virtual
precisa fornecer acesso especfico rede, por exemplo, quando a mquina virtual est executando
um emulador de dispositivo mvel que requer acesso rede.
Proteo de DHCP. Esse recurso descarta mensagens DHCP de mquinas virtuais que esto
funcionando como servidores DHCP no autorizados. Isso pode ser necessrio em cenrios
em que voc est gerenciando um servidor com o Hyper-V que hospeda mquinas virtuais
para outros, mas no tem controle direto sobre a configurao dessas mquinas virtuais.
13-29
Espelhamento de Porta. Esse recurso permite que voc copie pacotes de entrada e sada
de um adaptador de rede para outra mquina virtual configurada para monitoramento.
Agrupamento NIC. Esse recurso permite que voc adicione o adaptador de rede virtual a uma equipe
existente no servidor que executa o Hyper-V.
Adaptadores de rede sintticos exigem que o sistema operacional convidado d suporte para servios
de integrao. Alm dos recursos avanados listados anteriormente, adaptadores de rede sintticos
do suporte para os seguintes recursos de acelerao de hardware:
Fila de Mquinas Virtuais. Esse recurso utiliza filtragem de pacotes de hardware para distribuir o
trfego de rede diretamente para o convidado. Isso melhora o desempenho, pois o pacote no
precisa ser copiado do sistema operacional de gerenciamento para a mquina virtual. A Fila de
Mquinas Virtuais requer que o computador host tenha um adaptador de rede com suporte
para esse recurso.
Descarregamento de tarefas IPsec. Esse recurso permite que tarefas de associao de segurana
que exigem muitos clculos sejam realizadas pelo adaptador de rede do host. No caso de no
haver recursos de hardware suficientes, o sistema operacional convidado realizar essas tarefas.
Voc pode configurar um nmero mximo de associaes de segurana descarregadas entre
1 e 4096. O descarregamento de tarefas de segurana IP (IPsec) requer o suporte do sistema
operacional convidado e o suporte do adaptador de rede.
SR-IOV. A virtualizao de E/S de raiz nica (SR-IOV) permite que vrias mquinas virtuais
compartilhem os mesmos recursos expressos de hardware fsico PCI . Se no houver recursos
suficientes disponveis, a conectividade de rede voltar a ser fornecida atravs do comutador
virtual. A SR-IOV requer a instalao de drivers especiais e componentes de hardware especficos
no sistema operacional convidado e, talvez, tambm precise ser habilitada no BIOS do computador.
Voc deseja dar suporte a cenrios de instalao de inicializao de rede para mquinas virtuais.
Por exemplo, voc deseja implantar uma imagem de sistema operacional a partir de um servidor
Windows DS (Windows Deployment Services) ou atravs do Configuration Manager.
Voc precisa dar suporte a sistemas operacionais que no do suporte para servios de integrao
e no tm drivers para o adaptador de rede sinttico.
13-30
Objetivos
Ao concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 75 minutos
Mquina virtual
24410B-LON-HOST1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
1.
2.
2.
2.
3.
13-31
Use o Assistente de Adio de Funes e Recursos para adicionar a funo Hyper-V a LON-HOST1
com as seguintes opes:
o
2.
3.
4.
Resultados: Ao terminar este exerccio, voc ter instalado a funo Hyper-V em um servidor fsico.
Aps a instalao da funo Hyper-V no novo servidor, voc precisa configurar a rede virtual. necessrio
criar uma rede que esteja conectada rede fsica e uma rede privada que possa ser usada apenas para
comunicao entre mquinas virtuais. A rede privada ser usada assim que as mquinas virtuais forem
configuradas para alta disponibilidade. Voc tambm precisa configurar um intervalo especfico
de endereos MAC para as mquinas virtuais.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
2.
Use o Gerenciador de Comutador Virtual para criar um novo comutador de rede virtual Externo
com as seguintes propriedades:
o
Rede Externa: Mapeada para o adaptador de rede fsico do computador host. (Isso varia
dependendo do computador host.)
2.
Use o Gerenciador de Comutador Virtual para criar um novo comutador virtual com as seguintes
propriedades:
o
2.
Use o Gerenciador de Comutador Virtual para criar um novo comutador virtual com as seguintes
propriedades:
o
2.
Mnimo: 00-15-5D-0F-AB-A0
Mximo: 00-15-5D-0F-AB-EF
Resultados: Ao terminar este exerccio, voc ter configurado opes de comutador virtual
em um servidor Windows Server 2012 fisicamente implantado executando a funo Hyper-V.
13-32
Voc foi convidado a implantar duas mquinas virtuais em LON-HOST1. Voc copiou um arquivo de VHD
sysprep que hospeda uma instalao do Windows Server 2012.
Para minimizar o uso de espao em disco s custas do desempenho, voc ir criar dois arquivos de VHD
diferencial com base no VHD sysprepped. Em seguida, voc usar esses arquivos de VHD diferenciais
como os arquivos de VHD para as novas mquinas virtuais.
2.
3.
13-33
Observao: A letra da unidade pode depender do nmero de unidades na mquina host fsica.
2.
3.
Nome: LON-GUEST1.vhd
4.
5.
6.
2.
Nome: LON-GUEST1
Memria: 1024 MB
3.
4.
5.
2.
Resultados: Ao terminar este exerccio, voc ter implantado duas mquinas virtuais separadas usando
um arquivo VHD sysprepped como um disco pai para dois VHDs diferenciais.
2.
3.
4.
5.
6.
13-34
2.
Abra a janela Conexo com Mquina Virtual e execute as etapas a seguir para implantar
o Windows Server 2012 na mquina virtual:
13-35
Na pgina Configuraes, insira a senha Pa$$w0rd duas vezes e depois clique em Concluir.
3.
4.
2.
Entre na mquina virtual LON-GUEST1 e use o console Gerenciador do Servidor para alterar
o nome do computador para LON-Computer1.
2.
3.
Entre na mquina virtual LON-GUEST1 e verifique se o nome do servidor est definido como
LON-Computer1.
Use a janela Conexo com Mquina Virtual para reverter a mquina virtual.
2.
Verifique se o Nome do Computador da mquina virtual est agora definido como LON-GUEST1.
2.
3.
Observe a CPU mdia, a RAM mdia e o uso de disco total. Em seguida, feche o Windows PowerShell.
2.
3.
13-36
Resultados: Ao terminar este exerccio, voc ter usado instantneos de mquina virtual para recuperarse de uma configurao incorreta de mquina virtual.
Pergunta: Que tipo de comutador de rede virtual voc criaria se quisesse permitir que a
mquina virtual se comunicasse com a LAN que est conectada ao servidor de virtualizao
do Hyper-V?
Pergunta: Como voc pode garantir que nenhuma mquina virtual use toda a largura
de banda fornecida pelo servidor de virtualizao do Hyper-V?
Pergunta: Que tarefa de configurao de Memria Dinmica no era possvel em verses
anteriores do Hyper-V, mas que agora voc pode realizar em uma mquina virtual que
esteja hospedada na funo Hyper-V em um servidor Windows Server 2012?
Prtica recomendada
13-37
Verifique se um servidor de virtualizao provisionado com RAM adequada. Ter vrias mquinas
virtuais paginando a unidade de disco rgido porque elas possuem memria inadequada diminui
o desempenho de todas as mquinas virtuais no servidor.
Monitore o desempenho da mquina virtual com cuidado. Uma mquina virtual que utiliza
uma quantidade desproporcional de recursos de servidor pode reduzir o desempenho
de todas as outras mquinas virtuais hospedadas no mesmo servidor de virtualizao.
Ferramentas
Voc pode usar as seguintes ferramentas com o Hyper-V para implantar e gerenciar mquinas virtuais.
Nome da ferramenta
Ferramenta Sysinternals
disk2vhd
Usada para
Use-o para converter discos rgidos
fsicos no formato VHD.
Onde encontrar
Site do Microsoft TechNet.
Avaliao do curso
Sua avaliao deste curso ajudar a Microsoft
a entender a qualidade da sua experincia
de aprendizagem.
Solicite ao seu instrutor o acesso ao formulrio
de avaliao do curso.
A Microsoft manter em sigilo suas respostas a
esta pesquisa e usar suas respostas para melhorar
sua experincia de aprendizagem futura. Sua
avaliao franca e honesta muito valiosa.
13-38
2.
3.
4.
5.
6.
7.
8.
9.
13. Na pgina Which type of installation do you want?, clique em Custom: Install Windows only
(advanced).
14. Na pgina Where do you want to install Windows?, verifique se Drive 0 Unallocated Space
tem espao suficiente para o sistema operacional Windows Server 2012 e clique em Next.
Observao: Dependendo da velocidade do equipamento, a instalao ir demorar
cerca de 20 minutos. A mquina virtual ser reiniciada vrias vezes durante esse processo.
15. Na pgina Settings, nas caixas Password e Reenter password, insira a senha Pa$$w0rd
e clique em Finish.
2.
3.
4.
5.
6.
7.
8.
2.
Na barra de tarefas, clique na exibio de hora. exibida uma janela pop-up com um calendrio
e um relgio.
3.
4.
5.
Na caixa de dilogo Time Zone Settings, defina o fuso horrio como o fuso horrio atual e clique
em OK.
6.
Na caixa de dilogo Date and Time, clique em Change Date and Time.
7.
Verifique se a data e a hora que aparecem na caixa de dilogo Date and Time Settings
correspondem s configuraes de sala de aula e clique em OK.
8.
2.
3.
Na caixa de dilogo NIC Teaming, pressione e segure a tecla Ctrl e, no espao de trabalho
Adapters And Interfaces, clique em Local Area Connection e em Local Area Connection 2.
4.
Clique com o boto direito do mouse nos adaptadores de rede selecionados e clique em Add
to New Team.
5.
Na caixa de dilogo New Teaming, no campo Team name, digite LON-SVR3 e clique em OK.
6.
7.
No console Server Manager, ao lado de LON-SVR3, clique em IPv4 Address Assigned by DHCP,
IPv6 enabled.
8.
Na caixa de dilogo Network Connections, clique com o boto direito do mouse em LON-SVR3
e clique em Properties.
9.
