Você está na página 1de 344

Microsoft, Active Directory, AppLocker, Bing, BitLocker, DreamSpark, Hyper-V, Internet Explorer,

SQL Server, Visual Studio, Win32, Windows Azure, Windows, Windows PowerShell, Windows
Server, and Windows Vista so marcas registradas ou marcas da Microsoft Corporation nos
Estados Unidos e/ou em outros pases.
Outros nomes de produtos e de empresas mencionados no livro podem ser marcas registradas
de seus respectivos donos.
Os nomes de empresas, organizaes, produtos, nomes de domnio, endereos de e-mail, logos,
pessoas, lugares e eventos retratados aqui so fictcios. Nenhuma associao com empresa,
organizao, produto, nome de domnio, endereo de e-mail, logo, pessoa, lugar ou evento
intencional ou deve ser inferido. Qualquer semelhana mera coincidncia.
O livro expressa as opinies e pontos de vista do autor. A informao contida nesse livro
provida sem nenhuma garantia expressa, estatutria ou implcita. Nem o autor nem a Microsoft
Corporation sero responsabilizados por quaisquer danos causados ou alegados de terem sido
causados diretamente ou indiretamente por este livro.

ndice
1- Instalar e Configurar Servidores ..................................................................................... 4
1.1 - Instalando Servidores .................................................................................................... 4
1.2- Configurar Servidores................................................................................................... 20
1.3- Configurar armazenamento local ............................................................................... 39
2 Configurando Funes e Recursos de Servidor ..................................................... 69
2.1 - Configurar acesso a arquivos e compartilhamentos .......................................... 69
2.2 Configurar servios de impresso e documentos .............................................. 91
2.3 Configurar Servidores para Gerenciamento Remoto ....................................... 112
3 Configurar o Hyper-V .................................................................................................... 125
3.1- Criar e configurar mquinas virtuais ...................................................................... 125
3.2 Criar e Configurar Armazenamento de Mquina Virtual .................................. 149
3.3 Criar e Configurar Redes Virtuais .......................................................................... 165
4- Implantar e Configurar Servios de Rede Essenciais ........................................... 183
4.1 Configurar endereamento IPv4 e IPv6 ................................................................ 183
4.2 Configurar Servidores............................................................................................... 203
4.3 Instalar e Configurar o servio DNS...................................................................... 220
5 Instalar e Administrar o Active Directory. ............................................................... 240
5.1 Instalar Controladores de Domnio ....................................................................... 240
5.2 Criar e Gerenciar Usurios e Computadores do Active Directory ................ 258
5.3 Criar e Gerenciar Grupos e Unidades Organizacionais (OU) do Active
Directory ............................................................................................................................. 277
6 Criar e Gerenciar Polticas de Grupo ....................................................................... 294
6.1 Criar Objetos de Polticas de Grupo ..................................................................... 294
6.2 Configurar Polticas de Segurana........................................................................ 305
6.3 - Configurar polticas de restrio de aplicao .................................................. 321
6.4 Configurar o Firewall do Windows ........................................................................ 331

1- Instalar e Configurar Servidores


Instalar novos servidores Windows na sua rede no deve ser algo feito por
acaso, voc deve planejar a instalao com antecedncia. Entre outras coisas
voc deve decidir se vai instalar a interface grfica (GUI) completa ou se vai
usar a opo Server Core (pode ser traduzida aproximadamente como
somente linha de comando), qual ser a sua estratgia de virtualizao, e quais
funes voc pretende implementar no servidor. Se voc est instalando o
Windows Server 2012 R2 pela primeira vez num hardware, voc tambm
precisa decidir se vai coloc-lo no seu ambiente de produo ou em um
ambiente de testes.
Este artigo discute o processo de instalao do Windows Server 2012 R2
usando a opo de nova instalao e de atualizao alm das configuraes
que voc vai precisar fazer logo aps a instalao. Por fim, considera a
configurao de vrios tipos de diferentes tecnologias de discos (HDs) usados
para armazenamento local e a implementao de funes em servidores por
todo o seu ambiente.
Objetivos deste captulo:
1. Instalar Servidores
2. Configurar Servidores
3. Configurar armazenamento local

1.1 - Instalando Servidores


Instalao um tpico chave e sempre foi muito testado em exames anteriores
do Windows Server. O que continua no exame 70-410. Este item discute o
planejamento da instalao do Windows Server 2012 R2. Aborda os requisitos
de pr-instalao e como voc pode preparar seu hardware para instalao.
Tambm considera as funes de servidor que voc pode implementar durante
a instalao.
Para revisar os tpicos deste item, esta seo ir passar por uma instalao do
Windows Server 2012 R2 com a opo Server Core e descrever como os
Recursos sob Demanda (em ingls Features on Demand) te permite otimizar
recursos removendo todos os arquivos relacionados com funes e recursos
de servidor. Este item tambm aborda as opes existentes para atualizar um
servidor rodando o Windows Server 2008 ou Windows Server 2008 R2 para o
Windows Server 2012 R2 e como migrar funes em um servidor em produo
para um servidor novo.

Planejando uma instalao de servidor


Em verses anteriores ao Windows Server 2008 R2, o planejamento de uma
instalao podia ser uma tarefa bem complexa. Voc tinha que decidir
intuitivamente qual edio do sistema operacional instalar, se iria usar a verso
32 ou 64 bits, e se iria instalar o servidor no modo Server Core ou se usaria a
interface grfica completa. Todas essas decises afetavam os requisitos de
hardware e cada uma delas era irrevogvel. Para mudar a edio, a plataforma
ou a interface, voc tinha que reinstalar o servidor do zero.
Com o Windows Server 2012, voc tem bem menos opes para escolher e
bem menos decises de instalao para fazer. Desde o Windows Server 2008
R2, no existe mais a opo 32 bits; apenas a verso 64 bits est disponvel,
refletindo o fato de que a maioria das aplicaes mais populares so 64 bits e
que as configuraes de servidores modernos esto em hardware que requer
64 bits. Existem 4 opes do Windows Server 2012 R2 para escolher, duas a
menos que o Windows Server 2008 R2. As opes Server Core e Interface
grfica completa (full GUI) permanecem, junto com uma terceira opo
chamada Interface Mnima de Servidor. Entretanto, agora possvel trocar
entre essas opes sem ter que reinstalar o servidor em cada vez.
Selecionando uma edio do Windows Server 2012 R2
A Microsoft lana todos os seus sistemas operacionais em vrias verses, que
entregam aos clientes vrias opes de preos com diferentes conjuntos de
recursos. Quando estiver planejando uma implementao de servidor, a edio
do sistema operacional que voc escolher deve se basear em diversos pontos,
incluindo os seguintes:
As funes que voc pretende instalar;
A estratgia de virtualizao que voc pretende implementar;
A estratgia de licenciamento que voc planeja usar.
Comparado ao Windows Server 2008, a Microsoft simplificou o processo de
escolha de uma edio de servidor reduzindo o nmero de produtos
disponveis. Assim como o Windows Server 2008 R2, o Windows Server 2012
R2 requer um processador com arquitetura de 64 bits. Todas as verses 32 bits
foram eliminadas e os processadores Itanium no so mais suportados. Isto
deixa o Windows Server 2012 R2 com as seguintes edies:
Windows Server 2012 R2 Datacenter. A edio Datacenter foi
desenhada para servidores grandes e potentes com at 64
processadores e inclui funcionalidades de tolerncia a falhas como
suporte a adicionar processadores a quente (hot add), ou seja, sem
desligar o servidor. Como resultado, essa verso s est disponvel

atravs do programa Microsoft de licenciamento por volume e


incorporada em servidores OEM (de fabricantes parceiros).
Windows Server 2012 R2 Standard. A edio Standard inclui todos os
recursos disponveis do Windows Server 2012 R2, diferindo da verso
Datacenter apenas no nmero de mquinas virtuais (virtual machine
VM) permitidas pela licena.
Windows Server 2012 R2 Essentials. A edio Essentials inclui quase
todos os recursos disponveis nas verses Datacenter e Essentials, no
inclui a opo Server Core, o gerenciador de virtualizao Hyper-V e os
servios de Federao do Active Directory. A edio Essentials em uma
nica instncia seja ela fsica ou virtual e para no mximo 25 usurios.
Windows Server 2012 R2 Foundation. A edio Foundation uma
verso reduzida do sistema operacional; foi desenhada para pequenos
negcios que precisam apenas dos recursos bsicos de servidor como
servios de arquivos e de impresso e suporte aplicaes. A edio
Foundation vem pr-instalada no hardware de novos servidores, no
inclui direito virtualizao e limitada a 15 usurios.
O preo de cada edio proporcional aos recursos disponveis. Obviamente o
objetivo dos administradores que planejam a implementao de um novo
servidor de adquirir a edio com o maior custo-benefcio que preencha as
suas necessidades. As prximas sesses iro examinar as diferenas
principais entre as verses do Windows Server 2012 R2.
Suporte Funes de Servidor
O Windows Server 2012 R2 inclui combinaes pr-definidas de servios
chamadas Funes, as quais implementam funcionalidades comuns de
servidor. Computadores rodando o sistema operacional Windows Server 2012
R2 podem executar uma grande variedade de tarefas, usando tanto o software
incluso no produto quanto aplicaes de terceiros. Depois que voc instala o
Windows Server 2012 R2, voc pode usar o Gerenciador do Servidor ou o
Windows Powershell para instalar um ou mais funes neste servidor.
Algumas das edies do Windows Server 2012 R2 incluem todas as funes
disponveis, enquanto que outras incluem apenas parte destas. Selecionar a
edio do Windows Server 2012 R2 mais apropriada sempre foi uma questo
de antecipar as funes que o servidor deve realizar. Um tempo atrs esse era
um processo relativamente simples. Voc planejava suas implementaes
decidindo quais servidores seriam controladores de domnio (domain
controllers - DC), quais seriam servidores de certificados, quais usariam o
cluster tolerante falhas (failover cluster) e assim por diante. Uma vez tomadas
essas decises voc estava pronto porque as funes de servidor eram na sua
maioria estticas.

Com o aumento do foco em virtualizao no Windows Server 2012 R2,


entretanto, mais administradores so forados a considerar no somente quais
funes um servidor deve realizar no momento da implantao mas tambm
quais funes o servidor pode ter de realizar no futuro.
Usando servidores virtualizados voc pode modificar a estratgia do seu
servidor de rede como desejar para acomodar cargas de trabalho dinmicas e
requisitos de negcio ou se adaptar circunstncias imprevistas. Sendo assim,
o processo de antecipar as funes que um servidor ir realizar deve levar em
conta uma possvel expanso do negcio alm de possveis necessidades
emergenciais.

Suporte Virtualizao
As edies Windows Server 2012 R2 Datacenter e Standard incluem suporte
ao Hyper-V, porm cada verso difere no nmero de VMs permitidas por sua
licena. Cada instncia rodando do Windows Server 2012 R2 pode ser
classificada como um ambiente de sistema operacional fsico ou virtual.
Quando voc compra uma licena do Windows Server 2012 R2, voc pode
efetuar uma instalao fsica do sistema operacional como sempre. Aps
instalar a funo do Hyper-V voc pode criar VMs e realizar instalaes
virtuais. O nmero de instalaes virtuais permitidas por sua licena depende
da edio que voc comprou conforme tabela abaixo.
Edio
Datacenter
Standard
Essentials
Foundation

Instncias fsicas
1
1
1(fsica ou virtual)
1

Instncias virtuais
Ilimitadas
2
1(fsica ou virtual)
0

Lembrete: As limitaes da tabela acima se referem licena e no ao


software em si, voc pode criar mais de 2 VMs na edio Standard do
Windows Server 2012 R2, porm voc deve comprar licenas adicionais para
estar legalizado.

Dica de exame: O exame 70-410 contm questo sobre licenciamento onde


voc ter que descobrir quantas cpias do Windows sero necessrias para
um nmero particular de maquinas virtuais no Hyper-V e qual verso do
Windows atenderia aos requisitos mantendo o maior custo-benefcio

Licenciamento de Servidores
A Microsoft prov diversos canais de vendas para licenas do Windows Server
2012 R2, e nem todas as edies esto disponveis em todos os canais.
Licenciar o Windows Server 2012 R2 inclui comprar licenas para os servidores
e clientes, e existem diversas opes para cada um.
Se voc j tem um acordo de licena com a Microsoft, voc j deve estar ciente
das edies que esto disponveis para voc neste acordo. Se voc no
souber, deve procurar se informar antes de decidir por uma edio de servidor.
A tabela abaixo mostra os canais de venda que voc pode usar para comprar o
Windows Server 2012 R2.
Varejo
Datacenter
Standard
Essentials
Foundation

No
Sim
Sim
Sim

Licenciamento
por Volume
Sim
Sim
Sim
No

Fabricantes OEM
Sim
Sim
Sim
Sim

Requisitos de Instalao
As especificaes mnimas de hardware para o Windows Server 2012 R2 so:
o
o
o
o
o
o

Processador 64 bits de 1.4 Ghz


512MB de memria RAM
32GB de espao em disco disponvel
Monitor que suporte resoluo 1024x768 ou superior
Teclado e mouse
Acesso Internet

32GB de espao em disco deve ser considerado como o mnimo absoluto. A


partio de sistema ir precisar de espao extra se voc instalar o sistema a
partir da rede ou se tiver mais de 16GB de memria RAM instalada. O espao
adicional necessrio para a paginao, hibernao e arquivos de despejo. Na
prtica dificilmente voc ir ver um computador com 32GB de RAM e apenas
32GB de espao em disco. Caso acontea voc deve liberar mais espao em
disco ou ento investir em mais hardware de armazenamento.
Como parte da nfase crescente da Microsoft em virtualizao e computao
na nuvem em seus produtos de servidor, ela aumentou significativamente as
capacidades mximas de hardware gerenciado pelo Windows Server 2012 R2
como voc pode perceber abaixo.

Processadores
Memria RAM
Ns de cluster

Windows Server 2012 R2


640
4 TB
64

Windows Server 2008 R2


256
2 TB
16

Escolhendo uma opo de instalao


Muitas redes empresariais hoje em dia usam servidores dedicados a uma
funo especfica. Quando um servidor est realizando apenas uma funo,
no faz sentido ter outros processos rodando que no participam em nada ou
quase nada nesta funo. No Windows Server 2012 R2 existem opes de
instalao que permitem aos administradores manterem os recursos
desnecessrios instalados no mnimo.
Usando o Server Core
O Windows Server 2012 R2 inclui uma opo de instalao que minimiza a
interface do usurio num servidor. Quando voc seleciona a opo de
instalao do Server Core, voc instalar uma verso reduzida do sistema
operacional. No possui o menu Iniciar, nem o explorer, nem nenhum console
MMC e praticamente nenhuma aplicao grfica. Tudo o que voc v quando
inicia o sistema uma tela de prompt de comando como na imagem abaixo.

O Server Core no um produto separado ou edio do Windows Server.


uma opo de instalao includa nas verses Standard e Datacenter do
Windows Server 2012 R2.

Existem vrias vantagens em usar a opo Server Core:

Conservao de recursos de hardware. O uso do Server Core elimina


alguns dos elementos que usam mais processador e memria no
Windows Server 2012 R2, permitindo que esses recursos sejam usados
pelos servios que realmente importam.
Espao em disco reduzido. O Server Core requer menos espao em
disco para os elementos instalados do sistema operacional alm de
precisar de menos espao de swap, os quais maximizam a utilizao
dos recursos de armazenamento do servidor.
Frequncia de patches reduzida. Os elementos grficos do Windows
Server 2012 R2 esto entre os mais atualizados, ento usando o Server
Core os administradores tem um nmero reduzido de atualizaes para
aplicar. Menos atualizaes implica em menos reinicializaes e por
consequncia maior tempo em operao.
Superfcie de ataque reduzida. Quanto menos software estiver
rodando no computador, menor o nmero de pontos de entrada para
hackers atacarem. O Server Core reduz as potenciais aberturas
apresentadas pelo sistema operacional, aumentando assim a
segurana.

Na primeira vez que a Microsoft apresentou o Server Core no Windows Server


2008, a ideia mostrou-se intrigante, mas poucos administradores aproveitaramse dela. A razo principal para isso que a maioria dos administradores no
estavam suficientemente acostumados com a interface de linha de comando
que usada para gerenciar o Windows Server sem uma GUI.
No Windows Server 2008 e no Windows Server 2008 R2, a deciso de instalar
o sistema operacional usando o Server Core no poderia ser revertida
posteriormente. Uma vez instalado o sistema operacional na opo Server
Core, no existia como voltar a usar a interface de usurio completa sem
passar por uma nova instalao. Essa situao est totalmente mudada no
Windows Server 2012 e Windows Server 2012 R2. Agora voc pode mudar
entre as opes Server Core e interface de usurio completa de acordo com
sua necessidade, usando apenas comandos do Powershell.
Entraremos nos detalhes desta operao nos posts seguintes desta srie
quando falarmos sobre Configurar Servidores.
Esta habilidade significa que o administrador pode instalar o Windows Server
2012 R2 normalmente com a interface de usurio completa, configurar o
servidor todo com as ferramentas grficas que j est acostumado e depois de
tudo pronto s trocar para a opo Server Core antes de colocar o servidor em
produo para aproveitar das vantagens listadas anteriormente.

10

Padres do Server Core


No Windows Server 2012 R2, o Server Core a opo de instalao padro
por razes alm de simplesmente permitir o administrador trocar de opo
aps a instalao. No Windows Server 2012 R2, a Microsoft est tentando
mudar fundamentalmente o jeito que os administradores trabalham em seus
servidores. Server Core a opo padro agora pelo fato de que no novo jeito
de gerenciar servidores, os administradores deveriam raramente ter que
trabalhar no console do servidor, seja fisicamente presente ou remotamente.
O Windows Server tem sido capaz de administrao remota a muito tempo,
porm essa capacidade era fragmentada. Alguns consoles MMC (Microsoft
Management Console) permitiam os administradores conectarem a outros
servidores remotamente e o Windows Powershell 2.0 proveu alguma
capacidades de acesso remoto a partir da linha de comando, mas o Windows
Server 2012 R2, pela primeira vez, inclui ferramentas completas para
administrao remota que praticamente eliminam a necessidade de trabalhar
no console do servidor.
A nova aplicao de Gerenciador do Servidor no Windows Server 2012 R2
permite que os administradores adicionem servidores de toda a organizao e
criem grupos de servidores para facilitar a configurao simultnea de vrios
servidores. O novo Windows PowerShell 4.0 aumenta o nmero de cmdlets
(comandos do Powershell) de 230 para mais de 2 mil.
Com ferramentas como essas, voc pode instalar seus servidores na opo
Server Core, executar alguns comandos para adicionar cada servidor ao
domnio do Active Directory e ento nunca mais tocar no console do servidor
novamente. Voc pode realizar todas as tarefas de administrao
subsequentes, incluindo a instalao e configurao de funes e
funcionalidades, atravs do Server Manager (Gerenciador do Servidor) e do
Powershell.

Capacidades do Server Core


Alm de omitir a maior parte da interface grfica, uma instalao Server Core
omite algumas funes de servidor encontradas na verso com interface
completa. Entretanto, a opo Server Core do Windows Server 2012 R2 inclui
12 das 19 funes, mais o suporte ao SQL Server 2012, em comparao as 10
funes disponveis no Windows Server 2008 R2 e 9 no Windows Server 2008.
A tabela abaixo mostra as funes e recursos que esto e as que no esto
disponveis numa instalao Server Core do Windows Server 2012 R2.

11

Funes disponveis no Server


Core
Servios de Certificado do Active
Directory
Servios de domnio do Active
Directory
Servios de Diretrio do Active
Directory Lightweight
Active Directory Rights Management
Services
Servidor DHCP
Servidor DNS
Servios de arquivo e
armazenamento
Hyper-V
Servios de Impresso e Documentos
Acesso Remoto
Servidor Web (IIS)
Windows Server Update Services

Funes indisponveis no Server


Core
Servios de Federao do Active
Directory
Servidor de Aplicao (obsoleto)
Servidor de Fax
Servios de Acesso e Poltica de
Rede
Gateway de rea de Trabalho
Remota
Host da Sesso da rea de Trabalho
Remota
Acesso via Web rea de Trabalho
Remota
Servios de ativao de volume
Servios de Implantao do Windows

Interface Mnima de Servidor


Se as vantagens do Server Core parecem tentadoras, mas existem algumas
ferramentas de administrao que voc no quer largar, o Windows Server
2012 R2 possui uma 3 opo de interface chamada Interface Mnima de
Servidor.
A Interface Mnima de Servidor uma configurao que remove a maioria dos
elementos que exigem mais hardware da interface grfica. Estes elementos
incluem o Internet Explorer e os componentes do shell do Windows, incluindo a
rea de trabalho (rea de trabalho), o Explorador de arquivos e os aplicativos
de rea de trabalho do Windows 8. No painel de controle tambm so omitidos
itens implementados como extenses do shell, incluindo os seguintes:

Programas e Recursos;
Central de Rede e Compartilhamento;
Dispositivos e Impressoras;
Vdeo;
Firewall;
Atualizao do Windows;
Fontes
Storage Spaces.

12

O que resta na Interface Mnima de Servidor o Gerenciador do Servidor, o


MMC, o Gerenciador de Dispositivos e a interface completa do Windows
Powershell. Isto prove aos administradores com a maioria das ferramentas que
precisam para gerenciar servidores locais e remotos.
Para configurar uma instalao do Windows Server 2012 R2 com a interface
completa para a Interface Mnima de Servidor, voc deve remover o recurso
Shell Grfico do Servidor atravs do Powershell ou do Assistente Remover
funes e recursos dentro do Gerenciador do Servidor conforme imagem
abaixo.

Recursos sob Demanda


Durante uma instalao do Windows Server 2012 R2, o programa de instalao
copia os arquivos de todos os componentes do sistema operacional da mdia
de instalao para um diretrio chamado WinSxS, que se refere loja de
componentes lado a lado. Isso serve para voc poder ativar qualquer recurso
includo no Windows Server 2012 R2 sem precisar fornecer uma mdia se
instalao.
O nico problema com esta abordagem que o diretrio WinSxS ocupa
permanentemente 5GB de espao em disco, muito do qual na maioria dos
casos nunca ser usado aps a implantao inicial do servidor.
Com o uso crescente de VMs para distribuir as funes de servidor, redes
corporativas normalmente tem mais cpias do sistema operacional do que

13

jamais antes tiveram, e por consequncia tem mais espao em disco


desperdiado. Alm disso, as tecnologias avanadas de armazenamento
usadas nas infraestruturas atuais, como as redes locais de armazenamento
(storage rea network SAN) e discos de estado slido (SSD), esto fazendo o
espao em disco ficar mais caro.
Recursos sob Demanda, apresentado no Windows Server 2012, um terceiro
estado para cada recurso no Windows Server 2012 R2. Nas verses anteriores
ao Windows Server 2012, os recursos poderiam estar apenas habilitados ou
desabilitados. Recursos sob Demanda agora permite 3 estados: Habilitado,
Desabilitado e Desabilitado com Carga Removida.
Para implementar esse terceiro estado, voc deve usar o comando Poweshell
(cmdlet) Unistall-WindowsFeature, que agora tem um novo flag (parmetro)
Remove. Sendo assim o comando Powershell para remover o Shell Grfico do
Servidor junto com todos os seus arquivos do diretrio WinSxS seria:
Uninstall-WindowsFeature Server-Gui-Shell -Remove

Uma vez deletados os arquivos de um recurso do diretrio WinSxS eles no


esto irrecuperveis. Se voc tentar habilitar esse recurso novamente, o
sistema ir descarreg-lo do Windows Update, ou, alternativamente, copi-lo
de um arquivo de imagem que voc especificar informando o parmetro
Source com o comando Unistall-WindowsFeature, Isso te permite recuperar os
arquivos de um disco removvel ou arquivo de imagem na rede. Voc tambm
pode usar Polticas de Grupo para especificar uma lista de origens de
instalao.
Essa habilidade de descarregar arquivos fonte de outro local na rede
especificamente o que a Microsoft se refere como Recursos sob Demanda. A
Microsoft geralmente usa esse mtodo para diminuir o tamanho das
atualizaes baixadas pela Internet. Quando o usurio instala a atualizao, o
programa descarrega os arquivos adicionais necessrios e completa a
instalao.

Atualizando Servidores
Uma atualizao in-loco (no prprio servidor que est em operao) a forma
mais complicada de instalao do Windows Server 2012 R2. tambm a mais
demorada e com maior probabilidade de causar problemas durante a
instalao. Sempre que possvel, a Microsoft recomenda que os
administradores executem uma nova instalao ou migrem as funes,
aplicaes e configuraes necessrias.

14

Embora instalaes in-loco normalmente terminem sem problemas, a


complexidade do processo de atualizao e o grande nmero de variveis
envolvidas significam que muitas coisas podem dar errado. Para minimizar os
riscos envolvidos, importante que voc leve a srio o processo de
atualizao, prepare o sistema antecipadamente e tenha a habilidade de
resolver quaisquer problemas que possam aparecer.

Caminhos de atualizao
Os caminhos de atualizao do Windows Server 2012 R2 so limitados. Na
verdade, mais fcil dizer quando voc pode fazer a atualizao do que
quando voc no pode. Se voc tem um computador 64 bits rodando o
Windows Server 2008 ou Windows Server 2008 R2 voc pode atualizar para o
Windows Server 2012 R2 desde que voc escolha a verso apropriada.
O Windows Server 2012 R2 no suporta os seguintes casos:

Atualizar verses anteriores ao Windows Server 2008


Atualizar a partir de verses pr-RTM do Windows Server 2012 R2
Atualizar a partir de verses rea de trabalho do Windows
Atualizao entre plataformas, como um Windows Server 2008 32 bits
para o Windows Server 2012 R2 (que 64 bits)
Atualizao a partir de verses para o processador Itanium
Atualizao de sistemas usando linguagens diferentes

Em qualquer destes casos o programa de instalao no permitir que a


instalao continue.

Preparando para uma atualizao


Antes de comear uma atualizao no prprio servidor que est rodando uma
verso anterior do Windows Server para o Windows Server 2012 R2, voc
deve realizar um nmero de procedimentos preliminares para garantir que o
processo se desenrole tranquilamente e que os dados sejam protegidos.
Considere as seguintes questes antes de realizar qualquer atualizao para o
Windows Server 2012 R2:

Checar a compatibilidade de hardware. Tenha certeza de que o


servidor atende os requisitos mnimos de hardware do Windows Server
2012 R2.
Checar o espao em disco. Certifique-se de que h espao em disco
suficiente na partio em que o sistema operacional antigo est

15

instalado. Enquanto a instalao est acontecendo, necessrio espao


em disco suficiente para os 2 sistemas. Depois que a atualizao estiver
completa delete os arquivos antigos para liberar algum espao em disco.
Confirmar que o software assinado. Todos os softwares que rodam
em modo kernel, incluindo drivers de dispositivos, devem ser assinados
digitalmente caso contrrios o software no ser carregado. Isso pode
resultar num processo de atualizao abortado, em falhas de hardware
aps a atualizao ou numa falha de inicializao do sistema aps a
atualizao. Se voc no conseguir localizar uma atualizao para a
aplicao ou driver que assinado, ento voc deve desinstalar o
software ou driver antes de prosseguir com a atualizao.
Salvar drivers de dispositivo em mdia removvel. Se um fabricante
fornecer um driver separado para um dispositivo do seu servidor, salve o
driver em um CD, DVD ou mdia removvel como um pendrive na pasta
raiz ou no diretrio /amd64. Para usar o driver durante a instalao
clique em Carregar Driver ou pressione F6 na tela de seleo de disco.
Voc pode navegar entre as pastas para localizar o driver ou pode
deixar o programa de instalao procurar na mdia.
Checar compatibilidade de aplicao. O programa de instalao
mostra um relatrio de compatibilidade que pode te notificar de qualquer
problema de compatibilidade. Voc pode s vezes resolver esses
problemas atualizando ou instalando uma nova verso da aplicao com
problemas. Crie um inventrio dos produtos de software instalados no
servidor e cheque os websites dos fabricantes por atualizaes, novas
verses disponveis ou anncios sobre o suporte ao Windows Server
2012 R2. Num ambiente corporativo, voc deve testar todas as
aplicaes para ver se so compatveis com o Windows Server 2012 R2,
no importando o que o fabricante diga, antes de realizar qualquer
atualizao no sistema operacional.
Assegurar funcionamento apropriado. Assegure-se de que o
Windows Server 2008 ou Windows Server 2008 R2 est funcionando
normalmente no servidor antes de iniciar o processo de instalao. Voc
deve iniciar uma atualizao in-loco (no local) a partir do sistema
operacional atual, ento voc no pode contar com o Windows Server
2012 R2 para corrigir quaisquer problemas que possam impedir o
computador de inicializar ou de iniciar o programa de instalao.
Realizar um backup completo. Antes de realizar qualquer
procedimento de atualizao, voc deve fazer uma cpia de segurana
de todo o servidor, ou no mnimo, dos arquivos de dados crticos. O seu
backup deve incluir todos os dados e configuraes que so necessrios
para o computador alvo funcionar. Quando voc realizar o backup,
certifique-se de incluir as parties do sistema e de boot alm dos dados
de estado do sistema. Discos rgidos removveis tornam esse processo

16

mais fcil, mesmo que no exista um dispositivo especifico para backup


no computador.
Desabilitar software antivrus. Software de proteo contra vrus
podem tornar a instalao bem mais devagar j que verificam cada
arquivo copiado para o computador. Se instalado, voc deve desabilitar
esse aplicativo antes de executar a atualizao.
Desconectar dispositivos UPS. Se voc tiver um banco de baterias
UPS (Uninterruptible Power Supply) conectado ao seu computador,
desconecte o cabo de dados antes de realizar a atualizao. O
programa de atualizao tenta detectar todos os dispositivos
conectados. Equipamento UPS pode causar problemas para este
processo.
Comprar a edio correta do Windows Server 2012 R2. Certifique-se
de comprar a edio correta do Windows Server 2012 R2 para a
atualizao e de ter o disco de instalao e a chave do produto em
mos.

Durante o processo de atualizao, quando o sistema reinicia, o menu de boot


d a opo de voltar ao sistema operacional anterior. Entretanto uma vez
concludo o processo, esta opo no est mais disponvel e no mais
possvel desinstalar o Windows Server 2012 R2 para reverter ao sistema
operacional anterior.

Migrando Funes de Servidor


A migrao maneira preferida para substituir um servidor em operao por
outro com o Windows Server 2012 R2. Ao contrrio da atualizao in-loco, uma
migrao copia informao vital de um servidor para outro rodando uma nova
instalao do Windows Server 2012 R2.
Em uma migrao, quase todas as restries tratadas anteriormente
relacionadas atualizao no se aplicam mais. Usando as Ferramentas de
Migrao do Windows Server (Windows Server Migration Tools) e os guias de
migrao fornecidos com o Windows Server 2012 R2, voc pode migrar dados
entre servidores sob quaisquer das circunstncias abaixo:

Entre verses. Voc pode migrar dados a partir de qualquer verso do


Windows Server desde o Windows Server 2003 SP2 at o Windows
Server 2012 R2. Isso inclui migraes de um servidor rodando o
Windows Server 2012 R2 para outro.
Entre plataformas. Voc pode migrar dados de um servidor 32 bits ou
64 bits para outro servidor 64 bits rodando o Windows Server 2012 R2.
Entre edies. Voc pode migrar dados entre servidores rodando
diferentes edies do Windows Server.

17

Entre instncias fsicas e virtuais. Voc pode migrar dados de um


servidor fsico para um virtual ou o contrrio.
Entre opes de instalao. Voc pode migrar dados de um servidor
para outro, mesmo quando um servidor est na opo Server Core e o
outro est com a interface grfica completa.

Migraes em servidores so diferentes de quaisquer migraes que voc


possa ter feito em estaes de trabalho. Ao invs de fazer um nico
procedimento de migrao que copia todos os dados de usurios de um
computador de origem para um computador de destino de uma nica vez,
numa migrao de servidor voc migra funes de servidor ou servios de
funes de servidor individualmente.
O Windows Server 2012 R2 inclui uma coleo de guias de migrao que
trazem instrues individualizadas para cada funo de servidor suportada pelo
Windows Server 2012 R2. Algumas funes requerem o uso do aplicativo
Ferramentas de Migrao do Windows Server (Windows Server Migration
Tools) e outras no.

Instalando as Ferramentas de Migrao do Windows Server


Ferramentas de Migrao do Windows Server (Windows Server Migration
Tools) um recurso do Windows Server 2012 R2 composto por cmdlets do
Microsoft Powershell e arquivos de ajuda que possibilitam administradores
migrar certas funes entre servidores.
Antes de poder usar as Ferramentas de Migrao do Windows Server voc
deve instalar o recurso Ferramentas de Migrao do Windows Server no
servidor de destino com o Windows Server 2012 R2 e ento copiar a verso
apropriada das ferramentas para o servidor de origem.
As Ferramentas de Migrao do Windows Server so um recurso padro que
pose ser instalado no Windows Server 2012 R2 a partir do Wizard (tela passo a
passo) Adicionar Funes e Recursos dentro do Gerenciador do Servidor
conforme figura abaixo ou do cmdlet Powershell Install-WindowsFeature.

18

Usando os guias de migrao


Uma vez instalado o recurso Ferramentas de Migrao do Windows Server nos
servidores de origem e destino, voc pode proceder para a migrao de dados
entre os dois.
Com o uso das Ferramentas de Migrao do Windows Server, administradores
podem migrar certas funes, recursos, configuraes de sistema operacional,
e outros dados do servidor de origem para o servidor de destino rodando o
Windows Server 2012 R2. Algumas funes requerem o uso das Ferramentas
de Migrao do Windows Server, enquanto que outros que possuem
capacidades internas de comunicao no precisam deste recurso.
No existe um procedimento nico para migrar todas as funes do Windows
Server, independente de possurem sua ferramenta prpria de migrao ou
no. No lugar, a Microsoft prov guias de migrao para funes individuais,
em alguns casos, providencia guias de migrao detalhados para servios de
funes de servidor dentro de uma Funo de Servidor.
Os guias de migrao atualizados se encontram no Portal de Migrao do
Windows Server neste link https://technet.microsoft.com/en-us/library/jj134039
(em ingls ).

19

1.2- Configurar Servidores


Um servidor raramente est pronto para realizar todas as tarefas que voc
planejou logo aps o trmino da instalao. Tipicamente alguma configurao
ps-instalao necessria aps o servidor entrar em operao.

Tarefas Ps-instalao
Como parte da nova nfase em servios baseados na nuvem dentro das
infraestruturas de redes Microsoft, o Windows Server 2012 R2 contm uma
variedade de ferramentas que foram incrementadas para facilitar uma maior
capacidade de gerenciamento remoto do servidor.
Por exemplo, o novo Gerenciador do Servidor, feito para fazer com que os
administradores gerenciem servidores sem terem que interagir diretamente
com o console, fisicamente ou remotamente. Entretanto, existem algumas
tarefas que os administradores podem ter que realizar imediatamente aps a
instalao que exigem acesso direto ao console do servidor:

Configurar conexes de rede


Ajustar o fuso horrio
Habilitar a rea de trabalho Remota
Renomear o computador
Entrar em um domnio

Ferramentas de interface grfica


No Windows Server 2012 R2, o bloco Propriedades dentro do Gerenciador do
Computador, como mostra a figura abaixo, entrega a mesma funcionalidade da
tela de Tarefas de Configurao Inicial das verses anteriores do Windows
Server. Para completar qualquer uma ou mesmo todas as tarefas de psinstalao num Windows Server 2012 R2 com interface grfica completa, voc
pode usar as ferramentas no bloco de Propriedades, diretamente no console ou
atravs da rea de trabalho Remota.

20

O item Ethernet na tela de propriedades especifica a situao atual da interface


de rede do computador. Se houver um servidor DHCP na rede, o servidor j ir
ter recebido um endereo IP e outras configuraes e j ter configurado a
interface de rede com eles. Se no tiver um servidor DHCP na rede, ou se voc
deve configurar o servidor com um endereo IP esttico, clique no link
Ethernet para exibir a janela de Conexes de Rede de dentro do Painel de
Controle. Voc pode ento abrir a aba Propriedades de Ethernet e a aba de
propriedades do item Protocolo TCP/IP Verso 4 (TCP/IPv4) onde voc pode
configurar o cliente TCP/IP.
essencial que o relgio do computador esteja preciso e correto para o bom
funcionamento da comunicao dos Servios de Domnio do Active Directory.
Se o servidor estiver localizado num outro fuso horrio diferente da zona do
Pacfico que o padro, clique no link Fuso Horrio para abrir a caixa de
dilogo de Data e Hora, onde voc pode corrigir a configurao.
Por padro o Windows Server 2012 R2 no permite conexes de rea de
Trabalho remota. Para habilit-las, clique no link rea de trabalho Remota para
abrir a aba Remoto da tela de propriedades do Sistema.
Numa instalao manual do sistema operacional, o programa de instalao do
Windows d ao computador um nome nico que inicia com WIN. Para mudar o
nome do computador e uni-lo um domnio , clique no link Nome do
computador para abrir a tela de Propriedades do sistema e clique no boto
Alterar para abrir a caixa de dilogo Alteraes de Nome/Domnio do
Computador.

21

Ferramentas de linha de comando


Se voc selecionou a opo Server Core durante a instalao do Windows
Server 2012 R2, voc pode efetuar as mesmas tarefas de ps-instalao a
partir da linha de comando. No mnimo voc ter de renomear o computador e
adicion-lo a um domnio. Para fazer isso voc pode usar os comandos
sconfig ou netdom.
Para renomear um computador use o comando netdom da seguinte forma:
netdom renamecomputer %nomedocomputador% /NewName:
<novonomedocomputador>
Depois voc ter que reiniciar o computador para as mudanas tomarem efeito,
voc pode usar o comando shutdown /r
Em seguida para adicionar o computador um domnio use o comando netdom
da seguinte forma:
netdom join %nomedocomputador% /domain: <NomedoDominio>
/userd: <nomedoUsuario> /passwordd:*
Neste comando o uso do * depois do parmetro passwordd faz com que a
senha seja requisitada logo em seguida.
Estes comandos assumem que um servidor DHCP j configurou o cliente
TCP/IP do computador. Se esse no for o caso, voc deve configur-lo
manualmente antes de poder entrar num domnio. Para configurar um IP
esttico em um computador usando o Server Core, voc pode usar o comando
netsh ou o cmdlet New-NetIPAddress no Windows Powershell.

Converso entre Server Core e Interface Completa


No Windows Server 2012 R2 voc pode converter uma instalao com
interface completa para a opo Server Core e adicionar a interface grfica de
usurio em uma instalao usando o Server Core. Esta foi uma das melhorias
mais significativas para o Server Core em comparao com o Windows Server
2008 R2, no qual voc s poderia trocar a interface realizando uma nova
instalao.
Com essa capacidade, administradores podem instalar servidores com
interface completa, utilizar ferramentas grficas para efetuar todas as
configuraes necessrias e depois deixar o servidor em modo Server Core
para coloc-lo em produo. Se depois se tornar necessrio, pode-se reinstalar
os componentes grficos.

22

Para converter uma instalao do Windows Server 2012 R2 com interface


completa em Server Core atravs do Gerenciador do Servidor, voc pode
executar o Assistente Remover Funes e Recursos e desinstalar os seguintes
recursos:

Graphical Management Tools And Infrastructure Ferramentas Grficas


de Gerenciamento e Infraestrutura
Server Graphical Shell Shell Grfico de Servidor

Para adicionar a interface grfica completa em uma instalao Server Core,


voc deve usar o Windows Powershell para instalar os mesmos recursos que
foram removidos no procedimento anterior. Voc usar o seguinte comando:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell Restart
Para converter uma instalao do Windows Server 2012 R2 com interface
completa em Server Core use o seguinte comando:
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell Restart

Configurando o Agrupamento de NIC


Agrupamento de NIC (Network Interface Card Adaptador de Rede) um
recurso do Windows Server 2012 R2 que permite aos administradores
combinarem a largura de banda de vrios adaptadores de interface de rede,
provendo maior desempenho e tolerncia a falhas. A virtualizao permite aos
administradores separar funes vitais de rede em sistemas diferentes sem
precisar comprar um computador novo para cada uma. Entretanto, uma das
desvantagens desta prtica que um nico servidor hospedando vrias VMs
ainda um nico ponto de falha para elas. Um nico adaptador de rede com
problemas, um switch defeituoso, ou mesmo um cabo desconectado pode fazer
um servidor ficar offline e com ele todas as suas VMs.
O Recurso de Agrupamento de NICs especialmente mencionado dentre os
objetivos do exame 70-410. Portanto voc deve estar familiarizado com esse
recurso e sua utilizao.

Agrupamento de NICs tambm chamado de agrupamento ou balanceamento


uma tecnologia que j est disponvel por algum tempo, porm sempre foi
amarrada a alguma implementao especifica de hardware. A capacidade de
Agrupamento de NICs do Windows Server 2012 R2 independente de
hardware e te possibilita combinar diversos adaptadores de rede em uma nica

23

interface. Os resultados podem incluir maior desempenho atravs da unio da


banda dos adaptadores e proteo contra falhas atravs da mudana dinmica
de todo o trfego para as NICs que esto funcionando.
O Agrupamento de NICs no Windows Server 2012 R2 suporta dois modos:

Modo Independente de Switch. Todos os adaptadores de rede so


conectados em switches diferentes, provendo rotas diferentes pela rede.
Modo Dependente de Switch. Todos os adaptadores de rede so
conectados no mesmo switch, provendo um interface nica com a
largura de banda combinada.

No Modo Independente de Switch, voc pode escolher entre duas


configuraes. A configurao ativo-ativo deixa todos os adaptadores de rede
funcionais, provendo largura de banda adicional. Se um adaptador falhar, todo
o trfego desviado para os adaptadores restantes. Na configurao ativo - em
espera, um adaptador fica offline e funciona em modo de recuperao no caso
do adaptador ativo falhar. No modo ativo-ativo, uma falha de adaptador causa
uma reduo no desempenho; no modo ativo em espera, o desempenho se
mantm igual antes e depois de uma falha de adaptador.
No Modo Dependente de Switch, voc pode escolher agrupamento fixo, um
modo genrico que balanceia o trfego entre os adaptadores no equipe, ou
voc pode escolher usar o Protocolo de Agregao de Link definido no IEEE
802.3ax, assumindo que seu equipamento suporta-o.
No Windows Server 2012, existe uma limitao significante no agrupamento de
adaptadores (NIC Teaming). Se o seu trafego consistir de grandes sequencias
TCP, como por exemplo uma migrao ao vivo (live migration) no Hyper-V, o
sistema vai evitar usar mltiplos adaptadores para aquelas sequencias para
minimizar o nmero de segmentos perdidos e fora de ordem. Voc ento no
perceber nenhum ganho de desempenho durante transferncias de arquivos
grandes usando TCP. No Windows Server 2012 R2, o novo Modo Dinmico
divide essas grandes sequencias TCP em unidade menores e distribui-as entre
os adaptadores na equipe. Este atualmente o modo padro de
balanceamento de carga no Windows Server 2012 R2.
Voc pode criar e gerenciar Equipes de Adaptadores de Rede usando o
Gerenciador do Servidor ou o Windows PowerShell (eu chamaria de Time mas
tudo bem). Para criar uma equipe de adaptadores usando o Gerenciador do
Servidor siga os passos a seguir.
1. No Gerenciador do Servidor, no bloco de Propriedades, clique em
Agrupamento NIC. A tela de Agrupamento NIC aparece como na
imagem abaixo.

24

2. No bloco Equipes, clique em tarefas e selecione nova equipe para abrir


a janela nova equipe.
3. Clique no item Propriedades Adicionais para expandir a tela como na
tela abaixo.

4. Na caixa de texto nome da equipe, escreva o nome que quer para a


equipe.
5. Na caixa de Adaptadores membros, selecione os adaptadores que quer
que faam parte da equipe.

25

6. Na caixa de seleo Modo de agrupamento selecione uma das opes


abaixo:
a. Alternar Independente
b. Agrupamento Esttico
c. LACP
7. Na caixa de seleo Modo de balanceamento de carga selecione uma
das opes abaixo:
a. Hash de Endereo
b. Porta do comutador Hyper-V
c. Dinmico
8. Se voc selecionou a opo Alternar Independente no modo de
agrupamento, use a caixa de seleo Adaptador em espera para
selecionar o adaptador de rede que funcionar em espera.
9. Clique OK. A nova equipe estar listada no bloco Equipes como mostra
a imagem abaixo.

Uma vez criada a Equipe de Adaptadores de Rede, a janela de Agrupamento


de NICs permite monitorar o status da Equipe e da interface da equipe que
voc criou. A equipe e os adaptadores individuais todos tem indicadores de
status que informam se um adaptador ficar offline.
Se isso ocorrer, o indicador do adaptador com falha muda imediatamente para
desconectado como mostra a figura abaixo, e dependendo do modo de
agrupamento escolhido, o status dos outros adaptadores tambm pode mudar.

26

Gerenciador do Servidor
A ferramenta Gerenciador do Servidor no Windows Server 2012 R2 uma
aplicao que mostra a evidencia mais obvia da mudana de paradigma na
administrao do Windows Server. Antes do Windows Server 2012, um
administrador que queria instalar uma Funo usando uma ferramenta grfica
teria que acessar o console fisicamente ou conectado atravs dos Servios de
rea de Trabalho Remota (antes chamado Servios de Terminal). Em
contraste, o Gerenciador do Servidor no Windows Server 2012 R2 pode instalar
Funes e Recursos em qualquer servidor da rede.

Adicionando Servidores
A diferena principal entre o Gerenciador do Servidor do Windows Server 2012
R2 e do Windows Server 2012 em comparao as verses anteriores a
habilidade de adicionar e gerenciar diversos servidores de uma nica vez.
Quando voc faz logon numa instalao com interface completa do Windows
Server 2012 R2 com uma conta administrativa, o Gerenciador do Computador
carrega automaticamente mostrando o bloco de Bem-Vindo.
A interface do Gerenciador do Servidor consiste de um painel de navegao
esquerda contendo cones representando vrias vises dos recursos do
servidor. Selecionar um cone mostra uma pgina de inicio no painel da direita,
o qual consiste em um nmero de blocos contendo informao sobre o recurso.
A pgina de Painel que abre por padro, contm, alm do bloco de Bem-Vindo,

27

miniaturas que sumarizam as outras vises disponveis no Gerenciador do


Servidor conforme figura abaixo. Estas outras vises incluem uma pgina para
o Servidor Local, uma para todos os Servidores, e outras para os grupos de
servidores e grupos de funes.

Mesmo que apenas o servidor local aparece no Gerenciador do Servidor


quando voc executa-o pela primeira vez, voc pode adicionar outros
servidores, permitindo a voc gerenci-los todos juntos. Os servidores que
voc adiciona pem ser fsicos ou virtuais e podem estar rodando qualquer
verso do Windows Server a partir do Windows Server 2003. Aps adicionar os
servidores interface, voc pode criar grupos contendo colees de
servidores, como os servidores de um escritrio especfico ou os que realizam
alguma funo em particular. Estes grupos aparecem no painel de navegao,
permitindo que voc os administre como uma nica entidade.
Para adicionar servidores use o seguinte procedimento.
1. Abra o Gerenciador do Servidor e, no painel de navegao clique em
Todos os Servidores, a pgina inicial Todos os servidores abrir como
na figura abaixo.
2. A partir do menu Gerenciar, selecione adicionar servidores, a caixa de
dilogo Adicionar Servidores abrir como na figura abaixo.
3. Selecione uma das abas para especificar como voc quer localizar o
servidor que deseja adicionar

28

a. Active Directory: Permite buscar por computadores rodando


sistemas operacionais especficos em locais especficos em um
domnio do Servios de Domnio do Active Directory
b. DNS: Permite buscar por servidores no seu servidor DNS
configurado
c. Importar: Permite informar o nome de um arquivo .txt com o
nome dos servidores que deseja adicionar
4. Inicie a busca ou carregue o arquivo de texto para mostrar os servidores
disponveis.
5. Selecione os servidores que deseja adicionar, clique na flecha para
inclu-los na lista de selecionados.
6. Clique OK. Os servidores que voc adicionou sero adicionados na
pgina inicial Todos os servidores.
Para administradores de redes de computadores corporativas, pode ser
necessrio adicionar um grande nmero de servidores no Gerenciador do
Servidor. Para evitar ter de trabalhar com uma grande lista de servidores e ter
de usar a barra de rolagem todo o tempo, voc pode criar grupos de servidores
com base na localizao dos servidores, funes, ou qualquer outro paradigma
organizacional.

Adicionando Funes e Recursos


O programa Gerenciador do Computador no Windows Server 2012 R2 combina
o que antes eram vrios assistentes (wizard) em apenas um, o Assistente de
Adio de Funes e Recursos, uma vez adicionados vrios servidores na
interface do Gerenciador do Computador, eles so integrados no Assistente de
Adio de Funes e Recursos, para que assim voc possa instalar Funes e
Recursos em qualquer um dos seus servidores.
Para instalar Funes e Recursos siga os passos abaixo:

No Gerenciador do Computador, clique no menu Gerenciar e depois em


Adicionar Funes e Recursos. O Assistente de Adio de Funes e
Recursos ser iniciado e mostrar a tela Antes de Comear.

29

Clique Prximo para abrir a tela Tipo de Instalao como mostra a figura
abaixo.

Deixe a opo Instalao baseada em funo ou recurso marcada e


clique em Prximo. A tela Seleo de Servidor abrir como mostra a
figura abaixo.

30

Selecione o servidor em que deseja instalar as funes ou recursos. Se


o pool de Servidores contm muitos servidores, voc pode usar a caixa
de texto denominada Filtro para mostrar um subgrupo de servidores com
base no texto escrito. Quando voc selecionar o servidor, clique em
Prximo. A tela Funes do Servidor abrir como na figura abaixo.

Embora voc possa usar o Assistente de Adio de Funes e Recursos para


instalar componentes em qualquer servidor que tenha sido adicionado no
Gerenciador do Computador, voc no pode instalar vrios componentes de
uma nica vez. Para fazer isso voc precisa do Windows PowerShell.

Selecione a funo ou funes que quer instalar no servidor


selecionado. Se as funes que selecionou possurem outras funes ou
recursos como dependncias, a tela Adicionar Recursos que so
Necessrios ir aparecer.

Diferentemente das verses anteriores do Gerenciador do Computador, no Windows


Server 2012 R2 voc pode escolher todas as funes e recursos que desejar uma nica
vez, ao invs de ter que rodar o assistente diversas vezes para cada funo ou recurso
individual.

31

Clique adicionar recursos para aceitar as dependncias e clique em


Prximo para abrir a tela Selecionar Recursos como mostra a figura
abaixo.

Selecione os recursos que deseja instalar no servidor selecionado e


clique em Prximo. Dependncias podem aparecer de acordo com suas
selees de recursos.
O Assistente ento mostra pginas de configurao especificas das
Funes e Recursos que voc escolheu, nas quais voc pode escolher
os elementos de cada Funo escolhida voc quer instalar. Complete
cada pgina de configurao de Recurso ou de Funo e clique em
Prximo. A tela de confirmao aparecer.
Voc pode escolher algumas opes adicionais
o Reiniciar cada servidor de destino automaticamente, se
necessrio. Faz com que o servidor reinicialize automaticamente
aps o fim da instalao se a funo ou recurso selecionado
exigir.
o Exportar definies de configurao. Cria um script XML
documentando os procedimentos executados pelo assistente,
pode ser usado para replicar a mesma instalao em outro
servidor atravs do Windows PowerShell.
o Especificar um caminho de origem alternativo. Especifica o
caminho de um arquivo de imagem contendo o software
necessrio para instalar as funes ou recursos selecionados.

32

Use essa opo quando tiver deletado anteriormente os arquivos


de origem do sistema atravs do Recursos sob Demanda.
Clique Instalar para abrir a pgina de progresso de instalao.
Dependendo das funes e recursos instalados, o assistente pode
mostrar links para as ferramenta necessrias para realizar configuraes
de ps-instalao. Quando a instalao estiver completa, clique em
fechar para completar o assistente.
Para usar um arquivo exportado para instalar funes e recursos em outro
computador com o Windows Server 2012 R2, use o comando abaixo em uma
sesso com privilgios elevados do Windows PowerShell.
Install-WindowsFeature
<arquivoexportado.xml>

ConfigurationFilePath

Aps instalar funes nos seus servidores, as funes aparecem como cones
no painel de navegao do Gerenciador do Computador. Estes cones
representam na verdade grupos de funes. Cada grupo de funo contm
todas as instncias daquela funo que forem achadas nos servidores
adicionados. Voc pode ento administrar a funo em todos os servidores que
voc a tenha instalado.

Instalando Funes em arquivos VHD


Alm de instalar funes e recursos em servidores na sua rede, o Gerenciador
do computador tambm permite que administradores instalem-nos em VMs que
esto no estado offline. Por exemplo, voc pode ter um servidor Web offline
armazenado em um servidor de backup, no caso do servidor fsico que
hospeda sua VM possa falhar. O Gerenciador do Computador te permite
selecionar um arquivo de disco rgido virtual (VHD) e instalar ou remover
funes e recursos sem ter que rodar a VM.
Para instalar funes e recursos em um arquivo VHD offline siga o
procedimento abaixo

No Gerenciador do Computador, clique no menu Gerenciar e depois em


Adicionar Funes e Recursos. O Assistente de Adio de Funes e
Recursos ser iniciado e mostrar a tela Antes de Comear.
Clique Prximo para abrir a tela Tipo de Instalao.
Deixe a opo Instalao baseada em funo ou recurso marcada e
clique em Prximo. A tela Seleo de Servidor abrir.
Selecione a opo Selecionar um disco rgido virtual. Uma caixa de
texto Disco Rgido Virtual aparecer na parte da baixo da janela.

33

Na caixa de texto Disco Rgido Virtual digite ou procure a localizao do


arquivo VHD que voc quer modificar.
Na caixa Pool de Servidores selecione o servidor que o assistente deve
usar para montar o arquivo VHD como mostra a figura abaixo e clique
em Prximo. A pgina Funes do Servidor ir aparecer.

O Assistente precisa montar o arquivo VHD no servidor que voc selecionou


para abri-lo e ver quais funes e recursos j esto instalados e quais esto
disponveis para instalao. Montar um arquivo VHD apenas o faz disponvel
atravs do sistema de arquivos do computador; no o mesmo que iniciar uma
VM que utiliza o VHD.

Selecione a funo ou funes que deseja instalar no servidor


especificado, adicionando as dependncias caso necessrio, e clique
em Prximo. A pgina de Recursos ir aparecer.
Seleciona quaisquer recursos que quiser instalar no servidor
selecionado e clique em Prximo. Podem aparecer dependncias para
os recursos selecionados.
O Assistente ento mostra pginas de configurao especificas das
Funes e Recursos que voc escolheu, nas quais voc pode escolher
os elementos de cada Funo escolhida voc quer instalar. Complete
cada pgina de configurao de Recurso ou de Funo e clique em
Prximo. A tela de confirmao aparecer.

34

Clique em Instalar. A pagina de progresso da instalao aparecer.


Quando a instalao completar clique em Fechar para desmontar o VHD
e completar o assistente.

Configurando Servios
A maioria das Funes do Windows Server e muitos dos Recursos incluem
servios, que so programas que rodam continuamente em background (por
detrs do sistema), tipicamente esperando por um processo cliente enviar uma
requisio. O Gerenciador do Computador oferece acesso aos servios que
esto rodando em servidores por toda a rede.
Quando voc para a pgina inicial do Servidor Local dentro do Gerenciador do
Computador, um dos blocos que voc acha l o bloco de Servios, mostrado
na figura abaixo, este bloco lista todos os servios instalados no servidor e
mostra o status de operao e o tipo de incio deles. Quando voc clica com o
boto direito em um servio, o menu de atalho permite quer voc inicie, pare,
reinicie, pause e retome o servio selecionado.

O bloco de Servios no Gerenciador do Computador similar ao snap-in


Servios dentro do console do MMC encontrado nas verses anteriores do
Windows Server. Entretanto mesmo podendo iniciar ou parar servios pelo
Gerenciador do Computador, voc no pode modificar o tipo de incio, que
especifica se o servio deve iniciar automaticamente com o sistema
operacional ou no. Para configurar isso voc deve acessar os servios pelo
MMC ou usar o cmdlet Set-Service no Windows Powershell.
Outra diferena do bloco de Servios dentro do Gerenciador do Computador no
Windows Server 2012 R2 que esse bloco aparece em vrios lugares, e em
cada lugar mostra a lista de servios para cada contexto diferente. Este um
bom exemplo do princpio organizacional do Gerenciador do Computador. As

35

mesmas ferramentas, repetidas em vrios lugares, permitem uma interface de


gerenciamento consistente para diferentes conjuntos de componentes.
Por exemplo, quando voc seleciona o cone Todos os Servidores no painel de
navegao, primeiro voc v o bloco Servidores, como sempre, contendo todos
os servidores que voc adicionou ao console do Gerenciador do Computador.
Quando voc seleciona alguns dos servidores ou todos eles e rola a pgina at
o bloco Servios, voc v o mesmo de antes, porm agora contem todos os
servios para todos os computadores que voc selecionou. Isso te permite
monitorar os servios de todos os servidores de uma vez s.
Da mesma maneira, quando voc seleciona um dos cones dos grupos de
funo, voc pode selecionar os servidores que esto desempenhando aquela
funo especfica e o bloco de Servios conter apenas os servios desses
servidores.
Para manipular outras configuraes de servidores, voc deve usar o snap-in
Servios no MMC como comentado anteriormente. Entretanto, voc pode
inicia-lo a partir do prprio Gerenciador do Computador assim como os outros
snap-ins.
Depois de selecionar um servidor do bloco Servidores em qualquer pgina
inicial de um grupo de funo, clique no menu Ferramentas para ver uma
opo de utilitrios e snap-ins do MMC, incluindo o de Servios. Para gerenciar
um servidor remoto pelo MMC voc deve conectar ao servidor manualmente.

Delegando a administrao do servidor


Como as redes sempre crescem, tambm cresce o nmero de tarefas
administrativas que precisam ser feitas regularmente, e tambm o nmero de
pessoal na TI para execut-las. Delegar tarefas administrativas para pessoa
especificas parte natural dentro do gerenciamento de servidores corporativos,
assim como configurar as permisses necessrias para esse indivduos e
apenas as permisses que eles precisem para realizar estas tarefas.
Em redes menores com equipes pequenas de TI, no incomum a delegao
de tarefas ser informal e de todos da equipe terem acesso completo a toda a
rede. Porem, em redes maiores com equipes maiores de TI, isso se torna cada
vez mais impraticvel. Por exemplo, voc pode querer que o aprendiz recm
contratado possa criar novas contas de usurios mas no possa mudar a
rvore do Active Directory ou trocar a senha do presidente.
Delegao a prtica pela qual os administradores permitem que outros
usurios tenham algumas das permisses que eles tem. Sendo assim,
delegao muito mais restringir permisses do que liber-las. Voc quer

36

liberar permisses que os usurios necessitam enquanto protege informaes


sensveis e infraestrutura crtica.

Configurao de Estado Desejado do Windows PowerShell


Configurao de Estado Desejado (DSC - Desired State Configuration) a
prxima fase do desenvolvimento do Windows PowerShell, um processo que
comeou a mais de uma dcada e apareceu primeiro como um componente do
Windows no Windows PowerShell 1.0 (lanado em 2006). O Windows Server
2012 expandiu a funcionalidade do Windows PowerShell atravs do uso da
infraestrutura de linha de comando como base para novas capacidades
grficas no sistema operacional. O Windows PowerShell 3.0 adicionou milhares
de novos cmdlets, tornando possvel conseguir qualquer resultado que voc
conseguiria usando a interface grfica agora na linha de comando.
No Windows PowerShell 4.0 o DSC habilita um novo modo de script que
permite aos administradores criarem mdulos chamados configuraes,
consistem em ns representando computadores e recursos que definem
elementos que os administradores querem definir como parte da configurao
de uma Funo especfica.
Por exemplo, um script simples para implantar um servidor Web seria assim:
Configuration ServerWeb
{
Node "ServerB"
{
WindowsFeature InstallIIS
{
Ensure = "Present"
Name = "Web-Server"
}
File CopyWebSite
{
Ensure = "Present"
Type = "Directory"
Recurse = $true
SourcePath = $WebsitePath

37

DestinationPath = "C:\inetpub\wwwroot"
Requires = "[WindowsFeature]InstallIIS
}
}
}

Nesse cdigo, o bloco Node identifica o computador a ser configurado e os ns


WindowsFeature e File so recursos internos que voc pode usar para definir a
configurao que deseja implantar. O bloco WindowsFeature especifica que a
configurao deve instalar a Funo de Servidor Web, e o bloco File copia os
arquivos de contedo de um website para um n de um local definido pela
varivel $WebsitePath. O DSC inclui muitos outros recursos inclusos que voc
pode usar para definir elementos de configurao mais complexos. Tambm
possvel para os administradores criarem seus prprios recursos customizados.
Uma vez criado o script de configurao, voc pode rod-lo executando o
nome de configurao definido nesse caso ServerWeb a partir de um
prompt do Windows PowerShell.
Em grandes ambientes de implantao, administradores podem criar um
servidor DSC centralizado instalando o PowerShell Desired State
Configuration Service um recurso do Windows PowerShell que usa o servidor
Web IIS (Internet Information Services) para implantar a logica de configurao
e os dados nos servidores pela rede. Aps gravar os scripts de configurao do
DSC no servidor, administradores podem configurar os ns para checar
regularmente por mudanas em suas configuraes ou configurar o servidor
para enviar novas configuraes aos ns quando necessrio.

38

1.3- Configurar armazenamento local

Embora o Windows Server 2012 R2 tenha sido desenhado para aproveitar


armazenamento remoto e computao em nuvem, a configurao de
armazenamento local se mantm um item importante a ser considerado.

Planejamento do armazenamento do servidor


Um servidor Windows pode , em teoria, realizar suas tarefas no mesmo tipo de
armazenamento de uma estao de trabalho; isto , um ou mais discos padro
conectados a uma interface de disco padro como o SATA. Entretanto, a carga
de I/O (entrada e sada) de um servidor diferente da de uma estao de
trabalho; um subsistema de armazenamento padro pode ser facilmente
sobrecarregado pelos pedidos por arquivos de dezenas ou centenas de
usurios. Alm disso, discos rgidos comuns no oferecem tolerncia a falhas e
tem sua escalabilidade limitada.
Uma variedade de tecnologias de armazenamento so melhores para uso em
servidores. O processo de elaborao de uma soluo de armazenamento para
um servidor depende de vrios fatores, incluindo os seguintes:

A quantidade de armazenamento necessria


O nmero de usurios que ir acessar o servidor ao mesmo tempo
A sensibilidade da informao que ser armazenada
A importncia da informao para a organizao

As sees seguintes examinam esses fatores e as tecnologias que voc pode


escolher quando criar um plano para suas solues de armazenamento de
rede.

Quantos servidores eu preciso?


Quando um servidor grande melhor do que vrios pequenos? Esta uma das
perguntas mais frequentes durante o planejamento de uma implantao de um
servidor. No passado voc poderia ter ponderado as vantagens e
desvantagens de usar um servidor para realizar vrias funes contra vrios
servidores realizando uma nica funo cada. Hoje em dia, entretanto, a
nfase est na virtualizao, o que significa que embora voc tenha vrias VMs
rodando diferentes funes, elas poderiam estar todas em um nico servidor
fsico de grande porte.

39

Se voc est considerando servidores fsicos de grande porte ou se os


requisitos de armazenamento da sua organizao so extremamente grandes,
voc deve considerar as limitaes de armazenamento inerentes do Windows
Server 2012 R2.
O nmero de sites que englobam sua rede empresarial e as tecnologias que
voc usa para prover comunicao entre esses sites tambm pode afetar seus
planos. Se , por exemplo, sua organizao tem filiais espalhadas por todo o
mundo e usa links WAN caros para conect-las, seria mais econmico colocar
um servidor em cada local, do que fazer todos os seus usurios acessarem um
nico servidor atravs dos links WAN.
Dentro de cada site, o nmero de servidores que voc precisa depende da
frequncia com que os seus usurios trabalham com os mesmo recursos e
quanta tolerncia a falhas e alta disponibilidade voc quer colocar no sistema.
Por exemplo, se cada departamento na sua empresa trabalha com seus
prprios aplicativos e documentos e raramente precisam acessar recursos de
outros departamentos, prefervel implantar servidores individuais em cada
departamento. Se todos na empresa trabalham com os mesmo recursos,
servidores centralizados sero a melhor escolha.

Estimativa de requisitos de armazenamento


A quantidade de espao de armazenamento que voc precisa num servidor
depende de uma variedade de fatores, no apenas o requisito inicial das suas
aplicaes e dos usurios. No caso de um servidor de aplicaes, comece
alocando o espao necessrio para os prprios arquivos dos aplicativos mais o
espao que eles possam necessitar de acordo com a especificao do
desenvolvedor. Se os usurios iro salvar documentos no servidor, ento
aloque espao necessrio para cada usurio que o servidor ir suportar. Ento
tente antecipar o potencial crescimento da sua organizao e da rede, em
termos de nmero de usurios e do espao necessrio para cada um, e do
nmero de arquivos de dados e de atualizaes das aplicaes.

Storage Spaces
O Windows Server 2012 R2 inclui uma tecnologia de virtualizao de discos
chamada Storage Spaces, que permite um servidor concatenar o espao de
armazenamento de vrios discos fsicos individuais e alocar esse espao para
criar discos virtuais de qualquer tamanho suportado pelo hardware.
Esse tipo de virtualizao normalmente encontrado em SANs (Storage Area
Network redes de armazenamento) e em equipamentos NAS (Network

40

Attached Storage armazenamento ligado em rede), os quais exigem


investimentos substanciais em hardware especializado e habilidades de
administrao. O Storage Spaces prov capacidades similares pelo uso de
discos padro internos do servidor ou arrays simples de discos JBOD (Just a
Bunch of Disks), esses so os storages mais baratos (de entrada) ligados
direto no servidor e que no possuem inteligncia avanada dentro do
equipamento, funciona apenas como um case para vrios discos.
O Storage Spaces usa o espao vazio nos discos para criar pools de
armazenamento. Um Pool de Armazenamento pode usar vrios discos
transparentemente, criando um recurso de armazenamento que os
administradores podem estender ou reduzir de acordo com a necessidade,
adicionando ou removendo discos do pool. Usando o espao livre do pool os
administradores podem criar discos virtuais de qualquer tamanho.
Aps criado, o disco virtual se comporta como qualquer disco fsico, exceto que
os bits podem ter sido gravados em qualquer nmero dos drives do sistema.
Discos virtuais tambm proporcionam alta disponibilidade com a utilizao dos
discos fsicos do Storage para guardar dados de espelho ou de paridade.
Aps criar um disco virtual, voc pode criar volumes nele assim como faria num
disco fsico. O Gerenciador do Computador tem as ferramentas que voc
precisa para gerenciar Pools de armazenamento e discos virtuais e te d a
habilidade de criar compartilhamento de volumes e de sistemas de arquivos,
com algumas limitaes.

Entendendo as configuraes de disco do Windows


Quando voc instala o Windows Server 2012 R2 em um computador, o
programa de instalao da efetua todas as tarefas de preparao para o disco
primrio do sistema. Entretanto, quando voc instala discos rgidos adicionais
em um servidor, ou quando quer usar configuraes diferentes das
configuraes padro, voc deve realizar as seguintes tarefas manualmente:

Selecionar um estilo de partio. O Windows Server 2012 R2 suporta


dois estilos de partio: o MBR (Master Boot Record) e o GPT (GUID
Partition Table). Voc deve usar um desses estilos para usar em um
disco, voc no pode usar ambos.
Selecionar um tipo de disco. O Windows Server 2012 R2 suporta dois
tipos de disco: o disco bsico e o disco dinmico. Voc no pode usar os
dois tipos em um mesmo disco, mas voc misturar discos de tipos
diferentes no mesmo computador.

41

Dividir o disco entre parties e volumes. Embora profissionais usem os


termos partio e volume como sinnimos , o correto se referir a
parties em discos bsicos e volumes em disco dinmicos.
Formatar a partio ou volume com um sistema de arquivos. O Windows
Server 2012 R2 suporta os sistemas de arquivos NTFS, FAT (incluindo
suas variantes FAT16, FAT32 e exFAT), e o novo ReFS.

Selecionar um estilo de partio


O termo estilo de partio se refere ao mtodo que os sistemas operacionais
Windows usam para organizar as parties nos discos. Servidores rodando o
Windows Server 2012 R2 podem usar qualquer um dos seguintes estilos de
partio para discos rgidos.

MBR. O estilo de partio MBR existe desde antes do Windows e ainda


muito comum em computadores com arquiteturas x86 e x64.
GPT. O estilo de partio GPT existe desde o fim da dcada de 90, mas
nenhuma verso x86 do Windows anterior ao Windows Server 2008 e
Windows Vista o suporta. Hoje a maioria dos sistemas operacionais
suporta o GPT, incluindo o Windows Server 2012 R2.

Antes do Windows Vista e do Windows Server 2008, todos os computadores


Windows x86 usavam apenas o estilo de partio MBR. Computadores com
arquitetura x64 poderiam usar tanto o MBR quanto o GPT, desde que o disco
usando GPT no fosse o disco de boot.
A menos que a arquitetura do computador suporte uma partio de boot que
use o EFI (Extensible Firmware Interface), no possvel efetuar boot a partir
de um disco GPT. Se esse for o caso, o disco de sistema deve usar o MBR e
voc pode usar o GPT somente em discos que no sejam usados como boot
para armazenar dados.
Quando voc usa o Gerenciador do Computador para inicializar um disco no
Windows Server 2012 R2, o estilo de partio GPT usado, seja um disco
fsico ou virtual. No existem controles no Gerenciador do Computador que
suportem o MBR, embora ele mostre o estilo de partio no bloco Discos.

