Você está na página 1de 432

OFFICIAL

MICROSOFT

LEARNING

PRODUCTS

10221A:
Configurao e soluo de
problemas de uma infraestrutura
de rede do Windows Server 2008

Lembre-se de acessar o contedo de aprendizado ampliado no CD


Complementar do Curso includo na contracapa do livro.

ii

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

As informaes includas neste documento, inclusive URLs e referncias a outros sites da Web
na Internet, podem ser alteradas sem aviso prvio. Salvo indicao em contrrio, os nomes de
empresas, organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas,
lugares e acontecimentos aqui mencionados so fictcios e nenhuma associao a empresas,
organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares ou
acontecimentos reais intencional ou deve ser inferida. Obedecer s leis de direitos autorais
responsabilidade do usurio. Sem limitar os direitos autorais, nenhuma parte deste documento
pode ser reproduzida, armazenada ou apresentada em um sistema de recuperao ou transmitida
de qualquer forma ou por qualquer meio (eletrnico, mecnico, fotocpia, gravao ou de outra
forma), ou para qualquer fim, sem a permisso por escrito da Microsoft Corporation.
A Microsoft pode ter patentes, patentes pendentes, marcas comerciais, direitos autorais ou outros
direitos de propriedade intelectual que abordam o assunto em questo neste documento. Exceto se
expressamente previsto em um acordo de licena por escrito da Microsoft, o fornecimento deste
documento no concede licena para essas patentes, marcas comerciais, direitos autorais ou outra
propriedade intelectual.
Os nomes de fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos e a
Microsoft no faz promessas nem oferece garantias expressas, implcitas ou legais referentes a esses
fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante
ou produto no implica endosso do fabricante ou produto por parte da Microsoft. Links podem ser
fornecidos para sites de terceiros. Esses sites no so controlados pela Microsoft, a qual no se
responsabiliza pelo contedo de qualquer site vinculado ou qualquer link existente em um site
vinculado, ou qualquer mudana ou atualizao em tais sites. A Microsoft no se responsabiliza pela
transmisso por webcast ou por qualquer outra forma de transmisso recebida de qualquer site
vinculado. A Microsoft est fornecendo esses links para sua convenincia e a incluso de tais links
no implica endosso do site ou de outros produtos nele contidos por parte da Microsoft.
2010 Microsoft Corporation. Todos os direitos reservados.
Microsoft, Access, Active Directory, ActiveX, BitLocker, ESP, Hyper-V, Internet Explorer, MS-DOS,
Outlook, PowerPoint, SharePoint, SQL Server, Windows, Windows Server e Windows Vista so
marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros
pases.
Todas as outras marcas comerciais so de propriedade dos respectivos proprietrios.

Revisor tcnico: Stan Reimer

Nmero do produto: 10221A


Pea nmero: X16-61064
Lanamento: 04/2010

TERMOS DE LICENA DA MICROSOFT


OFFICIAL MICROSOFT LEARNING PRODUCTS
EDIO DO INSTRUTOR Verses de Pr-lanamento
e final
Estes termos de licena so um acordo entre a Microsoft Corporation e voc. Por favor,
leia-os. Eles se aplicam ao Contedo Licenciado supracitado, que inclui a mdia na qual ele
est contido, caso haja uma. Os termos tambm se aplicam aos seguintes itens da
Microsoft:

atualizaes,

suplementos,

servios via Internet e

servios de suporte

referentes a este Contedo Licenciado, a menos que outros termos acompanhem esses
itens. Nesse caso, tais termos se aplicam.
Ao usar o Contedo Licenciado, voc estar aceitando estes termos. Se voc no
os aceitar, no use o Contedo Licenciado.
Se cumprir estes termos de licena, voc ter os direitos a seguir.
1. DEFINIES.
a. Materiais Acadmicos significa a documentao impressa ou eletrnica, como

manuais, livros didticos, white papers, press-releases, folhas de dados e perguntas


freqentes, que esteja includa no Contedo Licenciado.

b. Centro(s) de Aprendizagem Autorizado(s) significa um local de Microsoft

Certified Partner for Learning Solutions, um local do IT Academy ou outra entidade


semelhante designada ocasionalmente pela Microsoft.

c. Sesso(es) de Treinamento Autorizada(s) significa aquelas sesses de

treinamento autorizadas pela Microsoft e conduzidas por um Instrutor em Centros


de Aprendizagem Autorizados ou por meio deles, fornecendo treinamento a Alunos
somente em Produtos Microsoft Official Learning (anteriormente conhecidos como
MOC [Microsoft Official Curriculum]) e Produtos Microsoft Dynamics Learning
(anteriormente conhecidos como cursos do Microsoft Business Solutions). Cada
Sesso de Treinamento Autorizada fornecer treinamento sobre a matria de um (1)
Curso.

d. Curso significa um dos cursos que utilizam Contedo Licenciado oferecidos por

um Centro de Aprendizagem Autorizado durante uma Sesso de Treinamento


Autorizada, cada um dos quais fornecendo treinamento sobre uma matria
tecnolgica especfica da Microsoft.
e. Dispositivo(s) significa um nico computador, dispositivo, estao de trabalho,

terminal ou outro dispositivo analgico ou eletrnico digital.

f.

Contedo Licenciado significa o material que acompanha estes termos de


licena. O Contedo Licenciado pode incluir os seguintes elementos, sem se limitar a
eles: (i) Contedo do Instrutor, (ii) Contedo do Aluno, (iii) guia de configurao da
sala de aula e (iv) Software. H componentes diferentes e separados do Contedo
Licenciado para cada Curso.

g.

Software significa as Mquinas Virtuais e os Discos Rgidos Virtuais ou outros


aplicativos de software que estejam includos no Contedo Licenciado.

h. Aluno(s) significa um aluno devidamente inscrito em uma Sesso de

Treinamento Autorizada em seu local.


i.

Contedo do Aluno significa o material de aprendizagem que acompanha estes


termos de licena e que se destina ao uso por Alunos e Instrutores durante uma
Sesso de Treinamento Autorizada. O Contedo do Aluno pode incluir laboratrios,
simulaes e arquivos de curso para um Curso.

j.

Instrutor(es) significa a) uma pessoa devidamente certificada pela Microsoft


como um Microsoft Certified Trainer e b) outro indivduo que esteja autorizado, por
escrito, pela Microsoft e esteja vinculado a um Centro de Aprendizagem Autorizado
para ministrar uma Sesso de Treinamento Autorizada a Alunos em nome do Centro
de Aprendizagem Autorizado.

k. Contedo do Instrutor significa o material que acompanha estes termos de

licena e que se destina ao uso por Alunos e Instrutores, conforme aplicvel,


unicamente durante uma Sesso de Treinamento Autorizada. O Contedo do
Instrutor pode incluir Mquinas Virtuais, Discos Rgidos Virtuais, arquivos do
Microsoft PowerPoint e anotaes do instrutor, bem como guias de demonstrao e
arquivos de script para um Curso.
l.

Discos Rgidos Virtuais significa o Software Microsoft composto por discos


rgidos virtualizados (como um disco rgido virtual bsico ou discos associados) para
uma Mquina Virtual que pode ser carregado em um nico computador ou outro
dispositivo para permitir que os usurios finais executem vrios sistemas
operacionais simultaneamente. Para os fins destes termos de licena, Discos Rgidos
Virtuais sero considerados parte do Contedo do Instrutor.

m. Mquina Virtual significa uma experincia de computao virtualizada, criada e

acessada com o uso de software Microsoft Virtual PC ou Microsoft Virtual Server,


que consiste em um ambiente de hardware virtualizado, um ou mais Discos Rgidos
Virtuais e um arquivo de configurao que define os parmetros do ambiente de
hardware virtualizado (p. ex., RAM). Para os fins destes termos de licena, Discos
Rgidos Virtuais sero considerados parte do Contedo do Instrutor.

n. voc significa o Centro de Aprendizagem Autorizado ou o Instrutor, conforme

aplicvel, que concordou com estes termos de licena.

2. VISO GERAL.

Contedo Licenciado. O Contedo Licenciado inclui Software, Materiais Acadmicos


(online e eletrnicos), Contedo do Instrutor, Contedo do Aluno, guia de configurao
da sala de aula e qualquer mdia associada.

Modelo de Licena. O Contedo Licenciado licenciado por cpia por local de Centro
de Aprendizagem Autorizado ou por Instrutor.
3. DIREITOS DE INSTALAO E USO.
a. Centros de Aprendizagem Autorizados e Instrutores: para cada Sesso de

Treinamento Autorizada, voc pode:


i. instalar cpias individuais do Contedo Licenciado relevante em Dispositivos de
sala de aula somente para uso pelos Alunos inscritos e pelo Instrutor que
ministrar a Sesso de Treinamento Autorizada, desde que o nmero de cpias
em uso no exceda o nmero de Alunos inscritos, mais o Instrutor que
ministrar a Sesso de Treinamento Autorizada, OU
ii. instalar uma cpia do Contedo Licenciado relevante em um servidor de rede
somente para acesso por Dispositivos de sala de aula e somente para uso pelos
Alunos inscritos e pelo Instrutor que ministrar a Sesso de Treinamento
Autorizada, desde que o nmero de Dispositivos que acessem o Contedo
Licenciado no dito servidor no exceda o nmero de Alunos inscritos, mais o
Instrutor que ministrar a Sesso de Treinamento Autorizada;
iii. e permitir que os Alunos inscritos e o Instrutor que ministrar a Sesso de
Treinamento Autorizada utilizem o Contedo Licenciado instalado por voc de
acordo com (i) ou (ii) acima durante a dita Sesso de Treinamento Autorizada de
acordo com estes termos de licena.
iv.

Separao de Componentes. Os componentes do Contedo Licenciado so


licenciados como uma nica unidade. Voc no poder separar os componentes
e instal-los em Dispositivos diferentes.

v.

Programas de Terceiros. O Contedo Licenciado poder conter programas de


terceiros. Estes termos de licena se aplicaro ao uso desses programas de
terceiros, a menos que outros termos acompanhem esses programas.

b. Instrutores:
i.

Os Instrutores podem usar o Contedo Licenciado instalado por voc ou por um


Centro de Aprendizagem Autorizado em um Dispositivo de sala de aula para
ministrar uma Sesso de Treinamento Autorizada.

ii.

Os Instrutores tambm podem usar uma cpia do Contedo Licenciado conforme


se segue:
A. Dispositivo Licenciado. O Dispositivo licenciado o Dispositivo no qual voc

usa o Contedo Licenciado. Voc pode instalar e usar uma cpia do Contedo
Licenciado no Dispositivo licenciado somente para seu uso em treinamento
pessoal e para a preparao de uma Sesso de Treinamento Autorizada.
B. Dispositivo Porttil. Voc pode instalar outra cpia em um dispositivo porttil

somente para seu uso em treinamento pessoal e para a preparao de uma


Sesso de Treinamento Autorizada.

4. VERSES DE PR-LANAMENTO. Se esta for uma verso de pr-lanamento

(beta), as seguintes clusulas sero aplicveis alm de outros termos neste contrato:
a. Contedo Licenciado de Pr-Lanamento. Este Contedo Licenciado uma

verso de pr-lanamento. Ele no pode conter as mesmas informaes e/ou


funcionar da mesma maneira que uma verso definitiva do Contedo Licenciado.
Poderemos alter-lo na verso comercial definitiva. Alm disso, no podemos lanar
uma verso comercial. Voc dever informar o disposto acima de maneira clara e
visvel a todos os Alunos participantes de cada Sesso de Treinamento Autorizado.
Alm disso, informe que voc ou a Microsoft no tem qualquer obrigao de
fornecer nenhum outro contedo, incluindo, mas sem limitao, a verso lanada
em carter definitivo do Contedo Licenciado do Curso.

b. Comentrios. Se voc concordar em enviar Microsoft comentrios sobre o

Contedo Licenciado, estar dando Microsoft, a ttulo gratuito, o direito de usar,


compartilhar e comercializar seus comentrios de qualquer maneira e para qualquer
finalidade. Alm disso, voc concede a terceiros, sem custos, todos os direitos de
patente necessrios para que seus produtos, suas tecnologias e seus servios usem,
ou estabeleam conexo com, qualquer parte especfica de um software, Contedo
Licenciado ou servio da Microsoft que inclua os comentrios. Voc no dever
enviar comentrios sujeitos a uma licena que exija da Microsoft o licenciamento do
seu software ou da sua documentao a terceiros em virtude da incluso dos seus
comentrios nesses elementos. Esses direitos permanecero em vigor aps o
trmino deste contrato.

c. Informaes Confidenciais. O Contedo Licenciado, incluindo qualquer

visualizador, interface de usurio, recursos e documentao que porventura estejam


presentes no Contedo Licenciado, confidencial e de propriedade da Microsoft e de
seus fornecedores.
i.

Uso. Durante cinco anos aps a instalao do Contedo Licenciado ou do seu


lanamento comercial, o que ocorrer primeiro, voc no poder divulgar
informaes confidenciais a terceiros. Voc poder divulgar informaes
confidenciais apenas aos seus funcionrios e consultores que tenham a
necessidade de conhecer essas informaes. Voc dever firmar contratos
por escrito com eles para proteger essas informaes confidenciais, pelo
menos, de maneira idntica a este contrato.

ii. Continuidade da obrigao. Seu dever de proteger as informaes


confidenciais permanecer aps o trmino deste contrato.
iii. Excluses. Voc poder divulgar informaes confidenciais para atender
ordens judiciais ou do Poder Pblico. Voc dever enviar Microsoft uma
notificao prvia por escrito permitindo que ela busque uma medida cautelar
ou de outra forma proteja as informaes. Entre as informaes confidenciais
no esto informaes que

passem a ser de conhecimento pblico atravs de atos lcitos;

voc tenha recebido de terceiros que no violaram obrigaes de sigilo


para com a Microsoft ou seus fornecedores; ou

voc tenha desenvolvido de forma independente.

d. Prazo. O prazo deste contrato de verses de pr-lanamento (i) a data que a


Microsoft informar a voc como data final de uso da verso beta, ou (ii) o
lanamento comercial da verso definitiva do Contedo Licenciado, o que for
anterior (prazo do beta).
e. Uso. Voc dever deixar de usar todas as cpias da verso beta na resciso ou
trmino dessa verso, bem como destruir todas as cpias dela em seu poder ou sob
seu controle e/ou em poder ou sob controle de qualquer Instrutor que tenha
recebido cpias da verso pr-lanada.
f. Cpias. A Microsoft informar os Centros de Treinamento Autorizados se eles
podem produzir cpias da verso beta (seja na verso impressa e/ou em CD) e
distribuir essas cpias aos Alunos e/ou Instrutores. Caso a Microsoft permita essa
distribuio, voc dever cumprir todos os outros termos que a Microsoft apresentar
em relao a essas cpias e distribuio.
5. DIREITOS DE USO E/OU REQUISITOS DE LICENCIAMENTO ADICIONAIS.

a. Centros de Aprendizagem Autorizados e Instrutores:


i.

Software.
Discos Rgidos Virtuais. O Contedo Licenciado pode conter verses do
Microsoft XP, Microsoft Windows Vista, Windows Server 2003, Windows Server
2008 e Windows 2000 Advanced Server e/ou de outros produtos Microsoft que
so fornecidos em Discos Rgidos Virtuais.
A. Se os Discos Rgidos Virtuais e os laboratrios forem inicializados
por meio do Microsoft Learning Lab Launcher, estes termos sero
aplicveis:
Software com limite de tempo. Caso o Software no seja redefinido, deixar
de funcionar dentro do prazo indicado na instalao das Mquinas Virtuais
(entre 30 e 500 dias aps a instalao). Voc no ser avisado antes que o
Software deixe de funcionar. possvel que voc no consiga acessar os
dados usados ou as informaes salvas nas Mquinas Virtuais quando o
Software parar de funcionar e poder ser obrigado a redefinir essas Mquinas
Virtuais para o estado original. Voc dever remover o Software dos
Dispositivos no final de cada Sesso de Treinamento Autorizado e reinstal-lo
e inici-lo antes do incio da Sesso de Treinamento Autorizado seguinte.
B. Se os Discos Rgidos Virtuais exigirem uma chave de produto para
serem inicializados, estes termos sero aplicveis:
A Microsoft desativar o sistema operacional associado com cada Disco
Rgido Virtual. Antes de instalar Discos Rgidos Virtuais em Dispositivos de
sala de aula para uso durante uma Sesso de Treinamento Autorizada, voc
obter da Microsoft uma chave de produto para o software de sistema
operacional referente aos Discos Rgidos Virtuais e ativar o dito Software
com a Microsoft usando a dita chave de produto.

C. Estes termos sero aplicveis a todas as Mquinas Virtuais e Discos


Rgidos Virtuais:
Voc s poder usar as Mquinas Virtuais e os Discos Rgidos
Virtuais se cumprir os termos e as condies deste contrato e os
seguintes requisitos de segurana:
o Voc no poder instalar Mquinas Virtuais e Discos Rgidos Virtuais em
Dispositivos portteis ou Dispositivos que possam ser acessados por
outras redes.
o Voc dever remover as Mquinas Virtuais e os Discos Rgidos Virtuais de
todos os Dispositivos de sala de aula ao final de cada Sesso de
Treinamento Autorizada, exceto os mantidos em locais de Microsoft
Certified Partners for Learning Solutions.
o Voc dever remover as partes de unidades associadas dos Discos Rgidos
Virtuais de todos os Dispositivos de sala de aula ao final de cada Sesso
de Treinamento Autorizada em locais de Microsoft Certified Partners for
Learning Solutions.
o Voc dever garantir que as Mquinas Virtuais e os Discos Rgidos Virtuais
no sejam copiados ou baixados dos Dispositivos em que foram
instalados por voc.
o Voc dever cumprir rigorosamente todas as instrues da Microsoft
referentes instalao, ao uso, ativao e desativao e segurana
das Mquinas Virtuais e dos Discos Rgidos Virtuais.
o Voc no poder modificar as Mquinas Virtuais e os Discos Rgidos
Virtuais ou qualquer contedo dos mesmos.
o Voc no poder reproduzir ou redistribuir as Mquinas Virtuais ou os
Discos Rgidos Virtuais.
ii. Guia de Configurao da Sala de Aula. Voc dever garantir que qualquer
Contedo Licenciado instalado para uso durante uma Sesso de Treinamento
Autorizada seja realizado de acordo com o guia de configurao da sala de aula
correspondente ao Curso.
iii.

Elementos de Mdia e Modelos. Voc poder permitir que os Instrutores e


Alunos utilizem imagens, clip-arts, animaes, sons, msicas, formas, videoclipes
e modelos fornecidos com o Contedo Licenciado somente em uma Sesso de
Treinamento Autorizada. Caso os Instrutores tenham uma cpia prpria do
Contedo Licenciado, eles podero usar Elementos de Mdia para seu uso em
treinamento pessoal.

iv Software de Avaliao. Qualquer Software includo no Contedo do Aluno


designado como Software de Avaliao poder ser usado por Alunos somente
para seu treinamento pessoal fora da Sesso de Treinamento Autorizada.

b. Somente para Instrutores:


i.

Uso de Modelos de Slide Deck do PowerPoint. O Contedo do Instrutor


pode incluir slide decks do Microsoft PowerPoint. Os Instrutores podem usar,
copiar e modificar os slide decks do PowerPoint somente para ministrar uma
Sesso de Treinamento Autorizada. Caso opte por exercer os direitos
mencionados acima, voc estar concordando ou assegurando que o Instrutor
concorde: (a) que a modificao dos slide decks no constituir a criao de
trabalhos obscenos ou escandalosos, conforme definidos pela legislao federal
no momento em que o trabalho for elaborado; e (b) em cumprir todos os outros
termos e condies deste contrato.

ii. Uso de Componentes Didticos no Contedo do Instrutor. Para cada


Sesso de Treinamento Autorizada, os Instrutores podero personalizar e
reproduzir, de acordo com o Contrato do MCT, as partes do Contedo Licenciado
que estejam logicamente associadas instruo da Sesso de Treinamento
Autorizada. Caso opte por exercer os direitos mencionados acima, voc estar
concordando ou assegurando que o Instrutor concorde: (a) que qualquer uma
dessas personalizaes ou reprodues ser usada somente para ministrar uma
Sesso de Treinamento Autorizada; e (b) em cumprir todos os outros termos e
condies deste contrato.
iii. Materiais Acadmicos. Caso o Contedo Licenciado inclua Materiais
Acadmicos, voc poder copiar e usar esses Materiais. No permitido fazer
modificaes nos Materiais Acadmicos nem imprimir livros (eletrnicos ou em
verso impressa) integralmente. No caso da reproduo de Materiais
Acadmicos, voc concorda que:

o uso dos Materiais Acadmicos ser exclusivamente para sua referncia ou


treinamento pessoal;

voc no republicar nem postar os Materiais Acadmicos em nenhum


computador de rede, nem os transmitir em nenhuma mdia;

voc incluir o aviso de direitos autorais original dos Materiais Acadmicos,


ou um aviso de direitos autorais em benefcio da Microsoft no formato
indicado abaixo:
Formato do Aviso:
2010 Reimpresso para uso como referncia pessoal apenas com
a permisso da Microsoft Corporation. Todos os direitos reservados.
Microsoft, Windows e Windows Server so marcas registradas ou
comerciais da Microsoft Corporation nos Estados Unidos e/ou em
outros pases. Outros nomes de empresas e produtos aqui
mencionados so marcas comerciais de seus respectivos
proprietrios.

