Escolar Documentos
Profissional Documentos
Cultura Documentos
SQL Server, Visual Studio, Win32, Windows Azure, Windows, Windows PowerShell, Windows
Server, and Windows Vista so marcas registradas ou marcas da Microsoft Corporation nos
Estados Unidos e/ou em outros pases.
Outros nomes de produtos e de empresas mencionados no livro podem ser marcas registradas
de seus respectivos donos.
Os nomes de empresas, organizaes, produtos, nomes de domnio, endereos de e-mail, logos,
pessoas, lugares e eventos retratados aqui so fictcios. Nenhuma associao com empresa,
organizao, produto, nome de domnio, endereo de e-mail, logo, pessoa, lugar ou evento
intencional ou deve ser inferido. Qualquer semelhana mera coincidncia.
O livro expressa as opinies e pontos de vista do autor. A informao contida nesse livro
provida sem nenhuma garantia expressa, estatutria ou implcita. Nem o autor nem a Microsoft
Corporation sero responsabilizados por quaisquer danos causados ou alegados de terem sido
causados diretamente ou indiretamente por este livro.
ndice
1- Instalar e Configurar Servidores ..................................................................................... 4
1.1 - Instalando Servidores .................................................................................................... 4
1.2- Configurar Servidores................................................................................................... 20
1.3- Configurar armazenamento local ............................................................................... 39
2 Configurando Funes e Recursos de Servidor ..................................................... 69
2.1 - Configurar acesso a arquivos e compartilhamentos .......................................... 69
2.2 Configurar servios de impresso e documentos .............................................. 91
2.3 Configurar Servidores para Gerenciamento Remoto ....................................... 112
3 Configurar o Hyper-V .................................................................................................... 125
3.1- Criar e configurar mquinas virtuais ...................................................................... 125
3.2 Criar e Configurar Armazenamento de Mquina Virtual .................................. 149
3.3 Criar e Configurar Redes Virtuais .......................................................................... 165
4- Implantar e Configurar Servios de Rede Essenciais ........................................... 183
4.1 Configurar endereamento IPv4 e IPv6 ................................................................ 183
4.2 Configurar Servidores............................................................................................... 203
4.3 Instalar e Configurar o servio DNS...................................................................... 220
5 Instalar e Administrar o Active Directory. ............................................................... 240
5.1 Instalar Controladores de Domnio ....................................................................... 240
5.2 Criar e Gerenciar Usurios e Computadores do Active Directory ................ 258
5.3 Criar e Gerenciar Grupos e Unidades Organizacionais (OU) do Active
Directory ............................................................................................................................. 277
6 Criar e Gerenciar Polticas de Grupo ....................................................................... 294
6.1 Criar Objetos de Polticas de Grupo ..................................................................... 294
6.2 Configurar Polticas de Segurana........................................................................ 305
6.3 - Configurar polticas de restrio de aplicao .................................................. 321
6.4 Configurar o Firewall do Windows ........................................................................ 331
Suporte Virtualizao
As edies Windows Server 2012 R2 Datacenter e Standard incluem suporte
ao Hyper-V, porm cada verso difere no nmero de VMs permitidas por sua
licena. Cada instncia rodando do Windows Server 2012 R2 pode ser
classificada como um ambiente de sistema operacional fsico ou virtual.
Quando voc compra uma licena do Windows Server 2012 R2, voc pode
efetuar uma instalao fsica do sistema operacional como sempre. Aps
instalar a funo do Hyper-V voc pode criar VMs e realizar instalaes
virtuais. O nmero de instalaes virtuais permitidas por sua licena depende
da edio que voc comprou conforme tabela abaixo.
Edio
Datacenter
Standard
Essentials
Foundation
Instncias fsicas
1
1
1(fsica ou virtual)
1
Instncias virtuais
Ilimitadas
2
1(fsica ou virtual)
0
Licenciamento de Servidores
A Microsoft prov diversos canais de vendas para licenas do Windows Server
2012 R2, e nem todas as edies esto disponveis em todos os canais.
Licenciar o Windows Server 2012 R2 inclui comprar licenas para os servidores
e clientes, e existem diversas opes para cada um.
Se voc j tem um acordo de licena com a Microsoft, voc j deve estar ciente
das edies que esto disponveis para voc neste acordo. Se voc no
souber, deve procurar se informar antes de decidir por uma edio de servidor.
A tabela abaixo mostra os canais de venda que voc pode usar para comprar o
Windows Server 2012 R2.
Varejo
Datacenter
Standard
Essentials
Foundation
No
Sim
Sim
Sim
Licenciamento
por Volume
Sim
Sim
Sim
No
Fabricantes OEM
Sim
Sim
Sim
Sim
Requisitos de Instalao
As especificaes mnimas de hardware para o Windows Server 2012 R2 so:
o
o
o
o
o
o
Processadores
Memria RAM
Ns de cluster
10
11
Programas e Recursos;
Central de Rede e Compartilhamento;
Dispositivos e Impressoras;
Vdeo;
Firewall;
Atualizao do Windows;
Fontes
Storage Spaces.
12
13
Atualizando Servidores
Uma atualizao in-loco (no prprio servidor que est em operao) a forma
mais complicada de instalao do Windows Server 2012 R2. tambm a mais
demorada e com maior probabilidade de causar problemas durante a
instalao. Sempre que possvel, a Microsoft recomenda que os
administradores executem uma nova instalao ou migrem as funes,
aplicaes e configuraes necessrias.
14
Caminhos de atualizao
Os caminhos de atualizao do Windows Server 2012 R2 so limitados. Na
verdade, mais fcil dizer quando voc pode fazer a atualizao do que
quando voc no pode. Se voc tem um computador 64 bits rodando o
Windows Server 2008 ou Windows Server 2008 R2 voc pode atualizar para o
Windows Server 2012 R2 desde que voc escolha a verso apropriada.
O Windows Server 2012 R2 no suporta os seguintes casos:
15
16
17
18
19
Tarefas Ps-instalao
Como parte da nova nfase em servios baseados na nuvem dentro das
infraestruturas de redes Microsoft, o Windows Server 2012 R2 contm uma
variedade de ferramentas que foram incrementadas para facilitar uma maior
capacidade de gerenciamento remoto do servidor.
Por exemplo, o novo Gerenciador do Servidor, feito para fazer com que os
administradores gerenciem servidores sem terem que interagir diretamente
com o console, fisicamente ou remotamente. Entretanto, existem algumas
tarefas que os administradores podem ter que realizar imediatamente aps a
instalao que exigem acesso direto ao console do servidor:
20
21
22
23
24
25
26
Gerenciador do Servidor
A ferramenta Gerenciador do Servidor no Windows Server 2012 R2 uma
aplicao que mostra a evidencia mais obvia da mudana de paradigma na
administrao do Windows Server. Antes do Windows Server 2012, um
administrador que queria instalar uma Funo usando uma ferramenta grfica
teria que acessar o console fisicamente ou conectado atravs dos Servios de
rea de Trabalho Remota (antes chamado Servios de Terminal). Em
contraste, o Gerenciador do Servidor no Windows Server 2012 R2 pode instalar
Funes e Recursos em qualquer servidor da rede.
Adicionando Servidores
A diferena principal entre o Gerenciador do Servidor do Windows Server 2012
R2 e do Windows Server 2012 em comparao as verses anteriores a
habilidade de adicionar e gerenciar diversos servidores de uma nica vez.
Quando voc faz logon numa instalao com interface completa do Windows
Server 2012 R2 com uma conta administrativa, o Gerenciador do Computador
carrega automaticamente mostrando o bloco de Bem-Vindo.
A interface do Gerenciador do Servidor consiste de um painel de navegao
esquerda contendo cones representando vrias vises dos recursos do
servidor. Selecionar um cone mostra uma pgina de inicio no painel da direita,
o qual consiste em um nmero de blocos contendo informao sobre o recurso.
A pgina de Painel que abre por padro, contm, alm do bloco de Bem-Vindo,
27
28
29
Clique Prximo para abrir a tela Tipo de Instalao como mostra a figura
abaixo.
30
31
32
ConfigurationFilePath
Aps instalar funes nos seus servidores, as funes aparecem como cones
no painel de navegao do Gerenciador do Computador. Estes cones
representam na verdade grupos de funes. Cada grupo de funo contm
todas as instncias daquela funo que forem achadas nos servidores
adicionados. Voc pode ento administrar a funo em todos os servidores que
voc a tenha instalado.
33
34
Configurando Servios
A maioria das Funes do Windows Server e muitos dos Recursos incluem
servios, que so programas que rodam continuamente em background (por
detrs do sistema), tipicamente esperando por um processo cliente enviar uma
requisio. O Gerenciador do Computador oferece acesso aos servios que
esto rodando em servidores por toda a rede.
Quando voc para a pgina inicial do Servidor Local dentro do Gerenciador do
Computador, um dos blocos que voc acha l o bloco de Servios, mostrado
na figura abaixo, este bloco lista todos os servios instalados no servidor e
mostra o status de operao e o tipo de incio deles. Quando voc clica com o
boto direito em um servio, o menu de atalho permite quer voc inicie, pare,
reinicie, pause e retome o servio selecionado.
35
36
37
DestinationPath = "C:\inetpub\wwwroot"
Requires = "[WindowsFeature]InstallIIS
}
}
}
38
39
Storage Spaces
O Windows Server 2012 R2 inclui uma tecnologia de virtualizao de discos
chamada Storage Spaces, que permite um servidor concatenar o espao de
armazenamento de vrios discos fsicos individuais e alocar esse espao para
criar discos virtuais de qualquer tamanho suportado pelo hardware.
Esse tipo de virtualizao normalmente encontrado em SANs (Storage Area
Network redes de armazenamento) e em equipamentos NAS (Network
40
41
Tipos de Disco
Grande parte dos computadores pessoais usam discos bsicos por serem os
mais fceis de gerenciar. Tipos de volumes avanados necessitam do uso de
discos dinmicos. Um disco bsico usando o estilo de partio MBR organiza
42
Tipos de Volumes
Um disco dinmico pode conter grande nmero de volumes que funcionam
como parties ativas em discos bsicos, mas voc no pode marcar um disco
dinmico existente como ativo. Quando voc cria um volume em um disco
dinmico atravs do snap-in Gerenciamento de Disco no Windows Server 2012
R2, voc pode escolher 5 tipos de volumes:
43
44
Sistemas de arquivos
Para organizar e armazenar dados em um disco rgido, voc deve instalar um
sistema de arquivos. Um sistema de arquivos a estrutura subjacente do drive
de disco que permite armazenar informaes no seu computador. Voc instala
o sistema de arquivos quando formata uma partio ou volume no disco rgido.
No Windows Server 2012 R2, esto disponveis 5 opes:
NTFS
FAT32
exFAT
FAT (tambm conhecido como FAT16)
ReFS
45
46
Para tornar o disco acessvel , voc deve primeiro deixa-lo online clicando no
bloco de Discos e a partir do menu de atalho, selecionar Tornar Online. Depois
de confirmar sua ao e o status ter mudado para Online, clique com o boto
direito no disco e selecione a opo Inicializar.