10. Na caixa de dilogo Internet Protocol Version 4 (TCP/IPv4) Properties, insira as seguintes
informaes de endereo IP e clique em OK:
o
IP Address: 172.16.0.101
2.
3.
4.
5.
6.
Senha: Pa$$w0rd
7.
8.
Quando for informado que voc deve reiniciar o computador para aplicar as alteraes,
clique em OK.
9.
L1-3
11. Aps a reinicializao de LON-SVR3, entre como ADATUM\Administrador com a senha Pa$$w0rd.
Resultados: Depois de concluir este exerccio, voc ter implantado o Windows Server 2012
em LON-SVR3. Tambm ter configurado LON-SVR3, incluindo alterao do nome, data e hora,
conexo de rede e agrupamento de rede.
2.
3.
4.
5.
6.
7.
No prompt de comando, digite hostname e pressione Enter para verificar o nome do computador.
Verifique se voc est conectado ao servidor LON-CORE como Administrator com a senha
Pa$$w0rd.
2.
3.
4.
Na caixa de dilogo Date and Time, clique em Change time zone. Defina o fuso horrio como
o mesmo fuso horrio usado em sala de aula e clique em OK.
5.
Na caixa de dilogo Date and Time, clique em Change Date and Time e verifique se a data
e a hora correspondem s configuraes do seu local. Para descartar as caixas de dilogo,
clique em OK duas vezes.
6.
Na janela do Prompt de Comando, digite 15 e pressione Enter para sair de Server Configuration.
1.
Verifique se voc est conectado ao servidor LON-CORE usando a conta de Administrador e a senha
Pa$$w0rd.
2.
3.
4.
Digite o nmero de ndice do adaptador de rede que voc deseja configurar e depois pressione Enter.
5.
Na pgina Network Adapter Settings, digite 1 e pressione Enter. Isso define o Endereo
do Adaptador de Rede.
6.
7.
8.
9.
10. Na pgina Network Adapter Settings, digite 2 e pressione Enter. Isso configura o endereo
do servidor DNS.
11. No prompt Enter new preferred DNS server, digite 172.16.0.10 e pressione Enter.
12. Na caixa de dilogo Network Settings, clique em OK.
13. Pressione Enter para no configure um endereo de servidor DNS alternativo.
14. Digite 4 e pressione Enter para retornar ao menu principal.
15. Digite 15 e pressione Enter para sair de sconfig.cmd.
16. No comando prompt, digite ping lon-dc1.adatum.com para verificar a conectividade
com o controlador de domnio a partir de LON-CORE.
L1-5
1.
2.
3.
4.
5.
6.
7.
No prompt Type the password associated with the domain user, digite Pa$$w0rd e pressione
Enter.
8.
9.
Resultados: Ao terminar o exerccio, voc ter configurado uma implantao Server Core do
Windows Server 2012 e verificado o nome do servidor.
2.
3.
4.
5.
Use a seta para adicionar LON-CORE e LON-SVR3 ao grupo de servidores. Clique em OK para fechar
a caixa de dilogo Criar Grupo de Servidores.
6.
No console Gerenciador de Servidores, clique em LAB-1. Pressione e segure a tecla Ctrl e selecione
LON-CORE e LON-SVR3.
7.
8.
2.
Role at a parte superior do painel, clique com o boto direito do mouse em LON-CORE
e clique em Adicionar Funes e Recursos.
3.
4.
5.
6.
Na pgina Selecionar funes de servidor, selecione Web Server (IIS) e clique em Prximo.
7.
8.
9.
10. Na pgina Confirmar selees de instalao, marque a caixa de seleo Reiniciar cada servidor
de destino automaticamente, se necessrio e clique em Instalar.
11. Clique em Fechar para fechar o Assistente de Adio de Funes e Recursos.
12. No Gerenciador de Servidores, clique com o boto direito do mouse em LON-SVR3 e clique
em Adicionar Funes e Recursos.
13. No Assistente de Adio de Funes e Recursos, na pgina Antes de comear, clique em Prximo.
14. Na pgina Selecionar tipo de instalao, clique em Instalao baseada em funo ou recurso.
Clique em Prximo.
15. Na pgina Selecionar servidor de destino, verifique se LON-SVR3.Adatum.com est selecionado
e clique em Prximo.
16. Na pgina Selecionar funes de servidor, clique em Prximo.
17. Na pgina Selecionar recursos, clique em Windows Server Backup e depois em Prximo.
18. Na pgina Confirmar selees de instalao, marque a caixa de seleo Reiniciar cada servidor
de destino automaticamente, se necessrio e clique em Instalar.
19. Quando a instalao comear, clique em Fechar.
20. No Gerenciador de Servidores, clique no n IIS e verifique se LON-CORE est listado.
2.
3.
4.
5.
6.
7.
Clique com o boto direito do mouse no servio de World Wide Web Publishing Service e depois
clique em Propriedades. Verifique se o Tipo de inicializao est definido como Automtico.
8.
Na caixa de dilogo World Wide Web Publishing Service, na guia Logon, verifique se o servio
est configurado para usar a Conta do Sistema Local.
9.
L1-7
10. Na caixa de dilogo Reiniciar as Opes de Computador, na caixa Reiniciar o Computador aps,
digite 2 e clique em OK.
11. Clique em OK para fechar a caixa de dilogo Propriedades de World Wide Web
Publishing Service.
12. Feche o console Gerenciamento do computador.
Resultados: Ao concluir o exerccio, voc ter criado um grupo de servidores, implantado funes
e recursos e configurado as propriedades de um servio.
2.
3.
4.
5.
6.
Digite o comando a seguir para examinar os servios em execuo em LON-CORE e pressione Enter:
Get-service | where-object {$_.status -eq Running}
7.
Digite get-process e depois pressione Enter para visualizar uma lista de processos em LON-CORE.
8.
Digite o comando a seguir para examinar os endereos IP atribudos ao servidor e pressione Enter:
Get-NetIPAddress | Format-table
9.
Digite o comando a seguir para examinar os 10 itens mais recentes no log de segurana e pressione
Enter:
Get-EventLog Security -Newest 10
2.
3.
Para verificar se o recurso Visualizador XPS no foi instalado em LON-SVR3, digite o seguinte
comando e pressione Enter:
Get-WindowsFeature -ComputerName LON-SVR3
4.
Para implantar o recurso Visualizador XPS em LON-SVR3, digite o seguinte comando e pressione
Enter:
Install-WindowsFeature XPS-Viewer -ComputerName LON-SVR3
5.
Para verificar se o recurso Visualizador XPS est agora implantado em LON-SVR3, digite o seguinte
comando e pressione Enter:
Get-WindowsFeature -ComputerName LON-SVR3
6.
7.
8.
Clique no cone Salvar. Selecione a raiz de Disco Local (C:). Crie uma nova pasta denominada
Scripts e salve o script nessa pasta como InstallWins.ps1.
9.
Resultados: Ao concluir o exerccio, voc ter usado o Windows PowerShell para realizar uma instalao
remota de recursos em vrios servidores.
2.
3.
4.
2.
Clique com o boto direito do mouse em Todos os Servidores e clique em Adicionar Servidores.
3.
Na caixa de dilogo Adicionar Servidores, na caixa Nome (CN), digite LON-SVR1, e clique em
Localizar Agora.
4.
Em Nome, clique em LON-SVR1 e clique na seta para adicionar o servidor coluna Selecionado.
5.
6.
7.
8.
9.
10. Na pgina Selecionar funes de servidor, marque a caixa de seleo Servios de Domnio
Active Directory, clique em Adicionar Recursos e clique em Prximo >.
11. Na pgina Selecionar recursos, clique em Prximo >.
12. Na pgina Servios de Domnio Active Directory, clique em Prximo >.
13. Na pgina Confirmar selees de instalao, marque a caixa de seleo Reiniciar cada servidor
de destino automaticamente, se necessrio e clique em Instalar.
14. A instalao levar vrios minutos. Quando a instalao for concluda, clique em Fechar para fechar
o Assistente de Adio de Funes e Recursos.
2.
3.
L2-10
4.
5.
6.
7.
Observao: Voc normalmente desejaria tambm habilitar o catlogo global, mas para
a finalidade deste laboratrio, isso feito na prxima tarefa de laboratrio.
8.
Na seo Digite a senha do Modo de Restaurao dos Servios de Diretrio (DSRM), digite
Pa$$w0rd em ambas as caixas e clique em Prximo >.
9.
2.
3.
Quando a janela Servios e Sites do Active Directory for aberta, expanda Sites, Default-First-SiteName, Servers e LON-SVR1.
4.
Na coluna esquerda, clique com o boto direito do mouse em NTDS Settings e clique em
Propriedades.
5.
Na caixa de dilogo Propriedades de NTDS Settings, marque a caixa de seleo Catlogo Global
e clique em OK.
6.
Resultados: Depois de concluir este exerccio, voc ter explorado o Gerenciador do Servidor
e promovido um servidor membro para ser um controlador de domnio.
L2-11
1.
Em LON-DC1, aponte o mouse para o canto inferior direito da tela inicial e clique no boto Iniciar
quando ele aparecer.
2.
3.
Em um prompt de comando, digite os comandos a seguir, pressionando Enter aps cada linha:
Ntdsutil
Activate instance ntds
Ifm
Create sysvol full c:\ifm
2.
Aponte o mouse para o canto inferior direito da rea de trabalho e clique no boto Iniciar quando
ele aparecer.
3.
4.
5.
6.
7.
8.
9.
12. No Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos e em Prximo >.
13. Na pgina Selecionar recursos, clique em Prximo >.
14. Na pgina Servios de Domnio Active Directory, clique em Prximo >.
15. Na pgina Confirmar selees de instalao, clique em Reiniciar cada servidor de destino
automaticamente, se necessrio. Clique em Sim na caixa de mensagem.
16. Clique em Instalar.
17. Depois de Progresso da instalao, clique em Fechar.
Observao: Se voc vir uma mensagem afirmando que no possvel criar uma
delegao para o servidor DNS, clique em OK.
L2-12
Tarefa 3: Usar IFM para configurar um servidor membro como um novo controlador
de domnio
1.
2.
3.
4.
5.
6.
7.
8.
9.
Na pgina Opes Adicionais, marque a caixa de seleo Instalar da mdia, na caixa de texto,
digite C:\ifm e clique em Verificar.