6. SERVIOS VIA INTERNET. A Microsoft poder fornecer servios via Internet com o

Contedo Licenciado. Ela poder alter-los ou cancel-los a qualquer momento. Voc


no poder usar esses servios de maneira que possa danific-los ou prejudicar seu uso
por outros. Em nenhuma hiptese voc poder usar os servios para tentar obter
acesso no autorizado a qualquer servio, dado, conta ou rede.

7. ESCOPO DA LICENA. O Contedo Licenciado licenciado, no vendido. Este

contrato apenas outorga a voc alguns direitos de uso do Contedo Licenciado. A


Microsoft se reserva todos os outros direitos. Salvo quando a legislao aplicvel lhe
conceder mais direitos do que esta limitao, voc s poder usar o Contedo
Licenciado conforme expressamente permitido neste contrato. Ao fazer isso, voc
dever cumprir quaisquer limitaes tcnicas no Contedo Licenciado que permitam o
seu uso apenas de determinadas maneiras. vedado(a):

a instalao de mais cpias do Contedo Licenciado em Dispositivos de sala de aula


do que o nmero de Alunos mais o Instrutor na Sesso de Treinamento Autorizada;

a concesso de permisso de acesso ao servidor para mais Dispositivos de sala de


aula do que o nmero de Alunos inscritos mais o Instrutor que ministrar a Sesso
de Treinamento Autorizada, caso o Contedo Licenciado esteja instalado em um
servidor de rede;

a cpia ou reproduo do Contedo Licenciado em qualquer servidor ou local para


posterior reproduo ou distribuio;

a divulgao dos resultados de qualquer teste de desempenho do Contedo


Licenciado a terceiros sem o prvio consentimento, por escrito, da Microsoft;

a resoluo de limitaes tcnicas no Contedo Licenciado;

a realizao de engenharia reversa, descompilao ou desmontagem do Contedo


Licenciado, exceto e somente na medida em que esta atividade seja expressamente
permitida pela legislao aplicvel, no obstante esta limitao;

a produo de mais cpias do Contedo Licenciado do que aquelas especificadas


neste contrato ou permitidas pela legislao aplicvel, no obstante esta limitao;

a publicao do Contedo Licenciado para a cpia por outras pessoas;

a transferncia do Contedo Licenciado, no todo ou em parte, para um terceiro;

o acesso a ou uso de qualquer Contedo Licenciado para o qual voc (i) no esteja
ministrando um Curso e/ou (ii) no tenha sido autorizado pela Microsoft a acessar e
usar;

o aluguel, arrendamento ou emprstimo do Contedo Licenciado; ou

o uso do Contedo Licenciado para servios de hospedagem comercial ou fins


comerciais gerais.

Os direitos de acesso ao software para servidor que possa estar includo com o
Contedo Licenciado, inclusive os Discos Rgidos Virtuais, no concedem a voc
nenhum direito para implementar patentes da Microsoft ou outras propriedades
intelectuais da Microsoft em softwares ou dispositivos que acessem o servidor.

8. RESTRIES EXPORTAO. O Contedo Licenciado est sujeito s leis e normas

de exportao dos Estados Unidos. Voc dever cumprir todas as leis e normas
nacionais e internacionais de exportao que se aplicam ao Contedo Licenciado. Essas
leis incluem restries a destinos, usurios finais e uso final. Para obter informaes
adicionais, visite a pgina www.microsoft.com/exporting.

9. SOFTWARE/CONTEDO LICENCIADO NO COMERCIALIZVEL (NFR ou

Not For Resale). vedada a venda de software ou Contedo Licenciado identificado


como NFR ou Not for Resale (No Comercializvel).

10. EDIO ACADMICA. Voc dever ser um Usurio Educacional Qualificado para

usar Contedo Licenciado identificado como Academic Edition ou AE. Caso voc no
saiba se ou no um Usurio Educacional Qualificado, visite a pgina
www.microsoft.com/education ou contate a afiliada da Microsoft em seu pas.

11. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir

este contrato caso voc no cumpra os termos e condies destes termos de licena.
No caso de seu status como Centro de Aprendizagem Autorizado ou Instrutor a) expirar,
b) ser rescindido voluntariamente por voc e/ou c) ser rescindido pela Microsoft, este
contrato ser rescindido automaticamente. Em caso de resciso deste contrato, voc
dever destruir todas as cpias do Contedo Licenciado e de todos os seus
componentes.

12. CONTRATO INTEGRAL. Este contrato, e os termos dos suplementos, das

atualizaes, dos servios via Internet e dos servios de suporte usados por
voc, constituem o contrato integral para o Contedo Licenciado e os servios
de suporte.

13. LEGISLAO APLICVEL.


a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados

Unidos, as leis do Estado de Washington regero a interpretao deste contrato e


sero aplicveis s reclamaes de violao do mesmo, independentemente dos
princpios de conflito de leis. As leis do Estado onde voc vive regero todas as
outras reclamaes, incluindo leis de defesa do consumidor, concorrncia desleal e
obrigaes extracontratuais.
b. Fora dos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado em

qualquer outro pas, as leis desse pas sero aplicveis.


14. EFEITO LEGAL. Este contrato descreve alguns direitos legais. Voc poder ter outros

direitos de acordo com as leis do seu pas. Voc tambm poder ter direitos em relao
ao terceiro de quem o Contedo Licenciado foi adquirido. Este contrato no alterar os
seus direitos de acordo com as leis do seu pas, caso as leis do seu pas no o
permitam.

15. ISENO DE RESPONSABILIDADE. O Contedo Licenciado licenciado no

estado em que se encontra. O risco de us-lo responsabilidade sua. A


Microsoft no oferece garantias ou condies expressas. Voc poder ter
direitos de consumidor adicionais de acordo com suas leis locais, os quais
este contrato no poder alterar. Na extenso permitida pelas leis locais, a
Microsoft exclui as garantias implcitas de comercializao, adequao a uma
finalidade especfica e no-violao.

16. LIMITAO E EXCLUSO DE RECURSOS E DANOS. VOC PODE RECUPERAR

DA MICROSOFT E DE SEUS FORNECEDORES APENAS DANOS DIRETOS


LIMITADOS A US$ 5,00 (CINCO DLARES AMERICANOS). NO POSSVEL
RECUPERAR OUTROS DANOS, INCLUINDO CONSEQENCIAIS, LUCROS
CESSANTES, ESPECIAIS, INDIRETOS OU INCIDENTAIS.
Esta limitao aplica-se a:

qualquer assunto relacionado ao Contedo Licenciado, ao software, aos servios, ao


contedo (incluindo cdigo) em sites de Internet de terceiros ou a programas de
terceiros; e

reclamaes por violao contratual, quebra de garantia ou condio,


responsabilidade objetiva, negligncia ou outra responsabilidade extracontratual, na
extenso permitida pela legislao aplicvel.

Tambm ser aplicada ainda que a Microsoft saiba ou tivesse que saber sobre a
possibilidade dos danos. A limitao ou excluso acima poder no se aplicar a voc
pelo fato de o seu pas no permitir a excluso ou limitao de danos incidentais,
conseqenciais ou outros.

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

xiii

Contedo
Mdulo 1: Instalao e configurao de servidores
Lio 1: Instalao do Windows Server 2008
Lio 2: Gerenciamento de funes e recursos do servidor
Lio 3: Viso geral da opo Instalao Server Core
Laboratrio: Instalao e configurao de servidores e funes do servidor

1-3
1-12
1-17
1-25

Mdulo 2: Configurao e soluo de problemas de DNS


Lio 1: Instalao da funo Servidor DNS
Lio 2: Configurao da funo Servidor DNS
Lio 3: Configurao de zonas DNS
Lio 4: Configurao de transferncias de zona DNS
Lio 5: Gerenciamento e soluo de problemas de DNS
Laboratrio: Configurao e verificao de uma soluo DNS

2-3
2-9
2-20
2-27
2-32
2-39

Mdulo 3: Configurao e gerenciamento do WINS


Lio 1: Viso geral do WINS
Lio 2: Gerenciamento do servidor WINS
Lio 3: Configurao da replicao do WINS
Lio 4: Migrao do WINS para o DNS
Laboratrio: Configurao de uma infraestrutura WINS

3-3
3-13
3-22
3-28
3-35

Mdulo 4: Configurao e soluo de problemas de DHCP


Lio 1: Viso geral da funo Servidor DHCP
Lio 2: Configurao de escopos e opes de DHCP
Lio 3: Gerenciamento de um banco de dados DHCP
Lio 4: Monitoramento e soluo de problemas de DHCP
Lio 5: Proteo do DHCP
Laboratrio: Configurao e soluo de problemas da
funo Servidor DHCP

4-3
4-12
4-23
4-32
4-40
4-46

xiv

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

Mdulo 5: Configurao e soluo de problemas de TCP/IP IPv6


Lio 1: Viso geral do IPv6
Lio 2: Coexistncia com o IPv6
Lio 3: Tecnologias de tnel IPv6
Laboratrio A: Configurao de um roteador ISATAP
Lio 4: Transio do IPv4 para o IPv6
Lio 5: Soluo de problemas do IPv6
Laboratrio B: Converso da rede

5-3
5-18
5-27
5-34
5-46
5-49
5-55

Mdulo 6: Configurao e soluo de problemas de Roteamento e Acesso


Remoto
Lio 1: Configurao do acesso rede
Lio 2: Configurao do acesso VPN
Lio 3: Viso geral das diretivas de rede
Lio 4: Viso geral do Kit de Administrao do Gerenciador de Conexes
Lio 5: Soluo de problemas de Roteamento e Acesso Remoto
Laboratrio: Configurao e gerenciamento do acesso rede

6-3
6-12
6-22
6-28
6-34
6-42

Mdulo 7: Instalao, configurao e soluo de problemas do servio de


funo Servidor de Diretivas de Rede
Lio 1: Instalao e configurao de um Servidor de Diretivas de Rede
Lio 2: Configurao de clientes e servidores RADIUS
Lio 3: Mtodos de autenticao do NPS
Lio 4: Monitoramento e soluo de problemas de um Servidor
de Diretivas de Rede
Laboratrio: Configurao e gerenciamento do Servidor de
Diretivas de Rede

7-3
7-9
7-16
7-22
7-27

Mdulo 8: Configurao da Proteo de Acesso Rede


Lio 1: Viso geral da Proteo de Acesso Rede
Lio 2: Funcionamento da NAP
Lio 3: Configurao da NAP
Lio 4: Monitoramento e soluo de problemas da NAP
Laboratrio: Configurao da NAP para DHCP e VPN

8-3
8-19
8-29
8-36
8-40

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

xv

Mdulo 9: Configurao do IPsec


Lio 1: Viso geral do IPsec
Lio 2: Configurao de regras de segurana de conexo
Lio 3: Configurao da imposio NAP para IPsec
Laboratrio: Configurao da imposio NAP para IPsec

9-3
9-11
9-21
9-27

Mdulo 10: Monitoramento e soluo de problemas do IPsec


Lio 1: Monitoramento da atividade do protocolo IPsec
Lio 2: Soluo de problemas do IPsec
Laboratrio: Monitoramento e soluo de problemas do IPsec

10-3
10-8
10-12

Mdulo 11: Configurao e gerenciamento do DFS


Lio 1: Viso geral do DFS
Lio 2: Configurao de namespaces DFS
Lio 3: Configurao da replicao DFS
Laboratrio: Configurao do DFS

11-3
11-16
11-26
11-40

Mdulo 12: Configurao e gerenciamento de tecnologias de


armazenamento
Lio 1: Viso geral do gerenciamento de armazenamento do
Windows Server 2008
Lio 2: Gerenciamento do armazenamento no Gerenciador de
Recursos de Servidor de Arquivos
Lio 3: Configurao do gerenciamento de cotas
Lio 4: Implementao da triagem de arquivo
Lio 5: Gerenciamento de relatrios de armazenamento
Laboratrio: Configurao e gerenciamento de tecnologias de
armazenamento

12-3
12-9
12-17
12-26
12-32
12-37

Mdulo 13: Configurao da disponibilidade de recursos e contedo da rede


Lio 1: Backup dos dados
Lio 2: Configurao de cpias de sombra
Lio 3: Disponibilidade de servidores e servios
Laboratrio: Configurao da disponibilidade dos recursos da rede

13-3
13-14
13-23
13-34

xvi

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

Mdulo 14: Configurao da conformidade de segurana do servidor


Lio 1: Proteo da infraestrutura do Windows
Lio 2: Uso de modelos de segurana para proteger os servidores
Lio 3: Configurao de uma diretiva de auditoria
Lio 4: Viso geral do Windows Server Update Services
Lio 5: Gerenciamento do WSUS
Laboratrio: Configurao da conformidade de segurana do servidor

Respostas do laboratrio

14-3
14-12
14-18
14-25
14-34
14-41

xvii

Sobre este curso


Esta seo apresenta uma breve descrio do curso, do pblico, dos pr-requisitos
sugeridos e dos objetivos do curso.

Descrio do curso
A finalidade deste curso de 5 dias ensinar a Especialistas em Tecnologia do
Active Directory como implementar e configurar o acesso seguro rede, bem como
implementar tecnologias de armazenamento tolerantes a falhas, compreender as
tecnologias de rede mais comumente usadas com o Windows Server 2008 e rede
com IP ativado, alm de como proteger servidores e manter a conformidade de
atualizaes. Depois de conclurem este curso, os alunos sero capazes de configurar
e solucionar problemas de uma infraestrutura de rede do Windows Server 2008.

Pblico-alvo
O principal pblico-alvo deste curso inclui especialistas em tecnologia do Active
Directory que pretendam ser Administradores de Empresa (operaes de rede dirias
de Camada 4) ou Administradores de Rede (Camada 2). Os Administradores de
Servidor experientes que pretendam ser Administradores de Empresa tambm
devem se beneficiar deste curso.
O pblico-alvo secundrio deste curso inclui Administradores da Rede de rea de
Armazenamento que precisam compreender essas informaes, a fim de implantar
ou estender sua atual infraestrutura de armazenamento. Gerentes de Operaes
que precisam dessas informaes para apoiar esforos de soluo de problemas e
decises comerciais tambm se beneficiariam deste curso.

Pr-requisitos do aluno
Para participar deste curso, voc precisa estar em conformidade com os seguintes
pr-requisitos:

Experincia prtica com o Windows Server 2003.

Conhecimento bsico sobre o Active Directory.

Domnio dos conceitos e das metodologias de segurana (por exemplo,


polticas corporativas).

Conhecimento bsico de DHCP.

Conhecimento bsico de IPsec.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Sobre este curso

Sobre este curso

Objetivos do curso
Depois de conclurem este curso, os alunos sero capazes de:

Instalar e configurar servidores.

Configurar e solucionar problemas de DNS.

Configurar e gerenciar o WINS.

Configurar e solucionar problemas de DHCP.

Configurar e solucionar problemas de TCP/IP IPv6.

Configurar e solucionar problemas de Roteamento e Acesso Remoto.

Instalar, configurar e solucionar problemas do servio de Funo Servidor de


Diretivas de Rede.

Configurar a Proteo de Acesso Rede.

Configurar o IPsec.

Monitorar e solucionar problemas do IPsec.

Configurar e gerenciar o Sistema de Arquivos Distribudo.

Configurar e gerenciar tecnologias de armazenamento.

Configurar a disponibilidade de recursos e contedo da rede.

Configurar a conformidade de segurana do servidor.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

xviii

xix

Descrio do curso
Esta seo fornece um resumo do curso:
Mdulo 1: este mdulo explica como identificar o cenrio de utilizao adequado
e o tipo de instalao para um servidor, e depois ajuda a instalar e configurar as
funes e os recursos pertinentes do servidor.
Mdulo 2: este mdulo explica como configurar, gerenciar e solucionar problemas
do servidor DNS e das propriedades da zona para uso em um ambiente seguro.
Mdulo 3: este mdulo explica como configurar, gerenciar e solucionar problemas
de servidores WINS.
Mdulo 4: este mdulo explica como configurar, gerenciar e solucionar problemas
de um ambiente com protocolo DHCP suportando uma infraestrutura IPv4.
Mdulo 5: este mdulo explica como configurar e solucionar problemas de
endereos IPv6 estticos e dinmicos, como os comprimentos de prefixos da subrede, gateways e servidores DNS.
Mdulo 6: este mdulo explica como configurar e solucionar os problemas
ocorridos nos Servios de Roteamento e Acesso Remoto.
Mdulo 7: este mdulo explica como instalar, configurar e solucionar problemas
do Servio de Funo Servidor de Diretivas de Rede.
Mdulo 8: Este mdulo explica como configurar e gerenciar NAP para DHCP, VPN
e 802.1X.
Mdulo 9: este mdulo explica como configurar e testar o IPsec.
Mdulo 10: este mdulo explica como monitorar e solucionar prolemas de IPsec.
Mdulo 11: Este mdulo explica como configurar e gerenciar o Sistema de
Arquivos Distribudo.
Mdulo 12: Este mdulo explica como configurar as tecnologias de
armazenamento do sistema de arquivos includas no Windows Server 2008 e
como solucionar os respectivos problemas.
Mdulo 13: este mdulo explica como descrever e configurar mtodos de backup
e recuperao.
Mdulo 14: Este mdulo explica como configurar e analisar a conformidade de
segurana do servidor e de atualizao da segurana.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Sobre este curso

Sobre este curso

Material do curso
O seguinte material foi includo no seu kit:

Manual do Curso. O Manual do Curso contm o material abordado em sala de


aula. Ele deve ser usado em conjunto com o CD complementar do curso.

CD complementar do curso. O CD complementar do curso contm o todo


o contedo do curso, inclusive contedo expandido das pginas de cada
tpico, exerccios completos de laboratrio e respostas, tpicos e recursos e
categorizados e links da Web. Ele deve ser usado dentro e fora da sala de aula.

Observao Para acessar o contedo completo do curso, coloque o CD complementar


do curso na unidade de CD-ROM e, no diretrio raiz do CD, clique duas vezes em
StartCD.exe.

Avaliao do curso. Ao final do curso, voc ter a oportunidade de fazer uma


avaliao online para fornecer comentrios sobre o curso, sobre as instalaes
em que foi oferecido o treinamento e sobre o instrutor.

Para fornecer comentrios adicionais sobre o curso, envie um email para


support@mscourseware.com. Em caso de dvidas sobre o programa MCP
(Microsoft Certification Program), envie um email para mcphelp@microsoft.com.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

xx

Ambiente de mquina virtual


Esta seo fornece as informaes sobre a configurao do ambiente de sala de
aula para dar suporte ao cenrio comercial do curso.

Configurao da mquina virtual


Neste curso, voc usar o Microsoft Virtual Server 2005 para executar os
laboratrios.

Importante: Ao final de cada laboratrio, voc deve fechar a mquina virtual e no


salvar nenhuma alterao. Para fechar uma mquina virtual sem salvar as alteraes,
execute estes procedimentos: 1. No computador host, clique em Iniciar, aponte
para Todos os Programas, aponte para Microsoft Virtual Server e clique em
Virtual Server Administration Website. 2. Em Navigation, clique em Master
Status. Para cada mquina virtual que est sendo executada, aponte para o nome
da mquina virtual e, no menu de contexto, clique em Turn off Virtual Machine
and Discard Undo Disks. Clique em OK.

A tabela a seguir mostra a funo de cada mquina virtual usada neste curso.
Mquina virtual

Funo

10221A-NYC-DC1

Controlador de domnio no domnio


WoodgroveBank.com

10221A-NYC-SRV1

Servidor membro

10221A-NYC-CL1

Computador Windows Vista no domnio


WoodgroveBank.com

10221A-NYC-CL2

Computador Windows Vista no domnio


WoodgroveBank.com

xxi

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Sobre este curso

Sobre este curso

Configurao de software
Os seguintes itens de software esto instalados em cada mquina virtual:

Windows Server 2008 Enterprise; Windows Vista

Configurao da sala de aula


Cada computador de sala de aula ter a mesma mquina virtual configurada da
mesma forma.