Tipos de Disco
Grande parte dos computadores pessoais usam discos bsicos por serem os
mais fceis de gerenciar. Tipos de volumes avanados necessitam do uso de
discos dinmicos. Um disco bsico usando o estilo de partio MBR organiza

42

os dados em parties primrias, parties estendidas e drives lgicos. Uma


partio primria aparece para o sistema operacional como um disco separado
e pode receber um sistema operacional, neste caso ser conhecida como a
partio ativa.
Quando voc trabalha com discos bsicos usando o MBR no Windows Server
2012 R2 usando o snap-in Gerenciamento de Disco, voc pode criar 3 volumes
como parties primrias. Quando voc cria o quarto volume, o sistema cria
uma partio estendida, com um drive lgico nele usando o tamanho
especificado. Se houver espao livre restante no disco, o sistema aloca-o na
partio estendida como mostra a figura abaixo, e voc pode us-la para criar
drives lgicos adicionais.

Quando voc seleciona o estilo de partio GPT, o disco ir aparecer como


disco bsico , mas voc poder criar at 128 volumes, cada um aparecendo
como partio primria como mostra a figura abaixo. No existem parties
estendidas ou drives lgicos em discos que usam a GPT.

A alternativa ao uso do disco bsico convert-lo em um disco dinmico. O


processo de converter um disco bsico em um disco dinmico cria uma nica
partio que ocupa todo o disco. Voc pode ento criar uma infinidade de
volumes a partir do espao desta partio. Discos dinmicos suportam diversos
tipos de volumes.

Tipos de Volumes
Um disco dinmico pode conter grande nmero de volumes que funcionam
como parties ativas em discos bsicos, mas voc no pode marcar um disco
dinmico existente como ativo. Quando voc cria um volume em um disco
dinmico atravs do snap-in Gerenciamento de Disco no Windows Server 2012
R2, voc pode escolher 5 tipos de volumes:

Volume simples. formado pelo espao de um nico disco. Depois de


criar um volume simples, voc pode estend-lo para outros discos para
criar um volume estendido ou distribudo, desde que no seja um disco
de boot ou disco de sistema. Voc tambm pode estender um volume

43

simples para o espao adjacente livre no mesmo disco, ou , com


algumas limitaes, diminuir o volume, desalocando qualquer espao
no usado no volume.
Volume estendido. Consiste em espao de 2 a 32 discos fsicos, todos
devem ser discos dinmicos. Um volume estendido basicamente um
mtodo para combinar o espao de vrios discos em um nico volume.
O Windows Server 2012 R2 escreve no volume estendido usando todo o
espao vazio do primeiro disco e depois indo para o prximo at o ltimo
disco. Voc pode estender um volume estendido a qualquer hora
aumentando o espao livre disponvel. Criar um volume estendido no
aumenta a taxa de leitura e escrita do disco ou torna o volume tolerante
a falhas. Na verdade, se apenas um dos discos falhar todos os dados do
volume so perdidos.
Volume distribudo. Consiste em espao de 2 a 32 discos fsicos, todos
devem ser discos dinmicos. A diferena de um volume estendido para
um volume distribudo que em um volume distribudo, o sistema
escreve em uma faixa por vez em cada disco do volume
sucessivamente. Esse tipo de volume oferece desempenho maior pelo
fato de cada disco do array (conjunto) ter tempo de busca a localizao
da sua prxima faixa de dados enquanto os outros discos esto
escrevendo os dados. Volumes distribudos no oferecem tolerncia a
falhas, e voc no pode estend-los aps a criao. Se um dos discos
fsicos que fazem parte do volume distribudo falhar todos os dados do
volume so perdidos.
Volume espelhado. Consiste em uma quantidade de espao idntica em
dois discos fsicos que devem der dinmicos. O sistema realiza todas as
operaes de escrita e leitura nos dois discos simultaneamente ento
eles possuem cpias de toda a informao gravada no volume. Se um
disco falhar o outro disco continua a possibilitar acesso ao volume at
que o disco defeituoso seja trocado ou reparado.
Volume RAID-5. Consiste em espao de 3 ou mais discos fsicos, todos
dinmicos. O sistema divide os dados em faixas e informaes de
paridade por entre todos os discos para que no caso de falha de um
disco os dados possam ser recriados a partir das informaes de
paridade dos discos restantes. Volumes RAID-5 tem maior desempenho
de leitura devido aos dados estarem divididos em faixas, mas o
desempenho de escrita menor pelo fato da necessidade de clculo de
paridade.

44

Sistemas de arquivos
Para organizar e armazenar dados em um disco rgido, voc deve instalar um
sistema de arquivos. Um sistema de arquivos a estrutura subjacente do drive
de disco que permite armazenar informaes no seu computador. Voc instala
o sistema de arquivos quando formata uma partio ou volume no disco rgido.
No Windows Server 2012 R2, esto disponveis 5 opes:

NTFS
FAT32
exFAT
FAT (tambm conhecido como FAT16)
ReFS

O NTFS o sistema de sistema de arquivos prefervel para um servidor; os


benefcios principais so suporte para discos maiores do que o FAT e melhor
segurana na forma de criptografia e permisses que restringem acesso a
usurios desautorizados.
Pelo fato do FAT no ter a segurana do NTFS qualquer usurio que acessar o
seu computador poder ler qualquer arquivo sem restries. Alm disso, o
sistema de arquivos FAT tem limitaes de tamanho do disco; FAT32 no pode
trabalhar com parties maiores que 32GB ou arquivos maiores que 4GB. Por
causa dessas limitaes, a nica razo vivel para usar o FAT16 ou FAT32
seria para ter dois boots no computador com um sistema operacional no
Windows (ex. Linux) ou uma verso antiga do Windows que no suporte NTFS,
o que no uma configurao provvel para um servidor.
O ReFS um novo sistema de arquivos iniciando com o Windows Server 2012
R2 que oferece tamanho de arquivos e de diretrios praticamente infinitos,
alm de maior resilincia que elimina a necessidade de ferramentas de
verificao de erros, como o chkdsk.exe. Entretanto, o ReFS no oferece
suporte para funcionalidades do NTFS como compresso de arquivo, sistema
de arquivos criptografado (EFS - Encrypted File System), e cotas de disco.
Discos ReFS tambm no podem ser lidos por nenhum outros sistema
operacional mais antigo do que o Windows Server 2012 e o Windows 8.

Trabalhando com discos


O Windows Server 2012 R2 inclui ferramentas que te permitem gerenciar os
discos graficamente ou pela linha de comando. Todas as instalaes do
Windows Server 2012 R2 incluem a funo File and Storage Services (mesmo
no Windows em pt-br o nome da funo no traduzido mas seria algo como
Servios de Armazenamento e Arquivos), o que faz o Gerenciador do Servidor

45

mostrar um menu quando voc clica no cone no painel de navegao como


mostra a figura abaixo. Este menu d acesso a paginas iniciais que permitem
que administradores gerenciem volumes, discos, pools de armazenamento,
compartilhamentos e dispositivos iSCSI.

O Gerenciador do Computador a nica ferramenta grfica que consegue


gerenciar pools de armazenamento e criar discos virtuais. Tambm pode
realizar algumas das operaes padro de gerenciamento de discos e volumes
em discos rgidos, mas no todas. Como as outras pginas iniciais do
Gerenciador do Servidor, a pgina da funo File and Storage Services
tambm te permite realizar tarefas em qualquer servidor que esteja adicionado
na interface.
O Gerenciamento de Disco um snap-in do MMC que a ferramenta
tradicional para realizar tarefas relacionadas com discos. Para acessar o snapin Gerenciamento de Disco, abra o console de Gerenciamento do Computador
e selecione o item Gerenciamento de Disco.
Voc tambm pode gerenciar discos e volume a partir da linha de comando
atravs do comando DiskPart.exe.

Adicionando um disco fsico


Quando voc adiciona um disco rgido em um computador com o Windows
Server 2012 R2, voc deve inicializar o disco antes de poder acess-lo. Para
adicionar um disco secundrio, desligue o computador e instale ou plugue o
novo disco fsico seguindo as instrues do fabricante. Um disco fsico recmadicionado listado no Gerenciador do Servidor no bloco Discos como mostra

46

a figura abaixo, com o status offline e estilo de partio desconhecido.

Para tornar o disco acessvel , voc deve primeiro deixa-lo online clicando no
bloco de Discos e a partir do menu de atalho, selecionar Tornar Online. Depois
de confirmar sua ao e o status ter mudado para Online, clique com o boto
direito no disco e selecione a opo Inicializar.
Ao contrario do snap-in Gerenciamento de Disco, o Gerenciador do Servidor
no te permite escolher o estilo de partio para um disco. Um janela de
Progresso da Tarefa abrir; quando o processo for concludo clique em Fechar.
O disco ento aparece na lista com o estilo de partio GPT.
Voc pode converter um disco de um estilo de partio para outro a qualquer
momento atravs do Gerenciamento de Disco clicando com o boto direito no
disco desejado e selecionando a opo Converter para disco GPT ou
Converter para disco MBR. Entretanto, esteja ciente que trocar o estilo de
partio um processo destrutivo. Voc pode realizar a converso somente em
um disco desalocado (sem uso), ento se quiser converter um disco que
contenha dados voc deve fazer o backup dos dados e depois excluir todos os
volumes ou parties existentes no disco antes de iniciar o processo de
converso.

Criar e montar discos rgidos virtuais (VHD)


O Hyper-V se apoia no formato de disco rgido virtual (VHD ou VHDX) para
gravar dados de discos virtuais em arquivos que podem ser facilmente
transferidos de um computador para o outro. O snap-in Gerenciamento de
Disco no Windows Server 2012 R2 permite criar arquivos VHD e VHDX e

47

mont-los no computador. Uma vez montados, voc pode trata-los como


qualquer outro disco fsico e pode us-los para armazenar dados. Depois de
desmontados os discos VHD ou VHDX, os dados so empacotados no arquivo
para que voc possa mover o copi-lo como desejado.
Para criar um VHD no Gerenciamento de Disco, siga os passos abaixo.

No Gerenciamento do Servidor, clique em Ferramentas, Gerenciamento


do Computador. O console Gerenciamento do Computador abrir.
Clique em Gerenciamento de Disco para abrir o snap-in.
A partir do menu Ao, selecione Criar VHD, a janela Criar e Conectar
Disco Rgido Virtual abrir como na figura abaixo.

Na caixa de texto Local, digite o caminho e o nome do arquivo que voc


deseja criar.
No campo Tamanho do disco rgido virtual informe o tamanho mximo
que voc deseja para o disco que est criando.
Selecione uma das opes de formato de disco rgido virtual:
o VHD. O formato original e mais compatvel, suporta arquivos de
at 2.040 GB.
o VHDX. A nova verso do formato que suporta arquivos de at 64
TB mas s pode ser lido por computadores com o Windows
Server 2012 e Windows Server 2012 R2.

48

Selecione uma das opes de tipo de disco rgido virtual:


o Tamanho fixo (Recomendvel). Aloca todo o espao para o
arquivo VHD/VHDX de uma vez.
o Expandindo dinamicamente. Aloca espao para o arquivo
VHD/VHDX na medida em que voc adiciona dados ao disco
rgido virtual
Clique OK. O sistema criar o arquivo VHD ou VHDX e ir conect-lo
para que aparea como um disco no snap-in.

Uma vez criado e conectado o arquivo VHD ou VHDX, aparecer como um


disco no inicializado no snap-in Gerenciamento de Disco e no Gerenciador do
Servidor. Usando qualquer das ferramentas voc pode inicializar o disco e criar
volumes nele, assim como faria num disco fsico. Aps gravar dados nos
volumes, voc pode desmontar o VHD ou VHDX e mover o arquivo para outro
computador ou mont-lo numa VM do Hyper-V.

Criar um Pool de armazenamento


Uma vez instalados seus discos fsicos, voc pode concatenar os espaos
deles em um Pool de armazenamento, a partir do qual voc pode criar discos
virtuais de qualquer tamanho.
Para criar um Pool de armazenamento usando o Gerenciador do Servidor siga
os passos abaixo.
No Gerenciador do Servidor, clique no cone da funo File and Storage
Services e, no menu que aparece, clique Pools de armazenamento. O
bloco Pools de armazenamento ir aparecer como na figura abaixo.

49

No bloco Pools de armazenamento, selecione o espao Primordial n


servidor que voc deseja criar o pool e, no menu Tarefas, selecione
Novo Pool de Armazenamento. O assistente Novo Pool de
Armazenamento ir iniciar, mostrando a pgina antes de comear.
Clique em Prximo. A tela Especifique o nome e o subsistema de um
pool de armazenamento aparecer como mostra a figura abaixo.

Na caixa de texto Nome digite o nome que deseja dar para o pool de
armazenamento. Ento selecione o servidor em que deseja que seja
criado o pool e clique em Prximo. A tela Selecione os discos fsicos

50

para o pool de armazenamento aparecer como mostra a figura abaixo.

O Assistente s ir mostrar discos que podem ser adicionados para o pool.


Discos que j possuem parties ou volumes no aparecero na lista.
Marque os discos que deseja adicionar ao Pool e clique em Prximo
para mostrar a tela confirmar selees.
Clique em criar. O Assistente criar o pool de armazenamento a tela de
resultados aparecer.
Clique em Fechar. O Assistente ser fechado e o novo pool aparecer
no bloco Pools de Armazenamento.
Feche o Gerenciador do Servidor.
Depois que criar um Pool de Armazenamento, voc pode modificar a sua
capacidade adicionando ou removendo discos. O menu tarefas no bloco discos
fsicos na pgina inicial da funo Servios de Arquivo e Armazenamento
contm as seguintes opes:

Adicionar disco fsico. Permite adicionar um disco fsico ao Pool desde


que esteja Inicializado e no contenha nenhum volume.
Remover disco. Remove do Pool o espao fornecido por um disco
fsico. Essa opo s esta disponvel se todos os dados j foram
eliminados do disco.

Para criar um novo Pool de armazenamento usando o Windows PowerShell,


voc utilizar o cmdlet New-StoragePool com a seguinte sintaxe:

51

New-StoragePool FriendlyName <nome do pool> StorageSubSystemFriendlyName <nome do subsistema>


-PhysicalDisks <instncias CIM>
Para obter a designao correta para o subsistema de armazenamento e para
os discos fsicos, use os cmdlets Get-StorageSubsystem e GetPhysicalDisk.
Alm dos parmetros requeridos, o cmdlet New-StoragePool tambm aceita
as seguintes opes, que no esto disponveis no Assistente.

-EnclosureAwareDefault. Especifica se o Pool de armazenamento esta


sendo criado usando discos dentro de um case que suporta o SCSI
Enclosure Services. Isso habilita o Pool para usar informaes
adicionais informadas pelo case (esse termo no exato, o nome
original enclosure, mas resumindo o nosso Storage externo normal),
como locais dos slots, para balancear dados de Storage entre os
dispositivos de hardware.
-ProvisioningTypeDefault. Especifica o tipo de provisionamento
(Unknown Desconhecido , Fixed Fixo ou Thin - Expandindo
dinamicamente) a ser usado na criao de discos virtuais a partir desse
Pool
-ResiliencySettingsNameDefault. Especifica as configuraes de
resilincia (Simples, Espelhamento ou Paridade) que o sistema deve
usar por padro quando criar discos virtuais do Pool.

Criando discos virtuais


Depois de criar um Pool de armazenamento, voc pode usar o espao para
criar quantos discos virtuais precisar.
Para criar um disco virtual usando o Gerenciador do Servidor, siga o
procedimento abaixo.

No Gerenciador do Servidor, clique no cone da funo Servios de


Arquivo e Armazenamento, quando o menu aparecer clique em Pools de
armazenamento.
Role a tela para baixo (se necessrio) para mostrar o bloco Discos
virtuais. Clique no menu tarefas e selecione a opo Novo Disco Virtual.
A janela do assistente Novo Disco Virtual abrir mostrando a tela de
Antes de Comear.
Clique em Prximo para abrir a pgina de Seleo do Servidor e Pool de
armazenamento.

52

Selecione o pool que deseja para criar o disco virtual e clique em


Prximo. A pgina especifique o nome do disco virtual aparecer.
No campo de texto Nome, digite um nome para o disco virtual e clique
em Prximo. A pgina de seleo de layout de armazenamento
aparecer como na figura abaixo.

Escolha um dos layouts abaixo e clique em Prximo.


o Simple (Simples). Exige que o pool contenha pelo menos um
disco fsico e no prov nenhuma. Quando mais de um disco
fsico esta disponvel , o sistema divide os dados em faixas por
entre os discos.
o Mirror (Espelho). Requer que o pool contenha pelo menos 2
discos fsicos e tem tolerncia a falhas por gravar cpias
idnticas de cada arquivo. Dois discos fsicos do proteo contra
a falha de um disco, cinco discos fsicos do proteo contra a
falha de 2 discos fsicos.
o Parity (Paridade). Requer que o pool contenha pelo menos 3
discos fsicos e prov tolerncia a falhas distribuindo informaes
de paridade em faixas por todos os discos junto com os dados.
A tolerncia a falhas includa no Storage Spaces funciona no nvel de
disco, no no nvel de volume, como no snap-in Gerenciamento de Disco.
Em teoria voc pode usar o Gerenciamento de Disco para criar volumes
espelhados ou RAID-5, mas isso derrotaria o propsito de cri-los pois os
discos virtuais poderiam ser alocados em um mesmo disco fsico.

53

A tela especifique o tipo de provisionamento abrir como na figura


abaixo.

Selecione um dos tipos de provisionamento a seguir e clique em


Prximo.
o Dinmico. O sistema aloca espao do pool de armazenamento
para o disco virtual conforme necessrio, at o tamanho mximo
especificado.
o Fixo. O sistema aloca o tamanho mximo de espao especificado
para o disco imediatamente durante a criao.

54

A pgina Especificar tamanho do disco virtual aparecer como na figura


abaixo.

No campo de texto Especificar tamanho, digite o tamanho desejado para


o disco e clique em Prximo. A tela Confirmar selees aparecer.
Clique em Criar. A pgina de Resultados aparecer enquanto o
assistente cria o disco.
Clique em Fechar. O assistente fechar e o novo disco aparecer na
lista do bloco Discos Virtuais.
Feche o Gerenciador do Servidor

Por padro, o assistente de novo volume iniciado quando voc cria um disco
virtual. Neste ponto, o disco o equivalente virtual de um disco fsico recm
instalado. No contm nada alm de espao desalocado, e voc deve criar
pelo menos um volume antes de poder gravar dados nele.

Criar um volume simples


Tecnicamente falando, voc cria parties em discos bsicos e volumes em
discos dinmicos. Essa no apenas uma diferena arbitrria de
nomenclatura. Converter um disco bsico em dinmico na verdade cria uma
grande nica partio, ocupando todo o espao do disco. Os volumes que voc
cria no disco dinmico so divises lgicas dentro de uma mesma partio.

55

Verses do Windows anteriores a 2008 usam a terminologia correta no snap-in


Gerenciamento de Disco. Os menus permitem criar parties em discos
bsicos e volumes em discos dinmicos. O Windows Server 2012 R2 usa o
termo volume para os dois tipos de discos e permite criar qualquer um dos
tipos de volumes disponveis, seja o disco bsico ou dinmico. Se o tipo de
volume que voc selecionou no for suportado em um disco bsico, o
assistente ir convert-lo em dinmico como parte do processo de criao.
Apesar dos menus que se referem a parties em discos bsicos como
volumes, a regra tradicional para discos bsicos permanece valendo. A opo
de menu Novo Volume Simples cria at trs parties primarias no caso de um
disco bsico. Quando voc criar um quarto volume, o assistente na realidade
ir criar uma partio estendida e um drive logico do tamanho especificado. Se
houver algum espao livre remanescente no disco, voc pode criar drives
lgicos adicionais dentro da partio estendida.
Quando voc usa o DiskPart.exe (um utilitrio de linha de comando includo no
Windows Server 2012 R2) para gerenciar discos bsicos, voc pode criar 4
parties primrias ou trs parties primrias e uma partio estendida. O
DiskPart contm um conjunto maior de comandos do que os suportados pelo
Gerenciamento de Disco. Ou seja, o DiskPart pode fazer tudo que o Gerenciamento
de Disco faz e vai alm. Contudo o snap-in Gerenciamento de Disco possui travas
que te previnem de tomar aes sem querer que possam resultar em perda de
dados, o DiskPart no possui tais travas. Por essa razo a Microsoft recomenda
que apenas usurios avanados usem o DiskPart e que tenham muita cautela.

Para criar um novo volume simples em um disco bsico ou dinmico usando o


snap-in Gerenciamento de Disco, siga os passo abaixo:

No Gerenciador do Servidor, clique em Ferramentas e clique em


Gerenciamento do Computador. O console Gerenciamento do
Computador abrir.
Clique em Gerenciamento de Disco para lanar o snap-in
Gerenciamento de Disco.
Na parte grfica, clique com o boto direito em uma rea em branco do
disco que voc pretende criar o volume, e no menu de atalho, selecione
Novo Volume Simples. O assistente abrir.

56

Clique Prximo para sair da tela de boas vindas. A pgina de seleo de


tamanho do volume abrir como na figura abaixo.

Informe o tamanho para a nova partio ou volume, dentro dos limites


mnimo e mximo estipulados na tela, no campo Tamanho do volume
simples em MB. Ento clique em Prximo. A pgina Atribuir uma letra

57

de unidade ou caminho abrir como na figura abaixo.

Configure uma das trs opes abaixo:


o Atribuir a seguinte letra de unidade. Se voc selecionar essa
opo, clique caixa de seleo ao lado para ver uma lista de
letras de unidade disponveis e escolha a letra de deseja atribuir.
o Montar na seguinte pasta NTFS vazia. Se voc selecionar essa
opo, digite o caminho para uma pasta NTFS existente ou clique
em Procurar para buscar por uma pasta ou criar uma nova. Todo
o contedo da nova unidade de disco aparecer na pasta que
voc especificar.
o No atribuir uma letra ou caminho de unidade. Escolha essa
opo se voc quiser criar a partio mas ainda no quer us-la.
Quando voc no atribui uma letra de unidade, o drive fica
desmontado e inacessvel. Quando quiser montar a unidade para
usar, atribua uma letra de unidade ou um caminho de acesso.

58

Clique em Prximo para abrir a pgina de Formatar partio como


mostra a figura abaixo.

Especifique se o Assistente deve formatar o volume ou no. Se no


quiser formatar o volume agora selecione a opo No formatar esse
volume. Se voc quiser formatar o volume, selecione a opo Formatar
esse volume com as seguintes configuraes, e ento configure as
opes conforme descrito abaixo.
o Sistema de arquivos. Selecione o sistema de arquivos desejado.
As opes disponveis dependem do tamanho do volume e
podem incluir ReFS, NTFS, exFAT, FAT32 e FAT.
o Tamanho da unidade de alocao. a unidade bsica de bytes
que o sistema usa para alocar espao em disco. O sistema
calcula o tamanho da unidade de alocao com base no tamanho
do volume. Voc pode alterar esse valor selecionando um dos
valores da lista. Por exemplo, se os seus clientes usam arquivos
pequenos na maior parte do tempo, voc pode querer deixar o
valor da unidade de alocao menor.
o Rotulo do volume. Especifica um nome para a partio ou
volume. O nome padro Novo Volume, mas voc pode mudar
para o que quiser.
o Executar uma formatao rpida. Quando esta caixa de seleo
esta marcada, o Windows formata o disco sem checar erros. Este

59

um mtodo mais rpido de formatar o volume, porem a


Microsoft no o recomenda. Quando voc checa por erros, o
sistema procura e marca setores defeituosos no disco para que
no sejam usados.
o Ativar compactao de arquivos e pastas. Ativa a compresso no
disco. Essa opo esta ativa apenas para volumes formatados
com o sistema de arquivos NTFS.
Clique em Prximo. A pgina Concluindo o Assistente para Novas
Parties Simples aparecer.
Revise as configuraes para confirmar suas escolhas e clique em
Concluir. O Assistente criar o volume conforme especificado.
Feche o console contendo o snap-in Gerenciamento de Disco.

Este procedimento pode criar volumes em discos virtuais ou fsicos. Voc


tambm pode criar volumes simples usando um Assistente similar no
Gerenciador do Servidor. Quando voc lana o Assistente de Novo Volume a
partir do Gerenciador do Servidor, o que voc pode fazer da pgina inicial
Volumes ou Discos, as opes apresentadas pelo Assistente so praticamente
iguais as do Assistente de Novo Volume Simples dentro do Gerenciamento de
Discos. A diferena principal que , assim como todos os Assistentes do
Gerenciador do Servidor, o Assistente de Novo Volume inclui uma pagina que
te permite selecionar o servidor e o disco em que pretende criar o volume como
mostra a figura abaixo. Portanto, voc pode usar esse assistente para criar
volumes em qualquer disco de qualquer um dos seus servidores.

Criar um volume distribudo, estendido, espelhado e RAID-5


O procedimento para criar um volume distribudo, estendido, espelhado ou
RAID-5 quase o mesmo que criar um volume simples, com a exceo de que
a pgina Especifique o tamanho do volume substituda pela pgina de
seleo de discos.
Para criar um volume distribudo, estendido, espelhado ou RAID-5 siga os
passos abaixo.

No Gerenciador do Servidor, clique em Ferramentas e clique em


Gerenciamento do Computador. O console Gerenciamento do
Computador abrir.
Clique em Gerenciamento de Disco, o snap-in do Gerenciamento de
Disco abrir.
Clique com o boto direito numa rea vazia de um disco e, do menu de
atalho, selecione o comando para o tipo de volume que deseja criar. O
assistente de Novo volume iniciar, e ter o nome do tipo de volume que
voc escolheu criar.

60

Clique Prximo para passar da tela de boas vindas. A tela de seleo de


discos abrir como na figura abaixo.

Na tela de seleo de discos, selecione os discos que deseja usar da


lista de discos Disponveis e clique em Adicionar. Os discos
selecionados passaro para a lista de Selecionados, se unindo ao disco
que voc selecionou quando iniciou o assistente. Para um volume
distribudo, estendido ou espelhado voc precisa de no mnimo 2 discos.
Para um volume RAID-5 voc precisa de trs discos.
Especifique o tamanho que quer usar em cada disco digitando no campo
Selecione o espao em MB. Clique em Prximo. A tela Atribuir uma letra
de unidade ou caminho abrir. Se voc esta criando um volume
estendido, voc deve clicar em cada disco na lista de selecionados e
especificar o tamanho a ser usado no disco. O tamanho padro o
tamanho do espao livre no disco. Se voc esta criando um volume
distribudo, espelhado ou RAID-5, voc especifica apenas um valor pois
esses volumes exigem o mesmo tamanho em todos os discos. O
tamanho padro o do menor espao livre dentre os discos
selecionados.
Especifique se quer atribuir uma letra de unidade ou caminho e clique
em Prximo. A pgina de formatar volume abrir.
Especifique se quer formatar o volume ou no e as configuraes
cabveis. Clique em Prximo. A tela Concluindo o Assistente de Novo
Volume aparecer.

61

Revise as configuraes para confirmar suas escolhas e clique em


Concluir. Se algum dos discos que voc selecionou for um disco bsico,
uma caixa de mensagem aparecer, informando que o processo de
criao do volume ir converter os discos bsicos em dinmicos.
Clique em Sim. O Assistente criar o volume seguindo suas
especificaes.
Feche o Gerenciamento de Disco.

Os comandos que aparecem no menu de atalho do disco dependem do


nmero de discos instalados no computador e da presena de espao livre
neles. Por exemplo, pelo menos 2 discos com espao livre devem estar
disponveis para a criao de um volume estendido, distribudo ou espelhado, e
pelo menos trs discos devem estar disponveis para criar um volume RAID-5.

Questes cenrios
Rafael recentemente recebeu um novo servidor com o Windows Server 2012
R2 Datacenter j instalado com a interface grfica completa. Rafael quer
configurar o sistema como um servidor web, usando o mnimo absoluto de
recursos de hardware. O seu primeiro passo usar o gerenciador do servidor
para instalar a funo Web Server (IIS).
Com o cenrio em mente, responda as perguntas abaixo.
1. Qual comando do Windows Powershell o Rafael deve usar para
converter a instalao com a interface grfica completa em Server Core?
2. Qual comando do Windows Powershell o Rafael deve usar para remover
completamente do sistema os arquivos de instalao da interface
grfica?

Joo um tcnico de TI que recebeu a tarefa de configurar um novo servidor


rodando o Windows Server 2012 R2 Server Core, chamado servidor 1, que
ser enviado para a outra filial da empresa. O servidor deve ser configurado
para funcionar como um servidor de arquivos com suporte para o DFS
(Distributed File System), servidor de impresso com suporte para impresso
pela internet e como servidor de web/FTP na intranet para os usurios do
domnio.
Com o cenrio em mente, responda as perguntas abaixo.
1. Qual comando do Windows Powershell o Joo deve usar para instalar
as funes necessrias no servidor?

62

2. Qual comando do Windows Powershell o Joo pode usar para obter os


nomes curtos da funes que foram usadas no item anterior?
3. Liste os comandos que o Joo deve rodar no novo servidor para instalar
os mdulos necessrios.
Em um novo servidor com o Windows Server 2012 R2, Pedro criou um pool de
armazenamento consistindo de 2 discos com 1TB cada. Ele ento criou trs
discos virtuais simples a partir do espao disponvel no pool. Pedro ento criou,
usando o snap-in Gerenciamento de Discos, um volume RAID-5 usando os 3
discos virtuais.
Com o cenrio em mente, responda as perguntas abaixo.
1. De que maneira o plano de armazenamento do Pedro no eficaz em
prover tolerncia a falhas?
2. Porque adicionar um terceiro disco ao pool de armazenamento no ir
melhorar a tolerncia a falhas do plano de armazenamento do Pedro?
3. Como o Pedro pode mudar o seu plano para que seja tolerante a falhas?
Questes
1. Quais das arquiteturas de processador abaixo podem ser usadas em
uma nova instalao do Windows Server 2012 R2? Marque todas que se
aplicam.
a. Processador somente 32 bits
b. Processador somente 64 bits
c. Processador 32 bits ou 64 bits
d. Processador Itanium ou 64 bits

2. Qual dos caminhos abaixo um caminho de atualizao vlido para o


Windows Server 2012 R2?
a. Windows Server 2003 Standard para o Windows Server 2012 R2
Standard
b. Windows Server 2008 Standard para o Windows Server 2012 R2
Standard
c. Windows Server 2008 32 bits para o Windows Server 2012 R2 64
bits
d. Windows 7 Ultimate para o Windows Server 2012 R2 Essencials

3. Qual dos recursos abaixo deve ser adicionado a uma instalao Server
Core do Windows Server 2012 R2 para convert-lo em Minimal Server
Interface?
a. Graphical Management Tools and Infrastructure

63

b. Server Graphical Shell


c. Windows PowerShell
d. Microsoft Management Console

4. Qual dos termos abaixo o nome do diretrio em que o Windows


guarda todos os mdulos do sistema operacional que pode precisar
instalar mais tarde?
a. Windows
b. System32
c. Bin
d. WinSxS

5. Qual das sentenas abaixo so razes vlidas para os administradores


poderem querer seus servidores Windows Server 2012 R2 rodando no
modo Server Core? Marque todas que se aplicam.
a. Uma instalao Server Core pode ser convertida para a opo
com interface grfica completa sem precisar reinstalar o sistema.
b. A interface do Windows PowerShell 4.0 no Windows Server 2012
R2 inclui mais de 10 vezes o nmero de cmdlets do que o
Windows PowerShell 2.0
c. O novo Gerenciador do Servidor do Windows Server 2012 R2
torna a administrao de servidores remotos muito mais fcil.
d. Uma licena do Windows Server 2012 R2 Server Core custa bem
menos do que a licena com interface grfica completa.

6. Quais recursos devem ser removidos de uma instalao do Windows


Server 2012 R2 com interface grfica completa para convert-lo em
Server Core? Marque todos que se aplicam.
a. Windows Management Instrumentation (WMI)
b. Graphical Management Tools and Infrastructure
c. Desktop Experience
d. Server Graphical Shell

7. Qual dos modos de Agrupamento de NIC abaixo prove tolerncia a


falhas e agregao (aumento) da largura de banda?
a. Hyper-V live migration
b. Modo Independente de Switch

64

c. Modo Dependente de Switch


d. Link Aggregation Control Protocol (LACP)

8. Qual dos utilitrios de linha de comando abaixo usado para


unir/adicionar um computador em um domnio?
a. Net.exe
b. Netsh.exe
c. Netdom.exe
d. Ipconfig.exe

9. Qual das sentenas abaixo NO verdadeira sobre o Gerenciador do


Servidor?
a. O Gerenciador do Servidor pode implantar/instalar Funes em
diversos servidores ao mesmo tempo.
b. O Gerenciador do Servidor pode implantar/instalar Funes em
arquivos VHD enquanto esto offline.
c. O Gerenciador do Servidor pode implantar/instalar Funes e
Recursos ao mesmo tempo.
d. O Gerenciador do Servidor pode implantar/instalar Funes e
Recursos em qualquer servidor Windows Server 2012 R2 na
rede.

10. Quais das operaes abaixo voc no pode realizar em um Servio


atravs do Gerenciador do Servidor? Escolha todas que se aplicam.
a. Parar um servio que est rodando
b. Iniciar um servio que est parado
c. Desabilitar um servio
d. Configurar um servio para iniciar junto com o Windows.

11. Quais das sentenas abaixo so verdadeiras sobre volumes


distribudos? Escolha todas que se aplicam.
a. Volumes Distribudos tem maior desempenho comparados aos
Volumes Simples
b. Volumes Distribudos so mais tolerantes a falhas do que
Volumes Simples
c. Voc pode estender volumes simples depois de cria-los.
d. Se um disco fsico do volume distribudo falhar, todos os dados do
volume so perdidos.

65

12. Quais das sentenas abaixo descrevem melhor os requisitos para


estender um volume em um disco dinmico? Escolha todas que se
aplicam.
a. Se voc quiser estender um volume simples, voc s pode usar o
espao livre do prprio disco se quiser que o volume permanea
simples.
b. O volume deve ter um sistema de arquivos (volume raw (cru))
antes que voc possa estender um volume simples ou estendido.
c. Voc pode estender um volume simples ou estendido se
estiverem formatados com os sistemas de arquivos FAT ou
FAT32.
d. Voc pode estender um volume simples por outros discos se no
for um volume de sistema ou volume de boot(inicializao).
13. Quais dos tipos de volumes suportados pelo Windows Server 2012 R2
possuem tolerncia a falhas? Escolha todos que se aplicam.
a. Distribudo
b. Estendido
c. Espelhado
d. RAID-5
14. Um array de discos (JBOD - Just a Bunch Of Disks) uma alternativa
para qual das tecnologias de storage abaixo?
a. SAN
b. SCSI
c. RAID
d. iSCSI

66

Respostas
Cenrio 1
Questo 1 Uninstall-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell Restart
Questo 2 Uninstall-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell Remove
Cenrio 2
Questo 1 Install-WindowsFeature
Questo 2 Get-WindowsFeature
Questo 3 Install-WindowsFeature FS-FileServer, Install-WindowsFeature
FS-DFS-Namespace
Install-WindowsFeature FS-DFS-Replication, Install-WindowsFeature FS-NFSService,
Install-WindowsFeature Print-InternetServices allsubfeatures, InstallWindowsFeature Web-Server
Install-WindowsFeature Web-Windows-Auth, Install-WindowsFeature Web-FtpService
O comando Install-WindowsFeature FS-Fileserver no necessrio, pois
instalado como dependncia do DFS.
Os comandos Install-WindowsFeature Web-Server e Install-WindowsFeature
Web-Windows-Auth tambm no so necessrios, pois eles so instalados
como dependncias de Print-Internet (nome curto para o Print-InternetServices)
Questes Objetivas
Questo 1 Resposta correta: 2 , o Windows Server 2012 R2 s pode ser
instalado em processadores 64 bits.
Questo 2 Resposta correta: 2 , Voc pode atualizar o Windows Server 2008
Standard para o Windows Server 2012 R2 Standard.
Questo 3 Resposta correta: 1 , instalar o mdulo Graphical Management
Tools and Infrastructure , e somente esse mdulo, numa instalao Server
Core ir convert-lo em Minimal Server Interface.
Questo 4 Resposta correta: 4, o Windows guarda todos os mdulos de
instalao do sistema operacional no diretrio WinSxS.
Questo 5 Respostas corretas: 1 e 3.
Questo 6 Respostas corretas: 2 e 4, remover o recurso Graphical
Management Tools and Infrastructure exigido para converter em uma
instalao Server Core. O Server Graphical Shell d suporte para a interface
grfica do Windows, incluindo a rea de Trabalho e o Explorador de Arquivos.
Voc deve remov-lo para converter para uma instalao Server Core.
Questo 7 Resposta correta: 2, no modo Independente de Switch, os NICs
em um time so conectados em switches diferentes, provendo caminhos
alternativos atravs da rede.
Questo 8 Resposta correta: 3.

67

Questo 9 Resposta correta: 1. O Gerenciador do Servidor no


pode implantar/instalar Funes em mltiplos servidores ao mesmo tempo.
Questo 10 Respostas corretas: 3 e 4, voc no pode desabilitar um
servio nem configurar um servio para iniciar junto com o computador pelo
Gerenciador do Servidor.
Questo 11 Respostas corretas: 1 e 4, volumes distribudos tem desempenho
maior pelo fato de cada disco no array tem tempo de buscar a localizao da
prxima faixa (stripe) de dados enquanto os outros discos esto escrevendo.
Se um nico disco fsico do volume distribudo falhar, todos os dados do
volume so perdidos.
Questo 12 Respostas corretas: 1 e 4, quando estender um volume simples,
voc s pode usar o espao vazio do prprio disco. Se voc estender o volume
para outro disco, o volume no mais simples. Voc pode estender um volume
simples por entre outros discos adicionais se no for um volume de sistema ou
de boot.
Questo 13 Respostas corretas: 3 e 4, um volume espelhado escreve cpias
duplicadas de todos os dados em dois discos, provendo assim tolerncia a
falhas. Um volume RAID-5 escreve dados e informaes de paridade em todos
os discos o que tambm prov tolerncia a falhas.
Questo 14 Resposta correta: 3. Um array JBOD uma alternativa a um
array RAID que trata cada disco como um volume independente.

68

Captulo 2 Configurando Funes e Recursos de Servidor


Este captulo cobre alguns dos servios fundamentais realizados por
servidores. No mundo dos negcios, compartilhamento de arquivos e
impressoras eram as razes iniciais pela quais computadores eram ligados na
rede, e com o Windows Server 2012 R2, gerenciamento remoto se tornou
elemento critico dentro do gerenciamento de servidores.
Neste capitulo veremos os seguintes objetivos do exame:
1. Configurar acesso a arquivos e compartilhamentos
2. Configurar servios de impresso e documentos
3. Configurar servidores para acesso remoto

2.1 - Configurar acesso a arquivos e compartilhamentos


Uma das tarefas dirias critica na administrao de servidores decidir onde
os usurios deveriam guardar seus arquivos e quem deve ter permisses para
acess-los.

Criar compartilhamentos de pastas


Compartilhar pastas torna-as acessveis aos usurios da rede. Depois que
voc configurou os discos em um servidor de arquivos, voc deve criar
compartilhamentos para permitir que os usurios da rede possam acessar
esses arquivos. Voc deve ter um plano de compartilhamento pronto quando
voc estiver pronto para criar seus compartilhamentos. Essa estratgia deve
consistir nas informaes abaixo:

Quais pastas voc ter


Quais os nomes que voc escolher para os compartilhamentos
Quais permisses para as pastas voc dar aos usurios
Quais configuraes de Arquivos Offline voc usar

Se voc tem as permisses necessrias para uma pasta, voc pode


compartilh-la em um computador com o Windows Server 2012 R2 clicando
com o boto direito do mouse em cima do cone da pasta em qualquer janela
do Explorador de Arquivos, selecionar Compartilhar com, clicar em Pessoas
especficas e seguir as instrues da caixa de dilogo Compartilhamento de

69

Arquivos como mostra a figura abaixo.

Este mtodo de criar compartilhamentos mostra uma interface simplificada com


controle limitado sobre elementos como por exemplo permisses de
compartilhamento. Voc pode especificar que os usurios do compartilhamento
recebam apenas permisses de leitura ou de Leitura/Escrita. Se voc no for o
criador proprietrio da pasta, voc pode ao invs acessar a aba
compartilhamento da janela de propriedades da pasta. Clicar no boto
compartilhar lana a mesma caixa de dilogo de Compartilhamento de
Arquivos. Clicar no boto Compartilhamento Avanado mostra a caixa de
dilogo de Compartilhamento Avanado como mostra a figura abaixo, a qual

70

permite maior controle sobre as permisses de compartilhamento.

Para os usurios da rede poderem navegar pelos compartilhamentos


que voc criou no servidor de arquivos no Explorador de Arquivos,
voc deve se assegurar de que as configuraes de Descoberta de
Rede e de Compartilhamento de Arquivos esto ativadas no painel de
controle da Central de Rede e Compartilhamento.

Para controlar todos os compartilhamentos em todos os discos de todos os


seus servidores e ter controle granular sobre suas propriedades, voc pode
usar a pgina inicial dos Servios de Arquivo e Armazenamento dentro do
Gerenciador do Servidor.
O Windows Server 2012 R2 suporta 2 tipos de compartilhamento de pastas:

Server Message Blocks (SMB). SMB o protocolo de compartilhamento


de arquivos padro usado por todas as verses do Windows.
Network File System (NFS). NFS o protocolo de compartilhamento de
arquivos padro usado pela maioria das distribuies Linux e UNIX.

Quando voc instala o Windows Server 2012 R2, o programa de instalao


instala o servio de funo de Servios de Armazenamento da Funo

71

Servios de Arquivo e Armazenamento por padro. Entretanto, antes de poder


criar e gerenciar compartilhamentos SMB pelo Gerenciador do Servidor, voc
deve instalar o servio de funo de Servios de Armazenamento; para criar
compartilhamentos NFS, voc deve instalar o servio de Funo Server for
NFS.
Para criar um compartilhamento de pasta usando o Gerenciador do Servidor
siga os passos abaixo.

No Gerenciador do Servidor, clique no cone Servios de Arquivo e


Armazenamento e, no submenu que aparece, clique em
Compartilhamentos. A pgina inicial Compartilhamentos aparecer.
No menu Tarefas, selecione Novo Compartilhamento. O Assistente de
Novo Compartilhamento abrir, mostrando a pgina Selecione o perfil
para este compartilhamento, como mostra a figura abaixo.

Da lista de Perfil do compartilhamento de arquivo, selecione uma das


opes abaixo.
o Compartilhamento SMB Rpido. Habilita compartilhamento
SMB bsico com permisses completas de compartilhamento e
NTFS.
o Compartilhamento SMB Avanado. Habilita compartilhamento
SMB com permisses completas de compartilhamento e NTFS e
acesso a servios do File Server Resource Manager (Gerenciador
de Recursos de Servidor de Arquivos).

72

o Compartilhamento SMB Aplicativos. Habilita compartilhamento


SMB com configuraes apropriadas para o Hyper-V e outras
aplicaes.
o Compartilhamento NFS Rpido. Habilita compartilhamento NFS
bsico com autenticao e permisses.
o Compartilhamento NFS Avanado. Rpido. Habilita
compartilhamento NFS com autenticao e permisses e acesso
a servios realizados pelo File Server Resource Manager
(Gerenciador de Recursos de Servidor de Arquivos).
Clique em Prximo. A pgina Selecione o Servidor e o caminho para
este compartilhamento aparecer.
Selecione o servidor em que deseja criar o compartilhamento e
selecione o volume no servidor ou especifique um caminho para a pasta
que deseja compartilhar. Clique em Prximo. A pgina especifique o
nome do compartilhamento aparecer.
Se voc selecionar um dos 2 modos NFS o assistente ter mais duas pginas
para configuraes: a pgina Especifique o mtodo de Autenticao e a
pgina Especifique as permisses de compartilhamento. Cada pgina d
acesso a funes realizadas pelo servio de funo Server for NFS, esse
tpico ser tratado no material referente ao exame 70-412 Configurando
Servios Avanados do Windows Server 2012 R2.

Na caixa de texto Nome do compartilhamento, especifique o nome


desejado e clique em Prximo. A pgina Definir configuraes de

73

compartilhamento aparecer como na figura abaixo.

Selecione qualquer uma das opes abaixo.


o Habilitar enumerao baseada em acesso. Impede que usurios
vejam arquivos e pastas que eles no possuam permisso de
acesso.
o Permitir cache de compartilhamento. Permite que usurios Offline
acessem os contedos deste compartilhamento.
o Habilitar o BranchCache no compartilhamento de arquivos.
Habilita servidores BranchCache a fazer cache de arquivos
acessados a partir deste compartilhamento.
o Criptografar acesso a dados. Faz o servidor criptografar o acesso
remoto a arquivos deste compartilhamento.

Enumerao baseada em acesso (Access-based enumeration (ABE)), um recurso


introduzido no Windows Server 2003 R2, aplica filtros em pastas compartilhadas
baseado nas permisses individuais do usurio para os arquivos e subpastas dentro
do compartilhamento. Resumindo, usurios que no podem acessar um recurso
compartilhado especifico no conseguem enxergar esse recurso na rede. Este recurso
previne usurios de ver arquivos e pastas que no podem acessar. Voc pode ativar
ou desativar o ABE em um compartilhamento em qualquer tempo abrindo as
propriedades do compartilhamento no console de Gerenciamento de
Compartilhamento e Armazenamento (ferramenta antiga das verses anteriores) e
clicando em Avanado, que mostrar a mesma caixa de dilogo Avanada mostrada
pelo Assistente de Proviso de Pasta Compartilhada, que se encontrava no menu
Ao da mesma ferramenta.

74

Arquivos Offline, tambm conhecido como cache no lado do cliente(client-side


caching), um recurso do Windows que permite sistemas cliente manter copias locais
dos arquivos acessados em compartilhamentos em servidores. Quando um cliente
seleciona a opo Sempre Disponvel Offline, o sistema cliente copia os dados
selecionados para o disco local e atualiza-os regularmente para que os clientes
sempre possa acess-los, mesmo que o servido esteja offline. Para habilitar aos
clientes usarem o recurso Arquivos Offline, o compartilhamento deve ter a caixa de
seleo Permitir Cache do Compartilhamento marcada. O Windows Server 2012 R2 e
o Windows 8.1 tambm tem um modo Sempre Offline para o recurso Arquivos Offline
que faz com que os clientes sempre usem as cpias em cache dos arquivos no
servidor, o que gera maior desempenho. Para implementar esse modo, voc deve
definir no cliente a configurao de polticas de grupo chamada modo de configurao
de link lento para o valor de 1 milissegundo.

Clique em Prximo para ir para a pgina Especificar permisses para


controlar o acesso.
Modifique as permisses NTFS e de compartilhamento padro como
desejado e clique em Prximo. A pgina de Confirmao ser exibida.
Selecionar um dos dois perfis de compartilhamento Avanados na pgina
Selecione o perfil para este compartilhamento adicionar duas pginas no
Assistente: a pgina de Propriedades de Gerenciamento e a pgina de
configurao de cotas. Essas pginas do acesso a recursos do Gerenciador de
Recursos do Servidor de Arquivos, esse tpico ser visto no material especfico
para a prova 70-411 Administrando o Windows Server 2012 R2.

Clique em Criar. A pgina de Resultados aparecer enquanto o


Assistente cria o compartilhamento.
Feche o Assistente de Novo Compartilhamento.

Depois de criar um compartilhamento por meio do Assistente, o novo


compartilhamento aparecer no bloco compartilhamentos dentro da pgina
inicial do item Compartilhamentos no Gerenciador do Computador. Agora voc
pode usar o bloco para gerenciar um compartilhamento clicando com o boto
direito do mouse em cima do compartilhamento desejado e abrindo suas
propriedades ou clicando em Interromper Compartilhamento.

75

Definindo Permisses
Com o Windows Server 2012 R2, voc pode controlar o acesso ao servidor de
arquivos para dar aos usurios o acesso que eles precisam ao mesmo tempo
que protege outros arquivos contra uma possvel invaso ou dano, seja ele
intencional ou no. Para implementar esse controle de acesso, o Windows
Server 2012 R2 usa permisses.
Permisses so privilgios dados a entidades especificas do sistema, como
usurios, grupos ou computadores, permitindo-os realizar uma tarefa ou
acessar um recurso. Por exemplo, voc pode conceder um usurio com a
permisso de ler um arquivo enquanto nega ao mesmo usurios as permisses
necessrias para alterar ou deletar o arquivo.
O Windows Server 2012 R2 tem vrios conjuntos de permisses, as quais
operam independentemente umas das outras. Para o proposito de
compartilhamento de arquivos, voc deve se tornar familiarizado com a
operao dos seguinte sistemas de permisso:

Permisses de compartilhamento. Controla acesso a pastas atravs da


rede. Para acessar um arquivo atravs da rede, um usurio deve ter as
permisses de compartilhamentos apropriadas (e permisses NTFS
apropriadas se a pasta compartilhada estiver num volume NTFS).
Permisses NTFS. Controla o acesso a arquivos e pastas gravados em
discos formatados com o sistema de arquivos NTFS. Para acessar um
arquivo, seja no sistema local ou atravs da rede, um usurio deve ter
as permisses NTFS apropriadas.

Todos esses sistemas de permisses operam separadamente e as vezes se


combinam para prover maior proteo a um recurso especifico. Para usurios
da rede poderem acessar uma pasta compartilhada em um disco NTFS, voc
deve conceder permisses NTFS e permisses de compartilhamento para eles.
Como visto antes, voc pode conceder essas permisses como parte do
processo de criao do compartilhamento, mas voc tambm pode modificar
as permisses a qualquer tempo depois disso.

Entendendo a arquitetura de permisses do Windows.


Para gravar permisses, os elementos do Windows tem uma lista de controle
de acesso (access control list - ACL). Uma ACL uma coleo de permisses
individuais na forma de entradas de controle de acesso (access control entries
(ACEs). Cada ACE consiste de uma entidade de segurana (security principal)
, o nome de um usurio, grupo, ou computador que receber a permisso, e as
permisses especificas que sero atribudas a essa entidade de segurana.
Quando voc gerencia permisses em qualquer um dos sistemas de permisso

76

do Windows Server 2012 R2, voc est na verdade criando e modificando as


ACEs de uma ACL.
Para gerenciar permisses no Windows Server 2012 R2, voc pode usar uma
aba da janela de propriedades do elemento em questo, como o mostrado na
figura abaixo, com as entidades de segurana listadas no topo e as permisses
associadas a eles na parte de baixo. Permisses de compartilhamento so
achadas tipicamente na aba Permisses de Compartilhamento e Permisses
NTFS so localizadas na aba Segurana. Todos os sistemas de permisso do
Windows usam a mesma interface, embora as permisses em si difiram. O
Gerenciador do Servidor tambm prove acesso s permisses NTFS e de
compartilhamento atravs de interfaces levemente diferentes.

77

Entendendo permisses bsicas e avanadas


As permisses que protegem um certo elemento do sistema no so como as
chaves de um cadeado, que d acesso total ou nenhum acesso. Permisses
so feitas para serem granulares, permitindo que voc especifique diferentes
nveis de acesso para entidades de segurana.
Para prover essa granularidade, cada sistema de permisses do Windows tem
uma variedade de permisses que voc pode definir para uma entidade de
segurana em qualquer combinao. Dependendo do sistema de permisso
com o qual voc estiver trabalhando, voc pode ter dezenas de permisses
disponveis para um nico elemento do sistema.
O Windows oferece combinaes de permisses pr-configuradas adequadas
para as tarefas de controle de acesso mais comuns. Quando voc abre a
janela de propriedades de um elemento do sistema e olha na aba Segurana.
As permisses NTFS que voc v so chamadas permisses bsicas.
Permisses bsicas so , na verdade, combinaes de permisses avanadas,
as quais oferecem o controle mais granular sobre o elemento.
Antes do Windows Server 2012,permisses bsicas
eram chamadas de permisses padro e permisses
avanadas eram conhecidas como permisses
especiais. Fique ligado nesses diferentes termos.

Por exemplo, o sistema de permisses tem 14 permisses avanadas que


podem ser usadas em pastas e arquivos. Entretanto, tambm existem 6
permisses bsicas, que so feitas de vrias combinaes das 14 permisses
avanadas. Voc tambm pode definir os 2 tipos de permisses numa nica
ACE, combinando uma permisso bsica com uma ou mais permisses
avanadas, para criar uma combinao customizada. Em muitos casos,
entretanto, administradores trabalham apenas com permisses bsicas. Muitos
administradores raramente tm razes para trabalhar diretamente com
permisses avanadas.
Se voc achar necessrio ter de trabalhar diretamente com permisses
avanadas, o Windows possibilita isso. Quando voc lcia no boto Avanado
dentro da aba Segurana de qualquer janela de Propriedades, a caixa de
dilogo Configuraes de Segurana Avanada ser exibida como mostra a
figura abaixo, e te permite acessar diretamente as ACEs do elemento do
sistema selecionado. O Gerenciador do Servidor d acesso a mesa caixa de

78

dilogo atravs da janela de propriedades de um compartilhamento.

Permitindo e negando permisses


Quando voc atribui permisses para um elemento do sistema, voc est, de
fato, criando uma nova ACE na ACL do elemento. Existem 2 tipos bsicos de
ACE: Permitir e Negar. Isto torna possvel abordar as tarefas de gerenciamento
de permisses de duas direes:

Aditiva. Comea sem nenhuma permisso e ento atribui permisses


para entidades de segurana individuais para dar-lhes o acesso que
precisam.
Subtrativa. Inicia atribuindo todas as permisses Permitir para entidades
de segurana individuais, dando-lhes controle total sobre o elemento do
sistema, e ento atribui permisses Negar para os acessos que deseja
bloquear.

A maioria dos administradores prefere a abordagem Aditiva, porque o Windows


por padro tenta limitar o acesso a elementos importantes do sistema. Numa
hierarquia de permisses bem desenhada, o uso de permisses Negar
normalmente desnecessrio. Muitos administradores desaprovam o seu uso,
porque a combinao de permisses Permitir e Negar podem tornar difcil de
determinar as permisses efetivas para um elemento especifico do sistema.

79

Herana de permisses
O principio mais importante no gerenciamento de permisses que permisses
tendem a descer por uma hierarquia. Isso chamado de herana de
permisses. Herana de permisses significa que o elemento pai passa suas
permisses para baixo para seus elementos subordinados. Por exemplo,
quando voc atribui permisses Permitir para Alice acessar a raiz da unidade
D, todas a pastas e subpastas na unidade D herdaro essas permisses, o que
significa que Alice poder acess-los.
O principio da herana simplifica muito o processo de atribuio de permisses.
Sem ele, voc teria de atribuir permisses Permitir individuais para entidades
de segurana para cada arquivo, pasta, compartilhamento, objeto e chave que
eles precisem acessar. Com a herana, voc consegue liberar acesso para um
sistema de arquivos inteiro criando apenas um conjunto de permisses
Permitir.
Na maioria dos casos, conscientemente ou no, administradores de sistemas
levam em conta a herana quando projetam seus de sistemas de arquivos e as
estruturas de OU dos Servios de Domnio do Active Directory. A localizao
de um elemento do sistema na hierarquia baseada normalmente em como os
administradores planejam atribuir e delegar permisses.
Em algumas situaes, um administrador pode quere impedir elementos
subordinados de herdar permisses dos seus pais. Existem 2 maneiras de
fazer isso:

Desativar a Herana. Quando voc atribui permisses avanadas, voc


pode configurar um ACE para no passar suas permisses para baixo
para seus elementos subordinados. Isso efetivamente bloqueia o
processo de herana.
Negar permisses. Quando voc atribui uma permisso Negar para um
elemento do sistema, ela sobrepe qualquer outra permisso Permitir
que o elemento possa ter herdado.

Entendendo o acesso efetivo


Uma entidade de segurana pode receber permisses de diversas maneiras, e
importante para um administrador entender como essas permisses
combinam. A combinao de permisses Permitir e Negar que uma entidade
de segurana recebe para um elemento do sistema especifico seja atribudo
explicitamente, herdado, ou recebido atravs de um grupo do qual seja
membro chamado de acesso efetivo para aquele elemento. Porque uma
entidade de segurana pode receber permisses de tantas fontes diferentes,

80

no incomum que essas permisses se sobreponham. As seguintes regras


definem como as permisses combinam para formar o acesso efetivo.

Permisses Permitir so cumulativas. Quando uma entidade de


segurana recebe permisses Permitir por mais de uma fonte, as
permisses so combinadas para formar as permisses de acesso
efetivo.
Permisses Negar sobrescrevem permisses Permitir. Quando uma
entidade de segurana recebe permisses Permitir - seja atribudo
explicitamente, herdado, ou recebido atravs de um grupo do qual seja
membro voc pode sobrescrever essas permisses atribuindo para a
entidade permisses Negar do mesmo tipo.
Permisses explicitas tem precedncia sobre permisses herdadas.
Quando uma entidade de segurana recebe permisses herdadas de
um objeto pai ou por ser membro de um grupo, voc pode sobrepor
essas permisses atribuindo explicitamente permisses contrrias para
a entidade de segurana.

Claro que, ao invs de ficar examinando e avaliando todas as possveis fontes


de permisso, voc pode apenas abrir a caixa de dilogo Configuraes de
Segurana Avanadas e clicar na aba Acesso Efetivo. Nessa aba voc pode
selecionar um usurio, grupo ou equipamento e ver seu acesso efetivo,
levando em conta os grupos de que membro ou no.

Configurando permisses de compartilhamento.


No Windows Server 2012 R2, pastas compartilhada tm seu prprio sistema de
permisses, o qual independente dos outros sistemas de permisses do
Windows. Para usurios da rede acessarem compartilhamentos em um
servidor de arquivos, voc deve dar as permisses apropriadas para eles. Por
padro, a entidade especial Todos recebe a permisso de compartilhamento
Permitir Ler Controle Total em todos os novos compartilhamentos que voc
criar usando o Explorador de Arquivos. Em compartilhamentos que voc criar
usando o Gerenciador do Servidor, a entidade especial Todos recebe a
permisso de compartilhamentos Permitir Controle Total.
Para modificar as permisses de compartilhamento de um compartilhamento
existente usando o Explorador de Arquivos, voc abre a janela de Propriedades
da pasta compartilhada, seleciona a aba Compartilhamento, clica em
Permisses Avanadas e ento clica em Permisses para abrir a aba

81

Permisses de compartilhamento como mostra a figura a seguir.

Usando essa interface voc pode adicionar entidades de segurana e permitir


ou negar 3 tipos de permisses de compartilhamento. Para configurar
permisses de compartilhamento usando o Gerenciador do Servidor, seja
enquanto criar um compartilhamento ou modificar um existente, use o
procedimento abaixo.

No Gerenciador do Servidor , clique no cone dos Servios de Arquivos e


Armazenamento, e no submenu que aparece , clique em
Compartilhamentos para abrir a pagina inicial de compartilhamentos.
No bloco Compartilhamentos, clique com o boto direito do mouse e no
menu de atalho escolha Propriedades. A janela de propriedades para o
compartilhamento ser exibida.
Clique em Permisses. A pgina de permisses abrir.
Clique em Customizar Permisses. A caixa de dilogo Configuraes
Avanadas de Segurana para o compartilhamento em questo ser
exibida.

82

Clique na aba Compartilhamento para ver a interface mostrada na figura


abaixo.

Clique adicionar para abrir a caixa de dilogo Entrada de Permisso


para o Compartilhamento.
Clique no link selecionar uma entidade para exibir a caixa de dilogo
Selecione Usurio, Computador, Conta de Servio ou Grupo.
Digite o nome ou procure pela entidade de segurana que voc deseja
atribuir permisses e clique em OK. A entidade de segurana que voc
especificou aparecer na caixa de dilogo Entrada de Permisso
Selecione o tipo de permisso que deseja atribuir (Permitir ou Negar).
Selecione as caixas de seleo para as permisses que desejar e clique
em OK.
A nova ACE que voc acabou de criar aparecer na caixa de seleo
Configuraes Avanadas de Segurana.

Muitos administradores de servidores de arquivos simplesmente deixam a


permisso de compartilhamento Controle Total configurada para a
entidade especial Todos, basicamente ignorando as permisses de
compartilhamento e confiando somente nas permisses NTFS para
permisso granular do sistema de arquivos. Permisses NTFS controlam
o acesso de usurios locais e remotos, tornando as permisses de
compartilhamento redundantes.

83

Clique em OK para fechar a caixa de dilogo Configuraes Avanadas


de Segurana.
Clique em OK para fechar a janela de Propriedades.
Feche a janela do Gerenciador do Servidor.

Entendendo a autorizao NTFS


A maioria das instalaes do Windows hoje usam o sistema de arquivos NTFS
no lugar do FAT32. Umas das principais vantagens do NTFS que ele suporta
permisses, coisa que o FAT32 no faz. Como descrito anteriormente nesse
capitulo, cada arquivo e pasta em uma unidade NTFS tem uma ACL que
consiste em ACEs, cada qual contem uma entidade de segurana e as
permisses atribudas e essa entidade.
No sistema de permisses NTFS, as entidades de segurana envolvidas so
usurios e grupos, aos quais o Windows se refere usando identificadores de
segurana (security identifiers - SIDs). Quando um usurio tenta acessar um
arquivo ou pasta NTFS o sistema l o token de segurana de acesso do
usurio, que contm o SID da conta do usurio e todos os grupos dos quais o
usurio pertence. O sistema ento compara esses SIDs com aqueles salvos
no ACE da pasto ou arquivo para determinar qual o acesso que o usurio deve
ter. Esse processo chamado de autorizao.

Atribuindo permisses NTFS bsicas


A maioria dos administradores trabalha quase que exclusivamente com
permisses NTFS bsicas porque no existe necessidade de trabalhar
diretamente com permisses avanadas para as tarefas mais comuns de
controle de acesso.
Para atribuir permisses NTFS bsicas para uma pasta compartilhada, as
opes so basicamente as mesmas que as permisses de compartilhamento.
Voc pode abrir a janela de propriedades da pasta no Explorador de arquivos e
selecione a aba Segurana ou voc pode abrir a tela de propriedades de um
compartilhamento no Gerenciador do Servidor, como descrito abaixo.
1. No gerenciador do servidor abra a pgina inicial Compartilhamentos
Permisses NTFS no so limitadas a pastas compartilhadas. Cada arquivo e pasta
em uma unidade NTFS tem permisses. Embora esse procedimento descreva o
processo de atribuir permisses para uma pasta compartilhada, voc pode abrir a
janela de propriedades de qualquer pasta numa janela do Explorador de Arquivos,
clicar na aba Segurana e trabalhar com permisses NTFS da mesma maneira.

84

2. Abra a janela de propriedades de uma pasta e clique em Permisses


para abrir a pgina de permisses.
O Assistente de Novo Compartilhamento mostra essa mesma interface de
permisses na sua pgina de especifique permisses para controlar acesso. O
resto desse procedimento se aplica igualmente bem aquela pgina e as caixas
de dilogo subsequentes.

3. Clique em Customizar Permisses para abrir a caixa de dialogo


Configuraes Avanadas de Segurana para o compartilhamento,
mostrando a aba Permisses, como mostra a figura abaixo. Essa caixa
de dialogo o mais prximo que a interface grfico do Windows pode
chegar de mostrar o contedo de uma ACL.
4. Clique adicionar. Isso abre a caixa de dilogo Entrada de Permisso
para o compartilhamento.
5. Clique no link selecionar uma entidade para mostrar a caixa de dilogo
Selecione usurio, computador, conta de servio ou grupo.
6. Digite o nome ou procure pela entidade de segurana que deseja atribuir
permisses NTFS e clique OK. A entidade de segurana que voc
especificou aparecer na caixa de dilogo de Entrada de permisso.
7. No campo Tipo, selecione o tipo de permisses que deseja atribuir
(Permitir ou Negar).
8. No campo Aplicvel a, especifique quais subpastas e arquivos devem
herdam as permisses que voc est atribuindo.
9. Selecione as caixas de seleo para as permisses bsicas que quer
definir e clique em OK. A nova ACE que voc acabou de criar aparecer
na caixa de dilogo Configuraes Avanadas de Segurana.
10. Clique em OK duas vezes para fechar a caixa de dilogo Configuraes
Avanadas de Segurana e a janela de Propriedades.
11. Feche a janela do Gerenciador do Servidor.

Atribuindo permisses NTFS avanadas


No Windows Server 2012 R2, habilidade de gerenciar permisses avanadas
integrada dentro da interface que voc usa para gerenciar permisses bsicas.
Na caixa de dilogo de Entrada de Permisses, clicar no link mostrar
permisses avanadas muda a lista de permisses bsicas para umas lista de
permisses avanadas. Voc pode ento atribuir permisses avanadas em
qualquer combinao, assim como faria com permisses bsicas.

85

Combinando permisses de compartilhamento com permisses NTFS


importante que administradores de servidores de arquivos entendam que o
sistema de permisses NTFS completamente separado do sistema de
permisses de compartilhamento e que para usurios da rede acessarem
arquivos em uma unidade NTFS compartilhada, eles devem ter as permisses
NTFS corretas e as permisses de compartilhamento corretas. Geralmente,
administradores de rede preferem usar permisses NTFS ou de
compartilhamento, no ambas.
Permisses de compartilhamento oferecem proteo limitada, mas isso pode
ser suficiente em algumas redes pequenas. permisses de compartilhamento
podem tambm ser a nica opo num computador com unidades FAT32
porque o sistema de arquivos FAT32 no tem seu prprio sistema de
permisses.
Em redes que j possuem um sistema de permisses NTFS bem planejado,
permisses de compartilhamento no so realmente necessrias, voc pode
seguramente atribuir a permisso de compartilhamento Controle Total para
Todos e deixar as permisses NTFS controlarem a segurana. Adicionar as
permisses de compartilhamento iria complicar o processo de administrao
sem dar nenhuma proteo adicional.

Configurando Cpias de Sombra


Cpias de sombra um recurso do Windows Server 2012 R2 que te permite
manter verses anteriores dos arquivos em um servidor, ento se os usurios
acidentalmente deletarem ou sobrescrevem arquivos, eles podem acessar uma
cpia anterior desses arquivos. Voc pode implementar as cpias de sombra
apenas para um volume inteiro; voc no pode selecionar pastas, arquivos ou
compartilhamentos especficos.
Para configurar um volume do Windows Server 2012 R2 para criar Cpias de
Sombra use o procedimento abaixo.

Abra o explorador de arquivos


Na lista de pastas, expanda o container Computador, clique com o boto
direito do mouse em um volume e no menu de atalho selecione
Configurar cpias de sombra. A caixa de dilogo Cpias de sombra ser

86

exibida como mostra a figura abaixo.

Na caixa selecione um volume, escolhe o volume para o qual deseja


ativar as cpias de sombra. Por padro, quando voc ativa as cpias de
sombra em um volume, o sistema usa as seguintes configuraes.
o O sistema grava a cpia de sombra no volume especificado.
o O sistema reserva o mnimo de 300MB de espao em disco para
as cpias de sombra.
o O sistema cria cpias de sombra as 7:00 e as 0:00 todos os dias.
Para modificar os parmetros padro, clique em configuraes para abrir
a caixa de dilogo de configuraes.
Na caixa rea de armazenamento especifique o volume no qual quer
armazenar as cpias de sombra.
Especifique o tamanho mximo para a rea de armazenamento ou
escolha a opo sem limite. Se a rea de armazenamento encher, o
sistema comea a deletar as cpias de sombra mais antigas. Entretanto,
no importa quanto espao voc aloque para a rea de armazenamento.

87

O Windows Server 2012 R2 suporta o mximo de 64 cpias de sombra


para cada volume.
Clique em Agendar para abrir a caixa de dilogo de Agenda. Usando os
controles existentes voc pode mudar as tarefas de cpias de sombra
existentes, delet-las, ou criar novas, baseado na necessidade dos seus
usurios.
Clique OK duas vezes para fechar as caixas de dilogo Agenda e
Configuraes.
Clique em Habilitar. O sistema ativa o recurso de cpia de sombra para
o volume selecionado e cria a primeira cpia na rea de armazenamento
designada.
Feche o explorador de arquivos.

Depois de completar esse procedimento, usurios podem restaurar verses


anteriores de arquivos nos volumes selecionados da aba Verses Anteriores da
janela de propriedades de qualquer arquivo ou pasta.

Configurar cotas NTFS


Gerenciar espao em disco uma preocupao constante para
administradores de servidores, e uma maneira de prevenir usurios de
monopolizar o armazenamento implementar cotas. O Windows Server 2012
R2 suporta dois tipos de cotas de armazenamento. O tipo mais elaborado dos
dois implementado como parte do Gerenciador de Recursos de Servidor de
Arquivos. O segundo tipo, opo mais simples a cota NTFS.
Os objetivos para o exame 70-410 mencionam especificamente cotas NTFS,
enquanto as cotas do Gerenciador de Recursos de Servidor de Arquivos so
vistas nos objetivos do exame 70-411. Voc deve sabe distinguir dentre esse
dois tipos diferentes de cotas.