Ao contrario do snap-in Gerenciamento de Disco, o Gerenciador do Servidor
no te permite escolher o estilo de partio para um disco. Um janela de
Progresso da Tarefa abrir; quando o processo for concludo clique em Fechar.
O disco ento aparece na lista com o estilo de partio GPT.
Voc pode converter um disco de um estilo de partio para outro a qualquer
momento atravs do Gerenciamento de Disco clicando com o boto direito no
disco desejado e selecionando a opo Converter para disco GPT ou
Converter para disco MBR. Entretanto, esteja ciente que trocar o estilo de
partio um processo destrutivo. Voc pode realizar a converso somente em
um disco desalocado (sem uso), ento se quiser converter um disco que
contenha dados voc deve fazer o backup dos dados e depois excluir todos os
volumes ou parties existentes no disco antes de iniciar o processo de
converso.
47
48
49
Na caixa de texto Nome digite o nome que deseja dar para o pool de
armazenamento. Ento selecione o servidor em que deseja que seja
criado o pool e clique em Prximo. A tela Selecione os discos fsicos
50
51
52
53
54
Por padro, o assistente de novo volume iniciado quando voc cria um disco
virtual. Neste ponto, o disco o equivalente virtual de um disco fsico recm
instalado. No contm nada alm de espao desalocado, e voc deve criar
pelo menos um volume antes de poder gravar dados nele.
55
56
57
58
59
60
61
Questes cenrios
Rafael recentemente recebeu um novo servidor com o Windows Server 2012
R2 Datacenter j instalado com a interface grfica completa. Rafael quer
configurar o sistema como um servidor web, usando o mnimo absoluto de
recursos de hardware. O seu primeiro passo usar o gerenciador do servidor
para instalar a funo Web Server (IIS).
Com o cenrio em mente, responda as perguntas abaixo.
1. Qual comando do Windows Powershell o Rafael deve usar para
converter a instalao com a interface grfica completa em Server Core?
2. Qual comando do Windows Powershell o Rafael deve usar para remover
completamente do sistema os arquivos de instalao da interface
grfica?
62
3. Qual dos recursos abaixo deve ser adicionado a uma instalao Server
Core do Windows Server 2012 R2 para convert-lo em Minimal Server
Interface?
a. Graphical Management Tools and Infrastructure
63
64
65
66
Respostas
Cenrio 1
Questo 1 Uninstall-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell Restart
Questo 2 Uninstall-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell Remove
Cenrio 2
Questo 1 Install-WindowsFeature
Questo 2 Get-WindowsFeature
Questo 3 Install-WindowsFeature FS-FileServer, Install-WindowsFeature
FS-DFS-Namespace
Install-WindowsFeature FS-DFS-Replication, Install-WindowsFeature FS-NFSService,
Install-WindowsFeature Print-InternetServices allsubfeatures, InstallWindowsFeature Web-Server
Install-WindowsFeature Web-Windows-Auth, Install-WindowsFeature Web-FtpService
O comando Install-WindowsFeature FS-Fileserver no necessrio, pois
instalado como dependncia do DFS.
Os comandos Install-WindowsFeature Web-Server e Install-WindowsFeature
Web-Windows-Auth tambm no so necessrios, pois eles so instalados
como dependncias de Print-Internet (nome curto para o Print-InternetServices)
Questes Objetivas
Questo 1 Resposta correta: 2 , o Windows Server 2012 R2 s pode ser
instalado em processadores 64 bits.
Questo 2 Resposta correta: 2 , Voc pode atualizar o Windows Server 2008
Standard para o Windows Server 2012 R2 Standard.
Questo 3 Resposta correta: 1 , instalar o mdulo Graphical Management
Tools and Infrastructure , e somente esse mdulo, numa instalao Server
Core ir convert-lo em Minimal Server Interface.
Questo 4 Resposta correta: 4, o Windows guarda todos os mdulos de
instalao do sistema operacional no diretrio WinSxS.
Questo 5 Respostas corretas: 1 e 3.
Questo 6 Respostas corretas: 2 e 4, remover o recurso Graphical
Management Tools and Infrastructure exigido para converter em uma
instalao Server Core. O Server Graphical Shell d suporte para a interface
grfica do Windows, incluindo a rea de Trabalho e o Explorador de Arquivos.
Voc deve remov-lo para converter para uma instalao Server Core.
Questo 7 Resposta correta: 2, no modo Independente de Switch, os NICs
em um time so conectados em switches diferentes, provendo caminhos
alternativos atravs da rede.
Questo 8 Resposta correta: 3.
67
68
69
70
71
72
73
74
75
Definindo Permisses
Com o Windows Server 2012 R2, voc pode controlar o acesso ao servidor de
arquivos para dar aos usurios o acesso que eles precisam ao mesmo tempo
que protege outros arquivos contra uma possvel invaso ou dano, seja ele
intencional ou no. Para implementar esse controle de acesso, o Windows
Server 2012 R2 usa permisses.
Permisses so privilgios dados a entidades especificas do sistema, como
usurios, grupos ou computadores, permitindo-os realizar uma tarefa ou
acessar um recurso. Por exemplo, voc pode conceder um usurio com a
permisso de ler um arquivo enquanto nega ao mesmo usurios as permisses
necessrias para alterar ou deletar o arquivo.
O Windows Server 2012 R2 tem vrios conjuntos de permisses, as quais
operam independentemente umas das outras. Para o proposito de
compartilhamento de arquivos, voc deve se tornar familiarizado com a
operao dos seguinte sistemas de permisso:
76
77
78
79
Herana de permisses
O principio mais importante no gerenciamento de permisses que permisses
tendem a descer por uma hierarquia. Isso chamado de herana de
permisses. Herana de permisses significa que o elemento pai passa suas
permisses para baixo para seus elementos subordinados. Por exemplo,
quando voc atribui permisses Permitir para Alice acessar a raiz da unidade
D, todas a pastas e subpastas na unidade D herdaro essas permisses, o que
significa que Alice poder acess-los.
O principio da herana simplifica muito o processo de atribuio de permisses.
Sem ele, voc teria de atribuir permisses Permitir individuais para entidades
de segurana para cada arquivo, pasta, compartilhamento, objeto e chave que
eles precisem acessar. Com a herana, voc consegue liberar acesso para um
sistema de arquivos inteiro criando apenas um conjunto de permisses
Permitir.
Na maioria dos casos, conscientemente ou no, administradores de sistemas
levam em conta a herana quando projetam seus de sistemas de arquivos e as
estruturas de OU dos Servios de Domnio do Active Directory. A localizao
de um elemento do sistema na hierarquia baseada normalmente em como os
administradores planejam atribuir e delegar permisses.
Em algumas situaes, um administrador pode quere impedir elementos
subordinados de herdar permisses dos seus pais. Existem 2 maneiras de
fazer isso:
80
81
82
83
84
85
86
87
88
nos limites que voc pode configurar e nas respostas do programa (que pode
mandar notificaes por email, executar comandos, gerar relatrios ou criar
eventos de log).
Para configurar cotas NTFS para um volume, use o procedimento abaixo.
89
90
91
92
Antes que voc possa imprimir documentos no Windows, voc deve instalar
pelo menos uma impressora. Para instalar uma impressora no Windows, voc
deve fazer o seguinte:
93
Impresso direta
Compartilhamento de impressora local
Impresso pela rede
Compartilhamento de impressora de rede
Impresso direta
A arquitetura de impresso mais simples consiste em um dispositivo de
impresso conectado a um computador, tambm conhecido como impressora
local. Quando voc conecta um dispositivo de impresso diretamente a um
computador com o Windows Server 2012 R2 e imprime a partir de uma
aplicao de dentro daquele sistema, o computador prov a impressora, o
driver de impresso e as funes de servidor de impresso.
94
95
de rede padro. Algumas impressoras tem slots de expanso nos quais voc
pode instalar adaptadores para interface de rede. Por fim, para dispositivos de
impresso sem nenhum recurso de rede, existem os chamados print servers,
dispositivos que se conectam na impressora e tem uma interface de rede.
Dispositivos de impresso equipados dessa maneira tem seu prprio endereo
IP e tem uma pagina Web de configurao integrada.
Com impressoras de rede, a deciso primria de implantao que o
administrador deve tomar qual o computador que ser o servidor de
impresso. Uma opo simples (porem frequentemente impraticvel ) deixar
cada cliente de impresso funcionar como seu prprio servidor de impresso ,
como voc pode ver na figura abaixo. Cada cliente processa e coloca na fila de
impresso seus prprios trabalhos de impresso, se conecta com o dispositivo
de impresso atravs de uma porta TCP e envia o trabalho de impresso
diretamente para o dispositivo para impresso.
96
Por essas razes, este arranjo s apropriado para pequenas redes de grupos
de trabalho que no possuem administradores exclusivos para fornecer
suporte.
97
98
99
100
101
102
Gerenciando documentos
Por padro, todas as impressoras atribuem a permisso Permitir Impresso
para a entidade especial Todos, que permite todos os usurios acessarem a
impressora e gerenciarem seus prprios documentos. Usurios que possuem a
permisso Permitir Gerenciar Documentos podem gerenciar os documentos de
qualquer usurio.
Gerenciar documentos quer dizer pausar, continuar, reiniciar e cancelar
documentos que esto esperando na fila de impresso. O Windows Server
2012 R2 tem uma janela de fila de impresso para cada impressora, o que
permite os usurios verem os trabalhos que esto atualmente esperando para
serem impressos. Para gerenciar documentos , use o procedimento abaixo.
103
Gerenciando impressoras
Usurios com a permisso Permitir Gerenciar essa impressora podem ir alm
de manipular documentos na fila; eles podem reconfigurar a impressora em si.
Gerenciar uma impressora se refere a alterar os parmetros operacionais que
afetam todos os usurios e o controle de acesso impressora.
Geralmente, a maioria das tarefas baseadas em software que caem na
categoria de gerenciar uma impressora so aqueles que voc realiza quando
esta configurando a impressora pela primeira vez. Gerenciamento rotineiro
mais provavelmente envolver manuteno fsica , como tirar papeis entalados,
recarregar papel, e trocas de toner ou tinta. Entretanto, as sesses seguintes
examinam algumas das tarefas tpicas do gestor de impressoras.
104
105
Informe os usurios privilegiados que eles devem enviar seus trabalhos para a
impressora de alta prioridade. Todos os trabalhos enviados para essa
impressora sero processado antes que os trabalhos da outra impressora de
baixa prioridade.
Para criar um pool de impresso, voc deve ter pelo menos dois dispositivos de
impresso idnticos, ou pelo menos dois dispositivos de impresso que usem o
mesmo driver. Os dispositivos de impresso devem estar no mesmo local
porque no existe como saber em qual dispositivo de impresso a impresso
sair. Voc tambm deve conectar todos os dispositivos de impresso ao
mesmo servidor. Se o servidor de impresso um Windows Server 2012 R2,
voc pode conectar os dispositivos de impresso em quaisquer portas que
sejam viveis.