Nvel de hardware do curso


Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma
configurao mnima de equipamento para os computadores do instrutor e do aluno
em todas as salas de aula da CPLS (Microsoft Certified Partner for Learning Solutions)
nas quais o courseware Official Microsoft Learning Product ensinado. Este curso
exige que voc tenha um computador que atenda ou supere o nvel 5 de hardware, que
especifica uma CPU Pentium 4 ou equivalente com 2,4 gigahertz (mnimo), com pelo
menos 2 gigabytes (GB) de RAM, 16 megabytes (MB) de RAM de vdeo e um disco
rgido de 40 GB e 7200 RPM.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

xxii

1-1

Mdulo 1
Instalao e configurao de servidores
Contedo:
Lio 1: Instalao do Windows Server 2008

1-3

Lio 2: Gerenciamento de funes e recursos do servidor

1-12

Lio 3: Viso geral da opo de instalao Server Core

1-17

Laboratrio: Instalao e configurao de servidores e funes do servidor

1-25

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral do mdulo

Este mdulo explica como identificar o cenrio de utilizao adequado e o tipo de


instalao para um servidor, e depois ajuda a instalar e configurar as funes e os
recursos pertinentes do servidor.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-2

1-3

Lio 1

Instalao do Windows Server 2008

A instalao do Windows Server 2008 mudou um pouco em relao a verses


anteriores do Windows Server. As opes disponveis variam de uma simples
instalao baseada em DVD ao uso de arquivos de resposta criados com o
Gerenciador de Imagens do Sistema (SIM) e automao de implantao usando
o Kit de Instalao Automatizada do Windows (WAIK). O processo de instalao
no inclui mais a parte do modo de texto e complementamente baseado em
interface grfica do usurio. Outra diferena que um nico DVD de 32 bits ou
64 bits inclui as edies Standard, Enterprise e DataCenter. No entanto, a verso
instalada depende da chave de instalao que voc usa durante o processo de
instalao.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Edies do Windows Server 2008

Pontos principais
H cinco edies disponveis do Windows Server 2008. A edio a ser escolhida
depender das necessidades empresariais que voc precisa atender.
O Windows Server 2008 ajuda os profissionais de TI a aumentarem a flexibilidade da
infraestrutura de servidores, oferecendo ao mesmo tempo aos desenvolvedores uma
plataforma de aplicativos e Web mais robusta para o desenvolvimento de aplicativos
e servio. As novas ferramentas poderosas de gerenciamento e os aprimoramento da
segurana propiciam mais controle do servidor e da rede, alm de proteo avanada
para os aplicativos e dados.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-4

1-5

Requisitos de instalao do Windows Server 2008

Pontos principais
Os requisitos de instalao do Windows Server 2008 variam entre os diferentes tipos de
instalao, especificamente, a instalao completa ou a instalao Server Core. A Server
Core requer menos espao em disco para a instalao do sistema operacional, pois, por
padro, apenas os mdulos com funes atribudas necessrias so instalados. Alm
disso, a interface grfica no instalada, o que significa que a instalao Server Core
utiliza menos espao em disco.

Observao: Ao instalar uma verso de 64 bits, verifique se todos os drivers do


modo kernel esto assinados digitalmente, antes de fazer a instalao. A instalao
falhar se os drivers no tiverem assinatura digital.

Recursos adicionais:

Biblioteca Tcnica do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Consideraes sobre a instalao do x64

Pontos principais
Voc pode precisar incluir verses de 64 bits do Windows Server 2008 em sua
infraestrutura, dependendo das necessidades da empresa. Por exemplo, alguns
servios de rede, como o Exchange Server 2007, so compatveis apenas em um
ambiente de produo de 64 bits e, portanto, sero suportados apenas para verses
de 64 bits do Windows Server 2008 em execuo em arquitetura de 64 bits.
A instalao de uma verso de 64 bits pode oferecer a capacidade de dimensionamento
(aumentar CPUs e RAM) mais do que um sistema de 32 bits, mas voc deve garantir
que os drivers de modo kernel que utilizar sejam todos assinados digitalmente.

Recursos adicionais:

Biblioteca Tcnica do Windows Server 2008

Assinaturas digitais para mdulos do kernel nos sistemas que com o Windows Vista

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-6

1-7

Cenrios comuns de instalao

Pontos principais
Quer prefira atualizar um servidor j existente, quer opte por fazer uma instalao
limpa, voc deve determinar como sero feitas as instalaes do servidor em seu
ambiente. H caminhos especficos de atualizao que podem ser seguidos e voc
poder realizar instalaes autonmas usando arquivos de resposta, SIM do Windows
e o AIK do Windows.
Faa backup dos servidores antes da atualizao. O backup deve conter todos os
dados e informaes de configurao necessrios ao funcionamento correto do
computador. importante fazer um backup das informaes de configurao
dos servidores, principalmente aqueles que fornecem a infraestrutura da rede,
como os servidores DHCP. Ao fazer o backup, inclua as parties de inicializao
e do sistema, alm dos dados sobre o estado do sistema. Outra maneira de fazer o
backup das informaes de configurao criar um conjunto de backup para a
Recuperao Automatizada do Sistema (ASR).

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Recursos adicionais:

Guia do Usurio do Kit de Instalao Automatizada do Windows (WAIK) para


Windows Vista

Guia Passo a Passo de Implantao do Windows Vista

Biblioteca Tcnica do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-8

1-9

Preparando-se para a instalao do Windows Server 2008

Pontos principais
Antes da instalao do Windows Server 2008, voc deve seguir as mesmas diretrizes
gerais, a fim de garantir que a instalao seja o mais tranquila possvel e que no
ocorram erros. A maioria dessas diretrizes so prticas recomendadas para qualquer
instalao de sistema operacional Microsoft e, portanto, devem ser includas em
quaisquer guias de implantao criados para a maioria dos ambientes.
Antes de instalar o Windows Server 2008, siga estas diretrizes para se preparar
para a instalao:

Verifique a compatibilidade dos aplicativos.

Desconecte os dispositivos UPS.

Faa o backup dos servidores.

Desabilite o software de proteo contra vrus.

Execute a ferramenta Diagnstico de Memria do Windows.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Fornea drivers de armazenamento em massa.

Saiba que, por padro, o Firewall do Windows est ativado.

Prepare o ambiente do Active Directory com atualizaes do Windows Server 2008.

Recursos adicionais:

Ajuda e Suporte na pgina Instalar agora do assistente de instalao do


Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-10

1-11

Processo para instalar o Windows Server 2008

Pontos principais
O processo de instalao do Windows Server 2008 quase idntico ao das verses
anteriores. No entanto, h diferenas que tornam o processo mais personalizvel e
mais fcil de ser realizado. Uma alterao significativa o modelo de licenciamento
por volume que a Microsoft usa com o produto de servidor. O modelo de licena
para o licenciamento por volume o mesmo utilizado pelos sistemas operacionais
Windows Vista.

Recursos adicionais:

Viso geral tcnica do Gerenciador de Servidores do Windows Server 2008

Windows Server 2008: Gerenciamento de Servidores

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 2

Gerenciamento de funes e recursos do servidor

A Microsoft mudou o modo como os administradores gerenciam o ambiente do


servidor. O sistema operacional instala de modo seguro e os administradores
podem escolher um dos quatro mtodos de configurao do servidor, de acordo
com a funcionalidade necessria.
Depois que a instalao terminar e o administrador acessar o servidor, a janela
Tarefas de Configurao Iniciais aberta e permite configurar o nome do servidor,
a configurao de rede, as atualizaes automticas e os parmetros do Firewall
do Windows. Aps utilizar essa ferramenta, o administrador pode recorrer aos
Consoles de Gerenciamento Microsoft (MMCs) para gerenciar o servidor, pode
fazer uso do Gerenciador de Servidores para instalar e remover funes e recursos,
e usar o Windows PowerShell para tarefas de configurao, se necessrio.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-12

1-13

Ferramentas utilizadas em tarefas administrativas

Pontos principais
Depois de concluir a instalao do sistema operacional, voc poder gerenciar os
sistemas com quatro diferentes ferramentas.
No primeiro logon, o Administrador deve especificar uma senha para a conta
administrativa e ento ser apresentado janela Tarefa de Configurao Inicial.
Voc pode realizar o gerenciamento subsequente usando o Gerenciador de
Servidores, as janelas caractersticas do console MMC e o Windows PowerShell.
A escolha da ferramenta depender da tarefa que os usurios desejam realizar
e a experincia que devem ter para trabalhar com cada ferramenta especfica.

Recursos adicionais:

Pacote de Documentao do Windows PowerShell 1.0

Console de Gerenciamento Microsoft 3.0 para Windows XP (KB907265)

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que so funes do servidor?

Pontos principais
As funes de servidor no Windows Server 2008 descrevem a funo principal do
servidor. Por exemplo, uma funo de servidor pode ser os Servios de Domnio do
Active Directory ou um servidor Web. Voc pode escolher instalar uma ou muitas
funes em uma instalao do Windows Server 2008. Use a ferramenta administrativa
Gerenciador de Servidores para instalar e remover funes de servidor em um
ambiente do Windows Server 2008.

Recursos adicionais:

Biblioteca Tcnica do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-14

1-15

O que so recursos de servidor?

Pontos principais
Um recurso geralmente no descreve a funo principal do servidor. Em vez disso,
ele descreve uma funo de suporte ou auxiliar do servidor. Consequentemente,
o administrador geralmente instala um recurso no como uma funo bsica do
servidor mas, sim, para melhorar a funcionalidade de uma funo instalada. Por
exemplo, Cluster de Failover um recurso que os administradores podem escolher
instalar aps a instalao de funes especficas, como Servios de Arquivo, a fim
de tornar a funo Servios de Arquivo mais redundante.

Recursos adicionais:

Viso geral tcnica do Gerenciador de Servidores do Windows Server 2008

Biblioteca Tcnica do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Instalao de funes e recursos do servidor


atravs do Gerenciador de Servidores

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-16

1-17

Lio 3

Viso geral da opo de instalao Server Core

Uma nova opo no Windows Server 2008 a opo Server Core, que instala
apenas o necessrio para propiciar um servidor gerencivel para os Servios AD
DS, AD LDS, DHCP, DNS, de Arquivo, de Impresso e/ou Servios de Mdia de
Streaming. Uma interface grfica no est disponvel com essa opo. Em vez
disso, use a linha de comando ou ferramentas de gerenciamento remoto para
configurar e gerenciar o ambiente de servidor.
Se voc escolher instalar essa opo, a instalao no suportar atualizao de verses
anteriores. Portanto, voc dever realizar uma instalao limpa. Essa opo benfica
para muitos ambientes devido reduo necessria de gerenciamento, de superfcie
de ataque, de manuteno e de requisitos de espao em disco. A diferena de espao
detectada pela instalao Server Core que ela ocupa apenas aproximadamente 25%
do espao em disco que uma instalao Standard (Padro) tpica usa.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Vantagens de uma Instalao Server Core

Pontos principais
No Windows Server 2008, agora os administradores podem escolher instalar um
ambiente mnimo que evite sobrecarga extra. Embora essa opo limite as funes que
o servidor pode realizar, ele pode melhorar a segurana e reduzir o gerenciamento.
Este tipo de instalao chamado de instalao Server Core.
As instalaes Server Core oferecem as seguintes vantagens:

Menos manuteno

Reduo da superfcie de ataque

Reduo do gerenciamento

Necessidade de menos espao em disco

Recursos adicionais:

Opo Instalao Server Core

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-18

Funes do servidor compatveis com uma Instalao


Server Core

Pontos principais
Uma instalao Server Core uma opo de instalao mnima de servidor do
Windows Server 2008. As instalaes Server Core fornecem um ambiente para
execuo das seguintes funes de servidor:

AD DS

AD LDS

Servidor DHCP

Servidor DNS

Servios de Arquivo

Servidor de Impresso

Servios de Mdia de Streaming

Virtualizao do Windows Server (Hyper-V)

1-19

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

A opo Instalao Server Core instala apenas o subconjunto de arquivos binrios


necessrios s funes de servidor compatveis. Por exemplo, a interface do usurio
do Windows Explorer (ou shell) no instalada como parte da instalao Server
Core. Em vez disso, o prompt de comando a interface padro do usurio para um
servidor que executa uma Instalao Server Core.

Recursos adicionais:

Opo Instalao Server Core

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-20

1-21

Recursos compatveis com uma Instalao Server Core

Pontos principais
Depois da concluso da instalao Server Core e da configurao do servidor,
voc poder instalar um ou mais recursos opcionais. A instalao Server Core do
Windows Server 2008 oferece suporte aos seguintes recursos opcionais:

Backup

Criptografia de Unidade Bitlocker

Cluster de Failover

Subsistema de entrada/sada (E/S)

NLB

Armazenamento Removvel

SNMP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Subsistema para aplicativos baseados no UNIX

Cliente Telnet

WINS

Observao: o Cluster de Failover no est disponvel no Windows Server 2008


Standard Edition.

Recursos adicionais:

Guia Passo a Passo para a Opo Instalao Server Core do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-22

1-23

Gerenciamento de uma Instalao Server Core

Pontos principais
A instalao Server Core foi projetado para uso em ambientes em que os requisitos
de alta segurana exigem um mnimo de superfcie de ataque no servidor ou em
organizaes que tm muitos servidores, alguns dos quais s precisam executar
tarefas dedicadas.
Como no h interface grfica do usurio disponvel para muitas operaes do
Windows, o uso da opo de instalao Server Core requer que os administradores
sejam experientes no uso de um prompt de comando ou tcnicas de script para
administrao local do servidor. Como opo, voc pode gerenciar a instalao
Server Core com snap-ins do MMC de outro computador executando o Windows
Server 2008. Para fazer isso, selecione o computador que executa uma instalao
Server Core como um computador remoto para gerenciar.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Observao: os administradores que gerenciam uma instalao Server Core precisam


estar cientes de que no h interface grfica do usurio. Embora no sejam necessrias
alteraes na configurao de sua rede, talvez voc precise se familiarizar com as
ferramentas da linha de comando.

Recursos adicionais:

Opo Instalao Server Core

Instalao e Configurao do Gerenciamento Remoto do Windows

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-24

Laboratrio: Instalao e configurao de


servidores e funes do servidor

Objetivos
Depois de concluir este laboratrio, voc ser capaz de:

Descrever o tipo de servidor adequado, necessrio a um cenrio de uso

Instalar e configurar funes e recursos do servidor

Configurar o Server Core e executar tarefas de gerenciamento bsicas

1-25

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Cenrio
Voc deve instalar dois servidores novos para sua infraestrutura corporativa no
domnio WoodgroveBank.com. So necessrios novos servidores para aumentar
os servios de resoluo de nome DNS para uma empresa recentemente adquirida,
a Contoso.com, e fornecer Servios de Terminal para alguns aplicativos da linha de
negcios que estaro disponveis para funcionrios de seus computadores desktop
e de seus computadores pessoais aps o horrio comercial. Voc tambm precisa
instalar capacidade de backup para o servidor de Servios de Terminal no caso de
ele ser necessrio para finalidades de recuperao de desastres.
Para fins de segurana, o servio DNS deve estar disponvel em apenas um dos novos
servidores e ser totalmente administrado atravs de ferramentas de gerenciamento
remoto aps a configurao inicial. Voc precisa garantir que a configurao de firewall
no servidor DNS esteja correta para as portas necessrias, a fim de responder a
solicitaes de resoluo de nome DNS e para administrao remota.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-26

1-27

Exerccio 1: Identificao de tipos de servidor


Viso geral do exerccio
Neste exerccio, voc analisar o cenrio e responder s perguntas a seguir
relacionadas a um possvel tipo de servidor e implantao de funes.
Pergunta: Depois de ler o cenrio, que tipo de instalao, Core ou Standard,
seria adequada para os Servios de Terminal? Por qu?
Pergunta: A instalao Core seria adequada para o servidor DNS? Em caso positivo,
h algum atalho para configurar o servidor para hospedar essa funo?
Pergunta: Quais vantagens voc teria ao usar a opo de instalao Core para a
funo de servidor DNS?
Pergunta: Quais funes e recursos so necessrios nos servidores para atender
aos requisitos de determinado cenrio?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Exerccio 2: Instalao e configurao de funes e recursos


do servidor
Neste exerccio, voc instalar a funo Servios de Terminal e o recurso de Backup
de Servidor usando a ferramenta administrativa Gerenciador de Servidores.
As principais tarefas so:
1.

Iniciar as mquinas virtuais e fazer logon.

2.

Garantir que voc tenha concludo as etapas na Configurao do Laboratrio.

3.

Iniciar o console Gerenciador de Servidores.

4.

Do Gerenciador de Servidores, instalar a funo Servios de Terminal.

5.

Exibir os resultados da instalao.

6.

Instalar o recurso Backup de Servidor do console Gerenciador de Servidores.

7.

Verificar se as ferramentas Servios de Terminal e Backup do Windows Server


esto instaladas.

f Tarefa 1: Iniciar as mquinas virtuais e fazer logon


1.

No computador host, clique em Iniciar, aponte para Todos os Programas,


aponte para Microsoft Learning e clique em 10221A. O Lab Launcher ser
iniciado.

2.

No Lab Launcher, ao lado de 10221A-NYC-DC1, clique em Launch.

3.

No Lab Launcher, ao lado de 10221A-NYC-SVR1, clique em Launch.

4.

Faa logon em ambas as mquinas virtuais como Woodgrovebank\Administrador


com a senha Pa$$w0rd.

5.

Minimize a janela do Lab Launcher.

f Tarefa 2: Iniciar o console Gerenciador de Servidores

Em NYC-SVR1, inicie o console Gerenciador de Servidores.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-28

1-29

f Tarefa 3: Do Gerenciador de Servidores, instalar a funo Servios de


Terminal
1.

2.

Instalar a funo Servios de Terminal usando as seguintes opes:

Funes de Servidor: Servios de Terminal

Servios de Funo: Servidor de Terminal

Mtodo de autenticao: no requer Autenticao no Nvel da Rede

Modo de licenciamento: configurar posteriormente

Grupos de usurios: Administradores

Reiniciar conforme necessrio.

f Tarefa 4: Exibir os resultados da instalao


1.

Faa logon no NYC-SVR1 com o nome de usurio Woodgrovebank\administrador


e a senha Pa$$w0rd.
Aps o logon bem-sucedido, o Gerenciador de Servidores ser aberto e a
configurao dos Servios de Terminal ser retomada.

2.

Assim que for concluda, ser exibida a mensagem Instalao bem-sucedida


no painel de detalhes. Clique em Fechar para sair da pgina Resultados da
Instalao. No feche o Gerenciador de Servidores.

f Tarefa 5: Instalar o recurso Backup de Servidor do console Gerenciador


de Servidores
1.

No painel de listagem do Gerenciador de Servidores, clique com o boto


direito do mouse em Recursos e clique em Adicionar Recursos. O Assistente
para Adicionar Recursos exibido.

2.

Instalar a opo Recursos de Backup do Windows Server.

3.

Na pgina Resultados da Instalao, verifique se Instalao bem-sucedida


exibida no painel de detalhes e clique em Fechar. No feche o Gerenciador de
Servidores.
O recurso de Backup do Windows Server instalado.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 6: Verificar se as ferramentas Servios de Terminal e Backup do


Windows Server esto instaladas
1.

No painel de lista do Gerenciador de Servidores, verifique se Gerenciador de


Servidores (NYC-SVR1) est selecionado.

2.

Usando a barra de rolagem no painel de detalhes, role at que Resumo de


Funes esteja visvel e verifique se Servios de Terminal est relacionado.

3.

Role at Resumo de Recursos e verifique se Backup do Windows Server


aparece.

4.

Feche o Gerenciador de Servidores.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-30

1-31

Exerccio 3: Configurao do Server Core e execuo de


tarefas de gerenciamento bsicas
Neste exerccio, voc ir configurar uma instalao Core do Windows Server 2008 e
instalar a funo servidor DNS usando ferramentas da linha de comando. Em seguida,
voc se conectar ao servidor Core de um computador Windows Server 2008 remoto
usando um MMC personalizado para configurar a funo de servidor DNS.
As mquinas virtuais 10221A-NYC-DC1 e 10221A-NYC-SVR1 devem estar em
execuo para que o exerccio seja concludo. Certifique-se de iniciar as mquinas
virtuais antes de iniciar este exerccio.
As principais tarefas so:
1.

Inicie a mquina virtual 10221A-NYC-SVR2.

2.

Faa logon na instalao Server Core.

3.

Use as ferramentas da linha de comando para definir parmetros na mquina


virtual Server Core.

4.

Conecte o servidor ao domnio WoodgroveBank.com.

5.

Faa logon na instalao Server Core.

6.

Verifique a configurao de firewall.

7.

Use o comando netsh para abrir portas.

8.

Exiba o status atual de funes e instale a funo de servidor DNS.

9.

Gerencie o servidor usando o Gerenciador DNS de um computador remoto.

10. Feche todas as mquinas virtuais e excluir as alteraes.

f Tarefa 1: Inicie a mquina virtual 10221A-NYC-SVR2


1.

Restaure a janela do Lab Launcher.

2.

No Lab Launcher, ao lado de 10221A-NYC-SVR2, clique em Launch.

3.

Minimize a janela do Lab Launcher.

f Tarefa 2: Faa logon na instalao Server Core

Faa logon em NYC-SVR2 como Administrador com a senha Pa$$w0rd.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 3: Use as ferramentas da linha de comando para definir


parmetros na mquina virtual Server Core

Computername=NYC-DNSSVR2

IP address=10.10.0.12

Mask=255.255.0

Gateway=10.10.0.1

DNS=10.10.0.10

1.

Para determinar o padro atual atribudo ao nome do computador, digite set


na janela de comando.

2.

Localize o atributo do nome do computador e anote-o.

3.