Cotas NTFS permitem aos administradores configurarem um limite de


armazenamento para usurios de um volume particular. Dependendo de como
voc configura a cota, usurios excedendo o limite podem ter espao em disco
negado ou semente receber um aviso. O espao consumido por usurios
individuais medido pelo tamanho dos arquivos que eles so proprietrios ou
que eles criaram.
Cotas NTFS so relativamente limitadas por voc s poder configurar limites no
nvel de volume. O recurso tambm limitado nas aes que pode tomar como
resposta a um usurio excedendo o limite. As cotas no Gerenciador de
Recursos de Servidor de Arquivos, em contrapartida, so muito mais flexveis

88

nos limites que voc pode configurar e nas respostas do programa (que pode
mandar notificaes por email, executar comandos, gerar relatrios ou criar
eventos de log).
Para configurar cotas NTFS para um volume, use o procedimento abaixo.

Abra o Explorador de Arquivos


Na lista de pastas, expanda o container Computador, clique com o boto
direito do mouse em um volume e no menu de atalho selecione
propriedades. A janela de propriedades para o volume aparecer.
Clique na aba Cota para ver a interface mostrada na figura abaixo.

Clique na caixa de seleo ativar gerenciamento de cota para ativar os


outros controles.
Se quiser prevenir usurios de consumir mais do que sua cota de
espao em disco, selecione a caixa de seleo negar espao em disco
para limites de cota excedidos.

89

Selecione a opo limitar espao em disco a, e especifique os valores


para o limite de cota e o nvel de notificao.
Marque as caixas de seleo de registrar evento para controlar se
usurios excedendo os limites especificados devem disparar eventos do
sistema.
Clique OK para criar a cota e feche a janela de propriedades.
Feche o explorador de arquivos.

Configurando Pastas de Trabalho


Pastas de Trabalho um recurso do Windows Server 2012 R2 que permite aos
administradores prover aos seus usurios acesso sincronizado aos seus
arquivos em varias estaes de trabalho e dispositivos salvando-os em um
servidor de arquivos. O principio basicamente o mesmo do mesmo do servio
Microsoft SkyDrive, exceto que os arquivos so salvos em um servidor privado
dentro da empresa e no na nuvem. Isso permite a administrao ter controle
sobre os arquivos, controlar os backups, classific-los e/ou criptograf-los
conforme desejado.
Pastas de Trabalho um novo recurso do Windows Server 2012 R2
que foi adicionado aos objetivos do exame 70-410. Voc deve se tornar
familiar com o processo de criao e configurao das Pastas de
Trabalho, embora no seja preciso entrar nos detalhes do lado cliente
da aplicao que se passa no Windows 8.1

Para configurar o ambiente das Pastas de Trabalho, voc instala o servio de


funo Pastas de Trabalho dentro da funo Servios de Arquivos e
Armazenamento em um servidor rodando o Windows Server 2012 R2 e cria um
novo tipo de compartilhamento chamado compartilhamento sincronizado. Isso
instala o recurso IIS Hostable Web Core, que torna possvel para o servidor
responder requisies HTTP de clientes de Pastas de Trabalho na rede.
Do lado cliente, voc configura as Pastas de Trabalho no Painel de Controle do
Windows 8.1, especificando o e-mail do usurio e a localizao das Pastas de
Trabalho no disco local. O sistema tambm cria uma pasta de sistema
chamada Pastas de Trabalho, que aparece no Explorador de Arquivos e em
dilogos de gerenciamento de arquivos. Quando o usurio salva arquivos na
Pasta de Trabalho do sistema cliente, eles so sincronizados automaticamente
com a pasta do usurio no servidor de Pastas de Trabalho.
Usurios podem criar quantas Pastas de Trabalho quanto quiserem em
diferentes computadores ou outros dispositivos. Depois de salvar arquivos nas
suas Pastas de Trabalho nas suas estaes de trabalho, por exemplo, usurios

90

podem ir para casa e ver esses arquivos j sincronizados com os seus


computadores. Da mesma maneira, as Pastas de Trabalho podem sincronizar
arquivos de um usurio para um dispositivo porttil no escritrio e o usurio
pode trabalhar com ele enquanto estiver offline enquanto vai pra casa.
Chegando em casa e conectando na internet , o dispositivo sincroniza os
arquivos com o servidor novamente, para que o usurio encontre a ultima
verso no computador do escritrio no prximo dia.
Pastas de Trabalho no foi feito para ser uma ferramenta colaborativa;
apenas um meio de sincronizar pastas entre mltiplos dispositivos enquanto
permite que administradores mantenham controle sobre eles. possvel
especificar que as Pastas de Trabalho mantenham-se criptografadas durante a
sincronizao e administradores podem impor politicas de segurana que
foram o uso de telas de bloqueio e limpeza de dados mandatrias para
maquinas perdidas.

2.2 Configurar servios de impresso e documentos

Assim como as funes de compartilhamento de arquivos discutidas na seo


anterior, compartilhamento de dispositivos de impresso uma das aplicaes
mais bsicas para as quais as redes locais foram criadas.

Implantando um Servidor de Impresso


Instalar, compartilhar, monitorar e gerenciar um nico dispositivo de impresso
de rede relativamente simples, mas quando voc responsvel por dezenas
ou at mesmo centenas de dispositivos de impresso em uma grande rede
empresarial, estas tarefas podem ser exaustivas.

Entendendo a arquitetura de impresso do Windows


importante entender os termos que a Microsoft usa quando se refere aos
componentes da arquitetura de impresso. Impresso no Microsoft Windows
normalmente envolve os 4 componentes abaixo.

Dispositivo de impresso. O dispositivo de impresso o prprio


hardware que produz os documentos em papel ou outra mdia. O
Windows Server 2012 R2 suporta dispositivos de impresso locais, que
so conectados diretamente a uma porta do computador, e dispositivos
de impresso de rede, que so conectados na rede pela porta ethernet.

91

Impressora. No Windows, uma impressora a interface de software pela


qual o computador se comunica com um dispositivo de impresso. O
Windows Server 2012 R2 suporta diversas interfaces fsicas, incluindo
USB, FireWire, paralela (LPT), serial (COM), infravermelho, bluetooth, e
servios de impresso pela rede como LPR, protocolo de impresso
pela rede (Internet Printing Protocol - IPP), e portas TCP-IP padro.
Servidor de impresso. Um servidor de impresso um computador ou
dispositivo que recebe os trabalhos de impresso dos clientes e os
encaminha para os dispositivos de impresso que esto conectados
localmente ou na rede.
Driver de impresso. Um Driver de impresso um driver de dispositivo
que converte os trabalhos de impresso gerados pelas aplicaes em
strings de comandos apropriadas para um dispositivo de impresso
especifico. Drivers de impresso so feitos para um dispositivo de
impresso especifico e do acesso a todos os recursos do dispositivo de
impresso para as aplicaes.

Impressora e dispositivo de impresso so os termos mais mal usados no


vocabulrio de impresso do Windows. Obviamente muitas fontes usam Impressora
para se referir ao hardware de impresso. Entretanto, no Windows, impressora e
dispositivo de impresso no so equivalentes. Por exemplo, voc pode adicionar uma
impressora em um computador com o Windows Server 2012 R2 sem um dispositivo
fsico de impresso estar presente. O computador pode ento hospedar a impressora,
servidor de impresso ou driver de impresso. Esses trs componentes permitem que
o computador processe os trabalhos de impresso e coloque-os na fila de impresso
at que o dispositivo de impresso esteja pronto.

Entendendo impresso no Windows


Esse quatro componentes trabalham juntos para processar trabalhos de
impresso produzidos por aplicaes do Windows e transformam-nos em

92

documentos fsicos como mostra o esquema abaixo.

Antes que voc possa imprimir documentos no Windows, voc deve instalar
pelo menos uma impressora. Para instalar uma impressora no Windows, voc
deve fazer o seguinte:

Selecione o modelo e fabricante especficos para o dispositivo de


impresso.
Especifique a porta (ou outra interface) que o computador usar para
acessar o dispositivo de impresso.
Carregue o driver criado especificamente para esse dispositivo de
impresso.

Quando voc imprime um documento em uma aplicao, voc seleciona a


impressora que ser o destino para o trabalho de impresso.
A impressora associada com um driver de impresso que pega os comando
gerados pela aplicao e converte-os em linguagem de controle de impressora
(printer control language - PCL), uma linguagem entendida pela impressora. Os
PCLs podem ser padronizados assim como a linguagem PostScript, ou eles
podem ser linguagens proprietrias desenvolvidas pela fabricante do
dispositivo de impresso.
O driver de impresso te permite configurar o trabalho de impresso para usar
vrios recursos do dispositivo de impresso. Esses recurso esto tipicamente
incorporados na janela de propriedades da impressora. Por exemplo sua
aplicao de criao de documentos no sabe se sua impressora colorida ou
monocromtica. O driver de impresso d suporte a recursos como esses.
Depois que a impressora processa um trabalho de impresso, guarda o
documento em uma fila de impresso , conhecido como spooler. Dependendo
da organizao dos componentes de impresso, os trabalhos na fila podem

93

estar no formato PCL, prontos para ir para o dispositivo de impresso, ou em


um formato intermedirio, caso em que o driver de impresso deve processar
os trabalhos na fila de impresso para o formato PCL antes de envi-los para o
dispositivo de impresso. Se outros trabalhos esto esperando para ser
impressos, um novo trabalho pode ter de esperar na fila por algum tempo.
Quando o servidor finalmente manda o trabalho de impresso para o
dispositivo de impresso, o dispositivo l os comandos PCL e produz o
documento fsico.

Flexibilidade de impresso no Windows


A flexibilidade da arquitetura de impresso do Windows manifestada nas
diferentes maneiras que voc pode implementar os quatro componentes de
impresso. Um nico computador pode realizar todos os papis (exceto pelo
dispositivo de impresso, claro) ou voc pode distribuir os papeis pela rede.
As sesses seguintes descrevem quatro configuraes fundamentais que so a
base da maioria das implementaes de impresso no Windows.

Impresso direta
Compartilhamento de impressora local
Impresso pela rede
Compartilhamento de impressora de rede

Impresso direta
A arquitetura de impresso mais simples consiste em um dispositivo de
impresso conectado a um computador, tambm conhecido como impressora
local. Quando voc conecta um dispositivo de impresso diretamente a um
computador com o Windows Server 2012 R2 e imprime a partir de uma
aplicao de dentro daquele sistema, o computador prov a impressora, o
driver de impresso e as funes de servidor de impresso.

Compartilhamento de impressora local


Alm de imprimir a partir de uma aplicao rodando no prprio computador,
voc tambm pode compartilhar a impressora (e o dispositivo de impresso)
com outros usurios na mesma rede. Nesta disposio, o computador
conectado ao dispositivo de impresso funciona como o servidor de impresso.
A figura abaixo mostra os outros computadores da rede, que so conhecidos

94

como clientes de impresso.

Na configurao padro de compartilhamento de impressora do Windows


Server 2012 R2, cada cliente usa o seu prprio driver de impresso sua prpria
impressora. Como antes, a aplicao rodando no cliente manda o trabalho de
impresso para a impressora e o driver de impresso processa o trabalho,
baseado nos recursos do dispositivo de impresso.
A principal vantagem deste arranjo de impresso que mltiplos usurios,
localizados em qualquer lugar na rede, podem mandar trabalhos de impresso
para um nico dispositivo de impresso conectado em um computador
funcionando como um servidor de impresso. O ponto negativo que o
processamento de trabalhos de impresso para vrios usurios pode impor um
fardo significativo no servidor de impresso. Embora qualquer computador com
o Windows Server 2012 R2 possa funcionar como um servidor de impresso,
voc deve usar uma estao de trabalho para este fim somente quando tiver
somente um punhado de clientes para dar suporte ou se tiver um volume de
impresso muito leve.

Impresso pela rede


As solues de impresso discutidas at aqui envolvem um dispositivo de
impresso conectado diretamente a um computador. Entretanto, dispositivos de
impresso no necessariamente devem estar conectados a um computador.
Voc pode conectar um dispositivo de impresso diretamente na rede. Muitos
modelos j tem uma interface de rede integrada, permitindo conectar um cabo

95

de rede padro. Algumas impressoras tem slots de expanso nos quais voc
pode instalar adaptadores para interface de rede. Por fim, para dispositivos de
impresso sem nenhum recurso de rede, existem os chamados print servers,
dispositivos que se conectam na impressora e tem uma interface de rede.
Dispositivos de impresso equipados dessa maneira tem seu prprio endereo
IP e tem uma pagina Web de configurao integrada.
Com impressoras de rede, a deciso primria de implantao que o
administrador deve tomar qual o computador que ser o servidor de
impresso. Uma opo simples (porem frequentemente impraticvel ) deixar
cada cliente de impresso funcionar como seu prprio servidor de impresso ,
como voc pode ver na figura abaixo. Cada cliente processa e coloca na fila de
impresso seus prprios trabalhos de impresso, se conecta com o dispositivo
de impresso atravs de uma porta TCP e envia o trabalho de impresso
diretamente para o dispositivo para impresso.

Mesmo usurios individuais sem nenhuma assistncia vo achar este esquema


simples de configurar. Entretanto, as desvantagens so muitas, incluindo as
seguintes:

Usurios examinando a fila de impresso vero apenas o seus trabalhos


de impresso.
Os usurios no esto a par de outros usurios usando ou no o
dispositivo de impresso. Eles no tem como saber quais outros
trabalhos foram enviados para o dispositivo de impresso ou quanto
tempo levar at que as impressos sejam concludas.
Administradores no tem como gerenciar centralmente a fila de
impresso porque cada cliente tem sua fila de impresso.

96

Administradores no podem implementar funcionalidades avanadas de


impresso, como pools de impresso (visto a seguir) ou administrao
remota.
Mensagens de erro aparecem somente no computador que originou o
trabalho que o dispositivo de impresso esteja processando.
Todo o processamento do trabalho de impresso realizado pelo cliente
ao invs de ser parcialmente transferido para um servidor de impresso
externo.

Por essas razes, este arranjo s apropriado para pequenas redes de grupos
de trabalho que no possuem administradores exclusivos para fornecer
suporte.

Compartilhamento de impressoras de rede


A outra opo, bem mais popular para impresso em rede designar um
computador como o servidor de impresso e us-lo para servir todos os
clientes da rede. Para fazer isso, voc instala uma impressora em um
computador (que se torna o servidor de impresso ) e configura-o para acessar
o dispositivo de impresso diretamente via porta TCP. Voc ento compartilha
a impressora, assim como faria com um dispositivo de impresso local, e
configura os clientes para acessar o compartilhamento de impressora.
Como voc pode ver na figura a seguir, a configurao fsica a mesma do
arranjo anterior, mas o caminho lgico que o trabalho de impresso traa at o
dispositivo de impresso diferente. Ao invs de ir reto para o dispositivo de
impresso, os trabalhos vo para o servidor de impresso, que os coloca na fila
de impresso e depois os envia para o dispositivo de impresso em ordem.

97

Com essa disposio, virtualmente todas as desvantagens do arranjo de


mltiplos servidores de impresso se tornam vantagens:

Todos os trabalhos dos clientes so guardados em uma nica fila de


impresso, ento usurios e administradores podem ver a lista completa
de trabalhos que esto esperando para serem impressos.
Parte do fardo de processar trabalhos transferido para o servidor de
impresso.
Os administradores podem gerenciar todos os trabalhos em espera de
um local remoto.
Mensagens de erros de impresso aparecem em todos os clientes.
Os administradores podem implementar pools de impresso e outras
funcionalidades avanadas de impresso.
Administradores podem gerenciar a segurana, auditoria, monitoramento
e funes de registros (log) a partir de um local central.

Configuraes de impresso avanadas


Administradores podem usar as quatro configuraes descritas nas sesses
anteriores como base para criar solues para suas redes.
Muitas variaes possveis podem ser usadas para criar uma arquitetura de
impresso de rede que suporte as necessidades de sua organizao. Algumas
das possibilidades mais avanadas podem ser:

Voc pode conectar uma nica impressora vrios dispositivo de


impresso, criando o que chamado de pool de impresso. Em uma
rede muito ativa com muitos clientes de impresso, o servidor de
impresso pode distribuir grandes nmeros de trabalhos entre vrios
dispositivos de impresso idnticos para prover um servio mais gil e
maior tolerncia a falhas.
Voc pode conectar vrios dispositivo de impresso que suportam
diferentes tipos e tamanhos de papel em uma nica impressora, que ir
distribuir os trabalhos com requisitos diferentes para os dispositivos de
impresso apropriados.
Voc pode conectar vrias impressoras em um nico dispositivo de
impresso. Criando vrias impressoras, voc pode configurar diferentes
prioridades, configuraes de segurana, auditoria, e parmetros de
configurao para usurios diferentes. Por exemplo, voc pode criar
uma impressora de alta prioridade para executivos e outra de baixa
prioridade para estagirios. Isso assegura que os trabalhos dos
executivos sero impressos antes, mesmo que as impressoras estejam
conectadas ao mesmo dispositivo de impresso.

98

Compartilhando uma impressora


Usar o Windows Server 2012 R2 como servidor de impresso pode ser simples
ou complexo, dependendo do numero de clientes que o servidor ter de
suportar e do numero de impresses. Para uma rede domstica ou de pequena
empresa, na qual alguns usurios precisam de acesso ocasional impressora,
nenhuma preparao adicional necessria. Entretanto, se o computador deve
suportar uso pesado de impresso, atualizaes de hardware (como espao
em disco adicional ou memria) podem ser necessrias.
Voc tambm pode considerar fazer do computador um servidor de impresso
dedicado. Alm de memria e espao em disco, usar o Windows Server 2012
R2 como um servidor de impresso requer ciclos de processador, como
qualquer outra aplicao. Num servidor lidando com trfego pesado de
impresso , as outras funes e aplicaes possivelmente iro experimentar
uma degradao substancial de desempenho. Se voc precisa que um servidor
de impresso lide com trafego pesado, considere dedicar o computador
somente para tarefas de impresso e implantar outras funes e aplicaes em
outro lugar.
Num computador com o Windows Server 2012 R2, voc pode compartilhar
uma impressora no momento da instalao ou em qualquer momento depois
disso. No caso de impressoras antigas, voc inicia o processo de instalao
atravs do Assistente de Adicionar Impressora de dentro da seo Dispositivos
e Impressoras no Painel de Controle. Entretanto , a maioria das impressoras no
mercado hoje usam uma conexo USB para um computador ou uma conexo
Ethernet ou Wireless para a rede.
No caso de uma impressora USB, voc conecta a impressora no computador e
liga o dispositivo para iniciar o processo de instalao. Uma interveno
manual s necessria no caso do Windows Server 2012 R2 no ter o driver
para o dispositivo de impresso.
Para impressoras de rede, um programa de instalao fornecido com o produto
localiza o dispositivo na rede, instala os drivers corretos, cria uma impressora
no computador e configura a impressora com o endereo IP adequado e
demais configuraes.
Depois que a impressora instalada no computador com o Windows Server
2012 R2 que funcionar como servidor de impresso, voc pode compartilh-la
com seus clientes da rede usando o seguinte procedimento.

Abra a categoria Dispositivos e Impressoras do Painel de Controle


Clique com o boto direito do mouse na impressora que quer
compartilhar e, no menu de atalho, selecione propriedades. A janela de
propriedades da impressora abrir.

99

O menu de atalho de todas as impressoras d acesso a duas janelas


de propriedades. O item propriedades da impressora abre a janela
das propriedades da impressora e o item propriedades abre a janela
das propriedades do dispositivo de impresso

Clique na aba compartilhar


Marque a caixa de seleo Compartilhar essa impressora. O nome da
impressora aparecer na caixa de texto Nome do compartilhamento.
Voc pode aceit-lo ou alter-lo.
Selecione uma ou ambas as caixas de seleo opcionais:
o Processar trabalhos de impresso em computadores cliente.
Minimiza a utilizao de recursos do servidor de impresso
forando os clientes a realizarem o processamento dos trabalhos
de impresso.
o Listar no diretrio. Cria um novo objeto de impressora no banco
de dados do Active Directory, permitindo usurios do domnio
localizar a impressora pesquisando n diretrio. Essa opo
aparece somente quando o computador membro de um domnio
do Active Directory.
Opcionalmente, clique em drivers adicionais para abrir a caixa de
dilogo drivers adicionais. Essa caixa de dilogo te permite carregar
drivers de impressoras para outras plataformas do Windows , como x86.
Quando voc instala os drivers alternativos, o servidor de impresso
automaticamente entrega-os aos clientes usando as respectivas verses
do sistema operacional.
Selecione qualquer combinao das caixas de seleo disponveis e
clique em OK. Para cada caixa de seleo que voc seleciona, o
Windows Server 2012 R2 mostra uma caixa de dilogo de Drivers de
Impresso.
Em cada caixa de dilogo de Drivers de Impresso, digite a localizao
ou procure pelo driver de impressora para o sistema operacional
selecionado e clique em OK.
Clique em OK para fechar a caixa de dilogo Drivers Adicionais.
Clique em OK para fechar a janela de propriedades da impressora. O
cone da impressora dentro do painel de controle agora inclui um
smbolo indicando que foi compartilhada.
Feche o Painel de controle.

Neste ponto a impressora esta disponvel para clientes na rede.

100

Gerenciando drivers de impressoras


Drivers de impressoras so os componentes que permitem seus computadores
gerenciar as funcionalidades dos seus dispositivos de impresso. Quando voc
instala uma impressora em um servidor rodando o Windows Server 2012 R2,
voc tambm instala um driver que outros computadores Windows podem usar.
Os drivers de impressoras que voc instala no Windows Server 2012 R2 so
os mesmos drivers que estaes de trabalho Windows e outras verses de
servidor usam, com um porm. Sendo uma plataforma 64 bits, o Windows
Server 2012 R2 usa drivers de dispositivos 64 bits, os quais so apropriados
para outros computadores rodando verses 64 bits do Windows. Se voc tem
sistemas Windows 32 bits na sua rede, entretanto, voc deve instalar o driver
32 bits no servidor para esses sistemas usarem.
A caixa de dilogo Drivers Adicionais, acessvel a partir da aba
Compartilhamento da janela de propriedades de uma impressora, te permite
instalar drivers para outras plataformas de drivers. Entretanto, voc deve
instalar esses drivers do computador rodando na plataforma alternativa. em
outras palavras, para instalar um driver 32 bits de uma impressora em um
servidor com o Windows Server 2012 R2, voc deve acessar a janela de
propriedades da impressora a partir de um computador rodando uma verso 32
bits do Windows. Voc pode fazer isso acessando a impressora diretamente
pela rede atravs do Explorador de Arquivos ou rodando o snap-in de
Gerenciamento de Impresso no sistema 32 bits e usando-o para gerenciar o
seu servidor de impresso Windows Server 2012 R2.
Para o servidor poder suprir drivers de diferentes plataformas para os
computadores clientes, voc deve se certificar que quando for instalar drivers
para o mesmo dispositivo de impresso que eles tenham nomes idnticos.
Por exemplo, o Windows Server 2012 R2 vai tratar HP LaserJet 5200 PCL6
e HP LaserJet 5200 PCL 6 como dois drivers diferentes. Os nomes devem
ser idnticos para que o servidor possa aplic-los corretamente.

Usando o Easy Print no acesso remoto


Quando um cliente do Servio de rea de trabalho Remota conecta a um
servidor, roda aplicaes usando a memria e processador do servidor.
Entretanto, se aquele cliente quiser imprimir um documento de uma daquelas
aplicaes , vai querer que o trabalho de impresso v para o dispositivo de
impresso conectado ao computador cliente.
O componente que permite clientes do Servio de rea de trabalho Remota
imprimam em seus dispositivos locais chamado Easy Print (Imprima Fcil). O
Easy Print toma a forma de um driver de impressora que instalado no

101

servidor junto com o servio de funo Host de Sesso de rea de trabalho


Remota.
O driver do Easy Print aparece automaticamente no snap-in de Gerenciamento
de Impresso, mas no associado a nenhum dispositivo de impresso em
particular. Ao invs disso , o driver funciona como um redirecionador ,
permitindo o servidor acessar as impressoras nos clientes conectados.
No Windows Server 2012 R2, o Easy Print no requer outra configurao alm
da permisso de conexes de rea de trabalho Remota ou da instalao da
funo dos Servios de rea de trabalho Remota. Entretanto, uma vez
operacional, ele d ao administrador acesso adicional s impressoras nos
clientes de rea de trabalho Remota.
Quando um cliente de rea de trabalho Remota conecta-se a um servidor
usando o programa de Conexo de rea de trabalho Remota ou o site RD Web
Access, as impressoras instaladas no sistema cliente so redirecionadas para
o servidor e aparecem no snap-in de Gerenciamento de Impresso como
impressoras de servidor redirecionadas, como mostra a figura abaixo.

Um cliente rodando uma aplicao no servidor pode ento imprimir em um


dispositivo local usando a impressora redirecionada. Os administradores
tambm podem abrir a janela de propriedades da impressora redirecionada da
maneira de sempre e manipular as suas configuraes.

Configurando segurana de impressora


Assim como compartilhamentos de pastas, clientes devem ter as permisses
corretas para acessar impressoras compartilhadas. Permisses de impressoras
so muito mais simples que permisses NTFS; elas ditam se os usurios
podem usar a impressora, se podem gerenciar documentos enviados para a

102

impressora ou gerenciar as propriedades da impressora em si. Para atribuir


permisses para uma impressora, use o seguinte procedimento.

Abra o painel de controle e selecione Hardware, dispositivos e


impressoras.
Clique com o boto direito do mouse em uma das impressoras, e no
menu de atalho, selecione propriedades. A janela de propriedades
abrir.
Clique na aba segurana. A parte de cima lista todas as entidades de
segurana que atualmente possuem permisses na impressora
selecionada. A parte de baixo lista as permisses da entidade de
segurana selecionada.
Clique adicionar. A caixa de dilogo Selecione Usurio, computador ou
grupo aparecer.
Na caixa de texto Entre com os nomes dos objetos a selecionar, digite o
nome de usurio ou de um grupo clique em OK. O usurio ou grupo
aparecer na lista de nomes de usurio.
Selecione a entidade de segurana que voc adicionou e marque ou
desmarque as caixas de seleo da parte de baixo da janela para
Permitir ou Negar ao usurio qualquer uma das permisses bsicas.
Clique em OK para fechar a janela de propriedades
Feche o Painel de Controle

Assim como permisses NTFS, existem dois tipos de permisses: bsico e


avanado. Cada uma das 3 permisses bsicas consiste de uma combinao
das permisses avanadas.

Gerenciando documentos
Por padro, todas as impressoras atribuem a permisso Permitir Impresso
para a entidade especial Todos, que permite todos os usurios acessarem a
impressora e gerenciarem seus prprios documentos. Usurios que possuem a
permisso Permitir Gerenciar Documentos podem gerenciar os documentos de
qualquer usurio.
Gerenciar documentos quer dizer pausar, continuar, reiniciar e cancelar
documentos que esto esperando na fila de impresso. O Windows Server
2012 R2 tem uma janela de fila de impresso para cada impressora, o que
permite os usurios verem os trabalhos que esto atualmente esperando para
serem impressos. Para gerenciar documentos , use o procedimento abaixo.

Abra o Painel de Controle e selecione Hardware, Dispositivos e


Impressoras. A janela de Dispositivos e Impressoras abrir.

103

Clique com o boto direito do mouse no cone de uma das


impressoras , e no menu de atalho selecione, Ver o que est
sendo impresso. A janela da lista de impresso com o nome da
impressora ser exibida.
Selecione um dos itens do menu para realizar a funo associada
Feche a janela da fila de impresso
Feche o painel de controle

Gerenciando impressoras
Usurios com a permisso Permitir Gerenciar essa impressora podem ir alm
de manipular documentos na fila; eles podem reconfigurar a impressora em si.
Gerenciar uma impressora se refere a alterar os parmetros operacionais que
afetam todos os usurios e o controle de acesso impressora.
Geralmente, a maioria das tarefas baseadas em software que caem na
categoria de gerenciar uma impressora so aqueles que voc realiza quando
esta configurando a impressora pela primeira vez. Gerenciamento rotineiro
mais provavelmente envolver manuteno fsica , como tirar papeis entalados,
recarregar papel, e trocas de toner ou tinta. Entretanto, as sesses seguintes
examinam algumas das tarefas tpicas do gestor de impressoras.

Configurar prioridades de impressora


Em alguns casos, administradores com a permisso Gerenciar essa
impressora podem querer dar a alguns usurios especficos na sua
organizao acesso prioritrio a um dispositivo de impresso para que quando
o trfego estiver pesado, os seus trabalhos sero processado antes dos outros
usurios. Para fazer isso, voc deve criar mltiplas impressoras, associ-las
com o mesmo dispositivo de impresso, e ento modificar suas prioridades,
como descrito no procedimento abaixo.

Abra o Painel de Controle e selecione Hardware, Dispositivos e


Impressoras. A janela de Dispositivos e Impressoras abrir.
Clique com o boto direito do mouse no cone de uma das impressoras ,
e no menu de atalho selecione, propriedades. A janela de propriedades
abrir.

104

Clique na aba avanado, como mostra a figura abaixo.

Marque a prioridade com um numero representando a prioridade mais


alta que voc quer configurar para a impressora. Nmeros maiores
representam prioridades maiores. A maior prioridade possvel 99.
Os valores de Prioridade no tem nenhum valor absoluto, eles so
pertinentes somente em relao uns com os outros. Desde que uma
impressora tenha uma prioridade mais alta que outra o servidor ir processar
seus trabalhos primeiro. Em outras palavras, no importa se a prioridade
mais alta 9 ou 99, desde que o valor de prioridade menor seja menos que
esse nmero.

Clique na aba Segurana


Adicione os usurios ou grupos que deseja dar acesso a impressora de
alta prioridade e atribua a permisso Permitir Imprimir para eles.
Retire a permisso Permitir Imprimir para a entidade especial Todos.
Clique OK e feche a janela de Propriedades.
Crie uma impressora idntica usando o mesmo driver de impressora e
apontando para o mesmo dispositivo de impresso. Deixe a

105

configurao de Prioridade no seu valor padro de 1 e deixe as


permisses padro.
Renomeie as impressoras, especificando a prioridade de cada uma.
Feche o painel de controle.

Informe os usurios privilegiados que eles devem enviar seus trabalhos para a
impressora de alta prioridade. Todos os trabalhos enviados para essa
impressora sero processado antes que os trabalhos da outra impressora de
baixa prioridade.

Criando um pool de impressoras


Como mencionado anteriormente, um pool de impresso aumenta a
capacidade de produo de uma nica impressora por meio da ligao com
diversos dispositivos de impresso. Quando voc cria um pool de impresso, a
impressora manda cada trabalho que chega para o primeiro dispositivo de
impresso disponvel que encontra. Isso efetivamente distribui os trabalhos
entre os dispositivos de impresso disponveis, provendo um servio muito
mais rpido aos usurios.
Para configurar um pool de impresso use o procedimento abaixo:

Abra o Painel de Controle e selecione a categoria Hardware, e depois


Dispositivos e Impressoras. A janela de Dispositivos e Impressoras ser
exibida.
Clique com o boto direito do mouse no cone de uma das impressoras ,
e no menu de atalho selecione, propriedades. A janela de propriedades
abrir.
Clique na aba Portas.
Marque a caixa de seleo Ativar pool de impresso e clique OK.
Selecione todas as portas em que os dispositivos de impresso esto
conectados.
Feche o painel de controle.

Para criar um pool de impresso, voc deve ter pelo menos dois dispositivos de
impresso idnticos, ou pelo menos dois dispositivos de impresso que usem o
mesmo driver. Os dispositivos de impresso devem estar no mesmo local
porque no existe como saber em qual dispositivo de impresso a impresso
sair. Voc tambm deve conectar todos os dispositivos de impresso ao
mesmo servidor. Se o servidor de impresso um Windows Server 2012 R2,
voc pode conectar os dispositivos de impresso em quaisquer portas que
sejam viveis.

106

Usando a Funo Servios de Impresso e Documentos


Todas as funcionalidades de compartilhamento e gerenciamento de
impressoras discutidas anteriormente esto disponveis em qualquer
computador com o Windows Server 2012 R2 em sua configurao padro de
instalao. Entretanto, instalar a Funo Servios de Impresso e Documentos
no computador habilita ferramentas adicionais que so particularmente teis
para administradores envolvidos em impresso pela rede em escala
corporativa.
Quando voc instala a Funo Servios de Impresso e Documentos por meio
do Assistente Adicionar Funo e Recursos do Gerenciador do Servidor,
aparecer uma pgina de seleo de servios de funo, permitindo-lhe
escolher dentre as opes abaixo:

Print Server (Servidor de impresso). Instala o console de


gerenciamento de impresso para o MMC (Microsoft Management
Console), que permite administradores implantar, monitorar e gerenciar
impressoras por toda a empresa.
Distributed Scan Server (Servidor de scanner Distribudo). Permite que
o computador receba documentos de scanners de rede e encaminhe-os
aos usurios apropriados.
Internet Printing (Impresso pela Internet). Cria um website que
permite aos usurios mandarem trabalhos de impresso para
impressoras Windows compartilhadas.
LPD Service (Servio LPD). Permite que usurios UNIX rodando o
programa LPR (line printer remote) possam mandar seus trabalhos de
impresso para impressoras Windows.

Como sempre o Windows Server 2012 R2 adiciona um novo cone no painel de


navegao do Gerenciador do Servidor quando voc instala uma funo. A
pgina inicial dos Servios de Impresso contm uma viso filtrada das
entradas de log relacionadas a impresso, o status dos servios de sistema
relacionados funo e servios da prpria funo, e contadores de
desempenho.
O console de Gerenciamento de Impresso, uma ferramenta administrativa,
consolida os controles para os componentes de impresso de toda a
organizao em um nico console. Usando essa ferramenta, voc pode
acessar filas de impresso e as propriedades de todas as impressoras de rede
da empresa, pode implantar impressoras em computadores clientes usando
Politicas de Grupo, e pode criar vises customizadas que simplificam o
processo de detectar dispositivos de impresso que necessitam de ateno
devido a erros ou consumveis que acabaram.

107

O Windows Server 2012 R2 instala o console de Gerenciamento de Impresso


quando voc adiciona a Funo Servios de Impresso e Documentos no
computador. Voc tambm pode instalar o console sem a funo adicionando o
recurso Ferramentas de Servios de Impresso e Documentos, encontrada
dentro do item Remote Server Administration Tools - Role Administration Tools
do Assistente Adicionar Funes e Recursos.
As sesses seguintes demonstraro algumas das tarefas de administrao que
voc pode fazer utilizando o console de Gerenciamento de Impresso.

Adicionar servidores de impresso


Por padro, o console de Gerenciamento de Impresso mostra apenas a
mquina local na lista de servidores de impresso. Cada servidor de impresso
tem quatro ns abaixo dele como mostra a figura a seguir, listando os drivers,
formulrios, portas e impressoras associadas com o servidor.

Para gerenciar outros servidores de impresso e suas impressoras, voc deve


adicion-los ao console usando o procedimento abaixo.

No Gerenciador do Servidor, clique em ferramentas e clique em


Gerenciamento de Impresso para abrir o console de Gerenciamento de
Impresso.
Clique com o boto direito no n Servidores de Impresso, e do menu
de atalho, selecione Adicionar ou Remover Servidores para abrir a caixa
de dilogo Adicionar ou Remover Servidores.
Na caixa Especificar servidor de impresso, clique em Procurar. A caixa
de dilogo Selecionar servidor de impresso ser mostrada.

108

Selecione o servidor que deseja adicionar ao console e clique selecionar


servidor. O servidor selecionado vai aparecer na caixa de texto Adicionar
servidores na caixa de dilogo Adicionar ou Remover Servidores.
Clique no boto Adicionar Lista. O servidor selecionado aparecer na
lista de Servidores de impresso.
Clique OK. O servidor aparecer abaixo do n Servidores de Impresso.
Feche o console de Gerenciamento de Impresso.

Agora voc pode gerenciar as impressoras associadas com o servidor que


voc adicionou ao console.

Visualizar impressoras
Umas das maiores dificuldades dos administradores de impresso em grandes
redes manter registro de dezenas ou centenas de dispositivos de impresso,
todos em uso frequente e todos precisando de ateno regularmente. Seja a
manuteno necessria um reparo mais crtico, uma troca de toner ou de
cartucho de tinta, uma recarga de papel, dispositivos de impresso no tero a
ateno necessria at que um administrador fique sabendo do problema.
O console de Gerenciamento de Impresso prove mltiplas maneiras de
visualizar os componentes de impresso associados com os servidores de
impresso na rede. Para criar visualizaes, o console pega a lista completa de
impressoras e aplica vrios filtros, selecionando quais impressoras mostrar.
Dentro do n Filtros Personalizados, existem 4 filtros personalizados como
podemos ver abaixo:

Todas as Impressoras. Contm uma lista de todas as impressoras


hospedadas por todos os servidores de impresso que foram
adicionados ao console.
As impressoras no esto prontas. Contm uma lista de todas as
impressoras que no esto reportando o status de Pronto.
Impressoras com Trabalhos. Contm uma lista de todas as impressoras
que atualmente tem trabalhos esperando na fila de impresso.
Todos os Drivers. Contm uma lista de todos os drivers instalados em
todos os servidores de impresso que foram adicionados ao console.

Filtros como o As impressoras no esto prontas, so uma maneira poderosa


para administradores identificarem impressoras que necessitam de ateno
sem ter que procurar por dentre servidores de impresso individuais ou em
uma lista longa de todas as impressoras na rede. Alm desses filtros padres,
voc pode criar seus prprios filtros customizados.

109

Gerenciar impressoras e servidores de impresso


Depois que voc usou filtros personalizados para isolar as impressoras que
quer examinar, selecionar uma impressora mostra seu status, o nmero de
trabalhos atualmente em sua fila de impresso, e o nome do servidor de
impresso que est hospedada. Se voc clicar com o boto direito no filtro no
painel esquerdo e selecionar Mostrar Modo de Exibio estendido, um painel
adicional aparecer contendo o contedo da fila de impresso da impressora
selecionada. Voc pode manipular os trabalhos na fila assim como faria a partir
da janela de fila de impresso no console do servidor de impresso.
O console de Gerenciamento de Impresso tambm permite que
administradores acessem a interface de configurao de qualquer impressora
ou servidor de impresso aparecendo em qualquer de suas janelas. Clicar com
o boto direito do mouse em uma impressora ou servidor de impresso em
qualquer lugar da interface do console e ento selecionando Propriedades
mostra a mesma janela de propriedades que voc veria no computador do
servidor de impresso. Administradores podem configurar impressoras e
servidores de impresso sem ter de ir at o local do servidor de impresso ou
realizar uma conexo remota.

Implantar impressoras com Politicas de Grupo


Configurar um cliente de impresso para acessar uma impressora
compartilhada uma simples questo de navegar na rede ou na rvore do
domnio do AD e selecionar a impressora. Entretanto, quando voc tem q
configurar centenas ou milhares de clientes, a tarefa se torna um pouco mais
complicada. O Active Directory (AD) ajuda a simplificar o processo de implantar
impressoras para um grande nmero de clientes.
Publicar impressoras no banco e dados do AD permite que usurios e
administradores possam procurar impressoras por nome, local ou modelo (se
voc preencher os campos Localizao e Modelo no objeto da impressora).
Para criar um objeto de impressora no banco e dados do AD, voc pode
marcar a caixa de seleo Listar no diretrio enquanto estiver compartilhando a
impressora ou clicar com o boto direito do mouse em uma impressora no
console do Gerenciamento de Impresso, e no menu de atalho, selecionar
Listar no diretrio.
Para usar o Active Directory para implantar/instalar impressoras nos clientes,
voc deve configurar as politicas apropriadas em um objeto de politica de grupo
(Group Policy Object GPO). Voc pode vincular uma GPO em qualquer
domnio, site ou unidade organizacional (organizational unit OU) na rvore do
AD. Quando voc configura uma GPO para instalar uma impressora, todos os

110

usurios ou computadores dentro daquele site, OU, ou domnio iro receber a


conexo dessa impressora por padro quando eles logarem no sistema.
Para implantar impressoras usando Polticas de Grupo siga o procedimento
abaixo:

No console de Gerenciamento de Impresso, clique com o boto direito


do mouse em uma impressora no painel de escopo do console e no
menu selecione Implantar com Politica de Grupo. A caixa de dilogo
Implantar com Politica de Grupo ser exibida como mostra a figura
abaixo.

Clique em Procurar para abrir a caixa de dilogo Procurar um objeto de


poltica de grupo.
Selecione a GPO que quer usar para implantar a impressora e clique
OK. A GPO selecionada aparecer no campo Nome da GPO.
Selecione a caixa de seleo apropriada para selecionar se quer
implantar a impressora aos usurios associados essa GPO, aos
computadores ou a ambos e clique em Adicionar. As novas associaes
de GPO da impressora sero exibidas na tabela.

Implantar impressoras para os usurios significa que todos os usurios


associados com a GPO iro receber a conexo com a impressora no
importando o computador que estejam usando para logar. Implantar a
impressora para o computador significa que todos os computadores associados
com a GPO recebero a conexo com a impressora no importa quem faa
login neles.

111

Clique OK. Uma caixa de mensagem aparecer informando-lhe que a


operao foi bem sucedida.
Clique OK duas vezes para fechar a caixa de dilogo Implantar com
poltica de grupo.
Feche o console de gerenciamento de impresso.

A prxima vez que usurios rodando o Windows 2008 ou posterior e o


Windows Vista ou posterior que estiverem associados a GPO reiniciarem o
computador ou atualizarem suas polticas, iro receber as novas configuraes
e a impressora ir aparecer dentro de Dispositivos e Impressoras no Painel de
Controle.

2.3 Configurar Servidores para Gerenciamento Remoto

O Windows Server 2012 R2 foi desenhado para facilitar o gerenciamento


remoto de servidores para que administradores raramente tenham que
trabalhar diretamente no console do servidor. Isso conserva os recursos do
servidor que podem ser melhor utilizados para as aplicaes e economizam o
tempo dos administradores.
Usando o Gerenciador do Servidor para Gerenciamento Remoto
O Gerenciador do Servidor tem sido a ferramenta primria de administrao do
servidor para o Windows Server desde o Windows Server 2003. A melhoria
mais obvia na ferramenta Gerenciador do Servidor no Windows Server 2012
R2 a habilidade de realizar tarefas administrativas em servidores remotos e
no sistema local.
Quando voc loga em uma instalao com interface grfica completa do
Windows Server 2012 R2 com uma conta administrativa, o Gerenciador do
servidor carregado automaticamente, exibindo o bloco de bem vindo. A
interface do Gerenciador do Servidor consiste em um painel de navegao do
lado esquerdo contendo cones representando vrias vises dos recursos do
sistema. Selecionar um cone exibe uma pgina inicial no painel direito, que
consiste em um nmero de bloco contendo informaes sobre o recurso. A
pgina de Painel, que exibida por padro, contm, alm do bloco de Bem
vindo, miniaturas que sumarizam as outras vises disponveis no Gerenciador
do Servidor. Essas outras vises incluem uma pgina para o Servidor Local,
uma pgina para Todos os Servidores, contendo servidores adicionais que
voc tenha adicionado ao Gerenciador, e outras para grupos de servidores e
grupos de funes.

112

Adicionar Servidores
A diferena primria entre o Gerenciador do Servidor do Windows Server 2012
(e R2) e os anteriores a habilidade de adicionar e gerenciar vrios servidores
de uma vez. Embora apenas o servidor local aparea no Gerenciador do
Servidor quando voc o executa pela primeira vez, voc pode adicionar outros,
permitindo-lhe administr-los juntos. Os servidores que voc adicionar podem
ser fsicos ou virtuais e podem estar rodando qualquer verso do Windows
Server a partir do Windows Server 2003. Depois que voc adicionar servidores
na interface, voc pode criar grupos contendo colees de servidores, como
aqueles em um local particular ou que realizam uma funo particular. Esses
grupos aparecem no painel de navegao, permitindo que voc os administre
como uma entidade nica.
Para adicionar servidores no Gerenciador do Servidor siga o seguinte
procedimento:

No painel de navegao, clique no cone Todos os Servidores para abrir


a pgina inicial Todos os Servidores.
No menu Gerenciar, selecione Adicionar Servidores.
Selecione uma das 3 abas para especificar como quer localizar os
servidores que deseja adicionar:
o Active Directory. Permite procurar por computadores rodando
sistemas operacionais especficos em locais especficos no
domnio do AD local.
o DNS. Permite procurar por servidores no seu servidor DNS
atualmente configurado.
o Importar. Permite informar um arquivo de texto contendo os
nomes ou endereos IP dos servidores que deseja adicionar.
Inicie a busca ou carregue um arquivo de texto para mostrar uma lista de
servidores disponveis.
Selecione os servidores que deseja adicionar e clique no boto com a
flecha para a direita para adicion-los na lista de Servidores

113

selecionados como mostra a figura abaixo.

Clique em OK. Os servidores que voc selecionou sero adicionados na


pgina inicial Todos os Servidores.

Uma vez adicionados servidores remotos na interface do Gerenciador do


Servidor, eles aparecero na pgina inicial Todos os Servidores. Voc pode
acess-los de diversas maneiras, dependendo da verso do Windows que o
servidor remoto est rodando.

Gerenciando servidores fora do domnio


Quando voc adiciona servidores que so membros de um domnio do Active
Directory na interface do Gerenciador do Servidor, o Windows Server 2012 R2
usa o protocolo de autenticao padro Kerberos e suas credenciais de
domnio atuais quando conecta em sistemas remotos. Voc tambm pode
adicionar servidores que no fazem parte de um domnio do AD, mas
obviamente, o sistema no pode se autenticar usando uma conta do AD.
Voc deve se familiarizar com tcnicas de gerenciamento remoto tanto
para servidores no domnio quanto para servidores fora dele. Isto
significa usar mtodos alternativos de autenticao e de comunicao
de rede que no se baseiam no Active Directory para descobrir
servidores.

114

Para gerenciar um servidor fora do domnio usando o Gerenciador do Servidor,


voc deve primeiro completar as seguintes tarefas:

Fornecer credenciais administrativas para o servidor fora do domnio.


Adicionar o servidor fora do domnio na lista do sistema WSManagement TrustedHosts.

Para adicionar servidores que no fazem parte de um domnio no Gerenciador


do Servidor, voc deve usar a opo DNS ou a opo Importar no Assistente
Adicionar Servidores. Depois de criar as entradas dos servidores, voc deve
clicar com o boto direito do mouse em cada um e no menu de atalho
selecionar a opo Gerenciar como. Isso mostrar uma caixa de dilogo de
segurana do Windows , na qual voc pode informar as credencias de uma
conta com privilgios administrativos no servidor remoto.
Fazer parte de um domnio automaticamente estabelece uma relao de
confiana entre os computadores no domnio. Para gerenciar computadores
que no esto em um domnio comum, voc deve estabelecer essa confiana
por si mesmo adicionando os computadores que quer gerenciar na lista
TrustedHosts no computador que est rodando o Gerenciador do Servidor.
A lista TrustedHosts existe em um drive lgico chamado WSMan:; o caminho
para a lista WSMan:\localhost\Client\TrustedHosts. Para adicionar um
computador na lista, use o cmdlet Set-item no Windows PowerShell. Depois
de abrir uma sesso do Windows PowerShell com privilgios administrativos no
computador rodando o Gerenciador do Servidor, use o comando abaixo para
adicionar os servidores que quiser gerenciar na lista:
Set-Item WSMan:\localhost\Client\TrustedHosts value
<nomedoservidor> -force

Gerenciar servidores Windows Server 2012 R2


Quando voc adiciona servidores rodando o Windows Server 2012 R2 no
Gerenciador do Servidor, voc pode imediatamente comear a usar o
assistente Adicionar Funes e recursos para instalar funes e recursos em
qualquer um dos servidores que voc adicionou.
Voc tambm pode realizar outras tarefas administrativas, como configurar
agrupamento de NICs e reiniciar o servidor, pois o Windows Remote
Management (WinRM) est habilitado por padro no Windows Server 2012 R2.

115

Configurar o WinRM
O WinRM habilita o administrador gerenciar um computador a partir de um local
remoto usando ferramentas baseadas em Windows Management
Instrumentation (WMI) e Windows PowerShell. Se a configurao padro do
WinRM foi modificada, ou se quiser modific-la manualmente, voc pode fazer
pela interface do Gerenciador do Servidor.
Na pgina inicial de Servidor Local, o bloco Propriedades contm um indicador
de Gerenciador Remoto que especifica o status atual do WinRM. Para mudar o
status do WinRM, clique no link Gerenciador Remoto para abrir a caixa de
dilogo Configurar Gerenciador Remoto. Desmarcar a caixa de seleo
Habilitar gerenciamento remoto deste servidor por outros computadores
desabilita o WinRM; marc-la habilita-o.
Para gerenciar o WinRM a partir de uma sesso do Windows PowerShell,
como o caso em uma instalao Server Core, use o comando abaixo:
Configure-SMRemoting.exe Get|Enable|-Disable
-Get Mostra o estado atual do WinRM
-Enable ativa o WinRM e Disable Desativa o WinRM

Configurar o Windows Firewall


Se voc tentar iniciar um snap-in do MMC conectando em um servidor remoto,
como o consolo do Gerenciador do Computador, voc receber um erro devido
s configuraes padres do Windows Firewall no Windows Server 2012 R2. O
MMC usa o Distributed Component Object Model (DCOM) para gerenciamento
remoto ao invs do WinRM, e essas configuraes no esto habilitadas por
padro.
Para resolver esse problema, voc deve habilitar a seguinte regra de entrada
do Windows Firewall no servidor remoto que voc quer gerenciar:

Acesso Rede COM+ (DCOM-Entrada)


Gerenciamento Remoto do Log de Eventos (NP-Entrada)
Gerenciamento Remoto do Log de Eventos (RPC)
Gerenciamento Remoto do Log de Eventos (RPC-EPMAP)

Para modificar as regras de no sistema remoto, voc pode usar um dos


seguintes mtodos:

116

Abra o snap-in do MMC Firewall do Windows com Segurana


Avanada no servidor remoto (se for uma instalao com interface
grfica).
Use o mdulo Netsecurity do Windows PowerShell.
Crie uma GPO contendo as configuraes apropriadas e aplique no
servidor remoto.
Rode o comando Netsh AdvFirewall em um prompt de comando elevado
(com privilgios administrativos).

117

Para configurar o Windows Firewall com as regras exigidas para o gerenciamento remoto
usando o DCOM numa instalao Server Core, voc pode usar a seguinte sintaxe do
Windows PowerShell:
Set-NetFirewallRule name <rule name> enabled True
Para obter os nomes do Windows PowerShell para as regras pr-configuradas no
Windows Firewall, use o comando Get-NetFirewallRule. Os comandos resultantes para
habilitar as quatro regras listadas anteriormente so:
Set-NetFirewallRule name ComPlusNetworkAccess-DCOM-In enabled True
Set-NetFirewallRule name RemoteEventLogSvc-In-TCP enabled True
Set-NetFirewallRule name RemoteEventLogSvc-NP-In-TCP enabled True
Set-NetFirewallRule name RemoteEventLogSvc-RPCSS-In-TCP enabled True

Para o administrador interessado em solues de gerenciamento remoto, o


mtodo de Poltica de Grupo oferece vantagens distintas. No apenas te
permite configurar o firewall no sistema remoto sem precisar acessar o console
diretamente como permite configurar instalaes Server Core sem ter que lidar
com linhas de comando. Finalmente, e possivelmente a mais importante para
redes grandes, voc pode usar Polticas de Grupo para configurar todos os
servidores que quer gerenciar de uma nica vez.
Para configurar o Windows Firewall usando Polticas de Grupo, use o
procedimento abaixo. Este procedimento assume que o servidor membro de
um domnio do AD e tem o recurso de Gerenciamento de Polticas de Grupo
instalado.

No Gerenciador do Servidor, abra o console de Gerenciamento de


Polticas de Grupo e cria uma nova GPO, dando-lhe um nome como
Configurao de Firewall de Servidor.
Abra a GPO que acabou de criar usando o Editor de Gerenciamento de
Polticas de Grupo.
Navegue at o n Configuraes do
Computador\Politicas\Configuraes do Windows\ Windows Firewall
com Segurana Avanada\Regras de Entrada.
Clique com o boto direito em Regras de Entrada e no menu selecione
Nova Regra. O Assistente de Nova Regra de Entrada aparecer,
mostrando a pgina de tipo de regra.

118

Selecione a opo pr-definida e na lista selecione Acesso Rede


COM+ e clique em Prximo. A pgina de Regras Pr-definidas ser
exibida.
Clique em Prximo para ver a pgina de Aes.
Deixe a opo Permitir a Conexo marcada e clique em Terminar. A
regra aparecer no console do Editor de Gerenciamento de Polticas de
Grupo.
Abra o Assistente de Nova Regra de Entrada novamente.
Selecione a opo pr-definida e na lista selecione Gerenciamento
Remoto do Log de Eventos e clique em Prximo. A pgina de Regras
Pr-definidas ser exibida, mostrando as 3 regras no grupo de
Gerenciamento Remoto do Log de Eventos.
Marque as 3 regras e clique em Prximo para ir para a tela de Aes.
Deixe a opo Permitir a Conexo marcada e clique em Terminar. As 3
regras aparecero no console do Editor de Gerenciamento de Polticas
de Grupo.
Feche o console do Editor de Gerenciamento de Polticas de Grupo.
No console de Gerenciamento de Polticas de Grupo, faa um link da
GPO Configurao de Firewall de Servidor com o seu domnio.
Feche o console de Gerenciamento de Polticas de Grupo.

As configuraes na GPO que voc criou sero implantadas nos seus


servidores remotos na prxima vez que eles reciclarem ou reiniciarem e voc
ir poder usar snap-ins do MMC como o Gerenciamento do Computador ou o
Gerenciamento de Disco, para conectar a eles remotamente.

Gerenciar servidores com verses anteriores


As regras do Windows Firewall que voc precisa habilitar em servidores
remotos rodando o Windows Server 2012 R2 tambm esto desativadas por
padro em verses anteriores do Windows Server, ento voc tambm precisa
habilit-las.
Ao contrrio do Windows Server 2012 e do Windows Server 2012 R2,
entretanto, verses anteriores do sistema operacional no possuem o suporte
ao WinRM necessrio para serem gerenciados atravs do novo Gerenciador do
Servidor.
Por padro, quando voc adiciona servidores rodando o Windows Server 2008
ou Windows Server 2008 R2 no Gerenciador do Servidor do Windows Server
2012 R2, eles aparecem com o seguinte estado de Capacidade de
Gerenciamento Online Verifique se o servio WinRM 3.0 est instalado,
rodando e se as portas do firewall esto abertas.

119

Para adicionar o suporte ao WinRM em servidores rodando o Windows Server


2008 ou Windows Server 2008 R2, voc deve fazer o download e instalar as
seguintes atualizaes:

.Net Framework 4.0


Windows Management Framework 3.0

Esse ponto cair na prova com certeza!


Depois que instalar as atualizaes, o sistema inicia automaticamente o servio
de Gerenciamento Remoto do Windows, mas voc ainda deve completar as
seguintes tarefas no servidor remoto:

Habilitar as regras de Gerenciamento Remoto do Windows (HTTPEntrada), como na figura 2-23 a seguir.
Criar um ouvinte WinRM atravs do comando winrm quickconfig em
um prompt de comando com privilgios administrativos.
Habilitar as regras Acesso Rede COM+ e Gerenciamento Remoto de
Evento de Log no Windows Firewall, como descrito na sesso anterior.

Depois de instalar as atualizaes listadas aqui, ainda existem limitaes nas


tarefas que podem ser executadas em verses anteriores do Windows Server
em locais remotos. Por exemplo, voc no pode usar o Assistente Adicionar
Funes e Recursos no Gerenciador do Servidor para instalar funes e
recursos em verses anteriores do Windows Server. Esses servidores no
aparecem no pool de servidores na pgina de seleo de servidor de destino.
Entretanto, voc pode usar o Windows PowerShell para instalar funes e
recursos em servidores usando o Windows Server 2008 e o Windows Server
2008 R2 remotamente, como pode ver no procedimento abaixo.

Abra uma sesso do PowerShell com privilgios administrativos.


Estabelea uma sesso do Windows PowerShell com o computador
remoto usando o comando:

Enter-PSSession <nomedoservidorremoto> -credential


<nomedousuario>

Digite a senha do usurio informado e pressione Enter.


Mostre a lista de funes e recursos no servidor remoto com o comando
Get-WindowsFeature
Usando o nome curto da funo ou servio como aparece no comando
anterior, instale o componente usando o comando AddWindowsFeature <nomedocomponente>
Feche a sesso com o servidor remoto com o comando ExitPSSession

120

Feche a janela do Windows PowerShell.


Quando voc instala uma funo ou recurso em um servidor remoto por meio do
Windows PowerShell, a instalao no inclui as ferramentas de gerenciamento da
funo como a verso baseada em Assistente faz. Entretanto, voc pode instalar
as ferramentas junto com a funo ou recurso se voc incluir o parmetro
includeManagementTools na linha de comando do cmdlet InstallWindowsFeature. Esteja ciente, entretanto, que no caso de uma instalao Server
Core, adicionar o parmetro includeManagementTools no ir instalar nenhum
snap-in do MMC ou outras ferramentas grficas.

Criar grupos de servidores


Para administradores de redes corporativas, pode ser necessrio adicionar um
grande nmero de servidores no Gerenciador do Servidor. Para evitar ter de
trabalhar com uma longa lista de servidores, voc pode criar grupos de
servidores baseados em localizaes, funes ou qualquer outro paradigma
organizacional.
Quando voc cria um grupo de servidor, aparece como um cone no painel de
navegao, e voc pode gerenciar os servidores do grupo assim como faria
com aqueles do grupo Todos os Servidores.
Para criar um grupo de servidores, use o seguinte procedimento:

No Gerenciador do Servidor, no painel de navegao, clique no cone


Todos os Servidores. A pgina inicial Todos os Servidores ser exibida.
No menu Gerenciar, selecione Criar Grupo de Servidores para abrir a
caixa de dilogo Criar grupo de servidores, como mostra a figura abaixo.

121

Na caixa de texto Nome do Grupo de Servidores, digite o nome que


deseja atribuir ao grupo.
Selecione uma das 4 abas para escolher o mtodo para procurar pelos
servidores que faro parte do grupo.
Selecione os servidores que deseja adicionar ao grupo e clique no boto
com a flecha apontando para a direita para adicion-los para a caixa de
Selecionados.
Clique em OK. Um novo cone de Grupo de servidor com o nome que
voc especificou aparecer no painel de navegao.
Feche o console do Gerenciador do Servidor.

Criar grupos de servidores no afeta as funes que voc pode realizar neles.
Voc no pode, por exemplo, realizar aes em grupos inteiros de servidores.
Os agrupamentos so s maneiras de manter um grande nmero de servidores
organizados e fceis de localizar.

Usar as Ferramentas de Administrao de Servidor Remoto


Voc pode gerenciar servidores remotos a partir de qualquer computador
rodando o Windows Server 2012 R2; todas as ferramentas necessrias j
esto instaladas por padro. Entretanto, administradores perceberam ser mais
eficiente usar seus computadores clientes para administrar os servidores
remotamente (especialmente com a introduo dos servios baseados na
nuvem).

122

Para gerenciar servidores Windows a partir de uma estao de trabalho, voc


deve baixar e instalar o pacote das Ferramentas de Administrao de Servidor
Remoto apropriado para a verso do Windows rodando na sua estao de
trabalho.
As Ferramentas de Administrao de Servidor Remoto so empacotadas como
um arquivo de atualizao da Microsoft com a extenso .msu , permitindo-lhe
instal-lo facilmente pelo Explorador de Arquivos, pelo prompt de comando, ou
usando distribuio de software com GPO. Quando voc instala as
Ferramentas de Administrao de Servidor Remoto em uma estao de
trabalho rodando o Windows 8 ou Windows 8.1, todas as ferramentas so
ativadas por padro, ao contrrio das verses anteriores que exigiam que voc
as ativasse usando o painel de controle de Recursos do Windows. Voc ainda
pode usar o painel de controle para desligar os recursos que quiser, entretanto.
Quando voc lana o Gerenciador do Servidor em uma estao de trabalho do
Windows , no existe servidor local e no existem servidores remotos para
gerenciar at que voc adicione alguns.
O seu acesso nos servidores que adicionou depende da conta que usa para
logar na estao de trabalho. Se uma mensagem de Acesso Negado
aparecer, voc pode conectar ao servidor com outra conta clicando com o
boto direito do mouse e no menu selecionado Gerenciar como, para exibir a
caixa de dilogo de segurana do Windows, onde voc pode informar as
credenciais apropriadas.

Trabalhar com servidores remotos


Uma vez adicionados servidores remotos no Gerenciador do Servidor, voc
pode acess-los usando uma variedade de ferramentas de administrao
remota.
O Gerenciador do Servidor permite trs mtodos bsicos para acessar
servidores remotos, como a seguir:

Tarefas contextuais: quando voc clica com o boto direito do mouse


sobre um servidor no bloco Servidores em qualquer lugar do
Gerenciador do Servidor, voc v um menu de atalho que d acesso a
ferramentas e comandos para o servidor selecionado. Alguns destes so
comandos que o Gerenciador do Servidor executa no servidor remoto,
como reiniciar servidor e o Windows PowerShell. Outros lanam
ferramentas no sistema local e direcionam-nas para o servidor remoto,
como snap-ins do MMC e o Assistente Adicionar Funes e Recursos.
Ainda outros modificam o prprio Gerenciador do Servidor removendo

123

servidores da interface. Outras tarefas contextuais algumas vezes


aparecem nos menus de Tarefas em Painis especficos.
Tarefas no-contextuais: a barra de menu no topo do console
Gerenciador do Servidor d acessa a tarefas internas, como lanar o
Assistente Adicionar Servidor e o Assistente Adicionar Funes e
Recursos, e a caixa de dilogo de propriedades do Gerenciador do
Servidor, na qual voc pode especificar o perodo de atualizao do
console.
Ferramentas no-contextuais: o menu de ferramentas do console d
acesso a programas externos, como snap-ins do MMC e a interface do
Windows PowerShell, direcionadas ao sistema local.

124

Captulo 3 Configurar o Hyper-V


O conceito de virtualizar servidores tem, nos ltimos anos, crescido de
experimento de novato para um laboratrio e ferramenta de testes
convenientes para uma estratgia de implantao de servidores de produo
legtima. O Windows Server 2012 R2 inclui a funo chamada Hyper-V, que
permite aos administradores criarem maquinas virtuais (virtual machines
VMs) cada uma em seu ambiente isolado. VMs so unidades autocontidas que
administradores podem facilmente mover de um computador fsico para o
outro, simplificando muito o processo de implantao de aplicaes e servios
de rede.
Este captulo cobre algumas das tarefas fundamentais que administradores
realizam para criar e implantar servidores Hyper-V e VMs.

3.1- Criar e configurar mquinas virtuais


Virtualizao de servidores no Windows Server 2012 R2 baseada em um
mdulo chamado hipervisor (hypervisor). Algumas vezes chamado de monitor
de mquina virtual, o hipervisor responsvel por abstrair o hardware fsico do
computador e por criar mltiplos ambientes de hardware virtualizado,
chamadas VMs. Cada VM tem sua prpria configurao (virtual)de hardware e
pode rodar uma cpia separada de um sistema operacional (SO). Sendo assim,
com hardware fsico suficiente e o licenciamento correto, um nico computador
rodando o Windows Server 2012 R2 com a funo Hyper-V instalada pode
suportar vrias VMs, que os administradores podem gerenciar como se fossem
computadores separados.
O RemoteFX habilita computadores remotos conectarem a VMs hospedadas no
Hyper-V com uma experincia de rea de trabalho melhorada, incluindo virtualizao
de adaptador grfico, redirecionamento de USB e codificao e decodificao
inteligentes. No espere muitas perguntas sobre o RemoteFX no exame.

Arquiteturas de virtualizao
Produtos de virtualizao podem usar diferentes arquiteturas para compartilhas
os recursos de hardware do computador entre as VMs. Os tipos mais antigos
de produtos de virtualizao, incluindo o Microsoft Windows Virtual PC e o
Microsoft Virtual Server, necessitam de um SO padro instalado no
computador. Esse se torna o SO hospedeiro. Ento voc instala o produto de
virtualizao, que adiciona o componente hipervisor. O hipervisor basicamente
roda ao lado do SO hospedeiro, como mostra a figura a seguir, e permite que
voc crie quantas VMs quiser desde que o computador tenha hardware

125

suficiente para suport-las.

Esse arranjo, em que o hipervisor roda sobre o SO hospedeiro, chamado de


virtualizao tipo 2. Usando a virtualizao tipo 2, voc cria um ambiente de
hardware virtual para cada VM. Voc pode especificar quanta memria ser
alocada para cada VM, pode criar discos virtuais usando espao do discos
fsicos do computador, e dar acesso a dispositivos perifricos. Voc ento
instala um sistema operacional hspede em cada VM, como se estivesse
implantando um novo computador. O SO hospedeiro ento compartilha o
acesso ao processador do computador com o hipervisor, cada um usando os
ciclos de clock que precisa e passando o controle do processador de um para o
outro.
A virtualizao tipo 2 pode oferecer desempenho adequado VM,
particularmente em salas de aula e laboratrios, mas no oferece desempenho
equivalente a computadores fsicos separados. Sendo assim, no geralmente
recomendado para servidores de alto trfego em ambientes de produo.
A capacidade de virtualizao embutida no Windows Server 2012 R2, chamada
de Hyper-V, usa um tipo diferente de arquitetura. O Hyper-V usa virtualizao
tipo 1, na qual o hipervisor uma camada de abstrao que interage
diretamente com o hardware do computador, sem a interveno do SO
hospedeiro. O termo hipervisor tem a inteno de representar um nvel acima
do supervisor, que se refere responsabilidade de alocar os ciclos do clock do
processador de um computador.
O hipervisor cria ambientes individuais chamados parties, cada uma com o
seu prprio SO instalado acessando o hardware do computador atravs do
hipervisor. Ao contrrio da virtualizao tipo 2, nenhum SO hospedeiro

126

compartilha tempo de processador com o hipervisor. No lugar, o hipervisor


designa a primeira partio que cria como a partio pai e todas as parties
subsequentes como parties filhas, como mostra a figura abaixo.

A partio pai acessa o hardware do sistema atravs do hipervisor, da mesma


forma que as parties filhas. A nica diferena que o pai roda a pilha de
virtualizao, que cria e gerencia as parties filhas. A partio pai tambm
responsvel pelos subsistemas que afetam diretamente o desempenho do
hardware fsico do computador, como o Plug and Play, o gerenciamento de
energia e o manuseio de erros. Esses subsistemas tambm rodam nos
sistemas operacionais nas parties filhas, mas eles s se referem ao
hardware virtual, sendo que na partio pai, ou raiz, gerencia o prprio
hardware.

Pode no parecer que a funo do Hyper-V no Windows Server 2012 R2 desempenha a


virtualizao do tipo 1, porque necessita que o sistema operacional esteja instalado e
funcionando. Entretanto, adicionar a funo do Hyper-V na verdade converte a instncia
instalada do Windows Server 2012 R2 na partio pai e faz com que o sistema carregue o
hipervisor antes do SO.

Implementaes do Hyper-V
O Windows Server 2012 R2 inclui a funo do Hyper-V apenas nas verses
Standard e Datacenter. A funo Hyper-V necessria para fazer o SO
funcionar como a partio primria do computador, habilitando-o a hospedar
outras VMs. Nenhum software especial exigido para um SO funcionar como

127

um SO hspede em uma VM. Sendo assim, embora o Windows Server 2012


R2 Essentials no inclua a funo do Hyper-V, pode funcionar como um SO
hspede. Outros SO hspedes suportados pelo Hyper-V incluem sistemas
operacionais Windows atuais de estao de trabalho e muitos outros sistemas
operacionais que no so da Microsoft.

Licenciamento do Hyper-V
A diferena primria entre as edies Standard e Datacenter do Windows
Server 2012 R2 o nmero de VMs suportadas. Quando voc instala uma
instncia do Windows Server 2012 R2 em uma VM, voc deve ter uma licena,
da mesma forma de quando voc instala em uma mquina fsica. Comprar a
edio Datacenter permite licenciar um nmero ilimitado de VMs rodando o
Windows Server 2012 R2 naquela mquina fsica. A licena Standard te
permite licenciar apenas duas instncias do Windows Server 2012 R2.

Limitaes de hardware do Hyper-V


A verso do Hyper-V do Windows Server 2012 R2 contm inmeras melhorias
na escalabilidade do sistema sobre as verses anteriores. Um sistema
Windows Server 2012 R2 anfitrio (host) pode ter at 320 processadores
lgicos, suportar at 2.048 CPUs virtuais e at 4 TB de memria.
Um servidor pode hospedar at 1.024 VMs ativas e uma nica VM pode ter at
64 CPUs virtuais a at 1 TB de memria.
O Hyper-V pode suportar clusters com at 64 ns e 8.000 VMs.

Outra grande melhoria nas verses do Hyper-V no Windows Server


2012 e no Windows Server 2012 R2 a incluso do mdulo Hyper-V
para o Windows PowerShell, que inclui novos cmdlets dedicados a
criao e gerenciamento do servio do Hyper-V e suas VMs.

Servidor Hyper-V
Alm da implementao do Hyper-V no Windows Server 2012 R2, a Microsoft
disponibiliza o produto Hyper-V Server, que um subconjunto do Windows
Server 2012 R2. O Hyper-V Server 2012 R2 inclui a funo Hyper-V, a qual
instalada por padro durante a instalao do SO. Com a exceo de alguma
capacidade limitada dos Servios de Arquivos e Armazenamento e

128

capacidades de rea de trabalho remota, o SO no inclui nenhuma outra


funo, como podemos ver na figura abaixo.