106
107
108
Visualizar impressoras
Umas das maiores dificuldades dos administradores de impresso em grandes
redes manter registro de dezenas ou centenas de dispositivos de impresso,
todos em uso frequente e todos precisando de ateno regularmente. Seja a
manuteno necessria um reparo mais crtico, uma troca de toner ou de
cartucho de tinta, uma recarga de papel, dispositivos de impresso no tero a
ateno necessria at que um administrador fique sabendo do problema.
O console de Gerenciamento de Impresso prove mltiplas maneiras de
visualizar os componentes de impresso associados com os servidores de
impresso na rede. Para criar visualizaes, o console pega a lista completa de
impressoras e aplica vrios filtros, selecionando quais impressoras mostrar.
Dentro do n Filtros Personalizados, existem 4 filtros personalizados como
podemos ver abaixo:
109
110
111
112
Adicionar Servidores
A diferena primria entre o Gerenciador do Servidor do Windows Server 2012
(e R2) e os anteriores a habilidade de adicionar e gerenciar vrios servidores
de uma vez. Embora apenas o servidor local aparea no Gerenciador do
Servidor quando voc o executa pela primeira vez, voc pode adicionar outros,
permitindo-lhe administr-los juntos. Os servidores que voc adicionar podem
ser fsicos ou virtuais e podem estar rodando qualquer verso do Windows
Server a partir do Windows Server 2003. Depois que voc adicionar servidores
na interface, voc pode criar grupos contendo colees de servidores, como
aqueles em um local particular ou que realizam uma funo particular. Esses
grupos aparecem no painel de navegao, permitindo que voc os administre
como uma entidade nica.
Para adicionar servidores no Gerenciador do Servidor siga o seguinte
procedimento:
113
114
115
Configurar o WinRM
O WinRM habilita o administrador gerenciar um computador a partir de um local
remoto usando ferramentas baseadas em Windows Management
Instrumentation (WMI) e Windows PowerShell. Se a configurao padro do
WinRM foi modificada, ou se quiser modific-la manualmente, voc pode fazer
pela interface do Gerenciador do Servidor.
Na pgina inicial de Servidor Local, o bloco Propriedades contm um indicador
de Gerenciador Remoto que especifica o status atual do WinRM. Para mudar o
status do WinRM, clique no link Gerenciador Remoto para abrir a caixa de
dilogo Configurar Gerenciador Remoto. Desmarcar a caixa de seleo
Habilitar gerenciamento remoto deste servidor por outros computadores
desabilita o WinRM; marc-la habilita-o.
Para gerenciar o WinRM a partir de uma sesso do Windows PowerShell,
como o caso em uma instalao Server Core, use o comando abaixo:
Configure-SMRemoting.exe Get|Enable|-Disable
-Get Mostra o estado atual do WinRM
-Enable ativa o WinRM e Disable Desativa o WinRM
116
117
Para configurar o Windows Firewall com as regras exigidas para o gerenciamento remoto
usando o DCOM numa instalao Server Core, voc pode usar a seguinte sintaxe do
Windows PowerShell:
Set-NetFirewallRule name <rule name> enabled True
Para obter os nomes do Windows PowerShell para as regras pr-configuradas no
Windows Firewall, use o comando Get-NetFirewallRule. Os comandos resultantes para
habilitar as quatro regras listadas anteriormente so:
Set-NetFirewallRule name ComPlusNetworkAccess-DCOM-In enabled True
Set-NetFirewallRule name RemoteEventLogSvc-In-TCP enabled True
Set-NetFirewallRule name RemoteEventLogSvc-NP-In-TCP enabled True
Set-NetFirewallRule name RemoteEventLogSvc-RPCSS-In-TCP enabled True
118
119
Habilitar as regras de Gerenciamento Remoto do Windows (HTTPEntrada), como na figura 2-23 a seguir.
Criar um ouvinte WinRM atravs do comando winrm quickconfig em
um prompt de comando com privilgios administrativos.
Habilitar as regras Acesso Rede COM+ e Gerenciamento Remoto de
Evento de Log no Windows Firewall, como descrito na sesso anterior.
120
121
Criar grupos de servidores no afeta as funes que voc pode realizar neles.
Voc no pode, por exemplo, realizar aes em grupos inteiros de servidores.
Os agrupamentos so s maneiras de manter um grande nmero de servidores
organizados e fceis de localizar.
122
123
124
Arquiteturas de virtualizao
Produtos de virtualizao podem usar diferentes arquiteturas para compartilhas
os recursos de hardware do computador entre as VMs. Os tipos mais antigos
de produtos de virtualizao, incluindo o Microsoft Windows Virtual PC e o
Microsoft Virtual Server, necessitam de um SO padro instalado no
computador. Esse se torna o SO hospedeiro. Ento voc instala o produto de
virtualizao, que adiciona o componente hipervisor. O hipervisor basicamente
roda ao lado do SO hospedeiro, como mostra a figura a seguir, e permite que
voc crie quantas VMs quiser desde que o computador tenha hardware
125
126
Implementaes do Hyper-V
O Windows Server 2012 R2 inclui a funo do Hyper-V apenas nas verses
Standard e Datacenter. A funo Hyper-V necessria para fazer o SO
funcionar como a partio primria do computador, habilitando-o a hospedar
outras VMs. Nenhum software especial exigido para um SO funcionar como
127
Licenciamento do Hyper-V
A diferena primria entre as edies Standard e Datacenter do Windows
Server 2012 R2 o nmero de VMs suportadas. Quando voc instala uma
instncia do Windows Server 2012 R2 em uma VM, voc deve ter uma licena,
da mesma forma de quando voc instala em uma mquina fsica. Comprar a
edio Datacenter permite licenciar um nmero ilimitado de VMs rodando o
Windows Server 2012 R2 naquela mquina fsica. A licena Standard te
permite licenciar apenas duas instncias do Windows Server 2012 R2.
Servidor Hyper-V
Alm da implementao do Hyper-V no Windows Server 2012 R2, a Microsoft
disponibiliza o produto Hyper-V Server, que um subconjunto do Windows
Server 2012 R2. O Hyper-V Server 2012 R2 inclui a funo Hyper-V, a qual
instalada por padro durante a instalao do SO. Com a exceo de alguma
capacidade limitada dos Servios de Arquivos e Armazenamento e
128
129
Instalar o Hyper-V
Tendo o hardware apropriado, voc pode adicionar a funo Hyper-V ao
Windows Server 2012 R2 usando o Gerenciador do Servidor, da mesma forma
como faria com qualquer outra funo.
Adicionar a funo Hyper-V instala o software do hipervisor e, no caso de uma
instalao com interface completa, tambm instala as ferramentas de
gerenciamento. A ferramenta primria para criar e gerenciar VMs e seus
componentes em servidores Hyper-V o console do Gerenciador do Hyper-V.
O Gerenciador do Hyper-V disponibiliza aos administradores uma lista com
todas as VMs no computador local e permite que os administradores
configurem os ambientes dos servidores e das VMs individuais. Tambm tem
um conjuntos de cmdlets do Hyper-V para o Windows PowerShell que te
permitem controlar totalmente as VMs atravs daquela interface.
A Microsoft recomenda que voc no instale outras funes com o Hyper-V.
melhor que voc implemente qualquer outro papel que voc precise que o
computador desempenhe em uma VM dentro do Hyper-V. Alm disso, voc
pode considerar instalar o Hyper-V em um computador com a opo de
instalao Server Core. Isso ir minimizar a sobrecarga na partio. Assim
como acontece em outras funes, instalar o Hyper-V no Server Core excluir
as ferramentas de gerenciamento, as quais voc deve instalar separadamente
como um recurso em um outro computador.
Antes de poder instalar a funo do Hyper-V em um servidor rodando o
Windows Server 2012 R2, voc deve possui o hardware apropriado:
130
131
figura abaixo.
132
133
Alm disso, uma VM pode usar um arquivo de estado salvo (.vsv) se a mquina
foi posta em um estado salvo.
Para criar uma nova VM, siga o procedimento abaixo.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione o
Gerenciador do Hyper-V para abrir o console do Gerenciador do HyperV.
2. No painel da esquerda, selecione um servidor do Hyper-V.
3. No menu Ao, selecione Novo, Mquina Virtual. O Assistente Nova
Mquina Virtual ser exibido, mostrando a pgina antes de comear.
4. Clique em Prximo para mostrar a pgina Especifique nome e local.
5. Na caixa de texto digite um nome para a VM, o sistema usar esse
nome para criar as pastas e os arquivos da VM. Para criar os arquivos
da VM em um local diferente do padro marque a caixa de seleo
chamada Armazenar a Mquina Virtual em um Local Diferente e digite
o local alternativo no campo de texto. Ento clique em Prximo. A
pgina Especifique a Gerao ser exibida.
6. Especifique se quer criar uma mquina virtual da Gerao 1 ou da
Gerao 2 e clique em Prximo. A pgina Atribuir Memria aparecer.
134
135
figura abaixo.
136
137
138
139
140
em Conectar no painel de aes para abrir uma nova janela para a VM. Voc
ento pode interagir com a VM atravs desta janela, assim como se estivesse
sentado no console fsico do computador.
Quando a VM termina o processo de boot, o processo de instalao continua
assim como se voc estivesse usando um computador fsico. Durante o
processo de instalao, voc pode trabalhar com o disco VHD da mesma forma
como faria com um disco fsico, criando parties de tamanhos variados e
selecionado uma para o SO. Quando a instalao estiver completa, a VM
reiniciar, e voc poder ento fazer o login e usar da maneira usual.
141
142
Neste ponto, voc est pronto para configurar e gerenciar a VM assim como
estivesse trabalhando em um servidor fsico. Isso pode incluir modificar a
configurao de rede, ativar a rea e trabalho remota, carregar as funes e
recursos apropriados e instalar aplicaes.
Usando Modo de Sesso Avanado
Em verses anteriores do Hyper-V, quando voc abre uma janela de Conexo
de Mquina Virtual no console do Gerenciador do Hyper-V, voc recebe
conectividade de mouse e de teclado mais funcionalidade limitada de copiar e
colar. Para obter qualquer acesso adicional, como recursos de udio ou de
impresso, voc poderia estabelecer uma conexo dos Servios de rea de
Trabalho Remota com a VM, mas isso requer que os computadores estejam
conectados na mesma rede, o que no sempre possvel.
A partir do Windows Server 2012 R2, o Hyper-V suporta um Modo de Sesso
Avanado que habilita a janela de Conexo de Mquina Virtual a redirecionar
143
qualquer dos seguintes recursos locais para VMs rodando o Windows Server
2012 R2 ou o Windows 8.1:
144
Alocando memria
Memria dinmica d a capacidade do Hyper-V ajustar a quantidade de
memria RAM alocada a uma VM, dependendo da sua necessidade atual.
Alguns componentes do computador podem ser virtualizados. Voc pode pegar
algum espao em disco e criar uma unidade de disco virtual, e voc pode pegar
um arquivo de imagem e criar uma unidade de DVD virtual. Voc tambm pode
criar adaptadores de rede virtuais e outros componentes, os quais aparecem
como se fossem reais para uma VM. Memria de sistema diferente,
entretanto. No existe substituto para memria, ento tudo o que o Hyper-V
pode fazer pegar e memria fsica instalada no computador e aloca-la entre
as vrias VMs.