Para alterar o nome do computador, digite o comando a seguir e pressione


ENTER:
Netdom renamecomputer NYC-SVR2 /NewName:NYC-DNSSVR2

4.

Quando solicitado, digite s para sim e pressione ENTER.

5.

Na janela de comando, digite o seguinte comando para definir o endereo IP


esttico: Netsh interface ipv4 set address name= Conexo local
source=static address=10.10.0.12 mask=255.255.0.0 gateway=10.10.0.1
e pressione ENTER.

6.

Na janela de comando, digite o comando a seguir para definir o servidor DNS


primrio e pressione ENTER:
Netsh interface ip set dns Conexo local static 10.10.0.10 primary

7.

No prompt de comando, digite ipconfig /all e pressione ENTER para verificar


a atribuio do endereo IP.

8.

Pressione a combinao de teclas ALT DIREITO+DELETE, no teclado.

9.

Escolha reiniciar o computador clicando em Opes de desligamento no


painel direito inferior da janela e clique em Reiniciar.

10. Na janela Controlador de Eventos de Desligamento, clique em Sistema


Operacional: Reconfigurao (Planejada) e clique em OK. O servidor ser
reiniciado.
11. Faa logon no servidor com o nome de usurio Administrador e uma senha
de Pa$$w0rd.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-32

1-33

f Tarefa 4: Conectar o servidor ao domnio WoodgroveBank.com


1.

Na janela de comando, digite o comando a seguir e pressione ENTER.


netdom join NYC-DNSSVR2 /domain:WoodgroveBank.com
/Userd:Administrador /passwordD:*

2.

No prompt de comando, digite o comando a seguir e pressione ENTER:


Pa$$w0rd

Observao: Os seus pressionamentos de tecla no sero refletidos na tela. Voc receber


uma mensagem de que o comando foi concludo com xito e que o computador precisa
ser reiniciado.

3.

No prompt de comando, pressione ALT DIREITO+DELETE, clique no cone


Opes de desligamento e clique em Reiniciar. A caixa de dilogo Desligar o
Windows ser exibida.

4.

Na caixa Opo da caixa de dilogo Desligar o Windows, clique em Sistema


Operacional: Reconfigurao (Planejada) e clique em OK.

f Tarefa 5: Fazer logon na instalao Server Core

Faa logon no servidor com o nome de usurio Administrador e uma senha


de Pa$$w0rd.

f Tarefa 6: Verificar a configurao de firewall

Use o comando netsh para exibir a configurao atual de firewall. Digite o


seguinte comando na janela de comando e pressione ENTER:
Netsh firewall show state

Observao: observe que o status de Firewall mostra que o modo operacional est
definido como Habilitar. Isso significa que o Firewall do Windows est habilitado
mas nenhuma porta especfica foi aberta.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 7: Usar o comando Netsh para abrir portas


1.

No prompt de comando, digite o comando a seguir e pressione ENTER:


netsh firewall add portopening ALL 53 DNS-server

2.

No prompt de comando, digite o comando a seguir e pressione ENTER:


netsh firewall add portopening TCP 135 remote-admin

3.

No prompt de comando, digite o comando a seguir e pressione ENTER:


netsh firewall add portopening UDP 137 netbios-ns

4.

No prompt de comando, digite o comando a seguir e pressione ENTER:


netsh firewall add portopening UDP 138 netbios-dgm

5.

No prompt de comando, digite o comando a seguir e pressione ENTER:


netsh firewall add portopening TCP 139 netbios-ssn

6.

No prompt de comando, digite o comando a seguir e pressione ENTER:


netsh firewall add portopening TCP 445 netbios-ns

7.

No prompt de comando, digite o comando a seguir e pressione ENTER:


netsh firewall show config

Observao: observe que, na configurao do Servio para servios de Perfil de


domnio, Compartilhamento de Arquivos e Impressoras e rea de Trabalho Remota,
os servios esto definidos como habilitar e ambas as portas 53 TCP e UDP esto
abertas para o servidor DNS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-34

1-35

f Tarefa 8: Exibir o status atual de funes e instalar a funo de


servidor DNS
1.

Na janela do prompt de comando, no prompt de comando, digite o comando


a seguir e pressione ENTER:
oclist

Observao: Confirme se no h funes de servidor instaladas.

2.

Use os comandos Ocsetup.exe e oclist para instalar o servidor DNS. Para fazer
isso, no prompt de comando, digite o seguinte e pressione ENTER:
start /w ocsetup DNS-Server-Core-Role

Observao: O nome da funo de servidor diferencia maisculas de minsculas.

3.

No prompt de comando, digite o comando a seguir e pressione ENTER:


oclist

Observao: Confirme se DNS-Server-Core-Role est instalada.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 9: Gerenciar o servidor usando o Gerenciador DNS de um


computador remoto
1.

Em NYC-DC1, abra o console Gerenciador DNS.

2.

No console DNS, conecte-se ao NYC-DNSSVR2.

3.

Use o console DNS para criar uma zona de pesquisa direta para Contoso.com:
a.

No painel de rvore Raiz do Console do Gerenciador DNS, expanda


NYC-DNSSVR2 e clique em Zonas de pesquisa direta.

b.

Clique com o boto direito do mouse em Zonas de pesquisa direta e,


em seguida, clique com o boto direito do mouse em Nova zona.

c.

Na pgina Bem-vindo ao 'Assistente de nova zona', clique em Avanar.

d. Clique em Avanar na caixa de dilogo Tipo de Zona, usando os padres


para criar uma zona Primria.
e.

Na janela Nome da Zona, digite Contoso.com e clique em Avanar.

f.

Clique em Avanar para aceitar o nome padro do arquivo da zona DNS.

g.

Na janela Atualizao Dinmica, clique em Avanar para aceitar os padres.

h.

Na caixa de dilogo Concluindo o 'Assistente de nova zona', clique em


Concluir para criar a nova zona.

i.

Feche o console do Gerenciador DNS.

f Tarefa 10: Fechar todas as mquinas virtuais e descartar discos de


desfazer
1.

Para cada mquina virtual em execuo, feche a janela Virtual Machine Remote
Control (VMRC).

2.

Na caixa de dilogo Close, selecione Turn off machine and discard changes
e clique em OK.

3.

Feche o Lab Launcher do 10221A.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-36

1-37

Reviso do mdulo e informaes complementares

Perguntas de reviso
1.

Se sua organizao est planejando um projeto de virtualizao em larga escala


para consolidar muitos servidores em alguns servidores de larga escala, qual
seria a verso do Windows mais adequada para este projeto e por qu?

2.

Quais so as principais vantagens do uso de uma Instalao Core para uma


verso do Windows Server 2008?

3.

Voc responsvel por vrias salas de aula em um estabelecimento de ensino.


As atualizaes da imagem do sistema operacional para desktop ocorrem
semanalmente e englobam aproximadamente 300 computadores. Qual seria
o tipo de esquema de licena por volume mais adequado Servidor KMS ou
MAK e por qu?

4.

Qual a diferena entre uma funo e um recurso? Como cada um deve ser
instalado?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Consideraes para instalar o Windows Server 2008


Antes de instalar o Windows Server 2008, considere o seguinte:

Voc s pode instalar o Windows Server 2008 nos computadores que utilizam
a Interface de Energia e Configurao Avanada (ACPI).

Voc no pode especificar um arquivo de camada personalizada de aplicativos


do hardware (HAL) no Windows Server 2008.

Por padro, o Firewall do Windows habilitado. Os aplicativos de servidor


que devem receber conexes de entrada no solicitadas falharo at voc criar
regras do firewall para entrada, para autorizar essas conexes.

A diretiva obrigatria de assinatura do cdigo, no modo de kernel aplicvel a


todo software do modo de kernel nos sistemas baseados no x64 que executam
o Windows Server 2008.

No possvel atualizar uma verso anterior do Windows Server para uma


instalao Core. A instalao deve ser limpa.

Prticas recomendadas para instalar o Windows Server 2008

Use sempre drivers de modo de kernel assinados, quando disponveis. Esse


requisito obrigatrio para as instalaes do x64.

Instale apenas as funes e os recursos necessrios ao objetivo do servidor.

S permite as conexes de entrada exigidas pelas funes e recursos instalados


em um determinado servidor.

Habilite a rea de Trabalho Remota para Administradores nas Instalaes Core.


O shell ser o prompt de comando para as conexes do terminal estabelecidas.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

1-38

1-39

Ferramentas
Ferramenta

Use para

Onde encontr-la

Console de
Gerenciament
o Microsoft

Administrao local e
remota de todas as
funes e recursos
instalados no
Windows Server 2008.

Clique em Iniciar e aponte para


Ferramentas Administrativas.
Selecione uma ferramenta prconfigurada ou digite MMC na caixa
Executar para criar um console MMC
personalizado, baseado nos snap-ins
especificados.

Tarefas de
Configurao
Iniciais

Configurao inicial do
servidor. As tarefas abrangem
o nome do computador,
atualizaes automticas,
funes, recursos, configurao
do firewall e configurao de
rea de trabalho remota.

As Tarefas de Configuraes
Iniciais so abertas quando o
administrador acessa a instalao
do Windows Server 2008.

Gerenciador
de Servidores

Gerenciamento e manuteno
da instalao e remoo de
funes e recursos.

Clique em Iniciar e aponte para


Ferramentas Administrativas.
Selecione Gerenciador de
Servidores nas ferramentas
administrativas disponveis.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao e configurao de servidores

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-1

Mdulo 2
Configurao e soluo de problemas de DNS
Contedo:
Lio 1: Instalao da funo Servidor DNS

2-3

Lio 2: Configurao da funo Servidor DNS

2-9

Lio 3: Configurao de zonas DNS

2-20

Lio 4: Configurao de transferncias de zona DNS

2-27

Lio 5: Gerenciamento e soluo de problemas de DNS

2-32

Laboratrio: Configurao e verificao de uma soluo DNS

2-39

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral do mdulo

Este mdulo explica como configurar, gerenciar e solucionar problemas do servidor


DNS (Domain Name System) e das propriedades da zona para uso em um ambiente
seguro.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-2

2-3

Lio 1

Instalao da funo Servidor DNS

A funo de Servidor DNS componente fundamental de uma infraestrutura de


domnio do Windows Server 2008. Esta lio fornece informaes sobre a funo
DNS e sobre como funciona o namespace DNS. Alm disso, esta lio fornece
detalhes sobre o que mudou na funo DNS do Windows Server 2008 e identifica
as consideraes para implantar a funo DNS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral da funo DNS

Pontos principais
O DNS um servio de resoluo de nomes que resolve nomes para nmeros.
O servio DNS um banco de dados hierrquico distribudo. Isso significa que o
banco de dados separado em termos lgicos, o que permite que vrios servidores
diferentes hospedem o banco de dados mundial de nomes DNS.

Leituras adicionais

Viso geral de DNS

Noes bsicas de zonas e transferncia de zona

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-4

2-5

Viso geral do Namespace DNS

Pontos principais
O namespace DNS facilita o modo como um cliente DNS localiza um computador.
Ele organizado em hierarquias ou em camadas, para distribuir informaes atravs
de vrios servidores.

Leituras adicionais

Planejamento de Namespace DNS

Criao de um namespace DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Melhorias do DNS no Windows Server 2008

Pontos principais
Voc perceber algumas das vantagens de usar o Windows Server 2008 com os
novos recursos que ele inclui para a funo de servidor DNS. Esses recursos incluem
carregamento de zona em segundo plano, suporte para IPv6, para controladores de
domnio somente leitura e para nomes globais nicos.

Leituras adicionais

O que h de novo no DNS no Windows Server 2008

AD DS: Controladores de domnio somente leitura

Funo Servidor DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-6

Demonstrao: Instalao da funo Servidor DNS

2-7

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Consideraes para implantar a funo Servidor DNS

Pontos principais
A funo de servidor fundamental na configurao da infraestrutura do Active
Directory e da Rede do Windows. Ao planejar a implantao do DNS, h vrias
consideraes que precisam ser revistas:

Planejamento de capacidade do servidor

Onde colocar os servidores DNS

Disponibilidade de servio

Leituras adicionais

Tpico da Ajuda: Planejamento de servidores DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-8

2-9

Lio 2

Configurao da funo Servidor DNS

A infraestrutura de DNS a base da resoluo de nomes na Internet e nos domnios do


Windows Server 2008 Active Directory. Esta lio fornece orientao e informaes
sobre o que necessrio para configurar a funo de servidor DNS, e explica as
funes bsicas de um servidor DNS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Quais so os componentes de uma soluo DNS?

Pontos principais
Os componentes de uma soluo DNS incluem servidores DNS, servidores DNS na
Internet e clientes DNS.

Leituras adicionais

Definio de DNS

Recursos de Servidor

Recursos de cliente

Funo Servidor DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-10

2-11

Registros de recursos DNS

Pontos principais
O arquivo de zona DNS armazena registros de recursos. A prxima lio examina
arquivos de zona mais detalhadamente. Registros de recursos especificam um tipo
de recurso e o endereo IP para localizar o recurso. O registro de recurso mais
comum o registro de recurso A. Ele um registro simples que corresponde a
um nome de host em um endereo IP. O host pode ser uma estao de trabalho,
servidor ou outro dispositivo de rede, como um roteador.

Leituras adicionais

Referncia de registros de recurso

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que so Dicas de raiz?

Pontos principais
Dicas de raiz so a lista dos 13 servidores na Internet que a Internet Assigned Numbers
Authority (IANA) mantm e que o servidor DNS utiliza, se ele no conseguir resolver
uma consulta DNS, usando um encaminhador do DNS ou o prprio cache. As dicas de
raiz so os servidores mais importantes na hierarquia do DNS e podem fornecer as
informaes necessrias para um servidor DNS fazer uma pesquisa iterativa para a
prxima camada mais inferior do namespace DNS.

Leituras adicionais

Atualizar dicas de raiz no servidor DNS

Desabilitar a recurso no servidor DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-12

2-13

O que uma consulta DNS?

Pontos principais
Consulta DNS o mtodo usado para solicitar resoluo de nomes no qual uma
consulta enviada para um Servidor DNS. Existem dois tipos de consultas DNS:
autoritativa e no autoritativa.
importante observar que servidores DNS tambm podem atuar como clientes
DNS e enviar consultas DNS para outros servidores DNS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que so consultas recursivas?

Pontos principais
Uma consulta recursiva pode ter dois resultados possveis:

Retorna o endereo IP do host solicitado.

O servidor DNS no pode resolver um endereo IP.

Por motivos de segurana, s vezes necessrio desabilitar consultas recursivas em


um servidor DNS. Assim, o servidor DNS em questo no tentar encaminhar seus
pedidos DNS para outro servidor. Isso pode ser til para impedir que determinado
servidor DNS se comunique fora da prpria rede local.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-14

2-15

O que so consultas iterativas?

Pontos principais
Consultas iterativas oferecem um mecanismo para acessar informaes de nome
de domnio residentes no sistema DNS, e habilitam servidores a resolver nomes de
maneira rpida e eficiente em vrios servidores.

Leituras adicionais

Como funciona a consulta DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que um encaminhador?

Pontos principais
Um encaminhador um servidor DNS de rede que encaminha consultas DNS de
nomes DNS externos para os servidores DNS fora dessa rede. Voc tambm pode
usar encaminhadores condicionais para encaminhar consultas de acordo com
nomes de domnios especficos.

Leituras adicionais

Microsoft TechNet: noes bsicas sobre encaminhadores

Tpico da Ajuda: Noes Bsicas sobre Encaminhadores

Tpico da Ajuda: Uso de Encaminhadores

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-16

2-17

O que encaminhamento condicional?

Pontos principais
Um encaminhador condicional um servidor DNS em uma rede, que encaminha
consultas DNS de acordo com o nome de domnio DNS da consulta.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Como funciona o cache do servidor DNS

Pontos principais
O cache do DNS aumenta o desempenho do sistema DNS da organizao diminuindo
o tempo que ele leva para fornecer pesquisas de DNS.
Ao resolver com xito um nome DNS, um servidor DNS adiciona esse nome a seu
cache. Com o tempo, isso cria um cache de nomes de domnio e os respectivos
endereos IP dos domnios mais comuns que a organizao usa ou acessa.

Leituras adicionais

Tpico da Ajuda: Instalar um Servidor DNS somente de cache

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-18

Demonstrao: Configurao da funo Servidor DNS

2-19

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 3

Configurao de zonas DNS

Zonas DNS so um conceito importante na infraestrutura DNS, porque permitem


a separao e o gerenciamento lgicos dos domnios DNS. Esta lio apresenta
os princpios bsicos do relacionamento entre as zonas e os domnios DNS,
e informaes sobre os diversos tipos de zonas DNS disponveis na funo DNS
do Windows Server 2008.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-20

2-21

O que uma zona DNS?

Pontos principais
Uma zona DNS todo ou parte de um domnio e seus subdomnios. O slide mostra como
os subdomnios podem pertencer mesma zona de seus pais ou podem ser delegados
para outra zona. O domnio Microsoft.com separado em duas zonas. A primeira zona
hospeda www.microsoft.com e ftp.microsoft.com. Example.microsoft.com delegado
a uma nova zona, que hospeda o example.microsoft.com e respectivos domnios
ftp.example.microsoft.com e www.example.microsoft.com.

Leituras adicionais

Noes bsicas de zonas e transferncia de zona

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Quais so os tipos de zona DNS?

Pontos principais
Existem quatro tipos de zona DNS:

Primrio

Secundria

De stub

Integrada ao Active Directory

Leituras adicionais

Tpico da Ajuda: Noes bsicas sobre os tipos de zona

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-22

2-23

O que so zonas de pesquisa direta e inversa?

Pontos principais
A zona de pesquisa direta resolve nomes de host em endereos IP, e hospeda os
registros de recursos comuns: A, CNAMES, SRV, MX, SOA e NS.
A zona de pesquisa inversa resolve um endereo IP em um nome de domnio,
e hospeda registros SOA, NS e PTR.

Leituras adicionais

Tpico da Ajuda: Noes bsicas sobre os tipos de zona

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que so zonas de stub?

Pontos principais
Zona de stub a cpia de uma zona que contm apenas esses registros de recursos
necessrios para identificar os servidores DNS autoritativos dessa zona. A zona de
stub resolve nomes entre namespaces DNS distintos, que podem ser necessrios
quando uma fuso corporativa requer que os servidores DNS de dois namespaces
DNS distintos resolvam nomes de clientes em ambos os namespaces.

Leituras adicionais

Tpico da Ajuda: Noes bsicas sobre os tipos de zona

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-24

2-25

Demonstrao: Criao de zonas de pesquisa direta e inversa

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Delegao de zonas DNS

Pontos principais
DNS um sistema hierrquico, e a delegao de zona conecta as camadas DNS
juntamente. A delegao de zona aponta para o prximo nvel hierrquico abaixo e
identifica os servidores de nome responsveis por um domnio de nvel inferior.

Leituras adicionais

Delegao de zonas

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-26

2-27

Lio 4

Configurao de transferncias de zona DNS

Transferncias de zona DNS so o modo como a infraestrutura de DNS movimenta


informaes da zona DNS de um servidor para outro. Esta lio cobre os diferentes
mtodos que a funo de servidor de DNS usa ao transferir zonas.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que uma transferncia de zona DNS?

Pontos principais
Uma transferncia de zona ocorre quando a zona DNS existente em um servidor
transferida para outro servidor DNS.
As transferncias de zona sincronizam as zonas dos servidores DNS primrio e
secundrio. assim que o DNS forma sua resilincia na Internet. importante
que zonas DNS permaneam atualizados nos servidores primrio e secundrio.
Discrepncias nas zonas primria e secundria podem causar interrupes de
servio e nomes de host resolvidos incorretamente.

Leituras adicionais

Noes bsicas de zonas e transferncia de zona

Iniciar uma transferncia de zona em um servidor secundrio

Recarregar ou transferir uma zona de stub

Ajustar o intervalo de atualizao de uma zona

Ajustar o intervalo de repetio de uma zona

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-28

2-29

Como funciona a notificao DNS

Pontos principais
Uma notificao DNS uma atualizao para a especificao de protocolo DNS
original que permite a notificao em servidores secundrios quando ocorrem
alteraes de zona.
Isso til em um ambiente que demande urgncia, no qual a exatido dos dados
seja importante.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Proteo de transferncias de zona

Pontos principais
Informaes de zona fornecem dados organizacionais, portanto, voc deve tomar
precaues para garantir sua proteo contra o acesso mal-intencionado e que no
pode ser sobrescrito com dados invlidos (conhecidos como invalidao do DNS).
Uma maneira de proteger a infraestrutura de DNS proteger as transferncias de
zona e usar atualizaes dinmicas seguras.

Leituras adicionais

Tpico da Ajuda: lista de verificao: proteger seu servidor DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-30

2-31

Demonstrao: Configurao de transferncias de zona DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 5

Gerenciamento e soluo de problemas de DNS

DNS um servio fundamental na infraestrutura do Active Directory. Quando o


servio DNS apresenta problemas, importante saber como solucion-los e identificar
os problemas comuns que podem ocorrer em uma infraestrutura de DNS. Esta lio
aborda os problemas comuns que ocorrem no DNS, as reas comuns para coleta de
informaes de DNS, e as ferramentas que voc pode usar para solucionar problemas.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-32

2-33

O que Tempo de vida, Durao e Eliminao?