O Hyper-V Server tambm limitado interface Server Core, apesar de incluir


o SCONFIG, uma simples interface de configurao baseada em script,
includa por padro em instalaes Server Core, exibida na figura a seguir.
Voc pode gerenciar o Hyper-V Server remotamente usando o Gerenciador do
Servidor e o Gerenciador do Hyper-V, assim como faria com qualquer outra
instalao Server Core.

129

Ao contrario do Windows Server 2012 R2, o Hyper-V Server um produto


gratuito, disponvel para download no site da Microsoft. Porem, o Hyper-V
Server no inclui nenhuma licena para instncias virtuais. Voc deve obter e
licenciar todos os sistemas operacionais que instalar nas VMs que criar.

Instalar o Hyper-V
Tendo o hardware apropriado, voc pode adicionar a funo Hyper-V ao
Windows Server 2012 R2 usando o Gerenciador do Servidor, da mesma forma
como faria com qualquer outra funo.
Adicionar a funo Hyper-V instala o software do hipervisor e, no caso de uma
instalao com interface completa, tambm instala as ferramentas de
gerenciamento. A ferramenta primria para criar e gerenciar VMs e seus
componentes em servidores Hyper-V o console do Gerenciador do Hyper-V.
O Gerenciador do Hyper-V disponibiliza aos administradores uma lista com
todas as VMs no computador local e permite que os administradores
configurem os ambientes dos servidores e das VMs individuais. Tambm tem
um conjuntos de cmdlets do Hyper-V para o Windows PowerShell que te
permitem controlar totalmente as VMs atravs daquela interface.
A Microsoft recomenda que voc no instale outras funes com o Hyper-V.
melhor que voc implemente qualquer outro papel que voc precise que o
computador desempenhe em uma VM dentro do Hyper-V. Alm disso, voc
pode considerar instalar o Hyper-V em um computador com a opo de
instalao Server Core. Isso ir minimizar a sobrecarga na partio. Assim
como acontece em outras funes, instalar o Hyper-V no Server Core excluir
as ferramentas de gerenciamento, as quais voc deve instalar separadamente
como um recurso em um outro computador.
Antes de poder instalar a funo do Hyper-V em um servidor rodando o
Windows Server 2012 R2, voc deve possui o hardware apropriado:

Um processador 64 bits que inclua virtualizao assistida por hardware.


Isso est disponvel que incluem uma opo de virtualizao, como a
Tecnologia de Virtualizao da Intel (Intel VT) ou Tecnologia de
Virtualizao AMD (AMD-V).
Uma BIOS de sistema que suporte o hardware de virtualizao, no qual
a funcionalidade de virtualizao tenha sido ativada.
Preveno de Execuo de Dados (Data Execution Prevention - DEP)
imposto por Hardware, a qual a Intel chama de eXecute Disable (XD) e a
AMD chama de No eXecute (NX). Esta uma tecnologia usada na CPU
para segregar reas da memria. Especificamente, voc deve habilitar o
bit XD da Intel ou o bit NX da AMD.

130

Para instalar a funo do Hyper-V, use o seguinte procedimento.

No Gerenciador do Servidor, no menu Gerenciar, selecione Adicionar


Funes e Recursos. O Assistente Adicionar Funes e Recursos ser
iniciado, exibindo a pgina de Antes de Comear.
Clique em Prximo para abrir a Pgina Selecione o Tipo de Instalao
Deixe a opo de Instalao baseada em funo ou em recurso
selecionada e clique em Prximo. A pgina de seleo de servidor de
destino ser exibida.
Selecione o servidor em que deseja instalar o Hyper-V e clique em
Prximo. A pgina de seleo de Funo ser exibida.
Selecione a funo Hyper-V. A caixa de dilogo Assistente de Adio de
Funes e Recursos ser exibida.
Clique em Adicionar Recursos para aceitar as dependncias e clique em
Prximo para abrir a pgina de Seleo de Recursos.
Clique em Prximo para abrir a pgina do Hyper-V.
Clique em Prximo, a pgina de criao de switch virtual ser exibida
como mostra a figura abaixo.

Selecione a caixa de seleo apropriada para selecionar um adaptador


de rede no qual ser criado o switch virtual e clique em prximo. A
pgina de Migrao de Maquina Virtual ser exibida como mostra a

131

figura abaixo.

Clique em Prximo para ir para a prxima pgina.


Especifique alternativas para os locais padro para os arquivos VHD e
arquivos de configuraes de mquina virtual, se desejar, e clique em
Prximo. A pgina de confirmao de selees de Instalao ser
exibida.
Clique em Instalar para ir para a pgina de progresso de Instalao
enquanto o Assistente instala a funo.
Clique em Fechar para fechar o assistente.
Reinicie o servidor.

Instalar a funo modifica o procedimento de inicializao do Windows Server


2012 R2 para que o recm-instalado hipervisor agora possa acessar o
hardware diretamente e ento carregar o SO como partio primria sobre ele.
Voc tambm pode instalar a funo Hyper-V usando o cmdlet InstallWindowsFeature, com a seguinte sintaxe:
Install-WindowsFeature Name Hyper-V computername
<nome> -IncludeManagementTools -Restart

132

Usar o Gerenciador do Hyper-V


Uma vez instalado a funo do Hyper-V e reiniciado o computador, voc pode
comear a criar VMs e instalar SOs neles atravs do console do Gerenciador
do Hyper-V, o qual voc pode acessar a partir do menu Ferramentas no
Gerenciador do Servidor.
Como a maioria das ferramentas de gerenciamento do Windows Server 2012
R2, incluindo o prprio Gerenciador do Servidor, voc pode usar o console do
Gerenciador do Hyper-V para criar e gerenciar VMs em vrios servidores,
permitindo que administradores tenham controle total sobre os seus servidores
a partir de um local central.
Para executar o Gerenciador do Hyper-V em um servidor que no possui a
funo do Hyper-V, voc deve instalar o recurso Ferramentas de
Gerenciamento do Hyper-V. Essas ferramentas tambm so encontradas no
recurso Ferramentas de Administrao de Servidor Remoto (RSAT).
Uma vez instalado e executado o console do Gerenciador do Hyper-V, voc
pode adicionar servidores na janela clicando com o boto direito do mouse no
n do Gerenciador do Hyper-V no painel da esquerda e selecionando a opo
Conectar ao Servidor. Uma caixa de dilogo aparecer pedindo o nome do
servidor desejado, voc pode digitar o nome ou pesquisar pelo servidor
desejado.
O console do Gerenciador do Hyper-V lista todas as VMs no servidor
selecionado, como mostra a figura abaixo , junto com informaes de status
sobre cada uma.

133

Criar uma mquina virtual


Depois de instalar o Hyper-V e configur-lo usando o Gerenciador do Hyper-V,
voc est pronto para criar VMs e instalar o SO em cada uma delas. Atravs do
Gerenciador do Hyper-V, voc pode criar novas VMs e definir os recursos de
hardware que o sistema deve alocar para as mquinas virtuais. Nas
configuraes de uma VM, dependendo dos recursos de hardware disponveis
no computador e das limitaes do SO hspede, administradores podem
especificar o nmero de processadores e a quantidade de memria alocada
para a VM, instalar adaptadores de rede virtuais e criar discos virtuais que
usam uma variedade de tecnologias incluindo redes de armazenamento(SAN).
Por padro, o Hyper-V salva os arquivos que constituem as VMs nas pastas
que voc especificou na pgina de pastas padro durante a instalao da
funo. Cada VM usa os seguintes arquivos:

Um arquivo de configurao de mquina virtual no formato XML com a


extenso .xml que contm a informao da configurao da VM,
incluindo as prprias configuraes para a VM.
Um ou mais arquivos VHD (.vhd ou .vhdx) para armazenar o SO
hspede, aplicativos e dados da VM.

Alm disso, uma VM pode usar um arquivo de estado salvo (.vsv) se a mquina
foi posta em um estado salvo.
Para criar uma nova VM, siga o procedimento abaixo.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione o
Gerenciador do Hyper-V para abrir o console do Gerenciador do HyperV.
2. No painel da esquerda, selecione um servidor do Hyper-V.
3. No menu Ao, selecione Novo, Mquina Virtual. O Assistente Nova
Mquina Virtual ser exibido, mostrando a pgina antes de comear.
4. Clique em Prximo para mostrar a pgina Especifique nome e local.
5. Na caixa de texto digite um nome para a VM, o sistema usar esse
nome para criar as pastas e os arquivos da VM. Para criar os arquivos
da VM em um local diferente do padro marque a caixa de seleo
chamada Armazenar a Mquina Virtual em um Local Diferente e digite
o local alternativo no campo de texto. Ento clique em Prximo. A
pgina Especifique a Gerao ser exibida.
6. Especifique se quer criar uma mquina virtual da Gerao 1 ou da
Gerao 2 e clique em Prximo. A pgina Atribuir Memria aparecer.

134

7. Na caixa de texto Memria Inicial, digite a quantidade de memria que


deseja que a VM use e clique em Prximo. A Pgina de configurao de
rede ser exibida conforme a figura abaixo.

8. Na lista de Conexes, selecione um switch virtual e clique em Prximo.


A pgina Conectar Disco Rgido Virtual ser exibida, como mostra a

135

figura abaixo.

9. Deixe a opo criar um disco rgido virtual marcada e digite os valores


para os seguinte campos:
Nome. Especifica o nome do arquivo VHD, usando o formato
.vhdx novo no Windows Server 2012 R2.
Local. Especifica o local do arquivo VHD alm do local padro
que voc especificou na pgina Locais Padro.
Tamanho. Especifica o tamanho mximo do VHD.
Por padro o Assistente cria um arquivo VHD que inicia pequeno e
se expande dinamicamente at o mximo que voc especificou.

10. Clique em Prximo. A pgina de opes de instalao abrir.


11. Deixe a opo Instalar o sistema operacional depois marcada e clique
em Prximo. A pgina Completando o Assistente de Nova Mquina
Virtual ser exibida.
12. Clique em Finalizar. O Assistente cria a nova VM e adiciona-a lista de
VMs do Gerenciador do Hyper-V.
A VM que este processo cria equivalente um computador cru (bare-metal).
Tem todo o hardware (virtual) que precisa para funcionar mas no tem nenhum
software instalado.

136

USANDO O WINDOWS POWERSHELL


Para criar uma nova VM usando o Windows PowerShell, use o cmdlet New-VM com a
sintaxe bsica a seguir:
New-VM Name NomedaVM MemoryStartupBytes <memria> NewVHDSizeBytes <tamanho do disco>
Por exemplo, o comando abaixo cria uma nova VM chamada ServidorA com 1GB de
memria e um novo drive VHD de 60GB:
New-VM Name ServidorA MemoryStartupBytes 1GB
NewVHDSizeBytes 60GB
Existem, claro, muito mais parmetros no cmdlet New-VM, os quais voc pode
explorar atravs do cmdlet Get-Help.

Cada VM em um servidor Hyper-V consiste em uma coleo de configuraes


que especificam os recursos de hardware na mquina e os ajustes de
configurao que controlam estes recursos. Voc pode gerenciar e modificar
essas configuraes por meio da pgina de configurao da VM em questo.
Selecionar uma VM da lista do Gerenciador do Hyper-V mostra uma srie de
cones no painel de aes. Clicar no cone Configuraes abre a caixa de
dilogo de Configuraes, mostrada na figura abaixo, que a interface de
configurao primria para a VM selecionada. Aqui voc pode modificar
qualquer das configuraes que o Assistente de Nova Mquina Virtual
configurou para voc.

137

Criar VMs de Gerao 1 e de Gerao 2


No Windows Server 2012 R2, o Hyper-V inclui um novo tipo de mquina virtual,
o qual se refere como Gerao 2. O tipo de VM criado por todas as verses
anteriores chamado Gerao 1. Quando voc cria uma nova mquina virtual
no Gerenciador do Hyper-V, o Assistente de Nova Mquina Virtual inclui uma
nova pgina (mostrada na figura abaixo na qual voc especifica se quer criar
uma VM de Gerao 1 ou de Gerao 2. O cmdlet do Windows Powershell
New-VM tambm inclui um parmetro novo chamado Generation.

VMs de Gerao 1 so feitas para emular o hardware encontrado em um


computador tpico. Para fazer isso, usam drivers de dispositivos especficos,
como uma BIOS AMI, um adaptador grfico S3, e um chipset e adaptador de
rede Intel. VMs de Gerao 1 que voc cria com o Windows Server 2012 R2
so totalmente compatveis com todas as verses anteriores do Hyper-V.
VMs de Gerao 2 usam drivers sintticos e dispositivos baseados em
software, eles incluem vantagens que incluem as seguintes:
Boot UEFI. No lugar de usar a BIOS tradicional, VMs de Gerao 2
suportam Boot Seguro usando o Universal Extensible Firmware Interface
(UEFI), que requer que o sistema faa boot a partir de drivers assinados
digitalmente e permite fazer boot a partir de discos maiores que 2TB
com tabelas de partio GUID.
Discos SCSI. VMs de Gerao 2 omitem o controlador de discos IDE
usado por VMs de Gerao 1 para bootar o sistema e usam um
controlador SCSI virtual de alta performance para todos os discos,
permitindo que VMs faam boot a partir de arquivos VHDX e suportem
adicionar e remover discos com o sistema funcionando.
O resultado final uma VM de Gerao 2 que implantada muito mais rpida
do que sua contra parte de Gerao 1 e tambm funciona mais rpido. As

138

limitaes, por sua vez, so que as VMs de Gerao 2 s podem executar os


seguintes sistemas operacionais hspedes:

Windows Server 2012


Windows Server 2012 R2
Windows 8 64 bits
Windows 8.1 64 bits
Windows 10 Technical Preview

Instalar um sistema operacional


Assim que voc criou uma VM, voc pode instalar um SO nela. O Hyper-V no
Windows Server 2012 R2 suporta todos os seguintes sistemas operacionais
como opes em uma VM de Gerao 1.

Windows Server 2012


Windows Server 2012 R2
Windows Server 2008
Windows Server 2008 R2
Windows Home Server 2011
Windows Small Business Server 2011
Windows Server 2003 R2
Windows Server 2003 SP2
Windows 8.1
Windows 8
Windows 7 Enterprise e Ultimate
Windows Vista Business, Enterprise, and Ultimate SP2
Windows XP Professional SP3
Windows XP x64 Professional SP2
CentOS 6.06.2
Red Hat Enterprise Linux 6.06.2
SUSE Linux Enterprise Server 11 SP2
Esta a lista oficial de SOs suportados no lanamento da verso R2. Outros
SOs tambm podem funcionar mas no foram totalmente testados.
Logicamente verses mais novas dos SOs mencionados na lista funcionaro
sem problemas.

Uma das vantagens de instalar software em VMs que existem vrias


maneiras de acessar os arquivos de instalao. Uma VM por padro, tem um
drive de DVD, o qual pode ser fsico ou virtual.

139

Quando voc abre a caixa de dilogo de configuraes de uma VM de Gerao


1 e seleciona o drive de DVD na lista de Hardware, voc v a interface
mostrada na figura a seguir. Na seo de Mdia, voc pode escolher uma das
opes para o drive:

Nenhuma. equivalente a um drive com nenhum disco inserido.


Arquivo de imagem. Aponta para um arquivo de imagem de disco com
uma extenso .iso armazenado em um dos discos do computador host
ou em um disco compartilhado de rede.
CD/DVD fsico. Liga o drive de DVD virtual para uma das unidades de
DVD fsicas do computador host.

Em uma VM de Gerao 2, a unidade de DVD suporta apenas as opes


Nenhuma e Arquivo de Imagem. A habilidade de montar uma imagem em uma
unidade de DVD virtual particularmente til para administradores que fazem
download de arquivos de SO como imagens de disco. Uma vez que voc
montou um disco de instalao, seja fisicamente ou virtualmente, voc pode
clicar em Iniciar no painel de Aes do Gerenciador do Hyper-V, o que pe
equivalente a ligar a VM.
Iniciar uma VM faz com que a miniatura do Gerenciador do Hyper-V mostre as
imagens ao vivo. Para mostrar as atividades da VM em tamanho real, clique

140

em Conectar no painel de aes para abrir uma nova janela para a VM. Voc
ento pode interagir com a VM atravs desta janela, assim como se estivesse
sentado no console fsico do computador.
Quando a VM termina o processo de boot, o processo de instalao continua
assim como se voc estivesse usando um computador fsico. Durante o
processo de instalao, voc pode trabalhar com o disco VHD da mesma forma
como faria com um disco fsico, criando parties de tamanhos variados e
selecionado uma para o SO. Quando a instalao estiver completa, a VM
reiniciar, e voc poder ento fazer o login e usar da maneira usual.

Configurar Servios de Integrao de Convidado


Em alguns casos, alguns recursos de sistema operacional hspede do Hyper-V
no funcionam corretamente usando os prprios drivers de dispositivos do SO.
O Hyper-V, por sua vez, inclui um pacote de software chamado Servios de
Integrao de Convidado, os quais voc pode instalar em sua VM para fins de
compatibilidade.
Alguns dos servios providos pelo pacote Servios de Integrao de Convidado
so os seguintes:

Desligamento de Sistema Operacional. Habilita o console do


Gerenciador do Hyper-V a desligar remotamente o SO hspede de uma
maneira controlada, eliminando a necessidade de um administrador
logar na VM e desligar o sistema manualmente.
Sincronizao de tempo. Habilita o Hyper-V a sincronizar os clocks dos
SOs nas parties pai e filha.
Troca de Dados. Habita os sistemas operacionais Windows nas
parties pai e filha a trocarem informaes como verso de SO e
nomes de domnio totalmente qualificados.
Pulsao (Heartbeat). Implementa um servio no qual a partio pai
manda sinais de pulsos regulares s parties filhas, as quais devem
responder. Uma falha de uma das filhas em responder indica que o SO
hspede congelou ou est funcionando incorretamente.
Backup (Ponto de Verificao de Volume). Ativa o backup de VMs do
Windows atravs dos Servios de Volume de Cpias de Sombra.
Servios Convidados. Permite aos administradores copiarem arquivos
para uma mquina virtual sem precisar de uma conexo de rede.

Os sistemas operacionais Windows Server 2012, Windows Server 2012 R2,


Windows 8 e Windows 8.1 possuem o ltimo software dos Servios de
Integrao de Convidado, ento no existe necessidade de instalar o pacote
em VMs rodando estes SOs como hspedes. Verses anteriores do Windows

141

tm verses anteriores do pacote dos Servios de Integrao de Convidado


que precisam ser atualizados, entretanto algumas verses do Windows se quer
incluem o pacote.
Para sistemas operacionais Linux como hspede, voc deve fazer
o download e instalar a ltima verso do LIS (Linux Integration
Services) para o Hyper-V no site Microsoft Download Center. A
ltima verso no momento da escrita deste e-book a verso 3.5.

Para atualizar os Servios de Integrao de Convidado em um SO hspede


Windows, use o seguinte procedimento:
1. No Gerenciador do Servidor, no menu Ferramentas, selecione
Gerenciador do Hyper-V. O console Gerenciador do Hyper-V do ser
aberto.
2. No painel da esquerda, selecione um servidor do Hyper-V.
3. No painel de Aes, inicie uma VM na qual voc queira instalar os
Servios de Integrao de Convidado e clique em conectar. A janela de
Conexo de Mquina Virtual ser exibida.
4. Na janela de Conexo de Mquina Virtual, no menu ao, selecione
inserir Disco de Configurao dos Servios de Integrao. O Hyper-V
monta uma imagem do disco dos Servios de Integrao em uma
unidade de disco virtual e uma janela de reproduo automtica
aparecer.
5. Clique em Instalar Servios de integrao do Hyper-V. Uma caixa de
mensagem aparecer, te pedindo para atualizar a instalao existente.
6. Clique em OK. O sistema instalar o pacote e te pedir para reiniciar o
sistema.
7. Clique em Sim para reiniciar o sistema.
Uma vez que voc tenha instalado ou atualizado os Servios de Integrao de
Convidado, voc pode ativar ou desativar cada um dos recursos individuais
abrindo a caixa de dilogo de Configuraes para a VM e selecionando a

142

pgina de Servios de Integrao como mostra a figura abaixo.

Neste ponto, voc est pronto para configurar e gerenciar a VM assim como
estivesse trabalhando em um servidor fsico. Isso pode incluir modificar a
configurao de rede, ativar a rea e trabalho remota, carregar as funes e
recursos apropriados e instalar aplicaes.
Usando Modo de Sesso Avanado
Em verses anteriores do Hyper-V, quando voc abre uma janela de Conexo
de Mquina Virtual no console do Gerenciador do Hyper-V, voc recebe
conectividade de mouse e de teclado mais funcionalidade limitada de copiar e
colar. Para obter qualquer acesso adicional, como recursos de udio ou de
impresso, voc poderia estabelecer uma conexo dos Servios de rea de
Trabalho Remota com a VM, mas isso requer que os computadores estejam
conectados na mesma rede, o que no sempre possvel.
A partir do Windows Server 2012 R2, o Hyper-V suporta um Modo de Sesso
Avanado que habilita a janela de Conexo de Mquina Virtual a redirecionar

143

qualquer dos seguintes recursos locais para VMs rodando o Windows Server
2012 R2 ou o Windows 8.1:

Configurao de Display (Vdeo)


udio
Impressoras
rea de trabalho
Cartes inteligentes
Dispositivos USB
Unidades
Dispositivos Plug and Play suportados

O modo de sesso avanado funciona estabelecendo uma conexo do


protocolo de rea de Trabalho Remota entre o computador host e a VM, mas
no requer um caminho de rede padro porque usa o VMBus no lugar. O
VMBus um condutor/canal de alta velocidade entre as vrias parties
rodando em um servidor Hyper-V.
O modo de sesso avanado esta ativo por padro no Windows 8.1, mas no
Windows Server 2012 R2 voc deve ativ-lo na pgina de poltica do modo de
sesso avanado da caixa de dilogo de configuraes do Hyper-V, como
mostra a figura a seguir.

144

Alocando memria
Memria dinmica d a capacidade do Hyper-V ajustar a quantidade de
memria RAM alocada a uma VM, dependendo da sua necessidade atual.
Alguns componentes do computador podem ser virtualizados. Voc pode pegar
algum espao em disco e criar uma unidade de disco virtual, e voc pode pegar
um arquivo de imagem e criar uma unidade de DVD virtual. Voc tambm pode
criar adaptadores de rede virtuais e outros componentes, os quais aparecem
como se fossem reais para uma VM. Memria de sistema diferente,
entretanto. No existe substituto para memria, ento tudo o que o Hyper-V
pode fazer pegar e memria fsica instalada no computador e aloca-la entre
as vrias VMs.
Quando voc cria uma VM, voc especifica quanta memria alocar para a VM.
Obviamente, a quantidade de memria para uso baseada na memria fsica
instalada no computador.
Depois que voc criou a VM, voc pode modificar a quantidade de memria
alocada desligando a VM, abrindo a caixa de dilogo de propriedades e
mudando a configurao de memria RAM de inicializao na pgina de
memria, como mostra a figura abaixo. Isso te permite experimentar diferentes
quantidades de memria RAM, e configurar o nvel de desempenho timo para
o sistema.

145

Usando Memria Dinmica


Na primeira verso do Hyper-V, desligar a VM era a nica maneira de modificar
sua alocao de memria. Na verso do Windows Server 2012 R2, entretanto,
voc pode usar um recurso chamado Memria Dinmica para realocar
memria para a VM automaticamente a partir de um pool compartilhado de
memria na medida em que necessita de mudana. Se um servidor
virtualizado comea a experimentar maiores quantidades de trfego de
clientes, por exemplo, o Hyper-V pode aumentar a memria alocada para o
sistema, e reduzir novamente depois que o trfego passar.
Para usar a memria dinmica, voc deve ativ-la selecionando a caixa de
seleo Ativar Memria Dinmica na pgina de configurao da Memria da
VM e ento definir as seguintes configuraes:

RAM de Inicializao. Especifica a quantidade de memria que voc


quer atribuir para a VM quando iniciar. Quando voc usa a Memria
Dinmica, este valor pode ser o valor mnimo de memria necessrio
para o sistema fazer boot.
RAM Mnima. Especifica a menor quantidade de memria que a VM
pode usar a qualquer momento. SOs podem exigir mais memria para
iniciar do que para rodar, ento este valor pode ser menor do que o valor
de RAM de inicializao
RAM Mxima. Especifica a maior quantidade de memria que a VM
pode usar a qualquer momento. Este valor pode variar de um mnimo
igual ao de RAM de inicializao ao mximo de 64GB.
Buffer de Memria. Especifica a porcentagem que o Hyper-V usa para
calcular quanta memria alocar para a VM, comparado com a utilizao
em si, conforme medido pelos contadores de desempenho. Por
exemplo, com o buffer de memria configurado para 20%, uma VM com
aplicaes e SO que consomem 1GB de memria recebe uma alocao
dinmica de 1,2GB.
Peso de Memria. Especifica um nmero relativo que especifica a
prioridade desta VM compara com as outras VMs no mesmo
computador. Quando a memria fsica no computador insuficiente para
alocar a quantidade total com o buffer especificada por cada VM, as
VMs com os maiores pesos de memria recebem a maior prioridade.
Voc pode reduzir o valor de RAM Mnima, aumentar o valor de RAM
mxima, ou mudar o valor do Buffer de Memria ou o peso de Memria a
qualquer momento, mas para ativar ou desativar a Memria Dinmica
voc deve desligar a VM.

146

Para definir as configuraes de memria para uma VM atravs do Windows


PowerShell, use o cmdlet Set-VMMemory com a seguinte sintaxe:
Set-VMMemory <nomeVM> -DynamicMemoryEnabled $true
-MinimumBytes <qtde> -StartupBytes <qtde>
-MaximumBytes <qtde> -Priority <valor> -Buffer <valor%>
Por exemplo, para definir as configuraes de memria para a VM ServA,
ativando a memria dinmica e configurando valores para todas as configuraes,
use o seguinte comando:
Set-VMMemory <ServA> -DynamicMemoryEnabled $true
-MinimumBytes <64MB> -StartupBytes <128MB>
-MaximumBytes <1GB> -Priority <2> -Buffer <20>

Alm de configurar as configuraes da VM, a VM hspede deve estar rodando


o Windows Vista ou mais novo ou o Windows Server 2003 SP2 ou mais novo e
ter os Servios de Integrao de Convidado do Windows Server 2012 R2
instalado para usar a Memria Dinmica.

Configurar Paginao Inteligente


A Memria Dinmica foi introduzida no Hyper-V do Windows Server 2008 R2,
mas o Windows Server 2012 R2 melhorou o conceito adicionando a
configurao RAM mnima. Isso torna possvel para o Hyper-V reduzir a
memria usada por uma VM a um nvel menor do que o necessrio para
inicializar o sistema, recuperando aquela memria para outros usos.
O problema de ter valores de RAM mnima que so menores que o valor de
RAM de inicializao que se torna possvel acabar com a memria fsica
tendo muitas VMs rodando simultaneamente com seus valores mnimos de
memria RAM. Se isso ocorrer, uma VM que precisa reiniciar pode ser
impedida de o fazer por no existir memria suficiente para aumentar sua
alocao de memria do valor de RAM mnima para seu valor de RAM de
inicializao.
Para resolver essa possibilidade, o Hyper-V inclui um recurso chamado
Paginao Inteligente. Se uma VM tem que reiniciar e no existe memria livre
suficiente para alocar o seu valor de RAM de inicializao, o sistema usa
espao em disco para compensar a diferena e comea a paginar os
contedos da memria para o disco.
As taxas de acesso ao disco so muito mais lentas do que as taxas de acesso
memria, claro, ento a paginao inteligente incorre em uma penalidade
severa de desempenho, mas a paginao ocorre somente enquanto a VM
estiver reiniciando e depois retorna para o valor mnimo de alocao de RAM.

147

O Hyper-V apenas usa a paginao inteligente em condies especificas:


quando uma VM precisa ser reiniciada, no existe mais memria livre
disponvel, e no existem mais outros meios disponveis para liberar a memria
necessria.
Voc pode selecionar a pgina de localizao de arquivo de Paginao
Inteligente na caixa de dilogo de Configuraes da VM para especificar a
localizao para o arquivo de paginao. Selecionar o disco rgido mais rpido
existente recomendvel.

Configurar Medio de Recursos


Medio de Recursos um recurso baseado no Windows PowerShell no
Hyper-V do Windows Server 2012 R2 que permite os administradores
documentarem o uso de VMs atravs de diversos critrios. Existem diversas
razes pelas quais organizaes podem querer manter registro do uso de VMs.
Para grandes organizaes, pode ser uma questo de contabilizao e controle
internos de despesas decorrentes, como banda de redes WAN. Para
prestadores de servios, pode ser necessrio cobrar clientes baseado nos
recursos de VM que eles usem.
A medio de recursos usa cmdlets do Windows PowerShell para rastrear uma
variedade de mtricas de desempenho de VMs individuais, incluindo as
seguintes:

Utilizao de CPU
Utilizao mnima, mxima e mdia de memria
Utilizao de espao em disco
Trfego de rede de entrada e de sada

Estatsticas de medio de recursos mantem-se consistentes, mesmo quando


voc transfere VMs entre hosts usando a Migrao ao vivo (Live Migration) ou
move os arquivos VHD entre VMs.
Para usar a medio de recursos, voc deve primeiro ativ-la para a VM
especfica que voc quer monitorar atravs do cmdlet EnableVMResourceMetering com a seguinte sintaxe:
Enable-VMResourceMetering VMName <nome>
Uma vez habilitada a medio de recursos, voc pode ver um relatrio
estatstico a qualquer momento usando o cmdlet Measure-VM com a seguinte
sintaxe:
Measure-VM VMName <nome>

148

Alm de medir recursos de VMs inteiras, administradores podem tambm criar


pools de recursos que permite-os monitorar componentes especficos de uma
VM, como processadores, memria, adaptadores de rede e VHDs.
Voc cria um pool de recursos usando o cmdlet New-VMResourcePool e ento
ativa a medio para o pool com o cmdlet Enable-VMResourceMetering.
Usando tcnicas como tunelamento, administradores podem usar os cmdlet de
medio de recursos para juntar informaes sobre desempenho de VMs e
exportar para aplicaes ou arquivos.

3.2 Criar e Configurar Armazenamento de Mquina Virtual


Quando voc cria uma VM no Hyper-V do Windows Server 2012 R2, voc
emula todos os componentes que voc tipicamente encontra em um
computador fsico. Quando voc virtualiza memria, como discutido na seo
anterior, voc pega uma poro da memria fsica e dedica uma VM. O
mesmo verdadeiro com espao em disco. O Hyper-V usa um formato VHD
especializado para empacotar uma parte do espao em um disco rgido e faz
com que aparea para a VM como se fosse uma unidade de disco rgido fsica.
Quando voc cria uma nova VM de Gerao 1 no Hyper-V, o Assistente cria
um subsistema virtual de armazenamento que consiste de dois controladores
IDE e um controlador SCSI. Os controladores IDE hospedam a unidade de
sistema da VM e a unidade de DVD. Como os seus equivalentes fsicos, cada
controlador IDE pode suportar dois dispositivos, ento voc pode criar duas
unidades virtuais adicionais e adicion-las no sistema.
O controlador SCSI na configurao padro da VM de Gerao 1 est vazio, e
voc pode criar unidades extras e adicion-las ao controlador para prover mais
armazenamento VM se desejar. Em uma VM de Gerao 2, as unidades de
sistema e de DVD esto conectadas ao controlados SCSI padro e no existe
uma controladora IDE alternativa.
Em uma VM de qualquer gerao, voc tambm pode criar mais controladoras
SCSI e adicionar unidades a elas. Criando vrias unidades e controladoras, o
Hyper-V torna possvel construir subsistemas de armazenamento virtuais e
emular quase qualquer soluo de armazenamento fsica que voc possa
pensar.

Formatos de Discos Virtuais


O Hyper-V do Windows Server 2012 R2 suporta o arquivo de imagem de
arquivo VHD original e o novo formato VHDX. O formato VHD original foi criado

149

por uma empresa chamada Connectix para o seu produto Virtual PC. A
Microsoft depois comprou o produto e usou o formato VHD para todos os seu
produtos de virtualizao posteriores, incluindo o Hyper-V. existem trs tipos de
arquivos VHD, como segue:

Imagem de disco rgido fixa. Um arquivo de imagem de um tamanho


especfico no qual todo o espao em disco necessrio para criar o disco
alocado durante sua criao. Imagens de disco fixas podem ser um
desperdcio em termos de armazenamento porque contm grandes
quantidades de espao vazio, mas so eficientes em termos de
desempenho pois no h sobrecarga devido expanso dinmica.
Imagem de disco rgido dinmica. Um arquivo de imagem com um
tamanho mximo especifico, que comea pequeno e expande conforme
necessrio para acomodar os dados que o sistema escreve nele. Esta
opo conserva espao em disco mas pode afetar negativamente o
desempenho.
Imagem de disco rgido diferencial. Um arquivo de imagem filho
associado uma imagem pai especfica. O sistema escreve todas as
mudanas feitas no arquivo de imagem do pai na imagem do filho, para
gerenciar espao em disco ou para facilitar um rollback (desfazer) em
um momento posterior.

Imagens VHD so limitadas a um tamanho mximo de 2TB e so compatveis


com todas as verses do Hyper-V e produtos da Microsoft com hipervisor tipo
II, como Virtual Server e Virtual PC. Windows Server 2012 introduziu uma
verso atualizada do formato, que usa a extenso de nome de arquivo VHDX.
Arquivos de imagem VHDX podem ser to grandes quanto 64TB e tambm
suportam setores lgicos de tamanho de 4KB para prover compatibilidade com
os novos drives nativos de 4KB.
Arquivos VHDX tambm podem usar tamanhos de bloco maiores (at 256MB),
o que permite administradores ajustarem o nvel de desempenho do
subsistema de armazenamento para acomodar aplicaes especficas e tipos
de arquivos de dados. Entretanto, arquivos VHDX no so compatveis com
verses anteriores e s podem ser lidos pelo Hyper-V do Windows 8 e do
Windows Server 2012 e suas respectivas verses mais novas. Se migrar suas
VMs do Windows Server 2012 R2 para uma verso mais antiga uma
possibilidade remota, voc deve continuar usando o formato VHD.

Criando Discos Virtuais


O Hyper-V do Windows Server 2012 R2 d vrias maneiras de criar arquivos
de disco virtual. Voc pode cria-los como parte de uma VM ou cria-los em outra

150

hora e adicion-los a uma VM. A interface grfica no Gerenciador do Hyper-V


d acesso maioria dos parmetros de VHD, mas os cmdlets do Windows
PowerShell includos no Windows Server 2012 R2 possibilitam um controle
mais granular sobre o formato da imagem de disco.
Criando uma imagem de disco com uma VM
O Assistente de Nova Mquina Virtual inclui uma pgina Conecte Disco Rgido
Virtual na qual voc pode adicionar um nico disco sua nova VM. As opes
para esse disco so relativamente limitadas e consistem nas seguintes:

Criar um Disco Rgido Virtual. Te permite especificar o nome, local, e


tamanho de um novo VHD. O Assistente permite somente criar um disco
dinmico usando o formato VHDX, mas voc tambm pode criar disco
fixos e diferencias usando o Windows PowerShell.
Usar um Disco Rgido Virtual existente. Te permite especificar a
localizao de um disco VHD ou VHDX existente, o qual a VM ir
presumidamente usar como o disco de sistema.
Anexar um Disco Rgido Virtual mais tarde. Inibe o Assistente de
adicionar discos virtuais na configurao da VM. A premissa que voc
ir manualmente adicionar um disco mais tarde, antes de iniciar a VM.

O objeto desta pgina do assistente criar o disco em que voc ir instalar o


SO da VM ou selecionar um disco existente em que o SO j esteja instalado. o
disco que o assistente cria sempre dinmico e conectado ao controlador IDE
0 em uma VM de Gerao 1 ou conectado ao controlador SCSI em uma VM de
Gerao 2.

Criar um novo disco virtual


Voc pode criar um arquivo VHD a qualquer momento sem adicion-lo a uma
VM atravs do assistente Novo Disco Rgido Virtual no Gerenciador do HyperV. Para criar um novo disco virtual, use o seguinte procedimento.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione
Gerenciador do Hyper-V.
2. No painel da esquerda do console do Gerenciador do Hyper-V,
selecione um servidor.
3. No menu aes, selecione Novo, Disco Rgido, para iniciar o Assistente
de Novo Disco Rgido Virtual, mostrando a pgina de Antes de comear.
4. Clique em Prximo para abrir a pgina de escolha de formato de disco.
5. Selecione um dos formatos de disco abaixo:
VHD. Cria uma imagem com no mximo 2TB, usando o formato
VHD altamente compatvel.

151

VHDX. Cria uma imagem com at 64TB, usando o novo formato


VHDX.
6. Clique em Prximo para abrir a pgina de escolha do tipo do disco.
7. Selecione um dos tipos de disco abaixo:
Tamanho fixo. Cria um disco de tamanho especfico, alocando
todo de uma nica vez.
Expanso Dinmica. Cria um disco que pode crescer at o
tamanho mximo que voc especificar na medida em que voc
adiciona dados.
Diferencial. Cria uma unidade filha que contm as mudanas
feitas em uma unidade pai especificada.
8. Clique em Prximo. A pgina especifique Nome e Local ser exibida.
9. Informe um nome para a imagem de disco e se desejado informe um
local para o arquivo diferente do local padro do servidor. Clique em
Prximo para ir para a pgina Configurar Disco.
10. Para discos Fixos e de Expanso Dinmica, selecione e configure uma
das opes a seguir:
Criar um Novo Disco Rgido Virtual em Branco. Especifique o
tamanho (ou tamanho mximo) do arquivo de imagem de disco a
criar.
Copiar o contedo do Disco Fsico Especificado. Te permite
selecionar um dos discos rgidos fsicos no computador e copiar
seu contedo para a nova imagem de disco.
Copiar o contedo do Disco Rgido virtual Especificado. Te
permite selecionar um arquivo de disco virtual existente e copiar
seu contedo para a nova imagem de disco.
11. Clique em Prximo. A pgina Concluindo o Assistente de Novo Disco
Rgido Virtual ser exibida.
12. Clique em Finalizar.
O assistente criar a nova imagem de disco e salvar no local especificado.
Voc pode criar novos arquivos VHD usando o Windows PowerShell, que te d mais controle
do que o disponvel pela interface grfica. Para criar uma nova imagem de disco, use o cmdlet
New-VHD com a seguinte sintaxe bsica:

New-VHD Path c:\nomearq.vhd|c:\nomearq.vhdx


fixed|-dynamic|-differencing sizebytes <tam>
[-BlockSizeBytes <tam bloco>]
[-LogicalSectorSizeBytes
512|4096]
[-ParentPath
caminho>]
Tem se tornado prtica comum
da Microsoft
lanar cpias<nome
de avaliao
de seus produtos como arquivos VHD pr-instalados como alternativa

Quando usar o cmdlet para criar uma imagem de disco, a extenso que voc especificar para
para os arquivos de imagem de instalao. Depois de baixar um destes
o nome do arquivo determinar o formato (VHD ou VHDX); tambm voc pode especificar o
arquivos, voc pode criar uma VM no Hyper-V e selecionar a opo
tamanho do bloco e o tamanho do setor lgico da imagem, duas coisas que voc no
Usar um Disco Rgido Virtual Existente para montar o VHD como a
consegue fazer pela GUI. Por exemplo, o comando a seguir cria um arquivo de imagem VHDX
unidade
deum
sistema.
fixo de 400GB
com
tamanho de setor lgico de 4KB.

New-VHD Path c:\disco.vhdx fixed sizebytes 400GB


-LogicalSectorSizeBytes 4096

152

Adicionar discos virtuais em mquinas virtuais


Criar arquivos de imagem de disco virtual como um processo separado permite
aos administradores exercerem mais controle sobre suas capacidades, mas
depois de criar os arquivos VHD ou VHDX, voc deve adicion-los uma VM
para que se tornem teis.
Para adicionar uma unidade de disco rgido em um computador fsico, voc
deve conect-lo a um controlador; o mesmo verdadeiro com uma VM no
Hyper-V. Quando voc abre a caixa de dilogo de configuraes para uma VM
de Gerao 1 em sua configurao padro, voc v trs controladores
chamados Controlador IDE 0, Controlador IDE 1 e Controlador SCSI 0. Estes
correspondem aos controladores que voc acharia em um computador tpico
de servidor.
Cada controlador IDE pode suportar dois dispositivos e a configurao padro
da VM usa um canal do Controlador IDE 0 para o disco rgido do sistema e um
canal do Controlador IDE 1 para a unidade de DVD do sistema. Se voc no
criou um disco virtual como parte do Assistente de Nova Mquina Virtual isto
, se voc escolheu anexar um disco virtual mais tarde ento voc deve
adicionar uma imagem de disco rgido ao Controlador IDE 0 para usar como a
unidade de sistema. Uma VM de Gerao 1 no pode fazer boot a partir da
controladora SCSI.
Para adicionar uma unidade de sistema virtual existente uma VM, siga o
procedimento abaixo:

No Gerenciador do Servidor, no menu Ferramentas, selecione o


Gerenciador do Hyper-V para abrir o console do Gerenciador do HyperV.
No painel da esquerda, selecione um servidor do Hyper-V.
Selecione uma VM e, no painel de aes selecione configuraes. A
caixa de dilogo de configuraes para a VM ser exibida.

153

Selecione o controlador IDE 0 como mostra a figura abaixo.

154

Na caixa do controlador IDE, selecione Disco Rgido e clique em


Adicionar. A pgina de Disco Rgido ser exibida como mostra a figura
abaixo.

Nos campos Controlador e Local, selecione nas listas o controlador IDE


e o canal que deseja usar para o disco rgido.
Com a opo Disco Rgido Virtual selecionada, clique Procurar e
selecione o arquivo de imagem de disco que quiser adicionar.
Clique em OK na caixa de dilogo de Configuraes.

Embora voc no possa usar uma unidade SCSI como unidade de sistema em
uma VM de Gerao 1, voc pode adicionar discos virtuais de dados em
controladores SCSI, em VMs de Gerao 2, voc deve criar uma unidade de
sistema SCSI para a mquina poder fazer boot. Ao contrrio de conectores
IDE, que suportam apenas 2 dispositivos cada, um conector SCSI no Hyper-V
no Hyper-V pode suportar at 64 unidades. Voc tambm pode adicionar vrios
controladores SCSI uma VM, possibilitando uma escalabilidade quase
ilimitada para o seu subsistema virtual de armazenamento.

155

Criar Discos Diferenciais


Um disco diferencial te permite preservar um arquivo de imagem de disco
virtual existente em seu estado original enquanto monta-o em um SO e at
modifica seus contedos. Por exemplo, quando constri uma instalao de
laboratrio, voc pode criar um sistema de linha de base (baseline) instalando
uma nova instalao de um SO em um novo disco virtual e configurando o
ambiente conforme sua necessidade. Ento voc cria um disco diferencial filho
usando sua imagem de linha de base como o pai. Todas as mudanas
subsequentes que voc fizer no sistema sero escritas no disco diferencial
enquanto o disco pai permanecer intocado. Voc pode experimentar no
sistema de teste como quiser, sabendo que poder reverter para a sua
configurao de linha de base apenas criando um novo disco diferencial.
Voc pode criar vrios discos diferenciais que apontam para a mesma imagem
pai, te permitindo popular uma rede de laboratrio com quantas VMs precisar, o
que economiza espao em disco e elimina a necessidade de instalar o SO
repetidamente.
Para criar uma verso clonada de uma instalao de linha de base com um
disco diferencial, use o seguinte procedimento.
1. Instalar e configurar uma VM de linha de base. Criar uma nova VM com
um novo arquivo de imagem de disco e instalar um SO hspede nele.
Configure o SO como necessrio e instale quaisquer funes, recursos,
aplicaes ou servios que precisar.
2. Generalize a imagem pai. Abra um prompt de comando elevado no
sistema de linha de base e rode o utilitrio Sysprep.exe com os
parmetros apropriados para os seus requisitos. O Sysprep configura o
sistema para atribuir a si mesmo um novo SID (ID de segurana) na
prxima vez que o computador iniciar. Isso permite criar vrios sistemas
clones a partir de uma nica imagem de disco.
3. Criar uma imagem de disco pai. Aps ter generalizado a instalao de
linha de base, voc no precisa mais da VM original. Voc pode deletar
tudo exceto o arquivo VHD ou VHDX contendo a imagem do disco. Isto
ir se tornar sua imagem pai. Abra a janela de propriedades e marque a
opo somente leitura para ter certeza que a linha de base no ir
mudar.
4. Crie um disco diferencial. Usando o Assistente de Novo Disco Rgido
Virtual ou o cmdlet New-VHD do Windows PowerShell, crie um novo
disco diferencial apontando para a imagem de linha de base que voc
criou e preparou anteriormente como a imagem pai.
5. Crie uma VM clone. Crie uma nova VM e, na pgina Conecte um Disco
Rgido Virtual, anexe o disco diferencial que acabou de criar usando a
opo Usar um Disco Rgido Virtual Existente.

156

Voc pode ento proceder para criar VMs clones adicionais com disco
diferenciais que usam o mesmo pai. Cada um pode funcionar
independentemente e o disco pai ir permanecer inalterado.
Quando voc criar uma unidade diferencial usando o Assistente de Novo Disco
Rgido, selecionar a opo Diferencial na pgina Escolher Tipo de Disco faz
com que a pgina Configurar Disco aparea como aparece na imagem 3-18
abaixo. Na caixa de texto Local, especifique o nome do arquivo que voc quer
usar como imagem pai.
Da mesma maneira, se voc criar o disco diferencial usando o Windows
PowerShell, voc deve executar o cmdlet New-VHD com o parmetro
Differencing e o parmetro ParentPath, especificando o local do disco pai.
Configurando Discos Pass-through
At agora temos nos concentrado em VHDs, reas de espao em uma unidade
de disco fsico alocada para uso por VMs. Entretanto, tambm possvel para
VMs acessarem discos fsicos diretamente.
Um disco pass-through um tipo de disco virtual que aponta para um disco
fsico instalado no computador host. Quando voc adiciona um disco rgido a
qualquer controlador de uma VM, voc tem a opo de selecionar um disco
rgido fsico no lugar de um virtual.
Para adicionar um disco rgido em uma VM, a VM deve ter acesso exclusivo ao
mesmo. Isso significa que voc deve primeiro deixar o disco off-line no SO pai
atravs do snap-in do Gerenciamento do Disco ou do utilitrio Diskpart.exe.
Aps o disco estar off-line ele estar disponvel para seleo na lista de Disco
Rgido Fsico.

Modificando Discos Virtuais


O Windows Server 2012 R2 e Hyper-V possibilitam vrias maneiras para os
administradores gerenciarem e manipularem imagens VHD sem montarem-nas
em uma VM. Uma vez criado o VHD, tenha voc anexado ele em uma VM ou
no, voc pode gerenci-lo usando o Assistente Editar Disco Rgido Virtual no
Gerenciador do Hyper-V. Para editar um arquivo VHD ou VHDX existente, use
o procedimento abaixo:
1. No Gerenciador do Servidor, no menu Ferramentas, Selecione o
Gerenciador do Hyper-V.
2. No console do Gerenciador do Hyper-V, no painel da esquerda,
selecione um servidor do Hyper-V.

157

3. No painel de Aes, selecione Editar Disco, o Assistente Editar Disco


Rgido Virtual ser iniciado, mostrando a pgina Antes de comear.
4. Clique em Prximo para abrir a pgina Localizar Disco.
5. Digite ou Procure pelo nome do arquivo VHD ou VHDX que quiser abrir
e clique em Prximo. A pgina de Escolher Ao ser exibida.
6. Selecione uma das seguintes funes:
Compactar. Reduz o tamanho de um disco diferencial ou de
expanso dinmica deletando o espao vazio enquanto mantem a
capacidade do disco inalterada.
Converter. Muda o tipo de formato de um disco copiando os
dados para um novo arquivo de imagem de disco.
Expandir. Aumenta a capacidade do disco aumentando o espao
vazio de armazenamento do arquivo de imagem.
Encolher. Reduz a capacidade do disco deletando espao vazio
de armazenamento do arquivo de imagem.
Fuso. Combina os dados de um disco diferencial com os dados
do disco pai para formar um nico arquivo.
7. Clique em Prximo para abrir a pgina Completar o Assistente de
Edio de Disco Rgido Virtual.
8. Complete quaisquer novas pginas que forem apresentadas pelo
assistente como resultado de suas selees e clique em Finalizar.
As opes que aparecem na pgina Escolha a Ao dependem do estado atual
do arquivo de imagem que voc selecionou. Por exemplo, a opo Fuso s
aparece se voc selecionou um disco diferencial, e a opo Encolher no
aparece a menos que haja espao livre em disco que o Assistente possa
deletar.
Alm dessas funes de edio de disco providas pelo Gerenciador do HyperV, possvel usar o Gerenciador de Disco no host do Hyper-V para montar um
arquivo VHD ou VHDX como uma unidade e acessar seu contedo, assim
como se fosse um disco fsico.
Para montar um arquivo VHD use o procedimento a seguir.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione
Gerenciador do Computador para abrir o console do Gerenciador do
Computador.
2. No painel da esquerda selecione Gerenciamento de Disco, o snap-in de
Gerenciamento de Disco ser aberto.
3. No menu Ao, selecione Anexar VHD. A caixa de dilogo Anexar Disco
Rgido Virtual ser exibida.
4. Na caixa de texto Local, digite ou procure pelo arquivo de imagem de
disco que quer anexar e clique em OK. O disco aparecer na interface
do Gerenciamento de Disco.

158

5. Feche o console do Gerenciamento de Disco.


Neste ponto, voc pode trabalhar com o disco virtual e seu contedo usando
qualquer ferramenta padro, assim como faria com uma unidade de disco
rgido fsico. Para desanexar o VHD, voc usa o mesmo procedimento e
seleciona Desanexar VHD no menu Ao.

Criando Pontos de Verificao (Checkpoints)


No Hyper-V, um ponto de verificao, uma imagem capturada do estado,
dados e configurao de hardware de uma VM em um momento particular no
tempo. Criar pontos de verificao uma maneira conveniente para
administradores reverterem uma VM um estado anterior vontade. Por
exemplo, se voc criar um ponto de verificao antes de aplicar uma
atualizao de sistema, e a atualizao for problemtica, voc pode voltar a VM
ao estado anterior em que estava antes de voc instalar a atualizao.
Antes do Windows Server 2012 R2 Pontos de Verificao eram
chamados de Instantneos (Snapshots). Pontos de Verificao
funcionam exatamente da mesma maneira que Instantneos; apenas o
nome mudou. Espere ver os dois termos no exame 70-410

Criar um ponto de verificao to simples quanto selecionar uma VM que


esteja rodando no Gerenciado do Hyper-V e selecionar Ponto de Verificao no
painel de Aes. O sistema cria um arquivo de ponto de verificao com a
extenso AVHD ou AVHDX, na mesma pasta que o arquivo VHD, e adiciona o
ponto de verificao na janela do Gerenciador do Hyper-V, como mostra a
imagem abaixo.

Pontos de verificao so ferramentas teis para administradores


implementarem um ambiente de testes no Hyper-V, mas eles no so

159

recomendados para uso pesado em ambientes de produo. Alm de consumir


espao em disco, a presena de pontos de verificao pode reduzir o
desempenho geral do subsistema de disco geral de uma VM. Administradores
tambm no devem usar pontos de verificao em VMs contendo bancos de
dados como as criadas pelo SQL Server, Exchange, ou controladores de
domnio do Windows porque o processo de ponto de verificao no leva em
conta o estado atual do banco de dados, e corrupo de dados pode ocorrer.

Configurar Qualidade de Servio (QoS) de Armazenamento


Por ser comum existir mais de um disco virtual em um disco fsico, possvel
que um disco virtual monopolize a capacidade de entrada e sada (IO) do disco
fsico, tornando os outros discos mais lentos. Para ajudar a prevenir isso, o
Windows Server 2012 R2 te permite controlar a Qualidade de Servio (QoS)
para um disco rgido virtual especfico.
Gerenciamento de QoS no Hyper-V toma a forma de controles que te permitem
especificar o mnimo e o mximo de operaes de entrada e sada por segundo
(IOPS) para um disco. Para configurar QoS de armazenamento, abra a caixa
de dilogo de Configuraes de uma VM, expanda o componente do disco
rgido e clique em Recursos Avanados para exibir a pgina de Recursos
Avanados conforme a imagem abaixo.

Aps selecionar a caixa de seleo Habilitar o Gerenciamento de Qualidade de


Servio, voc pode especificar valores de IOPS mnimos e valores de IOPS
mximos para o disco em incrementos de 8KB.

160

Conectar a uma Rede de rea de Armazenamento (SAN)


No seu nvel mais bsico, uma rede de rea de armazenamento (SAN)
simplesmente um rede dedicada a conexes de alta velocidade entre
servidores e dispositivos de armazenamento. No lugar de instalar unidades de
disco dentro de servidores ou conect-los usando barramento SCSI externo,
uma SAN consiste de um ou mais arrays de unidades de disco equipados com
adaptadores de rede, os quais voc conecta aos seus servidores usando cabos
tranados padro ou cabos de fibra tica. Um servidor conectado em uma
SAN, ento, tipicamente tem pelo menos dois adaptadores de rede, um para a
rede de computadores local padro (LAN) e o outro para a SAN, como voc
pode ver na imagem abaixo.

As vantagens de uma SAN so muitas conectando dispositivos de


armazenamento na rede ao invs de conect-los aos prprios servidores, voc
evita as limitaes impostas pelo nmero mximo de dispositivo que voc
consegue conectar em um computador. As SANs tambm do flexibilidade
extra em suas capacidades de comunicaes. Pois qualquer dispositivo em
uma SAN pode conceitualmente se comunicar com qualquer outro dispositivo
em outro na mesma SAN, transferncias de dados de alta velocidade podem
ocorrer em quaisquer das seguintes maneiras:

Servidor para Dispositivo de Armazenamento. Servidores podem


acessar dispositivos de armazenamento atravs da SAN como se
estivessem conectados diretamente no computador.
Servidor para servidor. Servidores podem usar a SAN para se comunicar
diretamente uns com os outros em alta velocidade para evitar inundar a
LAN com trfego.

161

Dispositivo de Armazenamento para Dispositivo de Armazenamento.


Dispositivos de Armazenamento podem se comunicar entre si sem a
interveno de servidores, por exemplo, para realizar backups de uma
mdia para outra ou para espalhar unidades em arrays diferentes.

Embora uma SAN no seja uma tecnologia de alta disponibilidade em si


mesma, voc pode torn-la uma conectando servidores redundantes na
mesma rede, como mostra a figura abaixo, permitindo-lhes acessar os mesmos
dispositivos de armazenamento de dados. Se um servidor falhar, outro pode
assumir suas funes acessando os mesmo dados. Isso chamado de Cluster
de Servidores.

Por usar tecnologias de rede padro, SANs tambm podem estender muito as
distncias entre servidores e dispositivos de armazenamento. Voc pode
projetar uma SAN que se espalha por vrias salas, diferentes andares, ou at
diferentes prdios, da mesma forma que faria com uma rede de computadores
padro.
Servidores e dispositivos de armazenamento no podem trocar comandos
SCSI sobre uma conexo SAN da maneira que eles fazem quando esto
conectados diretamente usando um cabo SCSI. Para se comunicar por uma
SAN, servidores e dispositivos de armazenamento mapeiam suas
comunicaes SCSI em um outro protocolo, como o FIbre Channel.

162

Usando o Fibre Channel


Fibre Channel uma tecnologia de comunicaes SAN verstil suportando
vrias mdias de comunicaes, velocidades de transmisses, topologias, e
protocolos de nvel superior. Sua desvantagem primria que requer hardware
especializado que pode ser extremamente caro.
O nome diferente de Fibre Channel foi escolhido para se diferenciar de Fibra tica que
em ingls escrito Fiber Optic. Fibre Channel pode rodar tanto em cabo de par
tranado quanto em cabo tico. Sendo que normalmente o termo Fiber se refer a uma
mdia tica.

Instalar uma SAN Fibre Channel tradicional significa construir uma rede
inteiramente nova com sua prpria mdia, switches e adaptadores de redes
especiais. Alm dos custos de hardware, que podem facilmente ser 10 vezes
mais que os de uma rede Ethernet comum, tambm existem os custos de
instalao e de manuteno a se considerar. Fibre Channel uma tecnologia
um tanto esotrica, com relativamente poucos experts em campo. Para instalar
manter uma SAN Fibre Channel, uma organizao deve contratar uma equipe
experiente ou treinar pessoal existente na nova tecnologia.
Entretanto, tambm existe uma variao chamada de Fibre Channel sobre
Ethernet (FCoE) que usa hardware Ethernet e logo custa bem mais barato.

Conectar Mquinas Virtuais em uma SAN


As tecnologias especializadas de rede usadas para criar SANs Fibre Channel,
no passado, tornavam difcil de serem usadas com servidores virtualizados.
Porm, desde a implementao do Windows Server 2012, o Hyper-V tem
suportado a criao de adaptadores Fibre Channel.
Um adaptador Fibre Channel do Hyper-V essencialmente um dispositivo
pass-through (atravessa direto) que permite a VM acessar um adaptador Fibre
Channel fsico instalado no computador, atravs do qual, pode acessar
recursos externos conectados na SAN. Com essa capacidade, aplicaes
rodando em VMs podem acessar dados armazenados em dispositivos SAN e
administradores podem usar VMs para criar cluster de servidores com
subsistemas de armazenamento compartilhado.
Para suportar conectividade Fibre Channel virtual, a HBA (host bus adapter)
Fibre Channel fsica do computador deve ter drivers que explicitamente
suportem o Fibre Channel virtual. Este suporte relativamente raro, porem
mais fabricantes so esperados para atualizar seus drivers para prover o
suporte necessrio. Sua SAN tambm deve conseguir enderear seus recursos

163

conectados atravs de LUNs (logical unit numbers - nmeros de unidades


lgicas).
Assumindo que voc tem o hardware e o software apropriados instalados em
seu computador host, voc implementa as capacidades do Fibre Channel no
Hyper-V primeiro criando uma SAN virtual usando o Gerenciador Virtual de
SAN, acessvel pelo Gerenciador do Hyper-V. quando voc criar a SAN virtual,
o World Wide Nome Names (WWNNs) e o World Wide Port Names (WWPNs)
da sua HBA aparecero, como mostra a figura abaixo.

O prximo passo adicionar um adaptador Fibre Channel em uma VM partir


da pgina Adicionar Hardware no caixa de dilogo de Configuraes. Quando
voc faz isso, a SAN virtual que voc criou anteriormente est disponvel na
pgina adaptador Fibre Channel como vemos na figura abaixo (em ingls). O
Hyper-V virtualiza a SAN e faz os WWNNs e os WWNPs disponveis para a
VM.

164

3.3 Criar e Configurar Redes Virtuais


Redes so uma parte crtica na criao de uma infraestrutura virtual.
Dependendo do seu plano de rede, as VMs que voc cria no servidor Hyper-V
do Windows Server 2012 R2 pode requerer comunicao com outras VMs, com
outros computadores na sua rede fsica ou com a Internet.
Quando voc constri uma rede a partir de computadores fsicos, voc instala
um adaptador de interface de rede em cada um e conecta-o um switch de
hardware. O mesmo princpio verdadeiro em um ambiente Hyper-V, exceto
que voc usa componentes virtuais ao invs de fsicos. Cada VM que voc cria
tem pelo menos um adaptador de rede virtual e voc pode conectar este
adaptador em um switch virtual. Isto te permite as VMs no seu servidor Hyper-V
em vrias configuraes de rede que incluem ou excluem os sistemas na sua
rede fsica de computadores.
Voc pode criar mltiplos switches virtuais no servidor Hyper-V e mltiplos
adaptadores de rede em cada VM. Isto te permite criar um ambiente de rede

165

flexvel que apropriado para tudo desde uma rede de laboratrio ou de aula
at um ambiente de produo. Alm disso, o Windows Server 2012 R2
adicionou a habilidade de criar extenses para switches virtuais para que
desenvolvedores de software possam aumentar suas capacidades.

Criar Switches Virtuais


Um Switch Virtual, como sua contraparte fsica, um dispositivo que funciona na
camada 2 do modelo de referncia OSI (Open Systems Interconnect). Um
switch tem um srie de portas, cada uma conectada a um adaptador de
interface de rede de um computador. Qualquer computador conectado ao
switch pode transmitir dados qualquer outro computador conectado ao
mesmo switch.
Ao contrrio de switches fsicos, os switches virtuais criados pelo Hyper-V
podem ter um nmero ilimitado de portas, ento administradores no precisam
se preocupar em conectar switches ou sobre uplink e circuitos cruzados
(crossover).

Criando o Switch Virtual Padro


O Assistente Adicionar Funes e Recursos do Windows Server 2012 R2 d a
oportunidade de criar switches virtuais quando voc instala a funo Hyper-V.
Quando voc instala o Hyper-V em um servidor rodando o Windows Server
2012 R2, a pgina Criar Switches Virtuais te permite criar um switch virtual
para cada um dos adaptadores de rede instalados no computador host. Estes
switches habilitam as VMs a participarem nas redes nas quais os adaptadores
fsicos esto conectados.
Quando voc cria um switch virtual, a configurao de rede no SO hspede na
partio pai muda. O novo switch virtual aparece na janela de conexes de
rede, e voc pode examinar suas propriedades, voc pode ver que o switch
est ligado ao cliente TCP/IP do sistema operacional, como mostra a figura
abaixo (em ingls).

166

Enquanto isso, o Hyper-V tambm muda as propriedades da conexo de rede


original representando o adaptador de interface de rede fsico no computador.
O adaptador de rede fsico agora est ligado apenas ao switch virtual, como
vemos na figura a seguir.

Como resultado, a configurao rede fsica do computador, na qual o seu


adaptador de rede est conectado um switch externo, sobreposta pela
configurao de rede virtual criada pelo Hyper-V. Nesta configurao virtual, o

167

switch virtual conectado ao switch fsico e o adaptador de rede no SO host


conectado ao switch virtual. A rede virtual interna e a rede fsica externa so
unidas em uma nica LAN, assim como se conectasse dois switches fsicos.
Aps o Hyper-V ter criado o switch virtual e realizado estas mudanas de
configurao, qualquer nova VM que administradores decidam conectar ao
switch virtual se tornam parte desta rede conjunta, assim como fazem
quaisquer computadores fsicos conectados rede fsica atravs de um switch
externo.
Este tipo de switch virtual , na terminologia do Hyper-V, um switch de rede
externo porque permite conexes externas ao ambiente do Hyper-V. Este
normalmente o arranjo preferido para uma rede de produo na qual VMs do
Hyper-V proveem e consomem servios para toda a rede.
Por exemplo, uma VM conectada esse switch ir automaticamente obter um
endereo IP de um servidor DHCP na rede fsica, se houver um. Como
alternativa, voc poderia configurar uma VM como servidor DHCP e deix-lo
prover endereos para todos os sistemas na rede, virtuais ou fsicos.
Talvez mais importante, este arranjo tambm pode permitir que suas VMs
acessem a Internet usando o roteador e servidores DNS na rede externa. As
VMs podem fazer download de atualizaes para o SO a partir de servidores
na Internet, assim como mquinas externas normalmente fazem.
Existem situaes em que esse tipo de switch virtual no apropriado. Se voc
est criando uma rede de laboratrio para teste de produto ou uma rede de
sala de aulas, voc pode querer que no seja acessvel a partir da rede
externa. Neste casos, voc deve criar um tipo deferente de switch virtual
atravs do Gerenciador de Switch Virtual no Gerenciador do Hyper-V.

Criar um novo switch virtual


O Hyper-V no Windows Server 2012 R2 suporta trs tipos de switches, que
voc deve criar no Gerenciador de Switch Virtual antes que voc possa
conectar VM eles.
Para criar um switch virtual, use o seguinte procedimento.

No Gerenciador do Servidor, no menu Ferramentas, Selecione o


Gerenciador do Hyper-V.
No console do Gerenciador do Hyper-V, no painel da esquerda,
selecione um servidor do Hyper-V.
No painel de Aes, selecione Gerenciador de Switch Virtual. A caixa de
dilogo do Gerenciador de Switch Virtual ser exibida, como mostra a

168

figura abaixo.

Na seo Criar Switch Virtual, selecione um dos seguintes tipos de


switch:
o Externo. O switch virtual ligado com a pilha de protocolo de
rede no SO host e conectado ao adaptador de interface de rede
do servidor Hyper-V. VMs rodando nas parties pai e filhas do
servidor podem todas acessar a rede fsica na qual o adaptador
fsico est conectado.
o Interno. Um switch de rede interno ligado a uma instncia
separada da pilha de protocolo de rede no SO host, independente
do adaptador de interface de rede fsico e sua rede conectada.
VMs rodando nas parties pai e filhas do servidor podem todas
acessar a rede implementada pelo switch virtual; o SO host na
partio pai pode acessar a rede fsica atravs do adaptador de
interface de rede fsico, mas VMs nas parties filhas no podem
acessar a rede fsica atravs do adaptador fsico.
o Privado. Um switch de rede privado existe somente no servidor
Hyper-V e est acessvel somente para as VMs rodando nas
parties filhas. O SO host nas partio pai pode acessar a rede
atravs do adaptador de interface de rede, mas no pode acessar
a rede virtual criada pelo switch virtual.
Clique em Criar Switch Virtual para abrir a pgina de Propriedades de
Switch Virtual.
Configure as opes abaixo se desejado:
o Permitir que o Sistema Operacional Host compartilhe este
Adaptador de Rede. Selecionado por padro quando voc cria

169

um switch virtual externo, desmarcar esta opo exclui o SO host


da rede fsica enquanto d acesso s VMs filhas.
o Ativar Virtualizao de E/S de Raiz nica (Single Root I/O
Virtualization - SR-IOV). Te permite criar um switch virtual
externo que associado com um adaptador de rede fsico capaz
de suportar SR-IOV. Esta opo s est disponvel na criao de
um novo switch; voc no pode modificar um switch existente
para usar esta opo.
o Ativar identificao de LAN virtual para o sistema
operacional host. Se o seu computador host est conectado
uma infraestrutura fsica de switches que usa LANs virtuais
(VLANs) para criar subredes separadas, voc pode selecionar
essa opo e informar um identificador VLAN para associar o
switch virtual com uma VLAN particular na sua rede fsica.
Clique em OK. O novo switch virtual aparecer no canto esquerdo na
lista de switches virtuais.

Voc pode criar switches virtuais adicionais conforme necessrio. Voc pode
criar apenas um switch externo para cada adaptador de rede no computador,
mas voc pode criar mltiplos switches internos ou privados para criar quantas
redes virtuais desejar.
Para criar um novo switch virtual atravs do Windows PowerShell, use o cmdlet NewVMSwitch com a seguinte sintaxe:
New-VMSwitch <nome_switch> -NetAdapterName <nome_adaptador>
[ -SwitchType Internal | Private ]
Por exemplo, para criar um switch externo chamado LAN Switch, voc usaria o
seguinte comando:
New-VMSwitch LAN Switch NetAdapterName Ethernet

Configurar endereo MAC


Cada adaptador de interface de rede tem um endereo de Controle de Acesso
ao Meio (Media Access Control - MAC) algumas vezes chamado de endereo
de hardware que identifica unicamente o dispositivo na rede. Em adaptadores
fsicos de rede, o MAC atribudo pelo fornecedor e inserido permanentemente
do firmware do adaptador. O endereo MAC um valor hexadecimal de 6
bytes, os trs primeiros bytes so um identificador nico de organizao que
especifica o fabricante, e os ltimos trs bytes identificam o prprio adaptador.
O endereo MAC essencial para a operao de uma LAN, ento os
adaptadores de rede virtuais em um servidor Hyper-V precisam t-los. O
servidor tem pelo menos um endereo MAC real, provido pelo seu adaptador

170

de rede fsico, mas o Hyper-V no pode usar esse nico endereo para todos
os adaptadores conectando VMs na rede.
Ao invs disso, o Hyper-V cria um pool de endereos MAC durante a
instalao da funo e atribui endereos deste pool para as VMs na medida em
que voc as cria. Para ver ou modificar o pool de endereos MAC para o
servidor Hyper-V, voc abre o Gerenciador de Switch Virtual e, sob
Configuraes Globais de Rede, selecione Intervalo de Endereo MAC, como
mostra a figura abaixo.

Os primeiros trs bytes de um intervalo de endereos MAC so sempre 00-155D, que sempre um identificador nico de organizao registrado pelo
Microsoft. O quarto e quinto bytes do endereo MAC so os dois ltimo bytes
do endereo IP atribudos ao adaptador de rede fsico do servidor, convertido
em notao hexadecimal. O sexto e ltimo byte do endereo MAC contem o
intervalo de valores de 00 a FF, que disponibilizam 256 possveis valores.
O servidor Hyper-V atribui as endereos MAC aos adaptadores de rede nas
VMs na medida em que administradores criam os adaptadores. Os
adaptadores retm seus endereos MAC permanentemente ou at que o
adaptador seja removido da VM. O servidor recupera qualquer endereo sem
uso e reutiliza-os.
Espera-se que o pool (conjunto) padro de 256 endereos seja suficiente para
a maioria das configuraes de VMs do Hyper-V, mas se no for, voc pode
modificar os valores de Mnimo e Mximo para aumentar o intervalo. Para
prevenir duplicao de endereos, voc deveria mudar somente o segundo
bytes do fim para o comeo, tornando-o em um intervalo de endereos como o
ltimo byte.