Resultados: Depois de concluir este exerccio, voc ter instalado um controlador de domnio adicional
para a filial usando IFM.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e clique
em Reverter.
3.
4.
L3-13
2.
3.
4.
Clique com o boto direito do mouse em Adatum.com, aponte para Novo e clique em
Unidade Organizacional.
5.
Na caixa de dilogo Novo Objeto Unidade Organizacional, na caixa Nome, digite Filial 1
e clique em OK.
6.
Clique com o boto direito do mouse em Filial 1, aponte para Novo e clique em Grupo.
7.
Na caixa de dilogo Novo Objeto Grupo, na caixa Nome do grupo, digite Suporte Tcnico
da Filial 1 e clique em OK.
8.
Clique com o boto direito do mouse em Filial 1, aponte para Novo e clique em Grupo.
9.
Na caixa de dilogo Novo Objeto Grupo, na caixa Nome do grupo, digite Administradores
da Filial 1 e clique em OK.
10. Clique com o boto direito do mouse em Filial 1, aponte para Novo e clique em Grupo.
11. Na caixa de dilogo Novo Objeto Grupo, na caixa Nome do grupo, digite Usurios da Filial 1
e clique em OK.
12. No painel de navegao, clique em IT.
13. No painel de detalhes, clique com o boto direito do mouse em Holly Dickson e clique em Mover.
14. Na caixa de dilogo Mover, clique em Filial 1 e clique em OK.
15. No painel de navegao, clique na unidade organizacional (UO) Development.
16. No painel de detalhes, clique com o boto direito do mouse em Bart Duncan e clique em Mover.
17. Na caixa de dilogo Mover, clique em Filial 1 e clique em OK.
18. No painel de navegao, clique na unidade organizacional Managers.
19. No painel de detalhes, clique com o boto direito do mouse em Ed Meadows e clique em Mover.
20. Na caixa de dilogo Mover, clique em Filial 1 e clique em OK.
21. No painel de navegao, clique na unidade organizacional Marketing.
22. No painel de detalhes, clique com o boto direito do mouse em Connie Vrettos e clique em Mover.
23. Na caixa de dilogo Mover, clique em Filial 1 e clique em OK.
42. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, na caixa Digite os nomes
de objeto a serem selecionados (exemplos), digite Administradores da Filial 1, e clique em OK.
43. Na pgina Usurios ou Grupos, clique em Avanar.
44. Na pgina Tarefas a delegar, na lista Delegar as seguintes tarefas comuns, marque as caixas
de seleo a seguir e clique em Avanar:
o
L3-15
48. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, na caixa Digite os nomes
de objeto a serem selecionados (exemplos), digite Administradores da Filial 1, e clique em OK.
49. Na pgina Usurios ou Grupos, clique em Avanar.
50. Na pgina Tarefas a delegar, clique em Criar uma tarefa personalizada para delegar
e clique em Avanar.
51. Na pgina Tipo de objeto do Active Directory, selecione Somente os seguintes objetos na pasta,
marque as caixas de seleo a seguir e clique em Avanar:
o
Computador objetos
52. Na pgina Permisses, marque as caixas de seleo Geral e Controle total e clique em Avanar.
53. Na pgina Concluindo o 'Assistente para delegao de controle', clique em Concluir.
Em LON-DC1, no painel de navegao, clique com o boto direito do mouse em Filial 1, clique
em Delegar controle e clique em Avanar.
2.
3.
4.
5.
Na pgina Tarefas a delegar, na lista Delegar as seguintes tarefas comuns, marque as caixas
de seleo a seguir, e clique em Avanar:
6.
2.
3.
Na caixa de dilogo Selecionar Grupos, na caixa Digite os nomes de objeto a serem selecionados
(exemplos), digite Administradores da Filial 1 e clique em OK.
4.
5.
6.
Na caixa de dilogo Selecionar Grupos, na caixa Digite os nomes de objeto a serem selecionados
(exemplos), digite Opers de servidores e clique em OK.
7.
8.
9.
10. Entre em LON-DC1 como ADATUM\Holly com a senha Pa$$w0rd. Voc pode fazer logon
localmente em um controlador de domnio, pois Holly pertence indiretamente ao grupo
de domnio local Opers de servidores.
11. Na barra de tarefas da rea de trabalho, clique em Gerenciador de Servidor.
12. Na caixa de dilogo Controle de Conta de Usurio, na caixa Nome de usurio, digite Holly.
Na caixa Senha, digite Pa$$w0rd e clique em Sim.
13. No Gerenciador de Servidor, clique em Ferramentas e clique em Usurios e Computadores
do Active Directory.
14. Em Usurios e Computadores do Active Directory, expanda Adatum.com.
15. No painel de navegao, clique em Sales.
16. No painel de detalhes, clique com o boto direito do mouse em Aaren Ekelund e clique em Excluir.
17. Clique em Sim para confirmar.
18. Clique em OK para confirmar que voc no tem permisses para executar essa tarefa.
19. No painel de navegao, clique em Filial 1.
20. No painel de detalhes, clique com o boto direito do mouse em Ed Meadows e clique em Excluir.
21. Clique em Sim para confirmar. Voc consegue por ter as permisses necessrias.
Em LON-DC1, no painel de detalhes, clique com o boto direito do mouse em Bart Duncan
e clique em Adicionar a um grupo.
2.
Na caixa de dilogo Selecionar Grupos, na caixa Digite os nomes de objeto a serem selecionados
(exemplos), digite Suporte Tcnico da Filial 1 e clique em OK.
3.
4.
5.
6.
7.
9.
12. No painel de detalhes, clique com o boto direito do mouse em Suporte Tcnico da Filial 1 e clique
em Adicionar a um grupo.
L3-17
13. Na caixa de dilogo Selecionar Grupos, na caixa Digite os nomes de objeto a serem selecionados
(exemplos), digite Opers de servidores, e clique em OK.
14. Na caixa de dilogo Servios de Domnio do Active Directory, clique em OK.
15. Em seu computador host, na janela 24410B-LON-DC1, no menu Ao, clique em Ctrl+Alt+Delete.
16. Em LON-DC1, clique em Sair.
17. Entre como ADATUM\Bart com a senha Pa$$w0rd. Voc pode fazer logon localmente em
um controlador de domnio, pois Bart pertence indiretamente ao grupo de domnio local Opers
de servidores.
18. Na rea de trabalho, clique em Gerenciador de Servidor.
19. Na caixa de dilogo Controle de Conta de Usurio, na caixa Nome de usurio, digite Bart.
Na caixa Senha, digite Pa$$w0rd e clique em Sim.
20. No Gerenciador de Servidor, clique em Ferramentas.
21. Clique em Usurios e Computadores do Active Directory.
22. Em Usurios e Computadores do Active Directory, expanda Adatum.com.
23. No painel de navegao, clique em Filial 1.
24. No painel de detalhes, clique com o boto direito do mouse em Connie Vrettos e clique em Excluir.
25. Clique em Sim para confirmar. Voc no consegue porque Bart no tem as permisses necessrias.
Clique em OK.
26. Clique com o boto direito do mouse em Connie Vrettos e, depois, clique em Redefinir senha.
27. Na caixa de dilogo Redefinir senha, nas caixas Nova senha e Confirmar, digite Pa$$w0rd
e clique em OK.
28. Clique em OK para confirmar a redefinio bem-sucedida da senha.
29. Em seu computador host, na janela 24410B-LON-DC1, no menu Ao, clique em Ctrl+Alt+Delete.
30. Em LON-DC1, clique em Sair.
31. Entre em LON-DC1 como ADATUM\Administrador com a senha Pa$$w0rd.
Resultados: Depois de concluir este exerccio, voc deve ter criado uma unidade organizacional
com xito e delegado a administrao dela ao grupo apropriado.
2.
3.
4.
5.
6.
7.
8.
9.
1.
2.
3.
4.
Na caixa de dilogo Selecionar Grupos, na caixa Digite os nomes de objeto a serem selecionados
(exemplos), digite Usurios da Filial 1 e clique em OK.
5.
6.
7.
2.
3.
4.
5.
6.
7.
8.
Clique em Concluir.
9.
L3-19
10. Na caixa de dilogo Propriedades de Ed Meadows, clique na guia Endereo. Observe que
a propriedade Cidade j est configurada.
11. Clique na guia Perfil. Observe que o local da pasta base j est configurado.
12. Clique na guia Membro de. Observe que Ed pertence ao grupo Usurios da Filial 1. Clique em OK.
13. Em seu computador host, na janela 24410B-LON-DC1, no menu Ao, clique em Ctrl+Alt+Delete.
14. Em LON-DC1, clique em Sair.
2.
3.
4.
5.
6.
7.
No painel de navegao, clique em rea de Trabalho e, no painel de detalhes, clique duas vezes
em Computador.
8.
9.
11. Em seu computador host, na janela 24410B-LON-CL1, no menu Ao, clique em Ctrl+Alt+Delete.
12. Em LON-CL1, clique em Sair.
Resultados: Depois de concluir este exerccio, voc ter criado e testado com xito uma conta de usurio
criada a partir de um modelo.
2.
3.
Na caixa de dilogo Controle de Conta de Usurio, na caixa Nome de usurio, digite Holly.
Na caixa Senha, digite Pa$$w0rd e clique em Sim.
4.
5.
6.
7.
8.
Na caixa de dilogo Servios de Domnio Active Directory, clique em Sim e clique em OK.
1.
2.
3.
Uma mensagem exibida e informa que ocorreu Falha na relao de confiana entre esta estao
de trabalho e o domnio primrio.
4.
Clique em OK.
2.
Na tela Iniciar, clique com o boto direito do mouse no vdeo, clique em Todos os aplicativos
e, na lista Aplicativos, clique em Painel de Controle.
3.
Em Painel de Controle, na lista Exibir por, clique em cones grandes e clique em Sistema.
4.
5.
6.
7.
8.
9.
Na pgina Digite o nome do usurio, a senha e o nome do domnio para a conta de domnio,
na caixa Senha, digite Pa$$w0rd. Deixe os outros campos preenchidos e clique em Avanar.