Pontos principais
TTL (vida til), durao e eliminao ajudam a gerenciar registros de recursos DNS
nos arquivos de zona. Arquivos de zona podem mudar ao longo do tempo, portanto,
precisa haver um modo de gerenciar registros DNS que so atualizados ou que no
so mais vlidos, pois os hosts que eles representam no esto mais na rede.

Leituras adicionais

Habilitar a eliminao automtica de registros de recursos obsoletos

Iniciar a eliminao imediata de registros obsoletos

Usar Durao e Eliminao

Tpico da Ajuda: Usar a durao e a eliminao

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Gerenciamento de registros DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-34

2-35

Teste da configurao do servidor DNS

Pontos principais
Na guia Monitoramento do servidor DNS, voc pode configurar um teste que
permite ao servidor DNS determinar se ele pode resolver consultas locais simples
e executar uma consulta recursiva para garantir que o servidor pode se comunicar
com servidores upstream.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Ferramentas que identificam problemas no DNS

Pontos principais
Podem ocorrer problemas quando voc no configura corretamente o servidor DNS
e suas zonas e recursos de registros respectivos. Quando registros de recursos esto
causando problemas, eventualmente pode ser mais difcil identificar o problema,
pois problemas de configurao nem sempre so bvios.

Leituras adicionais

Descrio do utilitrio DNSLint

Tpico da Ajuda: Soluo de problemas de servidores DNS

Soluo de problemas de DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-36

Demonstrao: Teste da configurao do servidor DNS

2-37

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Monitoramento do DNS atravs do Log de eventos DNS e


do Log de depurao

Pontos principais
O servidor DNS tem sua prpria categoria no log de eventos. Como com qualquer
log de eventos do Visualizador de Eventos do Windows, voc deve revisar o log de
eventos periodicamente.
s vezes pode ser necessrio obter mais detalhes sobre um problema de DNS do
que o fornecido pelo Visualizador de Eventos. Neste exemplo, voc pode usar o log
de depurao para fornecer informaes adicionais.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-38

2-39

Laboratrio: Configurao e verificao de uma


soluo DNS

Objetivos

Configurar uma infraestrutura DNS de modo a incluir uma zona secundria,


uma zona de stub, e proteger as transferncias de zona

Monitorar o DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Exerccio 1: Configurao de uma infraestrutura DNS


Cenrio
Voc o administrador primrio de DNS do Woodgrove Bank. Voc recebeu uma
solicitao para criar duas novas zonas DNS. A zona Nwtraders.msft destina-se a
uma diviso do banco que requer seu prprio domnio DNS. Essa diviso tambm
ter um grupo de administradores que administram os registros de recursos da
zona. Contoso uma empresa adquirida recentemente pelo Woodgrove Bank. Para
comear o teste de integrao, defina um domnio DNS chamado contoso.msft e
teste configuraes de zona distintas. Voc tambm precisa testar a zona para
garantir que ela resiliente a falhas.

Viso geral do exerccio:


Neste exerccio, voc ir configurar a funo de servidor DNS em um servidor membro,
e configurar as zonas contoso.msft e nwtraders.msft. Em seguida, voc criar zonas
secundrias para cada domnio e criar uma zona de stub para Nwtraders.msft.
As principais tarefas so:
1.

Iniciar as mquinas virtuais e fazer logon.

2.

Configurar a funo Servidor DNS em NYC-SVR1.

3.

Configurar a zona Contoso.msft em NYC-SVR1.

4.

Configurar a zona Nwtraders.msft em NYC-DC1.

5.

Configurar a segurana de transferncia de zona.

6.

Configurar zonas secundrias para cada domnio em NYC-SVR1 e NYC-DC1.

7.

Configurar uma zona de stub para Nwtraders.msft em NYC-SVR1.

8.

Configurar opes administrativas para o domnio Nwtradters.msft.

f Tarefa 1: Iniciar as mquinas virtuais e fazer logon


1.

No computador host, clique em Iniciar, aponte para Todos os Programas e


Microsoft Learning; clique em 10221A. O Lab Launcher ser iniciado.

2.

No Lab Launcher, ao lado de 10221A-NYC-DC1, clique em Launch.

3.

No Lab Launcher, ao lado de 10221A-NYC-SVR1, clique em Launch.

4.

Faa logon em ambas as mquinas virtuais como Woodgrovebank\Administrador


com a senha Pa$$w0rd.

5.

Minimize a janela do Lab Launcher.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-40

2-41

f Tarefa 2: Configurar a funo Servidor DNS em NYC-SVR1

Em NYC-SVR1, no console do Gerenciador de Servidores, adicione a funo


Servidor DNS.

f Tarefa 3: Configurar a zona Contoso.msft em NYC-SVR1


1.

Em NYC-SVR1, abra o console DNS (localizado em Ferramentas Administrativas).

2.

Crie uma zona primria de pesquisa direta chamada Contoso.msft.

3.

Use as opes padro no Assistente de nova zona.

f Tarefa 4: Configurar a zona nwtraders.msft em NYC-DC1


1.

Em NYC-DC1, abra o console DNS (localizado em Ferramentas Administrativas).

2.

Crie uma zona primria de pesquisa direta integrada ao Active Directory


chamada nwtraders.msft.

3.

Use as opes padro no Assistente de nova zona.

f Tarefa 5: Configurar transferncias de zona


1.

Em NYC-DC1, configure nwtraders.msft para permitir transferncias de zona


em NYC-SVR1:

2.

Em NYC-SVR1, configure nwtraders.msft para permitir transferncias de zona


em NYC-DC1.

3.

O endereo IP de NYC-SVR1 10.10.0.24.

O endereo IP de NYC-DC1 10.10.0.10.

Responda seguinte pergunta:

Pergunta: Por que necessrio configurar transferncias de zona?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 6: Configurar zonas secundrias para cada domnio


1.

Em NYC-DC1, use o console DNS para configurar uma zona direta secundria
para Contoso.msft:

2.

O endereo do servidor da zona primria para Contoso.msft 10.10.0.24.

Em NYC-SVR1, use o console DNS para configurar uma zona direta secundria
para nwtraders.msft:

O endereo do servidor da zona primria para nwtraders.msft 10.10.0.10.

f Tarefa 7: Configurar uma zona de stub para WoodgroveBank.com


1.

Em NYC-SVR1, use o console DNS para configurar uma zona de stub para
WoodgroveBank.com:

O endereo do servidor da zona primria para WoodgroveBank.msft


10.10.0.10.

2.

Clique em WoodgroveBank.com e anote os registros listados.

3.

Em NYC-DC1, no console DNS, clique em WoodgroveBank.com e verifique


se h registros adicionais que no esto includos em uma zona de stub.

4.

Responda seguinte pergunta:

Pergunta: Por que usar uma zona de stub em vez de encaminhadores condicionais?

f Tarefa 8: Configurar opes administrativas para o domnio


nwtradters.msft
1.

Em NYC-DC1, use o console DNS para adicionar o grupo DL Nwtraders DNS


Admins lista de controle de acesso nwtraders.msft.

2.

Conceda as permisses Leitura, Gravao, Criar Todos os Objetos Filho e


Excluir Todos os Objetos Filho ao grupo DL Nwtraders DNS Admins.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-42

2-43

Exerccio 2: Monitoramento e soluo de problemas de DNS


Cenrio
Alguns usurios reclamaram de estar tendo problemas ao resolver nomes de
domnio. Voc precisa analisar a infraestrutura de DNS para garantir que no
h problemas.

Viso geral do exerccio


Neste exerccio, voc far vrios testes para ter certeza de que a infraestrutura
DNS est funcionando corretamente. Voc usar vrias ferramentas de soluo
de problemas de DNS para validar configuraes e respostas de DNS.
As principais tarefas so:
1.

Testar consultas simples e recursivas.

2.

Verificar os registros SOA usando o Nslookup.

3.

Usar o comando Dnslint para verificar os registros de servidores de nome.

4.

Exibir estatsticas de desempenho atravs do console Desempenho.

5.

Verificar a replicao do DNS.

6.

Fechar todas as mquinas virtuais e descartar discos de desfazer.

f Tarefa 1: Testar consultas simples e recursivas

Em NYC-DC1, no console DNS, use a funo Monitoramento do Servidor


DNS para executar Uma consulta simples a este servidor DNS.

f Tarefa 2: Verificar os registros SOA usando o Nslookup


1.

Em NYC-DC1, abra um prompt de comando e digite nslookup.exe.

2.

Configurar um tipo de consulta de SOA (Incio de Autoridade)

3.

Pesquisar os registros de recursos de SOA para nwtraders.msft e contoso.msft.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 3: Usar o comando Dnslint para verificar os registros de


servidores de nomes
1.

Em NYC-DC1, abra um prompt de comando e execute o comando dnslint.exe


para o domnio nwtraders.msft no endereo IP 10.10.0.10:

2.

O arquivo dnslint.exe est localizado em d:\Labfiles\dnslint.

Gerar um arquivo html de relatrio Dnslint:

A opo /s especifica que Dnslint no consultar a Internet quanto ao


domnio especificado.

A opo /d especifica o domnio a ser pesquisado.

Observao: Consulte a documentao da Ajuda se precisar de mais orientao.

f Tarefa 4: Exibir estatsticas de desempenho atravs do console


Desempenho
1.

Em NYC-DC1, use o console Gerenciamento do Computador para abrir o


Monitor de Desempenho.

2.

Adicione os contadores de DNS Uma consulta simples a este servidor DNS e


Uma consulta recursiva a outros servidores DNS.

3.

Use o recurso Monitoramento nas propriedades do Servidor DNS para gerar


solicitaes para o servidor DNS.

4.

Revise os dados gerados pelas solicitaes no Monitor de Desempenho.


Alternar entre o grfico e exibies de relatrio.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-44

2-45

f Tarefa 5: Verificar a replicao do DNS


1.

Em NYC-DC1, use o console DNS para adicionar um registro de recurso A


chamado Teste zona nwtraders.msft. Use o endereo IP de 10.10.0.15.

2.

Verifique se o registro de recurso A criado em NYC-DC1 replicou em


NYC-SVR1.

3.

Se o registro de recurso A no aparecer, force manualmente para que a


replicao ocorra.

f Tarefa 6: Fechar todas as mquinas virtuais e descartar discos de desfazer


Observao: No desative as mquinas virtuais at concluir as perguntas de Reviso
do laboratrio.

1.

Para cada mquina virtual em execuo, feche a janela Virtual Machine Remote
Control (VMRC).

2.

Na caixa de dilogo Close, selecione Turn off machine and discard changes
e clique em OK.

3.

Feche o Lab Launcher do 10221A.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Reviso do mdulo e informaes


complementares

Perguntas de reviso
1.

Voc est fazendo uma apresentao sobre as vantagens de usar o Windows


Server 2008 para um possvel cliente. Quais so os novos recursos que voc
destacaria ao analisar a funo Servidor DNS do Windows Server 2008?

2.

Voc est implantando servidores DNS em um domnio do Active Directory,


e seu cliente exige que a infraestrutura seja resistente a pontos isolados de falha.
O que voc deve considerar ao planejar a configurao do DNS?

3.

Qual a diferena entre consultas recursivas e interativas?

4.

O que deve ser configurado para que uma zona DNS seja transferida para um
servidor DNS secundrio?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-46

2-47

5.

Voc o administrador de um ambiente DNS do Windows Server 2008.


Sua empresa adquiriu outra empresa recentemente. Voc quer replicar as
respectivas zonas primrias DNS. A empresa adquirida est usando o Bind
4.9.4 para hospedar suas zonas primrias DNS. Voc observa um volume
considervel de trfego entre o servidor DNS do Windows Server 2008 e o
servidor Bind. Cite um motivo possvel para essa ocorrncia.

6.

Voc deve automatizar o processo de configurao de um servidor DNS para


automatizar a implantao do Windows Server 2008. Que ferramenta DNS
voc pode usar para isso?

Problemas comuns e dicas de soluo de problemas

Para solucionar problemas de resoluo de registros de recursos DNS:

Se a alterao no registro de recurso ocorreu recentemente, talvez ela no


tenha sido replicada para todos os servidores DNS.

Nas organizaes maiores, onde o DNS integrado ao Active Directory,


a convergncia pode ser mais demorada.

Ocasionalmente, o cliente pode armazenar no cache os registros DNS


vlidos. Portanto, voc deve esvaziar o cache DNS local.

possvel que os servidores na Internet necessitem de mais tempo para


atualizar as informaes no prprio cache e na organizao, antes que as
alteraes feitas por voc entrem em vigor.

Para solucionar problemas em transferncias de zona DNS:

Verifique se o servidor que tenta transferir a zona est autorizado na


configurao de zona primria.

Verifique se o servidor para o qual a zona est transferindo tem suporte


para recursos de transferncia de zona no Windows Server 2008. Talvez
seja necessrio desativar alguns recursos.

Verifique se um firewall ou outro dispositivo de gerenciamento de porta


existente entre os dois servidores DNS no est bloqueando a Porta UDP 53.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Para solucionar problemas quando o servidor DNS responde lentamente s


solicitaes:

Verifique se outros programas no esto impactando o servidor com a


funo de Servidor DNS.

Use o Monitor de Desempenho para identificar a carga no servidor gerada


pelos pedidos DNS. Talvez seja necessrio dividir a carga ou criar subzonas
adicionais.

Certifique-se de que no existe um grande nmero de registros de


recursos obsoletos.

Problemas e cenrios reais

Zonas DNS inversas


Geralmente, os administradores no criam zonas DNS inversas na infraestrutura
do DNS. Em princpio, isso no acarretar quaisquer problemas bvios. Contudo,
vrios aplicativos utilizam o DNS inverso para resolver informaes de nomes
sobre os hosts nos quais esto em execuo.
Alguns aplicativos exigem a definio de uma zona inversa e de registros de
recursos de ponteiro. Muitos dispositivos e softwares de segurana de e-mail
procuram periodicamente um registro inverso DNS para permitir a comunicao
com o endereo IP.

Confianas DNS e Active Directory


Ao criar confianas entre dois domnios do Active Directory, a possibilidade
de o domnio A pesquisar registros no domnio B, e vice-versa, est ligada
configurao da infraestrutura do DNS. Domnios do Active Directory raramente
pode ser acessados na Internet. Portanto, voc precisa de encaminhadores
condicionais, zonas de stub ou zonas secundrias para replicar a infraestrutura
de DNS em domnios e florestas.

Proteja as zonas contra o despejo de zonas


Por padro, as transferncias de zona so desativadas no Windows Server 2008.
Ao configurar transferncias de zona, a prtica recomendada especificar o
endereo IP dos servidores para os quais os dados da zona sero transferidos.
Recomendamos enfaticamente que a opo Allow zone transfer to Any Server
(Permitir transferncia de zona para qualquer servidor) no seja selecionada,
principalmente se o servidor em questo estiver na Internet. Com esta opo
habilitada, possvel despejar a zona inteira, o que pode disponibilizar um
volume significativo de informaes sobre a rede para possveis invasores.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-48

2-49

Prticas recomendadas

Digite o endereo de e-mail correto da pessoa responsvel por cada zona que
voc adicionar ao servidor DNS ou gerenciar nesse servidor. Os aplicativos
usam esse campo para notificar aos administradores do DNS os diversos
motivos. Por exemplo, erros de consulta, dados incorretos retornados em uma
consulta e problemas relacionados segurana so alguns motivos pelos quais
esse campo pode ser utilizado. Embora a maioria dos endereos de email da
Internet contenham o smbolo de arroba (@) para representar a palavra em,
esse smbolo deve ser substitudo pelo ponto (.) ao digitar um endereo de email
nesse campo. Por exemplo, em vez de administrador@microsoft.com, voc
usaria administrador.microsoft.com.
Para obter mais informaes sobre como configurar a pessoa responsvel por
uma zona, consulte Modificar o registro de incio de autoridade (SOA start of
authority) de uma zona, em http://technet2.microsoft.com/WindowsServer/en/
library/e1f77652-7e1f-4902-9107-6b863ccb43501033.mspx.

Seja ponderado ao adicionar registros de alias s zonas.


Evite usar registros de recursos (RRs) CNAME para aplicar alias a um nome de
host usado em um registro de recurso (A) de host se eles forem desnecessrios.
Alm disso, certifique-se de que os outros RRs no estejam usando nenhum
nome de alias que voc utiliza.
O DNS permite o uso de um nome de proprietrio de um registro de recurso
CNAME como o nome do proprietrio dos outros tipos de registros de recursos,
como os registros NS, MX e TXT.
Para obter mais informaes, consulte o tpico da Ajuda: gerenciando registros
de recursos.

Se estiver usando o Active Directory, use o armazenamento integrado por


diretrios em suas zonas DNS. Isso oferece mais segurana, tolerncia a falhas
e implantao e gerenciamento simplificados.
Ao integrar zonas, voc pode simplificar o planejamento da rede. Por exemplo,
os controladores de domnio de cada um de seus domnios do Active Directory
correspondem, em um mapeamento direto de um-para-um, aos servidores DNS.
Isso pode simplificar o planejamento e a soluo de problemas de replicao do
DNS e do Active Directory, uma vez que as duas topologias utilizam os mesmos
computadores servidores.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Ao usar o armazenamento integrado por diretrios para as suas zonas, voc


pode escolher dentre os diversos escopos de replicao que replicam os dados
da zona DNS no diretrio inteiro. Se sua infraestrutura do DNS precisar suportar
servidores DNS do Windows 2000, voc usara o mtodo do armazenamento
integrado por diretrios, que replica os dados da zona DNS para todos os
controladores de um domnio. Se sua infraestrutura de DNS consistir em
servidores DNS executando apenas o Windows Server 2003, voc tambm
poder escolher dentre os escopos de replicao que replicam os dados da
zona DNS para todos os servidores DNS na floresta Active Directory, todos
os servidores DNS em um domnio do Active Directory especificado ou todos
os controladores de domnio especificados em um escopo de replicao
personalizado.
Qualquer servidor DNS que hospede uma zona integrada por diretrios
um servidor primrio DNS dessa zona. Isso habilita um modelo multimestre
em que vrios servidores DNS podem atualizar os dados da mesma zona.
Um modelo multimestre elimina um ponto isolado de falha, associado a uma
topologia convencional DNS de mestre nico, onde as atualizaes s podem
ocorrer em um nico servidor DNS de uma zona especfica.
Um dos principais benefcios da integrao por diretrios o suporte para
proteger a atualizao dinmica dos nomes em uma zona. Para obter mais
informaes, consulte Atualizao dinmica, em http://technet2.microsoft.com/
WindowsServer/en/library/e760737e-9e55-458d-b5ed-a1ae9e04819e1033.mspx.

Considere o uso de zonas secundrias para auxiliar a descarga do trfego de


consultas DNS, sempre que necessrio.
Voc pode usar servidores secundrios como backups de clientes DNS, o que
permite balancear a carga do trfego de consulta DNS na rede e reservar os
servidores primrios habilitados para DNS para serem usados somente pelos
clientes que necessitam deles para registrar e atualizar dinamicamente seus
registros de recursos A e PTR.
Desative a recurso para os servidores que no respondem s consultas de
clientes ou se comunicam atravs de encaminhadores. medida que os
servidores DNS se comunicarem entre si atravs de consultas iterativas,
isso garantir que o servidor s responda s consultas a ele direcionadas.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-50

2-51

Console DNS
A principal ferramenta para gerenciar servidores DNS o console DNS, localizado
na pasta Ferramentas Administrativas no menu Iniciar. Voc pode usar o console
DNS isoladamente ou como um Console de Gerenciamento Microsoft (MMC),
integrando ainda mais a administrao do DNS ao gerenciamento total de sua rede.
Ele tambm est disponvel no Gerenciador de Servidores, em computadores com
a funo Servidor DNS instalada.

Ferramentas de linha de comando


A tabela a seguir descreve as ferramentas de linha de comando que podem ser
utilizadas para configurao e soluo de problemas de DNS:
Comando Descrio
Nslookup Usar para fazer uma consulta testando o namespace de domnio DNS.
Dnscmd

Use esta interface de linha de comando para gerenciar servidores DNS.


Este utilitrio ajuda a criar scripts de arquivos de lote para automatizar
tarefas rotineiras de gerenciamento do DNS ou para realizar uma instalao
simples automtica e a configurao de novos servidores DNS na rede.

Ipconfig

Use este comando para exibir e modificar detalhes de configurao de


IP que o computador utiliza. Este utilitrio inclui opes de linha de
comando adicionais para fornecer ajuda em soluo de problemas e
suporte a clientes DNS.

DNSlint

Oferece vrios testes automatizados para verificar se servidores DNS e


registros de recursos esto configurados corretamente e apontando para
servios vlidos.
Voc pode baixar esse comando na Microsoft,
em http://support.microsoft.com/kb/321045.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DNS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Ferramentas de monitoramento
A famlia Windows Server 2008 contm as seguintes opes para monitorar os
servidores DNS:

Log padro de mensagens de eventos do servidor DNS para o log do servidor


DNS. As mensagens de eventos do servidor DNS so separadas e mantidas em
um log prprio de eventos do sistema o log do servidor DNS que voc
pode exibir no console DNS ou no Visualizador de Eventos.