171

Por exemplo, o intervalo ilustrado na figura disponibiliza 256 endereos com os


seguintes valores:
00-15-1D-02-12-00 a 00-15-1D-02-12-FF
Modificando apenas o ltimo dgito significativo, como nos valores abaixo,
aumenta o pool de 256 para 4.096:
00-15-1D-02-10-00 a 00-15-1D-02-1F-FF
Quando voc modifica o pool de endereos MAC e voc tem outros servidores
Hyper-V na sua rede, voc deve ter cuidado para no criar situaes de interseo
na qual endereos MAC duplicados possam ocorrer ou problemas de rede possam
resultar.

Criar Adaptadores de Rede Virtuais


Aps ter criado switches virtuais no Gerenciador do Hyper-V, voc pode
conectar VMs a eles criando e configurando adaptadores de rede virtuais.
Quando voc cria uma nova VM, a configurao padro inclui um adaptador de
rede virtual. O Assistente de Nova Mquina Virtual inclui uma pgina de
Configurao de Rede, na qual voc seleciona um dos switches virtuais que
voc criou.
Se voc criou apenas o switch virtual externo padro quando instalou o HyperV, ento conectar uma VM esse switch liga o sistema rede fsica. Se voc
quer criar adaptadores de rede adicionais em suas VMs, voc deve usar o
seguinte procedimento.

No Gerenciador do Servidor, no menu Ferramentas, selecione


Gerenciador do Hyper-V para abrir o console do Gerenciador do
Hyper-V.
No painel da esquerda, selecione um servidor do Hyper-V.
Na lista de mquinas virtuais, seleciona uma VM e, no painel de
Aes, clique em Configuraes. A caixa de dilogo de configuraes
para a VM ser exibida.
Na lista de Adicionar Hardware, selecione Adaptador de Rede e
clique em Adicionar. Um novo adaptador de rede aparecer na lista

172

de Hardware, como mostra a figura a seguir.

Na lista de Switch Virtual, selecione o switch ao qual voc quer


conectar o adaptador de rede.
Se o computador host est conectado uma infraestrutura fsica de
switches que usa LANs virtuais para criar subredes, voc pode
selecionar a caixa de seleo Ativar Identificao de LAN Virtual e
informar um identificador de VLAN para associar o adaptador de rede
com uma VLAN particular na sua rede fsica.
Para controlar a quantidade de largura de banda alocada ao
adaptador de rede, selecione a caixa de seleo Ativar Gerenciamento
de Largura de Banda e informe valores para as configuraes de
largura de banda mnima e mxima.
Clique em OK. As configuraes so salvas no arquivo de
configurao da VM.

Voc pode criar at 12 adaptadores de rede em um servidor com o Windows


Server 2012 R2: oito sintticos e quatro emulados.

173

Adaptadores Sintticos e Adaptadores Emulados


Selecionar a opo de Adaptador de Rede na pgina Adicionar Hardware cria o
que conhecido na terminologia do Hyper-V como um adaptador de rede
sinttico. O Hyper-V suporta dois tipos de adaptadores de rede e de
armazenamento: sintticos e emulados (algumas vezes chamados de legados).
Um adaptador sinttico um dispositivo puramente virtual que no corresponde
um produto do mundo real. Dispositivos sintticos em uma VM rodando em
uma partio filha se comunicam com a partio pai usando um barramento de
alta velocidade chamado VMBus.
Os switches virtuais que voc cria no Hyper-V residem na partio pai e so
parte de um componente chamado Servio Provedor de Virtualizao
(Virtualization Service Provider - VSP) de rede. O adaptador de rede sinttico
na partio filha um Servio Cliente de Virtualizao (Virtualization Service
Client - VSC). O VSP e o VSC esto ambos conectados ao VMBus, o qual
possibilita comunicao entre parties, como vemos no esquema abaixo. O
VSP, na partio pai, prove ao VSC, na partio filha, acesso ao hardware

174

fsico do computador host; isto , o adaptador fsico de interface de rede.

Por terem acesso ao hardware atravs do VMBus, adaptadores sintticos


proveem um nvel de desempenho muito maior do que a alternativa,
adaptadores emulados. Adaptadores sintticos so implementados como parte
do pacote de Servios de Integrao de Convidado que roda em SOs
hspedes/convidados suportados. A principal desvantagem de adaptadores de
rede sintticos que eles no so operacionais at que o SO seja carregado
na VM.
Um adaptador emulado algumas vezes chamado de adaptador emulado
um driver de adaptador de rede padro que se comunica com a partio pai
fazendo chamadas diretamente ao hipervisor, que fica externo s parties,

175

conforme mostrado na imagem abaixo. Este mtodo de comunicao


substancialmente mais lento do que o VMBus usado pelo adaptadores de rede
sintticos e portanto menos desejvel.

Para instalar um adaptador emulado, voc usa o mesmo procedimento descrito


anteriormente, exceto que voc seleciona o Adaptador de Rede Legado na
lista de Adicionar Hardware. Ao contrrio de adaptadores sintticos,
adaptadores emulados carregam seus drivers antes do SO, ento possvel
fazer boot na VM usando PXE (Preboot eXecution Environment) e ento
implantar um SO atravs da rede.
Este um de dois cenrios nos quais usar um adaptador emulado prefervel
do que usar um adaptador sinttico. O outro quando voc est instalando um
SO nas suas VMs que no possuem um pacote de Servios de Integrao de
Convidado disponvel.

176

Definir configuraes de acelerao de hardware


Alguns adaptadores de interface de rede tm recursos que so feitos para
melhorar o desempenho retirando algumas funes do processador do sistema
para componentes instalados no prprio adaptador. O Hyper-V inclui suporte
para alguns destes recursos, desde que o hardware no adaptador fsico de
rede os suporte apropriadamente.
Quando voc expande um adaptador de rede na caixa de dilogo de
Configuraes de uma VM, voc ganha acesso pgina de Acelerao de
Hardware. Nesta pgina, voc pode definir as seguintes configuraes de
acelerao de hardware:

Ativar fila de Mquina Virtual. Fila de Mquina Virtual uma tecnologia


que armazena pacotes de entrada com destino VMs em filas
separadas no adaptador de rede fsico e entrega-os diretamente VM,
contornando o processamento normal realizado pelo switch virtual na
partio pai.
Ativar Descarga (Offloading) de tarefas do IPsec. Usa componentes no
adaptador de rede para realizar algumas das tarefas de criptografia
exigidas pelo IPsec. Voc tambm pode especificar o nmero mximo
de associaes de segurana que voc quer que o adaptador calcule.
Virtualizao de E/S de Raiz nica (Single Root I/O Virtualization SR-IOV). Permite que o adaptador virtual aproveite as capacidades de
SR-IOV do adaptador fsico.

Configurando Recurso Avanados de Adaptador de Rede


A pgina de Recursos Avanados d opes adicionais para suportar
capacidades de adaptador de rede, como segue:

Endereo MAC esttico. Por padro, adaptadores de rede virtuais


recebem um endereo MAC atribudo dinamicamente pelo servidor
Hyper-V. Porm, voc pode optar por criar um endereo MAC esttico
atravs desta opo. O nico requisito que nenhum outro adaptador,
virtual ou fsico, na mesma rede use o mesmo endereo.
Ativar Spoofing de endereos MAC. Quando ativado, a porta no
switch virtual na qual o adaptador de rede virtual est conectado pode
enviar e receber pacotes contendo qualquer endereo MAC. A porta do
switch virtual tambm pode aprender novos endereos MAC as
adicion-los sua tabela de encaminhamento.
Proteo de DHCP. Previne o adaptador de processar mensagens
enviadas por servidores DHCP falsos.

177

Modo de Espelhamento de Portas. Habilita o adaptador a encaminhar


todos os pacotes que recebe pela rede outro adaptador virtual para
anlise por meio do uso de uma aplicao como o Monitor de Rede.
Agrupamento de NICs. Habilita o adaptador a adicionar sua largura de
banda de outros adaptadores no mesmo SO convidado/hspede em
um arranjo de Agrupamento de NICs (NIC Teaming).

Configurar o Agrupamento de NICs em um ambiente de rede virtual


Como explicado anteriormente, Agrupamento de NICs um recurso do
Windows que permite que administradores unam vrios adaptadores de rede
um uma nica entidade para fins de melhora de desempenho ou tolerncia
falhas. Mquinas virtuais do Hyper-V tambm podem se aproveitar do
Agrupamento de NICs, mas so limitadas a agrupamentos de apenas 2, ao
contrrio do sistema operacional host, que pode ter agrupamentos de at 64
adaptadores.
Para usar o Agrupamento de NICs no Hyper-V voc deve completar trs
tarefas bsicas:
1. Criar o Agrupamento de NICs no Windows Server 2012 R2 do sistema
host.
2. No Gerenciador do Hyper-V, criar um switch virtual externo usando o
Agrupamento de NICs.
3. Configurar o adaptador de rede em uma mquina virtual para conectar
no switch virtual representando o Agrupamento de NICs.

Criar o Agrupamento de NICs


Agrupamento de NICs deve consistir de adaptadores de rede fsicos, ento
antes de usar um Agrupamento de NICs em uma mquina virtual, voc deve
cri-lo no sistema operacional host. Depois de instalar dois adaptadores de
rede no computador, voc pode criar um Agrupamento de NICs no Gerenciador
do Servidor da maneira usual, usando as configuraes mostradas na imagem
abaixo.

178

Criar o agrupamento instala o Microsoft Network Adapter Multiplexor Driver,


que aparece como um dos componentes da conexo de rede que representa o
agrupamento.

Criar o Switch Virtual do Agrupamento


Aps ter criado o Agrupamento de NICs, voc pode abrir o Gerenciador de
Switch Virtual e criar um novo switch selecionando a opo Externo e aps
clicar em Criar Switch Virtual Selecionar o item Microsoft Network Adapter
Multiplexor Driver na lista do item Rede Externa, como podemos ver na figura
abaixo (em ingls).

179

Configurar um Adaptador de Rede Virtual de Agrupamento de NICs


Para configurar uma mquina virtual para usar um Agrupamento de NICs, voc
deve usar a caixa de dilogo de Configuraes para modificar as propriedades
de um adaptador de rede virtual, configur-lo para usar o switch do
Agrupamento de NICs que voc criou na seo anterior como podemos ver na
figura abaixo (em ingls).

180

Finalmente voc pode abrir a pgina de Recursos Avanados do adaptador de


rede e selecionar a caixa de seleo Permitir que o adaptador de rede seja
parte em um agrupamento no sistema operacional convidado. Neste ponto, o
Agrupamento de NICs est operacional para a VM. Voc pode desplugar um
dos cabos de rede e o sistema ir manter suas conexes com a rede.
Criar configuraes de Rede Virtual
O Hyper-V torna possvel estender praticamente qualquer configurao de rede
fsica em seu espao virtual ou criar uma rede completamente separada e
isolada dentro do ambiente do Hyper-V.
A configurao bsica padro de uma VM do Hyper-V conecta seu adaptador
de rede um switch virtual externo, ligando o SO convidado na VM com a rede
externa. A VM pode ento se aproveitar dos servios rodando na rede externa
e enviar trfego atravs dos roteadores para outras redes, incluindo a Internet.
Este tipo de arranjo pode permitir que administradores consolidem muitos
servidores fsicos em VMs em um nico servidor Hyper-V, dando-lhes acesso
toda a rede. No h distino entre a rede fsica e a virtual no espao do
Hyper-V.

181

Estendendo uma Rede de Produo para dentro do Espao Virtual


Lembre-se que um servidor Hyper-V pode ter vrios adaptadores de rede
instalados nele, que podem estar conectados em diferentes redes para separar
o trfego ou podem estar conectados mesma rede para aumentar a largura
de banda disponvel. Voc tambm pode ter adaptadores dedicados
conexes SAN para armazenamento compartilhado e cluster de servidores.
A Microsoft recomenda o uso de pelo menos dois adaptadores fsicos de
interface de rede em um servidor do Hyper-V, com um adaptador servindo a
partio pai e o outro conectado nas parties filhas. Quando voc tem mais de
dois adaptadores no servidor, voc pode criar switches virtuais externos
separados para os adaptadores fsicos e conectar cada um em uma VM
separada.

Criando uma Rede Isolada


Para fins de testes e avaliaes ou situaes de sala de aula, administradores
podem querer criar ambientes de redes isolados. Criando switches virtuais
internos ou privados, voc pode criar redes que existem apenas dentro do
espao do Hyper-V, incluindo ou no a partio pai.
Uma rede isolada como essa tem limitaes, entretanto. Se voc instalar o SO
convidado usando o WDS ou configurar as VMs usando DHCP, voc deve
instalar e configurar estes servios na sua rede privada. O SO convidado
tambm no ter acesso Internet, o que impedir de baixar atualizaes para
o SO. Neste caso voc deve implantar substitutos apropriados na rede privada.
Um modo de prover atualizaes para seus sistemas instalar dois
adaptadores em cada uma das VMs, conectando um em um switch privado e
outro em um switch externo. Isto permite que as VMs possam acessar a
Internet e a rede privada.
Outro mtodo para criar uma rede isolada usar VLANs. Isso particularmente
til se voc tem VMs em servidores Hyper-V diferentes e quer adicion-los
rede isolada. Conectando os adaptadores um switch externo e configurandoos com o mesmo identificador de VLAN, voc cria uma rede dentro da rede,
isolando a VLAN de outros computadores. Voc pode, por exemplo, implantar
um servidor DHCP na sua VLAN sem interferir com outros servidores DHCP no
seu ambiente de produo.

182

4- Implantar e Configurar Servios de Rede Essenciais


Este captulo discute a infraestrutura vital de servios que praticamente toda
rede deve implementar. Todo computador em uma rede TCP/IP deve ter pelo
menos um endereo IP e a maioria das redes hoje usam DHCP para atribuir
esses endereos. Para simplificar acesso recursos na Internet e localizar
controladores de domnio do Active Directory, computadores TCP/IP devem ter
acesso um servidor DNS. O Windows Server 2012 R2 inclui todos esses
servios e prove ferramentas para gerenci-los.

4.1 Configurar endereamento IPv4 e IPv6


Administradores de servidor devem estar familiarizados com os princpios
bsicos dos espaos de endereamento do IPv4 e do IPv6. Este seo revisa
estes princpios e descreve o processo usual para elaborar estratgias de
endereamento IPv4 e IPv6.

Endereamento IPv4
Como voc provavelmente j sabe, o espao de endereamento IPv4 consiste
de endereos de 32 bits, usando notao de quatro valores decimais de 8 bits
partindo do 0 at 255 e separados por pontos (por exemplo, 192.168.43.100).
Isto conhecido como notao decimal pontuada e os valores decimais de 8
bits individuais so chamados de octetos ou bytes.
Cada endereo consiste de bits de rede, que identificam a rede, e bits de host,
que identificam um dispositivo particular na rede. Para diferenciar os bits de
rede dos bits de host, cada endereo deve possuir uma mscara de subrede.
Uma mscara de subrede outro valor de 32 bits consistindo de valores
binrios 1 ou 0. Quando comparada com um endereo IP, os bits
correspondentes aos 1s na mscara so os bits de rede, e os bits
correspondentes aos 0s na mscara so os bits de host. Logo, se o endereo
192.168.43.100 mencionado anteriormente tem uma mscara de subrede
255.255.255.0 (que em sua forma binria ficaria
(11111111.11111111.11111111.00000000), os primeiros trs octetos
(192.168.43) identificam a rede e o ltimo octeto (100) identifica o host.

Endereamento IPv4 por classe


Pelo fato da mscara de rede associada ao endereo IP poder variar, o nmero
de bits usados para identificar a rede e o host tambm podem variar.

183

O padro IP original define trs classes de endereos IP, que suportam redes
de diferentes tamanhos, como podemos ver na figura abaixo.

O nmero de redes e hosts suportados por cada classe de endereo est


listado na tabela abaixo.
Classe de
endereo IP

Classe A

Classe B

Classe C

Valores do primeiro
bit (binrio)
Valores do primeiro
byte (decimal)
Nmero de bits do
identificador de rede
Nmero de bits do
identificador de host
Nmero de redes
possveis
Nmero de hosts
possveis

10

110

1-127

128-191

192-223

16

24

24

16

126

16.384

2.097.152

16.777.214

65.534

254

Alm das classes A, B e C o padro IP define as classes D e E. Endereos da classe D comeam


com os valores de bit 1110 e endereos da classe E comeam com os valores de bit 11110. A
IANA alocou endereos da classe D para uso como identificadores multicast. Um endereo
multicast identifica um grupo de computadores em uma rede, todos possuindo uma
caracterstica comum. Endereos Multicast habilitam aplicaes TCP/IP a enviar trfego para
computadores que realizam funes especficas (como todos os roteadores da rede), mesmo
que estejam localizados em subrede diferentes. Endereos da classe E so definidos como
experimentais e ainda no so usados.

A coluna Valores de primeiro bit indica os valores binrios para os primeiros


bits de um endereo em cada classe. As primeiras implementaes do TCP/IP
usavam os valores destes bits no lugar de mscara de rede para determinar a

184

classe de um endereo. Os valores binrios dos primeiros bits de cada classe


de endereo limitam os valores decimais possveis para o primeiro byte do
endereo. Por exemplo, pelo primeiro bit de um endereo Classe A ser 0, o
valores binrios possveis do primeiro byte de um endereo Classe A vo de
00000001 at 01111111, que em sua forma decimal so valores de 1 a 127.
Ento, no sistema de endereamento por classes, quando voc v um
endereo IP no qual o primeiro byte um nmero entre 1 e 127, voc sabe
que um endereo da classe A.
Em um endereo Classe A, o identificador de rede so os primeiros 8 bits e o
identificador de host so os 24 bits restantes. Logo, existem apenas 126 redes
classe A possveis (o identificar de rede 127 reservado para fins de
diagnstico), mas cada rede pode ter at 16.777.214 adaptadores de rede
conectados. Endereos classes B e C dedicam mais bits para o identificador de
rede, o que significa que suportam um nmero maior de redes, mas ao custo
de ter menos bits no identificador de host. Esta troca reduz o nmero de hosts
que podem ser criados em cada rede.
Os valores na tabela anterior para os nmeros de hosts em cada classe de
endereos podem parecer baixos. Por exemplo, um nmero binrio de 8 bits
pode ter 256 (isto 28) valores possveis, no 254, como mostrado na tabela
para o nmero de hosts em um endereo classe C. O valor 254 usado porque
o padro IP original fala que que voc no pode atribuir o endereo que possui
todos os bits 0 e nem o endereo que possui todos os bits 1 para um host. O
endereo que possui todos os bits 0 identifica a rede local, no um host
especfico, e o endereo que possui todos os bits 1 usado como endereo de
broadcast. Voc no pode atribuir nenhum dos dois endereos para nenhum
host especfico. Sendo assim, para calcular o nmero de endereos de host ou
de rede possveis que voc pode criar com um dado nmero de bits, voc usa
a frmula 2x-2 onde x o nmero de bits. Decore essa frmula para o exame!

Roteamento Sem Classe Entre Domnios (Classless Inter-Domain Routing)


Quando o IP foi desenvolvido, ningum imaginava que o espao de
endereamento de 32 bits poderia ser exaurido. No incio dos anos 80, no
existiam redes que possussem 65.536 computadores, esquea ento 16
milhes, e ningum se preocupou com o desperdcio de atribuir endereos IP
baseado nessas classes.
Devido esse desperdcio, endereamento por classe tornou-se gradualmente
obsoleto por uma srie de mtodos de divises em subredes, incluindo
mascaramento de subredes de tamanho varivel (variable length subnet
masking - VLSM) e eventualmente o Roteamento Sem Classe Entre Domnios
(Classless Inter-Domain Routing - CIDR). O CIDR um mtodo de diviso de

185

subredes que permite que administradores coloquem a diviso entre os bits de


rede e de hosts em qualquer lugar no endereo, no apenas entre os octetos.
Isto torna possvel criar redes de quase qualquer tamanho.
O CIDR tambm introduziu uma nova notao para endereos de rede. Um
endereo decimal pontuado padro representando a rede seguido por uma
barra e um nmero representando o tamanho do prefixo identificador de rede.
Por exemplo, 192.168.43.0/24 representa uma nica rede classe C que usa um
identificador de rede de 24 bits, deixando os outros 8 bits para at 254
identificadores de hosts. Cada um destes hosts receberia um endereo de
192.168.43.1 at 192.168.43.254 usando a mscara de rede 255.255.255.0.
Entretanto, atravs do CIDR, um administrador pode dividir este endereo em
mais subredes alocando alguns dos bits de hosts para criar subredes. Para
criar subredes para quatro escritrios, por exemplo, o administrador pode pegar
2 bits dos bits identificadores de host, mudando o endereo de rede na notao
CIDR para 192.168.43.0/26. Como o identificador de rede agora de 26 bits, a
mscara de rede para os quatro escritrios ser
11111111.11111111.11111111.11000000 em binrio, ou 255.255.255.192 em
decimal. Cada uma das quatro redes ter at 62 hosts, usando o intervalo de
endereos IP mostrados na tabela abaixo.
Endereo de
Endereo IP
Endereo IP
Mscara de
Rede
Inicial
Final
Subrede
192.168.43.0
192.168.43.1
192.168.43.62
255.255.255.192
192.168.43.64
192.168.43.65
192.168.43.126
255.255.255.192
192.168.43.128
192.168.43.129
192.168.43.190
255.255.255.192
192.168.43.192
192.168.43.193
192.168.43.254
255.255.255.192
Se o administrador precisar de mais de quatro subredes, mudar o endereo de
rede para 192.168.43.0/28 adiciona mais dois bits para o endereo de rede
para o mximo de 16 subredes, cada qual podendo suportar at 14 hosts. A
mscara de subredes para essas redes seria 255.255.255.240.
Endereamento IPv4 Pblico e Privado
Para um computador ser acessvel da Internet, deve possuir um endereo IP
que seja acessvel e nico, seja no servidor ou em um dispositivo
disponibilizando acesso ele, como um roteador NAT. Todos os servidores
Web na Internet possuem endereos registrados, assim como todos os outros
tipos de servidores da Internet.
A IANA a fonte suprema de todos os endereos registrados. Gerenciada pela
Internet Corporation for Assigned Names and Numbers (ICANN) , como um
nome no faz muito sentido traduzir mas para voc ter uma ideia seria algo
como, Corporao da Internet para Nomes e Nmeros Atribudos, esta
organizao aloca blocos de endereos rgos de registro regionais da
Internet, que por sua vez alocam blocos menores aos provedores de Internet.

186

Uma organizao que quer hospedar um servidor na Internet tipicamente


obtm um endereo registrado de um provedor de Internet.
Endereos IP registrados no so necessariamente para estaes de trabalho
que somente acessam recursos na Internet. Se organizaes usassem
endereos registrados para todas as suas estaes de trabalho, o espao de
endereamento IPv4 teria se esgotado a muito tempo. No lugar, tipicamente
organizaes usam endereos privados para as suas estaes de trabalho.
Endereos IP privados so blocos de endereos que so alocados
especificamente para uso em redes privadas. Qualquer um pode usar esses
endereos sem precisar registr-los, mas ele no podem fazer computadores
acessveis a partir da Internet sem usar uma tecnologia especializada como o
NAT (network address translation traduo de endereo de rede).
Os trs blocos de endereos alocados para uso privado so:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

A maioria das redes empresariais usam endereos destes blocos para suas
estaes de trabalho. No importa se vrias organizaes usam o mesmo
endereo, pois as organizaes nunca esto diretamente conectadas na
mesma rede.

Subredes IPv4
Na maioria dos casos, administradores de empresas usam endereos de um
dos intervalos de endereos IP privados para criar as subrede que precisam.
Se voc est criando uma nova rede empresarial no zero, voc pode escolher
qualquer um dos blocos de endereos privados e facilitar as coisas para voc
mesmo criando subredes nas divises dos octetos.
Por exemplo, voc pode pegar o intervalo de endereo IP privado 10.0.0.0/8 e
usar o segundo octeto inteiro como ID de subrede. Isto permite criar at 256
subredes com at 65.536 hosts em cada uma. As mscaras de subrede para
todos os endereos nas subredes ser 255.255.0.0 e os endereos de rede
iro progredir da seguinte forma:

10.0.0.0/16
10.1.0.0/16
10.2.0.0/16
10.3.0.0/16
...

187

10.255.0.0/16

Quando voc est trabalhando com uma rede existente, o processo de diviso
em subredes provavelmente ser mais difcil. Voc pode, por exemplo, receber
um intervalo relativamente pequeno de endereos e ser solicitado a criar um
certo nmero de subredes neles. Para fazer isso, voc usa o seguinte
procedimento:
1. Determine quantos bits voc precisa para o identificador de rede para
criar o nmero necessrio de subredes.
2. Diminua o nmero de bits que voc precisa para as subredes do nmero
de bits para os hosts e adicione-os aos bits usados para rede.
3. Calcule a mscara de subrede somando os bits de rede e de subrede
em formato binrio e depois convertendo para decimal.
4. Pegue o bit menos significativo da subrede e os bits de host, em formato
binrio, e converta-os em formato decimal.
5. Incremente o identificador de rede (incluindo os bits de subrede) no valor
decimal que voc calculou para determinar os endereos de rede das
suas novas subredes.
Usando o exemplo anterior deste captulo, se voc pegar o endereo de rede
192.168.43.0/24 e alocar dois bits extras para a ID de subrede, voc tem um
valor binrio de mscara de subrede de
11111111.11111111.11111111.11000000 (255.255.255.192 na forma decimal).
O bit menos significativo da subrede mais os bits de host daro o valor
1000000, que converte-se no valor decimal 64. Logo, se voc sabe que o
endereo de rede da sua primeira subrede 192.168.43.0, a segunda subrede
deve ser 192.168.43.64, a terceira 192.168.43.128, e a quarta 192.168.43.192.

Super-Redes
Alm de simplificar a notao de redes, o CIDR tambm torna possvel uma
tcnica chamada agregao ou super-redes, que pode ajudar a reduzir o
tamanho das tabelas de roteamento da Internet. Uma super-rede uma
combinao de redes contiguas em que todas contm um prefixo CIDR
comum. Quando uma organizao possui vrias redes contiguas que podem
ser expressas como uma super-rede, possvel listar essas redes em uma
tabela de roteamento usando apenas uma entrada ao invs de muitas.
Por exemplo, se uma organizao tem as seguintes cinco subredes, a prtica
padro seria criar uma entrada separada na tabela de roteamento para cada
uma.

188

172.16.43.0/24
172.16.44.0/24
172.16.45.0/24
172.16.46.0/24
172.16.47.0/24

Para criar uma super-rede englobando todas as 5 redes, voc deve isolar os
bits que eles possuem em comum. Quando voc converte os endereos de
rede de decimal para binrio, voc tem os seguintes valores:
172.16.43.0

10101100.00010000.00101011.00000000

172.16.44.0

10101100.00010000.00101100.00000000

172.16.45.0

10101100.00010000.00101101.00000000

172.16.46.0

10101100.00010000.00101110.00000000

172.16.47.0

10101100.00010000.00101111.00000000

Em formato binrio, voc pode ver que todos os cinco endereos possuem os
mesmos primeiros 21 bits. Estes 21 bits se tornam o identificador de rede do
endereo da super-rede, como a seguir:
10101100.00010000.00101
Aps zerar os bits de host para formar o endereo de rede e converter o
nmero binrio de volta ao formato decimal, o endereo de super-rede
resultante 172.16.40.0/21.
10101100.00010000.00101000.00000000

172.16.40.0/21

Este endereo de rede pode substituir os cinco endereos originais na tabela


de roteamento duplicados atravs da Internet. Este apenas um exemplo de
uma tcnica que administradores podem usar para combinar dezenas ou
mesmo centenas de subredes em entradas nicas na tabela de roteamento.

Atribuir endereos IPv4


Alm de entender como o endereamento IP funciona, um administrador de
rede deve estar familiar com os mtodos para implantar endereos IP nos
computadores de uma rede.
Para atribuir endereos IPv4, existem trs mtodos bsicos:

189

Configurao manual
DHCP
Automatic Private IP Addressing (APIPA)

As vantagens e desvantagens destes mtodos sero discutidos abaixo.

Configurao de Endereo IPv4 Manual


Configurar um cliente IPv4 manualmente fcil e rpido. Maioria dos sistemas
operacionais oferece uma interface grfica que te permite inserir um endereo
IPv4, a mscara de rede e vrios outros parmetros de configurao TCP/IP.
Para definir configuraes de endereo IP no Windows Server 2012 R2, voc
usa a janela de propriedades do Protocolo TCP/IP Verso 4 (TCP/IPv4), como
podemos ver na figura abaixo.

Quando voc seleciona a opo Usar o seguinte endereo IP, voc pode
configurar as seguintes opes de endereo IP:

Endereo IP. Especifica o endereo IP na rede local que ir identificar a


interface de rede no computador.

190

Mscara de Subrede. Especifica a mscara associada com a subrede


local.
Gateway Padro. Especifica o endereo IP de um roteador na subrede
local, que o sistema ir usar para acessar destinos em outras redes.
Servidor DNS Preferencial. Especifica o endereo IP do servidor DNS
que o sistema ir usar para resolver nomes de computadores em
endereos IP.

O problema principal com configurao manual que uma tarefa que leva 2
minutos para um computador requer vrias horas para 100 computadores e
vrios dias para mil computadores. Configurao manual impraticvel, e no
apenas por ser lento. Voc tambm deve rastrear os endereos IPv4 que
atribui e ter certeza que que cada sistema tem um endereo que nico. Isto
pode representar desafios logsticos formidveis, por isso poucos
administradores escolhem esta opo.

Protocolo Dinmico de Configurao de Host - DHCP


O DHCP um protocolo da camada de aplicao que permite que
administradores aloquem dinamicamente endereos IP de um pool.
Computadores equipados com clientes DHCP contatam automaticamente um
servidor DHCP quando inicializam, e o servidor atribui a eles endereos nicos
e todos os outros parmetros de configurao que o servidor estiver
configurado a prover.
O servidor DHCP entrega endereos aos clientes baseado em concesso, e
aps um perodo pr-determinado, cada cliente renova o seu endereo ou
retorna-o para o servidor para ser realocado. O DHCP no somente automatiza
o processo de atribuio de endereos mas tambm rastreia os endereos que
atribui, prevenindo duplicao de endereos na rede.

Automatic Private IP Addressing APIPA


APIPA o nome dado pela Microsoft um mecanismo de retorno aps falha
(failover) do DHCP usado por todos os sistemas operacionais Microsoft atuais.
Em computadores Microsoft, o cliente DHCP est ativo por padro. Se aps
vrias tentativas, um sistema falha em localizar um servidor DHCP na rede, o
APIPA assume e automaticamente atribui um endereo na rede 169.254.0.0/16
ao computador.
Para uma rede pequena que consiste de apenas uma nica LAN, o APIPA
uma alternativa simples e efetiva instalar um servidor DHCP. Entretanto, para

191

instalaes consistindo de mltiplas LANs conectadas por roteadores,


administradores devem ter maior controle sobre o processo de atribuio de
endereos IP. Isto normalmente significa implantar/instalar um ou mais
servidores DHCP de alguma forma.
Endereamento IPv6 (vai cair certeza)
Como a maioria dos administradores sabe, o IPv6 foi feito para aumentar o
tamanho do endereamento IP, disponibilizando assim endereos para muito
mais dispositivos do que o IPv4. O tamanho de endereo de 128 bits do IPv6
permite 2128 possveis endereos o que d mais de 54 milhes de endereos
para cada metro quadrado na superfcie da Terra.
Alm de prover mais endereos, o IPv6 tambm reduzir o tamanho das
tabelas de roteamento no roteadores espalhados pela Internet. Isto devido ao
tamanho dos endereos permite mais que os dois nveis de diviso em
subredes como atualmente possvel com o IPv4.

Introduo ao IPv6
Endereos IPv6 so diferentes de endereos IPv4 de muitas formas alm do
comprimento. No lugar dos quatro nmeros decimais de 8 bits separados por
pontos que o IPv4 usa, endereos IPv6 usam 8 nmeros hexadecimais de 16
bits separados por dois pontos, como pode ver abaixo:
XX:XX:XX:XX:XX:XX:XX:XX

Cada X representa 8 bits (ou 1 byte), que em notao hexadecimal


representado por dois caracteres, como no exemplo abaixo:
21cd:0053:0000:0000:e8bb:04f2:003c:c394

Contraindo endereos IPv6


Quando um endereo IPv6 tem um ou mais blocos de 8 bits somente com
zeros, voc pode substitu-los com um sinal de dois pontos duplo (mas voc
pode usar apenas uma vez em um endereo IPv6).
21cd:0053::e8bb:04f2:003c:c394

Voc tambm pode remover os zeros que iniciam os blocos, ou zeros


esquerda, como no exemplo abaixo:

192

21cd:53::e8bb:4f2:3c:c394

Expressando Endereos de Rede IPv6


No existe mscara de rede no IPv6. Endereos de rede usam a mesma
notao de barra que o CIDR para identificar os bits de rede. Neste exemplo, o
endereo de rede est notado como segue:
21cd:53::/64
Esta a forma contrada do seguinte endereo de rede:
21cd:0053:0000:0000/64

Tipos de endereo IPv6


No existem transmisses broadcast no IPv6, e portanto nem endereos de
broadcast como no IPv4. O IPv4 suporta trs tipos de transmisses:

Unicast. Disponibiliza um servio de transmisso um-para-um


interfaces individuais, incluindo farms (grandes datacenters) de
servidores compartilhando um nico endereo.
Multicast. Disponibiliza um servio de transmisso um-para-muitos
grupos de interfaces identificadas por um nico endereo multicast.
Anycast. Disponibiliza um servio de transmisso um-para-um-demuitos grupos de interfaces, apenas o mais prximo (que medido
pelo nmero de roteadores intermedirios) recebe a transmisso.
No IPv6, o escopo de um endereo se refere ao tamanho de sua rea funcional. Por
exemplo, o escopo de um unicast global ilimitado, ou seja, toda a Internet. O escopo de
um unicast link-local o link imediato, ou seja, a rede local. O escopo de um unicast local
nico consiste em todas as subredes dentro da organizao.

O IPv6 tambm suporta vrios tipos de endereos, conforme descrito nas


sesses a seguir.
Endereos Unicast Global
Um endereo Unicast Global o equivalente um endereo IPv4 registrado
rotevel por todo o mundo e nico na Internet.

193

Endereos Unicast Link-Local


No IPv6, sistemas que atribuem um endereo para si mesmos
automaticamente criam um endereo Unicast Link-Local, que essencialmente
o equivalente um endereo APIPA no IPv4. Todos os endereos link-local
tem o mesmo identificador de rede: um prefixo de 10 bits , 1111111010 seguido
por 54 zeros, resultando no seguinte endereo de rede.
fe80:0000:0000:0000/64
Em sua forma mais compacta, o endereo de rede Link-Local fica como segue:
fe80::/64
Como todos os endereos de link local (ou Link-Local) esto na mesma rede,
eles no so roteveis, e sistemas que os possuem podem apenas se
comunicar com outros sistemas no mesmo link.
Endereos Unicast Local nicos
Endereos Unicast Local nicos so o equivalente IPv6 aos intervalos de rede
privados 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16 do IPv4. Como os
endereos de rede privados do IPv4, endereos local nicos so roteveis
dentro as organizao. Administradores tambm podem dividi-los em subredes
conforme necessrio para suportar uma organizao de qualquer tamanho.
Muitas fontes de informao sobre o IPv6 continuam a listar endereos unicast
site-local como um tipo vlido de unicast, com uma funo similar de
endereos de rede privados do IPv4. Por vrias razes, endereos unicast
site-local tornaram-se obsoletos, e embora seu uso no seja proibido, sua
funcionalidade foi substituda por endereos unicast local nicos.

Endereos Multicast
Endereos Multicast sempre comeam como valor 11111111 em binrio que
ff em hexadecimal.
Endereos Anycast
A funo de um endereo Anycast identificar os roteadores dentro de um
dado escopo de endereo e enviar trfego para o roteador mais prximo,
conforme determinado pelos protocolos de roteamento local. Organizaes
podem usar endereos anycast para identificar um conjunto particular de
roteadores na organizao, como os que proveem acesso Internet. Para usar
anycasts, os roteadores devem estar configurados para reconhecer endereos
ancast.

194

Atribuir endereos IPv6


Os processos usados por administradores para atribuir endereos IPv6 aos
computadores da rede so similares aos usados no IPv4. Assim como no IPv4,
um computador Windows pode obter um endereo IPv6 de trs maneiras
diferentes:

Alocao manual. Um usurio ou administrador informa o endereo e


outras informaes para cada interface de rede.
Auto alocao. O computador cria seu prprio endereo usando um
processo chamado autoconfigurao de endereo sem estado.
Alocao dinmica. O computador solicita e recebe um endereo de um
servidor DHCPv6 na rede.

Alocao de Endereo IPv6 Manual


Para o administrador de uma organizao, alocao manual de endereos
ainda mais impraticvel no IPv6 do que no IPv4 devido ao comprimentos dos
endereos envolvidos. Entretanto, possvel, e o procedimento para execut-lo
no Windows Server 2012 R2 o mesmo que o do IPv4, exceto que voc abrir
a janela de propriedades do item Protocolo TCP/IP verso 6 (TCP/IPv6), como
pode ver na figura abaixo.

195

Devido s dificuldades de se trabalhar com endereos IPv6 manualmente, as


prximas duas opes so prevalecentes.

Autoconfigurao de Endereo Sem Estado


Quando um computador Windows inicializa, ele inicia o processo de
autoconfigurao de endereo sem estado, durante o qual atribui para cada
interface um endereo unicast link-local. Esta atribuio sempre ocorre, mesmo
quando a interface recebe um endereo unicast global depois. O endereo linklocal permite que o sistema se comunique com o roteador na mesma subrede,
o qual passa instrues adicionais.
Os passos do processo de autoconfigurao de endereo sem estado so os
seguintes:
1. Criao do endereo link-local. A implementao do IPv6 no sistema
cria um endereo link-local para cada interface usando o endereo de
rede fe80::/64 e gerando um ID de interface, usando o endereo MAC da
interface ou um gerador pseudorrandmico.
2. Deteco de endereo duplicado. Usando o protocolo de Descoberta
de Vizinho (Neighbor Discovery - ND) do IPv6, o sistema transmite uma
mensagem de Solicitao de Vizinho para determinar se algum outro
computador na mesma subrede est usando o mesmo endereo e fica
na escuta de uma mensagem de Publicao de Vizinho que possa ser
enviada em resposta. Se no houver resposta, o sistema considera que
o endereo nico no link onde est. Se houver resposta, o sistema
deve gerar um novo endereo e repetir o processo.
3. Atribuio de endereo link-local. Quando o sistema detecta que o
endereo link-local nico, ele configura a interface para usar o
endereo. Em uma rede pequena consistida de um nico link ou
segmento, esta pode ser a atribuio definitiva de endereo para a
interface. Em uma rede com diversas subredes, a funo primria da
atribuio de endereo link-local habilitar o sistema a se comunicar
com o roteador no link.
4. Solicitao de Publicao de Roteador. O sistema usa o protocolo ND
para transmitir mensagens de Solicitao de Roteador para o endereo
multicast todos os roteadores. Essas mensagens compelem os
roteadores a transmitir mensagens de Publicao de Roteador com
maior frequncia.
5. Publicao de Roteador. O roteador no link usa o protocolo ND para
transmitir mensagens de Publicao de Roteador ao sistema, que
contm informaes de como o processo de autoconfigurao deve
proceder. As mensagens de Publicao de Roteador tipicamente
informam um prefixo de rede, que o sistema ir usar com o seu ID de

196

interface existente para criar um endereo unicast global ou local nico.


As mensagens tambm pode instruir o sistema a iniciar um processo de
autoconfigurao com estado atravs do contato com algum servidor
DHCPv6. Se no houver roteador no link, como determinado pela falha
do sistema em receber mensagens de Publicao de Roteador, ento o
sistema deve tentar um processo de autoconfigurao sem estado.
6. Configurao de endereo Global ou Local nico. Usando a
informao que recebeu do roteador, o sistema gera um endereo
apropriado que rotevel, seja globalmente ou dentro da empresa, e
configura a interface para us-lo. Caso seja instrudo, o sistema tambm
pode iniciar um processo de configurao com estado (stateful)
contatando o servidor DHCPv6 especificado pelo roteador e obtendo um
endereo global ou local nico dele, junto com outras configuraes.

DHCPv6
Se voc um administrador de uma empresa como uma rede
multissegmentada, ser necessrio usar endereos globais ou locais nicos
para a comunicao da rede interna, ento voc precisar de roteadores que
publiquem os prefixos de rede apropriados ou servidores DHCPv6 que possam
fornecer endereos com os prefixos corretos.
A funo Acesso Remoto do Windows Server 2012 R2 suporta roteamento
IPv6 e publicao, e a funo Servidor DHCP suporta alocao de endereos
IPv6.

Criar subredes em endereos IPv6


Assim como no IPv4, administradores podem criar um hierarquia de subredes
usando endereos IPv6. Entretanto, no IPv6, no so necessrias mscaras de
subrede porque existem muitos bits no identificador de rede para criar um
identificador de subrede sem ter de emprestar bits do identificador de host.
O formato de um endereo unicast global IPv6 divide os 128 bits em trs
sees:

Prefixo de roteamento Global. Um campo de 48 bits comeando com o


valor 001, a sua estrutura hierrquica deixada a cargo da organizao
de Registro Regional da Internet.
ID de subrede. Um campo de 16 bits que as organizaes podem usar
para criar uma hierarquia interna de subredes.
ID de interface. Um campo de 64 bits identificado uma interface
especfica na rede.

197

Quando voc obtm um endereo de rede IPv6 do seu provedor de Internet ou


organizao de Registro, voc tipicamente recebe o prefixo de roteamento
global, tradicionalmente conhecido como um /48. Voc ento fica com o
campo de ID de subrede para criar suas subredes conforme desejar. Algumas
opes de subredes seriam:

Subrede de um nvel. Configurando todos os bits da ID de subrede em


zero, todos os computadores na organizao faro parte de uma nica
subrede.
Subrede de dois nveis. Se voc criar uma srie de valores de 16 bits,
voc pode dividir a rede em at 65.536 subredes.
Subrede de vrios nveis. Se voc alocar nmeros especficos de bits da
ID de subrede, voc pode criar mltiplos nveis de subredes, subsubredes, e sub-sub-subredes, apropriadas para empresas de qualquer
tamanho.

Por exemplo, considere uma grande empresa internacional com o ID de


subrede dividido da seguinte forma:

Pas (4 bits). Cria at 16 subredes representando os pases em que a


organizao possui escritrios.
Estado (6 bits). Cria at 64 sub-subredes dentro de cada pas,
representando estados, provncias e outras divises geogrficas.
Escritrio (2 bits). Cria at 4 sub-sub-subredes dentro de cada estado,
representando escritrios localizados em diferentes cidades.
Departamento (4 bits). Cria at 16 sub-sub-sub-subredes dentro de cada
escritrio, representando os vrios departamentos ou divises.

Sendo assim, para criar um ID de subrede para um escritrio em particular,


voc precisa atribuir valores para cada campo. Para usar o valor 1 para o
Brasil, os bits de Pas do ID de subrede seria:
0001-----------Para criar uma designao binria de Estado para So Paulo usando o valor
49, o campo Estado ficaria assim:
----110001----Para o segundo escritrio em SP, use o valor 2 nos bits do campo Escritrio,
como segue:
----------10---Para o departamento de vendas neste escritrio, usamos o valor 9 para os bits
de Departamento como a seguir:

198

------------1001
O valor resultante para o ID de subrede, na forma binria, ficaria ento da
seguinte forma:
0001110001101001
Na forma hexadecimal, o valor seria 1c69.
Pelo fato da organizao que possui o prefixo controla totalmente o ID de
subrede, administradores de empresa podem ajustar o nmero de nveis na
hierarquia e o nmero de bits dedicado a cada nvel como for necessrio.

Planejando uma Transio IP


Muitos administradores de empresa esto confortveis trabalhando com
endereos IPv4, os quais so hesitantes em mudar. O NAT e CIDR foram
excelentes contornos para o esgotamento do espao de endereamento IP de
32 bits por anos, e muitos gostariam de v-lo continuar por muito tempo ainda.
Entretanto, a transio para o IPv6, por tempos uma ideia longe no horizonte,
agora est se aproximando a uma velocidade assustadora, e tempo dos
administradores que no esto familiares com as novas tecnologias tirarem o
tempo perdido e se atualizarem.
A indstria de redes e particularmente a Internet fez grandes investimentos
em tecnologias IPv4; substitu-las pelo IPv6 tem sido um processo gradual. De
fato, um processo gradual que deveria ter comeado a 10 anos atrs. Porm,
muitos administradores no troca seus equipamentos IPv4 a no ser que
parem de funcionar. Infelizmente, o dia em que estes equipamento iro falhar
est se aproximando rapidamente. Ento embora ainda no seja hora de
abraar o IPv6 exclusivamente, administradores devem ter esta transio em
mente quando planejam suas redes e tomam suas decises de compra.
O fim do pool de endereos ainda no alocados da IANA acabou
em 31 de Janeiro de 2011. Um dos RIR, o Centro de Informaes
da Rede do Pacifico da sia, se esgotou em 15 de Abril de 2011
e espera-se que os outros RIRs sigam o mesmo caminho.

Administradores de rede podem fazer como quiserem dentro das prprias


empresas. Se todos os equipamentos de rede da empresa suportam o IPv6,
eles podem comear a usar o IPv6 a qualquer momento. Porm, a Internet
ainda est firmemente baseada no IPv4, a continuar a ser por mais alguns
anos. Sendo assim, a transio do IPv4 para o IPv6 deve ser um projeto
gradual que inclui um perodo de suporte para as duas tecnologias.

199

Agora, e no futuro imediato, administradores devem trabalhar assumindo que o


resto do mundo est usando o IPv4, ento voc deve implementar um
mecanismo para transmitir seu trfego IPv6 sobre uma conexo IPV4.
Eventualmente, a situao ser revertida. A maioria do mundo estar usando o
IPv6 e as tecnologias IPv4 remanescentes tero que transmitir seu trfego
mais antigo sobre os novos links.

Usando uma dupla Pilha IP


O mtodo mais simples e bvio para fazer a transio do IPv4 para o IPv6
rodar ambos. Isto o que todas as verses atuais do Windows fazem, voltando
at o Windows Server 2008 e o Windows Vista.
Por padro, estes sistemas operacionais instalam ambas as verses do IP e
usam-nas simultaneamente. Mesmo que voc nunca ouviu falar de IPv6 at
hoje, seus computadores esto provavelmente usando-o e tem endereos IPv6
link-local que voc pode ver rodando o comando ipconfig /all.
As implementaes na camada de rede no Windows so separadas, ento
voc as configura separadamente. Tanto para o IPv4 quanto para o IPV6, voc
pode escolher configurar o endereo e outras configuraes manualmente ou
usar autoconfigurao.
Como o Windows suporta as duas verses, os computadores podem se
comunicar com recursos TCP/IP rodando tanto IPv4 quanto IPv6. Entretanto,
uma rede corporativa inclui outros dispositivos, mais notavelmente roteadores,
que ainda podem no suportar o IPv6. A Internet tambm quase
completamente baseada no IPv4.
Comeando imediatamente, administradores deveriam ter certeza de que
qualquer equipamento de redes que comprem inclua suporte ao IPv6. Falhar
em fazer isso com certeza significar custos adicionais mais tarde.

Tunelamento
Agora mesmo, existem muitos servios de rede que so somente IPv4 e
comparativamente menos que exigem o IPv6. Estes servios IPv6 esto vindo,
porm.
O recurso de rede remota Direct Access no Windows Server 2012 R2 e no
Windows 8.1 um exemplo de tecnologia IPv6 e muito da sua complexidade
devido a necessidade de estabelecer conexes IPv4 sobre a Internet IPv4.

200

O mtodo primrio para transmitir trfego IPv6 sobre uma rede IPv4 chamado
de tunelamento. Neste caso, Tunelamento o processo pelo qual um sistema
encapsula uma datagrama IPv6 dentro de um pacote IPv4, como vemos na
figura abaixo. O sistema ento transmite o pacote IPv4 ao seu destino, sem
que nenhum dos sistemas intermedirios perceba o contedo dos pacotes.

O Tunelamento pode funcionar em uma variedade de configuraes,


dependendo da infraestrutura da rede, incluindo roteador-para-roteador, hostpara-host, roteador-para-host e host-para-roteador. Porm, a configurao
mais comum roteador-para-roteador, como no caso de uma conexo
somente IPv4 entre um escritrio IPv6 e outra filial IPv6, como podemos ver na
figura abaixo.

Os dois roteadores suportam ambos IPv4 e IPv6 e as redes locais em cada site
usam IPv6. Todavia, o link conectando os dois sites somente IPv4. Por meio

201

da criao de um tnel entre os roteadores nos dois escritrios, eles podem


trocar trfego IPv6 conforme desejado usando suas interfaces IPv4.
Computadores nos dos sites enviam trfego IPv6 ao outro lado e os roteadores
so responsveis por encapsular os dados IPv6 em pacotes IPv4 para a
viagem pelo tnel.
O Windows suporta diversos mtodos de tunelamento, tanto manual quanto
automtico, conforme descrito nas sesses a seguir:

Configurar Tuneis Manualmente


possvel criar manualmente tneis semipermanentes que levam trfego IPv6
atravs de uma rede somente IPv4. Quando um computador rodando o
Windows Server 2012 R2 ou o Windows 8.1 est funcionando como uma das
pontas do tnel, voc pode usar o seguinte comando:
netsh interface ipv6 add v6v4tunnel "interface" enderecolocal
enderecoremoto

Neste comando, interface um nome amigvel que voc atribui ao tnel que
est criando; enderecolocal e enderecoremoto so os endereos IPv4 que
formam as duas pontas do tnel. Um exemplo de um comando real seria:
netsh interface ipv6 add v6v4tunnel "tunel" 206.73.118.19
157.54.206.43

Configurar Tneis Automaticamente


Tambm existem mecanismos que criam tneis sobre conexes IPv4
automaticamente. Essas tecnologias foram feitas para serem solues
temporrias durante a transio do IPv4 para o IPv6. Todas elas incluem
mecanismos para expressar um endereo IPv4 no formato IPv6. As tecnologias
de transio IPv4-para-IPv6 que o Windows suporta sero descritas a seguir.

6to4
O mecanismo 6to4 essencialmente incorpora conexes IPv4 em uma rede
dentro da infraestrutura IPv6 definindo um mtodo para expressar endereos
IPv4 no formato IPv6 e encapsular trfego IPv6 dentro de pacotes IPv4.
ISATAP
O Protocolo de Endereamento de Tnel Automtico Intra-Site (Intra-Site
Automatic Tunnel Addressing Protocol - ISATAP) um protocolo de

202

tunelamento automtico usado pelos sistemas operacionais Windows para


estaes de trabalho que emula um link IPv6 atravs do uso de uma rede IPv4.
O ISATAP tambm converte endereos IPv4 no formato da camada de enlace
do IPv6, mas usa um mtodo diferente do 6to4. O ISATAP no suporta
multicast, ento no pode descobrir roteadores da maneira usual pelo uso do
Protocolo de Descoberta de Vizinho. No lugar, o sistema compila uma lista de
roteadores potenciais usando pesquisas DNS e envia mensagens de
Descoberta de Roteador para eles com certa frequncia atravs do protocolo
ICMPv6 (Internet Control Message Protocol version 6).

Teredo
Para usar o tunelamento 6to4, ambas as pontas do tnel devem ter endereos
IPv4 registrados. Porm, em muitas redes, o sistema que iria funcionar como
ponta est localizado atrs de um roteador NAT, e tem um endereo no
registrado. Neste caso, o nico endereo registrado disponvel est atribudo
ao prprio roteador NAT, e ao menos que o roteador suporte o 6to4 (o que
difcil), fica impossvel estabelecer o tnel.
O Teredo um mecanismo que aborda este problema habilitando dispositivos
atrs de roteadores NAT no-IPv6 a funcionar como a ponta de um tnel. Para
fazer isso, o Teredo encapsula os pacotes IPv6 dentro de datagramas UDP da
camada de transporte ao invs de usar datagramas da camada de rede IPv4
como o 6to4 faz.
Para um cliente Teredo funcionar como ponta de um tnel, deve ter acesso
um servidor Teredo, com o qual troca mensagens de Solicitao de Roteador e
de Publicao de Roteador para determinar se o cliente est atrs de um
roteador NAT.
Para iniciar as comunicaes, um cliente Teredo troca pacotes nulos chamados
de bolhas com o destino desejado, usando servidores Teredo em cada ponta
como intermedirios. A funo das mensagens bolha criar mapeamentos
para ambos os computadores em seus respectivos roteadores NAT.

4.2 Configurar Servidores


Um servidor raramente est pronto para realizar todas as tarefas que voc
planejou para ele logo aps a instalao. Tipicamente, alguma configurao
ps-instalao necessria, e mudanas adicionais nas configuraes podem
se tornar necessrias aps o servidor entrar no ambiente de produo.

203

Entendendo o DHCP
O DHCP um servio que configura endereos IP e outras configuraes
TCP/IP nos computadores da rede atribuindo endereos de um pool (chamado
de escopo) e recuperando-os aps a concesso (lease) expirar.
Alm de ser uma tarefa que consume muito tempo, configurar manualmente
clientes TCP/IP pode resultar em erros de digitao que causam conflitos de
endereo que interrompem as comunicaes na rede. O DHCP previne esses
erros e tem muitas outras vantagens, incluindo atribuio automtica de novos
endereos quando computadores so movidos de uma subredes para outra e
recuperao automtica de endereos que no esto mais em uso.
O DHCP consiste de trs componentes:

Um servio DHCP, que responde pedidos de clientes por


configuraes TCP/IP.
Um cliente DHCP, que envia solicitaes aos servidores e aplica as
configuraes TCP/IP que recebe no computador local.
Um protocolo de comunicaes DHCP, que define os formatos e
sequencias de mensagens trocadas pelos clientes DHCP e servidores.

Todos os sistemas operacionais da Microsoft incluem capacidades de cliente


DHCP, e todos os sistemas operacionais de servidor (incluindo o Windows
Server 2012 R2) incluem a funo de servidor DHCP Microsoft.
O padro DHCP define trs mtodos de alocao de endereo IP diferentes:

Alocao Dinmica. O servidor DHCP atribui um endereo IP do escopo


para um computador cliente por um perodo especfico de tempo. Cada
cliente deve periodicamente renovar o concesso para continuar usando
o endereo. Se o cliente deixar a concesso expirar, o endereo
retornado ao escopo para ser reatribuido outro cliente.
Alocao Automtica. O servidor DHCP atribui permanentemente um
endereo IP do escopo para um computador cliente. Aps o servidor
DHCP ter atribudo o endereo para o cliente, a nica maneira de mudlo reconfigurar o computador manualmente.
Alocao Manual. O servidor DHCP atribui permanentemente um
endereo IP especfico para um computador especfico na rede. No
servidor DHCP da Microsoft, endereos manualmente alocados so
chamados de reservas.

Alm de endereos IP, o DHCP pode disponibilizar aos clientes os valores para
outros parmetros necessrios para configurar um cliente TCP/IP, incluindo a
mscara de subredes, gateway padro, e endereos de servidor DNS. O
objetivo eliminar a necessidade de qualquer configurao manual em um

204

cliente. Por exemplo, o servidor DHCP Microsoft inclui mais de 50 parmetros


de configurao, que ele pode entregar junto com os endereos IP, mesmo que
os clientes Windows s possam usar um subconjunto destes parmetros.
As comunicaes DHCP usam oito tipos de mensagens, cada uma usa o
mesmo formato bsico de pacote. O trfego DHCP transmitido dentro de
datagramas UDP padro, usando a porta 67 no servidor e 68 no cliente.

Opes DHCP
Todas as mensagens DHCP incluem um campo de opes, que uma rea
criada para carregar os vrios parmetros (alm do endereo IP) usados para
configurar a pilha TCP/IP dos clientes. Algumas das opes mais usadas sero
descritas nas sesses seguintes.

A Opo de Tipo de Mensagem DHCP


A opo de Tipo de Mensagem DHCP identifica a funo geral da mensagem
DHCP e exigida em todos os pacotes DHCP. O protocolo de comunicaes
DHCP define oito tipos de mensagens, como segue:

DHCPDISCOVER. Usado por clientes para solicitar parmetros de


configurao de um servidor DHCP.
DHCPOFFER. Usado por servidores para oferecer endereos IP aos
clientes requisitantes.
DHCPREQUEST. Usado por clientes para aceitar ou renovar uma
atribuio de endereo IP.
DHCPDECLINE. Usado por clientes para rejeitar um endereo IP
oferecido.
DHCPACK. Usado por servidores para confirmar um aceite de cliente de
um endereo IP oferecido.
DHCPNAK. Usado por servidores para rejeitar um aceite de cliente de
um endereo IP oferecido.
DHCPRELEASE. Usado por clientes para encerrar uma concesso de
endereo IP.
DHCPINFORM. Usado por clientes para obter configuraes TCP/IP
adicionais do servidor.

Extenses de Informao de Fornecedor BOOTP


Estas opes incluem muitos dos parmetros bsicos de configurao usados
pela maioria dos sistemas clientes, como os seguintes:

205

Mscara de Subrede. Especifica quantos bits do endereo IP identificam


o sistema host e quais bits identificam a rede onde o sistema host
reside.
Roteador. Especifica o endereo IP do roteador (ou gateway padro) no
segmento local de rede que o cliente deve usar para transmitir para
sistemas em outros segmentos de rede.
Servidor de Nome de Domnio. Especifica os endereos IP dos
servidores que o cliente ir usar para resoluo de nomes DNS.
Nome de Host. Especifica o nome de host DNS usado pelo cliente.
Nome de Domnio. Especifica o nome do domnio DNS em que o
sistema ir residir.
O Bootstrap Protocol (BOOTP) o predecessor do DHCP. Os dois
so amplamente compatveis; a diferena primria que o BOOTP
aloca endereos permanentemente, e no aluga-os.

Extenses DHCP
Estas opes so usadas para informar parmetros que governam os
processos de negociao e renovao de concesso (lease) do DHCP.

Endereo IP Requisitado. Usado pelo cliente para solicitar um endereo


IP particular do servidor.
Tempo de Concesso do Endereo IP. Especifica a durao da
concesso de um endereo IP alocado dinamicamente.
Identificador de Servidor. Especifica o endereo IP do servidor envolvido
na transao DHCP; usado pelo cliente para enderear mensagens
unicast para o servidor.
Lista de Parmetros Requisitados. Usado pelo cliente para enviar uma
lista de opes de configurao solicitadas (identificadas pelos seus
cdigos) para o servidor.
Mensagem. Usado para conter uma mensagem de erro do servidor para
o cliente em uma mensagem DHCPNAK.
Valor de Tempo de Renovao (T1). Especifica o perodo de tempo que
precisa se esgotar antes que um endereo IP entre em estado de
renovao.
Valor de Tempo de Religao (T2). Especifica o perodo de tempo que
precisa se esgotar antes que um endereo IP entre em estado de
religao.

206

Comunicaes DHCP
Para elaborar uma estratgia DHCP para uma rede empresarial e implant-la
corretamente exigido um entendimento das comunicaes de ocorrem entre
clientes e servidores DHCP. Em computadores Windows, o cliente DHCP
ativado por padro, embora no seja mencionado pelo nome na interface. A
opo Obter endereo IP automaticamente na janela de propriedades do
Protocolo TCP/IP verso 4 (TCP/IPv4) e a opo Obter endereo IP IPv6
automaticamente na janela de propriedades do Protocolo TCP/IP verso 6
(TCP/IPv6) controlam a ativao do cliente para o IPv4 e IPv6,
respectivamente.

Negociao de Concesso DHCP


A comunicao DHCP sempre iniciada pelo cliente, como vemos no esquema
abaixo, e prossegue como a seguir:

207

1. Quando um computador faz boot pela primeira vez com o cliente DHCP
ativo, o cliente gera uma srie de mensagens DHCPDISCOVER para
solicitar uma atribuio de endereo IP de um servidor DHCP e as envia
em broadcast para a rede local.
2. Todos os servidores DHCP que receberem a mensagem
DHCPDISCOVER geram mensagens DHCPOFFER contendo um
endereo IP e outros parmetros de configurao e os transmitem para
o cliente.

208

3. Depois de um perodo especificado, o cliente aceita um dos endereos


ofertados enviando uma mensagem DHCPREQUEST em broadcast
contendo o endereo do servidor que ofereceu o endereo.
4. Quando o servidor que ofereceu o endereo recebe a mensagem de
DHCPREQUEST, ele adiciona o endereo IP oferecido e outras
configuraes em seu banco de dados.
5. O servidor transmite uma mensagem DHCPACK para o cliente,
confirmando a finalizao do processo. Se o servidor no puder
completar a atribuio, ele transmite uma mensagem DHCPNAK para o
cliente e o processo reiniciado.
6. Como um teste final, o cliente envia em broadcast o endereo IP
oferecido atravs do protocolo ARP para assegurar que nenhum outro
sistema na rede est usando-o. Se o cliente no receber uma resposta
ao ARP enviado em broadcast, a transao DHCP concluda. Se outro
sistema responder mensagem ARP, o cliente descarta o endereo IP e
transmite uma mensagem DHCPDECLINE ao servidor, anulando a
transao. O cliente ento reinicia o processo.

Renovao de Concesso DHCP


Por padro, o servio de Servidor DHCP no Windows Server 2012 R2 usa
alocao dinmica, alugando endereos IP aos clientes por perodos de 8
dias. Em intervalos peridicos durante a concesso, o cliente tenta contatar o
servidor para renovar a concesso, como pode ver no esquema, usando o
seguinte procedimento.

209

1. Quando o cliente DHCP chega a 50% da durao da concesso


(chamado de valor de tempo de renovao ou valor T1), o cliente inicia
gerando mensagens unicast DHCPREQUEST e transmite-as ao
servidor DHCP que possui o concesso.
2. Se o servidor no responder at o momento em que o cliente atingir
85% do tempo de concesso (chamado de valor de tempo de religao
ou valor T2), o cliente comea a transmitir suas mensagens

210

DHCPREQUEST em broadcast na tentativa de solicitar uma atribuio


de endereo IP de qualquer servidor DHCP na rede.
3. Se o servidor receber a mensagem DHCPREQUEST do cliente,
responde com uma mensagem DHCPACK, que aprova a solicitao de
renovao de concesso, ou uma mensagem DHCPNAK, que encerra a
concesso. Se o cliente no recebe respostas para suas mensagens
DHCPREQUEST at o momento em que sua concesso expira, ou se
recebe uma mensagem DHCPNAK, o cliente libera seus endereos IP.
Todas as comunicaes TCP/IP ento so encerradas, exceto pela
transmisso de mensagens DHCPREQUEST em broadcast .

Implantando um servidor DHCP


Servidores DHCP operam independentemente, ento voc deve instalar o
servio e configurar os escopos em cada computador que ir funcionar como
um servidor DHCP. O servio de Servidor DHCP empacotado como uma
funo no Windows Server 2012 R2, que voc pode instalar usando o
Assistente Adicionar Funes e Recursos, acessvel no console do
Gerenciador do Servidor.
Quando voc instala a funo Servidor DHCP em um computador que
membro de um domnio do Active Directory, o Servidor DHCP
automaticamente autorizado a alocar endereos IP para clientes que so
membros do mesmo domnio. Se o servidor no for um membro do domnio
quando voc instala a funo, e voc adiciona-o um domnio depois, voc
deve autorizar o servidor DHCP manualmente no domnio clicando com o boto
direito do mouse no n do servidor no console DHCP e escolhendo a opo
Autorizar.
Depois de instalar a funo Servidor DHCP, voc deve configurar o servio
criando um escopo antes de poder servir clientes.

Criar um escopo
Um escopo um intervalo de endereos IP em uma subrede particular que
foram selecionados para serem alocados por um servidor DHCP. Em verses
do Windows Server anteriores ao Windows Server 2012, voc pode criar um
escopo quando instala a funo de Servidor DHCP. Porm, no Windows Server
2012 e no Windows Server 2012 R2, os procedimentos so separados. Para
criar um escopo usando o snap-in do MMC, use o procedimento abaixo.

211

1. No Gerenciador do Servidor, clique em Ferramentas, DHCP. O console


DHCP ser aberto.
2. Expanda o n do servidor e o n IPv4.
3. Clique com o boto direito do mouse no n IPv4 e selecione o opo
Novo Escopo. O Assistente de Novo Escopo ser exibido, mostrando a
pgina de Bem Vindo.
4. Clique em Prximo. A pgina de Nome do Escopo aparecer.
5. Digite um nome na caixa de texto Nome e clique em Prximo, a pgina
de intervalo de endereo IP ser exibida, como vemos na figura abaixo.

6. Na caixa de texto Endereo IP inicial digite o primeiro endereo do


intervalo de endereos que voc quer atribuir. Na caixa de texto
Endereo IP Final, digite o ltimo endereo no intervalo.
7. Na caixa de texto Mscara de Subrede, digite o valor da mscara para a
subredes em que o escopo ir operar e clique em Prximo. A pgina
Adicionar excluses e Atraso aparecer.
8. Nas caixas de texto Endereo IP Inicial e Endereo IP Final, especifique
um intervalo de endereos que quer excluir do escopo. Ento clique em
Prximo para ir para a pgina de Durao de Concesso.
9. Especifique a durao dos aluguis para os endereos do escopo e
clique em Prximo. A pgina de Configurao de Opes DHCP abrir.
10. Selecione Sim, eu quero estas opes agora e clique em Prximo. A
pgina de Roteador (Gateway padro) aparecer como podemos ver na
figura abaixo.

212

11. Na caixa de texto endereo IP, especifique o endereo de um roteador


na subredes servida pelo escopo e clique em Adicionar. Ento clique em
Prximo. A pgina Nome de domnio e Servidores DNS ser mostrada.
12. Na caixa de texto Nome do Servidor, digite o nome de um Servidor DNS
na rede e clique em Resolver ou digite o endereo de um Servidor DNS
na caixa de texto Endereo IP e clique em Adicionar. Ento clique em
Prximo. A pgina Servidores WINS ser exibida.
13. Clique em Prximo para abrir a pgina Ativar Escopo.
14. Selecione Sim, eu quero ativar este escopo agora e clique em Prximo.
A pgina Completando o Assistente de Novo Escopo ser exibida.
15. Clique em Finalizar para fechar o Assistente.
16. Feche o console DHCP.
Aps ter criado o escopo, todos os clientes DHCP na subredes que voc
identificou podem obter seus endereos IP e outras configuraes TCP/IP via
DHCP. Voc tambm pode usar o console DHCP para criar escopos adicionais
para outras subredes.

213

Configurar Opes DHCP


O Assistente de Novo Escopo permite que voc configure algumas das opes
DHCP mais usadas enquanto cria o escopo, mas voc pode sempre configurar
as muitas outras opes em outro momento.
O servidor DHCP Windows suporta dois tipos de opes:

Opes de Escopo. Opes fornecidas apenas para clientes DHCP


recebendo endereos de um escopo particular.
Opes de Servidor. Opes fornecidas para todos os clientes DHCP
recebendo endereos do servidor.

A opo Roteador um exemplo tpico de opo de escopo pois o Gateway


padro de um cliente DHCP deve sempre estar na mesma subredes que seu
endereo IP. A opo Servidores DNS tipicamente uma opo de servidor,
pois servidores DNS no precisam estar na mesma subredes, e redes
frequentemente usam o mesmo servidor DNS para todos os seus clientes.
Todas as opes suportadas pelo servidor DHCP Windows podem ser opes
de escopo ou de servidor, e o processo de configur-las basicamente o
mesmo. Para configurar uma opo de escopo, clique com o boto direito no
n Opes de Escopo e selecione a opo Configurar Opes. Isso abre a
caixa de dilogo das Opes de Escopo, que fornece os controles apropriados
para umas das opes disponveis (ver figura ).

214

Clicando com o boto direito no n Opes de Servidor te permite abrir a caixa


de dilogo de Opes de Servidor, que se comporta da mesma maneira que a
caixa de dilogo das Opes de Escopo.

Criar uma Reserva


Embora o DHCP seja uma excelente soluo de configurao TCP/IP para a
maioria dos computadores em uma rede, existem alguns casos em que no se
aplica. Os prprios Servidores DHCP, por exemplo, precisam de endereos IP
estticos.
Pelo fato do mtodo de alocao dinmica do DHCP permitir a possibilidade do
endereo IP de um computador mudar, no apropriado para estas funes
particulares. Entretanto, possvel atribuir endereos para esses
computadores atravs do DHCP, usando alocao manual no lugar de
alocao dinmica.
Em um servidor DHCP Windows, um endereo alocado manualmente
chamado de reserva. Voc cria uma reserva expandindo o n escopo, clica com
o boto direito do mouse no n Reservas, e selecione a opo Nova Reserva.
A caixa de dilogo Nova Reserva ser exibida, como pode ver na figura abaixo.

Nesta caixa de dilogo, voc especifica o endereo IP que quer atribuir a


associa-o ao endereo MAC do computador cliente, que codificado
permanentemente no seu adaptador de interface de rede.