Quando voc cria uma VM, voc especifica quanta memria alocar para a VM.
Obviamente, a quantidade de memria para uso baseada na memria fsica
instalada no computador.
Depois que voc criou a VM, voc pode modificar a quantidade de memria
alocada desligando a VM, abrindo a caixa de dilogo de propriedades e
mudando a configurao de memria RAM de inicializao na pgina de
memria, como mostra a figura abaixo. Isso te permite experimentar diferentes
quantidades de memria RAM, e configurar o nvel de desempenho timo para
o sistema.
145
146
147
Utilizao de CPU
Utilizao mnima, mxima e mdia de memria
Utilizao de espao em disco
Trfego de rede de entrada e de sada
148
149
por uma empresa chamada Connectix para o seu produto Virtual PC. A
Microsoft depois comprou o produto e usou o formato VHD para todos os seu
produtos de virtualizao posteriores, incluindo o Hyper-V. existem trs tipos de
arquivos VHD, como segue:
150
151
Quando usar o cmdlet para criar uma imagem de disco, a extenso que voc especificar para
para os arquivos de imagem de instalao. Depois de baixar um destes
o nome do arquivo determinar o formato (VHD ou VHDX); tambm voc pode especificar o
arquivos, voc pode criar uma VM no Hyper-V e selecionar a opo
tamanho do bloco e o tamanho do setor lgico da imagem, duas coisas que voc no
Usar um Disco Rgido Virtual Existente para montar o VHD como a
consegue fazer pela GUI. Por exemplo, o comando a seguir cria um arquivo de imagem VHDX
unidade
deum
sistema.
fixo de 400GB
com
tamanho de setor lgico de 4KB.
152
153
154
Embora voc no possa usar uma unidade SCSI como unidade de sistema em
uma VM de Gerao 1, voc pode adicionar discos virtuais de dados em
controladores SCSI, em VMs de Gerao 2, voc deve criar uma unidade de
sistema SCSI para a mquina poder fazer boot. Ao contrrio de conectores
IDE, que suportam apenas 2 dispositivos cada, um conector SCSI no Hyper-V
no Hyper-V pode suportar at 64 unidades. Voc tambm pode adicionar vrios
controladores SCSI uma VM, possibilitando uma escalabilidade quase
ilimitada para o seu subsistema virtual de armazenamento.
155
156
Voc pode ento proceder para criar VMs clones adicionais com disco
diferenciais que usam o mesmo pai. Cada um pode funcionar
independentemente e o disco pai ir permanecer inalterado.
Quando voc criar uma unidade diferencial usando o Assistente de Novo Disco
Rgido, selecionar a opo Diferencial na pgina Escolher Tipo de Disco faz
com que a pgina Configurar Disco aparea como aparece na imagem 3-18
abaixo. Na caixa de texto Local, especifique o nome do arquivo que voc quer
usar como imagem pai.
Da mesma maneira, se voc criar o disco diferencial usando o Windows
PowerShell, voc deve executar o cmdlet New-VHD com o parmetro
Differencing e o parmetro ParentPath, especificando o local do disco pai.
Configurando Discos Pass-through
At agora temos nos concentrado em VHDs, reas de espao em uma unidade
de disco fsico alocada para uso por VMs. Entretanto, tambm possvel para
VMs acessarem discos fsicos diretamente.
Um disco pass-through um tipo de disco virtual que aponta para um disco
fsico instalado no computador host. Quando voc adiciona um disco rgido a
qualquer controlador de uma VM, voc tem a opo de selecionar um disco
rgido fsico no lugar de um virtual.
Para adicionar um disco rgido em uma VM, a VM deve ter acesso exclusivo ao
mesmo. Isso significa que voc deve primeiro deixar o disco off-line no SO pai
atravs do snap-in do Gerenciamento do Disco ou do utilitrio Diskpart.exe.
Aps o disco estar off-line ele estar disponvel para seleo na lista de Disco
Rgido Fsico.
157
158
159
160
161
Por usar tecnologias de rede padro, SANs tambm podem estender muito as
distncias entre servidores e dispositivos de armazenamento. Voc pode
projetar uma SAN que se espalha por vrias salas, diferentes andares, ou at
diferentes prdios, da mesma forma que faria com uma rede de computadores
padro.
Servidores e dispositivos de armazenamento no podem trocar comandos
SCSI sobre uma conexo SAN da maneira que eles fazem quando esto
conectados diretamente usando um cabo SCSI. Para se comunicar por uma
SAN, servidores e dispositivos de armazenamento mapeiam suas
comunicaes SCSI em um outro protocolo, como o FIbre Channel.
162
Instalar uma SAN Fibre Channel tradicional significa construir uma rede
inteiramente nova com sua prpria mdia, switches e adaptadores de redes
especiais. Alm dos custos de hardware, que podem facilmente ser 10 vezes
mais que os de uma rede Ethernet comum, tambm existem os custos de
instalao e de manuteno a se considerar. Fibre Channel uma tecnologia
um tanto esotrica, com relativamente poucos experts em campo. Para instalar
manter uma SAN Fibre Channel, uma organizao deve contratar uma equipe
experiente ou treinar pessoal existente na nova tecnologia.
Entretanto, tambm existe uma variao chamada de Fibre Channel sobre
Ethernet (FCoE) que usa hardware Ethernet e logo custa bem mais barato.
163
164
165
flexvel que apropriado para tudo desde uma rede de laboratrio ou de aula
at um ambiente de produo. Alm disso, o Windows Server 2012 R2
adicionou a habilidade de criar extenses para switches virtuais para que
desenvolvedores de software possam aumentar suas capacidades.
166
167
168
figura abaixo.
169
Voc pode criar switches virtuais adicionais conforme necessrio. Voc pode
criar apenas um switch externo para cada adaptador de rede no computador,
mas voc pode criar mltiplos switches internos ou privados para criar quantas
redes virtuais desejar.
Para criar um novo switch virtual atravs do Windows PowerShell, use o cmdlet NewVMSwitch com a seguinte sintaxe:
New-VMSwitch <nome_switch> -NetAdapterName <nome_adaptador>
[ -SwitchType Internal | Private ]
Por exemplo, para criar um switch externo chamado LAN Switch, voc usaria o
seguinte comando:
New-VMSwitch LAN Switch NetAdapterName Ethernet
170
de rede fsico, mas o Hyper-V no pode usar esse nico endereo para todos
os adaptadores conectando VMs na rede.
Ao invs disso, o Hyper-V cria um pool de endereos MAC durante a
instalao da funo e atribui endereos deste pool para as VMs na medida em
que voc as cria. Para ver ou modificar o pool de endereos MAC para o
servidor Hyper-V, voc abre o Gerenciador de Switch Virtual e, sob
Configuraes Globais de Rede, selecione Intervalo de Endereo MAC, como
mostra a figura abaixo.
Os primeiros trs bytes de um intervalo de endereos MAC so sempre 00-155D, que sempre um identificador nico de organizao registrado pelo
Microsoft. O quarto e quinto bytes do endereo MAC so os dois ltimo bytes
do endereo IP atribudos ao adaptador de rede fsico do servidor, convertido
em notao hexadecimal. O sexto e ltimo byte do endereo MAC contem o
intervalo de valores de 00 a FF, que disponibilizam 256 possveis valores.
O servidor Hyper-V atribui as endereos MAC aos adaptadores de rede nas
VMs na medida em que administradores criam os adaptadores. Os
adaptadores retm seus endereos MAC permanentemente ou at que o
adaptador seja removido da VM. O servidor recupera qualquer endereo sem
uso e reutiliza-os.
Espera-se que o pool (conjunto) padro de 256 endereos seja suficiente para
a maioria das configuraes de VMs do Hyper-V, mas se no for, voc pode
modificar os valores de Mnimo e Mximo para aumentar o intervalo. Para
prevenir duplicao de endereos, voc deveria mudar somente o segundo
bytes do fim para o comeo, tornando-o em um intervalo de endereos como o
ltimo byte.
171
172
173
174
175
176
177
178
179
180
181
182
Endereamento IPv4
Como voc provavelmente j sabe, o espao de endereamento IPv4 consiste
de endereos de 32 bits, usando notao de quatro valores decimais de 8 bits
partindo do 0 at 255 e separados por pontos (por exemplo, 192.168.43.100).
Isto conhecido como notao decimal pontuada e os valores decimais de 8
bits individuais so chamados de octetos ou bytes.
Cada endereo consiste de bits de rede, que identificam a rede, e bits de host,
que identificam um dispositivo particular na rede. Para diferenciar os bits de
rede dos bits de host, cada endereo deve possuir uma mscara de subrede.
Uma mscara de subrede outro valor de 32 bits consistindo de valores
binrios 1 ou 0. Quando comparada com um endereo IP, os bits
correspondentes aos 1s na mscara so os bits de rede, e os bits
correspondentes aos 0s na mscara so os bits de host. Logo, se o endereo
192.168.43.100 mencionado anteriormente tem uma mscara de subrede
255.255.255.0 (que em sua forma binria ficaria
(11111111.11111111.11111111.00000000), os primeiros trs octetos
(192.168.43) identificam a rede e o ltimo octeto (100) identifica o host.
183
O padro IP original define trs classes de endereos IP, que suportam redes
de diferentes tamanhos, como podemos ver na figura abaixo.
Classe A
Classe B
Classe C
Valores do primeiro
bit (binrio)
Valores do primeiro
byte (decimal)
Nmero de bits do
identificador de rede
Nmero de bits do
identificador de host
Nmero de redes
possveis
Nmero de hosts
possveis
10
110
1-127
128-191
192-223
16
24
24
16
126
16.384
2.097.152
16.777.214
65.534
254
184
185
186
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
A maioria das redes empresariais usam endereos destes blocos para suas
estaes de trabalho. No importa se vrias organizaes usam o mesmo
endereo, pois as organizaes nunca esto diretamente conectadas na
mesma rede.
Subredes IPv4
Na maioria dos casos, administradores de empresas usam endereos de um
dos intervalos de endereos IP privados para criar as subrede que precisam.
Se voc est criando uma nova rede empresarial no zero, voc pode escolher
qualquer um dos blocos de endereos privados e facilitar as coisas para voc
mesmo criando subredes nas divises dos octetos.
Por exemplo, voc pode pegar o intervalo de endereo IP privado 10.0.0.0/8 e
usar o segundo octeto inteiro como ID de subrede. Isto permite criar at 256
subredes com at 65.536 hosts em cada uma. As mscaras de subrede para
todos os endereos nas subredes ser 255.255.0.0 e os endereos de rede
iro progredir da seguinte forma:
10.0.0.0/16
10.1.0.0/16
10.2.0.0/16
10.3.0.0/16
...
187
10.255.0.0/16
Quando voc est trabalhando com uma rede existente, o processo de diviso
em subredes provavelmente ser mais difcil. Voc pode, por exemplo, receber
um intervalo relativamente pequeno de endereos e ser solicitado a criar um
certo nmero de subredes neles. Para fazer isso, voc usa o seguinte
procedimento:
1. Determine quantos bits voc precisa para o identificador de rede para
criar o nmero necessrio de subredes.