Opes de depurao opcionais para rastrear o log para um arquivo texto


no computador servidor DNS. Voc tambm pode usar o console DNS para
habilitar outras opes do log de depurao, para o log de rastreamento
temporrio da atividade do servidor DNS em um arquivo de texto. O arquivo
criado e utilizado para esse recurso, o Dns.log, armazenado na pasta
systemroot\System32\Dns.

Monitor de Desempenho do Windows. Voc pode monitorar contadores de


desempenho DNS especficos em tempo real, para diagnosticar problemas e
questes de conteno de recursos no DNS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

2-52

3-1

Mdulo 3
Configurao e gerenciamento do WINS
Contedo:
Lio 1: Viso geral do WINS

3-3

Lio 2: Gerenciamento do servidor WINS

3-13

Lio 3: Configurao da replicao do WINS

3-22

Lio 4: Migrao do WINS para o DNS

3-28

Laboratrio: Configurao de uma infraestrutura WINS

3-35

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral do mdulo

Este mdulo explica como configurar, gerenciar e solucionar problemas dos


servidores Microsoft WINS (Windows Internet Name Service). O WINS um
NBNS (NetBIOS Name Server) que voc pode usar para resolver nomes NetBIOS
em endereos IP.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-2

3-3

Lio 1

Viso geral do WINS

A finalidade do WINS em uma infraestrutura de rede resolver nomes NetBIOS em


endereos IP para comunicao eficaz entre sistemas e aplicativos que ainda fazem
uso de nomes nicos. Verses mais antigas de sistemas operacionais Microsoft, bem
como aplicativos mais antigos e funcionrios de algumas organizaes, ainda usam
esse tipo de resoluo para conectar a recursos, como servidores Web internos.
Portanto, o WINS ainda est disponvel e pode ser usado, mas ser removido em
verses futuras do Windows Server. Quando o WINS for desativado, um novo
tipo de zona DNS (Sistema de Nomes de Domnio) estar disponvel e poder ser
replicado entre servidores DNS do Windows Server 2008 para resolver nomes de
namespaces nicos.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Quando o WINS necessrio?

Pontos principais
O WINS resolve nomes NetBIOS em endereos IP, o que reduz o trfego de
difuso de NetBIOS e permite aos clientes resolver os nomes NetBIOS de
computadores localizados em diferentes segmentos da rede (sub-redes).
O WINS necessrio pelos seguintes motivos:

As verses anteriores dos sistemas operacionais Microsoft dependem do WINS


para a resoluo de nomes.

Alguns aplicativos, geralmente os mais antigos, dependem dos nomes NetBIOS.

Pode ser necessrio um registro dinmico de nomes de rtulo nico.

Os usurios podem contar com os recursos do navegador de rede do Ambiente


de Rede ou de Meus Locais de Rede.

Voc pode no estar usando o Windows Server 2008 como sua infraestrutura DNS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-4

3-5

Leituras adicionais

Viso geral do WINS (Windows Internet Naming Service) do Windows 2000 Server

Por que voc ainda executa o WINS (Windows Internet Naming Service)

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral dos componentes do WINS

Pontos principais
Para instalar e configurar um servidor WINS corretamente, administradores de
sistema devem ter um entendimento profundo dos componentes do WINS e da
forma como eles trabalham juntos em um ambiente de rede.
O sistema WINS completo do Windows Server 2008 inclui estes componentes:

Servidor WINS

Banco de dados WINS

Clientes WINS

Agente proxy WINS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-6

3-7

Observao: O Windows Server 2008 permite migrar do WINS para uma soluo
DNS completa quando sua infraestrutura d suporte aos pr-requisitos apresentados
posteriormente no mdulo. Isso possvel por meio de uma zona de nome de rtulo
nico, chamada GlobalNames, no DNS do Windows Server 2008.

Leituras adicionais

Componentes do WINS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Processo de registro e liberao de cliente WINS

Pontos principais
Registro de nome o processo pelo qual um cliente WINS solicita e recebe a
utilizao de um nome NetBIOS para os servios que o cliente disponibiliza na
rede. A solicitao pode ser um nome nico (exclusivo) ou um nome de um grupo
(compartilhado).
Liberao de nome o processo pelo qual um cliente WINS solicita o cancelamento
de registro de um nome NetBIOS do banco de dados WINS.

Leituras adicionais

Verificar o registro WINS de nomes NetBIOS de cliente

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-8

O que tratamento intermitente?

Pontos principais
O tratamento intermitente permite que um servidor WINS processe uma grande
quantidade de solicitaes simultneas de registro de nomes.
O tratamento intermitente permite que o servidor WINS responda de modo
positivo e imediato aos clientes WINS, sem realmente aceitar a solicitao de
registro de nome.

Leituras adicionais

Tratamento intermitente

3-9

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Processo de resoluo de nomes do servidor WINS

Pontos principais
Para que os clientes possam utilizar um servidor WINS para resoluo de nomes,
configure-os primeiramente com o endereo IP do servidor WINS. possvel fazer
isso manualmente, usando a configurao local do protocolo TCP/IP do cliente,
ou dinamicamente, com DHCP.
Voc pode configurar clientes WINS com uma lista de vrios servidores WINS.
O cliente WINS tenta usar apenas o primeiro servidor WINS que esteja na lista
de configuraes de TCP/IP. Se o primeiro servidor WINS no responde, o cliente
WNS contata outros servidores WINS at receber uma resposta ou usar a lista de
servidores WINS utilizveis.

Leituras adicionais

Resoluo de nomes NetBIOS sobre o TCP/IP e WINS

Ordem da resoluo de nomes de host do Microsoft TCP/IP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-10

3-11

O que so os tipos de ns do NetBIOS?

Pontos principais
Um tipo de n NetBIOS um parmetro configurvel que determina o mtodo
que um computador aplicar para resolver um nome NetBIOS em um endereo IP.
O tipo de n NetBIOS permite que um administrador controle quais mtodos de
resoluo de nomes NetBIOS os clientes implementaro e a sequncia em que
utilizaro esses mtodos.
Compreender o funcionamento dos vrios tipos de ns auxiliar a configurar a
soluo WINS adequadamente. No Windows Server 2008, h suporte para os
seguintes tipos de ns:

N B (difuso)

N P (ponto a ponto)

N M (misto)

N H (hbrido)

Leituras adicionais

Resoluo de nomes NetBIOS sobre o TCP/IP e WINS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Instalao e configurao de um servidor WINS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-12

3-13

Lio 2

Gerenciamento do servidor WINS

Para que o WINS funcione com eficcia em um ambiente Microsoft, os clientes e


servidores devem ter seus nomes registrados no servio WINS. Pode haver casos
em que entradas incorretas no banco de dados do servidor WINS criem problemas
com a resoluo de nomes NetBIOS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral de registros do cliente

Pontos principais
O banco de dados WINS formado por registros de clientes. Um registro do
cliente contm informaes detalhadas de cada servio dependente de NetBIOS
que seja executado em um cliente WINS.
O WINS exibe todos os registros no banco de dados e organiza as informaes de
registro WINS nas seguintes colunas:

Nome do registro

Tipo

Endereo IP

Estado

Esttico

Proprietrio

Verso

Validade

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-14

Leituras adicionais

Exibir Registros WINS

3-15

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: filtragem e visualizao de registros no WINS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-16

3-17

Como a eliminao funciona

Pontos principais
Eliminao o processo de excluso e remoo de entradas do banco de dados
WINS que perderam a validade. A eliminao tambm remove entradas que foram
replicadas em um servidor WINS remoto e no foram removidas do banco de dados
WINS local. A eliminao mantm o estado correto das informaes no banco de
dados, examinando cada registro que o servidor WINS possui, comparando o
carimbo de data/hora do registro com a hora atual e, em seguida, alterando o estado
dos registros que perderam a validade. Por exemplo, a eliminao altera o estado de
um registro de ativo para liberado.

Leituras adicionais

Manuteno do banco de dados WINS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Excluso de registros WINS

Pontos principais
Excluindo registros obsoletos no banco de dados WINS, voc pode recuperar espao
no utilizado. O console de gerenciamento WINS possibilita melhor gerenciamento
do banco de dados ao oferecer suporte s operaes de excluso a seguir:

Excluso simples de registros de banco de dados WINS armazenados em um


s servidor.

Com marca para excluso, que a remoo de registros que esto marcados
para serem removidos do banco de dados WINS s depois de replicados em
bancos de dados de outros servidores WINS.

A capacidade de selecionar vrios grupos de registros de banco de dados


exibidos ao executar uma excluso simples ou a marcao para excluso.

Leituras adicionais

Excluso e marcao para excluso dos registros

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-18

3-19

Backup e restaurao do banco de dados WINS

Pontos principais
Se voc no conseguir reparar um banco de dados corrompido resultante de falha
do sistema, ataque de vrus, falha de energia ou outro desastre, possvel restaurar
o banco de dados a partir de um backup.
O console de Gerenciamento WINS fornece ferramentas de backup para o banco
de dados WINS.

Leituras adicionais

Manuteno do banco de dados WINS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Compactao do banco de dados WINS

Pontos principais
Recuperar espao no utilizado no banco de dados WINS auxilia a preservar o
desempenho. possvel recuperar o espao no utilizado compactando o banco
de dados WINS.
A compactao dinmica ocorre como um processo em segundo plano durante o
tempo ocioso, enquanto o banco de dados atualizado. Isso reduz a necessidade
de executar a compactao offline.

Observao: O WINS usa o formato de banco de dados Jet para armazenar os dados.
O Jet cria o arquivo J<n>.log e outros arquivos na pasta %systemroot%\System32\Wins.

Leituras adicionais

Como usar o Jetpack.exe para compactar um banco de dados WINS ou DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-20

Demonstrao: Gerenciamento do banco de dados do


servidor WINS

3-21

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 3

Configurao da replicao do WINS

Por padro, um servidor WINS contm informaes apenas sobre seus prprios
clientes. Para garantir a eficcia da resoluo de nomes NetBIOS em um ambiente
com vrios servidores WINS, cada servidor WINS precisa conhecer todos os
clientes, independentemente do servidor WINS que registrou o cliente.
A replicao WINS ocorre entre dois servidores WINS para manter dados
consistentes entre vrios servidores WINS.
A configurao padro de parceiros de replicao WINS o tipo de replicao
push/pull.

Observao: Em vez de replicar o banco de dados inteiro, os servidores WINS


replicam apenas as alteraes efetuadas em seus bancos de dados.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-22

3-23

O que a replicao Push?

Pontos principais
Replicao Push o processo de copiar dados WINS atualizados de um servidor
WINS para outros servidores WINS sempre que ele atingir um limite especificado
de alteraes.
Um parceiro de replicao dever ser configurado como parceiro de envio por
push, se houver links de comunicao rpidos conectando os servidores.

Leituras adicionais

Parceiros de envio

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que a replicao Pull?

Pontos principais
Replicao pull o processo de copiar dados WINS atualizados de um servidor
WINS para outro servidor WINS em intervalos especficos e configurveis.
Voc dever configurar um parceiro de replicao como sendo de recepo se
vnculos de comunicao lentos conectarem os servidores WINS.

Leituras adicionais

Parceiros de recepo

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-24

3-25

O que a replicao Push/Pull?

Pontos principais
No processo de replicao push/pull, um servidor WINS atualiza os respectivos
registros com novas entradas de banco de dados de seus parceiros de replicao,
com base em um limite e um intervalo de replicao.
Se voc quiser especificar um limite e um intervalo de replicao para o parceiro de
replicao, configure-o como parceiro de envio/recepo.
Por padro, os parceiros de replicao WINS so configurados como parceiros de
envio/recepo.

Leituras adicionais

Viso geral da replicao WINS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Configurao das propriedades de parceiros


da Replicao do WINS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-26

3-27

Verificao da consistncia do banco de dados WINS

Pontos principais
Verificar a consistncia do banco de dados WINS ajuda a preservar a integridade
do banco de dados entre servidores WINS de redes grandes.
Quando voc inicia a verificao de consistncia no console de gerenciamento
WINS, os registros so verificados com base em cada proprietrio listado no banco
de dados do servidor atual, incluindo outros servidores WINS parceiros indiretos
(no configurados diretamente) de replicao.

Leituras adicionais

Verificar manualmente a consistncia do banco de dados

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 4

Migrao do WINS para o DNS

Hoje, vrios clientes Microsoft implantam a tecnologia e os servidores WINS em


seus ambientes.
Para ajudar os clientes a migrarem para o DNS em todas as resolues de nomes,
a funo de servidor DNS no Windows Server 2008 oferece suporte a um recurso
especial da zona GlobalNames (GNZ). A GNZ foi projetada para permitir a resoluo
desses nomes globais, estticos e de rtulo nico para servidores que usam o DNS.
A GNZ destina-se a auxiliar na aposentadoria do WINS. Porm, no um substituto
para o WINS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-28

Resoluo de nomes para nome de rtulo nico

Pontos principais
Por padro, clientes DNS acrescentam sufixos que obtm de vrias fontes para
resolver um nome de rtulo nico.

Leituras adicionais

Documento Implantao da zona GlobalNames do servidor DNS

3-29

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que a zona GlobalNames?

Pontos principais
A Zona GlobalNames no um tipo novo de zona, mas seu nome reservado a
distingue. O nome GlobalNames indica para o servio do Servidor DNS em execuo
no Windows Server 2008 que a zona dever ser usada para resoluo de nome nico.
A implantao da zona GNZ recomendada ocorre por meio do uso de uma zona
integrada dos Servios de Domnio Active Directory (chamada GlobalNames) que
distribuda globalmente.

Leituras adicionais

Documento Implantao da zona GlobalNames do servidor DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-30

3-31

Como funciona a resoluo de nomes da zona GlobalNames

Pontos principais
O processo de resoluo de nomes da Zona GlobalNames o seguinte:
1.

O usurio digita http://mycontoso na barra de endereos do navegador em um


computador ligado ao domnio engineering.corp.contoso.com.

2.

O navegador chama a funo GetAddrInfo() para resolver o nome mycontoso.

3.

GetAddrInfo() chama o cliente DNS para resolver o nome.

4.

O cliente DNS envia as seguintes consultas qualificadas (com base na lista de


pesquisa de sufixos):

5.

mycontoso.engineering.corp.contoso.com Erro de Nome

mycontoso.accounting.corp.contoso.com Erro de Nome

mycontoso.itgrou.corp.contoso.com Erro de Nome

Se as consultas qualificadas falham, o servidor DNS pesquisa na zona GlobalNames,


se estiver configurado, e tenta resolver o nome de rtulo nico dessa zona.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Leituras adicionais

Documento Implantao da zona GlobalNames do servidor DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-32

3-33

Requisitos de instalao para implantar a zona GlobalNames

Pontos principais
H diferentes mtodos para implementar a zona GlobalNames:

Implantar vrias florestas

Implantar todos os domnios e computadores cliente em todas as florestas

Usar um conjunto seleto de servidores DNS para hospedar a zona GNZ

Leituras adicionais

Documento Implantao da zona GlobalNames do servidor DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Migrao do WINS para o DNS por meio da


zona GlobalNames

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-34

3-35

Laboratrio: Configurao de uma infraestrutura


WINS

Objetivos

Instalar o WINS

Configurar o tratamento de intermitncia do WINS

Configurar a replicao WINS

Migrar do WINS para o DNS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Cenrio
Voc recebe a tarefa de instalar um servidor WINS secundrio para o domnio
Woodgrovebank para tolerncia falhas e us-lo como um resolvedor secundrio do
servidor WINS para clientes do domnio. A consistncia e a velocidade de convergncia
de banco de dados so da mais alta importncia. A replicao deve ser configurada
para garantir que os registros sejam replicados no vetor de alterao ou no vetor de
tempo, o que acontecer primeiro.
Depois de implantar com xito o servidor WINS secundrio, o gerenciamento
deseja que voc teste o uso da nova zona GlobalNames no Windows Server 2008
DNS para auxiliar na retirada dos servidores WINS que o domnio Woodgrovebank
utiliza. A equipe de TI est considerando difcil a tarefa de manter a lista de pesquisa
de sufixo de nome de domnio, e domnios Woodgrovebank ainda usam nomes de
rtulo nico para nomes de servidor Web internos. Instale e confirme se essa nova
opo no DNS ajudar a encerrar os servidores WINS existentes.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-36

3-37

Exerccio 1: Instalao do WINS


Viso geral do exerccio:
Neste exerccio voc instalar o recurso WINS em 10221A-NYC-SVR1.
As principais tarefas so:
1.

Iniciar as mquinas virtuais e fazer logon.

2.

Abrir o console do Gerenciador de Servidores.

3.

Instalar o recurso WINS.

f Tarefa 1: Iniciar as mquinas virtuais e fazer logon


1.

No computador host, clique em Iniciar, aponte para Todos os Programas,


aponte para Microsoft Learning e clique em 10221A. O Lab Launcher ser
iniciado.

2.

No Lab Launcher, ao lado de 10221A-NYC-DC1, clique em Launch.

3.

No Lab Launcher, ao lado de 10221A-NYC-SVR1, clique em Launch.

4.

Faa logon em ambas as mquinas virtuais como Woodgrovebank\Administrador


com a senha Pa$$w0rd.

5.

Minimize a janela do Lab Launcher.

f Tarefa 2: Em 10221A-NYC-SVR1, inicie o console do Gerenciador de


Servidores
1.

Abra Ferramentas Administrativas.

2.

Inicie o Gerenciador de Servidores.

Resultado: O console do Gerenciador de Servidores aberta.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 3: No console do Gerenciador de Servidores, instale o recurso


WINS
1.

No Gerenciador de Servidores, use o Assistente para Adicionar Recursos


para instalar o recurso WINS em 10221A-NYC-SVR1.

2.

Na pgina Resultados da Instalao, verifique se a instalao obteve xito


antes de fechar o assistente.

Resultado: O recurso WINS instalado em 10221A-NYC-SVR1.

Importante: No faa logoff nas mquinas virtuais nem as desligue neste momento.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-38

3-39

Exerccio 2: Configurao do tratamento de intermitncia


do WINS
Viso geral do exerccio:
Neste exerccio voc ir configurar o tratamento intermitente, criar um registro
esttico, configurar intervalos de eliminao e configurar clientes para usar os
servidores WINS para a resoluo NetBIOS.
As principais tarefas so:
1.

Configurar o servidor WINS para tratamento intermitente.

2.

Criar uma entrada esttica no banco de dados WINS.

3.

Configurar a eliminao no servidor WINS.

4.

Configurar o NYC-DC1 para usar o servidor WINS para a resoluo NetBIOS.

5.

Testar a resoluo de nomes NetBIOS.

f Tarefa 1: Configurar o servidor WINS para tratamento intermitente


1.

Em NYC-SVR1, inicie o console WINS.

2.

Configure Tratamento Intermitente com a opo Baixo.

f Tarefa 2: Criar uma entrada esttica no banco de dados WINS


1.

2.

No console WINS, crie um Novo Mapeamento Esttico com as seguintes


propriedades:

Nome do computador de HRWEB

Endereo IP de 10.10.0.10

Usar Registros Ativos para verificar se existe a nova entrada esttica.

Observao: No feche o console WINS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 3: Configurar a eliminao no servidor WINS para ocorrer a


cada sete dias

Na caixa de dilogo Propriedades WINS de NYC-SVR1, use a guia Intervalos


para definir o valor Tempo limite de extino em 7 dias.

f Tarefa 4: Configurar o 10221A-NYC-DC1 para usar o servidor WINS


para a resoluo NetBIOS
1.

Em NYC-DC1, abra Conexes de Rede e abra as propriedades da Conexo


Local.

2.

Na caixa de dilogo Propriedades de Conexo Local, em Esta conexo usa


os seguintes itens, abra as propriedades de TCP/IPv4.

3.

Clique em Avanado e configure o computador para usar o servidor WINS


(endereo IP de 10.10.0.24).

f Tarefa 5: Testar os recursos de resoluo de nomes NetBIOS

Em NYC-DC1, em uma janela de comando, digite ping hrweb.


A resoluo de nomes dever ter xito e resolver em 10.10.0.10.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-40

3-41

Exerccio 3: Configurao da replicao do WINS


Viso geral do exerccio:
Neste exerccio, voc configurar o recurso WINS em 10221A-NYC-SVR1 e
10221A-NYC-DC1 para serem parceiros de pull/push a fim de manter a
consistncia dos registros WINS.
As principais tarefas so:
1.

Configurar replicao push e pull em NYC-DC1.

2.

Configurar replicao push e pull em NYC-SVR1.

3.

Verificar replicao.

f Tarefa 1: Configurar replicao push e pull em NYC-DC1


1.

Abra o WINS no menu Ferramentas Administrativas.

2.