215

Tambm possvel configurar manualmente o cliente TCP/IP do computador,


mas criar uma reserva DHCP assegura que todos os endereos IP so
gerenciados pelos seus servidores DHCP. Em uma grande empresa, onde
vrios administradores podem estar lidando com problemas de configuraes
DHCP e TCP/IP, o endereo IP que um tcnico atribui manualmente em um
computador pode ser includo em um escopo DHCP por outro tcnico,
resultando em potenciais conflitos de endereamento. Reservas criam um
registro permanente da atribuio do endereo IP no servidor DHCP.

Usando o PXE
Os sistemas operacionais Windows incluem um cliente DHCP que pode
configurar o endereo IP local e outras configuraes TCP/IP dos
computadores com um sistema operacional j instalado. Porm, tambm
possvel para um computador sem sistema operacional instalado usar o DHCP.
O PXE (Preboot eXecution Environment) um recurso includo em muitos
adaptadores de interface de rede que habilita-os a conectar a servidores
DHCP na rede e obter configuraes do TCP/IP cliente, mesmo quando no h
sistema operacional no computador. Administradores normalmente usam essa
capacidade de automatizar o processo de implementao de sistema
operacional em grandes quantidades de computadores.
Alm de configurar o endereo IP e outras configuraes TCP/IP no
computador cliente., o servidor DHCP pode fornecer ao computador uma opo
especificando a localizao de um arquivo de boot que o sistema pode baixar e
usar para inicializar o computador e iniciar uma instalao de sistema
operacional Windows. Um sistema equipado com o PXE faz downloads de
arquivos de boot atravs do protocolo TFTP, uma verso simplificada do
protocolo FTP que no exige autenticao.
O Windows Server 2012 R2 inclui uma funo chamada servios de
Implantao do Windows (Windows Deployment Services - WDS), que permite
que administradores gerenciem arquivos de imagem que computadores
remotos podem usar para inicializar e instalar o Windows. Para um adaptador
PXE acessar imagens do WDS, o servidor DHCP na rede deve ter uma opo
customizada PXEClient (opo 60) configurada com o local do servidor WDS
na rede.
O cliente PXE na estao de trabalho normalmente no precisa ser
configurado, com a possvel exceo da mudana da ordem dos dispositivos
de boot, para que o computador tente um boot pela rede antes de usar as
unidades locais.

216

Em uma implantao WDS do Windows 8.1 configurada corretamente, o


processo de implantao do sistema operacional cliente ocorre da seguinte
forma:
1. O computador cliente inicia e, no achando nenhum dispositivo local
para boot, tentar fazer o boot pela rede.
2. O computador cliente conecta-se a um servidor DHCP na rede a partir
do qual obtm a mensagem DHCPOFFER contendo um endereo IP e
outros parmetros de configurao, mais a opo 060 PXEClient,
contendo o nome do servidor WDS.
3. O cliente se conecta com o servidor WDS e recebe um arquivo de
imagem de boot, que ele baixa usando o protocolo TFTP.
4. O cliente carrega o Windows PE e o cliente WDS do arquivo de imagem
de boot para um disco RAM (um disco virtual criado a partir da memria
de sistema) e mostra um menu de boot contendo uma lista das imagens
de instalao disponveis no servidor WDS.
5. O usurio no computador cliente seleciona uma imagem de instalao
do menu de boot, e o processo de instalao segue como uma
instalao manual.

O contedo sobre WDS s cobrado no exame 70-411.

Implantar um Agente de Retransmisso DHCP


Por confiar em transmisses broadcast, clientes DHCPv4 podem acessar
servidores DHCP somente na rede local, sob circunstncias normais.
Entretanto, possvel criar uma infraestrutura DHCP em que um servidor
fornece os endereos para mltiplas subredes. Para fazer isso, voc deve
instalar um agente de retransmisso DHCP em cada subrede que no possui
um servidor DHCP. Muitos roteadores so capazes de funcionar como agentes
de retransmisso DHCP, mas em situaes onde eles no sejam, voc pode
configurar um computador com o Windows Server 2012 R2 para funcionar com
um agente de retransmisso DHCP atravs do seguinte procedimento:
1. No Gerenciador do Servidor, usando o Assistente de Adio de Funes
e Recursos, instale a funo Acesso Remoto, incluindo o servio de
funo Roteamento.
2. Clique no cone amarelo de avisos no Gerenciador do Servidor para
abrir o Assistente de Guia de introduo. A janela inicial do Assistente
de Guia de introduo para Configurar o Acesso Remoto ser exibida.

217

3. Selecione Implantar somente VPN. O console de Roteamento e Acesso


Remoto abrir.
4. Clique com o boto direito no n do servidor e selecione Configurar e
Habilitar o Roteamento e Acesso Remoto. O Assistente para
Configurao do Servidor de Roteamento e Aceso Remoto ser exibido.
5. Clique em Prximo para passar da tela de Boas Vindas. A pgina de
configurao ser exibida, como vemos na figura abaixo.

6. Selecione Configurao personalizada e clique em Prximo. a pgina de


configurao personalizada aparecer.
7. Selecione a caixa de seleo Roteamento de LAN e clique em Prximo.
A pgina Concluindo o Assistente para Configurao do Servidor de
Roteamento e Acesso Remoto ser mostrada.
8. Clique em Concluir. Uma mensagem de Roteamento e Acesso Remoto
aparecer te informando para iniciar o servio.
9. Clique no boto Iniciar Servio.
10. Expanda o n IPv4. Ento clique com o boto direito do mouse no n
Geral e selecione a opo Novo protocolo de roteamento. A caixa de
dilogo Novo protocolo de roteamento ser exibida na tela.
11. Selecione DHCP Relay Agent e clique OK. Um n Agente de
Retransmisso DHCP aparecer, dentro do n IPv4.

218

Voc tambm pode criar um Agente de Retransmisso para o


DHCPv6 adicionando um protocolo de roteamento ao n IPv6.

12. Clique com o boto direito do mouse no n Agente de Retransmisso


DHCP e selecione a opo Nova Interface. A caixa de dilogo Nova
interface para DHCP Relay Agent ser exibida.
13. Selecione a interface que est na subrede que voc quer instalar o
Agente de Retransmisso e clique em OK. A janela de propriedades de
Agente de Retransmisso DHCP para a interface seleciona ser
mostrada.
14. Deixe a caixa de seleo Retransmitir pacotes DHCP marcada, e
configure os seguintes itens se for necessrio.
a. Limite de contagem de saltos. Especifica o nmero mximo de
agentes de retransmisso pelos quais mensagens DHCP podem
passar antes de serem descartadas. O valor padro 4 e o valor
mximo 16. Esta configurao previne que mensagens DHCP
fiquem sendo retransmitidas infinitamente pela rede.
b. Limite de inicializao (segundos). Especifica o intervalo de
tempo (em segundos) que o agente de retransmisso deve
esperar antes de retransmitir cada mensagem DHCP que recebe.
O valor padro 4 segundos. Esta configurao permite que voc
controle qual servidor DHCP processar os clientes de uma
subrede particular.
15. Clique em OK.
16. Clique com o boto direito do mouse no n Agente de Retransmisso
DHCP e selecione propriedades. A janela de propriedades do Agente de
Retransmisso DHCP ser exibida na figura.

219

17. Digite o endereo IP do servidor DHCP que voc quer que o agente
retransmita mensagens e clique em Adicionar. Repita este passo para
adicionar mais servidores, se necessrio.
18. Clique em OK.
19. Feche o console de Roteamento e Acesso Remoto.

4.3 Instalar e Configurar o servio DNS

O DNS elemento crucial das comunicaes da Internet e do Active Directory.


Toda comunicao TCP/IP baseada em endereos IP. Cada computador na
rede tem pelo menos uma interface de rede, que chamado de host no
vocabulrio TCP/IP, e cada host tem um endereo IP que nico nessa rede.
Cada datagrama transmitido por um sistema TCP/IP contem o IP do sistema
remetente e o endereo IP do destinatrio pretendido. Porm, quando usurios
acessam uma pasta compartilhada na rede ou site na Internet, eles
normalmente o fazem selecionando um nome de host, no um endereo IP.
Isto assim pelo fato de nomes serem mais fceis de lembrar e usar do que
endereos IP.

220

Entendendo a arquitetura DNS


Para os sistemas TCP/IP usarem esses nomes de host amigveis, eles devem
possuir um jeito de descobrir o endereo IP associado com o nome. Nos
primeiros dias das redes TCP/IP, cada comutador tinha uma lista de nomes e
seus endereos IP, chamada de tabela de host (host table). Naquele tempo, o
nmero pequeno de computadores da novata Internet tornava a manuteno e
distribuio de uma nica tabela de hosts praticvel.
Hoje, existem milhes de computadores na Internet, e a ideia de manter e
distribuir um arquivo nico contendo nomes para todos eles absurda. No
lugar de usar a tabela de host armazenada em cada computador, as redes
TCP/IP de hoje usam servidores DNS para converter nomes de host em
endereos IP. Este processo de converso referido como resoluo de
nomes.
No seu ncleo, o DNS ainda uma lista de nomes e seu respectivos endereos
IP, mas os mtodos para criar, salvar e recuperar estes nomes so bem
diferentes daqueles em uma tabela de host. O DNS consiste em trs
elementos:

O espao de nomes DNS. O padro DNS define um espao de nomes


estruturado como uma rvore em que cada galho/ramificao da rvore
identifica um domnio. Cada domnio contm uma coleo de registros
de recursos que contm nomes de host, endereos IP e outras
informaes. Operaes de consulta so tentativas de recuperar
registros de recursos especficos de um domnio particular.
Servidores de nomes. Um servidor DNS um servio rodando em um
computador servidor que mantm informaes sobre a estrutura de
rvore do domnio e (s vezes) contm informao autoritativa sobre um
ou mais domnios especficos nessa estrutura. A aplicao capaz de
responder a consultas por informao sobre os domnios dos quais
possui autoridade e tambm encaminhar consultar sobre outros
domnios para outros servidores de nomes. Isto permite que qualquer
servidor DNS acesse informaes sobre qualquer domnio na rvore.
Resolvedores. Um resolvedor um programa cliente que gera consultas
DNS e as envia para um servidor DNS para ser respondida. Um
resolvedor tem acesso direto pelo menos um servidor DNS e tambm
pode processar referncias para direcionar suas consultas para outros
servidores quando necessrio.

Em sua forma mais bsica, o processo de resoluo de nomes DNS consiste


em um resolvedor enviando um pedido de resoluo de nome para o seu
servidor DNS designado. Quando o servidor no possui informao sobre o
nome solicitado, ele encaminha o pedido para outro servidor DNS na rede. O

221

segundo servidor gera uma resposta contendo o endereo IP do nome


solicitado e retorna-o ao primeiro servidor, que repassa a informao ao
resolvedor, como mostra a figura abaixo. Na pratica porm, o processo de
resoluo de nomes DNS pode ser consideravelmente mais complexo, como
voc ir aprender nas sesses seguintes.

Comunicaes DNS
Embora todas as aplicaes da Internet usam o DNS para resolver nomes de
host em endereos IP, este processo de resoluo de nome mais fcil de ver
quando voc est usando um navegador para acessar um site na Internet.
quando voc digita um endereo contendo um nome DNS (por exemplo,
www.wise1.com.br) na barra de endereos do navegador e pressiona a tecla
Enter, se voc olhar rpido o suficiente, voc pode ser capaz de ver uma
mensagem que diz algo como Encontrando site: www.wise1.com.br. Ento
alguns segundos depois, voc pode ver a mensagem Conectando-se a,
seguido por um endereo IP. durante esse intervalo que o processo de
resoluo de nomes DNS ocorre.
Da perspectiva do cliente, o processo que ocorre durante esses poucos
segundos consiste da aplicao usando o resolvedor DNS integrado para
enviar uma mensagem de consulta ao seu servidor DNS designado que
contm o nome a ser resolvido. O servidor ento responde com uma
mensagem contendo o endereo IP correspondente ao nome. Usando o
endereo fornecido, a aplicao pode transmitir uma mensagem ao destino
desejado. Somente quando voc examina a funo do servidor DNS no
processo que voc v quo complexo o procedimento realmente .
Para explicar melhor o relacionamento entre os vrios servidores DNS de
vrios domnios no espao de nomes, o procedimento a seguir explica o
processo de resoluo de nomes da Internet.
1. Um usurio em um sistema cliente especifica o nome DNS de um
servidor Internet em uma aplicao como um navegador. A aplicao
gera uma chamada de interface de programao de aplicao
(application programming interface - API) para o resolvedor no sistema

222

cliente e o resolvedor cria uma mensagem de consulta DNS recursiva


contendo o nome de servidor, que ele transmite ao servidor DNS
identificado nas configuraes TCP/IP do computador, como mostra a
figura abaixo.

2. O servidor DNS do cliente, aps receber a consulta, checa seus


registros de recursos para ver se a origem autoritativa para a zona
contendo o nome de servidor solicitado. Se no for, o que comum, o
servidor DNS gera uma consulta iterativa e a envia para um dos
servidores de nomes raiz, como ilustrado na figura a seguir. O servidor
de nome raiz examina o nome solicitado pelo servidor DNS do cliente e
consulta seus registros de recursos para identificar os servidores
autoritativos para o nome do domnio de nvel superior. O servidor de
nome raiz ento transmite a resposta para o servidor DNS do cliente que
possui uma referncia para o endereo IP do servidor de nvel superior.

3. O servidor DNS do cliente, agora em posse do endereo do servidor de


nvel superior para o nome solicitado, gera uma nova consulta iterativa e
transmite-a para o servidor de domnio de nvel superior, como mostra a
figura 4-17 a seguir. O servidor de domnio de nvel superior examina o
domnio de segundo nvel no nome solicitado e transmite uma referncia
contendo os endereos de servidores autoritativos para aquele domnio
de segundo nvel de volta para o servidor DNS do cliente.
No processo de resoluo de nomes do DNS descrito acima , o processo de
resolver os nomes de domnios de nvel superior e de segundo nvel retratado
em passos separados. Porm, normalmente este no o caso.
Os domnios de nvel superior mais usados (como o .com, .net e o .org) so na
verdade hospedados pelos servidores de nomes raiz. Isso elimina uma referncia
do processo de resoluo de nomes.

223

4. O servidor DNS do cliente gera outra consulta iterativa e transmite-a ao


servidor do domnio de segundo nvel, como vemos na figura abaixo. Se
o servidor de domnio de segundo nvel for a autoridade para a zona
contendo o nome solicitado, ele consulta seus registros de recursos para
determinar o endereo IP do sistema requisitado e transmite-o em uma
mensagem de resposta de volta ao servidor DNS do cliente.

224

5. O servidor DNS do cliente recebe a resposta do servidor autoritativo e


transmite o endereo IP de volta ao resolvedor no sistema cliente, como
ilustra a figura 4-19 abaixo. O resolvedor retransmite o endereo para a
aplicao, que pode ento iniciar uma comunicao IP com o sistema
especificado pelo usurio.

Dependendo do nome que o cliente estiver tentando resolver, este processo


pode ser mais simples ou consideravelmente mais complexo do que o
mostrado aqui. Por um lado, se o servidor DNS do cliente for a autoridade do
domnio em que o nome solicitado se encontra, nenhum outro servidor ou
consultas iterativas so necessrios. Por outro lado, se o nome solicitado
contm trs ou mais nveis de domnios, consultas iterativas adicionais podem
ser necessrias.
Este procedimento tambm assume que o processo de resoluo de nomes foi
completado com sucesso. Se algum dos servidores DNS autoritativos
consultados retornar uma mensagem de erro para o servidor DNS do cliente
informando, por exemplo, que um dos domnios no nome no existe, ento este
erro repassado de volta ao cliente e o processo de resoluo de nome
termina em falha.

Cache de servidor DNS


O processo de resoluo de nome DNS pode parecer longo e complexo, mas
em muitos casos no necessrio que o servidor DNS do cliente envie

225

consultas aos servidores em cada domnio especificado no nome DNS


solicitado. Isto devido ao fato que servidores DNS so capazes de reter a
informao que aprendem sobre o espao de nomes DNS no decorrer dos
seus procedimentos de resoluo de nomes e armazen-la em um cache no
disco rgido local.
Um servidor DNS que recebe solicitaes de clientes , por exemplo, guarda em
cache os endereos IP dos sistemas solicitados e os endereos de servidores
autoritativos de domnios particulares. Na prxima vez que um cliente solicita
uma resoluo de um nome previamente resolvido, o servidor pode responder
imediatamente com a informao em cache. Alm disso, se um cliente solicita
um outro nome em um dos mesmo domnios, o servidor pode enviar uma
consulta diretamente para o servidor autoritativo do domnio ao invs de para o
servidor de nomes raiz. Logo, os nomes em domnios tipicamente acessados
geralmente so resolvidos mais rapidamente porque um dos servidores ao
longo do caminho tem a informao sobre o domnio em seu cache, onde
nomes em domnios obscuros demoram mais, porque o processo inteiro de
consultas e referncias se torna necessrio.
O Cache um elemento vital da arquitetura DNS pois reduz o nmero de
solicitaes enviadas ao servidores raiz e de domnio de nvel superior, os
quais, estando no topo da rvore DNS, so mais provveis de acabarem
virando o gargalo de todo o sistema. Porm, o cache deve ser limpo
eventualmente, e exista uma linha tnue entre um cache efetivo e um que no
o .
Pelo fato de servidores DNS reterem registros de recursos em seus caches,
pode levar horas ou at dias para as mudanas feitas em um servidor
autoritativo serem propagadas por toda a Internet. Durante este perodo,
usurios podem receber informaes incorretas em resposta a uma consulta.
Se uma informao permanece no cache do servidor por muito tempo, ento as
mudanas feitas por administradores nos dados dos seus servidores DNS
levam muito tempo para propagar pelo Internet . Se o cache limpo muito
rapidamente, ento o nmero de solicitaes enviadas aos servidores de
nomes raiz e servidores de domnios superiores aumenta significativamente.
A quantidade de tempo que os dados DNS permanecem em cache em um
servidor chamado de seu tempo de vida (time to live TTL). Ao contrrio de
muitos caches de dados, o TTL no especificado pelo administrador do
servidor onde o cache armazenado. Ao invs, os administradores de cada
servidor DNS autoritativo especificam quanto tempo os dados dos registros de
recursos em seus domnios ou zonas devem ser retidos nos servidores ondem
ficarem em cache. Isto permite que administradores especifiquem um valor de
TTL baseado na volatilidade dos dados do seu servidor. Em uma rede onde
mudanas em endereos IP ou adio de novos registros de recursos

226

frequente, um valor mais baixo de TTL aumenta as chances dos clientes


receberem dados atuais. Em uma rede que raramente muda, um valor de TTL
maior minimiza o nmero de solicitaes enviadas aos servidores-pai do seu
domnio ou zona.
Para modificar o valor de TTL de uma zona no DNS do Windows Server 2012
R2, clique com o boto direito na zona, abra a janela de propriedades, e clique
na aba Incio de autoridade (SOA), como visto na figura abaixo. Nesta aba,
voc pode modificar o valor de TTL do valor padro de 1 hora.

Cache do Resolvedor do lado Cliente


O resolvedor cliente em sistemas Windows tambm contm um mecanismo de
cache, que armazena endereos IP resolvidos e tambm informao do
arquivo HOSTS em um disco local. Quando um cliente encontra um nome que
precisa ser resolvido em um endereo IP, ele checa primeiro seu cache local,
antes de enviar uma solicitao para seu servidor DNS.

Referncias e Consultas DNS


O processo pelo qual um servidor DNS envia um pedido de resoluo de nome
para outro servidor DNS chamado de referncia. As referncias so
essenciais no processo de resoluo de nomes.

227

Como voc notou no processo descrito anteriormente, o envolvimento primrio


do cliente DNS no processo de resoluo de nome enviar uma consulta e
receber uma resposta. O servidor DNS do cliente pode ter que enviar
referncias para vrios servidores antes de alcanar o servidor que possui a
informao necessria.
Servidores DNS reconhecem dois tipos de consultas de resoluo de nomes:

Consulta Recursiva. Em uma consulta recursiva, o servidor DNS que


recebe a solicitao de resoluo de nome assuma responsabilidade
total por resolver o nome. Se o servidor possui informao sobre o nome
solicitado, ele responde imediatamente para o solicitante. Se o servidor
no possuir informao sobre o nome, ele envia referncias para outros
servidores DNS at obter a informao que precisa. Resolvedores
clientes TCP/IP sempre enviam consultas recursivas para seus
servidores DNS designados.
Consulta Iterativa. Em uma consulta iterativa, o servidor DNS que
recebe a solicitao de resoluo de nome responde imediatamente
com a melhor informao que possuir no momento. Servidores DNS
usam consultas iterativas quando se comunicam uns com os outros. Na
maioria dos casos, seria imprprio configurar um servidor DNS para
enviar uma consulta recursiva para outro servidor DNS. O nico
momento em que um servidor DNS envia consultas recursivas para
outro servidor no caso de um tipo especial de servidor chamado de
encaminhador, que especialmente configurado para interagir com
outros servidores desta maneira.

Encaminhadores DNS
Um dos cenrios em que servidores DNS enviam consultas recursivas para
outros servidores quando voc configura um servidor para funcionar como
um encaminhador. Em uma rede rodando vrios servidores DNS, voc pode
no querer que todos os servidores enviem consultas para outros servidores
DNS na Internet, por exemplo, vrios servidores transmitindo consultas
repetidas podem usar muito da largura de banda disponvel.
Para prevenir isso, o servidor DNS do Windows Server 2012 R2 permite
configurar um servidor para funcionar como o encaminhador de todas as
consultas da Internet geradas pelos outros servidores na rede. Em qualquer
momento que um servidor precisar resolver o nome DNS de um sistema na
Internet e falha em encontrar a informao necessria em seu cache, ele
transmite uma consulta recursiva para o encaminhador, que fica responsvel
por mandar suas prprias consultas iterativas atravs da conexo com a

228

Internet. Assim que o encaminhador resolve o nome, ele envia uma resposta
de volta ao servidor DNS original, que a repassa para o cliente.
Para configurar encaminhadores em um servidor DNS do Windows Server
2012 R2, clique com o boto direito do mouse no n do servidor, abra a janela
de propriedades, e clique na aba Encaminhadores, como vemos na figura
abaixo. Nesta aba, voc pode adicionar os nomes e endereos dos servidores
que voc quer que o seu servidor use como encaminhadores.

O servidor DNS do Windows Server 2012 R2 tambm suporta encaminhamento


condicional, que permite que administradores especifiquem diferentes
endereos IP de servidores para nomes de domnios especficos. Quando o
servidor recebe uma solicitao de resoluo de nome, checa o nome de
domnio na solicitao com a sua lista de encaminhadores e passa a
solicitao para outro servidor somente se o domnio aparece na lista. Atravs
do uso deste recurso, organizaes com mltiplos domnios internos pdoem
resolver nomes por toda a organizao sem ter de enviar solicitaes para
servidores na Internet.

229

Resoluo de Nomes Reversa


O processo de resoluo de nomes descrito anteriormente feito para
converter nomes DNS em endereos IP. Porm, existem ocasies em que
necessrio para um computador converter um endereo IP em um nome DNS.
Isto chamado de resoluo de nomes reversa.
Pelo fato da hierarquia de domnios ser organizada de acordo com nomes de
domnio, no existe uma forma aparente de resolver um endereo IP em um
nome usando consultas iterativas, exceto por encaminhar a resoluo de nome
reversa para cada servidor DNS na Internet em busca do endereo requisitado,
o que obviamente impraticvel.
Para contornar este problema, os criadores do DNS fizeram um domnio
especial chamado in-addr.arpa, especificamente criado para resoluo reversa
de nomes. O domnio de segundo nvel in-addr.arpa contm quatro nveis
adicionais de subdomnios. Cada um dos quatro nveis consiste de
subdomnios nomeados usando os numerais 0 at 255. Por exemplo, abaixo de
in-addr.arpa, existem 256 domnios de terceiro nvel, que possuem nomes
comeando em 0.in-addr.arpa at 255.in-addr.arpa. cada um destes 256
domnios de terceiro nvel possui 256 domnios de quarto nvel abaixo deles,
tambm numerados de 0 a 255, e cada domnio de quarto nvel possui 256
domnios de quinto nvel, como mostra a figura abaixo. Cada um destes
domnios de quinto nvel podem ter at 256 hosts cada, tambm numerados de
0 a 255.

230

Atravs do uso desta hierarquia de subdomnios, possvel expressar os trs


primeiros bytes de um endereo IP como um nome DNS e criar um registro de
recurso para o quarto byte no domnios de quinto nvel apropriado. Por
exemplo, para resolver o endereo IP 192.168.89.34 em um nome, um servidor
DNS iria localizar um domnio chamado 89.168.192.in.addr.arpa da maneira
usual e ler o contedo de um registro de recurso chamado 34 naquele domnio.
No domnio in.addr.arpa, o endereo IP revertido no nome de
domnio porque endereos IP tem o bit menos significativo (isto ,
o identificador de host) na direita, mas os nomes totalmente
qualificados do DNS tm o nome de host na esquerda.

Implantando um servidor DNS


O processo de implantao de um servidor DNS em um computador com o
Windows Server 2012 R2 apenas uma questo de instalar a funo de
Servidor DNS atravs do Assistente de Adio de Funo e Recursos no
Gerenciador do Servidor. A instalao em si no exige nenhuma informao
adicional; no existem pginas adicionais no assistente e nenhum servio de
funo para selecionar.
Aps instalar a funo de Servidor DNS, o computador est pronto para
realizar servios de resoluo somente-cache para quaisquer clientes que
tenham acesso a ele. A funo tambm instala o console de Gerenciamento
DNS, que voc usa para configurar as outras funes do servidor DNS. Para
configurar o servidor para realizar outros servios, consulte as sesses
seguintes.

Criando Zonas
Uma zona uma entidade administrativa que voc cria em um servidor DNS
para representar uma poro do espao de nomes do DNS. Administradores
tipicamente dividem o espao de nomes DNS em zonas para armazen-las em
servidores diferentes e para delegar sua administrao para pessoas
diferentes. Zonas sempre consistem de domnios inteiros e/ou subdomnios.
Voc pode criar uma zona que contenha vrios domnios e/ou subdomnios .
desde que eles sejam contguos no espao de nomes DNS.por exemplo, voc
pode criar uma zona contendo um domnio pai e seu filho, porque eles esto
diretamente conectados, mas voc no pode criar uma zona contendo dois
domnios filhos sem seu pai em comum porque assim os dois domnios no
esto conectados diretamente, como mostra a figura a seguir.

231

Voc pode dividir o espao de nomes DNS em vrias zonas e hosped-las em


um nico servidor DNS se voc quiser, embora normalmente no exista uma
razo persuasiva para faz-lo. O servidor DNS no Windows Server 2012 R2
pode suportar at 200.000 zonas em um nico servidor, embora seja difcil
imaginar um caso que poderia exigir tantas. Na maioria dos casos, um
administrador cria vrias zonas em um servidor e ento delega a maioria para
outros servidores, que ento se tornam responsveis por hosped-las.
Cada zonas consiste de um banco de dados da zona, que contm os registros
de recursos para os domnios nesta zona. O servidor DNS no Windows Server
2012 R2 suportam trs tipos de zonas, que especificam onde o servidor
armazena o banco de dados para a zona e que tipo de informao contm.
Esses tipos de zona so:

Zona Primria. Cria uma zona primria que contm a cpia mestra do
banco de dados da zona, onde os administradores fazem todas as
mudanas nos registros de recursos da zona. Se a zona no est
armazenada no Active Directory, o servidor cria um arquivo de banco de
dados da zona primria no disco local. um arquivo de texto simples
que compatvel com a maioria das implementaes de servidores DNS
no-Windows.
Zona Secundria. Cria uma cpia da zona primria em outro servidor. A
zona secundria contm uma cpia de backup do arquivo de banco de
dados da zona mestre primria, armazenado como um arquivo de texto
idntico no disco local do servidor. Voc pode somente atualizar os
registros de recursos em uma zona secundria atravs da replicao do
arquivo de banco de dados da zona mestre primria, usando um
processo chamado transferncia de zona.
Zona Stub. Cria uma cpia de uma zona primria que contm os
registros de recursos chave que identificam os servidores autoritativos

232

para a zona. A zona stub encaminha solicitaes ou envia referncias.


Quando voc cria uma zona stub, voc a configura com o endereo IP
do servidor que hospeda a zona a partir da qual voc criou a zona stub.
Quando o servidor que hospeda a zona stub recebe uma consulta por
um nome nessa zona, ele ou encaminha a solicitao para o host da
zona ou responde com uma referncia para esse host, dependendo se a
consulta for recursiva ou iterativa.
O DNS foi criado muito antes do Active Directory, ento a maioria da Internet
confia em zonas primrias ou secundrias que usam arquivos de banco de
dados em texto. A implementao de servidor DNS mais comum na Internet
um programa UNIX chamado BIND que usa estes bancos de dados.
Entretanto, para servidores suportando domnios internos, especialmente
domnios do AD, usar o servidor DNS Windows para criar uma zona primria e
armazen-la no Active Directory o procedimento recomendado. Quando voc
armazena a zona no banco de dados do Active Directory, voc no precisa
criar zonas secundrias ou realizar transferncias de zona, pois o AD assume a
responsabilidade pela replicao dos dados, e qualquer soluo de backup que
voc use para proteger o Active Directoy tambm proteger os dados do DNS.
O exame 70-410 cobre apenas o processo de criar uma zona primria
armazenada no Active Directory. Os procedimentos para criar zonas
primrias e secundrias baseadas em texto e configurar
transferncias de zona so cobertos no exame 70-411.

Usando Zonas Integradas ao Active Directory


Quando voc est rodando o servio de servidor DNS em um computador que
um controlador de domnio do Active Directory e voc armazena a zona no
Active Directory enquanto cria a zona no Assistente de Nova Zona, o servidor
no cria um arquivo de banco de dados da zona. No lugar, o servidor armazena
os registros de recursos da zona no banco de dados do AD. Armazenar o
banco de dados DNS no Active Directory possibilita um nmero de vantagens,
incluindo facilidade na administrao, conservao de largura de banda, e
maior segurana.
Em zonas integradas ao Active Directoy, os dados da zona so replicados
automaticamente para os outros controladores de domnio, junto com todos os
outros dados do Active Directory. O Active Directory usa um sistema de
replicao de vrios mestres em que as cpias do banco de dados so
atualizadas em todos os controladores de domnio no domnio. Voc pode
modificar os registros de recursos DNS em qualquer controlador de domnio
primrio que hospede uma cpia dos dados da zona, e o Active Directory ir

233

atualizar automaticamente todos os outros controladores de domnio. Voc no


precisa criar zonas secundrias ou configurar transferncias de zonas
manualmente, pois o Active Directory realiza todas as atividades de replicao
de banco de dados.
Por padro, o Windows Server 2012 R2 replica os dados de uma zona primria
armazenada no Active Directory para todos os outros controladores de domnio
rodando o servidor DNS no mesmo domnio do AD onde a zona armazenada.
Voc tambm pode modificar o escopo de replicao de banco de dados de
zonas para manter cpias em todos os controladores de domnio por toda a
empresa ou em todos os controladores de domnio no domnio do AD,
independente de estarem rodando o servidor DNS ou no. Voc tambm pode
criar um escopo de replicao personalizado que copia o banco de dados da
zona para os controladores de domnio que voc especificar.
O Active Directory conserva largura de banda de rede replicando apenas os
dados do DNS que foram modificados desde a ltima replicao e comprimindo
os dados antes da transmisso pela rede. A replicao da zona tambm usa
todas as funcionalidades de segurana do Active Directory, incluindo
criptografia e autenticao baseada no Kerberos, que so consideravelmente
mais robustas do que a de transferncia de zona baseada em arquivo. A
proteo fornecida pelo Active Directory tambm automtica e invisvel ao
administrador, ao contrrio do processo de criptografar transferncia de zona
baseada em arquivo usando o IPsec.

Criar uma Zona do Active Directory


Para criar uma nova zona primria e armazen-la no Active Directory, use o
seguinte procedimento:
1. No Gerenciador do Servidor em um controlador de domnio , clique em
Ferramentas e em DNS para abrir o console do Gerenciador DNS.
2. Expanda o n do servidor e selecione a pasta Zonas de Pesquisa Direta.
3. Clique com o boto direito do mouse na pasta Zonas de Pesquisa Direta
e selecione a opo Nova Zona. O Assistente de Nova Zona ser
iniciado.
4. Clique em Prximo para sair da pgina de Bem Vindo e entrar na pgina
de tipo de zona.
5. Deixe a opo Zona Primria marcada assim como a caixa de seleo
Armazenar a Zona no Active Directory (disponvel apenas se o servidor
DNS um controlador de domnio) e clique em Prximo. A pgina
Escopo de Replicao de Zona do Active Directory ser exibida.
6. Clique em Prximo. A pgina Nome de Zona aparecer.

234

7. Especifique o nome que quiser para a zona na caixa de texto Nome da


Zona e clique em Prximo. A pgina Atualizaes Automticas ser
exibida.
8. Selecione uma das opes:
Permitir apenas Atualizaes Automticas Seguras.
Permitir Atualizaes Automticas Seguras e no-seguras.
No permitir Atualizaes Automticas.
9. Clique em Prximo. A pgina Completando o Assistente de Nova Zona
aparecer.
10. Clique em Finalizar. O assistente criar a zona.
11. Feche o console do Gerenciador DNS.
Para criar uma zona primria no Active Directory com o Windows PowerShell,
voc usa o cmdlet Add-DnsServerPrimaryZone, como vemos no exemplo a
seguir.
Add-DnsServerPrimaryZone Name "nomedazona.w1.com" ReplicationScope
"Domain" PassThru
Aps criar a zona primria, voc pode prosseguir para criar registros de
recursos que especificam os nomes dos hosts na rede e seus respectivos
endereos IP.

Criar Registros de Recursos


Quando voc roda o seu prprio servidor DNS, voc cria um registro de recurso
para cada nome de host que voc quer que esteja acessvel ao resto da rede.
Existem muitos tipos diferentes de registros de recursos usados pelos
servidores DNS, os mais importantes so os seguintes (as siglas esto em
ingls e o nome traduzido entre parnteses):

SOA (incio de autoridade). Indica que aquele servidor a melhor fonte


autoritativa para dados sobre a zona. Cada zona deve ter um registro
SOA e apenas um registro SOA pode estar em uma zona.
NS (servidor de nomes). Identifica um servidor DNS funcionando como
autoridade para a zona. Cada servidor DNS na zona (seja o mestre
primrio ou secundrio) deve ser representado por um registro NS.
A (endereo). Prov um mapeamento nome-para-endereo que fornece
um endereo IPv4 para um nome DNS especfico. Este tipo de registro
realiza a funo primria do DNS: converter nomes em endereos.
AAAA (endereo). Prov um mapeamento nome-para-endereo que
fornece um endereo IPv6 para um nome DNS especfico. Este tipo de

235

registro realiza a funo primria do DNS: converter nomes em


endereos.
PTR (ponteiro). Prov um mapeamento endereo-para-nome que
fornece um nome DNS para um endereo especfico no domnio inaddr.arpa. Este o oposto funcional de um registro A, usado apenas
para buscas reversas.
CNAME (nome cannico). Cria uma alias (apelido) que aponta para o
nome real de um host identificado por um registro A. administradores
usam registros CNAME para criar nomes alternativos pelos quais
sistemas podem ser identificados.
MX (email). Identifica um sistema que ir dirigir trfego de email enviado
para um endereo no domnio ao recipiente individual, um gateway de
email, ou outro servidor de email.
O exame 70-410 cobre apenas o processo de criao de registros de
recursos A e PTR. Os procedimentos de criao dos outros tipos de registros
de recursos so cobertos no exame 70-411.

Para criar um novo registro de recurso de Endereo, use o seguinte


procedimento.
1. Faa login no Windows Server 2012 R2 usando uma conta com
privilgios administrativos. Espere o Gerenciador do Servidor abrir.
2. Clique em Ferramentas e em DNS para abrir o console Gerenciador
DNS.
3. Expanda o n do servidor e selecione a pasta Zonas de pesquisa direta.
4. Clique com o boto direito na zona em que voc quer criar o registro e
selecione a opo Novo Host (A ou AAAA). A caixa de dilogo Novo
Host ser exibida, como vemos na figura abaixo.

236

5. Na caixa de texto Nome, digite o nome de host para o novo registro.


Abaixo o FQDN para o registro ser exibido.
6. Na caixa de texto Endereo IP, digite o endereo IPv4 ou IPv6
associado com o nome de host.
7. Selecione as seguintes caixas de seleo se necessrio;
Criar registro de ponteiro associado (PTR). Cria um registro de
pesquisa inversa para o host no domnio in-addr.arpa.
Permitir que qualquer usurio autenticado atualize registros
DNS com o mesmo nome de proprietrio. Permite que usurios
modifiquem seus prprios registros de recursos.
8. Clique em adicionar host. O novo registro de recurso ser criado na
zona selecionada.
9. Feche o console do Gerenciador DNS.
Para criar um registro PTR para o novo host, voc pode selecionar a caixa de
seleo criar registro de ponteiro associado (PTR) na caixa de dilogo Novo
Host, mas isso s ser efetivo se uma zona de pesquisa inversa j existir no
servidor. Para criar a zona, siga o mesmo procedimento descrito anteriormente,
desta vez selecionando a pasta Zona de pesquisa inversa.
Quando voc decide criar uma zona de pesquisa inversa IPv4, uma pgina de
Nome de zona de pesquisa inversa ser exibida, como mostra a figura abaixo,
na qual voc fornece o ID de rede que o assistente usar para criar a zona.

Aps a zona ser criada, voc pode criar registros PTR junto com registros A ou
AAAA ou criar um novo registro PTR usando a caixa de dilogo Novo Registro
de Recursos.

237

Definir configuraes de servidor DNS


Aps instalar um servidor DNS e criar zonas e registros de recursos, existem
muitas configuraes que voc pode alterar para modificar o comportamento
do servidor. As sesses a seguir descrevem algumas dessas configuraes.

Configurar Replicao DNS do Active Directory


Para modificar o escopo de replicao para uma zona integrada ao Acitve
Directory, abra a janela de propriedades no console do Gerenciador DNS, e na
aba Geral clique no boto Alterar do item Replicao. A caixa de dilogo Alterar
Escopo de Replicao de Zona ser exibida, como vemos na figura a seguir.
As opes so as mesmas que aparecem no Assistente de Nova Zona.

Configurar Dicas de Raiz


A maioria dos servidores DNS devem conseguir os servidores de nomes raiz
para iniciar os processos de resoluo de nomes. A maioria das
implementaes de servidores, incluindo o servidor DNS Microsoft, j so
configuradas com os nomes e endereos de vrios servidores de nomes raiz.
Estes so chamados Dicas de Raiz.
Os 13 nomes de servidores raiz esto localizados em um domnio chamado
root-servers.net e so nomeados usando letras do alfabeto. Os servidores
esto espalhados pelo mundo em diferentes subredes para prover tolerncia
falhas.
Para modificar as Dicas de Raiz em um servidor DNS Windows Server 2012
R2, clique com o boto direito do mouse no n do servidor, selecione

238

propriedades e clique na aba Dicas de Raiz, como pode ver na figura abaixo.
Nesta aba voc pode adicionar, editar ou remover dicas de raiz da lista.

239

5 Instalar e Administrar o Active Directory.


Um servio de diretrio um repositrio de informaes sobre recursos
hardware, software, e humano que esto conectados em uma rede. Usurios,
computadores e aplicaes por toda a rede podem acessar o repositrio para
uma variedade de propsitos, incluindo autenticao de usurio,
armazenamento de dados de configuraes, e mesmo simples procuras por
informaes ao estilo das pginas brancas. Os Servios de Domnio do Active
Directory (AD DS) o servio de diretrio que a Microsoft introduziu
inicialmente no Windows Server 2000, e a Microsoft o atualizou em cada
lanamento sucessivo do sistema operacional, incluindo o Windows Server
2012 R2.
Este captulo cobre algumas das tarefas fundamentais que os administradores
realizam para instalar e gerenciar o AD DS.

5.1 Instalar Controladores de Domnio


O AD DS um servio de diretrio que permite que administradores criem
divises organizacionais chamados domnios. Um domnio um continer
lgico de componentes de rede, hospedados em pelo menos um servidor
designado como controlador de domnio. Os controladores de domnio para
cada domnio replicam seus dados entre eles para tolerncia falhas e fins de
balanceamento.

Implantando os Servios de Domnio do Active Directory


Para criar um novo domnio ou para adicionar um controlador de domnio a um
domnio existente, voc deve instalar a funo de Servios de Domnio do
Active Directory em um computador com o Windows Server 2012 R2 e ento
rodar o Assistente de Configurao dos Servios de Domnio do Active
Directory.
Para usar um computador com o Windows Server 2012 R2 como um
controlador de domnio, voc deve configur-lo para usar um endereo IP
esttico, no endereos fornecidos por um servidor DHCP. Alm disso, se voc
est criando um domnio em uma floresta existente ou adicionando um
controlador de domnio um domnio existente, voc deve configurar o
computador para usar o servidor DNS que hospeda a floresta ou domnio
existente, pelo menos durante a promoo do Active Directory.

240

Instalar a funo de Servios de Domnio do Active Directory


Embora , na verdade, no converta o computador em um controlador de
domnio, instalar os Servios de Domnio do Active Directory prepara o
computador para o processo de converso.
Para instalar a funo, use o seguinte procedimento.
1. No Gerenciador do Servidor, no menu Gerenciar, selecione Adicionar
Funes e Recursos. O Assistente Adicionar Funes e Recursos
iniciado, exibindo a pgina Antes de Comear.
2. Clique em Prximo. A pgina Selecione o tipo de Instalao aparece.
3. Deixe a opo de instalao baseada em funo ou baseada em recurso
selecionada e clique em prximo para ir para a pgina de Servidor de
Destino.
4. Selecione o servidor que voc quer promover a controlador de domnio e
clique em Prximo. A pgina Selecione funes de servidor exibida.
5. Selecione a funo Servios de Domnio do Active Directory. A caixa de
dilogo Adicionar Recursos necessrios para os Servios de Domnio do
Active Directory ser exibida.
6. Clique em Adicionar Recursos para aceitar as dependncias e ento
clique em Prximo para ir para a pgina Selecione Recursos.
7. Clique em Prximo. A pgina Servios de Domnio do Active Directory
aberta, mostrando informaes sobre a funo.
8. Clique em Prximo. A pgina de confirmao de selees de instalao
exibida.
9. Escolha as opes de funes opcionais se desejar:
Reiniciar o servidor de destino automaticamente se
necessrio. Faz com que o servidor seja reiniciado
automaticamente quando a instalao completada, se for
exigido pelas funes e recursos selecionados.
Exportar configuraes. Cria um script XML documentando os
procedimentos realizados pelo assistente, que voc pode usar
para instalar as mesmas configuraes em outro servidor usando
o Windows PowerShell.
Especificar um caminho de origem alternativo. Especifica o
local de um arquivo de imagem contendo o software necessrio
para instalar as funes e recursos selecionados.
10. Clique em Instalar, a pgina de progresso de instalao ser exibida.
Aps a funo ser instalada, o link Promover este Servidor para um
Controlador de Domnio aparecer.
11. Deixe o Assistente aberto.

241

O programa Dcpromo.exe nas verses anteriores do Windows


Server foi depreciada em favor do processo de instalao de
controlador de domnio atravs do Gerenciador do Servidor
documentado nas sesses seguintes. Entretanto, ainda possvel
automatizar instalaes do AD DS atravs do Dcpromo.exe com um
arquivo de respostas. Voc pode tambm usar o Windows
PowerShell para instalar um controlador de domnio.

Aps ter instalado a funo, voc pode rodar o Assistente de instalao dos
Servios de Domnio do Active Directory. O procedimento no assistente varia,
dependendo de quais sero as funes do novo controlador de domnio. As
sesses a seguir descrevem os procedimentos para os tipos mais comuns de
instalao de controlador de domnio.

Criar uma nova Floresta


Quando iniciar uma nova instalao do AD DS, o primeiro passo criar uma
nova floresta, que voc faz criando o primeiro domnio na floresta, o domnio
raiz da floresta.
Para criar uma nova floresta, use o procedimento a seguir:
1. Na pgina de progresso de instalao que aparece no fim do processo
de instalao da funo Servios de Domnio do Active Directory, clique
no link Promover este servidor em um controlador de domnio. A
Assistente de Configurao dos Servios de Domnio do Active Directory
iniciado, exibindo a pgina de Configurao de Implantao.
2. Selecione a opo adicionar uma nova floresta, como mostra a figura
abaixo, e na caixa de texto Nome de domnio raiz digite o nome do
domnio que quer criar.

242

3. Clique em Prximo. A pgina opes de controlador de domnio abrir,


como vemos na figura a seguir.

4. Se voc planeja adicionar controladores de domnio rodando verses


mais antigas do Windows Server nesta floresta, selecione a verso mais

243

antiga que voc pretende instalar na lista de opes Nvel Funcional da


Floresta.
5. Se voc planeja adicionar controladores de domnio rodando verses
mais antigas do Windows Server neste domnio, selecione a verso mais
antiga que voc pretende instalar na lista de opes Nvel Funcional do
Domnio.
6. Se voc j no tiver um servidor DNS na sua rede, deixe a caixa de
seleo Servidor DNS marcada. Se voc tem um Servidor DNS na rede,
e o controlador de domnio est configurado para usar este servidor para
servios DNS, ento desmarque a caixa de seleo.
As opes Catlogo Global (GC) e Controlador de Domnio
Somente Leitura (RODC) esto indisponveis porque o primeiro
controlador de domnio em uma floresta deve ser um servidor de
Catlogo Global e no pode ser um Controlador de Domnio
Somente Leitura.

7. Nas caixas de seleo Senha e Confirme Senha, digite a senha que


deseja usar para o Modo de Restaurao dos Servios de Diretrio
(DSRM) e clique em Prximo. A pgina de opes DNS aparecer,
mostrando um aviso que uma delegao para o servidor DNS no pode
ser criada, porque o servio de Servidor DNS ainda no foi instalado.
8. Clique em Prximo para abrir a pgina de opes adicionais, que mostra
o equivalente NetBIOS para o nome de domnio que voc especificou.
9. Modifique o nome, se desejado, e clique em Prximo para abrir a pgina
de Caminho.
10. Modifique os locais padro para os arquivos do AD DS, se desejar, e
clique em Prximo. A pgina Rever opes aberta.
11. Clique em Prximo para abrir a pgina Checar pr-requisitos , como
vemos na figura abaixo.

244

12. O Assistente realiza um nmero de testes de ambiente para determinar


se o sistema pode funcionar como um controlador de domnio. Os
resultados podem aparecer como avisos, que permitem que o
procedimento continue, ou como alertas, que requerem que voc realize
certas aes antes do servidor poder ser promovido. Aps o sistema
passar em todas as checagens de pr-requisitos, clique em Instalar. O
Assistente cria uma nova floresta e configura o servidor para funcionar
como um controlador de domnio.
13. Reinicie o computador.
Com o domnio raiz da floresta em seu lugar, voc pode criar controladores de
domnios adicionais neste domnio ou adicionar novos domnios na floresta.

Adicionar um controlador de domnio em um domnio existente.


Todo domnio do Active Directory deve ter no mnimo 2 controladores de
domnio.
Para adicionar um controlador de domnio em um domnio existente do
Windows Server 2012 R2, use o seguinte procedimento.
1. Na pgina de progresso de instalao que aparece no fim do
procedimento de instalao dos Servios de Domnio do Active
Directory, clique no link Promover este servidor em um controlador de

245

2.
3.

4.

5.

domnio. O Assistente de Configurao dos Servios de Domnio do


Active Directory iniciado, mostrando a pgina de Configurao de
Implantao.
Selecione a opo Adicionar um controlador de domnio em um domnio
existente e clique em Selecionar.
Se voc no est logado em um domnio existente na floresta, uma
caixa de dilogo de Credenciais para Operao de Implantao, na qual
voc deve informar credenciais administrativas para o domnio para
proceder. Aps ser autenticado, a caixa de dilogo Selecione um
domnio da floresta ser exibida.
Selecione o domnio em que voc deseja adicionar um controlador de
domnio e clique em OK. O nome de domnio selecionado aparece no
campo Domnio.
Clique em Prximo. A pgina de opes de Controlador de Domnio
mostrada na figura abaixo ser exibida.

6. Se voc quiser instalar o servio de Servidor DNS no computador, deixe


a caixa de seleo Servidor de Nomes de Domnio (DNS) marcada.
Caso contrrio, o domnio ser hospedado no servidor DNS em que o
computador est configurado para usar.
7. Deixe a caixa de seleo Catlogo Global(GC) se voc quiser que o
computador funcione como um servidor de catlogo global. Isso
essencial se voc estiver implantando um novo controlador de domnio
em um site que ainda no possua um servidor GC.

246

8. Selecione a caixa de seleo Controlador de Domnio Somente Leitura


(RODC), se desejar, para criar um controlador de domnio que
administradores no possam usar para modificar objetos do AD DS.
9. Na lista de opes Nome do Site, selecione o site onde o controlador de
domnio estar localizado.
10. Nas caixas de texto Senha e Confirme Senha, digite a senha que quer
usar para o Modo de Restaurao dos Servios de Diretrio (DSRM) e
clique em Prximo para ir para a pgina de Opes Adicionais, mostrada
abaixo.

11. Para usar a opo Instalar de mdia, selecione a caixa de seleo


correspondente.
12. Na lista de opes Replicar de, selecione um controlador de domnio
existente que o servidor deva usar como fonte de dados. Ento clique
em Prximo para abrir a pgina de Caminhos/Locais.
13. Modificar os locais padro para os arquivos do AD, se desejar, e clique
em Prximo. A pgina Revisar Opes ser exibida.
14. Clique em Prximo para ir para a pgina de Checagem de Requisitos.
15. Aps o sistema ter passado em todas as checagens de pr-requisitos,
clique em Instalar. O assistente configura o servidor para funcionar como
um controlador de domnio.
16. Reinicie o computador.

247

O controlador de domnio agora est configurado par servir o domnio


existente. A replicao do Active Directory entre os dois ir iniciar
automaticamente.

Criar um novo domnio filho em uma floresta.


Uma vez que voc tenha uma floresta com pelo menos um domnio, voc pode
adicionar um domnio filho abaixo de qualquer domnio existente. O processo
de criao de um novo domnio filho similar ao de criar uma nova floresta,
exceto que a pgina de Configurao de Implantao do Assistente de
Configurao dos Servios de Domnio do Active Directory requer que voc
especifique o domnio pai em que voc quer criar um domnio filho, como
mostra a figura abaixo.

O Assistente tambm inclui a opo de criar um domnio


rvore, que um novo domnio que no subordinado a
nenhum domnio existente na floresta.

248

Instalando o AD DS em um Server Core


No Windows Server 2012 R2, possvel instalar o AD DS em um computador
rodando a opo de instalao Server Core e promover o sistema para um
controlador de domnio atravs do WindowsPowerShell.
No Windows Server 2008 e no Windows Server 2008 R2, o mtodo aceito para
instalar o AD DS em um computador com o Server Core criar um arquivo de
respostas e carreg-lo no prompt de comando atravs do comando
Dcpromo.exe com a opo /unattend.
No Windows Server 2012 R2, rodar o Dcpromo.exe sem parmetros no
executa mais o Assistente de Configurao dos Servios de Domnio do Active
Directory, mas administradores que j investiram um tempo considervel
desenvolvendo arquivos de resposta para instalaes de controladores de
domnio automticas pode continuar a execut-los a partir do prompt de
comando, embora faz-lo mostra este aviso: A operao sem superviso do
Dcpromo foi substituda pelo mdulo ADDSDeployment do Windows
PowerShell.
Para instalaes do AD DS no Server Core, o Windows PowerShell agora o
mtodo preferido. Assim como na instalao via Assistente, o procedimento do
Windows PowerShell ocorre em duas fases: primeiro, voc deve instalar a
funo Servios de Domnio do Active Directory; ento, voc deve promover o
servidor em um controlador de domnio.
Instalar a funo Servios de Domnio do Active Directory atravs do Windows
PowerShell no diferente de instalar qualquer outra funo. Em uma sesso
elevada (direitos de administrador) do Windows PowerShell, use o seguinte
comando:
InstallWindowsFeature name AD-Domain-Services IncludeManagementTools
Como outras instalaes de funes do Windows PowerShell, o cmdlet
InstallWindowsFeature no instala as ferramentas de gerenciamento para a
funo, ao menos que voc inclua o parmetro IncludeManagementTools no
comando.
Aps ter instalado a funo, promover o servidor em um controlador de domnio
mais complicado. O mdulo do Windows PowerShell ADDSDeployment inclui
cmdlets separados para as trs configuraes de implantao cobertas nas
sesses anteriores:

Install-ADDSForest
Install-ADDSDomainController
Install-ADDSDomain

249

Cada um desses cmdlets possui muitos parmetros para suportar vrias


opes de configurao encontradas no Assistente de Configurao dos
Servios de Diretrio do Active Directory. Na sua forma mais simples, o
seguinte comando instalaria um controlador de domnio para uma nova floresta
chamada wiseone.com:
Install-ADDSForest DomainName wiseone.com
Os padres para todos os outros parmetros so os mesmos que aqueles no
Assistente de Configurao dos Servios de Diretrio do Active Directory.
Rodar o cmdlet sem parmetros passa pelas opes te pedindo pelos valores.
Voc tambm pode exibir informaes bsicas de sintaxe atravs do comando
Get-Help, como mostra a figura abaixo.

Outra maneira de realizar uma instalao complexa atravs do Windows


PowerShell usar um computador rodando o Windows Server 2012 R2 com
interface completa para gerar um script. Comece executando o Assistente de
Configurao dos Servios de Diretrio do Active Directory e configurando
todas as opes conforme desejado. Quando voc chegar na pgina Rever
Opes, clique em Ver Script para mostra o cdigo do Windows PowerShell
para o cmdlet apropriado, como vemos na figura abaixo.

250

Este recurso funciona dessa forma porque na verdade o Gerenciador do


Servidor baseado no Windows PowerShell , ento o script contm os cmdlets
e parmetros que esto rodando quando o assistente realiza uma instalao.
Voc tambm pode usar essa capacidade de scripts com o cmdlet InstallADDSDomainController para implantar vrios controladores de domnio para o
mesmo domnio.

Usando a Instalao a partir de Mdia (IFM)


Anteriormente neste tpico, no procedimento de instalao de um controlador
de domnio rplica, a pgina de Opes Adicionais do Assistente de
Configurao dos Servios de Diretrio do Active Directory inclua uma caixa
de seleo Instalar a partir de uma Mdia. Esta uma opo que habilita
administradores a agilizar o processo de implementar controladores de domnio
rplica em sites remotos.
Normalmente, instalar um controlador de domnio em um domnio existente cria
a estrutura de banco de dados do AD, mas no existem dados nele at que o
servidor seja capaz de receber trfego de replicao vindo dos outros
controladores de domnio. Quando os controladores de domnio de um domnio
particular so bem conectados, como por LAN, a replicao ocorre quase
imediatamente aps o novo controlador de domnio ser instalado, e
completamente automtico.
Quando instalar um controlador de domnio em um local remoto, entretanto, a
conexo com os outros controladores de domnio provavelmente ser via WAN,
que tipicamente mais lenta e cara do que uma conexo LAN. Neste caso, a
replicao inicial com os outros controladores de domnio pode ser um
problema maior. A velocidade lenta do link WAN pode fazer com que a
replicao demore um bom tempo, e tambm pode inundar a conexo,
atrasando o trfego comum. Se os controladores de domnio esto localizados
em diferentes sites do AD sem um link de site apropriado, nenhuma replicao
ir ocorrer at que um administrador crie e configure os links necessrios.
A primeira replicao que ocorre aps a instalao de um novo
controlador de domnio a nica que requer que os servidores troquem
uma cpia completa do banco de dados DNS. Em replicaes
subsequentes, os controladores de domnio apenas trocam informaes
sobre os objetos e atributos que foram modificados desde a ltima
replicao.

Usando um utilitrio de linha de comando chamado Ntdsutil.exe,


administradores podem evitar esses problemas criando uma mdia de

251

instalao de controlador de domnio que inclui uma cpia do banco de dados


do DNS. Usando essa mdia quando for instalar um novo controlador de
domnio remoto, os dados so instalados junto com a estrutura do banco de
dados e uma replicao completa no necessria.
Para criar uma mdia IFM, voc deve rodar o programa Ntdsutil.exe em um
controlador de domnio rodando a mesma verso do Windows que voc
pretende implantar. O programa interativo, necessitando que voc entre com
uma sequncia de comandos como o seguinte:

Ntdsutil. Inicia o programa.


Activate instance ntds. Muda o foco do programa para a instncia
instalada do AD DS.
Ifm. Muda o programa para o modo IFM.
Create Full | RODC <caminho>. Cria a mdia para um controlador de
domnio padro (escrita/leitura) ou um controlador de domnio somente
leitura a salva na pasta especificada.
O comando create do Ntdsutil.exe tambm suporta parmetros que
incluem os contedos do volume SYSVOL com os dados do AD DS.
A verso Windows Server 2012 R2 do programa adiciona um
parmetro nodefrag que acelera o processo de criao da mdia
ignorando a etapa de desfragmentao.

Quando voc executa esse comandos, o programa Ntdsutil.exe cria um


instantneo do banco de dados DNS, monta-o como um volume para
desfragment-lo, e ento salva-o na pasta especificada junto com uma cpia
do registro do Windows, como vemos na figura abaixo.

252

Aps ter criado a mdia IFM, voc pode transport-la aos servidores que voc
pretende implantar como controladores de domnio usando quaisquer meios
convenientes. Para usar a mdia, voc executa o Assistente de Configurao
dos Servios de Diretrio do Active Directory da maneira usual, seleciona a
caixa de seleo Instalar a partir de mdia e especifica o local da pasta.

Atualizar os Servios de Diretrio do Active Directory


Introduzir o Windows Server 2012 R2 em uma instalao existente do AD DS
est mais fcil do que jamais esteve em verses anteriores do sistema
operacional.
Existem duas maneiras da atualizar uma infraestrutura do AD DS. Voc pode
atualizar os controladores de domnio antigos existentes para o Windows
Server 2012 R2 ou voc pode adicionar um novo controlador de domnio
Windows Server 2012 R2 ai seu ambiente existente.
Existem alguns caminhos de atualizao para o Windows Server 2012 R2.
Voc pode atualizar um controlador de domnio Windows Server 2008 ou
Windows Server 2008 R2 para o Windows Server 2012 R2, mas verses
anteriores no podem ser atualizadas.
No passado, se voc quisesse adicionar um novo controlador de domnio a
uma instalao existente do AD DS baseada em verses anteriores do
Windows , voc tinha que rodar um programa chamado Adprep.exe para
atualizar os domnios e a floresta. Dependendo da complexidade da instalao,
isso pode envolver logar em diferentes controladores de domnio usando
diferentes credenciais, localizar diferentes verses do Adprep.exe, e rodar o
programa vrias vezes usando o parmetro /domainprep para cada domnio e o
parmetro /forestprep para a floresta.
No Windows Server 2012 R2, a funcionalidade do Adprep.exe foi totalmente
incorporada no Gerenciador do Servidor dentro do Assistente de Configurao
dos Servios de Diretrio do Active Directory. Quando voc instala um novo
controlador de domnio Windows Server 2012 R2, voc s tem que informar
credenciais apropriadas; o assistente cuida do resto.
Para instalar o primeiro controlador de domnio Windows Server 2012 R2
em uma instalao anterior do AD DS, voc deve informar credenciais de
um usurio que seja membro dos grupos Administradores de Empresa e
Administradores do Esquema alm de membro do grupo Administradores
do Domnio dentro do domnio que hospeda o mestre de esquema.

253

Implantando o Active Directory IaaS no Windows Azure


Alm de rodar o Windows Server 2012 R2 em computadores fsicos e em
mquinas virtuais hospedadas localmente. O servio Azure da Microsoft
permite que administradores criem mquinas virtuais usando recursos em
nuvem alugados fornecidos pela Microsoft. Esta capacidade, chamada de
Infraestrutura como Servio (Infrastructure as a Service - IaaS), permite que
administradores rodem aplicaes na nuvem enquanto mantm controle total
sobre as mquinas virtuais.
O recursos do Windows Azure podem ser autocontidos na nuvem e
administradores podem criar uma floresta do AD DS virtualizada para organizlos e gerenci-los. Tambm possvel configurar os recursos do Windows
Azure como uma extenso dos recursos fsicos e virtuais existentes
hospedados em uma rede privada. Por exemplo, aps criar uma rede virtual na
nuvem do Windows Azure e de conect-la sua rede privada com um link sitepara-site usando um dispositivo VPN, voc pode criar uma mquina virtual com
o Windows Server 2012 R2 na nuvem e configur-la como um controlador de
domnio para o seu domnio existente.
O processo de instalar o AD DS em uma mquina virtual no Windows Azure e
promov-la a um controlador de domnio no diferente do processo em um
servidor numa rede privada. Voc usa o Assistente Adicionar Funes e
Recursos para instalar a funo AD DS e ento usa o Assistente de
Configurao dos Servios de Diretrio do Active Directory para configurar o
controlador de domnio. A parte complicada do processo a configurao da
infraestrutura de rede virtual para permitir comunicaes entre a rede na nuvem
e sua rede fsica.
O Windows Azure a plataforma ideal para rplicas de controladores de
domnio do AD pois prove consistncia de endereamento IP de uma nova
forma. As mquinas virtuais do Windows Azure devem obter endereos IP de
servidores DHCP, voc no pode atribui endereos estticos, mas ao contrrio
da concesso de endereo IP padro do DHCP que podem expirar, fazendo
com que o endereo mude, uma VM na nuvem retm sua concesso de
endereo IP por todo seu tempo de vida.

254

Voc pode instalar os Servios de Domnio do Active Directory em


qualquer VM no Windows Azure que esteja rodando o Windows Server. O
AD DS parte do sistema operacional e no requer recursos especiais
alm dos necessrios para provisionar a mquina virtual, como espao em
disco suficiente para o banco de dados do AD. Entretanto, tambm existe
um servio na nuvem chamado Windows Azure Active Directory que pode
fornecer gerenciamento de identidade e acesso dentro da nuvem. Embora
os dois possam interagir, o Windows Azure AD no o mesmo que o
servio do Active Directory fornecido com o Windows Server 2012 R2.

Remover um Controlador de Domnio


Com a depreciao do Dcpromo.exe, o processo de rebaixar um controlador de
domnio mudou e no imediatamente intuitivo.
Para remover um controlador de domnio de uma instalao do AD DS, voc
deve iniciar executando o Assistente Remover Funes e Recursos, como
mostra o procedimento a seguir.
1. No Gerenciador do Servidor, execute o Assistente Remover Funes e
Recursos e remova a funo Servios de Domnio do Active Directory e
os recursos que o acompanham. Uma caixa de dilogo Validar
Resultados exibida, como mostra a figura abaixo.

2. Clique no link Rebaixar este Controlador de Domnio. O Assistente de


Configurao dos Servios de Domnio do Active Directory inicia,
exibindo a pgina de credenciais.

255

3. Selecione a caixa de seleo Forar a Remoo deste Controlador de


Domnio e clique em Prximo para abrir a pgina Nova senha de
Administrador.
4. Nas caixas de texto Senha e Confirmar Senha, digite a senha que
desejar que o servidor use para a conta de Administrador local aps o
rebaixamento. Ento clique em Prximo. A pgina de Reviso de
Opes exibida.
5. Clique em Rebaixar. O assistente rebaixa o controlador de domnio e
reinicia o sistema.
6. Faa logon com a senha de administrador local que voc criou antes.
7. Execute o assistente Remover Funes e Recursos mais uma vez e
repita o processo de remover a funo Servios de Domnio do Active
Directory junto com os recursos que acompanham.
8. Feche o assistente e reinicie o servidor.
Para rebaixar um controlador de domnio atravs do Windows
PowerShell, use o seguinte comando:
Uninstall-ADDSDomainController ForceRemoval
LocalAdministratorPassword <senha> Force

Configurar o Catlogo Global


O catlogo global um ndice de todos os objetos do AD DS em uma floresta
que previne os sistemas de ter que realizar buscas para realizar buscas entre
vrios controladores de domnio. A importncia do catlogo global varia
dependendo do tamanho da sua rede e sua configurao de site.
Por exemplo, se sua rede consiste de um nico domnio, com controladores de
domnio que esto todos localizados em um nico site e so bem conectados,
o catalogo global tem pouca utilidade alm de buscas em grupos universais.
Voc pode tornar todos os seus controladores de domnio catlogos globais se
quiser. As buscas estaro dentro de um balanceamento de carga e o trafego de
replicao dificilmente ir sobrecarregar a rede.
Entretanto, se sua rede consiste de mltiplos domnios, com controladores de
domnio localizados em mltiplos sites conectados por links WAN, ento a
configurao de catlogo global se torna crtica. Se possvel, voc no vai
querer usurio realizando buscas no AD que precisem atravessar links WAN
lentos e caros para contatar controladores de domnio em outros sites. Colocar
um servidor de catlogo global em cada site recomendado neste caso. A
replicao inicial pode gerar muito trfego , mas a economia no longo prazo
deve se mostrar significativa.

256

Quando voc promove um servidor em um controlador de domnio, voc tem a


opo de tornar o controlador de domnio um catlogo global. Se voc no
aceitar naquele momento, voc pode tornar qualquer controlador de domnio
em um catlogo global usando o seguinte procedimento.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione Sites e
Servios do Active Directory. O console ser aberto.
2. Expanda o site onde est o servidor que voc quer tornar um catlogo
global. Ento expanda a pasta Servidores e selecione o servidor que
voc quer configurar.
3. Clique com o boto direito do mouse no n Configuraes NTDS para o
servidor e selecione propriedades.
4. Marque a caixa de seleo Catlogo Global e clique em OK.
5. Feche o console Sites e Servios do Active Directory.

Resolvendo Problemas em falhas de registro DNS SRV


O DNS essencial para a operao dos Servios de Domnio do Active
Directory. Para acomodar servios de diretrio como o AD DS, um registro de
recurso DNS especial foi criado para permitir aos clientes localizarem
controladores de domnio e outros servios vitais do AD DS.
Quando voc cria um novo controlador de domnio, uma das partes mais
importantes do processo o registro do servidor no DNS. Esse registro
automtico a razo pela qual uma floresta do AD DS deve ter acesso a um
servidor DNS que suporte o padro de Atualizaes Automticas definido na
RFC 2136.
Se o processo de registro DNS falha, ento os computadores na rede no
podero localizar aquele controlador de domnio , cujas consequncias podem
ser srias. Os computadores no podero usar esse controlador de domnio
para participarem do domnio, membros existentes do domnio pode no
conseguir fazer login, e outros controladores de domnio no podero replicar
com ele.
Problemas com o DNS so, na maioria dos casos, devido falhas gerais na
rede ou erros de configurao de DNS cliente. Os primeiros passos q voc
deve tomar so tentar pingar o servidor DNS e ter certeza que a configurao
do cliente TCP/IP possui os endereos corretos dos servidores DNS que
deveria estar usando.
Para confirmar que um controlador de domnio foi registrado no DNS, abra uma
janela de prompt de comando com privilgios administrativos e executar o
seguinte comando:

257

dcdiag /test:registerindns /dnsdomain:<domain name> /v

5.2 Criar e Gerenciar Usurios e Computadores do Active Directory

Usurios e computadores so os objetos-folha bsicos que populam os galhos


de uma rvore do AD DS. Criar e gerenciar esses objetos so tarefas dirias
para muitos administradores do AD DS.

Criar objetos usurios


A conta de usurio o meio principal pelo qual pessoas usando uma floresta
do AD DS acessam recursos. Acesso a recursos por indivduos acontece por
meio de suas contas de usurio individuais. Para ter acesso rede, usurios
da rede devem se autenticar com uma conta de usurio especfica.
Autenticao o processo de confirmao da identidade de um usurio
usando um valor conhecido como uma senha, um carto inteligente ou uma
digital. Quando um usurio fornece um nome e senha, o processo de
autenticao valida as credenciais informadas no logon com a informao
armazenada no banco de dados do AD DS. No confunda autenticao com
autorizao, que o processo de confirmao de que um usurio tem as
permisses corretas para acessar um ou mais recursos da rede.
Existem dois tipos de contas de usurios em sistemas rodando o Windows
Server 212 R2:

Usurios Locais. Essas contas podem acessar recursos apenas no


prprio computador e so armazenadas no banco de dados SAM
(Security Account Manager) local no computador onde eles residem.
Contas locais nunca so replicadas para outros computadores e no do
acesso ao domnio. Isso significa que uma conta local configurada em
um servidor no pode ser usada para acessar recursos em um segundo
servidor; voc precisaria configurar uma segunda conta local neste caso.
Usurios de Domnio. Essas contas podem acessar recursos do AD
DS ou baseados na rede, como pastas compartilhadas ou impressoras.
A informao de conta para estes usurios armazenada no banco de
dados do AD DS e replicada para todos os controladores de domnio
dentro do mesmo domnio. Um subgrupo das informaes de contas de
usurios do domnio replicada para o catlogo global, que ento
replicada para outros catlogos globais por toda a floresta.