2. Diminua o nmero de bits que voc precisa para as subredes do nmero
de bits para os hosts e adicione-os aos bits usados para rede.
3. Calcule a mscara de subrede somando os bits de rede e de subrede
em formato binrio e depois convertendo para decimal.
4. Pegue o bit menos significativo da subrede e os bits de host, em formato
binrio, e converta-os em formato decimal.
5. Incremente o identificador de rede (incluindo os bits de subrede) no valor
decimal que voc calculou para determinar os endereos de rede das
suas novas subredes.
Usando o exemplo anterior deste captulo, se voc pegar o endereo de rede
192.168.43.0/24 e alocar dois bits extras para a ID de subrede, voc tem um
valor binrio de mscara de subrede de
11111111.11111111.11111111.11000000 (255.255.255.192 na forma decimal).
O bit menos significativo da subrede mais os bits de host daro o valor
1000000, que converte-se no valor decimal 64. Logo, se voc sabe que o
endereo de rede da sua primeira subrede 192.168.43.0, a segunda subrede
deve ser 192.168.43.64, a terceira 192.168.43.128, e a quarta 192.168.43.192.
Super-Redes
Alm de simplificar a notao de redes, o CIDR tambm torna possvel uma
tcnica chamada agregao ou super-redes, que pode ajudar a reduzir o
tamanho das tabelas de roteamento da Internet. Uma super-rede uma
combinao de redes contiguas em que todas contm um prefixo CIDR
comum. Quando uma organizao possui vrias redes contiguas que podem
ser expressas como uma super-rede, possvel listar essas redes em uma
tabela de roteamento usando apenas uma entrada ao invs de muitas.
Por exemplo, se uma organizao tem as seguintes cinco subredes, a prtica
padro seria criar uma entrada separada na tabela de roteamento para cada
uma.
188
172.16.43.0/24
172.16.44.0/24
172.16.45.0/24
172.16.46.0/24
172.16.47.0/24
Para criar uma super-rede englobando todas as 5 redes, voc deve isolar os
bits que eles possuem em comum. Quando voc converte os endereos de
rede de decimal para binrio, voc tem os seguintes valores:
172.16.43.0
10101100.00010000.00101011.00000000
172.16.44.0
10101100.00010000.00101100.00000000
172.16.45.0
10101100.00010000.00101101.00000000
172.16.46.0
10101100.00010000.00101110.00000000
172.16.47.0
10101100.00010000.00101111.00000000
Em formato binrio, voc pode ver que todos os cinco endereos possuem os
mesmos primeiros 21 bits. Estes 21 bits se tornam o identificador de rede do
endereo da super-rede, como a seguir:
10101100.00010000.00101
Aps zerar os bits de host para formar o endereo de rede e converter o
nmero binrio de volta ao formato decimal, o endereo de super-rede
resultante 172.16.40.0/21.
10101100.00010000.00101000.00000000
172.16.40.0/21
189
Configurao manual
DHCP
Automatic Private IP Addressing (APIPA)
Quando voc seleciona a opo Usar o seguinte endereo IP, voc pode
configurar as seguintes opes de endereo IP:
190
O problema principal com configurao manual que uma tarefa que leva 2
minutos para um computador requer vrias horas para 100 computadores e
vrios dias para mil computadores. Configurao manual impraticvel, e no
apenas por ser lento. Voc tambm deve rastrear os endereos IPv4 que
atribui e ter certeza que que cada sistema tem um endereo que nico. Isto
pode representar desafios logsticos formidveis, por isso poucos
administradores escolhem esta opo.
191
Introduo ao IPv6
Endereos IPv6 so diferentes de endereos IPv4 de muitas formas alm do
comprimento. No lugar dos quatro nmeros decimais de 8 bits separados por
pontos que o IPv4 usa, endereos IPv6 usam 8 nmeros hexadecimais de 16
bits separados por dois pontos, como pode ver abaixo:
XX:XX:XX:XX:XX:XX:XX:XX
192
21cd:53::e8bb:4f2:3c:c394
193
Endereos Multicast
Endereos Multicast sempre comeam como valor 11111111 em binrio que
ff em hexadecimal.
Endereos Anycast
A funo de um endereo Anycast identificar os roteadores dentro de um
dado escopo de endereo e enviar trfego para o roteador mais prximo,
conforme determinado pelos protocolos de roteamento local. Organizaes
podem usar endereos anycast para identificar um conjunto particular de
roteadores na organizao, como os que proveem acesso Internet. Para usar
anycasts, os roteadores devem estar configurados para reconhecer endereos
ancast.
194
195
196
DHCPv6
Se voc um administrador de uma empresa como uma rede
multissegmentada, ser necessrio usar endereos globais ou locais nicos
para a comunicao da rede interna, ento voc precisar de roteadores que
publiquem os prefixos de rede apropriados ou servidores DHCPv6 que possam
fornecer endereos com os prefixos corretos.
A funo Acesso Remoto do Windows Server 2012 R2 suporta roteamento
IPv6 e publicao, e a funo Servidor DHCP suporta alocao de endereos
IPv6.
197
198
------------1001
O valor resultante para o ID de subrede, na forma binria, ficaria ento da
seguinte forma:
0001110001101001
Na forma hexadecimal, o valor seria 1c69.
Pelo fato da organizao que possui o prefixo controla totalmente o ID de
subrede, administradores de empresa podem ajustar o nmero de nveis na
hierarquia e o nmero de bits dedicado a cada nvel como for necessrio.
199
Tunelamento
Agora mesmo, existem muitos servios de rede que so somente IPv4 e
comparativamente menos que exigem o IPv6. Estes servios IPv6 esto vindo,
porm.
O recurso de rede remota Direct Access no Windows Server 2012 R2 e no
Windows 8.1 um exemplo de tecnologia IPv6 e muito da sua complexidade
devido a necessidade de estabelecer conexes IPv4 sobre a Internet IPv4.
200
O mtodo primrio para transmitir trfego IPv6 sobre uma rede IPv4 chamado
de tunelamento. Neste caso, Tunelamento o processo pelo qual um sistema
encapsula uma datagrama IPv6 dentro de um pacote IPv4, como vemos na
figura abaixo. O sistema ento transmite o pacote IPv4 ao seu destino, sem
que nenhum dos sistemas intermedirios perceba o contedo dos pacotes.
Os dois roteadores suportam ambos IPv4 e IPv6 e as redes locais em cada site
usam IPv6. Todavia, o link conectando os dois sites somente IPv4. Por meio
201
Neste comando, interface um nome amigvel que voc atribui ao tnel que
est criando; enderecolocal e enderecoremoto so os endereos IPv4 que
formam as duas pontas do tnel. Um exemplo de um comando real seria:
netsh interface ipv6 add v6v4tunnel "tunel" 206.73.118.19
157.54.206.43
6to4
O mecanismo 6to4 essencialmente incorpora conexes IPv4 em uma rede
dentro da infraestrutura IPv6 definindo um mtodo para expressar endereos
IPv4 no formato IPv6 e encapsular trfego IPv6 dentro de pacotes IPv4.
ISATAP
O Protocolo de Endereamento de Tnel Automtico Intra-Site (Intra-Site
Automatic Tunnel Addressing Protocol - ISATAP) um protocolo de
202
Teredo
Para usar o tunelamento 6to4, ambas as pontas do tnel devem ter endereos
IPv4 registrados. Porm, em muitas redes, o sistema que iria funcionar como
ponta est localizado atrs de um roteador NAT, e tem um endereo no
registrado. Neste caso, o nico endereo registrado disponvel est atribudo
ao prprio roteador NAT, e ao menos que o roteador suporte o 6to4 (o que
difcil), fica impossvel estabelecer o tnel.
O Teredo um mecanismo que aborda este problema habilitando dispositivos
atrs de roteadores NAT no-IPv6 a funcionar como a ponta de um tnel. Para
fazer isso, o Teredo encapsula os pacotes IPv6 dentro de datagramas UDP da
camada de transporte ao invs de usar datagramas da camada de rede IPv4
como o 6to4 faz.
Para um cliente Teredo funcionar como ponta de um tnel, deve ter acesso
um servidor Teredo, com o qual troca mensagens de Solicitao de Roteador e
de Publicao de Roteador para determinar se o cliente est atrs de um
roteador NAT.
Para iniciar as comunicaes, um cliente Teredo troca pacotes nulos chamados
de bolhas com o destino desejado, usando servidores Teredo em cada ponta
como intermedirios. A funo das mensagens bolha criar mapeamentos
para ambos os computadores em seus respectivos roteadores NAT.
203
Entendendo o DHCP
O DHCP um servio que configura endereos IP e outras configuraes
TCP/IP nos computadores da rede atribuindo endereos de um pool (chamado
de escopo) e recuperando-os aps a concesso (lease) expirar.
Alm de ser uma tarefa que consume muito tempo, configurar manualmente
clientes TCP/IP pode resultar em erros de digitao que causam conflitos de
endereo que interrompem as comunicaes na rede. O DHCP previne esses
erros e tem muitas outras vantagens, incluindo atribuio automtica de novos
endereos quando computadores so movidos de uma subredes para outra e
recuperao automtica de endereos que no esto mais em uso.
O DHCP consiste de trs componentes:
Alm de endereos IP, o DHCP pode disponibilizar aos clientes os valores para
outros parmetros necessrios para configurar um cliente TCP/IP, incluindo a
mscara de subredes, gateway padro, e endereos de servidor DNS. O
objetivo eliminar a necessidade de qualquer configurao manual em um
204
Opes DHCP
Todas as mensagens DHCP incluem um campo de opes, que uma rea
criada para carregar os vrios parmetros (alm do endereo IP) usados para
configurar a pilha TCP/IP dos clientes. Algumas das opes mais usadas sero
descritas nas sesses seguintes.
205
Extenses DHCP
Estas opes so usadas para informar parmetros que governam os
processos de negociao e renovao de concesso (lease) do DHCP.
206
Comunicaes DHCP
Para elaborar uma estratgia DHCP para uma rede empresarial e implant-la
corretamente exigido um entendimento das comunicaes de ocorrem entre
clientes e servidores DHCP. Em computadores Windows, o cliente DHCP
ativado por padro, embora no seja mencionado pelo nome na interface. A
opo Obter endereo IP automaticamente na janela de propriedades do
Protocolo TCP/IP verso 4 (TCP/IPv4) e a opo Obter endereo IP IPv6
automaticamente na janela de propriedades do Protocolo TCP/IP verso 6
(TCP/IPv6) controlam a ativao do cliente para o IPv4 e IPv6,
respectivamente.
207
1. Quando um computador faz boot pela primeira vez com o cliente DHCP
ativo, o cliente gera uma srie de mensagens DHCPDISCOVER para
solicitar uma atribuio de endereo IP de um servidor DHCP e as envia
em broadcast para a rede local.
2. Todos os servidores DHCP que receberem a mensagem
DHCPDISCOVER geram mensagens DHCPOFFER contendo um
endereo IP e outros parmetros de configurao e os transmitem para
o cliente.