Na janela administrativa do WINS, use Parceiros de Replicao para


selecionar um novo parceiro de replicao com o endereo IP de 10.10.0.24.
O painel de detalhes de Parceiros de Replicao lista NYC-SVR1 como um
parceiro de envio/recepo.

f Tarefa 2: Configurar replicao push e pull em NYC-SVR1


1.

Abra o WINS no menu Ferramentas Administrativas.

2.

Na janela administrativa do WINS, use Parceiros de Replicao para


selecionar um novo parceiro de replicao com o endereo IP de 10.10.0.10.
O painel de detalhes de Parceiros de Replicao lista NYC-DC1 como um
parceiro de envio/recepo.

f Tarefa 3: Verificar replicao


1.

Em NYC-SVR1, force a replicao e, em seguida, verifique se aparecem


registros tanto de 10.10.0.10 quanto de 10.10.0.24 como proprietrios.

2.

Em NYC-DC1, force a replicao e, em seguida, verifique se aparecem registros


tanto de 10.10.0.10 quanto de 10.10.0.24 como proprietrios.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Exerccio 4: Migrao do WINS para o DNS


Viso geral do exerccio:
Neste exerccio voc migrar a resoluo de nomes de rtulo nico do WINS para
a zona GlobalNames no DNS.
As principais tarefas so:
1.

Criar uma zona GlobalNames e habilitar a funcionalidade GNZ.

2.

Criar um registro de Alias para um recurso de nome de rtulo nico.

3.

Encerrar o WINS.

4.

Verificar a resoluo de nomes de rtulo nico de GlobalNames.

5.

Fechar todas as mquinas virtuais e descartar discos de desfazer.

f Tarefa 1: Criar uma zona GlobalNames e habilitar a funcionalidade GNZ


1.

Em NYC-DC1, abra o console DNS localizado no menu Ferramentas


Administrativas.

2.

Crie uma nova zona de pesquisa direta com o nome GlobalNames, um escopo de
replicao que seja em toda a floresta e no permita atualizaes automticas.

3.

Abra um prompt de comando administrativo.

4.

Digite Dnscmd NYC-DC1 /config /Enableglobalnamessupport 1 e, em seguida,


pressione ENTER.

f Tarefa 2: Criar o registro de Alias do recuso de nome de rtulo nico


1.

No console do Gerenciador DNS, crie um registro Novo Alias (CNAME) na


zona de pesquisa direta GlobalNames com o nome de alias HRWEB e um
FQDN NYC-DC1.Woodgrovebank.com.

2.

Feche o console do Gerenciador DNS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-42

3-43

f Tarefa 3: Encerrar o WINS em NYC-DC1 e NYC-SVR1


1.

Em NYC-DC1 e em NYC-SVR1, inicie o console do Gerenciador de Servidores


no menu Ferramentas Administrativas.

2.

Remover o recurso WINS de NYC-DC1 e NYC-SVR1. Reiniciar como necessrio.

f Tarefa 4: Verificar a resoluo de nomes de rtulo nico de GlobalNames


1.

Faa logon em NYC-DC1 como administrador com a senha Pa$$w0rd.

2.

Faa logon no NYC-SVR1 como administrador com a senha Pa$$w0rd.

3.

Concluir a remoo de WINS conforme necessrio nos dois servidores.

4.

Em NYC-DC1, abra uma janela de comando e digite ping hrweb.


O comando ping obtm xito e resolve para nyc-dc1.woodgrovebank.com.

f Tarefa 5: Fechar todas as mquinas virtuais e descartar discos de


desfazer
1.

Para cada mquina virtual em execuo, feche a janela Virtual Machine Remote
Control (VMRC).

2.

Na caixa de dilogo Close, selecione Turn off machine and discard changes
e clique em OK.

3.

Feche o Lab Launcher do 10221A.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Reviso do mdulo e informaes


complementares

Perguntas de reviso
1.

Se um banco de dados for corrompido no WINS, no local de backup


especificado durante a configurao, quais so as etapas para reparar o
servidor WINS e restaur-lo ao estado operacional?

2.

Que benefcios que voc pode obter ao usar a GNZ no DNS para a resoluo
de nomes de rtulo nico?

3.

Sua empresa pretende encerrar os servidores WINS e usar o DNS totalmente


para a resoluo de nomes. Que etapas devem ser acionadas para obter xito
nessa migrao, se for realmente possvel?

4.

possvel utilizar o WINS em um ambiente do IPv6? O que deve ser configurado


nos clientes Windows para que possam usar o servidor WINS para a resoluo do
NetBIOS?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-44

3-45

Consideraes relacionadas aos servios WINS


Antes de instalar os servios WINS, considere os seguintes aspectos:

O WINS uma tecnologia herdada. Voc deve encerrar o WINS em seu


ambiente, se isso for realmente possvel.

Se voc precisa do registro dinmicos dos nomes NetBIOS em seu ambiente,


a opo da GNZ no DNS no uma escolha eficiente. O WINS necessrio.

Ao usar o WINS em seu ambiente, certifique-se de que todos os servidores


tambm tenham os endereos IP dos servidores WINS para serem utilizados
na respectiva configurao do IP.

Prticas recomendadas

Use as configuraes padro para configurar os servidores WINS.

Evite usar as entradas estticas WINS em algo diferente dos servidores de


misso crtica.

Selecione Envio/recepo ao configurar os parceiros de replicao.

Para obter os melhores resultados na replicao do WINS e no tempo de


convergncia, use um modelo de design hub e spoke.

Use apenas a quantidade necessria de servidores WINS.

Para maximizar o desempenho dos servidores, adquira um hardware com as


caractersticas ideais de desempenho de disco para lidar com o WINS.

Monitore e faa regulamente a compactao off-line.

Faa backups do banco de dados WINS, periodicamente.

Configure os clientes com mais de um endereo IP de servidor WINS.

Configure cada computador servidor WINS para apontar para si mesmo.

Use NBTSTAT -RR para registrar-se e solucionar problemas relacionados


conectividade dos clientes.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e gerenciamento do WINS

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Ferramentas
Ferramenta
Console de
Gerenciament
o Microsoft

Use para
Administrao local
e remota de todas
as funes e recursos
instalados no
Windows Server 2008.

Onde encontr-la
Clique em Iniciar e aponte para
Ferramentas Administrativas.
Selecione uma ferramenta prconfigurada ou digite mmc na caixa
Executar para criar um console MMC
personalizado, com base nos snap-ins
que voc especificar.

Ferramenta de Configurao do servio


gerenciament WINS em servidores
o do WINS
remotos e no servidor
local.

Clique em Iniciar e aponte para


Ferramentas Administrativas.
Selecione WINS nas ferramentas
de gerenciamento disponveis.

Gerenciador
de Servidores

Clique em Iniciar e aponte para


Ferramentas Administrativas.
Selecione Gerenciador de Servidores
nas ferramentas administrativas
disponveis.

Gerenciamento e
manuteno da
instalao e remoo
de funes e recursos.

Ferramenta de Configurao do
gerenciament servio DNS em
o do DNS
servidores remotos
ou no servidor local.

Clique em Iniciar e aponte para


Ferramentas Administrativas.
Selecione DNS nas ferramentas de
gerenciamento disponveis.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

3-46

4-1

Mdulo 4
Configurao e soluo de problemas de DHCP
Contedo:
Lio 1: Viso geral da funo Servidor DHCP

4-3

Lio 2: Configurao de escopos e opes de DHCP

4-12

Lio 3: Gerenciamento de um banco de dados DHCP

4-23

Lio 4: Monitoramento e soluo de problemas de DHCP

4-32

Lio 5: Proteo do DHCP

4-40

Laboratrio: Configurao e soluo de problemas da funo Servidor DHCP

4-46

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral do mdulo

Este mdulo explica como configurar, gerenciar e solucionar problemas de


servidores DHCP e escopos DHCP.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-2

4-3

Lio 1

Viso geral da funo Servidor DHCP

O protocolo DHCP desempenha uma funo importante na infraestrutura do


Windows Server 2008. Ele o principal meio de distribuio de importantes
informaes de rede para os clientes da rede e inclui aspectos relevantes de muitas
outras ferramentas habilitadas para rede, incluindo WDS (Servios de Implantao
do Windows) e NAP (Proteo contra Acesso Rede). Aps concluir esta lio,
voc ser capaz de identificar as vantagens do DHCP e descrever como esse
protocolo funciona e como ele controlado em uma rede de servio de diretrio
do Windows Server 2008 Active Directory.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Vantagens do uso do DHCP

Pontos principais
O protocolo DHCP simplifica a configurao de clientes IP em um ambiente de rede.
Com a funo Servidor DHCP, voc pode garantir que todos os clientes tenham
as mesmas informaes de configurao, o que elimina erros humanos durante a
configurao.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-4

4-5

Novos recursos DHCP no Windows Server 2008

Pontos principais
A funo DHCP no Microsoft Windows Server 2008 oferece suporte a diversos
recursos novos.

A configurao com e sem monitorao de estado do DHCPv6 pode configurar


clientes em um ambiente do IPv6.

O servio NAP (Proteo de Acesso Rede) com DHCP ajuda a isolar da rede
corporativa os computadores possivelmente infectados por malware.

O DHCP pode ser instalado como uma funo em uma instalao Server Core
do Windows Server 2008.

Leituras adicionais

Servidor DHCP

O protocolo DHCPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Como o DHCP aloca endereos IP

Pontos principais
O DHCP aloca endereos IP em um processo dinmico, conhecido como concesso.
possvel definir o valor da concesso com ilimitado. Contudo, geralmente o valor
no superior a algumas horas ou dias. A durao de concesso padro de oito
horas.

Leituras adicionais

Como o DHCP funciona

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-6

4-7

Como funciona o processo de gerao de concesso DHCP

Pontos principais
O processo de gerao de concesso do protocolo DHCP inclui quatro etapas que
permitem que um cliente obtenha um endereo IP. Entender o funcionamento de
cada etapa ajudar voc a solucionar problemas quando os clientes no conseguirem
obter um endereo IP:
1.

O cliente DHCP difunde um pacote DHCPDISCOVER.

2.

Qualquer cliente DHCP na sub-rede responder difundindo um pacote


DHCPOFFER.

3.

O cliente recebe o pacote DHCPOFFER.

4.

O servidor DHCP recebe o DHCPREQUEST.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Leituras adicionais

Request for Comments: 1531 Dynamic Host Configuration Protocol

Conceitos bsicos de TCP/IP para Microsoft Windows: Captulo 6 Protocolo


DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-8

4-9

Como funciona o processo de renovao da concesso DHCP

Pontos principais
Quando a concesso do DHCP atingir 50% do tempo de concesso, o cliente tentar
renovar a concesso. Esse um processo automtico que ocorre em segundo plano.
Os computadores podem ter o mesmo endereo IP por um longo perodo se operarem
continuamente em uma rede sem serem desligados.

Leituras adicionais

Request for Comments: 1531 Dynamic Host Configuration Protocol

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Autorizao do Servidor DHCP

Pontos principais
O DHCP permite que o computador cliente adquira informaes de configurao
sobre a rede em que ele foi iniciado. A comunicao por DHCP ocorre antes de
qualquer autenticao do usurio ou do computador, e como o protocolo DHCP
baseia-se em difuses por IP, um servidor DHCP configurado incorretamente em
uma rede pode fornece informaes invlidas aos clientes. Para evitar isso, o servidor
deve ser autorizado.

Leituras adicionais

Recursos do DHCP

Coleo de rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-10

Demonstrao: Adio da funo Servidor DHCP

4-11

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 2

Configurao de escopos e opes de DHCP

Os administradores devem configurar os escopos DHCP depois que a funo DHCP


tiver sido instalada no servidor. Um escopo DHCP o principal mtodo para a
configurao de opes de um grupo de endereos IP. Ele baseia-se em uma sub-rede
IP e pode ter configuraes especficas ao hardware ou a grupos personalizados de
clientes. Nesta lio, voc aprender sobre superescopos, opes de escopo e
gerenciamento de escopos.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-12

4-13

O que so escopos DHCP?

Pontos principais
Um escopo DHCP um intervalo de endereos IP disponveis para concesso.
Normalmente, um escopo confinado nos endereos IP de determinada sub-rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que so superescopos e escopos de multicast?

Pontos principais
Um superescopo um conjunto de escopos que so agrupados em um todo
administrativo. Isso permite que os clientes recebam um endereo IP de vrias
sub-redes lgicas, at mesmo quando estiverem na mesma sub-rede fsica.
Um escopo de multicast um conjunto de endereos multicast do intervalo de
endereos IP da classe D de 224.0.0.0 at 239.255.255.255. Esses endereos so
usados quando os aplicativos precisam comunicar-se com eficincia com vrios
clientes simultaneamente.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-14

Demonstrao: Configurao de escopos DHCP

4-15

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que so opes DHCP?

Pontos principais
Os servidores DHCP podem configurar mais do que um endereo IP. Eles tambm
fornecem informaes sobre os recursos da rede, como servidores DNS e o gateway
padro. Voc pode aplicar as opes de DHCP nos nveis de servidor, escopo, usurio e
fornecedor.
Um cdigo de opo identifica as opes de DHCP; a maioria dos cdigos de opo
da documentao RFC (Request for Comments) encontrada no site da IETF
(Internet Engineering Task Force).

Leituras adicionais

Ferramentas e configuraes do DHCP

Request for Comments: 2132 Opes do DHCP e extenses de fornecedor


do BOOTP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-16

4-17

O que so opes DHCP no nvel de classe?

Pontos principais
As opes de DHCP podem ser aplicadas em vrios nveis, como os nveis do
servidor e do escopo. Talvez seja necessrio aplicar opes de escopo a tipos
personalizados de computadores ou grupos especficos de usurios.
Voc especifica opes no nvel de classe quando precisa configurar um dispositivo
de determinada classe de um modo especfico. Uma classe um grupo definido em
termos lgicos, e que utiliza atributos do dispositivo baseado em IP. Ele pode basearse em dados especficos do fornecedor ou pode ser definido pelo usurio.
As opes no nvel de classe incluem:

Classe de fornecedor

Classe de usurio

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Leituras adicionais

Recursos do DHCP

Uso de classes de opes

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-18

4-19

O que uma reserva DHCP?

Pontos principais
Uma reserva DHCP ocorre quando um endereo IP dentro de um escopo
separado para ser usado com um cliente DHCP especfico.
A configurao de reservas permite que voc centralize o gerenciamento de
endereos IP fixos.
Voc pode configurar opes de DHCP personalizadas para reservas. Essas
configuraes substituiro todas as outras opes de DHCP que voc configurar
em nveis superiores.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Dimensionamento e disponibilidade do DHCP

Pontos principais
Ao configurar escopos DHCP e opes de escopo, considere a quantidade de
endereos IP a ser atribuda e o como voc implementar a tolerncia a falhas.
Uma prtica recomendada ter mais um servidor DHCP na rede. Caso um dos
servidores falhe, um servidor de backup ser utilizado para conceder endereos IP.

Leituras adicionais

Configurao de escopos

Prticas recomendadas para o DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-20

4-21

Como so aplicadas as opes DHCP

Pontos principais
Se voc tiver configurado opes de DHCP em vrios nveis (servidor, escopo, classe
e reserva), o DHCP aplicar as opes aos computadores cliente na seguinte ordem:
1.

Nvel do servidor

2.

Nvel de escopo

3.

Nvel de classe

4.

Nvel de cliente reservado

importante conhecer essas opes quando se solucionam problemas de DHCP.

Leituras adicionais

Recursos do DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Configurao de opes DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-22

4-23

Lio 3

Gerenciamento de um banco de dados DHCP

O banco de dados DHCP armazena informaes sobre concesses de endereos IP.


importante saber como fazer backup do banco de dados e solucionar os problemas
de banco de dados que surgirem. Nesta lio, voc aprender a gerenciar o banco de
dados e seus dados.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral de cenrios de gerenciamento de DHCP

Pontos principais
O banco de dados do servidor DHCP contm os dados de configurao do servidor
DHCP e informaes sobre concesses do IP do cliente. Se essas informaes se
danificarem ou ficarem inconsistentes, podero ocorrer erros de configurao da
rede em computadores cliente. Isso tambm pode fazer com que o mesmo endereo
IP seja oferecido a vrios clientes.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-24

Os cenrios de gerenciamento podem incluir:

Gerenciamento do crescimento do banco de dados DHCP.

Backup e restaurao.

Consistncia do banco de dados DHCP.

Como mover o banco de dados DHCP.

Adio de clientes.

Adio de novos servidores de servios de rede.

Adio de novas sub-redes.

4-25

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que um banco de dados DHCP?

Pontos principais
O banco de dados DHCP o arquivo de dados que armazena as informaes de
configurao do DHCP e os dados sobre concesso para os clientes que obtiveram
a concesso de um endereo do servidor DHCP.
O banco de dados do servidor DHCP dinmico e atualizado quando os clientes
DHCP so atribudos ou quando liberam seus parmetros de configurao de TCP/IP.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-26

4-27

Como so feitos o backup e a restaurao de um banco de


dados DHCP

Pontos principais
Voc pode fazer backup de um banco de dados DHCP manualmente ou configur-lo
para o backup automtico. Um backup automtico chamado de backup sncrono.
Um backup manual chamado de backup assncrono.

Backup automtico (sncrono). O backup do banco de dados DHCP feito


automaticamente a cada 60 minutos.

Backup manual (assncrono). Se voc tem uma necessidade imediata de criar


um backup, pode executar a opo de backup no console DHCP.

Leituras adicionais

Backup do banco de dados DHCP

Restaurao de dados de servidor

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Como um banco de dados DHCP reconciliado

Pontos principais
Os escopos da reconciliao podem corrigir inconsistncias, como informaes
incorretas ou ausentes, dos endereos IP dos clientes, que as informaes de
concesso de escopo armazenam.
O servio Servidor DHCP armazena as informaes de concesso de endereos IP
do escopo de duas formas:

Informaes detalhadas sobre a concesso de endereos IP, que o banco de


dados DHCP armazena

Informaes resumidas sobre a concesso de endereos IP, que o Registro do


servidor armazena

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-28

4-29

Como mover um banco de dados DHCP

Pontos principais
Caso voc tenha que mover a funo Servidor DHCP para outro servidor, aconselhvel
mover o banco de dados para o novo servidor tambm. Esse procedimento garante que
as concesses do cliente sejam mantidas e reduz a probabilidade de problemas de
configurao do cliente.
Inicialmente, voc move o banco de dados fazendo o respectivo backup no antigo
servidor DHCP. Em seguida, feche o servio DHCP no antigo servidor DHCP. O
banco de dados DHCP , ento, copiado para o novo servidor, onde ser possvel
restaur-lo usando o procedimento normal de restaurao de bancos de dados.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Opes de configurao do Servidor DHCP

Pontos principais
As opes de configurao de servidor DHCP definem os comportamentos de todo o
servidor. Certas configuraes tambm afetam os escopos que o servidor hospeda.

Opes gerais. Essas opes permitem que o administrador defina as estatsticas


de depurao e soluo de problemas de DHCP.

Opes de DNS. A configurao de opes de DNS importante se existirem


dispositivos ou sistemas operacionais que no atualizam automaticamente as
respectivas informaes do DNS.

Opes de Proteo de Acesso Rede. Elas permitem que voc configure o


servio NAP para ser aplicado a um ou mais escopos.

Opes avanadas. Essas opes permitem que o administrador instrua o servidor


DHCP para procurar conflitos de IP quando um cliente DHCP solicitar um
endereo IP especfico.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-30

4-31

Demonstrao: Gerenciamento de um banco de dados DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 4

Monitoramento e soluo de problemas de DHCP

O DHCP um servio principal em ambientes de rede modernos. Se o servio DHCP


no estiver funcionando corretamente ou se houver uma situao que esteja causando
problemas com o servidor DHCP, importante saber que h um problema ocorrendo
e como voc pode detect-lo. Nesta lio, voc examinar problemas comuns de DHCP
e saber como diagnostic-los e corrigi-los.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-32

4-33

Viso geral do monitoramento do DHCP

Pontos principais
O DHCP um protocolo dinmico. Em geral, as alteraes no ambiente da rede
resultam em alteraes no servidor DHCP para acomodar o novo ambiente.
O DHCP tem trs fontes de informaes que podem ser usadas para monitoramento:

Estatsticas de DHCP

Eventos de DHCP no Visualizador de Eventos

Dados de desempenho de DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Problemas comuns do DHCP

Pontos principais
A tabela a seguir descreve e fornece exemplos dos problemas comuns de DHCP:
Problema
Conflitos de
endereo

Descrio
O mesmo endereo IP
oferecido a dois clientes
distintos.

Exemplo
Um administrador exclui uma
concesso. Porm, o cliente que
tinha a concesso ainda pensa
que a concesso vlida. Se o
servidor DHCP no verificar o IP,
ele poder liberar o IP para outra
mquina, causando um conflito de
endereos. Isso tambm ocorre se
dois servidores DHCP tm escopos
sobrepostos.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-34

4-35

(continuao)
Problema

Descrio

Exemplo

Falha na obteno O cliente no recebe um


de um endereo
endereo DHCP e recebe
DHCP
um endereamento APIPA
autoatribudo.