10. Na caixa de dilogo Informaes sobre a Conta do usurio e o Domnio, clique em Sim.
11. Na pgina Deseja habilitar uma conta de usurio de domnio nesse computador?, clique em
No adicionar uma conta de usurio de domnio e clique em Avanar.
12. Clique em Concluir e clique em OK.
13. Na caixa de dilogo Microsoft Windows, clique em Reiniciar Agora.
14. Entre como ADATUM\Ed com a senha Pa$$w0rd. Voc foi bem-sucedido, pois o computador
foi reingressado com xito.
Resultados: Depois de concluir este exerccio, voc ter redefinido uma relao de confiana com xito.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-CL1 e clique
em Reverter.
3.
4.
L4-21
2.
3.
4.
5.
6.
7.
Quando for solicitado que voc repita a senha, digite Pa$$w0rd e pressione Enter.
8.
9.
2.
3.
Resultados: Depois de concluir este exerccio, voc ter criado contas de usurio e grupos usando
o Windows PowerShell.
2.
3.
4.
No ISE (Ambiente de Script Integrado) do Windows PowerShell, leia os comentrios na parte superior
do script e depois identifique os requisitos para o cabealho no arquivo .csv.
5.
6.
7.
Na janela Como deseja abrir este tipo de arquivo (.csv), clique em Bloco de Notas.
8.
9.
2.
3.
4.
5.
6.
2.
3.
4.
5.
6.
Resultados: Depois de concluir este exerccio, voc ter usado o Windows PowerShell para criar contas
de usurio em massa.
L4-23
2.
3.
4.
5.
2.
3.
Clique no cabealho de coluna Tipo para classificar com base no tipo de objeto.
4.
Selecione todas as contas de usurio, clique nelas com o boto direito do mouse e clique
em Propriedades.
5.
6.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter modificado contas de usurio em massa.
2.
3.
4.
L5-25
Tarefa 1: Calcular os bits obrigatrios para dar suporte aos hosts em cada sub-rede
1.
Quantos bits so obrigatrios para dar suporte a 100 hosts na sub-rede do cliente?
Sete bits so obrigatrios para dar suporte a 100 hosts na sub-rede do cliente (27-2=126, 26-2=62).
2.
Quatro bits so obrigatrios para dar suporte a 10 hosts na sub-rede do servidor (24-2=14,23-2=6).
3.
Quantos bits so obrigatrios para dar suporte a 40 hosts na sub-rede de expanso futura?
Seis bits so obrigatrios para dar suporte a 40 hosts na sub-rede de expanso futura (26-2=62,
25-2=30).
4.
5.
Qual recurso permite que uma nica rede seja dividida em sub-redes de tamanhos variados?
O mascaramento de sub-rede de comprimento varivel permite definir mscaras de sub-rede
diferentes na sub-rede. Por isso, o mascaramento de sub-rede de comprimento varivel permite
ter sub-redes de tamanhos variados.
6.
Quantos bits de host voc usar em cada sub-rede? Use a alocao mais simples possvel, que
uma sub-rede grande e duas sub-redes menores de mesmo tamanho.
A sub-rede do cliente tem sete bits de host. Isso possibilita at 126 hosts e usa metade do pool
de endereos alocado.
O servidor e as sub-redes de expanso futura tm seis bits de host. Isso possibilita at 62 hosts
em cada sub-rede e usa a outra metade do pool de endereos.
Dado o nmero de bits de host alocado, qual a mscara de sub-rede que voc usar na sub-rede
do cliente? Calcule a mscara de sub-rede em binrio e decimal.
A sub-rede do cliente est usando sete bits para a ID do host. Por isso, voc usar 25 bits para
a mscara de sub-rede.
Binrio
Decimal
11111111.11111111.11111111.10000000
255.255.255.128
Implementao do IPv4
2.
Dado o nmero de bits de host alocado, qual a mscara de sub-rede que voc usar na sub-rede
do servidor? Calcule a mscara de sub-rede em binrio e decimal.
3.
Binrio
Decimal
11111111.11111111.11111111.11000000
255.255.255.192
Dado o nmero de bits de host alocado, qual a mscara de sub-rede que voc usar na sub-rede
de expanso futura? Calcule a mscara de sub-rede em binrio e decimal.
4.
A sub-rede do servidor est usando seis bits para a ID do host. Por isso, voc usar 26 bits para
a mscara de sub-rede.
A sub-rede de expanso futura est usando seis bits para a ID do host. Por isso, voc usar
26 bits para a mscara de sub-rede.
Binrio
Decimal
11111111.11111111.11111111.11000000
255.255.255.192
Para a sub-rede do cliente, defina a ID da rede, o primeiro host disponvel, o ltimo host disponvel
e o endereo de difuso. Pressuponha que a sub-rede do cliente seja a primeira sub-rede alocada
no pool de endereos disponveis. Calcule as verses binria e decimal de cada endereo.
Nesta tabela, os bits em negrito fazem parte da ID da rede.
5.
Descrio
Binrio
Decimal
ID de rede
11000000.10101000.1100010.00000000
192.168.98.0
Primeiro host
11000000.10101000.1100010.00000001
192.168.98.1
ltimo host
11000000.10101000.1100010.01111110
192.168.98.126
Difuso
11000000.10101000.1100010.01111111
192.168.98.127
L5-26
Para a sub-rede do servidor, defina a ID da rede, o primeiro host disponvel, o ltimo host disponvel
e o endereo de difuso. Pressuponha que a sub-rede do servidor seja a segunda sub-rede alocada
no pool de endereos disponveis. Calcule as verses binria e decimal de cada endereo.
Nesta tabela, os bits em negrito fazem parte da ID da rede.
Descrio
Binrio
Decimal
ID de rede
11000000.10101000.1100010.10000000
192.168.98.128
Primeiro host
11000000.10101000.1100010.10000001
192.168.98.129
ltimo host
11000000.10101000.1100010.10111110
192.168.98.190
Difuso
11000000.10101000.1100010.10111111
192.168.98.191
6.
L5-27
Para a sub-rede de alocao futura, defina a ID da rede, o primeiro host disponvel, o ltimo host
disponvel e o endereo de difuso. Pressuponha que a sub-rede de alocao futura seja a terceira
sub-rede alocada no pool de endereos disponveis. Calcule as verses binria e decimal de cada
endereo.
Nesta tabela, os bits em negrito fazem parte da ID da rede.
Descrio
Binrio
Decimal
ID de rede
11000000.10101000.1100010.11000000
192.168.98.192
Primeiro host
11000000.10101000.1100010.11000001
192.168.98.193
ltimo host
11000000.10101000.1100010.11111110
192.168.98.254
Difuso
11000000.10101000.1100010.11111111
192.168.98.255
Resultados: Depois de concluir este exerccio, voc ter identificado as sub-redes obrigatrias para
atender aos requisitos do cenrio de laboratrio.
2.
3.
4.
Clique com o boto direito do mouse em Break.ps1, e clique em Executar com o PowerShell.
5.
Em LON-SVR2, no prompt do Windows PowerShell, digite ping LON-DC1 e pressione Enter. Observe
que o host de destino inalcanvel.
2.
Digite tracert LON-DC1 e pressione Enter. Observe que o host no consegue localizar o gateway
padro, e que ele no o gateway padro que est respondendo.
3.
Digite ipconfig e pressione Enter. Observe que o gateway padro est configurado corretamente.
4.
Digite ping 10.10.0.1 e pressione Enter. Observe que o gateway padro est respondendo,
mas que os pacotes no esto sendo encaminhados l.
5.
Digite Get-NetRoute e pressione Enter. Observe que a entrada do gateway padro (0.0.0.0) est
correta, mas h uma entrada desnecessria para a rede 172.16.0.0.
Implementao do IPv4
L5-28
6.
7.
8.
Digite ping LON-DC1 e pressione Enter. Observe que o ping agora bem-sucedido.
Resultados: Depois de concluir este laboratrio, voc ter resolvido um problema de conectividade
do IPv4.
2.
3.
4.
L6-29
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
6.
7.
8.
Comprimento: 16
9.
L6-30
1.
2.
3.
4.
5.
6.
Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local, e clique em
Propriedades.
7.
8.
9.
Na janela Prompt de Comando, em um prompt de comando, digite ipconfig /all e pressione Enter.
2.
3.
4.
5.
6.
L6-31
7.
8.
9.
Em um prompt de comando, digite ipconfig /renew e pressione Enter. Isso faz LON-CL1 conceder
qualquer endereo IP reservado.
Resultados: Depois de concluir esse exerccio, voc ter implementado o DHCP, configurado o escopo
e as opes DHCP, alm de uma reserva DHCP.
Se voc for completar o laboratrio opcional, reverta a mquina virtual 24410B-LON-CL1. Para fazer isso,
execute estas etapas.
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-CL1 e clique
em Reverter.
3.
2.
3.
No painel de navegao, expanda LON-RTR (local), IPv4, clique com o boto direito do mouse
em Geral e clique em Novo protocolo de roteamento.
4.
No painel de navegao, clique com o boto direito do mouse em Agente de Retransmisso DHCP,
e clique em Nova Interface.
2.
3.
4.
5.
6.
2.
3.
4.
5.
6.
7.
8.
9.
Comprimento: 16
L6-32
L6-33
21. Na caixa de dilogo Propriedades do Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Obter
um endereo IP automaticamente, em Obter o endereo do servidor DNS automaticamente,
em OK, e em Fechar.
22. Navegue at o canto inferior direito, no menu direita, clique em Pesquisar, digite cmd,
e pressione Enter.
23. Na janela Prompt de Comando, em um prompt de comando, digite ipconfig /renew e
pressione Enter.
Quando tiver concludo o laboratrio, retorne as mquinas virtuais para o estado inicial. Para fazer isso,
execute estas etapas.
1.
2.
3.
4.
L7-35
2.
3.
4.
5.
6.
Quando Assistente de Adio de Funes e Recursos for exibido, clique em Adicionar Recursos
e clique em Prximo.
7.
8.
9.
10. Na pgina Progresso da instalao, quando a mensagem Instalao bem-sucedida for exibida,
clique em Fechar.
11. No console Gerenciador do Servidor, na pgina de navegao, clique em AD DS.
12. Na barra de ttulo em que Configurao necessria para Servios de Domnio Active Directory
em LON-SVR1 exibida, clique em Mais.