208
209
210
Criar um escopo
Um escopo um intervalo de endereos IP em uma subrede particular que
foram selecionados para serem alocados por um servidor DHCP. Em verses
do Windows Server anteriores ao Windows Server 2012, voc pode criar um
escopo quando instala a funo de Servidor DHCP. Porm, no Windows Server
2012 e no Windows Server 2012 R2, os procedimentos so separados. Para
criar um escopo usando o snap-in do MMC, use o procedimento abaixo.
211
212
213
214
215
Usando o PXE
Os sistemas operacionais Windows incluem um cliente DHCP que pode
configurar o endereo IP local e outras configuraes TCP/IP dos
computadores com um sistema operacional j instalado. Porm, tambm
possvel para um computador sem sistema operacional instalado usar o DHCP.
O PXE (Preboot eXecution Environment) um recurso includo em muitos
adaptadores de interface de rede que habilita-os a conectar a servidores
DHCP na rede e obter configuraes do TCP/IP cliente, mesmo quando no h
sistema operacional no computador. Administradores normalmente usam essa
capacidade de automatizar o processo de implementao de sistema
operacional em grandes quantidades de computadores.
Alm de configurar o endereo IP e outras configuraes TCP/IP no
computador cliente., o servidor DHCP pode fornecer ao computador uma opo
especificando a localizao de um arquivo de boot que o sistema pode baixar e
usar para inicializar o computador e iniciar uma instalao de sistema
operacional Windows. Um sistema equipado com o PXE faz downloads de
arquivos de boot atravs do protocolo TFTP, uma verso simplificada do
protocolo FTP que no exige autenticao.
O Windows Server 2012 R2 inclui uma funo chamada servios de
Implantao do Windows (Windows Deployment Services - WDS), que permite
que administradores gerenciem arquivos de imagem que computadores
remotos podem usar para inicializar e instalar o Windows. Para um adaptador
PXE acessar imagens do WDS, o servidor DHCP na rede deve ter uma opo
customizada PXEClient (opo 60) configurada com o local do servidor WDS
na rede.
O cliente PXE na estao de trabalho normalmente no precisa ser
configurado, com a possvel exceo da mudana da ordem dos dispositivos
de boot, para que o computador tente um boot pela rede antes de usar as
unidades locais.
216
217
218
219
17. Digite o endereo IP do servidor DHCP que voc quer que o agente
retransmita mensagens e clique em Adicionar. Repita este passo para
adicionar mais servidores, se necessrio.
18. Clique em OK.
19. Feche o console de Roteamento e Acesso Remoto.
220
221
Comunicaes DNS
Embora todas as aplicaes da Internet usam o DNS para resolver nomes de
host em endereos IP, este processo de resoluo de nome mais fcil de ver
quando voc est usando um navegador para acessar um site na Internet.
quando voc digita um endereo contendo um nome DNS (por exemplo,
www.wise1.com.br) na barra de endereos do navegador e pressiona a tecla
Enter, se voc olhar rpido o suficiente, voc pode ser capaz de ver uma
mensagem que diz algo como Encontrando site: www.wise1.com.br. Ento
alguns segundos depois, voc pode ver a mensagem Conectando-se a,
seguido por um endereo IP. durante esse intervalo que o processo de
resoluo de nomes DNS ocorre.
Da perspectiva do cliente, o processo que ocorre durante esses poucos
segundos consiste da aplicao usando o resolvedor DNS integrado para
enviar uma mensagem de consulta ao seu servidor DNS designado que
contm o nome a ser resolvido. O servidor ento responde com uma
mensagem contendo o endereo IP correspondente ao nome. Usando o
endereo fornecido, a aplicao pode transmitir uma mensagem ao destino
desejado. Somente quando voc examina a funo do servidor DNS no
processo que voc v quo complexo o procedimento realmente .
Para explicar melhor o relacionamento entre os vrios servidores DNS de
vrios domnios no espao de nomes, o procedimento a seguir explica o
processo de resoluo de nomes da Internet.
1. Um usurio em um sistema cliente especifica o nome DNS de um
servidor Internet em uma aplicao como um navegador. A aplicao
gera uma chamada de interface de programao de aplicao
(application programming interface - API) para o resolvedor no sistema
222
223
224
225
226
227
Encaminhadores DNS
Um dos cenrios em que servidores DNS enviam consultas recursivas para
outros servidores quando voc configura um servidor para funcionar como
um encaminhador. Em uma rede rodando vrios servidores DNS, voc pode
no querer que todos os servidores enviem consultas para outros servidores
DNS na Internet, por exemplo, vrios servidores transmitindo consultas
repetidas podem usar muito da largura de banda disponvel.
Para prevenir isso, o servidor DNS do Windows Server 2012 R2 permite
configurar um servidor para funcionar como o encaminhador de todas as
consultas da Internet geradas pelos outros servidores na rede. Em qualquer
momento que um servidor precisar resolver o nome DNS de um sistema na
Internet e falha em encontrar a informao necessria em seu cache, ele
transmite uma consulta recursiva para o encaminhador, que fica responsvel
por mandar suas prprias consultas iterativas atravs da conexo com a
228
Internet. Assim que o encaminhador resolve o nome, ele envia uma resposta
de volta ao servidor DNS original, que a repassa para o cliente.
Para configurar encaminhadores em um servidor DNS do Windows Server
2012 R2, clique com o boto direito do mouse no n do servidor, abra a janela
de propriedades, e clique na aba Encaminhadores, como vemos na figura
abaixo. Nesta aba, voc pode adicionar os nomes e endereos dos servidores
que voc quer que o seu servidor use como encaminhadores.
229
230
Criando Zonas
Uma zona uma entidade administrativa que voc cria em um servidor DNS
para representar uma poro do espao de nomes do DNS. Administradores
tipicamente dividem o espao de nomes DNS em zonas para armazen-las em
servidores diferentes e para delegar sua administrao para pessoas
diferentes. Zonas sempre consistem de domnios inteiros e/ou subdomnios.
Voc pode criar uma zona que contenha vrios domnios e/ou subdomnios .
desde que eles sejam contguos no espao de nomes DNS.por exemplo, voc
pode criar uma zona contendo um domnio pai e seu filho, porque eles esto
diretamente conectados, mas voc no pode criar uma zona contendo dois
domnios filhos sem seu pai em comum porque assim os dois domnios no
esto conectados diretamente, como mostra a figura a seguir.
231
Zona Primria. Cria uma zona primria que contm a cpia mestra do
banco de dados da zona, onde os administradores fazem todas as
mudanas nos registros de recursos da zona. Se a zona no est
armazenada no Active Directory, o servidor cria um arquivo de banco de
dados da zona primria no disco local. um arquivo de texto simples
que compatvel com a maioria das implementaes de servidores DNS
no-Windows.
Zona Secundria. Cria uma cpia da zona primria em outro servidor. A
zona secundria contm uma cpia de backup do arquivo de banco de
dados da zona mestre primria, armazenado como um arquivo de texto
idntico no disco local do servidor. Voc pode somente atualizar os
registros de recursos em uma zona secundria atravs da replicao do
arquivo de banco de dados da zona mestre primria, usando um
processo chamado transferncia de zona.
Zona Stub. Cria uma cpia de uma zona primria que contm os
registros de recursos chave que identificam os servidores autoritativos
232
233
234
235
236
Aps a zona ser criada, voc pode criar registros PTR junto com registros A ou
AAAA ou criar um novo registro PTR usando a caixa de dilogo Novo Registro
de Recursos.
237
238
propriedades e clique na aba Dicas de Raiz, como pode ver na figura abaixo.
Nesta aba voc pode adicionar, editar ou remover dicas de raiz da lista.
239
240
241
Aps ter instalado a funo, voc pode rodar o Assistente de instalao dos
Servios de Domnio do Active Directory. O procedimento no assistente varia,
dependendo de quais sero as funes do novo controlador de domnio. As
sesses a seguir descrevem os procedimentos para os tipos mais comuns de
instalao de controlador de domnio.
242
243
244
245
2.
3.
4.
5.
246
247
248
Install-ADDSForest
Install-ADDSDomainController
Install-ADDSDomain
249
250
251
252
Aps ter criado a mdia IFM, voc pode transport-la aos servidores que voc
pretende implantar como controladores de domnio usando quaisquer meios
convenientes. Para usar a mdia, voc executa o Assistente de Configurao
dos Servios de Diretrio do Active Directory da maneira usual, seleciona a
caixa de seleo Instalar a partir de mdia e especifica o local da pasta.
253
254
255
256
257
258
259
260
Usando o Dsadd.exe
Para administradores que se sintam mais confortveis com o prompt de
comando, o programa Dsadd.exe pode criar novos objetos usurios atravs da
sintaxe mostrada na figura abaixo.
261
262
disabled no
mustchpwd yes
pwd "Pa$$w0rd"
Por exemplo, para criar um novo objeto usurio para Thiago Haise em uma
unidade organizacional (OU) chama Pesquisa, voc poderia usar o cmdlet
New-ADUser com os seguintes parmetros:
new-ADUser
-Name " Thiago Haise "
-SamAccountName "thiago"
-GivenName " Thiago "
-SurName " Haise "
path 'OU=Pesquisa,DC=wiseone,dc=local'
-Enabled $true
-AccountPassword "Pa$$w0rd"
263
-ChangePasswordAtLogon $true
Os parmetros Name e SamAccountName so exigidos para identificar o
objeto. O parmetro path especifica o local do objeto na hierarquia do AD DS.
O parmetro Enabled assegura que a conta esteja ativa.
264
Usando o CSVDE.exe
Aplicaes como o Microsoft Excel podem gerar listas de usurios, com todas
as suas informaes, para adicionar no banco de dados do Active Directory.
Nestes casos, voc pode exportar as informaes das aplicaes salvando-as
em um arquivo no formato CSV. O formato CSV tambm pode ser usado para
importar informaes para dentro dele e depois export-las para outras
aplicaes de terceiros.
Um arquivo CSV um arquivo de texto feito de registros divididos um por linha
divididos em campos separados por vrgulas. O formato uma maneira de
salvar informaes de bancos de dados em uma maneira universal inteligvel.
265
dn. Especifica o nome distinto do objeto para que ele possa ser colocado
corretamente no Active Directory.
samAccountName. Preenche o campo de conta SAM.
objectClass. Especifica o tipo de objeto a ser criado, como usurio,
grupo ou OU.
telephoneNumber. Preenche o campo de Nmero de Telefone.
UserPrincipalName. Preenche o campo User Principal Name.
Enquanto cria o arquivo CSV, voc deve ordenar os dados para refletir a
sequencia de atributos no registro de cabealho. Se os campos e dados
estiverem fora de ordem, voc ir encontrar um erro quando executar o
CSVDE.exe ou pode ter resultados incorretos nos objetos criados. O exemplo a
seguir de um registro de cabealho usa os atributos listados anteriormente para
criar um objeto usurio.
dn,samAccountName,userPrincipalName,telephoneNumber,objectC
lass
Um registro de dados seguindo esse registro de cabealho ficaria assim:
"cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com",
Thiago.haise@wiseone.com,586-555-1234,user
Aps ter adicionado um registro para cada conta que deseja criar, salve o
arquivo usando a extenso .csv. Ento voc pode usar a seguinte sintaxe do
comando para rodar o programa CSVDE.exe e importar o arquivo:
csvde.exe i f <nomearquivo.csv>
O parmetro i informa ao CSVDE.exe que essa ser uma operao de
importao. O parmetro f usado para especificar o arquivo .csv contendo
os registros a serem importados.