258

Ferramentas de criao de usurio


Uma das tarefas mais comuns para administradores a criao de objetos
usurios do Active Directory. O Windows Server 2012 R2 inclui vrias
ferramentas que voc pode usar para criar objetos. A ferramenta especfica q
voc usa depende de quantos objetos voc precisa criar, o intervalo de tempo
disponvel para a criao desses grupos, e quaisquer circunstncias especiais,
como importar usurios de um banco de dados existente.
Quando criar um nico usurio, administradores podem usar a Central
Administrativa do Active Directory ou o console de Usurios e Computadores
do Active Directory. Porem, quando voc precisa criar vrios usurios em um
espao curto de tempo ou voc tem um banco de dados existente a partir do
qual deseja importar esses objetos, voc ir querer usar uma ferramenta mais
eficiente. O Windows Server 2012 R2 disponibiliza um nmero de ferramentas
que voc pode usar baseado no que voc quer realizar. A lista a seguir
descreve os mtodos mais comumente usados para criar vrios usurios e
grupos. Estas ferramentas sero detalhadas nas sesses a seguir.

Dsadd.exe. A ferramenta de linha de comando padro para criao de


objetos-folha do AD DS, que voc pode com arquivos de lote para criar
objetos do AD DS em lotes.
Windows PowerShell. A ferramenta de manuteno do Windows
permite que voc crie scripts de criao de objetos com complexidade
quase ilimitada.
LDAP Data Interchange Format Directory Exchange (LDIFDE.exe).
Assim como o CSVDE, porm com mais funcionalidades, o LDIFDE
um utilitrio que pode importar informaes do AD DS e us-las para
criar, deletar e modificar objetos, alm de modificar o esquema, se
necessrio.

Essas ferramentas todas possuem suas funes na administrao de uma


rede; fica a cargo do administrador escolher a melhor ferramenta para servir s
suas habilidades e situao em particular.
As sesses a seguir examinam vrios cenrios para usar essas ferramentas
para criar objetos usurios.

259

Criar Usurio Individual


Para alguns administradores, criar contas de usurios individuais uma tarefa
diria e existem varias maneiras de faz-lo. O Windows Server 2012 R2
redesenhou o ADAC (Central Administrativa do Active Directory), introduzida no
Windows Server 2008 R2, para incorporar completamente novos recursos
como a Lixeira do Active Directory e Polticas de Senha Granulares. Voc
tambm pode usar a ferramenta para criar e gerenciar contas de usurios do
AD DS.
Para criar um nico usurio atravs da Central Administrativa do Active
Directory, use o procedimento a seguir.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione Central
Administrativa do Active Directory. O console da Central Administrativa
do Active Directory ir abrir.
2. No painel da esquerda, encontre o domnio em que voc quer criar o
objeto usurio e selecione um continer nesse domnio.
3. No painel Tarefas, abaixo no nome do continer, clique em Novo,
Usurio para abrir a janela Criar Usurio, como mostra a figura abaixo.

4. Digite o nome do usurio no campo Nome Completo e um nome de


conta no campo Logon SAMAccountName.
5. Digite uma senha inicial para o usurio nos campos Senha e Confirmar
Senha.
6. Fornea a informao para os outros campos opcionais que desejar.
7. Clique OK. O objeto usurio aparecer no continer.
8. Feche o console da Central Administrativa do Active Directory.

260

Administradores que se sentem mais confortveis com o console familiar do


Usurios e Computadores do Active Directory ainda podem us-lo para criar
objetos usurios atravs do Assistente Novo Objeto Usurio, como mostra a
figura abaixo.

Para administradores trabalhando em instalaes Server Core ou que se


sintam mais confortveis com o prompt de comando, possvel criar objetos
usurios sem uma interface grfica.

Usando o Dsadd.exe
Para administradores que se sintam mais confortveis com o prompt de
comando, o programa Dsadd.exe pode criar novos objetos usurios atravs da
sintaxe mostrada na figura abaixo.

261

Para criar um usurio atravs do utilitrio Dsadd.exe, voc deve conhecer o


nome distinto (DN) do usurio e o ID do login do usurio, tambm conhecido
como o atributo nome de conta SAM (SAM account name) dentro do AD DS. O
nome distinto de um objeto significa o seu local dentro da estrutura do Active
Directory. Por exemplo, no nomes distinto
cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com
o cn de refere ao nome comum para a conta do Thiago Haise, que reside na
OU Pesquisa, que reside no domnio wiseone.com.
cada objeto possui um DN nico, mas este DN pode mudar se voc mudar o
objeto para diferentes locais dentro da estrutura do Active Directory. Por
exemplo, se voc criar uma camada adicional de OUs representando
escritrios em diferentes cidades, o DN anterior poderia mudar para:
cn=Thiago Haise,ou=Pesquisa,ou=Curitiba,dc=wiseone,dc=com
mesmo sendo o mesmo objeto usurio com os mesmo direitos e permisses.
O nome de conta SAM se refere ao nome de login de cada usurio a poro
esquerda do @ dentro de um User Principal Name (UPN) - que thiago em
thiago@wise1.com.br. O nome de conta SAM deve ser nico em todo o
domnio. Quando voc tem ambos os itens, voc pode criar um usurio com o
utilitrio Dsadd.exe usando a seguinte sintaxe:
Dsadd user <nome distinto> -samid <nome de conta sam>
Por exemplo, em sua forma mais simples, voc pode criar a conta para Thiago
Haise da seguinte forma:
dsadd user
cn=" Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com"
samid thiago
Voc tambm pode adicionar valores de atributos atravs da ferramenta
Dsadd.exe. O comando a seguir adiciona alguns dos atributos mais comuns
para o objeto usurio:
Dsadd.exe user
"CN=Thiago Local,OU=Pesquisa,DC=wiseone,DC=local"
samid "thiago"
fn "Thiago"
ln "Haise"

262

disabled no
mustchpwd yes
pwd "Pa$$w0rd"

Usando o Windows PowerShell


A Microsoft est colocando uma nfase cada vez maior no Windows
PowerShell como uma ferramenta de gerenciamento de servidores, e fornece
um cmdlet chamado New-ADUser, que voc pode usar para criar uma conta de
usurio e configurar qualquer um ou todos os atributos associados com essa
conta. O cmdlet New-ADUser tem muitos parmetros, como vemos na figura
abaixo, para habilitar acesso a todos os atributos do objeto usurio.

Por exemplo, para criar um novo objeto usurio para Thiago Haise em uma
unidade organizacional (OU) chama Pesquisa, voc poderia usar o cmdlet
New-ADUser com os seguintes parmetros:
new-ADUser
-Name " Thiago Haise "
-SamAccountName "thiago"
-GivenName " Thiago "
-SurName " Haise "
path 'OU=Pesquisa,DC=wiseone,dc=local'
-Enabled $true
-AccountPassword "Pa$$w0rd"

263

-ChangePasswordAtLogon $true
Os parmetros Name e SamAccountName so exigidos para identificar o
objeto. O parmetro path especifica o local do objeto na hierarquia do AD DS.
O parmetro Enabled assegura que a conta esteja ativa.

Criando Templates de Usurio


Em alguns casos, administradores tem que criar usurios individuais com
frequncia, mas as contas de usurios contm tantos atributos que cria-los
individualmente consome muito tempo.
Uma maneira de acelerar o processo da criao de objetos usurios complexos
usar o cmdlet New-ADUser ou o programa Dsadd.exe e manter seus
comando em um script ou arquivo de lotes. Porm, se voc prefere uma
interface grfica, voc pode fazer a mesma coisa criando um template de
usurio.
Um template de usurio um objeto usurio contendo configuraes padro
de atributos. Quando voc quer criar um novo usurio com essas
configuraes, apenas copie o template para um novo objeto usurio e mude o
nome e outros atributos que so nicos para o usurio.
Para criar um template de usurio usando o console Usurios e Computadores
do Active Directory, siga o procedimento abaixo.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione Usurios
e Computadores do Active Directory. O console Usurios e
Computadores do Active Directory ser aberto.
2. Crie um objeto usurio com o nome Modelo Padro, desmarque a caixa
de seleo Usurio deve mudar a senha no prximo logon e marque a
opo Conta Desabilitada.
3. Aba as propriedades do usurio e modifique os atributos nas vrias abas
com os valores em comum de todos os usurios que voc ir criar.
Para usar o template, clique com o boto direito do mouse no objeto usurio
Modelo Padro e selecione copiar. O assistente Copiar Objeto ser iniciado,
como mostra a figura abaixo.

264

Informe as informaes nicas necessrias para o usurio e desmarque a


opo Conta Desabilitada antes de clicar em OK. O assistente cria um novo
objeto usurio com um subconjunto dos atributos que voc configurou no
template.

Criar vrios usurios


Algumas vezes administradores tm que criar centenas ou milhares de objetos
usurios, tornando o processo de criao individual impraticvel. As sesses
anteriores descreveram o processo para criar usurios e grupos individuais
atravs da interface grfica e alguma ferramentas de linha de comando
disponveis no Windows Server 2012 R2. As sesses seguintes examinam
alguns dos mecanismos para automatizar a criao de um nmero grande de
objetos do Active Directory.

Usando o CSVDE.exe
Aplicaes como o Microsoft Excel podem gerar listas de usurios, com todas
as suas informaes, para adicionar no banco de dados do Active Directory.
Nestes casos, voc pode exportar as informaes das aplicaes salvando-as
em um arquivo no formato CSV. O formato CSV tambm pode ser usado para
importar informaes para dentro dele e depois export-las para outras
aplicaes de terceiros.
Um arquivo CSV um arquivo de texto feito de registros divididos um por linha
divididos em campos separados por vrgulas. O formato uma maneira de
salvar informaes de bancos de dados em uma maneira universal inteligvel.

265

O utilitrio de linha de comando CSVDE.exe permite que administradores


importem e exportem objetos do Active Directory. Ele usa um arquivo CSV
baseado em registros de cabealhos, que identifica o atributo contido em cada
campo delimitado por vrgulas. O registro de cabealho apenas a primeira
linha do arquivo de texto que usa nomes de atributos apropriados. Para serem
importados para o AD DS, os nomes de atributos no arquivo CSV devem ser
iguais aos atributos permitidos pelo esquema do Active Directory. Por exemplo,
se voc tem uma lista de pessoas e nmeros de telefone que voc quer
importar como usurios no banco de dados do Active Directory, voc precisar
criar um registro de cabealho que reflita corretamente os nomes dos objetos e
atributos q voc quer criar. Revise os atributos a seguir que so normalmente
usados para criar contas de usurios.

dn. Especifica o nome distinto do objeto para que ele possa ser colocado
corretamente no Active Directory.
samAccountName. Preenche o campo de conta SAM.
objectClass. Especifica o tipo de objeto a ser criado, como usurio,
grupo ou OU.
telephoneNumber. Preenche o campo de Nmero de Telefone.
UserPrincipalName. Preenche o campo User Principal Name.

Enquanto cria o arquivo CSV, voc deve ordenar os dados para refletir a
sequencia de atributos no registro de cabealho. Se os campos e dados
estiverem fora de ordem, voc ir encontrar um erro quando executar o
CSVDE.exe ou pode ter resultados incorretos nos objetos criados. O exemplo a
seguir de um registro de cabealho usa os atributos listados anteriormente para
criar um objeto usurio.
dn,samAccountName,userPrincipalName,telephoneNumber,objectC
lass
Um registro de dados seguindo esse registro de cabealho ficaria assim:
"cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com",
Thiago.haise@wiseone.com,586-555-1234,user
Aps ter adicionado um registro para cada conta que deseja criar, salve o
arquivo usando a extenso .csv. Ento voc pode usar a seguinte sintaxe do
comando para rodar o programa CSVDE.exe e importar o arquivo:
csvde.exe i f <nomearquivo.csv>
O parmetro i informa ao CSVDE.exe que essa ser uma operao de
importao. O parmetro f usado para especificar o arquivo .csv contendo
os registros a serem importados.

266

Usando o LDIFDE.exe
O LDIFDE.exe um utilitrio que possui a mesma funcionalidade bsica do
CSVDE.exe e d a possibilidade de modificar registros existentes no Active
Directory. Por esta razo, o LDIFDE.exe uma opo mais flexvel. Considere
um exemplo em que voc tem que importar 200 novos usurios em sua
estrutura do AD DS. Neste caso, voc pode usar o CSVDE.exe ou o
LDIFDE.exe para importar estes usurios. Entretanto, voc pode usar o
LDIFDE.exe para modificar ou deletar os objetos mais tarde, sendo que o
CSVDE.exe no fornece essa opo.
Voc pode usar qualquer editor de texto para criar um arquivo de entrada para
o LDIFDE.exe, que formatado segundo o padro LDAP Data Interchange
Format (LDIF). O formato para o arquivo de dados contendo os registros de
objetos que voc pretende criar bem diferente daquele no CSVDE.exe. O
exemplo a seguir mostra a sintaxe para o arquivo de dados para criar a mesma
conta de usurio discutida no exemplo do CSVDE.exe.
dn: "cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com"
changetype: add
ObjectClass: user
SAMAccountName: thiago
UserPrincipalName: thiago@wiseone.com
telephoneNumber: 586-555-1234

Usando o LDIFDE.exe, voc pode especificar uma das trs aes que sero
realizadas com o arquivo LDIF:

Adicionar (Add). Cria novos objetos usando os registros LDIF.


Modificar (Modify). Modifica atributos existentes de objetos usando os
registros LDIF.
Apagar (Delete). Deleta objetos existentes usando os registros LDIF.

Aps criar o arquivo de dados e salv-lo usando a extenso .ldf, use a seguinte
extenso para executar o programa LDIF.exe:
Ldifde.exe i f <nomearquivo.ldf>
O prximo exemplo ilustra a sintaxe LDIF para modificar o nmero de telefone
de um usurio existente. Note que o hfen na ltima linha exigido para que o
arquivo funcione adequadamente.

267

dn: "cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com"


changetype: modify
replace: telephoneNumber
telephoneNumber: 586-555-1111
-

Usando o Windows PowerShell


Tambm possvel usar arquivos CSV para criar objetos usurios com o
Windows PowerShell atravs do cmdlet Import-CSV para ler os dados do
arquivo e repass-los para o cmdlet New-ADUser. Para inserir os dados do
arquivo dentro dos atributos corretos do usurio , o os parmetros do cmdlet
New-ADUser para referenciar os nomes de campos no registro de cabealho
no arquivo CSV.
Um exemplo de um comando de criao de usurios em lote seria assim:
Import-CSV users.csv | foreach
{New-ADUser -SamAccountName $_.SamAccountName
-Name $_.Name -Surname $_.Surname
-GivenName $_.GivenName -Path
"OU=Research,DC=adatum,DC=COM" -AccountPassword Pa$$w0rd
-Enabled $true}

Criar objetos de Computadores


Pelo fato de uma floresta do AD DS usar um diretrio centralizado, deve haver
algum jeito de rastrear os computadores que fazem parte do domnio.
Para fazer isso, o Active Directory usa contas de computadores, que so
traduzidas na forma de objetos computadores no banco de dados do Active
Directory. Voc pode ter uma conta de usurio do Active Directory vlida e uma
senha, mas se o computador no for representado por um objeto computador,
voc no pode fazer login no domnio atravs deste sistema.
Objetos computadores so armazenados na hierarquia do Active Directory da
mesma forma que objetos usurios; eles possuem muitas das mesmas
capacidades, como as seguintes:

268

Objetos computadores consistem de propriedades que especificam o


nome do computador, onde est localizado, e quem tem permisso para
gerenci-lo.
Objetos computadores herdam configuraes de polticas de grupo de
objetos continer com domnios, sites e OUs.
Objetos computadores podem ser membros de grupos e herdam
permisses destes grupos.

Quando um usurio tenta fazer logon em um domnio do Active Directory, o


computador cliente estabelece uma conexo com um controlador de domnio
para autenticar a identidade do usurio. Antes da autenticao do usurio
ocorrer, os dois computadores realizam uma autenticao preliminar por meio
dos seus respectivos objetos de computadores para assegurar que ambos os
sistemas fazem parte do domnio. O servio NetLogon rodando no computador
cliente conecta com o mesmo servio no controlador de domnio, e ento cada
um verifica que o outro sistema tem uma conta de computador vlida. Quando
essa validao finalizada, os dois sistemas estabelecem um canal de
comunicaes seguro entre eles, que eles podem usar para iniciar o processo
de autenticao do usurio.
A validao da conta de computador entre o cliente e o controlador de domnio
um processo de autenticao genuno que usa nomes de conta e senhas, da
mesma forma quando um usurio se autentica no domnio. A diferena que
as senhas usadas por contas de computador so geradas automaticamente e
mantidas escondidas. Administradores podem resetar contas de computador,
mas eles no precisam informar senha para elas.
O que isso significa para os administradores que, alm de criar contas de
usurios no domnio, eles tambm tm que se certificarem de que os
computadores da rede so parte do domnio. Adicionando um computador em
um domnio do AD DS consiste em dois passos:

Criar uma conta de computador. Voc cria uma conta de


computador criando um novo objeto computador no Active
Directory e atribuindo o nome de um computador existente.
Adicionar o computador ao domnio. Quando voc adiciona um
computador no domnio, o sistema contata um controlador de
domnio, estabelece um relacionamento de segurana com o
domnio, localiza (ou cria) um objeto do tipo computador
correspondente ao nome do computador, altera o seu
identificador de segurana (SID) para coincidir com o do objeto
computador, e modifica suas adeses em grupos.

Como estes passos so realizados e quem os realiza depende da maneira em


que voc implanta computadores na rede. Existem vrias maneiras de

269

implantar computadores na rede. Existem vrias maneiras de criar novos


objetos do tipo computador, e como administradores escolhem faz-lo depende
de vrios fatores, incluindo o nmero de objetos que eles precisam criar, onde
eles estaro quando estiverem criando os objetos, e quais ferramentas eles
preferem usar.
Genericamente falando, voc cria objetos do tipo computador quando voc
implanta novos computadores no domnio. Uma vez que um computador
representado por um objeto e faz parte do domnio, qualquer usurio do
domnio pode fazer login a partir deste computador. Por exemplo, voc no
precisa criar novos objetos computador ou adicionar novamente os
computadores ao domnio quando funcionrios deixam a empresa e os novos
contratados comeam a usar seus computadores. Porm, se voc reinstalar o
sistema operacional em um computador, voc deve criar um novo objeto para
ele (ou resetar o objeto existente), pois o computador recm instalado ter um
SID diferente.
A criao de um objeto computador deve sempre ocorrer antes de o
computador correspondente poder ser adicionado ao domnio, embora possa
no parecer assim. Existem duas estratgias bsicas para a criao de objetos
computador no Active Directory, que so:

Criar os objetos computador antecipadamente usando uma ferramenta


do Active Directory, para que os computadores possam localizar os
objetos existentes quando forem adicionados no domnio.
Iniciar o processo de adicionar no domnio primeiro e deixar o
computador criar o seu prprio objeto.

Em qualquer caso, o objeto computador existe antes do processo de adio ao


domnio acontecer. Na segunda estratgia, o processo de adio ao domnio
parecer comear primeiro, mas o computador cria o objeto antes do processo
de adio ao domnio em si comear.
Quando houver vrios computadores para implantar, especialmente em locais
diferentes, administradores poderia concebivelmente criar os objetos
computador antecipadamente. Para grandes quantidades de computadores,
possvel ainda automatizar o processo de criao por meio de ferramentas de
linha de comando e arquivos em lote, embora muitos usem ferramentas de
terceiros para esse fim. As sesses seguintes examinam as ferramentas que
voc pode usar para o processo de criao de objetos do tipo computador.

270

Criar objetos computador atravs do Usurios e Computadores do Active


Directory
Da mesma forma que acontece com usurios, voc pode criar computadores
usando o console Usurios e Computadores do Active Directory. Para criar
objetos computadores em um domnio do Active Directory atravs do console
Usurios e Computadores do Active Directory ou de qualquer outra ferramenta,
voc deve possuir as permisses apropriadas para o continer em que os
objetos estaro localizados.
Por padro, o grupo Administradores tem permisso de criar objetos em
qualquer lugar do domnio, e o grupo Operadores de Conta tem as permisses
necessrias para criar computadores e delet-los do continer Computadores e
de qualquer OU nova que voc criar. Membros dos grupos Administradores de
Domnio e Administradores de Empresa tambm podem criar objetos
computadores em qualquer lugar. Um administrador tambm pode
explicitamente delegar o controle de contineres para usurios e/ou grupos
especficos, habilitando-os a criar computadores nesses contineres.
O processo de criar um objeto computador no Usurios e Computadores do
Active Directory similar ao de criar um usurio. Voc seleciona o continer
em que voc quer colocar o objeto, no menu Ao, selecione Novo,
Computador. O Assistente Novo Objeto Computador ser iniciado, como
podemos ver na figura abaixo.

A janela de propriedades para objetos computador no console Usurios e


Computadores do Active Directory mostra relativamente poucos atributos, na
maioria dos casos, voc apenas ir informar um nome, que pode ter at 64
caracteres. Este nome deve coincidir com o nome do computador associado ao
objeto.

271

Criar objetos computadores com a Central Administrativa do Active


Directory
Assim como usurios, voc tambm pode criar computadores na Central
Administrativa do Active Directory. Para criar computadores, voc seleciona um
continer e ento seleciona Novo, Computador da lista de Tarefas para abrir a
caixa de dilogo Criar Computador.
Criar computadores usando o Dsadd.exe
Assim como usurios, as interfaces grficas includas com o Windows Server
2012 R2 so boas para criar e gerenciar objetos individuais, mas muitos
administradores preferem a linha de comando quando precisam criar vrios
objetos.
O utilitrio Dsadd.exe te permite criar computadores a partir da linha de
comando, da mesma forma como criou usurios anteriormente no captulo.
Voc pode criar um arquivo em lote com comandos Dsadd.exe para gerar
vrios objetos em um processo. A sintaxe bsica para criar um computador
usando o Dsadd.exe seria:
Dsadd computer <DN_computador>
O parmetro <DN_computador> especfica o nome distinto para o novo
computador que voc quer criar. Os DNs usam o mesmo formato dos usados
em arquivos CSV, conforme discutido antes.

Criando objetos computador com o Windows PowerShell


O Windows PowerShell inclui o cmd New-ADComputer, que voc pode isar
para criar objetos computador com a seguinte sintaxe bsica. O cmdlet cria
computadores, mas no os adiciona ao domnio.
New-ADComputer -Name <nome-computador> -path <nome-distinto>

Gerenciando objetos do Active Directory


Aps ter criado seus objetos para usurios e computadores, voc pode
gerenci-los e modific-los em muitas das maneiras que voc usou para crialos.
Dando um clique duplo em um objeto no console Usurios e Computadores do
Active Directory ou na Central Administrativa do Active Directory abre as

272

propriedades do objeto. A janela parece diferente mas elas contm as mesmas


informaes e tem as mesmas capacidades para alterar os atributos do objeto.

Gerenciando vrios usurios


Quando gerenciar contas de usurios do domnio, provavelmente existiro
momentos em que voc ter que fazer as mesmas mudanas em vrios
objetos de usurios, e modificar cada um individualmente iria ser uma tarefa
entediante. Nesses casos, e possvel modificar as propriedades de diversos
objetos simultaneamente atravs da Central Administrativa do Active Directory
ou do console Usurios e Computadores do Active Directory. Voc s
seleciona vrios usurios segurando a tecla Ctrl e clica em quantos usurios
desejar e depois seleciona Propriedades. A janela de propriedades ser
exibida, contendo os atributos que voc pode gerenciar para os objetos
selecionados simultaneamente, como mostra a figura abaixo.

Unindo computadores ao domnio.


O processo de unir um computador a um domnio deve ocorrer a partir do
prprio computador e ser realizado por um membro do grupo local
Administradores. Aps fazer login, voc inclui no domnio um computador
usando o Windows Server 2012 R2 a partir da aba Nome do Computador

273

dentro das propriedades do Sistema. Voc pode acessar as propriedades do


sistema pelo Gerenciador do Servidor, clicando no nome do computador ou no
link de domnio no bloco propriedades do servidor, dentro do Painel de
Controle.
Em um computador que no faz parte de um domnio, a aba Nome do
Computador mostra o nome atribudo ao computador durante a instalao do
sistema operacional e o nome do grupo de trabalho ao qual o sistema pertence
atualmente (que workgroup, por padro). Para adicionar o computador ao
domnio, clique em Alterar para exibir a caixa de dilogo Alterar Nome/Domnio
do Computador mostrada abaixo.

Nesta caixa de dilogo, o campo Nome do Computador te permite mudar o


nome atribudo ao computador durante a instalao. Dependendo se voc j
criou o objeto computador ou no, observe as seguintes precaues:

Para fazer parte de um domnio no qual voc j tem um objeto


computador criado para o sistema no AD DS, o nome neste campo deve
coincidir exatamente com o nome do objeto.
Se voc pretende criar o objeto computador durante o processo de unio
ao domnio, o nome neste campo no pode existir no domnio.

Quando voc seleciona a opo Domnio e digita o nome do domnio em que o


computador far parte. O computador faz contato com um controlador de
domnio para o domnio e uma segunda tela de Alterar Nome de Computador
abrir, te pedindo pelo nome e senha de uma conta de usurio do domnio com
permisso para adicionar o computador no domnio.
Aps ter se autenticado com o controlador de domnio, o computador recebe a
mensagem de Bem Vindo ao domnio e voc instrudo a reiniciar o
computador.

274

Criar computadores durante o processo de unio ao domnio.


Voc pode adicionar um computador um domnio tenha voc ou no j criado
um objeto computador para ele. Aps o computador se autenticar com o
controlador de domnio, o controlador de domnio pesquisa no banco de dados
do Active Directory por um objeto computador com o mesmo nome que o
computador. Se no encontrar um objeto que coincida, o controlador de
domnio cria um no continer padro (normalmente o continer Computadores),
usando o nome informado pelo computador.
Para o objeto computador ser criado automaticamente desta maneira, esperase que a conta de usurio especificada na conexo com o controlador de
domnio tenha privilgios de criao de objetos no continer Computadores,
como se for membro do grupo Administradores. Porem, nem sempre esse o
caso.
Usurios do domnio tambm podem criar computadores atravs de um
processo indireto interessante. O objeto padro de Poltica de Grupo (GPO)
Controladores de Domnio atribui um direito de usurio chamado Adicionar
Estaes de Trabalho ao domnio (exibido na figura abaixo) identidade
especial Usurios Autenticados. Isso significa que qualquer usurio autenticado
com sucesso junto ao Active Directory tem a permisso de adicionar 10
computadores ao domnio e criar 10 objetos computadores associados, mesmo
se o usurio no possuir permisses explicitas de criao de objetos.
Direitos de usurios so configuraes de Politicas de Grupo que do aos usurios a
habilidade de realizar algumas tarefas relacionadas ao sistema. Por exemplo, fazer
login localmente em um controlador de domnio requer que o usurio possua o direito
Fazer Logon Localmente atribudo sua conta ou ser membro dos grupos Operadores
de Conta, Administradores, Operadores de Backup, Operadores de Impresso ou
Operadores de Servidor no controlador de domnio. Outras configuraes similares
nesta coleo so relacionadas aos direitos de usurio associados com o
desligamento do sistema, tornar-se proprietrio de arquivos ou objetos e sincronizar
dados de servio de diretrio.

275

Fazer parte de um domnio estando off-line


tpico para administradores adicionar computadores domnios enquanto os
computadores esto conectados na rede e tm acesso ao controlador de
domnio. Entretanto, existem situaes nas quais administradores podem
querer configurar computadores sem acesso um controlador de domnio,
como em uma nova instalao em uma filial. Nesses casos, possvel realizar
o processo de adicionar um computador em um domnio estando off-line
atravs do programa de linha de comando Djoin.exe.
O procedimento de adicionar um computador off-line em um domnio requer
que voc rode o programa Djoin.exe duas vezes, primeiro em um computador
com acesso ao controlador de domnio e ento no computador a ser
adicionado. Quando conectado ao controlador de domnio, o programa rene
metadados da conta de computador para o sistema a ser adicionado e salva
em um arquivo. A sintaxe para esta fase do processo como segue:
djoin /provision /domain <nome dominio>
/machine <nome computador> /savefile <nomearquivo.txt>
Voc ento transporta o arquivo de metadados ao computador a ser adicionado
e executa o Djoin.exe novamente, especificando o nome do arquivo. O
programa salva os metadados do arquivo no computador, para que na prxima
vez que tiver acesso um controlador de domnio, o sistema
automaticamente adicionado no domnio. A sintaxe para a segunda fase do
processo como segue:

276

djoin /requestODJ /loadfile <nomearquivo.txt>


/windowspath %SystemRoot% /localos

Gerenciando Contas Desabilitadas


Desabilitar uma conta previne que qualquer pessoa possa us-la para logar no
domnio at que um administrador com as permisses apropriadas ative-a
novamente. Voc pode desabilitar contas de usurio manualmente, para
prevenir seu uso enquanto preserva todos os seus atributos, mas tambm pe
possvel para um controlador de domnio desabilit-las automaticamente. Por
exemplo, violaes repetitivas da politica de configurao de senha pode
desabilitar uma conta para prevenir intrusos de fazer tentativas de ataques
posteriores.
Para habilitar ou desabilitar uma conta de usurio ou computador no console
Usurios e Computadores do Active Directory ou na Central Administrativa do
Active Directory, apenas clique com o boto direito do mouse no objeto e
selecione Habilitar ou Desabilitar. Voc tambm pode habilitar ou desabilitar
vrias contas selecionando vrios objetos e realizando a mesma ao.
Para habilitar ou desabilitar uma conta de usurio ou computador atravs do
Windows PowerShell, use a seguinte sintaxe:
Disable-ADAccount Identity <account name>
Enable-ADAccount Identity <account name>

5.3 Criar e Gerenciar Grupos e Unidades Organizacionais (OU) do Active


Directory

OUs podem ser aninhadas para criar um design que permite que
administradores se aproveitem da estrutura de herana da hierarquia do Active
Directory. Voc deve limitar o nmero de OUs que estejam aninhadas, pois
muitos nveis podem atrasar o tempo de resposta por registros de recursos e
complicar a aplicao de configuraes de Polticas de Grupo.
Quando voc instala os Servios de Domnio do Active Directory, existe apenas
uma OU no domnio, por padro a OU Controladores de Domnio. Todas as
outras OUs devem ser criadas por um administrador do AD.

277

As OUs no so consideradas entidades de segurana; isso significa que voc


no pode atribuir permisses de acesso para um recurso baseado se o objeto
faz ou no parte de uma OU. Esta a diferena entre OUs e grupos locais,
universais e de domnio locais. Grupos so usados para atribuir permisses de
acesso, e OUs so usadas para delegar permisses e Polticas de Grupo.

Existe outro tipo de objeto container (continer) encontrado em um domnio,


que na verdade chamado de container mesmo. Por exemplo, um domnio
recm criado possui vrios objetos container dentro dele, incluindo um
chamado Usurios (Users), que contm os usurios e grupos pr-definidos do
domnio, e outro chamado Computadores, que contm os objetos computador
de todos os sistemas que fazem parte do domnio exceto controladores de
domnio.
Ao contrrio do que acontece com OUs, voc na pode atribuir configuraes de
Polticas de Grupo para objetos container. Voc tambm no pode criar novos
objetos container atravs das ferramentas padro de administrao do Active
Directory, como o console Usurios e Computadores do Active Directory. Voc
pode criar containers atravs de scripts, mas no existe razo para isso. As
OUs so o mtodo prefervel para subdividir um domnio.

Criar OUs
As OUs so o tipo mais simples de objeto para criar na hierarquia do AD DS.
Voc s tem que informar um nome para o objeto e definir o seu local na rvore
do Active Directory.
Para criar uma OU usando a Central Administrativa do Active Directory, use o
seguinte procedimento:
1. No Gerenciador do Servidor, no menu Ferramentas, selecione Central
Administrativa do Active Directory para abrir o console da Central
Administrativa do Active Directory.
2. No painel da esquerda, clique com o boto direito do mouse no objeto
sob o qual voc deseja criar a nova OU e selecione a opo Nova
Unidade Organizacional.
3. No campo Nome, digite um nome para a OU e adicione qualquer
informao adicional que desejar.
4. Clique em OK. A OU aparecer no objeto que voc selecionou.
5. Feche o console da Central Administrativa do Active Directory.

278

Criar uma OU no console Usurios e Computadores do Active Directory


basicamente a mesma coisa, embora a caixa de dilogo Novo Objeto
Unidade Organizacional parece diferente. Uma vez criada a OU, voc pode dar
um duplo clique nela para entrar em suas propriedades, onde voc pode
modificar seus atributos, ou clicar com o boto direito do mouse e selecionar
Mover para ver a caixa de dilogo Mover, conforme mostrado na figura abaixo.

279

Usando OUs para atribuir configuraes de Poltica de Grupo.


Uma das razoes principais para se criar uma OU, atribuir diferentes
configuraes de Polticas de Grupo a uma coleo particular de objetos.
Quando voc atribui configuraes de Poltica de Grupo em uma OU, cada
objeto dentro dela recebe essas configuraes, incluindo outras OUs. Isto
permite que administradores implantem configuraes para apenas uma parte
do domnio, ao invs de todo o domnio.

Usando OUs para delegar tarefas de gerenciamento do Active Directory


Criar OUs te permitem implementar um modelo de administrao
descentralizado, no qual outros gerenciam pores da hierarquia do AD DS,
sem afetar o resto da estrutura.
Delegar autoridade no nvel de site afeta todos os domnios e usurios dentro
do site. Delegar autoridade no nvel de domnio afeta todo o domnio. Porm,
delegar autoridade no nvel de OU afeta somente aquela OU e seus objetos
subordinados. Cedendo autoridade administrativa sobre uma estrutura de OU,
ao contrrio de um domnio ou site, voc ganha as seguintes vantagens:

Nmero mnimo de administradores com privilgios globais. Criando


uma hierarquia de nveis administrativos, voc limita o nmero de
pessoas que necessitem de acesso global.
Escopo limitado de erros. Erros administrativos como apagar um
container ou um grupo afeta apenas a respectiva estrutura de OU.

O Assistente de Delegao de Controle prove uma interface simples que voc


pode usar para delegar permisses para domnios, OUs e containers. O AD DS
tem o seu prprio sistema de permisses, parecidos com as permisses de
impressoras e NTFS. O Assistente de Delegao de Controle essencialmente
uma interface que cria combinaes complexas de permisses baseadas em
tarefas administrativas especficas.
A interface do Assistente te permite especificar os usurios e grupos que voc
quer delegar permisses e as tarefas especficas que voc deseja que eles
possam realizar. Voc pode delegar tarefas predefinidas ou criar tarefas
customizadas que te permitem ser mais especfico.
Para delegar controle administrativo sobre uma OU, use o seguinte
procedimento.
1. No Gerenciador de Servidor, abra o console Usurios e Computadores
do Active Directory, clique com o boto direito sobre o objeto que deseja

280

delegar controle e selecione a opo Delegar Controlar. O assistente de


Delegao de Controle iniciado, exibindo a tela de Boas Vindas.
2. Clique em Prximo para mover para a pgina Usurios ou Grupos.
3. Clique em Adicionar para abrir a caixa de dilogo Selecionar usurios,
computadores ou grupos.
4. Digite o nome do usurio ou grupo que voc quer delegar o controle e
clique em OK. O usurio ou grupo aparece na lista Usurios e Grupos
Selecionados.
5. Clique em Prximo. A pgina Tarefas a Delegar exibida, com as
seguintes opes:
Delegar as seguintes Tarefas Comuns. Te permite escolher a
partir de uma lista com tarefas pr-definidas.
Criar uma Tarefa Customizada para Delegar. Te permite ser mais
especfico sobre a delegao de tarefa.
6. Selecione Criar uma Tarefa Customizada para Delegar e clique em
Prximo. A pgina Tipo de objeto do Active Directory exibida,
mostrando as seguintes opes:
Essa Pasta, objetos existentes nesta Pasta, e criao de novos
objetos nesta pasta. Delega controle do container, incluindo todos
os seus objetos atuais e futuros.
Apenas os seguintes objetos na Pasta. Te permite selecionar
objetos especficos para serem controlados. Voc pode
selecionar Criar Objetos Selecionados nesta Pasta para permitir
que os tipos de objetos selecionados sejam criados, ou selecione
Deletar os Objetos Selecionados nesta Pasta para permitir que os
objetos selecionados sejam excludos.
7. Selecione esta Pasta, Objetos Existentes nesta Pasta, e Criao de
Novos Objetos nesta Pasta e clique em Prximo. A pgina de
permisses ser mostrada.
8. Configure as permisses delegadas de acordo com as suas
necessidades para o usurio ou grupo que voc est delegando
controle. Voc pode combinar permisses entre as trs opes a seguir:
Geral. Mostra permisses gerais, que so iguais as exibidas na
aba Segurana nas propriedades de um objeto.
Especfica de Propriedades. Mostra permisses que se aplicam a
atributos especficos de um objeto.
Criar/Apagar objetos filhos especficos. Mostra permisses que se
aplicam a criao e eliminao de permisses para tipos
especficos de objetos.
9. Clique em Prximo para abrir a pgina Completando o Assistente de
Delegao de Controle.
10. Clique em Finalizar.
11. Feche o console Usurios e Computadores do Active Directory.

281

Neste procedimento, voc concedeu permisses sobre uma poro do Active


Directory para um administrador especfico ou grupo de administradores.
Embora voc possa usar o Assistente de Delegao de Controle para conceder
permisses, voc no pode us-lo para modificar ou remover permisses. Para
realizar essas tarefas voc deve usar a interface fornecida na aba Segurana
da janela de propriedades do objeto.
Por padro, a aba Segurana no aparece na janela de
propriedades de uma OU no console Usurios e Computadores
do Active Directory. Para exibir a aba, voc deve selecionar o
item Opes Avanadas no menu Exibir do console.

Trabalhando com Grupos


Desde os primeiros dias do sistema operacionais para servidores da Microsoft,
administradores tem usado grupos para gerenciar permisses de rede. Grupos
permitem que administradores atribuam permisses para vrios usurios
simultaneamente. Um grupo pode ser definido como uma coleo de contas de
usurios e computadores que funciona como uma entidade de segurana, da
mesma forma que um usurio.
No Windows Server 2012 R2, quando um usurio loga no Active Directory, um
toquem de acesso criado que identifica o usurio e a quais grupos ele
pertence. Controladores de domnio usam esse token de acesso para verificar
as permisses de usurio quando o usurio tenta acessar um recurso local ou
de rede. Atravs do uso de grupos, administradores podem conceder o mesmo
nvel de permisses para vrios usurios acessarem recursos na rede, se por
exemplo, voc tem 25 usurios no departamento de marketing que precisam de
acesso uma impressora colorida, voc pode atribuir as permisses
adequadas para a impressora para cada usurio individualmente ou voc pode
criar um grupo contendo os 25 usurios e atribuir as permisses adequadas
para o grupo. Usando um grupo para acessar um recurso, voc alcana o
seguinte resultado:

Quando usurios precisam de acesso impressora, voc apenas


adiciona-os ao grupo. Uma vez adicionados, os usurios recebem todas
as permisses atribudas ao grupo. Da mesma forma, voc pode
remover usurios do grupo quando voc quer retirar o seu acesso
impressora.
Os administradores s precisam fazer uma mudana para modificar o
nvel de acesso para a impressora para todos os usurios. Mudar as
permisses do grupo muda as permisses de todos os membros do

282

grupo. Sem o grupo, voc teria que modificar todas as 25 contas


individualmente.
Os tokens de acesso de usurio s so gerados quando eles
logam pela primeira vez na rede a partir de suas estaes de
trabalho. Se voc adicionar usurios em um grupo, eles
precisaro fazer logoff e depois logar novamente para que a
mudana tenha efeito.

Usurios podem ser membros de mais de um grupo. Alm disso, grupos


podem conter outros objetos do Active Directory, como computadores e outros
grupos em um tcnica chamada aninhamento de grupos. O aninhamento de
grupo descreve o processo de configurar um ou mais grupos como membros
de outros grupos. Por exemplo, considere uma organizao que possui dois
grupos: marketing e produo. Os membros do grupo marketing tm acesso
um impressora laser colorida de alta resoluo. Se os membros do grupo
produo tambm precisarem de acesso impressora, voc pode s adicionar
o grupo produo como membro do grupo marketing. Isso d aos usurios do
grupo produo o mesmo acesso impressora laser colorida que os membros
do grupo marketing possuem.

Tipos de Grupos
Existem duas classificaes de grupos no Windows Server 2012 R2: tipo de
grupo e escopo de grupo. O tipo de grupo define como um grupo usado
dentro do Active Directory.
Os dois tipos de grupos do Windows Server 2012 R2 so como segue:

Grupos de distribuio. Grupos no relacionados segurana criado


para distribuio de informaes de uma para vrias pessoas. Pode ser
usado para email por exemplo.
Grupos de segurana. Grupos relacionados segurana criados para
conceder permisses de acesso recursos para mltiplos usurios.

Aplicaes que entendem o Active Directory podem usar grupos de distribuio


para funes no relacionadas segurana. Por exemplo, o Microsoft
Exchange usa grupos de distribuio para enviar mensagens para mltiplos
usurios. Apenas aplicaes que foram feitas para trabalhar com o Active
Directory podem trabalhar com grupos de distribuio desta maneira.

283

Grupos que voc usa para conceder permisses para recursos so chamados
de grupos de segurana. Administradores tornam usurios que precisam de
acesso ao mesmo recurso membros de um grupo de segurana. Eles podem
conceder as permisses para acessar o recurso para o grupo de segurana.
Aps criar o grupo, voc pode convert-lo de um grupo de segurana para um
grupo de distribuio ou vice versa, a qualquer tempo.

Escopos de grupos
Alm dos tipos de grupos de segurana e de distribuio, vrios escopos de
grupos esto disponveis no Active Directory. O escopo de grupo controla quais
objetos o grupo pode conter, limitando os objetos ao mesmo domnio ou
permitindo objetos de domnios remotos, e tambm controla o local no domnio
ou floresta em que o grupo pode ser aninhado. Os escopos de grupo
disponveis em um domnio do Active Directory incluem grupos de domnio
local, grupos globais e grupos universais.

Grupos de Domnio Local


Os grupos de domnio local pode ter os seguintes tipos de membros:

Contas de usurio
Contas de computador
Grupos globais de qualquer domnio na floresta
Grupos universais
Grupos de domnio local do mesmo domnio

Voc usa os grupos de domnio local para atribuir permisses em recursos no


mesmo domnio que o grupo de domnio local. Grupos de domnio local podem
tornar a atribuio de permisses e manutenes mais fceis de gerenciar.

Grupos Globais
Os grupos globais podem ter os seguintes tipos de membros:

Contas de usurio
Contas de computador
Outros grupos globais do mesmo domnio

Voc pode usar grupos globais para conceder ou negar permisses para
qualquer recurso localizado em qualquer domnio da floresta. Voc realiza isso
adicionando o grupo global como membro de um grupo de domnio local que

284

possui as permisses desejadas. A lista de membros de grupos globais


replicada apenas para controladores de domnio dentro do mesmo domnio.
Usurios com necessidades usuais por recursos deveriam ser membros de um
grupo global para facilitar a atribuio de permisses aos recursos. Voc pode
mudar os membros de um grupo global conforme necessrio para acomodar as
permisses necessrias aos recursos.

Grupos Universais
Os grupos universais podem ter os seguintes tipos de membros:

Contas de usurio
Contas de computador
Grupos globais de quaisquer domnios da floresta
Outros grupos universais

Grupos universais, assim como grupos globais, podem organizar usurios de


acordo com suas necessidades de acesso aos recursos. Voc pode us-los
para conceder acesso aos recursos localizados em qualquer domnio na
floresta atravs do uso de grupos de domnio local.
Voc tambm pode usar grupos universais para consolidar grupos e contas
que atravessam mltiplos domnios ou at a floresta toda. Um ponto chave na
aplicao e utilizao de grupos universais que a lista de membros dos
grupos universais no deve mudar com frequncia, pois os grupos universais
so armazenados nos servidores de catlogo global. Mudanas nos membros
de um grupo universal so replicadas para todos os servidores de catlogo
global por toda a floresta. Se essas mudanas acontecem com frequncia, o
processo de replicao pode consumir largura de banda significativa,
especialmente em links WAN lentos ou caros.

Aninhar Grupos
Como discutido anteriormente, aninhamento de grupo o termo utilizado
quando grupos so adicionados como membros de outros grupos. Por
exemplo, quando torna um grupo global um membro de um grupo universal,
dito que ele est aninhado dentro do grupo universal.
Aninhamento de grupos reduz o nmero de vezes, que voc precisa atribuir
permisses para usurios em diferentes domnios em uma floresta multidomnios. Por exemplo, se voc possui vrios domnios filhos em sua
hierarquia do AD DS, e os usurios em cada domnio precisam de acesso

285

uma aplicao de banco de dados organizacional localizada em um domnio


pai, a maneira mais simples de configurar o acesso essa aplicao seria:
1. Criar grupos globais em cada domnio que contenham todos os usurios
que precisam de acesso ao banco de dados da empresa.
2. Criar um grupo universal no domnio pai. Incluir cada grupo global de
cada localizao como membro.
3. Adicionar o grupo universal ao grupo de domnio local necessrio para
atribuir as permisses necessrias para acessar e usar o banco de
dados da organizao.
Esta abordagem tradicional de aninhamento de grupos no AD DS
normalmente referida usando o mnemnico AGUDLP: voc adiciona contas
(Accounts), em grupos Globais, adiciona esse grupos globais em grupos
Universais, adiciona grupos universais em grupos de Domnio Local, e
finalmente atribui Permisses aos grupos de domnio local.
Administradores podem usar o mesmo mtodo para criar seus prprios grupos
de domnio local, aos quais podem delegar tarefas administrativas e direitos de
usurio para OUs especficas. Ento, aps criar grupos globais (ou grupos
universais para atribuies atravs da floresta) e adicion-los aos grupos de
domnio local, a estrutura est completa.

Criar Grupos
O procedimento para criar grupos na Central Administrativa do Active Directory
ou no console Usurios e Computadores do Active Directory praticamente
idntico ao usado para criar OUs. Quando voc cria um grupo, voc deve
especificar um nome para o objeto grupo. O nome pode ter at 64 caracteres e
deve ser nico no domnio. Voc tambm deve escolher um tipo de grupo e um
escopo. A figura a seguir mostra a janela Criar Grupo na Central Administrativa
do Active Directory.

286

A caixa de dilogo Novo Objeto Grupo no console Usurios e Computadores


do Active Directory parece um pouco diferente, mas contm os mesmo
controles bsicos.
Embora os utilitrios grficos do AD DS sejam ferramentas convenientes para
criar e gerenciar grupos individualmente, eles no so o mtodo mais eficiente
para criar grandes nmeros de entidades de segurana. As ferramentas de
linha de comando includas no Windows Server 2012 R2 permitem criar e
gerenciar grupos em grandes nmeros usando arquivos em lote ou outros tipos
de scripts. Algumas dessas ferramentas so discutidas nas sees a seguir.

Criar Grupos a partir da Linha de Comando


Voc pode usar a ferramenta Dsadd.exe para criar novos objetos usurios, e
voc tambm pode usar o programa para criar novos objetos grupos. A sintaxe
bsica para criar grupos com o Dsadd.exe a seguinte:
Dsadd group <DNgrupo> [parmetros]
O parmetro DNgrupo um DN para o novo grupo que voc quer criar. Os DNs
usam o mesmo formato daqueles em arquivos CSV.
Por padro, o Dsadd.exe cria grupos de segurana globais, mas voc pode
usar parmetros de linha de comando para criar grupos de outros tipos e

287

escopos e para especificar membros que fazem parte do grupo e grupos dos
quais esse grupo membro alm de outras propriedades para o objeto grupo.
Os parmetros de linha de comando mais tipicamente usados so:

-secgrp yes|no. Especifica se o programa deve criar um grupos de


segurana (yes) ou um grupo de distribuio (no). O valor padro yes.
-scope l|g|u. Especifica se o programa deve criar um grupo de domnio
local (l, a letra L minscula), global (g) ou universal (u). o valor padro
g.
-samid <nomeSAM>. Especifica o nome SAM para o objeto grupo.
-desc. Especifica uma descrio para o objeto grupo.
-memberof <DNgrupo>. Especifica os DNs de um ou mais grupos dos
quais este novo grupo deve ser membro.
-member <DNgrupo>. Especifica os DNs de um ou mais objetos que
devem fazer parte deste grupo.

Por exemplo, para criar um novo grupo chamado Vendas no container Usurios
e tornar o usurio Administrador um membro, voc usaria o seguinte comando:
dsadd group "CN=Vendas,CN=Usuarios,DC=wise1,DC=com"
member "CN=Administrador,CN=Users,DC=wise1,DC=com
Para criar um novo objeto grupo atravs do PowerShell, voc usa o cmdlet
New-ADGroup, com a seguinte sintaxe:
New-ADGroup
Name <nome grupo>
-SamAccountName <nome SAM>
GroupCategory Distribution|Security
GroupScope DomainLocal|Global|Universal
Path <nome distinto>
Por exemplo, para criar um grupo de segurana global chamado Vendas na OU
Salvador, voc usaria o seguinte comando:
New-ADGroup Name Vendas SamAccountName Vendas
GroupCategory Security GroupScope Global
Path "OU=Salvador,DC=wise1,DC=Com

288

Gerenciar lista de membros de um grupo


Ao contrrio da Central Administrativa do Active Directory, que permite
especificar os membros de um grupo na sua criao, no console Usurios e
Computadores do Active Directory, voc deve criar o objeto primeiro para
depois adicionar membros nele.
Para adicionar membros em um grupo, selecione-o no console e no menu Ao
selecione Propriedades, depois v para a aba Membros.
Na aba Membros, voc pode adicionar objetos na lista de membros do grupo, e
na aba Membro de, voc pode adicionar o grupo na lista de membros de outros
grupos. Aps informar ou procurar pelos objetos desejados clique em OK para
fechar a janela de Propriedades.

Gerenciar a Lista de Membros usando Polticas de Grupo


Tambm possvel controlar a lista de membros de grupos atravs de polticas
de grupos. Quando voc cria politicas de grupos restritos, voc pode
especificar a lista de membros para um grupo e fazer com que fique desta
maneira, para que mudanas sejam revertidas durante a prxima atualizao
de politica.
Para criar politicas de grupos restritos, siga o procedimento abaixo:
1. No Gerenciador do Servidor, abra o Console de Gerenciamento de
Polticas de Grupo, crie uma nova GPO e faa um link com o seu
domnio.
2. Abra a GPO no Editor de Gerenciamento de Poltica de Grupo e
navegue at a pasta Configuraes do Computador/Configuraes do
Windows/Configuraes de Segurana/Grupos Restritos, como mostra a
figura a seguir.

289

3. Clique com o boto direito na pasta Grupos Restritos e selecione a


opo Adicionar Grupo para abrir a caixa de dilogo Adicionar Grupo.
4. Digite o nome ou pesquise por um grupo para adicion-lo e clique em
OK. O grupo aparece na pasta Grupos Restritos e uma aba de
propriedades para o grupo exibida, como vemos na figura abaixo.

5. Clique em um ou em ambos os botes Adicionar para adicionar objetos


que devem ser membros do grupo ou outros grupos dos quais esse
grupo deve ser um membro.

290

6. Clique em OK.
7. Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de
Gerenciamento de Polticas de Grupo.
Os membros que voc especificar parra um grupo em uma poltica de Grupos
Restritos sero os nicos membros permitidos a continuar neste grupo. A
poltica no impede administradores de modificar a lista de grupos usando
outras ferramentas, mas na prxima vez em que o sistema atualizar suas
configuraes de polticas de grupo, a lista de membros do grupo ser
sobrescrita pela poltica.

Gerenciando Grupos usando o Dsmod.exe


O Dsmod.exe permite modificar as propriedades de objetos grupos existentes a
partir do prompt de comando do Windows Server 2012 R2. Usando esse
programa, voc pode realizar tarefas como adicionar membros em um grupo,
remov-los de um grupo, e alterar o tipo e escopo de um grupo. A sintaxe
bsica do Dsmod.exe a seguinte:
Dsmod group <DNgrupo> [parmetros]
Os parmetros de linha de comando mais comuns so:

-secgrp yes|no. Configura o tipo do grupo como grupo de segurana


(yes) ou grupo de distribuio (no).
-scope l|g|u. Configura o escopo do grupo como domnio local(l, o L
minsculo), global (g) ou universal (u).
-addmbr <membros>. Adiciona membros ao grupo. Substitui membros
com os DNs de um ou mais objetos.
-rmmbr <membros>. Remove membros do grupo. Substitui membros
com os DNs de um ou mais objetos.
Chmbr <membros>. Substitui a lista completa de membros do grupo.
Substitui membros com os DNs de um ou mais objetos.

Por exemplo, para adicionar o usurio Administrador ao grupo Convidado, voc


usaria o seguinte comando:
dsmod group "CN=Convidado,CN=Builtin,DC=wise1,DC=com"
addmbr "CN=Administrador,CN=Usuarios,DC=wise1,DC=com"

291

Convertendo grupos
Como as funes de grupos mudam, voc pode precisar mudar o tipo de um
objeto grupo. Para mudar o tipo de um grupo, abra a janela de propriedades de
um grupo na Central de Administrao do Active Directory ou no console
Usurios e Computadores do Active Directory. Na aba Geral, voc pode
modificar a opo tipo de grupo e clique em OK.
O processo de mudar o escopo de um grupo o mesmo, exceto que voc
seleciona uma das opes de escopo na aba Geral. Os utilitrios do AD DS
somente permitem fazer mudanas de escopo que so permitidas.
A tabela abaixo mostra as mudanas de escopo que so permitidas.
Para Domnio
Local

Para Global

Para Universal

De Domnio
Local

No se aplica

No permitido

Permitido apenas
quando o grupo de
domnio local no
possui outros
grupos de domnio
local como
membros

De Global

No permitido

No se aplica

Permitido apenas
quando o grupo
global no
membro de outro
grupo global

De Universal

Sem restries

Permitido apenas
quando o grupo
universal no
possui outros
grupos universais
como membros

No se aplica

292

Apagar um Grupo
Assim como com objetos usurios, cada objeto grupo que voc cria no AD DS
tem um SID nico que no pode ser reutilizado. O Windows Server 2012 R2
usa o SID para identificar o grupo e as permisses atribudas ele.
Quando voc deleta um grupo, o Windows Server 2012 R2 no usa o SID
daquele grupo novamente, mesmo se voc criar um grupo com o mesmo
nome. Logo, voc no pode restaurar as permisses de acesso que atribuiu
recursos recriando o grupo deletado. Voc deve adicionar o grupo recm criado
como uma entidade de segurana na lista de controle de acesso (ACL) do
recurso novamente.
Quando voc apaga um grupo, voc apaga apenas o grupo e as permisses e
direitos especificando esse grupo como uma entidade de segurana. Apagar
um grupo no deleta os objetos que so membros dele.

293

6 Criar e Gerenciar Polticas de Grupo


Polticas de Grupo um mecanismo para controlar e implantar configuraes
de sistema operacional para computadores por toda a sua rede. Poltica de
Grupo consiste de configuraes de usurio e computador para os vrios
sistemas operacionais Microsoft, as quais o sistema implementa durante a
inicializao e desligamento do computador e durante o login e logoff do
usurio. Voc pode configurar um ou mais objetos de polticas de grupo (GPO)
e ento usar um processo chamado ligao (linking) para associ-las com
objetos especficos dos Servios de Diretrio do Active Directory. Quando voc
liga uma GPO um objeto container, todos os objetos naquele container
recebem as configuraes que voc definiu na GPO. Voc pode ligar vrias
GPOs em um nico container do AD DS ou ligar uma GPO em vrios
containers por toda a hierarquia do AD DS.
Este capitulo cobre algumas das tarefas fundamentais que administradores
realizam para criar e implementar configuraes de Polticas de Grupo.

6.1 Criar Objetos de Polticas de Grupo


Embora o nome Poltica de Grupo implique que polticas so linkadas
diretamente grupos, este no o caso. GPOs podem ser linkadas em sites,
domnios, e unidades organizacionais (OUs) para aplicar configuraes para
todos os usurios e computadores dentro de containers do AD DS. Entretanto,
uma tcnica avanada chamada Filtro de Segurana te permite aplicar
configuraes a um ou mais usurios ou grupos dentro de um container
concedendo seletivamente as permisses Aplicar Poltica de Grupo e de
Leitura para um ou mais usurios ou grupos de segurana.
Os benefcios administrativos das GPOs so provavelmente a maior
contribuio para a eficincia de rede. Administradores acham que a
implementao de Polticas de Grupo ajudam-nos a alcanar um
gerenciamento centralizado. A lista a seguir identifica os benefcios
administrativos da implementao de Polticas de Grupo:

Administradores tem controle sobre configuraes centralizadas de


usurios, instalaes de aplicaes e configuraes de estaes de
trabalho.
Administrao centralizada de arquivos de usurios elimina a
necessidade e o custo de tentar recuperar arquivos de um drive
defeituoso.
A necessidade de realizar mudanas de segurana em cada computador
reduzida atravs das rpidas implementaes automatizadas das
novas configuraes por meio das Polticas de Grupo.

294

Entendendo os Objetos de Polticas de Grupos


As GPOs contm todas as configuraes de Polticas de Grupos que
administradores desejam implantar em objetos computador ou usurio dentro
de um domnio, site ou OU. Para implementar uma GPO, um administrador
deve associ-la com um container. Essa associao alcanada ligando a
GPO ao objeto domnio do AD DS, site ou OU desejado. As tarefas
administrativas relacionadas as Polticas de Grupos incluem criar GPOs,
especificando onde armazen-las e gerenciar os links do AD DS.
Existem trs tipos de GPOs: GPOs locais, GPOs no-locais e GPOs de incio.

GPOs Locais (LGPOs)


Todos os sistemas operacionais Windows tm suporte para GPOs locais,
tambm conhecidas como LGPOs. As verses do Windows desde o Windows
Server 2008 R2 e o Windows Vista podem suportar mltiplas GPOs locais. Este
suporte permitem que administradores especifiquem uma GPO local diferente
para os administradores e criar configuraes de GPO especficas para um ou
mais usurios locais configurados em uma estao de trabalho. Esta habilidade
particularmente til para computadores em ambientes pblicos como
bibliotecas e quiosques , quando no fazem parte de uma estrutura do Active
Directory. Verses mais antigas do Windows podem suportar apenas uma GPO
local e as configuraes nesta GPO se aplicam todos os usurios que fazem
logon neste computador.
As GPOs locais contm menos opes do que as GPOs de domnio. Elas no
suportam redirecionamento de pastas ou instalao de software por Polticas
de Grupos. Menos opes de segurana esto disponveis. Quando uma GPO
local e uma GPO no-local (baseada no AD) contm configuraes
conflitantes, as configuraes da GPO do AD sobrescrevem as configuraes
da GPO local.

GPOs no-locais
As GPOs no-locais so criadas no AD DS e so linkadas em sites, domnios
ou OUs. Uma vez llinkada em um container, as configuraes da GPO so
aplicadas a todos os usurios e computadores dentro daquele container por
padro.

295

GPOs de incio
As GPOs de incio foram introduzidas no Windows Server 2008. Um GPO de
incio essencialmente um modelo (template) para a criao de GPOs de
domnio baseadas em uma coleo padro de configuraes. Quando voc
cria uma nova GPO a partir de uma GPO de incio, todas as configuraes na
GPO de incio so copiadas para a nova GPO como suas configuraes
padro.

Configurando uma Loja Central


No Windows Server 2008 e no Windows Vista, a Microsoft substituiu os
arquivos de modelos administrativos baseados em token (ADM) usados nas
verses anteriores das Polticas de Grupos por um formato de arquivo baseado
no XML (ADMX). Modelos Administrativos so os arquivos que definem as
configuraes baseadas em registros que aparecem nas GPOs.
As verses anteriores do Windows criavam uma cpia dos arquivos ADM para
cada GPO que os administradores criavam e colocavam-nas no volume
SYSVOL de um controlador de domnio. Uma instalao grande do Active
Directory poderia facilmente ter dezenas de GPOs e cada cpia dos arquivos
ADM necessitava de 4MB. O resultado era uma situao chamada de SYSVOL
bloat, na qual haviam centenas de MB de informaes redundantes
armazenadas em volumes SYSVOL, os quais tinham que ser replicados entre
todos os controladores de domnio.
Para resolver esse problema, as ferramentas de Polticas de Grupos agora
podem acessar os arquivos ADMX a partir de uma Loja Central, uma cpia
nica dos arquivos ADMX armazenada em controladores de domnio. Para
usar uma Loja Central (Central Store), voc deve cria a pasta apropriada no
volume SYSVOL de um controlador de domnio.
Por padro, ferramentas como o Console de Gerenciamento de Polticas de
Grupos (GPMC) salvam os arquivos ADMX na pasta
\%systemroot%\PolicyDefinitions, o que na maioria dos computadores a
pasta C:\Windows\PolicyDefinitions. Para criar uma Loja Central, voc deve
copiar toda a pasta PolicyDefinitions para o mesmo local dos modelos das
Polticas de Grupos; que , %systemroot%\SYSVOL\sysvol\<nomedodominio>
\Policies, em um controlador de domnio, ou, na notao UNC,
\\<nomedodominio>\SYSVOL\<nomedodominio>\Policies.

296

Usando o Console de Gerenciamento de Polticas de Grupos


O Console de Gerenciamento de Polticas de Grupos o snap-in do MMC
(Microsoft Management Console) que administradores usam para criar GPOs
e gerenciar sua aplicao em objetos do AD DS. O Editor de Gerenciamento de
Polticas de Grupos um snap-in separado que abre GPOs e permite editar as
suas configuraes.
Existem diversas maneiras de trabalhar com essas duas ferramentas,
dependendo do que quiser fazer. Voc pode criar uma GPO e ento lig-la a
um domnio, site ou OU, ou voc pode criar e vincular a GPO em um nico
passo. O Windows Server 2012 R2 implementa as ferramentas como o recurso
de Gerenciamento de Polticas de Grupos e as instala automaticamente com a
funo do AD DS. Voc pode instalar o recurso manualmente em um servidor
membro atravs do Assistente Adicionar Funo ou Recurso no Gerenciador
do Servidor. As ferramentas de Gerenciamento de Polticas de Grupos tambm
esto includas no pacote RSAT (Ferramentas de Administrao de Servidor
Remoto) para estaes de trabalho Windows.

Criar e vincular GPOs no-locais


Se voc decidir deixar as GPOs padro do Windows inalteradas, o primeiro
passo na implantao das suas prprias configuraes customizadas de
Polticas de Grupo criar uma ou mais GPOs novas e lig-las aos objetos do
AD DS apropriados.
Para usar o Console de Gerenciamento de Polticas de Grupos para criar uma
nova GPO e lig-la em um objeto OU no AD DS, siga o procedimento abaixo.
1. Abra a Central Administrativa do Active Directory e crie uma OU
chamada Vendas no seu domnio.
2. No Gerenciador do Servidor, no menu Ferramentas, selecione
Gerenciamento de Polticas de Grupos. O Console de Gerenciamento de
Polticas de Grupos exibido, como mostra a figura abaixo.

297

3. Expanda o container da floresta e navegue at seu domnio. Ento


expanda o container do domnio e selecione o objeto Objetos de
Polticas de Grupos. As GPOs existentes atualmente no domnio
aparecem na aba Contedo do lado direito da tela.
4. Clique com o boto direito do mouse na pasta Objetos de Polticas de
Grupos e selecione a opo Novo. A caixa de dilogo Nova GPO
aparecer.
5. Na caixa de texto Nome digite um nome para a nova GPO e clique em
OK. A nova GPO aparecer na aba Contedo.
6. No painel da esquerda, clique com o boto direito do mouse no objeto
domnio, site ou OU no qual voc deseja vincular a GPO e selecione a
opo Vincular com GPO Existente. A caixa de dilogo Selecionar GPO
ser exibida.
7. Selecione a GPO que deseja vincular ao objeto e clique em OK. A GPO
aparece na aba Objetos de Poltica de Grupo Ligados do objeto, como
mostra a figura a seguir.

298

8. Feche o Console de Gerenciamento de Polticas de Grupo.


Voc tambm pode criar e vincular uma GPO em um container do Active
Directory em um nico passo, clicando com o boto direito do mouse em um
objeto e selecionando a opo Criar uma GPO neste domnio e liga-la aqui.
Se voc vincular uma GPO em um objeto domnio, ser aplicada a todos os
usurios e computadores no domnio. Em uma escala maior, se voc ligar uma
GPO em um site que possui vrios domnios, as configuraes sero aplicadas
a todos os domnios e seus objetos filhos. Esse processo chamado de
herana de GPO.

Usando o Filtro de Segurana


Ligar uma GPO em um container faz com que todos os usurios e
computadores naquele container recebem as configuraes da GPO por
padro. Isso assim pelo fato de criar o link conceder as permisses Ler e
Aplicar Poltica de Grupo para a GPO para os usurios e computadores no
container.
Mais especificamente, o sistema concede as permisses identidade especial
Usurios Autenticados, que inclui todos os usurios e computadores do
domnio. Entretanto, por meio do uso de uma tcnica chamada Filtro de
Segurana, voc pode modificar as atribuies de permisses padro para que
somente certos usurios e computadores recebam as permisses, e
consequentemente as configuraes na GPO.
Para modificar o filtro de segurana padro de uma GPO, selecione-a no painel
esquerdo do Console de Gerenciamento de Poltica de Grupo, como mostra a
figura abaixo. Na rea referente a Filtro de Segurana, voc pode usar os
botes Adicionar ou Remover para substituir o item Usurios Autenticados por

299

qualquer usurio, computador ou grupo que deseje. Dos usurios e


computadores no container ao qual a GPO estiver vinculada, apenas aquele
que voc selecionou no painel Filtro de Segurana iro receber as
configuraes da GPO.

Gerenciar GPOs de Incio


As GPOs de incio so basicamente modelos que voc pode usar para criar
mltiplas GPOs com o mesmo conjunto de configuraes de linha de base
(baseline) de Modelos Administrativos. Voc pode criar e editar GPOs de Incio
assim como faria com qualquer outra GPO. No Console de Gerenciamento de
Poltica de Grupo, voc clique com o boto direito na pasta GPOs de Incio e
seleciona a opo Novo para criar uma nova GPO de Incio em branco. Voc
ento pode abrir a GPO de Incio no Editor de Gerenciamento de Poltica de
Grupo e configurar quaisquer configuraes que voc quer passar para as
GPOs que forem criadas a partir dela.
Quando voc v o n GPOs de Incio no Console de Gerenciamento de
Poltica de Grupo pela primeira vez, uma mensagem aparece, te pedindo
para criar a pasta GPOs de Incio clicando em um boto.

Uma vez criadas e editadas suas GPOs de Incio, voc podem criar novas
GPOs a partir delas de muitas maneiras. Voc pode clicar com o boto direito e
selecionar a opo Criar nova GPO a partir de GPO de Incio, ou voc pode
criar uma nova GPO da maneira usual e depois selecionar a GPO de Incio que
deseja usar na lista GPO de Incio de Base. Voc tambm pode usar o cmdlet
New-GPO no Windows PowerShell. Isso copia as configuraes da GPO de
Incio para a nova GPO, que voc pode continuar a editar deste ponto.

300

Configurar Configuraes de Polticas de Grupo


Configuraes de Polticas de Grupo permitem customizar a configurao da
rea de trabalho de um usurio, ambiente, e configuraes de segurana. As
configuraes so divididas em 2 subcategorias: Configuraes de
Computador e Configuraes de Usurio. As subcategorias so referenciadas
como Ns de Polticas de Grupos. Um n apenas uma estrutura pai que
hospeda todas as configuraes relacionadas. Neste caso, o n especfico
para configuraes de computador e configuraes de usurio.
Ns de Polticas de Grupos estabelecem uma forma de organizar as
configuraes de acordo com onde sero aplicadas. As configuraes que
voc define em uma GPO podem ser aplicadas a computadores clientes,
usurios, servidores membros ou controladores de domnio. A aplicao das
configuraes depende do container ao qual voc linka a GPO. Por padro,
todos os objetos dentro do container ao qual voc vincular a GPO sero
afetados pelas configuraes da GPO.
Os ns Configuraes de Computador e Configuraes de Usurio contm trs
sub-ns, ou extenses, que organizam ainda mais as configuraes de
Polticas de Grupos disponveis. Dentro dos ns Configuraes de Computador
e Configuraes de Usurio, existem os seguintes sub-ns:

Configuraes de Software. A pasta de Configuraes de Software


localizada dentro do n Configuraes de Computador contm
configuraes de Instalao de Software que se aplicam a todos os
usurios que fazem logon no domnio usando qualquer computador
afetado pela GPO. A pasta de Configuraes de Software localizada
dentro do n Configuraes de Usurio contm configuraes de
Instalao de Software que se aplicam a todos os usurios designados
pela Poltica de Grupo, independente do computador que usem para
fazer logon.
Configuraes do Windows. A pasta de Configuraes do Windows
localizada dentro do n Configuraes de Computador contm
configuraes de segurana e scripts que se aplicam a todos os
usurios que fazem logon no AD DS a partir de um computador
especfico. A pasta de Configuraes do Windows localizada dentro do
n Configuraes de Usurio contm configuraes relacionadas a
redirecionamento de pasta, configuraes de segurana e scripts que se
aplicam a usurios especficos.
Modelos Administrativos. O Windows Server 2012 R2 inclui milhares
de polticas de Modelos Administrativos, que contm todas as polticas
de configuraes baseadas no registro. Modelos Administrativos so

301

arquivos com a extenso .admx. Eles so usados para gerar a interface


de usurio para as configuraes de Polticas de Grupo que voc pode
definir atravs do Editor de Gerenciamento de Polticas de Grupo.
Para trabalhar com configuraes de Modelos Administrativos, voc deve
entender os trs diferentes estados de cada configurao de poltica. Esses
trs estados so:

No Configurado. Nenhuma modificao acontece no registro como


resultado da poltica. No Configurado a configurao padro para a
maioria das configuraes de GPOs. Quando um sistema processa uma
GPO com configuraes no estado No Configurado, as chaves de
registro afetadas pelas configuraes no so modificadas ou
sobrescritas, qualquer que seja seu valor.
Habilitada. A funo da poltica explicitamente ativada no registro,
independente do seu estado anterior.
Desabilitada. A funo da poltica explicitamente desativada no
registro, independente do seu estado anterior.