13. Na pgina Todos os Servidores Detalhes e Notificaes de Tarefa, clique em Promover
este servidor a um controlador de domnio.
14. No Assistente de Configurao dos Servios de Domnio Active Directory, na pgina Configurao
de Implantao, verifique se Adicionar um controlador de domnio a um domnio existente
est selecionado e clique em Prximo.
15. Na pgina Opes do Controlador de Domnio, desmarque a caixa de seleo Servidor do sistema
de nomes de domnio (DNS) e deixe a caixa de seleo Catlogo Global (GC) marcada. Digite
Pa$$w0rd em ambos os campos de texto e clique em Avanar.
16. Na pgina Opes Adicionais, clique em Prximo.
17. Na pgina Caminhos, clique em Prximo.
18. Na pgina Examinar Opes, clique em Prximo.
2.
3.
4.
5.
6.
7.
8.
9.
L7-36
Em LON-DC1, no console Gerenciador DNS, clique e clique com o boto direito do mouse
em LON-DC1 e clique em Propriedades.
2.
3.
Clique na guia Encaminhadores. Verifique se a lista exibe uma entrada e se a opo Usar dicas
de raiz se encaminhadores no estiverem disponveis est selecionada.
4.
Clique em Cancelar.
5.
L7-37
2.
3.
4.
5.
6.
Quando o Assistente de Adio de Funes e Recursos for exibido, clique em Adicionar Recursos
e em Prximo.
7.
8.
9.
10. Na pgina Progresso da instalao, quando a mensagem Instalao bem-sucedida for exibida,
clique em Fechar.
2.
3.
No console Gerenciador DNS, expanda LON-SVR1, e Zonas de pesquisa direta. Este continer
dever estar vazio.
4.
5.
6.
No painel direita, clique com o boto direito do mouse na conexo de replicao LON-SVR1
e selecione Replicar Agora.
Observao: Se voc receber uma mensagem de erro, passe prxima etapa e repita essa
etapa depois de trs a quatro minutos.
7.
8.
No painel direita, clique com o boto direito do mouse na conexo de replicao LON-DC1,
clique em Replicar Agora, e em OK.
9.
Alterne para o console Gerenciador DNS, clique com o boto direito do mouse em Zonas
de pesquisa direta, e clique em Atualizar.
Em LON-SVR1, alterne para a tela Iniciar e digite Painel de Controle. Pressione Enter.
2.
3.
4.
5.
6.
No campo Servidor DNS preferencial, remova o endereo IP, digite 127.0.0.1, clique em OK
e em Fechar.
7.
8.
9.
2.
No console Gerenciador DNS, clique com o boto direito do mouse em LON-SVR1 e clique
em Propriedades.
3.
4.
5.
No console Gerenciador DNS, clique com o boto direito do mouse em LON-SVR1, selecione
Todas as Tarefas e clique em Reiniciar.
2.
3.
4.
Verifique se voc recebeu um endereo IP para esse host como uma resposta no autoritativa.
5.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o DNS em LON-SVR1.
2.
3.
L7-38
L7-39
4.
5.
6.
7.
Tarefa 2: Criar vrios registros de host no domnio Adatum.com para aplicativos Web
1.
2.
3.
Clique com o boto direito do mouse em Adatum.com e clique em Novo Host (A ou AAAA).
4.
Nome: www
5.
6.
7.
Nome: ftp
2.
3.
Verifique se os registros de recurso www e ftp so exibidos. (Se eles no forem exibidos, clique com
o boto direito do mouse em Adatum.come clique em Atualizar.) Pode demorar alguns minutos
para que os registros sejam exibidos.
2.
3.
4.
5.
6.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter configurado registros DNS.
2.
Ping no ir funcionar, mas garantir que o nome seja resolvido para um endereo IP 172.16.0.100.
3.
2.
3.
No painel direita, clique com o boto direito do mouse em www e clique em Propriedades.
4.
5.
Retorne a LON-CL1.
6.
2.
3.
4.
5.
No painel direita, examine o contedo armazenado em cache. Voc ver que o registro www
tem o endereo IP: 172.16.0.100.
6.
7.
8.
Procure entradas armazenadas em cache. Voc ver que www.nwtraders.msft est sendo resolvido
para 172.16.0.100.
L7-40
2.
3.
4.
5.
6.
7.
Resultados: Depois de concluir este exerccio, voc ter examinado o cache do servidor DNS.
L7-41
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e clique em
Reverter.
3.
4.
L8-43
2.
No prompt do Windows PowerShell, digite ping lon-dc1 e pressione Enter. Observe que existem
quatro respostas de 172.16.0.10.
3.
4.
Verifique se o nico endereo IPv6 listado um Endereo de link-local que no pode ser
encaminhado.
2.
3.
Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local e clique
em Propriedades.
4.
5.
6.
No Gerenciador do Servidor, verifique se Conexo Local lista apenas 172.16.0.10. Voc talvez
precise atualizar a exibio. LON-DC1 agora um host somente IPv4-.
2.
3.
Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local,
e clique em Propriedades.
4.
5.
6.
No Gerenciador do Servidor, verifique se Conexo Local agora lista apenas IPv6 habilitado.
Voc talvez precise atualizar a exibio. LON-SVR2 agora um host somente IPv6-.
2.
Configure um endereo de rede que ser usado na rede IPv6. No prompt do Windows PowerShell,
digite o seguinte cmdlet e pressione Enter:
Implementao do IPv6
3.
L8-44
4.
Digite ipconfig, e pressione Enter. Observe que Conexo Local 2 agora tem um endereo IPv6
na rede 2001:db8:0:1::/64. Esse endereo usado para comunicao na rede somente IPv6.
2.
No prompt do Windows PowerShell, digite ipconfig e pressione Enter Observe que Conexo Local
agora tem um Endereo IPv6 na rede 2001:db8:0:1::/64. O endereo de rede foi obtido do roteador
pela configurao sem estado.
Resultados: Depois de concluir este exerccio, os alunos tero configurado uma rede somente IPv6.
2.
3.
Clique com o boto direito do mouse em Adatum.com e clique em Novo Host (A ou AAAA).
4.
5.
Na caixa Endereo IP, digite 172.16.0.1, e clique em Adicionar Host. Os clientes ISATAP resolvem
esse nome de host para localizar o roteador ISATAP.
6.
7.
8.
2.
3.
Registre o InterfaceIndex da interface ISATAP com um endereo IPv6 que inclui 172.16.0.1.
ndice da interface:
4.
5.
Verifique se o Forwarding est Enabled para a interface e se esse Advertising est disabled.
6.
7.
Crie uma nova rede IPv6 que ser usada na rede ISATAP. Digite o seguinte comando e pressione
Enter:
L8-45
8.
Exiba a configurao do Endereo IPv6 para a interface ISATAP. Digite o seguinte comando
e pressione Enter:
Get-NetIPAddress -InterfaceIndex IndexYouRecorded
9.
2.
3.
4.
Se um erro for exibido indicando que havia uma cadeia de caracteres vazia, clique em OK
para continuar.
5.
6.
7.
Digite ping isatap e pressione Enter. O nome deve ser resolvido e voc deve receber quatro
respostas de 172.16.0.1.
2.
3.
Implementao do IPv6
2.
3.
4.
Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local,
e clique em Propriedades.
5.
6.
7.
8.
9.
10. No prompt do Windows PowerShell, digite ping LON-DC1 e pressione Enter. Observe que quatro
respostas so recebidas de LON-DC1.
Observao: Um ping de LON-DC1 para LON-SVR2 no responde porque a configurao
do firewall em LON-SVR2 bloqueia solicitaes de ping.
Resultados: Depois de concluir este exerccio, os alunos tero configurado um roteador ISATAP
em LON-RTR para permitir a comunicao entre uma rede somente IPv6 e uma rede somente IPv4.
2.
3.
4.
L8-46
L9-47
Laboratrio: Implementao
de armazenamento local
Exerccio 1: Instalao e configurao de um novo disco
Tarefa 1: Inicializar um novo disco
1.
2.
3.
4.
No painel Discos, clique com o boto direito do mouse em Disco 2 e depois clique em Online.
5.
Clique com o boto direito do mouse em Disco 2 e depois clique em Inicializar Disco.
6.
Na caixa de dilogo Inicializar Disco, verifique se a opo Disco2 est selecionada, verifique se todas
as outras caixas de seleo de Disco esto desmarcadas, clique em GPT (Tabela de Partio GUID)
e clique em OK.
2.
No Assistente para Novas Parties Simples, na pgina Assistente para Novas Parties Simples,
clique em Prximo.
3.
4.
Na pgina Atribuir uma letra de unidade ou caminho, verifique se a caixa de seleo Atribuir
a seguinte letra de unidade est marcada e se a letra F est selecionada no menu suspenso
e, em seguida, clique em Prximo.
5.
Na pgina Formatar partio, no menu suspenso Sistema de arquivos, clique em NTFS, na caixa
de texto Rtulo do volume, digite Volume1 e depois clique em Prximo.
6.
7.
Na janela Gerenciamento de Disco, clique com o boto direito do mouse na caixa preta marcada
direita de Disco2 e depois clique em Novo Volume Simples.
8.
No Assistente para Novas Parties Simples, na pgina Assistente para Novas Parties Simples,
clique em Prximo.
9.
10. Na pgina Atribuir uma letra de unidade ou caminho, verifique se a caixa de seleo Atribuir
a seguinte letra de unidade est marcada e se a letra G est selecionada na lista suspensa
e, em seguida, clique em Prximo.
11. Na pgina Formatar Partio, no menu suspenso Sistema de arquivos, clique em ReFS,
na caixa de texto Rtulo do volume, digite Volume2 e depois clique em Prximo.
12. Na pgina Concluindo o Assistente para Novas Parties Simples, clique em Concluir.
Na barra de tarefas, abra uma janela do Explorador de Arquivos, expanda Computador e clique
em Volume1 (F:).
2.
No Explorador de Arquivos, clique em Volume2 (G:), clique com o boto direito do mouse
em Volume2 (G:), aponte para Novo e clique em Pasta.
3.
Resultados: Aps a concluso deste exerccio, voc ter inicializado um novo disco e, em seguida,
ter criado e formatado dois volumes simples. Voc tambm ter confirmado que as letras de unidade
esto disponveis no Explorador de Arquivos.