266
Usando o LDIFDE.exe
O LDIFDE.exe um utilitrio que possui a mesma funcionalidade bsica do
CSVDE.exe e d a possibilidade de modificar registros existentes no Active
Directory. Por esta razo, o LDIFDE.exe uma opo mais flexvel. Considere
um exemplo em que voc tem que importar 200 novos usurios em sua
estrutura do AD DS. Neste caso, voc pode usar o CSVDE.exe ou o
LDIFDE.exe para importar estes usurios. Entretanto, voc pode usar o
LDIFDE.exe para modificar ou deletar os objetos mais tarde, sendo que o
CSVDE.exe no fornece essa opo.
Voc pode usar qualquer editor de texto para criar um arquivo de entrada para
o LDIFDE.exe, que formatado segundo o padro LDAP Data Interchange
Format (LDIF). O formato para o arquivo de dados contendo os registros de
objetos que voc pretende criar bem diferente daquele no CSVDE.exe. O
exemplo a seguir mostra a sintaxe para o arquivo de dados para criar a mesma
conta de usurio discutida no exemplo do CSVDE.exe.
dn: "cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com"
changetype: add
ObjectClass: user
SAMAccountName: thiago
UserPrincipalName: thiago@wiseone.com
telephoneNumber: 586-555-1234
Usando o LDIFDE.exe, voc pode especificar uma das trs aes que sero
realizadas com o arquivo LDIF:
Aps criar o arquivo de dados e salv-lo usando a extenso .ldf, use a seguinte
extenso para executar o programa LDIF.exe:
Ldifde.exe i f <nomearquivo.ldf>
O prximo exemplo ilustra a sintaxe LDIF para modificar o nmero de telefone
de um usurio existente. Note que o hfen na ltima linha exigido para que o
arquivo funcione adequadamente.
267
268
269
270
271
272
273
274
275
276
OUs podem ser aninhadas para criar um design que permite que
administradores se aproveitem da estrutura de herana da hierarquia do Active
Directory. Voc deve limitar o nmero de OUs que estejam aninhadas, pois
muitos nveis podem atrasar o tempo de resposta por registros de recursos e
complicar a aplicao de configuraes de Polticas de Grupo.
Quando voc instala os Servios de Domnio do Active Directory, existe apenas
uma OU no domnio, por padro a OU Controladores de Domnio. Todas as
outras OUs devem ser criadas por um administrador do AD.
277
Criar OUs
As OUs so o tipo mais simples de objeto para criar na hierarquia do AD DS.
Voc s tem que informar um nome para o objeto e definir o seu local na rvore
do Active Directory.
Para criar uma OU usando a Central Administrativa do Active Directory, use o
seguinte procedimento:
1. No Gerenciador do Servidor, no menu Ferramentas, selecione Central
Administrativa do Active Directory para abrir o console da Central
Administrativa do Active Directory.
2. No painel da esquerda, clique com o boto direito do mouse no objeto
sob o qual voc deseja criar a nova OU e selecione a opo Nova
Unidade Organizacional.
3. No campo Nome, digite um nome para a OU e adicione qualquer
informao adicional que desejar.
4. Clique em OK. A OU aparecer no objeto que voc selecionou.
5. Feche o console da Central Administrativa do Active Directory.
278
279
280
281
282
Tipos de Grupos
Existem duas classificaes de grupos no Windows Server 2012 R2: tipo de
grupo e escopo de grupo. O tipo de grupo define como um grupo usado
dentro do Active Directory.
Os dois tipos de grupos do Windows Server 2012 R2 so como segue:
283
Grupos que voc usa para conceder permisses para recursos so chamados
de grupos de segurana. Administradores tornam usurios que precisam de
acesso ao mesmo recurso membros de um grupo de segurana. Eles podem
conceder as permisses para acessar o recurso para o grupo de segurana.
Aps criar o grupo, voc pode convert-lo de um grupo de segurana para um
grupo de distribuio ou vice versa, a qualquer tempo.
Escopos de grupos
Alm dos tipos de grupos de segurana e de distribuio, vrios escopos de
grupos esto disponveis no Active Directory. O escopo de grupo controla quais
objetos o grupo pode conter, limitando os objetos ao mesmo domnio ou
permitindo objetos de domnios remotos, e tambm controla o local no domnio
ou floresta em que o grupo pode ser aninhado. Os escopos de grupo
disponveis em um domnio do Active Directory incluem grupos de domnio
local, grupos globais e grupos universais.
Contas de usurio
Contas de computador
Grupos globais de qualquer domnio na floresta
Grupos universais
Grupos de domnio local do mesmo domnio
Grupos Globais
Os grupos globais podem ter os seguintes tipos de membros:
Contas de usurio
Contas de computador
Outros grupos globais do mesmo domnio
Voc pode usar grupos globais para conceder ou negar permisses para
qualquer recurso localizado em qualquer domnio da floresta. Voc realiza isso
adicionando o grupo global como membro de um grupo de domnio local que
284
Grupos Universais
Os grupos universais podem ter os seguintes tipos de membros:
Contas de usurio
Contas de computador
Grupos globais de quaisquer domnios da floresta
Outros grupos universais
Aninhar Grupos
Como discutido anteriormente, aninhamento de grupo o termo utilizado
quando grupos so adicionados como membros de outros grupos. Por
exemplo, quando torna um grupo global um membro de um grupo universal,
dito que ele est aninhado dentro do grupo universal.
Aninhamento de grupos reduz o nmero de vezes, que voc precisa atribuir
permisses para usurios em diferentes domnios em uma floresta multidomnios. Por exemplo, se voc possui vrios domnios filhos em sua
hierarquia do AD DS, e os usurios em cada domnio precisam de acesso
285
Criar Grupos
O procedimento para criar grupos na Central Administrativa do Active Directory
ou no console Usurios e Computadores do Active Directory praticamente
idntico ao usado para criar OUs. Quando voc cria um grupo, voc deve
especificar um nome para o objeto grupo. O nome pode ter at 64 caracteres e
deve ser nico no domnio. Voc tambm deve escolher um tipo de grupo e um
escopo. A figura a seguir mostra a janela Criar Grupo na Central Administrativa
do Active Directory.
286
287
escopos e para especificar membros que fazem parte do grupo e grupos dos
quais esse grupo membro alm de outras propriedades para o objeto grupo.
Os parmetros de linha de comando mais tipicamente usados so:
Por exemplo, para criar um novo grupo chamado Vendas no container Usurios
e tornar o usurio Administrador um membro, voc usaria o seguinte comando:
dsadd group "CN=Vendas,CN=Usuarios,DC=wise1,DC=com"
member "CN=Administrador,CN=Users,DC=wise1,DC=com
Para criar um novo objeto grupo atravs do PowerShell, voc usa o cmdlet
New-ADGroup, com a seguinte sintaxe:
New-ADGroup
Name <nome grupo>
-SamAccountName <nome SAM>
GroupCategory Distribution|Security
GroupScope DomainLocal|Global|Universal
Path <nome distinto>
Por exemplo, para criar um grupo de segurana global chamado Vendas na OU
Salvador, voc usaria o seguinte comando:
New-ADGroup Name Vendas SamAccountName Vendas
GroupCategory Security GroupScope Global
Path "OU=Salvador,DC=wise1,DC=Com
288
289
290
6. Clique em OK.
7. Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de
Gerenciamento de Polticas de Grupo.
Os membros que voc especificar parra um grupo em uma poltica de Grupos
Restritos sero os nicos membros permitidos a continuar neste grupo. A
poltica no impede administradores de modificar a lista de grupos usando
outras ferramentas, mas na prxima vez em que o sistema atualizar suas
configuraes de polticas de grupo, a lista de membros do grupo ser
sobrescrita pela poltica.
291
Convertendo grupos
Como as funes de grupos mudam, voc pode precisar mudar o tipo de um
objeto grupo. Para mudar o tipo de um grupo, abra a janela de propriedades de
um grupo na Central de Administrao do Active Directory ou no console
Usurios e Computadores do Active Directory. Na aba Geral, voc pode
modificar a opo tipo de grupo e clique em OK.
O processo de mudar o escopo de um grupo o mesmo, exceto que voc
seleciona uma das opes de escopo na aba Geral. Os utilitrios do AD DS
somente permitem fazer mudanas de escopo que so permitidas.
A tabela abaixo mostra as mudanas de escopo que so permitidas.
Para Domnio
Local
Para Global
Para Universal
De Domnio
Local
No se aplica
No permitido
Permitido apenas
quando o grupo de
domnio local no
possui outros
grupos de domnio
local como
membros
De Global
No permitido
No se aplica
Permitido apenas
quando o grupo
global no
membro de outro
grupo global
De Universal
Sem restries
Permitido apenas
quando o grupo
universal no
possui outros
grupos universais
como membros
No se aplica
292
Apagar um Grupo
Assim como com objetos usurios, cada objeto grupo que voc cria no AD DS
tem um SID nico que no pode ser reutilizado. O Windows Server 2012 R2
usa o SID para identificar o grupo e as permisses atribudas ele.
Quando voc deleta um grupo, o Windows Server 2012 R2 no usa o SID
daquele grupo novamente, mesmo se voc criar um grupo com o mesmo
nome. Logo, voc no pode restaurar as permisses de acesso que atribuiu
recursos recriando o grupo deletado. Voc deve adicionar o grupo recm criado
como uma entidade de segurana na lista de controle de acesso (ACL) do
recurso novamente.
Quando voc apaga um grupo, voc apaga apenas o grupo e as permisses e
direitos especificando esse grupo como uma entidade de segurana. Apagar
um grupo no deleta os objetos que so membros dele.
293
294
GPOs no-locais
As GPOs no-locais so criadas no AD DS e so linkadas em sites, domnios
ou OUs. Uma vez llinkada em um container, as configuraes da GPO so
aplicadas a todos os usurios e computadores dentro daquele container por
padro.
295
GPOs de incio
As GPOs de incio foram introduzidas no Windows Server 2008. Um GPO de
incio essencialmente um modelo (template) para a criao de GPOs de
domnio baseadas em uma coleo padro de configuraes. Quando voc
cria uma nova GPO a partir de uma GPO de incio, todas as configuraes na
GPO de incio so copiadas para a nova GPO como suas configuraes
padro.
296
297
298
299
Uma vez criadas e editadas suas GPOs de Incio, voc podem criar novas
GPOs a partir delas de muitas maneiras. Voc pode clicar com o boto direito e
selecionar a opo Criar nova GPO a partir de GPO de Incio, ou voc pode
criar uma nova GPO da maneira usual e depois selecionar a GPO de Incio que
deseja usar na lista GPO de Incio de Base. Voc tambm pode usar o cmdlet
New-GPO no Windows PowerShell. Isso copia as configuraes da GPO de
Incio para a nova GPO, que voc pode continuar a editar deste ponto.