Entender esse estado crtico quando voc est trabalhando com Herana de
Polticas de Grupo e diversas GPOs. Se uma configurao de uma poltica est
desativada no registro por padro e voc tem uma GPO de prioridade menor
que explicitamente habilite essa configurao, voc deve configurar uma GPO
de prioridade maior para desabilitar a configurao se voc quiser retorn-la ao
seu estado padro. Aplicar o estado No Configurado no ir mudar a
configurao, deixando-a ativada.

Criar vrias GPOs locais


Computadores que so membros de um domnio do AD DS se beneficiam de
muita flexibilidade quando se fala com configurao de Poltica de Grupos.
Sistemas individuais (fora do AD DS) conseguem um pouco dessa flexibilidade
desde que estejam rodando pelo menos o Windows Vista ou o Windows Server
2008 R2. Esses sistemas operacionais permitem que administradores criem
vrias GPOs locais que disponibilizam configuraes diferentes para usurios,
com base em suas identidades.
Sistemas Windows suportando vrias GPOs locais possuem trs camadas de
suporte de Polticas de Grupo, como segue:

Poltica de Grupo local. Idntica a GPO local nica suportada por


verses mais antigas dos sistemas operacionais, a camada de Poltica
de Grupo local consiste de configuraes de computador e de usurio e
se aplica para todos os usurios do sistema, administrativos ou no.
Esta a nica GPO local que inclui configuraes de computador, ento

302

para aplicar polticas de configuraes de computador, voc deve usar


essa GPO.
Poltica de Grupo de Administradores e No-Administradores. Essa
camada consiste de duas GPOs: uma que se aplica aos membros do
grupo local Administradores e outra que se aplica para todos os outros
usurios que no fazem parte deste grupo. Ao contrrio da GPO de
Poltica de Grupo Local, essa camada no inclui configuraes de
computador.
Polticas de Grupo especficas de usurio. Essa camada consiste de
GPOs que se aplicam a contas locais especficas. Essas GPOs somente
se aplicam a usurios individuais, no a grupos locais. Essas GPOs
tambm no possuem configuraes de computador.

O Windows aplica as GPOs locais na ordem listada aqui. As configuraes de


Polticas de Grupo Locais so aplicadas primeiro, ento a Poltica de Grupo de
Administradores e No-Administradores, e finalmente, quaisquer Polticas de
Grupo para usurios especficos. Assim como GPOs no-locais, as
configuraes processadas depois podem sobrescrever quaisquer
configuraes anteriores com as quais possam entrar em conflito.
No caso de um sistema que tambm seja membro de um domnio, as trs
camadas de processamento de GPOs locais vm primeiro, seguidas pela
ordem padro de processamento de Polticas de Grupo de domnio.
Para criar GPOs locais, voc usa o Editor de Objetos de Poltica de Grupo, que
um snap-in do MMC disponibilizado em todos os computadores Windows
especialmente para o gerenciamento de GPOs locais, como no procedimento a
seguir.
1. Abra a caixa de dilogo Executar e digite mmc e clique em OK.
2. Clique em arquivos, Adicionar/Remover Snap-in.
3. Na lista de Snap-ins disponveis selecione Editor de Objetos de Poltica
de Grupo e clique em Adicionar. A pgina Escolher Objeto de Poltica de
Grupo exibida.
4. Para criar a GPO de Poltica de Grupo local clique em Finalizar. Para
criar uma GPO secundria ou terciria clique em clique em Pesquisar. A
caixa de dilogo Pesquisa por Objeto de Poltica de Grupo exibida.
5. Clique na aba Usurios como mostra a figura abaixo.

303

Computadores Windows que no suportam mltiplas GPOs locais no


possuem a aba Usurios na caixa de dilogo Pesquisa por Objeto de
Poltica de Grupo. Isso inclui controladores de domnio e
computadores rodando verses do Windows mais antigas que o
Windows Vista e o Windows Server 2008 R2.

6. Para criar uma GPO secundria, selecione o item Administradores ou o


item No-Administradores e clique em OK. Para criar uma GPO terciria,
selecione um usurio e clique em OK. A GPO aparece na pgina
Selecionar Objeto Grupo.
7. Clique em Finalizar. O snp-in aparece na caixa de dilogo Adicionar ou
Remover Snap-ins.
8. Clique em OK. O snap-in aparece no console MMC.
9. Clique em Arquivo, Salvar como. A janela Salvar como ser exibida.
10. Digite um nome para o console e salve-o no grupo de programas
Ferramentas Administrativas.
11. Feche o console MMC.
Voc pode agora abrir esse console sempre que precisar configurar as
configuraes na GPO que voc criou.

304

6.2 Configurar Polticas de Segurana


Um dos principais objetivos das Polticas de Grupo prover gerenciamento
centralizado de configuraes de segurana para usurios e computadores. A
maioria das configuraes que pertencem segurana so encontradas na
pasta Configuraes do Windows dentro do n Configuraes do Computador
de uma GPO. Voc pode usar configuraes de segurana para reger como os
usurios so autenticados na rede, os recursos que eles so permitidos a usar,
polticas de listas de membros de grupos, e eventos relacionados as aes de
usurios e grupos registrados nos logs de eventos. Configuraes de polticas
no n Configuraes do Computador se aplicam a um computador, no
interessa quem esteja logado. Existem mais configuraes de segurana nas
Configuraes do Computador do que configuraes que voc pode aplica a
um usurio especfico.

Definir Polticas Locais


Polticas Locais permitem que administradores definam privilgios de usurios
no computador local que governam o que os usurios podem fazer no
computador e determinam se o sistema deve rastrear as atividades de usurio
em um log de evento. Rastreamento de eventos acontece no computador local,
um processo referido como auditoria, outra parte importante das atividades
de monitoramento e de gerenciamento em um computador rodando o Windows
Server 2012 R2.
O n de polticas locais de uma GPO, encontrados sob Configuraes de
Segurana, possui trs ns subordinados: Poltica de Auditoria, Atribuio de
Direitos de Usurio e Opes de Segurana. Como discutido em cada uma das
sesses a seguir, tenha em mente que polticas locais so locais ao
computador. Quando elas so parte de uma GPO no Active Directory, ela afeta
as configuraes de segurana locais de contas de computador as quais a
GPO aplicada.

Planejando e Configurando uma Poltica de Auditoria


A sesso de Polticas de Auditoria de uma GPO habilita administradores a
registrarem eventos de segurana bem sucedidos ou com erros, como eventos
de logon, acesso contas e acesso objetos. Voc pode usar a auditoria para
rastrear as atividades de usurio e de sistema. Planejar uma auditoria requer
que voc determine os computadores a serem auditados e os tipos de eventos
que voc quer rastrear.

305

Quando voc considera eventos para auditar, como eventos de logon de conta,
voc deve decidir se quer auditar tentativas bem sucedidas, tentativas de logon
malsucedidas ou ambas. Rastrear eventos bem sucedidos permite determinar
a frequncia com que usurios acessam recursos de rede. Essa informao
pode ser valiosa durante o planejamento do uso dos seus recursos e do
oramento para novos recursos. Rastrear eventos mal sucedidos pode te
ajudar a determinar quando brechas na segurana acontecem ou so tentadas.
Por exemplo, se voc notar tentativas mal sucedidas frequentes de login para
uma conta de usurio especfica, voc pode querer investigar mais a fundo. As
configuraes de polticas disponveis para auditorias so mostradas na figura
abaixo.

Quando um evento auditado ocorre, o Windows Server 2012 R2 escreve um


evento no log de segurana no controlador de domnio ou computador onde o
evento ocorreu. Se foi uma tentativa de login ou outro evento relacionado ao
Active Directory, o evento escrito no controlador de domnio. Se um evento
de computador, como acesso a uma unidade removvel, o evento escrito no
log de eventos do prprio computador.
Voc deve decidir quais computadores, recursos e eventos voc quer auditar.
importante balancear a necessidade de auditoria com a potencial sobrecarga
de informao que seria criada se voc auditasse todo e qualquer tipo de
evento. As seguintes linhas gerais podem te ajudar a planejar sua poltica de
auditoria:

306

Auditar apenas itens pertinentes. Determine os eventos que quer auditar


e considere se mais importante rastrear sucessos ou falhas desses
eventos. Voc somente deve planejar auditar eventos que iro te ajudar
a colher informao de rede.
Arquive logs de segurana para disponibilizar um histrico
documentado. Manter um histrico das ocorrncias de eventos pode
prover documentao que voc pode usar para suportar a necessidade
por recursos adicionais baseado em uso passado.
Configure o tamanho dos seus logs de segurana com cuidado. Voc
precisa planejar o tamanho dos seus logs de segurana baseado no
nmero de eventos que voc antecipa registrar. Voc pode configurar
configuraes de Poltica de Registro de Eventos sob o n
Configuraes do Computador\Configuraes do Windows\
Configuraes de Segurana\Registro de Eventos de uma GPO.

A implementao do seu plano requer que voc especifique as categorias a


serem auditadas e, se necessrio, configurar objetos para auditoria. Para
configurar uma poltica de auditoria, use o seguinte procedimento.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione
Gerenciamento de Polticas de Grupo.
2. No Console de Gerenciamento de Polticas de Grupo expanda o
container da floresta e navegue at seu domnio. Ento expanda o
controlador de domnio e selecione a pasta Objetos de Polticas de
Grupo. As GPOs que existem atualmente no domnio aparecem na aba
Contedo.
3. Clique com o boto direito do mouse na GPO Poltica Padro do
Domnio e clique em Editar. Uma janela do Editor de Gerenciamento de
Polticas de Grupo para essa poltica ser exibida.
4. Navegue ao n Configuraes do Computador\Polticas\Configuraes
do Windows\ Configuraes de Segurana\Polticas Locais e selecione
Poltica de Auditoria. As configuraes de poltica de auditoria aparecem
no painel da direita.
5. D um clique duplo na configurao de poltica de auditoria que deseja
alterar. A janela de propriedades para a poltica selecionada ser aberta,

307

como vemos na figura abaixo.

6. Selecione a caixa de seleo Definir essas polticas.


7. Selecione as caixas de seleo apropriadas para auditar Sucesso, Falha
ou ambos.
8. Clique OK para fechar a janela de propriedades.
9. Feche o Editor e o Console de Gerenciamento de Polticas de Grupo
Voc agora configurou uma poltica de auditoria na GPO de Poltica Padro do
Domnio, que ser propagada para todos os computadores no domnio durante
a prxima atualizao de poltica.
Configurar objetos para auditoria necessrio quando voc configurou uma
das seguintes categorias de eventos:

Auditar Acesso a Servios de Diretrio. Esta categoria de eventos


registra acesso de usurios objetos do Active Directory como outros
objetos usurios e OUs.
Auditar Acesso a Objeto. Esta categoria de eventos registra acesso de
usurios a arquivos, pastas, chaves de registro e impressoras.

Cada uma dessas categorias de eventos exigem passos adicionais de


configurao, voc deve abrir as propriedades do objeto a ser auditado e
especificar as entidades de segurana ou arquivos e pastas cujos acessos
voc quer auditar.

308

Iniciando com o Windows server 2008, novas opes se tornaram disponveis para a
auditoria do AD DS que indicam que uma mudana ocorreu e mostram o valor antigo
e o novo. Por exemplo, se voc mudar a descrio de um usurio de Marketing para
Treinamento, o Log de Eventos dos Servios de Diretrio ir registrar dois eventos
contendo o valor original e o valor novo.

Atribuir Direitos de Usurios


Como vemos na figura a seguir, as configuraes de Atribuio de Direitos de
Usurio no Windows Server 2012 R2 so bem completas e incluem
configuraes relacionadas aos direitos que os usurios precisam para realizar
tarefas de sistema.

Por exemplo, um usurio logando localmente em um controlador de domnio


deve ter o direito Permitir Logon Local atribudo sua conta ou ser membro de
um dos seguintes grupos: Operadores de Conta, Administradores, Operadores
de Backup, Operadores de Impresso ou Operadores de Servidor.
Esses grupos permitem que usurios faam login localmente pois o Windows
Server 2012 R2 atribui o direito de usurio Permitir Logon Local para esses
grupos por padro na GPO Poltica Padro de Controladores de Domnio
(Default Domain Controllers Policy).

309

Outras configuraes similares includas nessa coleo so relacionadas aos


direitos de usurio relacionados com o desligamento do sistema, tomar
privilgios de propriedade sobre arquivos e pastas, restaurar arquivos e
diretrios e sincronizar dados de servios de diretrio.

Configurar Opes de Segurana


O n Opes de segurana em uma GPO, exibido na figura abaixo, inclui
configuraes de segurana relacionadas a logon interativo, assinatura digital
de dados, restries de acesso s unidades de disquete e CD-ROM,
comportamento de instalao de driver no assinado e comportamento da
caixa de dilogo de logon.

A categoria Opes de Segurana tambm inclui opes para configurar


segurana de autenticao e de comunicao dentro do Active Directory.

Usando Modelos de Segurana


Um modelo de segurana uma coleo de configuraes de segurana
armazenadas como arquivos de texto com a extenso .inf. Modelos de
Segurana podem conter muitos dos mesmo parmetros de segurana de

310

GPOs. Porm, modelos de segurana apresentam esse parmetros em uma


interface unificada, permitindo que voc salve suas configuraes como
arquivos, e simplifique o processo de implant-las quando e onde forem
necessrias.
As configuraes que voc pode implantar por meio dos modelos de segurana
incluem muitos das configuraes de segurana vistas neste objetivo, incluindo
polticas de auditoria, atribuies de direitos de usurio, opes de segurana,
polticas de registros de eventos e grupos restritos. Por si mesmo, um modelo
de segurana uma maneira conveniente de configurar a segurana de um
sistema individual. Quando voc combina os modelos de segurana com
Polticas de Grupo ou scripts, eles permitem que administradores mantenham a
segurana de redes consistindo centenas ou milhares de computadores
rodando varias verses do Microsoft Windows.
Pelo uso dessas duas ferramentas juntas, administradores podem criar
configuraes de segurana complexas e misturar essas configuraes para
cada uma das vrias funes que computadores realizam em suas
organizaes. Quando implantados por toda uma rede, modelos de segurana
permitem implementar configuraes de segurana consistentes, escalveis e
reproduzveis por toda a empresa.

Usando o Console de Modelos de Segurana


Modelos de Segurana so arquivos de texto que contm configuraes de
segurana em uma variedade de formatos, dependendo da natureza das
configuraes individuais. Embora seja possvel trabalhar com arquivos de
modelos de segurana diretamente atravs de qualquer editor de texto, o
Windows Server 2012 R2 disponibiliza uma interface grfica que facilita muito o
trabalho.
Para criar e gerenciar modelos de segurana, voc usa o snap-in do MMC
chamado Modelos de Segurana. Voc tambm pode fazer o download e
instalar a ferramenta Gerenciador de Conformidade de Segurana (Security
Compliance Manager - SCM) a partir do site da Microsoft; essa ferramenta tem
funcionalidade similar mais uma coleo de linhas de base de segurana de
sistema que podem ser usadas como ponto de partida. Por padro, as
Ferramentas Administrativas do Windows Server 2012 R2 no inclui o MMC
contendo o snap-in Modelos de Segurana, ento voc tem que criar um por si
mesmo usando a caixa de dilogo Adicionar ou Remover Snap-ins. Quando
voc criar um novo modelo, o console disponibiliza uma interface com a da
figura abaixo.

311

O painel esquerdo do snap-in de Modelos de Segurana aponta para uma


pasta padro na qual o console por padro armazena os arquivos de modelos
que voc cria. O snap-in interpreta quaisquer arquivos nesta pasta com a
extenso .inf como um modelo de segurana, mesmo que as extenses no
apaream no console.
Quando voc cria um novo modelo no console, voc v uma exibio
hierrquica das polticas no modelo e suas configuraes atuais. Muitas das
polticas so idnticas as daquelas em GPOs, em aparncia e funo. Voc
pode modificar as polticas em cada modelo da mesma forma que faria numa
GPO.

Criar Modelos de Segurana


Para criar um novo modelo de segurana do zero, use o procedimento abaixo.
1. Abra a janela Executar e digite mmc e clique em OK.
2. Clique no menu Arquivo e Adicionar/Remover snap-in.
3. Na lista de snap-ins disponveis selecione Modelos de Segurana e
clique em Adicionar. O snap-in aparece na caixa de dilogo Arquivo e
Adicionar/Remover snap-in.
4. Clique em OK. O snap-in aparece no MMC.
5. Clique em Arquivo, Salvar como. Digite um nome e um local desejado
para o console.
6. Expanda o n Modelos de Segurana.
7. Clique com o boto direito na pasta com o caminho dos modelos de
segurana e selecione Novo modelo.

312

8. Na janela que aparece escolha um nome para o modelo e clique OK.


9. Deixe o console aberto.
Quando voc cria um modelo de segurana em branco, no existem polticas
definidas dentro dele. Aplicar o modelo em branco a um computador no surtir
nenhum efeito.

Trabalhando com as Configuraes de Modelos de Segurana


Modelos de segurana contm muitas das mesma configuraes que GPOs,
ento voc j est familiarizado com alguns dos elementos em um modelo. Por
exemplo, modelos de segurana contm as mesma configuraes de polticas
locais descritas anteriormente neste captulo, os modelos so apenas uma
maneira diferente de configurar e implantar essas polticas. Modelos de
segurana tambm disponibilizam meios para configurar as permisses
associadas com arquivos, pastas, entradas de registro e servios.
Modelos de segurana possuem mais configuraes que a Poltica Local do
Computador, porque um modelo inclui opes tanto para computadores
individuais quanto para computadores que participam de um domnio.

Importar modelos de segurana em GPOs


A maneira mais fcil de implantar um modelo de segurana em vrios
computadores simultaneamente importar o modelo em uma GPO. Aps
importar o modelo, as configuraes do modelo se tornam parte da GPO, e os
controladores de domnio da rede as implantam em todos os computadores
afetados por aquela GPO. Como em qualquer implantao de Poltica de
Grupo, voc pode vincular uma GPO em qualquer domnio, site ou OU na
rvore do Active Directory. As configuraes na GPO so ento herdadas por
todos os objetos container e folhas subordinados ao objeto que voc
selecionou.
Para importar um modelo de segurana em uma GPO, use o procedimento
abaixo.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione
Gerenciamento de Poltica de Grupo.
2. No console de Gerenciamento de Poltica de Grupo expanda o container
da floresta e navegue at seu domnio. Ento expanda o container do
domnio e selecione a pasta Objetos de Poltica de Grupo. As GPOs
existentes atualmente no domnio aparecem na aba Contedo.

313

3. Clique com o boto direito na GPO em que voc quer importar o modelo
e clique em Editar. A janela do Editor de Gerenciamento de Poltica de
Grupo ser aberta.
4. Navegue at o n Configurao do Computador\ Polticas\
Configuraes do Windows \ Configuraes de Segurana. Clique com o
boto direito no n Configuraes de Segurana e selecione a opo
Importar Poltica. A janela de importao de poltica ser exibida.
5. Navegue at o arquivo do modelo de segurana que voc quer importar
e clique em Abrir. A configurao de polticas no modelo so copiadas
para a GPO.
6. Feche o Editor e o Console de Gerenciamento de Poltica de Grupo.

Configurar Usurios e Grupos Locais


O Windows Server 2012 R2 disponibiliza duas interfaces diferentes para criar e
gerenciar contas de usurios locais: o painel de controle Contas de Usurios e
o snap-in do MMC Usurios e Grupos Locais, que est includo no console do
Gerenciador do Computador. Ambas as interfaces do acesso ao mesmo
Gerenciador de Conta de Segurana (Security Account Manager - SAM) onde
a informao de usurios e grupos armazenada, ento qualquer mudana
que fizer usando uma interface ir aparecer na outra.
A Microsoft criou o painel de controle Contas de Usurios e o snap-in do MMC
Usurios e Grupos Locais para usurios de computador com diferentes nveis
de experincia, eles proveem diferentes nveis de acesso ao SAM, como
segue:

Contas de Usurios. Fornece uma interface simplificada com acesso


limitado contas de usurios. Usando essa interface, voc pode criar
contas de usurios locais e pode modificar seus atributos bsicos, mas
voc no pode criar grupos ou gerenciar os membros dos grupos
(exceto o grupo Administradores).
Usurios e Grupos Locais. Fornece acesso total usurios e grupos
locais e todos os seus atributos.

Usando o Painel de Controle Contas de Usurio.


O Windows Server 2012 R2 cria duas contas de usurio local durante o
processo de instalao do sistema operacional: a conta Administrador e a
conta Convidado. O programa de instalao pede pela senha do usurio
Administrador durante a instalao, e a conta Convidado desativada por
padro.

314

Aps o processo de instalao estar completo, o sistema reinicia. Pelo fato de


apenas a conta Administrador estar disponvel, o computador faz logon usando
essa conta. Essa conta tem privilgios administrativos, ento nesse ponto voc
pode criar contas de usurios adicionais ou modificas as existentes.
Voc somente pode criar novas contas de usurios no painel de controle
em computadores com o Windows Server 2012 R2 que fazem parte de
um grupo de trabalho. Quando voc adiciona um computador em um
domnio do AD DS, voc deve usar o snap-in Usurios e Grupos Locais
para criar novas contas de usurio locais. Controladores de Domnio no
possuem contas e usurio e grupos locais.

Por padro, o Painel de Controle Contas de Usurio cria contas padro. Para
atribuir privilgios administrativos para um usurio local, voc deve mudar o
tipo de conta usando a interface mostrada na figura abaixo.

O que o Painel de Controle Contas de Usurios quer se referir com o termo tipo
de conta na verdade uma questo ser membro de um grupo ou outro.
Selecionar a opo padro adiciona a conta de usurio ao grupo Usurios
Locais, e selecionar a opo Administrador adiciona o usurio ao grupo
Administradores.

Usando o snap-in Usurios e Grupos Locais


Por padro, o snap-in Usurios e Grupos Locais faz parte do console
Gerenciamento do Computador. Entretanto, voc tambm pode carregar o

315

snap-in por si mesmo ou criar seu prprio MMC com qualquer combinao de
snap-ins que desejar.
Para criar uma conta de usurio local com o snap-in Usurios e Grupos Locais,
use o seguinte procedimento.
1. No Gerenciador do Servidor, no meu Ferramentas, selecione
Gerenciamento do Computador.
2. No console Gerenciamento do Computador, expanda o n Usurios e
Grupos Locais para ver uma lista dos usurios locais atuais.
3. Clique com o boto direito na pasta Usurios e selecione Novo Usurio.
A janela Novo Usurio ser exibida, como vemos abaixo.

4. Digite um nome para a conta de usurio.


5. Especifique um nome completo e descrio se desejar.
6. Nos campos Senha e Confirmar Senha digite uma senha para o usurio
se desejar.
7. Marque as quatro caixas de seleo conforme necessrio.
Usurio deve alterar senha no prximo logon.
Usurio no pode alterar a senha.
A senha nunca expira.
Desabilitar conta.
8. Clique em Criar. A nova conta adicionada a lista de usurios e o
console limpa a caixa de dilogo, deixando-a pronta para a criao de
outra conta de usurio.
9. Clique em Fechar.
10. Feche o console de Gerenciamento do Computador.

316

Criar um Grupo Local


Para criar um grupo local com o snap-in Usurios e Grupos Locais, use o
procedimento a seguir.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione
Gerenciador do Computador.
2. No console Gerenciador do Computador expanda o n Usurios e
Grupos Locais e clique em Grupos para exibir uma lista dos grupos
locais.
3. Clique com o boto direito na pasta Grupos e ento selecione Novo
Grupo.
4. Digite o nome desejado para o grupo que quer criar, se desejar digita
uma descrio.
5. Clique em Adicionar. A caixa de dilogo Selecionar Usurios ser
exibida.
6. Na caixa de texto, digite os nomes dos usurios que voc quer adicionar
no grupo, separados por ponto e vrgula, e clique em OK. Voc tambm
pode digitar parte de um nome e clicar no boto Checar Nomes para
completar o nome ou clique em Avanado para procurar por usurios.
7. Clique em Criar para criar o grupo e preench-lo com os usurios que
voc especificou. O console ento limpa a caixa de dilogo, deixando-a
pronta para a criao de outro grupo.
8. Clique em Fechar.
9. Feche o console Gerenciamento do Computador.
Grupos locais no possuem atributos que podem ser configurados por usurios
alm da descrio e uma lista de membros, ento as nicas modificaes que
voc pode fazer quando abrir um grupo existente informar uma descrio e
adicionar e remover membros. Como mencionado antes na lio, grupos locais
no podem ter outros grupos locais como membros, mas o computador for
membro de um domnio do Windows, um grupo local pode ter usurios e
grupos do domnio como membros.

Entendendo o Controle de Conta de Usurio (UAC)


Um dos problemas de segurana mais comuns do Windows surge do fato que
muitos usurios realizam suas tarefas rotineiras com mais permisses do que
precisam. Fazer login como Administrador ou como usurio membro do grupo
Administradores concede ao usurio acesso completo a todas as reas do
sistema operacional. Este nvel de acesso ao sistema no necessrio para
rodar muitas das aplicaes e realizar muitas das tarefas que usurios
necessitam todos os dias; necessrio apenas para algumas funes

317

administrativas, como instalar software no sistema todo e configurar


parmetros de sistema.
Para a maioria dos usurios, fazer logon com privilgios administrativos todo o
tempo apenas uma questo de convenincia. A Microsoft recomenda fazer
logon como um usurio padro e usar privilgios administrativos apenas
quando realmente precisar. Entretanto, muitos especialistas tcnicos que
fazem isso se encontram frequentemente em situaes que precisam de
acesso administrativo. Existe uma quantidade surpreendentemente grande de
tarefas comuns do Windows que requerem acesso administrativo, e a
impossibilidade de realiza-las pode afetar negativamente na produtividade de
um usurio.
A Microsoft decidiu resolver esse problema impedindo todos os usurios do
Windows Server 2012 R2 de acessar o sistema usando privilgios
administrativos a no ser que esse privilgios sejam necessrios para realizar a
tarefa. O mecanismo que faz isso chamado de Controle de Conta de Usurio
(User Account Control UAC).
Realizando tarefas administrativas
Quando um usurio loga no Windows Server 2012 R2, o sistema emite um
token, que indica o nvel de acesso do usurio. Sempre que o sistema autoriza
o usurio a realizar uma atividade particular, ele consulta o token para ver se o
usurio possui os privilgios necessrios.
Em verses do Windows anteriores ao Windows Server 2008 e o Windows
Vista, usurios padro recebiam tokens de usurio padro e membros do grupo
Administradores recebiam tokens administrativos. Cada atividade realizada por
um usurio administrativo era portanto autorizado usando o token
administrativo resultando nos problemas descritos anteriormente.
Em um computador rodando o Windows Server 2012 R2 com o UAC, um
usurio ainda recebe um token de usurio padro, mas um usurio
administrativo recebe dois tokens: um de acesso de usurio padro e um para
acesso de usurio administrativo. Por padro, usurios comuns e
administrativos usam o token padro na maioria do tempo.
Quando um usurio comum tenta realizar uma tarefa que exige privilgios
administrativos, o sistema exibe uma janela de credenciais, como mostra a
figura abaixo, pedindo para que o usurio informe o nome e senha de uma
conta com privilgios administrativos.

318

Quando um administrador tenta realizar uma tarefa que exige privilgios


administrativos, o sistema troca o token de acesso de usurio padro para o
token de acesso de usurio administrativo. Isto conhecido como Modo de
Aprovao de Administrador.
Antes de o sistema permitir que o usurio use o token administrativo, pode
exigir que o usurio confirme que realmente est tentando realizar uma tarefa
administrativa. Para fazer isso, o sistema gera um prompt de elevao, como
mostra a figura abaixo. Essa confirmao previne processos no autorizados,
como malware, de acessar o sistema usando privilgios administrativos.

Usando a rea de Trabalho Segura


Por padro, sempre que o Windows Server 2012 R2 exibir um prompt de
elevao ou de credencial, ele se utiliza da rea de trabalho segura.
A rea de trabalho segura uma alternativa rea de trabalho interativa que o
Windows normalmente exibe. Quando o Windows Server 2012 R2 exibe um
prompt de elevao ou de credencial, ele muda para a rea de trabalho segura,

319

suprimindo a operao de todos os outros controles de rea de trabalho e


permitindo apenas que processos do Windows interajam com o prompt. A
finalidade disso prevenir que malwares automatizem uma resposta para o
prompt e contornem a resposta humana.

Configurar o UAC
O Windows Server 2012 R2 habilita o UAC por padro, mas possvel
configurar suas propriedades e mesmo desabilit-lo completamente. No
Windows Server 2012 R2 existem quatro configuraes disponveis atravs do
Painel de Aes no Painel de Controle, como vemos na figura a seguir. As
quatro configuraes so como segue:

Sempre Notificar
Notificar Apenas Quando aplicativos tentarem fazer mudanas no
computador.
Notificar Apenas Quando aplicativos tentarem fazer mudanas no
computador. (No escurecer a tela)
Nunca Notificar

Embora o Painel de Controle disponibilize algum controle sobre o UAC, o


controle mais granular sobre as propriedades do UAC atravs do n Opes
de Segurana na Poltica de Grupo e Poltica de Segurana Local.

320

6.3 - Configurar polticas de restrio de aplicao

As opes no n de Polticas de Restrio de Software do maior controle para


prevenir a execuo de aplicaes potencialmente perigosas. Polticas de
restrio de software so feitas para identificar software e controlar sua
execuo. Alm disso, administradores podem controlar quem pode ser
afetado pelas polticas.

Usando polticas de restrio de software


O n de Polticas de Restrio de Software encontrado no n Configuraes
do Windows\ Configuraes de Segurana dentro do n Configuraes d
Usurios ou no n Configuraes do Computador de uma GPO. Por padro, a
pasta Polticas de Restrio de Software est vazia. Quando voc cria uma
nova poltica, duas subpastas aparecem: Nveis de Segurana e Regras
Adicionais. A pasta Nveis de Segurana permite definir o comportamento
padro a partir do qual todas as regras sero criadas. Os critrios para cada
arquivo executvel so definidos na pasta Regras Adicionais.
Nas sesses seguintes, voc aprender como definir o nvel de segurana para
uma poltica de restrio de software e como definir as regras que iro
governar a execuo de arquivos de programas.

Impondo Restries
Antes de criar quaisquer regras que governem a restrio ou permisso de
arquivos executveis, importante entender como as regras funcionam por
padro. Se uma poltica no impe restries, arquivos executveis funcionam
baseados nas permisses que usurios e grupos possuem no sistema de
arquivos NTFS.
Quando considerar o uso de polticas de restrio de software, voc deve
determinar seu mtodo para impor restries. Existem trs estratgias bsicas
para impor restries, como a seguir:

Irrestrito. Permite que todas as aplicaes rodem exceto aquelas que


forem especificamente excludas.
No Permitido. Impede que todas as aplicaes rodem exceto as que
foram especificamente permitidas.
Usurio Bsico. Impede que todas as aplicaes que precisam de
direitos administrativos rodem, mas permite os programas que s
exigem recursos acessveis por usurios comuns.

321

O mtodo que voc escolher depende das necessidades da sua organizao


em particular. Por padro, a rea de Polticas de Restrio de Software possui
o valor Irrestrito na configurao de Nvel de Segurana Padro.
Por exemplo, voc pode querer habilitar que apenas aplicaes especificadas
sejam executadas em um ambiente de alta segurana. Neste caso, voc iria
configurar o Nvel de Segurana Padro como No Permitido. Em contraste,
em uma rede menos segura, voc pode querer permitir todos executveis a
no ser que voc tenha algo especificado em contrrio. Isso iria requerer que
voc deixasse o Nvel de Segurana Padro como Irrestrito. Neste caso, voc
teria que criar uma regra para identificar uma aplicao antes de poder
desabilit-la. Voc pode modificar o Nvel de Segurana Padro para refletir a
configurao No Permitido.
Pelo fato da configurao No Permitido assumir que todos os programas tero
acesso negado a no ser que uma regra os permita serem executados, essa
configurao pode causar dores de cabea em administradores se no for
completamente testada. Voc deveria testar todas as aplicaes que gostaria
de rodar para se assegurar que elas esto funcionando corretamente.
Para modificar o Nvel de Segurana Padro para No Permitido, use o
seguinte procedimento.
1. No Gerenciador do Servidor, no menu Ferramentas, selecione
Gerenciamento de Poltica de Grupo.
2. No console de Poltica de Grupo expanda o container da floresta e
navegue at seu domnio. Ento expanda o controlador de domnio e
selecione a pasta Objetos de Poltica de Grupo. As GPOs existentes no
domnio aparecem na aba Contedo direita.
3. Clique em uma GPO e selecione Editar. A janela do Editor de
Gerenciamento de Poltica de Grupo ser aberta.
4. Navegue at o n de Polticas de Restrio de Software dentro de
Configuraes de Usurio ou de Configuraes do Computador.
5. Clique com o boto direito em Polticas de Restrio de Software e
selecione Novas Polticas de Restrio de Software. As pastas contendo
as novas polticas so exibidas.
6. No painel de detalhes, d um duplo clique em Nveis de Segurana.
Note a marcao no cone Irrestrito que a configurao padro.
7. Clique com o boto direito no nvel de segurana No Permitido e
selecione a opo Marcar como Padro. Uma mensagem aparece
exibindo um alerta sobre a ao executada.
8. Clique em Sim, ento feche o editor e o console de Gerenciamento de
Poltica de Grupo.
Voc alterou o Nvel de Segurana Padro para uma poltica de restrio de
software com sucesso.

322

Configurar Regras de Restrio de Software


A funcionalidade das polticas de restrio de software depende primeiro das
regras que identificam software e ento das regras que governam seu uso.
Quando voc cria uma nova regra de poltica de restrio de software, a
subpasta Regras Adicionais aparece. Essa pasta te permite criar regras que
especificam condies sob as quais programas podem ser executados ou
negados. Essas regras podem sobrepor a configurao de Nvel de Segurana
Padro quando necessrio.
Voc cria novas regras por si mesmo na pasta Regras Adicionais usando uma
caixa de dilogo como a que vemos na figura a seguir.

Existem quatro tipos de regras de restrio de software que voc pode usar
para especificar quais programas podem ou no rodar na sua rede:

Regras de Hash
Regras de Certificados
Regras de Caminhos
Regras de Zonas de Rede

Tambm existe um quinto tipo de regra a regra padro que se aplica


quando uma aplicao tem correspondncia com nenhuma das regras que
criou antes. Para configurar a regra padro, selecione uma das polticas na

323

pasta Nveis de Segurana, e na sua janela de propriedades, clique em Marcar


como Padro.
As funes dos quatro tipos de regras so explicadas nas sesses seguintes.

Regras de Hash
Um hash um srie de bytes com comprimento fixo que identifica unicamente
um arquivo ou programa. Um valor de hash gerado por um algoritmo que
essencialmente cria uma digital do arquivo, tornando praticamente impossvel
que outro programa tenha o mesmo valor. Se voc criar uma regra de hash e
um usurio tentar executar um programa afetado pela regra, o sistema checa o
valor hash do arquivo executvel e compara-o com um valor de hash
armazenado na poltica de restrio de software. Se os dois valores casarem,
as configuraes da poltica iro ser aplicadas. Portanto, criar uma regra de
hash para uma aplicao impede que ela execute se o valor do hash no
estiver correto. Como o valor do hash baseado no prprio arquivo, o arquivo
continuar funcionando se voc o mudar de local. Se o arquivo executvel for
alterado de qualquer maneira, por exemplo, se for modificado ou alterado por
um vrus, a regra de hash na poltica de restrio de software impedir o
arquivo de ser executado.

Regras de Certificado
Uma regra de certificado usa o certificado digital associado com uma aplicao
para confirmar sua legitimidade. Voc pode usar regras de certificado para
habilitar a execuo de software de uma fonte confivel ou prevenir a execuo
software que no vem de uma fonte confivel. Voc tambm pode usar regras
de certificado para rodar programas em reas no autorizadas no sistema
operacional.

Regras de Caminho
Uma regra de caminho identifica software especificando o caminho de diretrio
onde a aplicao est armazenada no sistema de arquivos. Voc pode usar
regras de caminho para criar excees que permitem uma aplicao ser
executada quando o Nvel Padro de Segurana para polticas de restrio de
software est configurado para Irrestrito.
Regras de caminho podem especificar um local no sistema de arquivos onde
arquivos de programas esto localizados ou uma configurao de caminho de
registro. Regras de caminho de registro se certificam que os executveis da

324

aplicao sero encontrados. Por exemplo, se um administrador usa uma regra


de caminho para definir uma localizao no sistema de arquivos para uma
aplicao, e a aplicao for movida para um novo local, como durante uma
restruturao de rede, o caminho original na regra de caminho no seria mais
vlida. Se a regra especifica que a aplicao no deve funcionar a no ser que
esteja em um local especfico, o programa no poderia rodar a partir de seu
novo local. Isso poderia causar uma grande oportunidade de uma brecha de
segurana caso o programa referencie informao confidencial.
Por outro lado, se voc criar uma regra de caminho usando o local de uma
chave de registro, qualquer mudana na localizao dos arquivos da aplicao
no ir afetar o resultado da regra. Isso porque quando voc realoca a
aplicao, as chaves de registro que aponta para os arquivos do programa so
atualizadas automaticamente.

Regras de Zona de Rede


Regras de zona de rede se aplicam apenas a pacotes de instalao do
Windows que tentam instalar a partir de uma zona especificada, como o
computador local, a intranet local, sites confiveis, sites restritos ou a Internet.
Voc pode configurar esse tipo de regra para habilitar pacotes de instalao
do Windows a serem instalados somente se vierem de uma rea confivel da
rede. Por exemplo, uma regra de zona Internet poderia restringir pacotes de
instalao do Windows de serem baixados e instalados a partir da Internet ou
outros locais de rede.

Usando vrias regras


Voc pode definir uma restrio de software usando vrios tipos de regras para
permitir e proibir execuo de programas. Usando vrios tipos de regras,
possvel ter uma variedade de nveis de segurana. Por exemplo, voc pode
querer especificar uma regra de caminho que previne a execuo de
programas a partir da pasta compartilhada \\Servidor1\Contabilidade e uma
regra de caminho que permite a execuo de programas a partir da pasta
compartilhada \\Servidor1\Aplicaes. Voc tambm pode escolher incorporar
regras de certificados e regras de hash em sua poltica. Quando implementar
varias regras, o sistema aplica as regras com a seguinte ordem de
precedncia:
1.
2.
3.
4.

Regras de Hash
Regras de Certificados
Regras de Zona de Rede
Regras de Caminho

325

Quando um conflito ocorre entre tipos de regras, como entre uma regra de
hash e uma regra de caminho, a regra de hash prevalece pois possui
precedncia maior. Se um conflito acontecer entre duas regras do mesmo tipo
com as mesmas configuraes de identificao, como duas regras de caminho
que identificam software do mesmo diretrio, a configurao mais restritiva ir
ser aplicada. Neste caso, se uma das regras de caminho estivesse configurada
para Irrestrito e a outra No Permitido, a poltica iria impor a configurao No
Permitido.

Configurar Polticas de Restrio de Software


Dentro da pasta Polticas de Restrio de Software, voc pode configurar trs
propriedades especficas para disponibilizar configuraes adicionais que se
aplicam a todas as polticas quando implementadas: Aplicao, Tipos de
Arquivos Designados e Fornecedores Confiveis.

Propriedades de Aplicao
Como vemos na figura abaixo, as propriedades de aplicao permitem
determinar se as polticas se aplicam a todos os arquivos ou se arquivos de
bibliotecas, como arquivos DLL, so excludos. Excluir DLLs o padro. Este
o mtodo mais prtico de aplicao. Por exemplo, se o Nvel de Segurana
Padro para a poltica estiver configurado para No Permitido e as
propriedades de aplicao estiverem configuradas para todos os arquivos, voc
teria de criar uma regra que verificasse todas as DLLs antes do programa ser
permitido ou bloqueado. Em contraste, excluir arquivos DLLs usando a
propriedade padro de aplicao no requer que um administrador defina
regras individuais para cada arquivo DLL.

326

Propriedades de Tipos de Arquivos Designados


As propriedades de tipos de arquivos designados dentro da pasta de Polticas
de Restrio de Software, como vemos na figura abaixo, especificam tipos de
arquivo que so considerados executveis. Tipos de arquivos so designados
como executveis ou arquivos de programas so compartilhados por todas as
regras, embora voc possa especificar uma lista para uma poltica de
computador que seja diferente de uma que seja especificada para uma poltica
de usurio.

327

Propriedades de Fornecedores Confiveis


Finalmente, as propriedades de fornecedores confiveis permitem a um
administrador controlar como sistemas lidam com regras de certificado. Na
caixa de dilogo de propriedades para os fornecedores confiveis, exibida
abaixo, a primeira configurao permite especificar quais usurios tem
permisso de gerenciar fornecedores de certificados confiveis. Por padro,
administradores do computador local tm o direito de especificar fontes
confiveis no computador local e administradores de empresa tm o direito de
especificar fornecedores confiveis em uma OU. Sob o ponto de vista da
segurana, em uma rede de alta segurana, usurios no devem ter permisso
de determinar os fornecedores a partir dos quais certificados possam ser
obtidos.
A janela de propriedades dos fornecedores confiveis tambm te permite
decidir se voc deseja verificar se um certificado no foi revogado. Se um
certificado foi revogado, o usurio no deve ter acesso aos recursos de rede.
Voc tem a permisso de marcar o fornecedor ou a etiqueta de tempo do
certificado para determinar se ele foi revogado.

Usando o AppLocker
Polticas de restrio de software podem ser uma ferramenta poderosa, mas
elas tambm podem exigir uma grande sobrecarga administrativa. Se voc
decidir desautorizar todas as aplicaes exceto aquelas que coincidem com
regras que voc criou, existem muitos programas no prprio Windows Server
2012 R2 que precisam de regras, alm das aplicaes que voc desejar

328

instalar. Administradores devem criar as regras manualmente, o que pode ser


uma tarefa onerosa.
Applocker, tambm conhecido como polticas de controle de aplicativos, um
recurso do Windows que essencialmente uma verso atualizada do conceito
implementado nas polticas de restrio de software. O Applocker tambm usa
regras, as quais administradores devem gerenciar, mas o processo de criao
das regras muito mais fcil, graas a uma interface baseada em assistente.
O Applocker tambm muito mais flexvel do que as polticas de restrio de
software. Voc pode aplicar regras do Applocker a usurios e grupos
especficos e tambm criar regras que suportem todas as futuras verses de
uma aplicao. A desvantagem primria do Applocker que voc somente
pode aplicar as polticas em computadores rodando o Windows 7 e Windows
Server 2008 R2 ou verses mais novas.

Entendendo Tipos de Regras


As configuraes do Applocker esto localizadas em GPOs no container
Configurao do Computador \ Configuraes do Windows\ Configuraes de
Segurana\ Polticas de Controle de Aplicaes\ Applocker, como mostra a
figura abaixo.

329

No container Applocker, existem quatro ns que contm os tipos bsicos de


regras:
1. Regras Executveis. Contem regras que se aplicam em arquivos com
extenso .exe e .com
2. Regras do Windows Installer. Contem regras que se aplicam a pacotes
de instalao do Windows com a extenso .msi e .msp
3. Regras de Script. Contem regras que se aplicam a arquivos de script
com as extenses .ps1, .bat, .cmd, .vbs e .js
4. Regras de Aplicativos Empacotados. Contem regras que se aplicam a
aplicativos comprados atravs da Loja do Windows (Windows Store)
Cada uma das regras que voc cria nesses containers pode permitir ou
bloquear acesso a recursos especficos baseado em um dos critrios abaixo:

Fonte. Identifica o cdigo assinado de aplicaes por meio de uma


assinatura digital extrada de um arquivo de aplicativo. Voc tambm
pode criar regras Fonte que se aplicam a todas as verses futuras de
um aplicativo.
Caminho. Identifica aplicaes especificando um arquivo ou nome de
pasta. A vulnerabilidade potencial deste tipo de regra que qualquer
arquivo pode coincidir com a regra, desde que possua o nome ou
localizao corretos.
Arquivo Hash. Identifica aplicaes baseado em uma impresso digital
que permanece vlida mesmo quando o nome e o local do arquivo so
alterados. Esse tipo de regra funciona da mesma forma que o seu
equivalente nas polticas de restrio de software; no Applocker, porm,
o processo de criao das regras e de gerao dos hashes muito mais
fcil.

Criando Regras Padro


Quando ativado, o Applocker bloqueia todos os executveis, pacotes de
instalao e scripts (exceto aqueles especificados nas regras de permisso)
por padro. Logo, para usar o Applocker voc deve criar regras que permita
usurios a acessar os arquivos necessrios para o Windows e as aplicaes
instaladas funcionarem corretamente. A maneira mais fcil de fazer isso clicar
com o boto direito do mouse em cada um dos containers de regras e
selecionar a opo Criar Regras.
As regras padro para cada container so regras que voc pode replicar,
modificar ou deletar conforme necessrio. Voc tambm pode criar suas
prprias regras, desde que voc seja cuidadoso para prover acesso a todos os
recursos que o computador precise para rodar o Windows.

330

Para usar o Applocker, o servio de Identificao de Aplicao deve estar


rodando. Por padro, este servio usa o tipo de inicializao manual, ento
voc deve inici-lo voc mesmo no console de Servios antes do Windows
poder aplicar as polticas do Applocker

Criando Regras Automaticamente


A maior vantagem do Applocker sobre as polticas de restrio de software a
habilidade de criar regras automaticamente. Quando voc clica com o boto
direito do mouse em um dos containers de regras e seleciona a opo Gerar
Regras Automaticamente, iniciado o Assistente Gerar Regras
Automaticamente.
Aps especificar a pasta a ser analisada e os usurios ou grupos aos quais as
regras devam se aplicar, voc ir ver uma pgina de Preferncias de Regras,
permitindo especificar os tipos de regras que deseja criar. O assistente ento
mostra um sumrio dos seus resultados e adiciona as regras no container.

Criando Regras Manualmente


Alm de criar regras automaticamente, voc pode cria-las manualmente
atravs de uma interface baseada em assistente, para isso selecione a opo
Criar Nova Regra do menu de atalho de um dos containers de regras.
O assistente te solicitar a seguinte informao:

Ao. Especifique se voc quer permitir ou negar o acesso do usurio


ou grupo ao recurso. No Applocker, regras de negao explcitas
sempre sobrescrevem regras de permisso.
Usurio ou Grupo. Especifica o nome do usurio ou grupo ao qual a
poltica deve se aplicar.
Condies. Especifica se quer criar uma regra de fonte, caminho ou
hash. O assistente gera uma pgina adicional para qual opo voc
selecionar, permitindo configurar seus parmetros.
Excees. Permite especificar excees a regra que voc est criando
por meio de qualquer uma de trs condies: fonte, caminho ou hash.

6.4 Configurar o Firewall do Windows


Voc pode ter trancado a porta do datacenter, mas os computadores
permanecem conectados na rede. Uma rede outro tipo de porta, ou melhor
uma srie de portas, que permitem que dados entrem e saiam. Para fornecer

331

servios aos seus usurios, algumas dessas portas devem estar abertas pelo
menos por algum tempo, mas administradores de servidores devem se
assegurar que apenas as portas corretas so deixadas abertas.
Um firewall um software que protege um computador ou uma rede permitindo
a entrada e sada de alguns tipos de trfego enquanto bloqueia outros. Um
firewall essencialmente uma srie de filtros que examinam o contedo dos
pacotes de rede e os padres de trfego vindo e saindo da rede para
determinar quais pacotes sero permitidos passar.
O objetivo de um firewall permitir todo o trfego que usurios legtimos
precisam para realizar suas tarefas atribudas e bloquear todo o resto. Note
que quando voc esta trabalhando com firewalls, voc no est preocupado
com assuntos como autenticao e autorizao. Estes so mecanismos que
controlam quem pode passar pelas portas abertas do servidor. o firewall
determina quais portas ficam abertas e quais ficam fechadas.

Entendendo as configuraes do Windows Firewall


O Windows Server 2012 R2 inclui um programa de firewall chamado Windows
Firewall, que est ativado por padro em todos os sistemas. Em sua
configurao padro, o Windows Firewall bloqueia a maioria do trfego de rede
de entrar no computador. Firewalls funcionam examinando o contedo de cada
pacote entrando e saindo do computador e comparando a informao que
encontram com uma srie de regras, as quais especificam quais pacotes tm
passagem permitida pelo firewall e quais so bloqueados.
O protocolo TCP/IP usado por sistemas Windows para comunicar funes
por meio do empacotamento dos dados de aplicaes usando uma srie de
protocolos empilhados que definem de onde os pacotes vieram e para onde
esto indo. Os trs critrios mais importantes que os firewalls podem usar em
suas regras so os seguintes:

Endereos IP. Os endereos IP identificam hosts especficos na rede.


Voc pode usar os endereos IP para configurar um firewall para
somente permitir que trfego de computadores especficos ou redes
especficas saia e entre.
Nmeros de Protocolo. Os nmeros de protocolo especificam se o
pacote contm trfego TCP ou UDP. Voc pode filtrar nmeros de
protocolo para bloquear pacotes contendo certos tipos de trfego. Os
computadores Windows normalmente usam UDP para trocas curtas de
mensagens, como transaes DNS e DHCP. Os pacotes TCP
normalmente carregam quantidades muito maiores de dados, como os
arquivos trocados por servidores web, de arquivo e/ou de impresso.

332

Nmeros de Porta. Nmeros de porta identificam aplicaes


especficas rodando no computador. As regras de firewall mais comuns
usam nmeros de porta para especificar os tipos de trfego de aplicao
que o computador tem permisso de enviar e receber. Por exemplo, um
servidor web normalmente recebe pacotes na porta 80. A no ser que o
firewall possua uma regra abrindo a porta 80 para trfego de entrada, o
servidor web no poder funcionar em sua configurao padro.

Regras de firewall podem funcionar de duas maneiras:

Permitir todo o Trfego, exceto o que coincidir com as regras aplicadas


Bloquear todo o Trfego, exceto o que coincidir com as regras aplicadas

Geralmente, bloquear todo o trfego por padro mais seguro. Do ponto de


vista do administrador do servidor, voc comea com um sistema
completamente fechado, e ento comea a testar suas aplicaes. Quando
uma aplicao no funciona corretamente devido ao bloqueio do acesso
rede, voc cria uma regra que abre as portas que a aplicao precisa para se
comunicar.
Este o mtodo que o Windows Firewall usa por padro para o trfego de
entrada. Existem regras padro pr-configuradas no firewall que foram feitas
para permitir o trfego usado pelas funes de rede padro do Windows, como
compartilhamento de arquivos e impressoras. Para o trfego de rede de sada,
o Windows firewall usa outro mtodo, permitindo todo o trfego a passar exceto
aquele que coincidir com uma regra de bloqueio.

Trabalhando com o Windows Firewall


O Windows Firewall um nico programa com um conjunto de regras, ms
existem duas interfaces distintas que voc pode usar para gerenci-lo e
monitor-lo. O applet de controle do Windows Firewall fornece uma interface
simplificada que permite que administradores evitem os detalhes de regras e
nmeros de portas. Se voc s quiser ligar e desligar o Firewall (tipicamente
para fins de teste ou de resoluo de problemas) ou trabalhar com as
configuraes do firewall de uma funo ou recurso especfico do Windows,
voc pode faz-lo usando apenas o painel de controle. Para acesso completo
as regras do firewall e funes mais sofisticadas, voc deve usar o console do
Windows Firewall com Segurana Avanada, como discutido mais tarde nesse
captulo.
Em muitos casos, administradores nunca tm de trabalhar diretamente com o
Windows Firewall. Muitas das funes e dos recursos includos no Windows
Server 2012 R2 automaticamente abrem as portas apropriadas no firewall

333

quando voc os instala. Em outras situaes, o sistema avisa sobre questes


com o firewall.
Por exemplo, a primeira vez que voc abre o Explorador de Arquivos e tenta
acessar a rede, um aviso aparece, te avisando que a Descoberta de Rede e o
Compartilhamento de Arquivos esto desligados , te impedindo de navegar
pela rede.
A Descoberta de Rede apenas um conjunto de regras do firewall que regulam
as portas que o Windows usa para navegao pela rede, especificamente as
portas 137, 138, 1900, 2869, 3702, 5355 e 5358. Por padro, o Windows
Server 2012 R2 desabilita as portas de entrada associadas com essas portas,
ento as portas esto fechadas, bloqueando todo o trfego atravs delas.
Quando voc clica no banner de aviso e escolhe Ativar a Descoberta de Rede
e o Compartilhamento de Arquivos, voc est efetivando essas regras do
firewall, portanto abrindo as portas associadas com elas.
Alm dos comandos do menu acessveis atravs do banner de aviso, voc
pode controlar as regras da Descoberta de Rede e o Compartilhamento de
Arquivos de outras formas. O painel de controle da Central de Rede e
Compartilhamento, atravs da sua pgina de Configuraes Avanadas de
Compartilhamento, fornece opes que voc pode usar para ligar ou desligar a
Descoberta de Rede, o Compartilhamento de Arquivos e outras funes
bsicas de rede.
O painel de controle do Windows Firewall possui um link chamado Permitir um
Aplicativo ou Recurso atravs do Windows Firewall, que exibe a caixa de
dilogo Aplicativos Permitidos. A caixa de seleo Descoberta de Rede nesta
caixa de dilogo permite controlar o mesmo conjunto de regras que o painel de
controle da Descoberta de Rede na Central de Rede e Compartilhamento.
Por fim, voc pode acessar as regras individuais da Descoberta de Rede
usando o console do Windows Firewall com Segurana Avanada. Quando
voc seleciona o n Regras de entrada e percorre a lista, voc pode ver as
nove regras da Descoberta de Rede.
Como voc pode ver examinando as regras no console, a Descoberta de Rede
uma funo complexo do Windows que seria difcil de controlar se voc
tivesse de determinar por tentativa e erro quais portas ela usa. Isso a razo
pela qual o Windows Firewall inclui uma grande coleo de regras que regulam
as portas que as aplicaes e servios includos com o sistema operacional
precisam para funcionar.

334

Usando o applet do Windows Firewall no painel de controle


O applet do Windows Firewall no painel de controle fornece o acesso mais fcil
e seguro aos controles do firewall. Esses controles normalmente so
suficientes para a maioria dos administradores de servidor, a no ser que o
sistema possua requisitos especiais, ou voc estiver trabalhando com
aplicaes customizadas.
Quando voc abre o Windows Firewall atravs do painel de controle, como
mostra a figura abaixo, voc v a seguinte informao:

Se o computador est conectado a uma rede de domnio, privada ou


pblica
Se o servio do Windows Firewall est ligado ou desligado
Se as conexes de entrada ou sada esto bloqueadas
O nome da rede ativa atual
Se os usurios so notificados quando uma aplicao bloqueada ou
no

No lado esquerdo da janela esto uma srie de links, que fornecem as


seguintes funes:

Permitir um Aplicativo ou Recurso atravs do Windows Firewall.


Abre a caixa de dilogo Aplicativos Permitidos, na qual voc pode
selecionar as aplicaes que podem enviar trfego pelo firewall.

335

Alterar configuraes de notificao. Abra a caixa de dilogo


Customizar Configuraes, na qual voc pode ajustar as configuraes
de notificao para cada um dos trs perfis.
Restaurar Padres. Retorna todas as configuraes do firewall para o
padro de instalao.
Configuraes Avanadas. Executa o console do Windows Firewall
com Configurao Avanada.
Solucionar Problemas com a Rede. Executa o aplicativo Solucionar
Problemas Rede e Internet.

Customizando Configuraes
Muitos dos links na janela do Windows Firewall apontam para o mesmo lugar:
uma caixa de dilogo Customizar Configuraes que contm controles para
alguns das funes mais bsicas do firewall.
A caixa de dilogo Customizar Configuraes, mostrada na figura abaixo,
organizada de acordo com trs reas, correspondendo aos trs perfis em um
computador Windows . o Windows Firewall usa esse perfis para representar o
tipo de rede em que o servidor est conectado. Os perfis so como segue:

Pblico. O perfil pblico (ou convidado) pensado para que esto


acessveis para usurios no autenticados ou temporrios, como
computadores em um laboratrio aberto ou quiosque.
Privado. O perfil privado foi feito para servidores em uma rede interna
que no acessvel a usurios no autenticados.
Domnio. O perfil de rede aplicado para servidores que so membros
de um domnio do AD DS no qual todos os usurios so identificados e
autenticados.

336

No Windows Firewall, os trs perfis so essencialmente conjuntos separados


de regras que se aplicam somente aos computadores conectados ao tipo de
rede designado. Administradores podem controlar o ambiente para cada tipo de
rede definindo regras e configuraes separadas para cada perfil.
A caixa de dilogo Customizar Configuraes possui os seguintes controles
para cada um dos trs perfis de rede:

Ligar ou Desligar o Windows Firewall. Liga ou desliga o Windows


Firewall para o perfil selecionado.
Bloquear todas as conexes de entrada, incluindo aquelas na lista de
aplicaes permitidas. Permite aumentar a segurana do seu sistema
bloqueando todas as tentativas no solicitadas de conexo ao seu
computador.
Notificar-me quando o Windows Firewall bloquear um aplicativo
novo. Faz o sistema notificar o usurio quando uma aplicao falhar ao
tentar enviar trfego atravs do Windows Firewall.

337

Permitindo Aplicaes
Existem momentos em que administradores podem necessitar modificar as
configuraes do firewall de outras maneiras, tipicamente por uma aplicao
especifica necessitar de acesso a uma porta no antecipada pelas regras
padro do firewall.
Para fazer isso, voc pode usar a caixa de dilogo Aplicativos Permitidos no
painel de controle do Windows Firewall, como mostra a figura abaixo.

Abrir uma porta em um firewall de um servidor uma atividade perigosa.


Quanto mais portas abertas voc coloca em um muro, maior a probabilidade de
intrusos entrarem. O Windows Firewall disponibiliza dois mtodos bsicos para
abrir um buraco em seu firewall: abrir uma porta e permitir uma aplicao.
Ambas so arriscadas, mas a segunda menos. Isso porque quando voc
abre uma porta criando uma regra no console do Windows Firewall com
Segurana Avanada, a porta fica aberta permanentemente. Quando voc
permite uma aplicao atravs do painel de controle, a porta especificada fica
aberta somente enquanto o programa est rodando. Quando voc finaliza o
programa, o firewall fecha a porta.

338

Verses anteriores do Windows chamam aplicaes permitidas de


excees, significando que elas so excees nas regras gerais do
firewall que fecham todas as portas do computador contra intrusos.
Voc deve estar preparado para ver os dois termos no exame.

As aplicaes listadas na caixa de dilogo Aplicaes Permitidas so baseadas


nas funes e recursos instalados no servidor. Cada aplicao listada
corresponde a uma ou mais regras do firewall, as quais o painel de controle
ativa e desativa conforme necessrio.
Ao contrrio das verses anteriores, a verso do painel de controle do
Windows Firewall no Windows Server 2012 R2 no fornece acesso direto aos
nmeros de porta. Para mais controle preciso sobre o firewall, voc deve usar o
console Windows Firewall com Segurana Avanada, que voc pode acessar
clicando em Configuraes Avanadas no painel de controle do Windows
Firewall ou selecionando-o no menu Ferramentas do Gerenciador do Servidor.

Usando o console do Windows Firewall com Segurana Avanada


O painel de controle do Windows Firewall feito para permitir usurios
avanados e administradores gerenciarem configuraes bsicas de firewall.
Para acesso completo as configuraes do Windows Firewall, voc deve usar o
snap-in do MMC chamado Windows Firewall com Segurana Avanada.
Para abrir o console, abra o Gerenciador e no menu Ferramentas selecione
Windows Firewall com Segurana Avanada. O console do Windows Firewall
com Segurana Avanada ser aberto, como mostra a figura a seguir.

339

Definir Configuraes de Perfis


No topo do painel central do console do Windows Firewall com Segurana
Avanada, na seo Viso Geral, so exibidos os status para os trs perfis de
locais de rede. Se voc conectar um computador em uma rede diferente (o que
no acontece normalmente com um servidor), o Windows Firewall pode
carregar um perfil diferente e um conjunto diferente de regras.
A configurao padro do Windows Firewall possui as mesmas configuraes
bsicas para os trs perfis, como segue:

O firewall est ligado.


O trfego de entrada fica bloqueado a no ser que coincida com uma
regra.
O trfego de sada permitido a no ser que coincida com uma regra.

Voc pode alterar o comportamento padro clicando no link de propriedades do


Windows Firewall, que mostra a caixa de dilogo Windows Firewall com
Segurana Avanada no Computador Local.
Nesta caixa de dilogo, cada um dos trs perfis de rede possui uma aba com
controles idnticos que permitem modificar as configuraes padro do perfil.
Voc por exemplo, configurar o firewall para se desligar completamente quando
estiver conectado numa rede de domnio e voc pode configurar o firewall para
iniciar com suas configuraes mais protegidas quando voc conecta em uma
rede pblica. Voc tambm pode configurar as opes de notificao do
firewall, seu comportamento de registro de log, e como reage quando as regras
conflitam.

Criar Regras
As aplicaes permitidas que voc configura no painel de controle do Windows
Firewall so um mtodo relativamente amigvel para se trabalhar com regras
de firewall. No console Windows Firewall com Segurana avanada, voc pode
trabalhar com as regras em seu formato cru.
Selecionar Regras de Entrada ou Regras de Sada no painel da esquerda
mostra uma lista de todas as regras que operam nessa direo, como vemos
na figura abaixo. As regras que esto atualmente operacionais possuem uma
marca de visto dentro de um crculo verde; as regras que no esto ativas
ficam indisponveis.

340

Criar novas regras usando essa interface fornece flexibilidade muito maior do
que o painel de controle do Windows Firewall. Quando voc clica com o boto
direito em Regras de Entrada (ou Regras de Sada) e seleciona a opo Nova
Regra, o Assistente Nova Regra de Entrada (ou de Sada) te acompanha pelo
processo de configurao dos seguintes conjuntos de parmetros.

Tipo de Regra. Especifica se voc quer criar uma regra de programa,


uma regra de porta, uma variante de uma das regras pr-configuradas
ou uma regra customizada. Este seleo determina quais das pginas a
seguir o assistente ir exibir.
Programa. Especifica se a regra se aplicar a todos os programas, a um
programa especfico ou a um servio especfico. Isso o equivalente de
definir uma aplicao permitida no painel de controle do Windows
Firewall, exceto que voc deve especificar o caminho exato para a
aplicao.
Protocolo e Portas. Especifica o protocole de rede ou de camada de
transporte ou as portas local e remota as quais a regras se aplica. Isso
permite especificar os tipos exatos de trfego que a regra deve permitir
ou bloquear. Para criar regras desta maneira, voc deve estar
familiarizado com os protocolos e portas que uma aplicao usa para se
comunicar nas duas pontas da conexo.
Regras Predefinidas. Especifica quais regras predefinidas relacionadas
a requisitos especficos de conectividade de rede o assistente deve criar.
Escopo. Especifica os endereos IP dos sistemas local e remoto aos
quais a regra se aplica. Isso te permite bloquear ou permitir trfego entre
computadores especficos.
Ao. Especifica a ao que o firewall deve tomar quando pacotes
coincidirem com a regra. Voc configura a regra para permitir trfego se
for bloqueado por padro ou bloqueia trfego se for permitido por
padro. Voc tambm pode configurar a regra para permitir trfego
somente quando a conexo entre os computadores comunicantes
estiver segura atravs do uso do IPsec.

341

Perfil. Especifica o perfil ao qual a regra de se aplicar: domnio, privado


ou pblico.
Nome. Especifica um nome e uma descrio (opcional) para a regra.

As regras que voc cria usando os assistentes vo de simples regras de


programas, como aqueles que voc pode criar no painel de controle do
Windows Firewall, at regras altamente complexas e especficas que
bloqueiam ou permitem apenas tipos especficos de trfego entre
computadores especficos. Quanto mais complicadas as regras se tornam,
entretanto, mais voc precisa conhecer sobre comunicaes TCP/IP em geral e
o comportamento especfico de suas aplicaes. Modificar as configuraes
padro do firewall para acomodar algumas aplicaes especiais
relativamente simples, mas criar uma configurao de firewall inteiramente
nova uma tarefa formidvel.

Importar e Exportar Regras


O processo de criar e modificar regras no console do Windows Firewall com
Segurana Avanada pode levar muito tempo, e repetir o processo em vrios
computadores levaria ainda mais tempo. Portanto, o console torna possvel
salvar as regras e configuraes que voc criou exportando-as para um
arquivo.
Um arquivo de poltica um arquivo com a extenso .wfw que contm todas as
propriedades em uma instalao do Windows Firewall e todas as suas regras,
incluindo as regras pr-configuradas e aquelas que voc criou ou modificou.
Para criar um arquivo de poltica, selecione Exportar Poltica no menu Ao no
console do Windows Firewall com Segurana Avanada, e ento especificar
um nome e local para o arquivo.
Quando voc importa polticas de um arquivo, o console te avisa que todas as
regras e configuraes sero sobrescritas. Voc deve portanto ter cuidado
para no criar regras customizadas em um computador e ento esperar
importar outras regras atravs de um arquivo de poltica.

Criar Regras atravs de Polticas de Grupo


O console do Windows Firewall com Segurana Avanada torna possvel criar
configuraes complexas de firewall, mas o Windows Firewall ainda uma
aplicao feita para proteger um nico computador de intrusos. Se voc possui
um grande nmero de servidores rodando o Windows Server 2012 R2, criar

342

manualmente uma configurao complexa de firewall em cada um pode ser um


processo demorado. Portanto, como a maioria das tarefas de configurao do
Windows, administradores podem distribuir configuraes de firewall aos
computadores da rede usando Poltica de Grupo.
Quando voc edita uma GPO e navega at o n Configuraes do
Computador/ Polticas/ Windows Firewall com Segurana Avanada, voc v
uma interface que quase idntica ao console do Windows Firewall com
Segurana Avanada.
Voc pode configurar as propriedades do Windows Firewall e criar regras de
entrada, de sada e regras de segurana de conexo, da mesma forma que
faria no console. A diferena que voc pode ento implantar essas
configuraes em computadores em qualquer lugar na rede vinculando a GPO
a um objeto domnio do AD DS, site ou OU.
Quando voc abre uma nova GPO, o n do Windows Firewall com Segurana
Avanada no contm nenhuma regra. As regras pr-configuradas que voc
encontra em todo computador rodando o Windows Server 2012 R2 no esto
l. Voc pode criar novas regras para serem implantadas na rede, ou voc
pode importar configuraes a partir de um arquivo de polticas, assim como
faria no console do Windows Firewall com Segurana Avanada.
As Polticas de Grupo no sobrescrevem toda a configurao do Windows
Firewall da forma que importar um arquivo e poltica faz. Quando voc implanta
regras de firewall e configuraes atravs das Polticas de Grupo, as regras na
GPO so combinadas com as regras existentes nos computadores alvo. A
nica exceo quando voc implanta regras com nomes idnticos as regras
j existentes. Nesse caso, as configuraes da GPO sobrescrevem aquelas
encontradas nos computadores alvo.

Criar Regras de Segurana de Conexo


O Windows Server 2012 R2 tambm inclui um recurso que incorpora a
proteo de dados do IPsec ao Windows Firewall. Os padres de Segurana IP
(IPsec) so uma coleo de documentos que definem mtodos para proteger
dados enquanto esto em trnsito sobre uma rede TCP/IP. O IPsec inclui uma
rotina de estabelecimento de conexo, durante a qual computadores se
autenticam um ou outro antes de transmitir dados, e uma tcnica chamada
tunelamento, na qual pacotes de dados so encapsulados dentro de outros
pacotes para proteg-los.
Alm das regras de entrada e sada, o console do Windows Firewall com
Segurana Avanada permite criar regras de segurana de conexo atravs do
Assistente para Nova Regra de Segurana de Conexo. Regras de Segurana

343

de Conexo definem o tipo de proteo que voc quer aplicar as comunicaes


que conformam com as regras do Windows Firewall.
Quando voc clica com o boto direito no n Regras de Segurana de
Conexo e seleciona Nova Regra no menu de atalho, o Assistente para Nova
Regra de Segurana de Conexo te acompanha pelo processo de configurao
dos seguintes conjuntos de parmetros:

Tipo de Regra. Especifica a funo bsica da regra, como isolar


computadores baseado em critrios de autenticao, para isolar certos
computadores (como servidores de infraestrutura) da autenticao, para
autenticar dois computadores especficos ou grupos de computadores,
ou tunelar a comunicao entre dois computadores. Voc tambm pode
criar regras customizadas combinando essas funes.
Pontos de Extremidade (Endpoints). Especifica os endereos IP dos
computadores que iro estabelecer a conexo antes de transmitir
quaisquer dados.
Requisitos. Especifica se a autenticao entre os dois computadores
deve ser solicitada ou requerida em cada direo.
Mtodo de Autenticao. Especifica o tipo de autenticao que
computadores devem usar quando estabelecem uma conexo.
Perfil. Especifica o perfil ao qual a regra deve ser aplicada: domnio,
privado ou pblico.
Nome. Especifica um nome e descrio (opcional) para a regra.

344