2.
3.
Na janela Diminuir F: no campo Digite o espao a diminuir em MB, digite 1000 e depois clique
em Diminuir.
2.
3.
Na pgina Selecionar discos, no campo Selecione o espao em MB, digite 1000 e depois clique
em Avanar.
4.
5.
Resultados: Depois de concluir este exerccio, voc dever ter um volume menor e estender outro.
L9-48
L9-49
2.
3.
4.
5.
6.
Na pgina Selecionar discos fsicos para o pool de armazenamento, clique nos seguintes discos
fsicos e depois clique em Prximo.
o
PhysicalDisk3
PhysicalDisk4
PhysicalDisk5
PhysicalDisk6
PhysicalDisk7
7.
8.
2.
3.
Na janela Assistente para Criao de Discos Virtuais, na pgina Antes de comear, clique
em Prximo.
4.
5.
Na pgina Especifique o nome do disco virtual, na caixa Nome, digite Disco Disco Espelhado
e depois clique em Prximo.
6.
7.
8.
9.
Na pgina Especificar o tamanho do disco virtual, na caixa Tamanho do disco virtual, digite 10
e depois clique em Prximo.
L9-50
13. Na pgina Selecione o servidor e o disco, no painel Disco, clique no disco virtual Disco Espelhado
e depois clique em Prximo.
14. Na pgina Especifique o tamanho do volume, clique em Prximo para confirmar a seleo padro.
15. Na pgina Atribuir a uma letra de unidade ou pasta, no menu suspenso Letra da unidade,
verifique se a letra H est selecionada e clique em Prximo.
16. Na pgina Selecionar configuraes do sistema de arquivos, no menu suspenso Sistema
de arquivos, clique em ReFS, na caixa Rtulo de volume, digite Volume Espelhado e depois
clique em Prximo.
17. Na pgina Confirmar selees, clique em Criar.
18. Na pgina Concluso, aguarde a concluso da criao e clique em Fechar.
2.
3.
4.
5.
6.
7.
Na mquina Host, no Gerenciador do Hyper-V, no painel Mquinas Virtuais, clique com o boto
direito do mouse em 24410B-LON-SVR1 e depois clique em Configuraes.
2.
Em Configuraes para 24410B-LON-SVR1, no painel Hardware, clique no Disco rgido que comea
com 24410B-LON-SVR1-Disk5.
3.
No painel Disco Rgido, clique em Remover e em Aplicar, na caixa de dilogo Configuraes, clique
em Continuar e depois clique em OK.
2.
3.
4.
L9-51
5.
6.
7.
No painel DISCO VIRTUAL, clique com o boto direito do mouse em Disco Espelhado e depois
clique em Propriedades.
8.
9.
2.
3.
4.
5.
No painel DISCOS FSICOS, clique com o boto direito do mouse no disco que exibe um aviso
ao lado e depois clique em Remover Disco.
6.
7.
Resultados: Aps a concluso deste laboratrio, voc ter criado um pool de armazenamento e
adicionado cinco discos a ele. Em seguida, voc ter criado um disco virtual de provisionamento dinmico
com espelhamento em trs direes a partir desse pool de armazenamento. Voc tambm ter copiado
um arquivo para o novo volume e confirmado que ele acessvel. Em seguida, aps a remoo de uma
unidade fsica, voc ter verificado que o disco virtual ainda estava disponvel e acessvel. Finalmente,
voc ter adicionado outro disco fsico ao pool de armazenamento.
Quando voc concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e depois
clique em Reverter.
3.
4.
L10-53
2.
3.
Na barra de ferramentas do menu, clique em Incio, clique em Nova pasta, digite Dados
e pressione Enter.
4.
5.
Na barra de ferramentas do menu, clique em Incio, clique em Nova pasta, digite Development
e pressione Enter.
6.
Marketing
Research
Sales
2.
3.
4.
5.
6.
7.
8.
9.
L10-54
19. Repita as etapas 8 a 18 para as pastas Marketing, Research e Sales, atribuindo permisses Modificar
aos grupos Marketing, Research e Sales para suas respectivas pastas.
No Explorador de Arquivos, navegue at a unidade E, clique com o boto direito do mouse na pasta
Dados e, em seguida, clique em Propriedades.
2.
3.
4.
5.
6.
Na janela Permisses para Dados, clique em Usurios autenticados e, em seguida, marque a caixa
de seleo Permitir para a permisso Alterao.
7.
8.
9.
2.
3.
4.
5.
6.
L10-55
Tente acessar as pastas Marketing, Research e Sales. As permisses NTFS nessas pastas
lhe impediro de fazer isso.
Observao: Porm, embora Bernard ainda possa ver as outras pastas, ele no tem acesso
ao seu contedo.
7.
Saia de LON-CL1.
2.
3.
4.
5.
6.
7.
8.
2.
3.
4.
Observao: Bernard agora pode exibir apenas a pasta Desenvolvimento, a pasta para
a qual ele recebeu permisses.
5.
6.
Saia de LON-CL1.
2.
3.
4.
5.
6.
7.
Resultados: Depois de concluir este exerccio, voc ter criado uma nova pasta compartilhada
para ser usada por vrios departamentos.
L10-56
1.
2.
3.
Navegue at a unidade E, clique com o boto direito do mouse em Allfiles (E:) e, em seguida,
clique em Configurar cpias de sombra.
4.
5.
6.
Na caixa de dilogo Propriedades de Allfiles (E:) Cpias de Sombra da unidade, na guia Cpias
de Sombra, clique em Configuraes.
7.
Na caixa de dilogo Configuraes, clique em Agendar. Isso abrir a caixa de dilogo da unidade E.
8.
Na caixa de dilogo Allfiles (E:) da unidade, altere Agendar Tarefa para Diariamente, altere Hora
de incio para 00:00 e clique em Avanado.
9.
2.
3.
4.
Na barra de ferramentas de menu, clique em Incio, clique em Novo item e, em seguida, clique
em Documento de Texto.
L10-57
5.
6.
Retorne caixa de dilogo Propriedades de Allfiles (E:) Cpias de Sombra; ela ainda deve estar
aberta na guia Cpias de Sombra. Clique em Criar Agora.
2.
3.
4.
5.
Clique na verso de pasta mais recente para Development e, em seguida, clique em Abrir.
6.
Confirme se Relatrio.txt est na pasta, clique com o boto direito do mouse em Relatrio.txt
e, em seguida, clique em Copiar.
7.
8.
Na outra janela do Explorador de Arquivos, clique com o boto direito do mouse na pasta
Development e, em seguida, clique em Colar.
9.
Resultados: Depois de concluir este exerccio, voc ter habilitado cpias de sombra no servidor
de arquivos.
2.
3.
4.
5.
Na pgina Selecionar servidor de destino, clique no servidor no qual deseja instalar os Servios
de Impresso e Documento. O servidor padro o local. Clique em Prximo.
6.
7.
8.
9.
Na pgina Selecionar servios de funo, clique em Prximo at que a pgina Confirmar selees
de instalao seja exibida. Clique em Instalar para instalar os servios de funo necessrios.
L10-58
1.
2.
Expanda Servidores de Impressora, expanda LON-SVR1 (local), clique com o boto direito do
mouse em Impressoras e, em seguida, clique em Adicionar Impressora. O Assistente de Instalao
de Impressora de Rede iniciado.
3.
4.
5.
Na caixa Nome do host ou endereo IP, digite 172.16.0.200, limpe a caixa de seleo Detectar
automaticamente o driver de impressora a ser usado e clique em Prximo.
6.
7.
8.
Clique em Microsoft como o Fabricante, em Impressoras, clique em Microsoft XPS Class Driver
e, em seguida, clique em Prximo.
9.
10. Clique em Prximo duas vezes para aceitar o nome de impressora padro e o nome
de compartilhamento e para instalar a impressora.
11. Clique em Concluir para fechar o Assistente de Instalao de Impressora de Rede.
12. Clique em Impressoras no painel de navegao se necessrio, e no console Gerenciamento
de Impresso, clique com o boto direito do mouse na Impressora da Filial e, em seguida,
clique em Habilitar Impresso Direta na Filial.
13. No console Gerenciamento de Impresso, clique com o boto direito do mouse na Impressora
da Filial e, em seguida, selecione Propriedades.
14. Clique na guia Compartilhamento, marque a caixa de seleo Listar no diretrio e clique em OK.
2.
3.
4.
5.
6.
Clique em Concluir para fechar o Assistente para Adicionar Porta de Impressora TCP/IP Padro.
7.
8.
9.
L10-59
Na pgina Propriedades de Impressora da Filial, clique na guia Portas, marque a caixa de seleo
Ativar pool de impresso e clique na porta 172.16.0.201 para selecion-la como a segunda porta.
2.
Em LON-CL1, aponte para a parte inferior esquerda da tela e clique no boto Iniciar.
3.
4.
5.
Resultados: Depois de concluir este exerccio, voc ter instalado a funo de servidor Servios
de Impresso e Documento e instalado uma impressora com o pool de impressoras.
Depois de concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
1.
2.
3.
4.
L11-61
2.
3.
4.
Clique com o boto direito do mouse em Default Domain Policy e clique em Editar.
5.
6.
Aponte o mouse sobre a pasta Modelos Administrativos e observe que o local Modelos
Administrativos: definies de polticas (arquivos .admx) recuperadas do computador local.
7.
2.
Na janela do Explorador de Arquivos, expanda Disco Local (C:), expanda Windows, expanda
SYSVOL, expanda sysvol, expanda Adatum.com e, em seguida, clique duas vezes em Policies.
3.
No painel de detalhes, clique com o boto direito do mouse em uma rea em branco, clique
em Novo e, em seguida, clique em Pasta.
4.
2.
3.
4.
Expanda Disco Local (C:), expanda Windows, expanda SYSVOL, expanda sysvol, expanda
Adatum.com e abra a pasta PolicyDefinitions.
5.
Clique com o boto direito do mouse na rea vazia da pasta e clique em Colar.
No GPMC, clique com o boto direito do mouse em Default Domain Policy e, em seguida,
clique em Editar.
2.
3.
Resultados: Depois de concluir este exerccio, voc ter configurado um Repositrio Central.