300
301
Entender esse estado crtico quando voc est trabalhando com Herana de
Polticas de Grupo e diversas GPOs. Se uma configurao de uma poltica est
desativada no registro por padro e voc tem uma GPO de prioridade menor
que explicitamente habilite essa configurao, voc deve configurar uma GPO
de prioridade maior para desabilitar a configurao se voc quiser retorn-la ao
seu estado padro. Aplicar o estado No Configurado no ir mudar a
configurao, deixando-a ativada.
302
303
304
305
Quando voc considera eventos para auditar, como eventos de logon de conta,
voc deve decidir se quer auditar tentativas bem sucedidas, tentativas de logon
malsucedidas ou ambas. Rastrear eventos bem sucedidos permite determinar
a frequncia com que usurios acessam recursos de rede. Essa informao
pode ser valiosa durante o planejamento do uso dos seus recursos e do
oramento para novos recursos. Rastrear eventos mal sucedidos pode te
ajudar a determinar quando brechas na segurana acontecem ou so tentadas.
Por exemplo, se voc notar tentativas mal sucedidas frequentes de login para
uma conta de usurio especfica, voc pode querer investigar mais a fundo. As
configuraes de polticas disponveis para auditorias so mostradas na figura
abaixo.
306
307
308
Iniciando com o Windows server 2008, novas opes se tornaram disponveis para a
auditoria do AD DS que indicam que uma mudana ocorreu e mostram o valor antigo
e o novo. Por exemplo, se voc mudar a descrio de um usurio de Marketing para
Treinamento, o Log de Eventos dos Servios de Diretrio ir registrar dois eventos
contendo o valor original e o valor novo.
309
310
311
312
313
3. Clique com o boto direito na GPO em que voc quer importar o modelo
e clique em Editar. A janela do Editor de Gerenciamento de Poltica de
Grupo ser aberta.
4. Navegue at o n Configurao do Computador\ Polticas\
Configuraes do Windows \ Configuraes de Segurana. Clique com o
boto direito no n Configuraes de Segurana e selecione a opo
Importar Poltica. A janela de importao de poltica ser exibida.
5. Navegue at o arquivo do modelo de segurana que voc quer importar
e clique em Abrir. A configurao de polticas no modelo so copiadas
para a GPO.
6. Feche o Editor e o Console de Gerenciamento de Poltica de Grupo.
314
Por padro, o Painel de Controle Contas de Usurio cria contas padro. Para
atribuir privilgios administrativos para um usurio local, voc deve mudar o
tipo de conta usando a interface mostrada na figura abaixo.
O que o Painel de Controle Contas de Usurios quer se referir com o termo tipo
de conta na verdade uma questo ser membro de um grupo ou outro.
Selecionar a opo padro adiciona a conta de usurio ao grupo Usurios
Locais, e selecionar a opo Administrador adiciona o usurio ao grupo
Administradores.
315
snap-in por si mesmo ou criar seu prprio MMC com qualquer combinao de
snap-ins que desejar.
Para criar uma conta de usurio local com o snap-in Usurios e Grupos Locais,
use o seguinte procedimento.
1. No Gerenciador do Servidor, no meu Ferramentas, selecione
Gerenciamento do Computador.
2. No console Gerenciamento do Computador, expanda o n Usurios e
Grupos Locais para ver uma lista dos usurios locais atuais.
3. Clique com o boto direito na pasta Usurios e selecione Novo Usurio.
A janela Novo Usurio ser exibida, como vemos abaixo.
316
317
318
319
Configurar o UAC
O Windows Server 2012 R2 habilita o UAC por padro, mas possvel
configurar suas propriedades e mesmo desabilit-lo completamente. No
Windows Server 2012 R2 existem quatro configuraes disponveis atravs do
Painel de Aes no Painel de Controle, como vemos na figura a seguir. As
quatro configuraes so como segue:
Sempre Notificar
Notificar Apenas Quando aplicativos tentarem fazer mudanas no
computador.
Notificar Apenas Quando aplicativos tentarem fazer mudanas no
computador. (No escurecer a tela)
Nunca Notificar
320
Impondo Restries
Antes de criar quaisquer regras que governem a restrio ou permisso de
arquivos executveis, importante entender como as regras funcionam por
padro. Se uma poltica no impe restries, arquivos executveis funcionam
baseados nas permisses que usurios e grupos possuem no sistema de
arquivos NTFS.
Quando considerar o uso de polticas de restrio de software, voc deve
determinar seu mtodo para impor restries. Existem trs estratgias bsicas
para impor restries, como a seguir:
321
322
Existem quatro tipos de regras de restrio de software que voc pode usar
para especificar quais programas podem ou no rodar na sua rede:
Regras de Hash
Regras de Certificados
Regras de Caminhos
Regras de Zonas de Rede
323
Regras de Hash
Um hash um srie de bytes com comprimento fixo que identifica unicamente
um arquivo ou programa. Um valor de hash gerado por um algoritmo que
essencialmente cria uma digital do arquivo, tornando praticamente impossvel
que outro programa tenha o mesmo valor. Se voc criar uma regra de hash e
um usurio tentar executar um programa afetado pela regra, o sistema checa o
valor hash do arquivo executvel e compara-o com um valor de hash
armazenado na poltica de restrio de software. Se os dois valores casarem,
as configuraes da poltica iro ser aplicadas. Portanto, criar uma regra de
hash para uma aplicao impede que ela execute se o valor do hash no
estiver correto. Como o valor do hash baseado no prprio arquivo, o arquivo
continuar funcionando se voc o mudar de local. Se o arquivo executvel for
alterado de qualquer maneira, por exemplo, se for modificado ou alterado por
um vrus, a regra de hash na poltica de restrio de software impedir o
arquivo de ser executado.
Regras de Certificado
Uma regra de certificado usa o certificado digital associado com uma aplicao
para confirmar sua legitimidade. Voc pode usar regras de certificado para
habilitar a execuo de software de uma fonte confivel ou prevenir a execuo
software que no vem de uma fonte confivel. Voc tambm pode usar regras
de certificado para rodar programas em reas no autorizadas no sistema
operacional.
Regras de Caminho
Uma regra de caminho identifica software especificando o caminho de diretrio
onde a aplicao est armazenada no sistema de arquivos. Voc pode usar
regras de caminho para criar excees que permitem uma aplicao ser
executada quando o Nvel Padro de Segurana para polticas de restrio de
software est configurado para Irrestrito.
Regras de caminho podem especificar um local no sistema de arquivos onde
arquivos de programas esto localizados ou uma configurao de caminho de
registro. Regras de caminho de registro se certificam que os executveis da
324
Regras de Hash
Regras de Certificados
Regras de Zona de Rede
Regras de Caminho
325
Quando um conflito ocorre entre tipos de regras, como entre uma regra de
hash e uma regra de caminho, a regra de hash prevalece pois possui
precedncia maior. Se um conflito acontecer entre duas regras do mesmo tipo
com as mesmas configuraes de identificao, como duas regras de caminho
que identificam software do mesmo diretrio, a configurao mais restritiva ir
ser aplicada. Neste caso, se uma das regras de caminho estivesse configurada
para Irrestrito e a outra No Permitido, a poltica iria impor a configurao No
Permitido.
Propriedades de Aplicao
Como vemos na figura abaixo, as propriedades de aplicao permitem
determinar se as polticas se aplicam a todos os arquivos ou se arquivos de
bibliotecas, como arquivos DLL, so excludos. Excluir DLLs o padro. Este
o mtodo mais prtico de aplicao. Por exemplo, se o Nvel de Segurana
Padro para a poltica estiver configurado para No Permitido e as
propriedades de aplicao estiverem configuradas para todos os arquivos, voc
teria de criar uma regra que verificasse todas as DLLs antes do programa ser
permitido ou bloqueado. Em contraste, excluir arquivos DLLs usando a
propriedade padro de aplicao no requer que um administrador defina
regras individuais para cada arquivo DLL.
326
327
Usando o AppLocker
Polticas de restrio de software podem ser uma ferramenta poderosa, mas
elas tambm podem exigir uma grande sobrecarga administrativa. Se voc
decidir desautorizar todas as aplicaes exceto aquelas que coincidem com
regras que voc criou, existem muitos programas no prprio Windows Server
2012 R2 que precisam de regras, alm das aplicaes que voc desejar
328
329
330
331
servios aos seus usurios, algumas dessas portas devem estar abertas pelo
menos por algum tempo, mas administradores de servidores devem se
assegurar que apenas as portas corretas so deixadas abertas.
Um firewall um software que protege um computador ou uma rede permitindo
a entrada e sada de alguns tipos de trfego enquanto bloqueia outros. Um
firewall essencialmente uma srie de filtros que examinam o contedo dos
pacotes de rede e os padres de trfego vindo e saindo da rede para
determinar quais pacotes sero permitidos passar.
O objetivo de um firewall permitir todo o trfego que usurios legtimos
precisam para realizar suas tarefas atribudas e bloquear todo o resto. Note
que quando voc esta trabalhando com firewalls, voc no est preocupado
com assuntos como autenticao e autorizao. Estes so mecanismos que
controlam quem pode passar pelas portas abertas do servidor. o firewall
determina quais portas ficam abertas e quais ficam fechadas.
332
333
334
335
Customizando Configuraes
Muitos dos links na janela do Windows Firewall apontam para o mesmo lugar:
uma caixa de dilogo Customizar Configuraes que contm controles para
alguns das funes mais bsicas do firewall.
A caixa de dilogo Customizar Configuraes, mostrada na figura abaixo,
organizada de acordo com trs reas, correspondendo aos trs perfis em um
computador Windows . o Windows Firewall usa esse perfis para representar o
tipo de rede em que o servidor est conectado. Os perfis so como segue:
336
337
Permitindo Aplicaes
Existem momentos em que administradores podem necessitar modificar as
configuraes do firewall de outras maneiras, tipicamente por uma aplicao
especifica necessitar de acesso a uma porta no antecipada pelas regras
padro do firewall.
Para fazer isso, voc pode usar a caixa de dilogo Aplicativos Permitidos no
painel de controle do Windows Firewall, como mostra a figura abaixo.
338
339
Criar Regras
As aplicaes permitidas que voc configura no painel de controle do Windows
Firewall so um mtodo relativamente amigvel para se trabalhar com regras
de firewall. No console Windows Firewall com Segurana avanada, voc pode
trabalhar com as regras em seu formato cru.
Selecionar Regras de Entrada ou Regras de Sada no painel da esquerda
mostra uma lista de todas as regras que operam nessa direo, como vemos
na figura abaixo. As regras que esto atualmente operacionais possuem uma
marca de visto dentro de um crculo verde; as regras que no esto ativas
ficam indisponveis.
340
Criar novas regras usando essa interface fornece flexibilidade muito maior do
que o painel de controle do Windows Firewall. Quando voc clica com o boto
direito em Regras de Entrada (ou Regras de Sada) e seleciona a opo Nova
Regra, o Assistente Nova Regra de Entrada (ou de Sada) te acompanha pelo
processo de configurao dos seguintes conjuntos de parmetros.
341
342
343
344