L11-62
No GPMC, clique com o boto direito do mouse na pasta GPOs de Incio e clique em Novo.
2.
Na caixa de dilogo Novo GPO de Incio, no campo Nome, digite Restries do Internet Explorer
e, no campo, Comentrio, digite Este GPO desabilita a pgina Geral em Opes da Internet
e, em seguida, clique em OK.
No GPMC, expanda a pasta GPOs de Incio, clique com o boto direito do mouse no GPO Restries
do Internet Explorer e, em seguida, clique em Editar.
2.
3.
4.
5.
6.
7.
Clique duas vezes na configurao Desabilitar a pgina Geral, clique em Habilitado e, em seguida,
clique em OK.
8.
No GPMC, clique com o boto direito do mouse no domnio Adatum.com e, em seguida, clique em
Criar um GPO neste domnio e fornecer um link para ele aqui.
2.
3.
Em GPO de Incio de Origem, clique na caixa suspensa, selecione Restries do Internet Explorer
e clique em OK.
L11-63
2.
Aponte o mouse para o canto inferior direito da tela e, quando a barra lateral for exibida,
clique no boto Pesquisar.
3.
4.
5.
6.
Na caixa de dilogo Rede e Internet, clique em Alterar a home page. Uma caixa de mensagem
exibida informando que esse recurso foi desabilitado.
7.
8.
9.
2.
No GPMC, expanda a pasta Objetos de Poltica de Grupo e, no painel esquerdo, clique na poltica
Restries do IE.
3.
4.
5.
6.
7.
8.
2.
Aponte o mouse para o canto inferior direito da tela e, quando a barra lateral for exibida,
clique no boto Pesquisar.
3.
4.
5.
6.
Na caixa de dilogo Rede e Internet, clique em Alterar a home page. A caixa de dilogo
Propriedades de Internet aberta para a guia Geral e todas as configuraes esto disponveis.
7.
2.
Aponte o mouse para o canto inferior direito da tela e, quando a barra lateral for exibida,
clique no boto Pesquisar.
3.
4.
5.
6.
Na caixa de dilogo Rede e Internet, clique em Alterar a home page. Uma caixa de mensagem
exibida informando que esse recurso foi desabilitado.
7.
8.
9.
L11-64
Quando voc concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e depois
clique em Reverter.
3.
4.
L12-65
2.
3.
4.
5.
6.
2.
3.
Na caixa de dilogo Novo Objeto Grupo, no campo Nome do Grupo, digite Administradores
de Servidor e clique em OK.
2.
3.
4.
Na janela Console de Gerenciamento de Poltica de Grupo, clique com o boto direito do mouse
em UO de Servidores Membros e depois clique em Vincular um GPO Existente.
5.
2.
3.
Clique com o boto direito do mouse em Grupos restritos e depois clique em Adicionar Grupo.
4.
Na caixa de dilogo Adicionar Grupo, no campo Grupo, digite Administradores e clique em OK.
5.
6.
7.
8.
9.
2.
3.
4.
L12-66
5.
6.
7.
8.
L12-67
2.
3.
4.
5.
No painel direita, clique com o boto direito do mouse em Permitir logon local e depois clique
em Propriedades.
6.
Na caixa de dilogo Propriedades de Permitir logon local, marque a caixa de seleo Definir
estas configuraes de polticas e depois clique em Adicionar usurio ou grupo.
7.
8.
9.
2.
No painel direito, clique com o boto direito do mouse em Controle de Conta de Usurio:
Modo de Aprovao de Administrador para a conta de administrador interno e depois
clique em Propriedades.
3.
4.
2.
3.
4.
Saia de LON-SVR1.
5.
6.
7.
Para se preparar para o prximo exerccio, saia de LON-SVR1 e volte a fazer logon em LON-SVR1
como ADATUM\Administrador com a senha Pa$$w0rd.
Resultados: Ao terminar este exerccio, voc ter usado a Poltica de Grupo para proteger servidores
Membro.
L12-68
1.
2.
3.
4.
5.
6.
7.
Saia de LON-DC1.
2.
3.
4.
5.
Na janela Computador, clique duas vezes em Disco Local (C), clique em Incio, clique em Nova
Pasta e depois digite Marketing.
6.
Na janela Computador, clique com o boto direito do mouse na pasta Marketing, clique em
Compartilhar com e clique em Pessoas especficas.
7.
8.
L12-69
Em LON-SVR1, na janela Disco Local (C:), clique com o boto direito do mouse na pasta Marketing
e depois clique em Propriedades.
2.
3.
4.
Na janela Entrada de Auditoria para Marketing, clique em Selecionar uma entidade de segurana.
5.
Na janela Selecionar Usurio, Computador, Conta de Conta de Servio ou Grupo, no campo Digite
o nome do objeto a ser selecionado, digite Usurios do domnio e depois clique em OK.
6.
Na janela Entrada de Auditoria para Marketing, no menu suspenso Tipo, selecione Tudo.
7.
Na janela Entrada de Auditoria para Marketing, na lista Permisses, marque a caixa de seleo
Gravar e depois clique em OK trs vezes.
8.
9.
2.
3.
Aponte para o canto inferior direito da tela, clique no boto Pesquisar e, em seguida, na caixa
Pesquisar, digite cmd.
4.
Abra uma janela de Prompt de Comando e, no prompt de comando, digite o comando a seguir
e pressione Enter:
gpupdate /force
5.
6.
Saia de LON-CL1 e depois entre novamente como ADATUM\Adam com a senha Pa$$w0rd.
7.
Aponte para o canto inferior direito da tela, clique no boto Pesquisar e, em seguida, na caixa
Pesquisar, digite \\LON-SVR1\Marketing e pressione Enter.
8.
Na janela Marketing, clique em Incio, clique em Novo item, clique em Documento de Texto,
no campo nome do arquivo, digite Funcionrios e pressione Enter.
9.
Saia de LON-CL1.
2.
3.
4.
ID do Evento: 4663
Resultados: Ao terminar este exerccio, voc dever ter habilitado a auditoria de acesso ao sistema
de arquivos.
L12-70
1.
2.
3.
4.
5.
6.
No painel direita, clique com o boto direito do mouse em Default Domain Policy e depois clique
em Editar.
7.
8.
9.
2.
3.
4.
5.
6.
Observao: Essa senha est propositalmente incorreta para gerar uma entrada de log
de segurana que mostra que foi feita uma tentativa mal sucedida de logon.
2.
3.
Observao: Essa senha est correta, e voc deve ser capaz de entrar com sucesso
como Adam.
Entre em LON-DC1.
2.
3.
4.
Resultados: Ao terminar este exerccio, voc ter habilitado a auditoria de logon de domnio.
L12-71
L12-72
1.
2.
3.
4.
2.
No painel de detalhes, clique com o boto direito do mouse em LON-CL1 e depois clique em Mover.
3.
2.
No GPMC, expanda Florestas: Adatum.com, Domnios e Adatum.com, clique com o boto direito
do mouse em Objetos de Poltica de Grupo e clique em Novo.
3.
Na janela Novo GPO, na caixa de texto Nome, digite GPO de Controle de Software e depois clique
em OK.
4.
No painel direita, clique com o boto direito do mouse em GPO de Controle de Software e depois
clique em Editar.
5.
6.
Em AppLocker, clique com o boto direito do mouse em Regras Executveis e depois clique
em Criar Regras Padro.
7.
Repita a etapa anterior para Regras do Windows Installer, Regras de Script e Regras para
aplicativos empacotados.
8.
9.
10. Repita a etapa anterior para Regras do Windows Installer, Regras de Script e Regras
para aplicativos empacotados. Em seguida, clique em OK.
11. No Editor de Gerenciamento de Polticas de Grupo, em Configurao do Computador,
expanda Polticas, Configuraes do Windows e Configuraes de segurana e depois
clique em Servios do sistema e clique duas vezes em Identidade do Aplicativo.
12. Na caixa de dilogo Propriedades de Identidade de Aplicativo, clique em Definir
esta configurao de poltica e, em Selecionar o modo de inicializao do servio,
clique em Automtico e depois clique em OK.
13. Feche o Editor de Gerenciamento de Polticas de Grupo.
14. No GPMC, clique com o boto direito do mouse em UO de Computadores Cliente e clique
em Vincular com GPO Existente.
15. Na janela Selecionar GPO, na lista Objetos de Poltica de Grupo, clique em GPO de Controle
de Software e depois clique em OK.
2.
3.
4.
5.
6.
Aponte para o canto inferior direito da tela, clique no boto Configuraes, clique em
Ligar/Desligar e depois clique em Reiniciar.
2.
3.
4.
L12-73
6.
7.
Em LON-CL1, aponte para o canto inferior direito da tela, clique no boto Pesquisar e, na caixa
Pesquisar, digite eventvwr.msc e pressione Enter.
2.
3.
Clique em MSI e Scripts e analise o log de eventos 8005 que contm o seguinte texto:
%OSDRIVE%\CUSTOMAPP\APP1.BAT permitido para execuo.
2.
3.
4.
Clique com o boto direito do mouse em Regras de Script e clique em Criar Nova Regra.
5.
6.
7.
8.
9.
10. Na pgina Nome e Descrio, no campo Nome, digite Regra de Aplicativo Personalizado
e clique em Criar.
2.
3.
Repita a etapa anterior para Regras do Windows Installer, Regras de Script e Regras para
aplicativos empacotados. Em seguida, clique em OK.
4.
L12-74
2.
3.
4.
5.
6.
Aponte para o canto inferior direito da tela, clique no boto Configuraes, clique em
Ligar/Desligar e depois clique em Reiniciar.
7.
8.
9.
L12-75
1.
2.
3.
Na janela Computador, clique duas vezes em Disco Local (C:), clique duas vezes na pasta
CustomApp, clique com o boto direito do mouse em app1.bat e depois clique em Copiar.
4.
Na janela CustomApp, no painel de navegao, clique com o boto direito do mouse na pasta
Documentos e depois clique em Colar.
5.
6.
Confirme que os aplicativos no podem ser executados a partir da pasta Documentos e verifique
se a seguinte mensagem exibida: Este programa est bloqueado por uma poltica de grupo.
Para obter mais informaes, contate o administrador do sistema.
7.
Resultados: Ao terminar este exerccio, voc ter configurado polticas AppLocker para todos os usurios
cujas contas de computador esto localizadas na unidade organizacional de Computadores Cliente.
As polticas configuradas devem permitir que esses usurios executem aplicativos que esto localizados
nas pastas C:\Windows e C:\Arquivos de Programas e executem o aplicativo personalizado app1.bat
na pasta C:\CustomApp.
2.
3.
4.
Na caixa de dilogo Novo Objeto Grupo, no campo Nome do Grupo, digite Servidor
de Aplicativos e clique em OK.
2.
3.
4.
Na caixa Digite os nomes de objeto a serem selecionados, digite LON-SVR1 e depois clique
em OK.
5.
L12-76
1.
2.
No GPMC, expanda Florestas: Adatum.com, Domnios e Adatum.com, clique com o boto direito
do mouse em Objetos de Poltica de Grupo e clique em Novo.
3.
Na janela Novo GPO, no campo Nome, digite GPO de Servidores de Aplicativos e depois clique
em OK.
4.
No GPMC, clique com o boto direito do mouse em GPO de Servidores de Aplicativos e depois
clique em Editar.
5.
6.
7.
Clique com o boto direito do mouse em Regras de Entrada e depois clique em Nova Regra.
8.
No Assistente para Nova Regra de Entrada, na pgina Tipo de regra, clique em Personalizado
e depois clique em Avanar.
9.
L12-77
14. Na pgina Perfil, desmarque as caixas de seleo Particular e Pblico e depois clique em Avanar.
15. Na pgina Nome, na caixa Nome, digite Regra de Firewall do Departamento de Servidor
de Aplicativos e clique em Concluir.
16. Feche o Editor de Gerenciamento de Poltica de Grupo.
2.
Na janela Selecionar GPO, na lista Objetos de Poltica de Grupo, clique em GPO de Servidores
de Aplicativos e depois clique em OK.
2.
3.
4.
5.
6.
7.
2.
3.
4.
5.
6.
Reinicie LON-SVR1 e depois faa logon novamente como ADATUM\Administrador com a senha
Pa$$w0rd.
2.
3.
4.
5.
Resultados: Ao terminar este exerccio, voc ter usado a Poltica de Grupo para configurar o Firewall
do Windows com Segurana Avanada para criar regras para servidores de aplicativos.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e depois
clique em Reverter.
3.
4.
L12-78
L13-79
Laboratrio: Implementao da
virtualizao de servidores com o Hyper-V
Exerccio 1: Instalao da funo Hyper-V em um servidor
Tarefa 1: Instalar a funo Hyper-V em um servidor
1.
2.
No painel Propriedades, clique no link Endereo IPv4 atribudo por DHCP, IPv6 habilitado.
3.
Na caixa de dilogo Ethernet, clique com o boto direito do mouse no objeto de rede e clique
em Propriedades.
4.
5.
6.
Na guia Geral, clique em Usar os seguintes endereos de servidor DNS e depois configure
o seguinte:
o
7.
8.
9.
10. No console Gerenciador do Servidor, no menu Gerenciar, clique em Adicionar Funes e Recursos.
11. No Assistente de Adio de Funes e Recursos, na pgina Antes de comear, clique em Prximo.
12. Na pgina Selecionar tipo de instalao, clique em Instalao baseada em funo ou recurso
e depois clique em Prximo.
13. Na pgina Selecionar servidor de destino, verifique se LON-HOST1 est selecionado e clique
em Prximo.
14. Na pgina Selecionar funes do servidor, selecione Hyper-V.
15. No Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos.
16. Na pgina Selecionar funes do servidor, clique em Prximo.
17. Na pgina Selecionar recursos, clique em Prximo.
18. Na pgina Hyper-V, clique em Prximo.
19. Na pgina Ciar Comutadores Virtuais, verifique se nenhuma seleo foi feita e depois clique
em Prximo.
20. Na pgina Migrao de Mquina Virtual, clique em Prximo.
21. Na pgina Repositrios Padro, reveja a localizao dos Repositrios Padro e clique
em Prximo.
22. Na pgina Confirmar selees de instalao, clique em Reiniciar cada servidor de destino
automaticamente, se necessrio.
23. No Assistente de Adio de Funes e Recursos, reveja as mensagens sobre reinicializaes
automticas e depois clique em Sim.
24. Na pgina Confirmar selees de instalao, clique em Instalar.
25. Depois de alguns minutos, o servidor reiniciado automaticamente. Certifique-se de reiniciar
a mquina a partir do menu de inicializao como 24410B-LON-HOST1. O computador ser
reiniciado vrias vezes.
L13-80
1.
2.
Quando a instalao das ferramentas do Hyper-V estiver concluda, clique em Fechar para fechar
o Assistente de Adio de Funes e Recursos.
3.
4.
5.
6.
7.
8.
Na caixa de dilogo Configuraes do Hyper-V para LON-HOST1, clique no item Discos Rgidos
Virtuais. Verifique se o local da pasta padro para armazenar arquivos de Disco Rgido Virtual
C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks e depois clique em OK.
Resultados: Ao terminar este exerccio, voc ter instalado a funo Hyper-V em um servidor fsico.
2.
3.
4.
5.
L13-81
Rede Externa: Mapeada para o adaptador de rede fsico do computador host. (Isso varia
dependendo do computador host.)
2.
3.
4.
Em Criar comutador virtual, clique em Particular e depois clique em Criar Comutador Virtual.
5.
2.
3.
4.
Em Criar comutador virtual, clique em Interno e depois clique em Criar Comutador Virtual.
5.
2.
3.
4.
5.
Mnimo: 00-15-5D-0F-AB-A0
Mximo: 00-15-5D-0F-AB-EF
Resultados: Ao terminar este exerccio, voc ter configurado opes de comutador virtual
em um servidor Windows Server 2012 fisicamente implantado executando a funo Hyper-V.
2.
4.
Clique na guia Incio e, em seguida, clique no cone Nova Pasta duas vezes para criar duas novas
pastas. Clique com o boto direito do mouse em cada pasta e renomeie as pastas usando
os seguintes nomes:
o
LON-GUEST1
LON-GUEST2
L13-82
5.
6.
7.
8.
No Assistente para Criao de Discos Rgidos Virtuais, na pgina Antes de Comear, clique
em Avanar.
9.
Nome: LON-GUEST1.vhd
14. No prompt do Windows PowerShell, digite o comando a seguir para importar o mdulo do Hyper-V
e pressione Enter:
Import-Module Hyper-V
15. No prompt do Windows PowerShell, digite o comando a seguir para criar um novo VHD diferencial
a ser usado com LON-GUEST2 e pressione Enter:
New-VHD " E:\Program Files\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd"
-ParentPath " E:\Program Files\Microsoft Learning\Base\Base12A-WS12-TMP.vhd"
L13-83
2.
3.
No Assistente para Criao de Mquina Virtual, na pgina Antes de Comear, clique em Avanar.
4.
Na pgina Especificar Nome e Local, clique em Armazenar a mquina virtual em outro local,
insira os valores a seguir e clique em Avanar:
o
Nome: LON-GUEST1
5.
Na pgina Atribuir Memria, insira um valor de 1024 MB, selecione a opo Use a Memria
Dinmica para esta mquina virtual e depois clique em Avanar.
6.
Na pgina Configurar Rede da conexo, clique em Rede Particular e depois clique em Avanar.
7.
Na pgina Conectar Disco Rgido Virtual, clique em Usar um disco rgido virtual existente.
Clique em Procurar, navegue at E:\Arquivos de Programas\Microsoft Learning\Base\
LON-GUEST1\LON-GUEST1.vhd, click Abrir e clique em Concluir.
8.
9.
No prompt do Windows PowerShell, digite o comando a seguir e pressione Enter para importar
o mdulo do Hyper-V:
Import-Module Hyper-V
10. No prompt do Windows PowerShell, digite o comando a seguir para criar uma nova mquina virtual
denominada LON-GUEST2:
New-VM -Name LON-GUEST2 -MemoryStartupBytes 1024MB -VHDPath "E:\Arquivos de
Programas\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd" -SwitchName "Rede
Particular"
L13-84
1.
2.
No prompt do Windows PowerShell, insira o comando a seguir para importar o mdulo do Hyper-V
e pressione Enter:
Import-Module Hyper-V
3.
No prompt do Windows PowerShell, insira os comandos a seguir para habilitar a medio de recursos
nas mquinas virtuais, pressionando Enter no final de cada linha:
Enable-VMResourceMetering LON-GUEST1
Enable-VMResourceMetering LON-GUEST2
Resultados: Ao terminar este exerccio, voc ter implantado duas mquinas virtuais separadas usando
um arquivo VHD sysprepped como um disco pai para dois VHDs diferenciais.
2.
3.
Clique duas vezes em LON-GUEST1 para abrir a janela Conexo com Mquina Virtual.
4.
Na pgina Configuraes, digite a senha Pa$$w0rd duas vezes e depois clique em Concluir.
5.
Em LON-GUEST1, na janela LON-HOST1 - Conexo com Mquina Virtual, no menu Ao, clique
em Ctrl+Alt+Delete.
6.
7.
Na mquina virtual, no console Gerenciador do Servidor, clique em Servidor Local e depois clique
no nome aleatoriamente atribudo ao lado do nome do computador.
8.
9.
L13-85
2.
3.
4.
Na caixa de dilogo Nome do Instantneo, digite o nome Antes da Alterao e clique em Sim.
2.
3.
4.
5.
6.
7.
Entre de novo na mquina virtual LON-GUEST1 usando a conta Administrador e a senha Pa$$w0rd
8.
2.
3.
2.
No prompt do Windows PowerShell, insira o comando a seguir e pressione Enter para importar
o mdulo do Hyper-V:
Import-Module Hyper-V
3.
No prompt do Windows PowerShell, insira o comando a seguir e pressione Enter para recuperar
as informaes de medio de recursos:
Measure-VM LON-GUEST1
4.
Observe os nmeros para CPU mdia, memria RAM mdia e uso total de disco.
5.
2.
3.
Resultados: Ao terminar este exerccio, voc ter usado instantneos de mquina virtual para
recuperar-se de uma configurao incorreta de mquina virtual.
L13-86