Se uma unidade de placa de


rede estiver configurada
incorretamente, poder ocorrer
uma falha na obteno de um
endereo DHCP.

Endereo obtido
em escopo
incorreto

O cliente est obtendo um


endereo IP no escopo
incorreto, causando
problemas de comunicao.

Isso ocorre com frequncia


porque o cliente est conectado
rede incorreta.

O banco de
dados DHCP
sofre danos ou
perda de dados

O banco de dados DHCP


ficou ilegvel ou se perdeu
devido a uma falha de
hardware.

Uma falha de hardware pode


danificar o banco de dados.

O servidor DHCP
esgota seu pool
de endereos IP

Os escopos de IP do servidor
DHCP se esgotaram. Qualquer
cliente novo que solicite um
endereo IP ser recusado.

Todos os IPs atribudos a um


escopo so concedidos.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que so as estatsticas de DHCP?

Pontos principais
As estatsticas de DHCP fornecem informaes sobre a atividade e o uso do DHCP.
Voc pode usar esse console para determinar rapidamente se h algum problema
com o servio DHCP ou com os clientes DHCP da rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-36

4-37

O que o arquivo de log de auditoria de DHCP?

Pontos principais
O log de auditoria oferece um registro rastrevel das atividades do servidor DHCP.
Voc pode usar esse log para rastrear solicitaes, consentimento e negaes de
concesso, e essas informaes permitem que voc solucione problemas no
desempenho do servidor DHCP.

Leituras adicionais

Log de auditoria

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Monitoramento do desempenho do servidor DHCP

Pontos principais
Os contadores do desempenho do DHCP so disponibilizados aps a instalao da
funo Servidor DHCP. Voc pode usar o Monitor de Desempenho para carregar
os contadores de desempenho.
Geralmente, um servidor DHCP no deve ser submetido a uma carga de rede
intensa. Entretanto, se voc observar que os comprimentos das filas registram
consistentemente valores altos, verifique se existem gargalos no servidor que
possam estar retardando o desempenho do DHCP.

Leituras adicionais

Referncia de monitoramento do desempenho do DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-38

Demonstrao: Monitoramento do DHCP

4-39

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 5

Proteo do DHCP

O protocolo DHCP no tem qualquer mtodo interno pra autenticao de usurios.


Isso significa que se voc no tiver cuidado, as concesses de IP podem ir para
dispositivos e usurios mal-intencionados. Nesta lio, voc aprender a impedir que
usurios no autorizados obtenham uma concesso, a gerenciar servidores DHCP
no autorizados e a configurar servidores DHCP para que um grupo especfico possa
gerenci-los.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-40

4-41

Proteo do DHCP

Pontos principais
Motivos para proteger o DHCP incluem:

Impedir que um usurio no autorizado obtenha uma concesso.

Impedir que os servidores DHCP no Microsoft, no autorizados concedam


endereos IP.

Restringir a administrao do DHCP.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Como impedir que um usurio no autorizado obtenha


uma concesso

Pontos principais
Pode ser difcil que o DHCP consiga se proteger sozinho. Isso porque o protocolo
foi elaborado para funcionar antes que as informaes necessrias estejam prontas
para a autenticao de um computador cliente com um controlador de domnio.
Precaues bsicas para limitar o acesso no autorizado incluem:

Certificar-se de reduzir o acesso fsico.

Habilitar o log de auditoria em todos os servidores DHCP.

Autenticar usurios.

Implementar o NAP.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-42

Leituras adicionais

Proteo de Acesso Rede

Guia passo a passo: Demonstrar a imposio NAP para DHCP em um


laboratrio de teste

4-43

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Como impedir que os servidores DHCP no-Microsoft e


no autorizados concedam endereos IP

Pontos principais
Vrios dispositivos e sistema operacionais de rede possuem implementaes de
servidor DHCP. A natureza das redes raramente homognea e, portanto, possvel
que, em algum momento, um servidor DHCP que no procura servidores autenticados
pelo Active Directory seja habilitado na rede. Nesse caso, os clientes podem obter
dados de configurao incorretos.
Para eliminar um servidor DHCP no autorizado, voc deve localiz-lo e desabilit-lo
de comunicar-se na rede, seja fisicamente ou pela desabilitao do servio DHCP.

Leituras adicionais

Gerenciar o acesso ao servidor

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-44

4-45

Restrio da administrao do DHCP

Pontos principais
O grupo Administradores DHCP est nos grupos internos existentes em controladores
de domnio ou em servidores locais, uma vez que o grupo local Administradores
DHCP utilizado para impedir e conceder acesso para administrar os servidores
DHCP.
A autorizao de um servio DHCP est disponvel apenas para os administradores
de empresa. Se um administrador de nvel inferior precisar autorizar o domnio,
use a delegao do Active Directory.
Todo usurio pertencente ao grupo Administradores DHCP pode gerenciar o
servio DHCP no servidor.
Todo usurio pertencente ao grupo Usurios DHCP pode ter acesso somente
leitura ao console.

Leituras adicionais

Gerenciar o acesso ao servidor

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Laboratrio: Configurao e soluo de


problemas da funo Servidor DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-46

4-47

Exerccio 1: Instalao e autorizao da funo Servidor DHCP


Cenrio
Voc o administrador de rede do Woodgrove Bank, que recentemente abriu uma
nova diviso que precisa de um servio DHCP configurado para cerca de 200 clientes.
Voc deve configurar um servidor DHCP para a nova diviso.

Viso geral do exerccio


Neste exerccio, voc instalar a funo DHCP e autorizar o servidor no domnio
woodgrovebank.com.
As principais tarefas so:
1.

Iniciar as mquinas virtuais 10221A-NYC-DC1 e 10221A-NYC-CL1 e fazer


logon como Administrador.

2.

Configurar a funo Servidor DHCP em NYC-DC1.

3.

Autorizar a funo Servidor DHCP em NYC-DC1.

f Tarefa 1: Iniciar as mquinas virtuais 10221A-NYC-DC1 e 10221ANYC-CL1 e fazer logon como Administrador
1.

No computador host, clique em Iniciar, aponte para Todos os Programas,


aponte para Microsoft Learning e clique em 10221A. O Lab Launcher ser
iniciado.

2.

No Lab Launcher, ao lado de 10221A-NYC-DC1, clique em Launch.

3.

No Lab Launcher, ao lado de 10221A-NYC-CL1, clique em Launch.

4.

Faa logon em ambas as mquinas virtuais como Woodgrovebank\Administrador


com a senha Pa$$w0rd.

5.

Minimize a janela do Lab Launcher.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 2: Configurar a funo Servidor DHCP em NYC-DC1

Em NYC-DC1, use o Gerenciador de Servidores para adicionar a funo


Servidor DHCP:

Associe o servio DHCP ao IP: 10.10.0.10.

Use valores padro para todas as etapas, exceto Desabilitar DHCPv6 para
aplicativos nesta rede.

Certifique-se de Ignorar a autorizao deste servidor DHCP no AD DS.

f Tarefa 3: Autorizar a funo Servidor DHCP em NYC-DC1

Em NYC-DC1, use o console DHCP para autorizar o servidor DHCP


NYC-DC1.woodgrovebank.com.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-48

4-49

Exerccio 2: Configurao de um escopo DHCP


Cenrio
Voc precisa configurar um escopo DHCP para cerca de 200 clientes. O escopo
deve fornecer informaes relacionadas ao servidor DNS e ao gateway padro
como parte das informaes que os clientes recebem ao solicitar um endereo
DHCP.

Viso geral do exerccio


Neste exerccio, voc configurar um novo escopo DHCP, ativar o escopo e
configurar as opes de escopo para que os clientes recebam as informaes
corretas quando concederem um endereo IP.
As principais tarefas so:
1.

Configurar um escopo DHCP.

2.

Configurar opes de escopo DHCP.

3.

Testar o escopo usando uma estao de trabalho cliente.

f Tarefa 1: Configurar um escopo DHCP


1.

Em NYC-DC1, use o console do Gerenciador de Servidores para criar um novo


escopo IPv4 de DHCP:

Nome do escopo: Head Office Network Scope

O intervalo de endereos IP do escopo: 10.10.0.1 10.10.0.254 usando


uma mscara de sub-rede de 255.255.0.0

Um intervalo de excluses de 10.10.0.1 10.10.0.30 deve ser adicionado


para servidores e outros dispositivos que usam um endereo IP esttico

Concesso com durao de uma hora

No configure opes adicionais de escopo

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

2.

Em NYC-CL1, defina as propriedades de Conexo Local para configurao de


DHCP em propriedades de IPv4 para configurao de endereo IP e resolvedor
de DNS. Reinicie NYC-CL1 e faa logon como Administrador com a senha
Pa$$w0rd.

3.

Verifique se o computador cliente pode obter um endereo IP. Verifique se o


usurio est configurado com um gateway padro.

Pergunta: Por que a Conexo Local configurada para DHCP no tem um gateway
padro?

f Tarefa 2: Configurar opes de escopo DHCP

Em NYC-DC1, use o console DHCP para configurar a opo de escopo DHCP


003 Router para apontar para 10.10.0.1.

Observao: Lembre-se de configurar as opes de escopo, e no as opes de


servidor.

f Tarefa 3: Testar o escopo usando uma estao de trabalho cliente

Em NYC-CL1, use o prompt de comando e o utilitrio ipconfig para verificar


se o cliente capaz de obter um endereo IP e um gateway padro, como
especificado na tarefa anterior.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-50

4-51

Exerccio 3: Soluo de problemas comuns do DHCP


Cenrio
O servidor DHCP est configurado. Para garantir um tempo de inatividade
mnimo, seu departamento solicitou que a equipe de administrao de DHCP
solucione vrios cenrios de possveis problemas de configurao.

Viso geral do exerccio


Voc executar um script que configurar o servidor DHCP, de modo que ele
no funcione corretamente. Usando as informaes disponveis, voc corrigir
os problemas de configurao causados pelo script.
As principais tarefas so:
1.

Verificar informaes de concesso de DHCP.

2.

Modificar a configurao do Servidor DHCP usando scripts para simular


problemas de configurao.

3.

Verificar se o cliente capaz de conceder um endereo IP.

4.

Determinar por que o servidor DHCP no est alocando endereos IP.

5.

Identificar as informaes que foram alteradas.

6.

Configurar o servidor DHCP com as informaes corretas de roteador.

7.

Configurar o servidor DHCP com as informaes corretas de servidor DNS.

8.

Configurar o DHCP com o perodo correto de concesso.

9.

Verificar as informaes que esto sendo concedidas ao cliente.

10. Fechar todas as mquinas virtuais e descartar discos de desfazer.

f Tarefa 1: Verificar informaes de concesso de DHCP

Em NYC-CL1, verificar informaes de concesso e observar as seguintes


configuraes:

Endereo IPv4

Mscara de sub-rede

Gateway padro

Durao da concesso

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 2: Modificar a configurao do Servidor DHCP usando scripts


para simular problemas de configurao

No prompt de comando, execute o script D:\Labfiles\Module4\DHCP.vbs.

f Tarefa 3: Verificar se o cliente capaz de conceder um endereo IP

Em NYC-CL1, use ipconfig para determinar o problema mais crtico que afeta
o servidor DHCP.

f Tarefa 4: Determinar por que o servidor DHCP no est alocando


endereos IP

Em NYC-DC1, determine se o escopo DHCP est ativado.

f Tarefa 5: Identificar as informaes que foram alteradas

Em NYC-CL1, identifique as informaes que foram alteradas Compare as


configuraes s observadas antes da execuo do script DHCP.VBS.

f Tarefa 6: Configurar o servidor DHCP com as informaes corretas de


roteador

Em NYC-DC1, verifique as informaes de roteador configuradas nas opes


de escopo.

f Tarefa 7: Configurar o servidor DHCP com as informaes corretas de


servidor DNS

Em NYC-DC1, verifique as informaes de servidor DNS configuradas nas


opes de escopo.

f Tarefa 8: Configurar o DHCP com o perodo correto de concesso

Em NYC-DC1, verifique se o perodo de concesso configurado nas


propriedades de escopo est correto.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-52

4-53

f Tarefa 9: Verificar as informaes que esto sendo concedidas ao


cliente

Em NYC-CL1, use ipconfig para assegurar que o cliente esteja configurado


conforme estava antes da execuo do script DHCP.VBS.

f Tarefa 10: Fechar todas as mquinas virtuais e descartar discos de


desfazer
1.

Para cada mquina virtual em execuo, feche a janela Virtual Machine Remote
Control (VMRC).

2.

Na caixa de dilogo Close, selecione Turn off machine and discard changes
e clique em OK.

3.

Feche o Lab Launcher do 10221A.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Reviso do mdulo e informaes


complementares

Perguntas de reviso
1.

Qual a principal vantagem de usar o DHCP?

2.

Qual o novo recurso de segurana utilizado pela integrao DHCP para


obrigar os computadores cliente a serem compatveis com as polticas de
segurana da empresa?

3.

Quais so as quatro difuses de mensagens DHCP utilizadas quando ocorre


uma concesso de endereo bem-sucedida?

4.

Em que estgio de uma concesso DHCP o cliente costuma renovar a


concesso automaticamente?

5.

Por que voc usaria um superescopo?

6.

Quais so as trs fontes de dados para monitorar o DHCP?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-54

4-55

Problemas comuns e dicas de soluo de problemas


Autorizao do DHCP:
Os servidores DHCP baseados no Windows no concedero endereos IP, exceto
se autorizados. Quando voc autorizar o servio DHCP, certifique-se tambm de
ativar o escopo. Convm lembrar tambm que os servidores DHCP autnomos
ficaro off-line se detectarem outro servidor DHCP autorizado na rede.

DHCP e vrias sub-redes:


Ao utilizar o DHCP para fornecer endereos para diversas sub-redes, verifique se o
servidor tem uma interface na rede em que o escopo est definido. Por exemplo, se
o escopo estiver definido dentro do intervalo 10.10.0.50 to 10.10.0.100, o servidor
DHCP dever ter um endereo IP na sub-rede em que o escopo estiver definido.
Uma alternativa a ter um servidor DHCP com vrias interfaces de rede configurar
um agente de retransmisso DHCP.

Endereos APIPA:
O APIPA um endereo que um computador atribui a si mesmo quando est
configurado para usar o DHCP, mas no consegue obter uma concesso de endereo.
Um endereo APIPA comear com 169.254. nos dois primeiros octetos do endereo
IP. (Este uma espao IP reservado, especificado no RFC). Por exemplo, um endereo
APIPA pode ser atribudo se a mdia que conecta o cliente no estiver funcionando ou
quando no for possvel contatar o servidor DHCP. Se um nico cliente estiver
enfrentando problemas, geralmente o problema est relacionado ao cliente. Contudo,
se vrios clientes estiverem atribuindo endereos APIPA a si mesmos, provvel que o
problema esteja relacionado ao servidor DHCP ou configurao de rede utilizada por
esse servidor.

Prticas recomendadas

Use a regra de design 80/20 para equilibrar a distribuio de endereos do


escopo, onde existirem muitos servidores DHCP implantados para atender ao
mesmo escopo.
Usar mais de um servidor DHCP na mesma sub-rede aumenta a tolerncia a
falhas para atender os clientes DHCP nela localizados. Ao usar dois servidores
DHCP, se um deles no estiver disponvel, o outro poder assumir o seu lugar e
continuar concedendo novos endereos ou renovando os clientes j existentes.
Uma prtica comum ao equilibrar uma nica rede e o intervalo de endereos do
escopo entre dois servidores DHCP instruir um servidor DHCP a distribuir
80% dos endereos e o segundo a fornecer os 20% restantes.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Use superescopos para vrios servidores DHCP em cada sub-rede de um


ambiente LAN.
Quando inicializado, cada cliente DHCP transmite uma mensagem de descoberta
(deteco) de DHCP (DHCPDISCOVER) para a respectiva sub-rede local tentar
localizar um servidor DHCP. Como os clientes DHCP usam a difuso em sua
inicializao inicial, no possvel prever qual servidor responder solicitao de
descoberta de DHCP emitida por um cliente, se existir mais de um servidor DHCP
ativo na mesma sub-rede.
Use um novo superescopo configurado de modo semelhante em todos os
servidores. O superescopo deve incluir todos os escopos vlidos para a sub-rede,
como escopos membros. Para configurar escopos membros em cada servidor,
os endereos devero estar disponveis somente em um dos servidores DHCP
utilizados na sub-rede. Para todos os outros servidores na sub-rede, use intervalos
de excluso para os mesmos intervalos de endereos do escopo, ao configurar os
escopos correspondentes.

Desative os escopos somente ao tirar um escopo definitivamente de servio.


Se a inteno for apenas afetar a desativao temporria de endereos do escopo,
editar ou modificar intervalos de excluso em um escopo ativo alcanar os
resultados almejados.

Use a deteco de conflito do lado servidor nos servidores DHCP somente


quando for necessrio.
Servidores ou clientes DHCP podem utilizar a deteco de conflito para determinar
se um endereo IP j est sendo usado na rede, antes de conceder ou usar esse
endereo.
O Windows 2000, Windows XP e Windows Vista detectam conflitos de IP
por meio de uma solicitao APR. Por padro, o servio DHCP no executa
qualquer deteco de conflito. Para habilitar a deteco de conflito, aumente
o nmero de tentativas de ping executadas pelo servio DHCP para cada
endereo, antes de conceder esse endereo a um cliente.
Convm observar que para cada tentativa adicional de deteco de conflito,
acionada pelo servio DHCP, so acrescidos mais alguns segundos ao tempo
necessrio para negociar as concesses para os clientes DHCP.
Geralmente, ao usar a deteco de conflito do lado do servidor DHCP, defina o
nmero de tentativas de deteco de conflito feitas pelo servidor para usar um
ou dois pings, no mximo. Isso propiciar os benefcios pretendidos desse
recurso sem afetar o desempenho do servidor DHCP.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-56

4-57

Voc deve criar reservas em todos os servidores DHCP que potencialmente


atendam ao cliente reservado.
Use a reserva de cliente para assegurar que um computador cliente DHCP
sempre receba a concesso do mesmo endereo IP ao inicializar. Se existir
mais de um servidor DHCP alcanvel por um cliente reservado, adicione a
reserva em cada um dos outros servidores DHCP.
Isso permitir que os outros servidores DHCP respeitem a reserva de endereo
IP do cliente, feita para o cliente reservado. A reserva de cliente s acionada
pelo servidor DHCP onde o endereo reservado faz parte do pool de endereos
disponveis, mas voc pode criar a mesma reserva em outros servidores DHCP
que excluem esse endereo.

Quando ao desempenho do servidor, observe que o DHCP faz uso intenso


do disco, e voc deve comprar um hardware com caractersticas ideais para
desempenho de disco.
O DHCP causa atividade frequente e intensa nos discos rgidos do servidor. Para
garantir o melhor desempenho, considere solues RAID (matriz redundante de
discos independentes) ao adquirir hardware para o servidor que melhor o tempo
de acesso ao disco.
Ao avaliar o desempenho de seus servidores DHCP, analise o DHCP como parte
de uma avaliao de desempenho completa do servidor inteiro. Ao monitorar
o desempenho do hardware do sistema nas reas de utilizao mais exigentes
(CPU, memria, E/S de disco), possvel obter a melhor avaliao de quando
um servidor DHCP est sobrecarregado ou quando precisa de uma atualizao.
Observe que o servio DHCP dispe de vrios contadores do Monitor do
Sistema para monitorar o servio.

Mantenha o log de auditoria habilitado para ser utilizado na soluo de problemas.


Por padro, o servio DHCP habilita o log de auditoria dos eventos relacionados
ao servio. O log de auditoria uma ferramenta de monitoramento do servio,
de longo prazo, que faz uso limitado e seguro dos recursos de disco do servidor.

Reduza os perodos de concesso para os clientes DHCP que usam o servio


Roteamento e Acesso Remoto para acesso remoto.

Aumente a durao das concesses de escopo para as redes grandes, estveis e


fixas, se o espao de endereos disponveis for suficiente.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de DHCP

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Use o nmero adequado de servidores DHCP para o nmero de clientes


habilitados para DHCP em sua rede.
Em uma LAN de pequeno porte (por exemplo, uma sub-rede fsica que no usa
roteadores), um nico servidor DHCP pode atender a todos os clientes habilitados
para DHCP. Para as redes roteadas, o nmero de servidores necessrios aumenta,
dependendo de vrios fatores, como o nmero de clientes habilitados para DHCP,
a velocidade de transmisso entre os segmentos da rede, a velocidade dos links da
rede, se o servio DHCP utilizado na rede empresarial inteira ou apenas em redes
fsicas especficas, e a classe do endereo IP da rede.

Ferramentas
Console DHCP
O principal mtodo para gerenciar DHCP usar o console DHCP. O console est
localizado em Ferramentas Administrativas. Voc tambm pode utilizar o console
para gerenciar remotamente as instncias no Server Core da funo Servidor DHCP.

Ferramentas de linha de comando


A tabela a seguir descreve as ferramentas de linha de comando que podem ser
utilizadas para configurar e gerenciar o DHCP:
Comando

Descrio

Netsh

Use o comando Netsh para configurar o DHCP na linha de


comando.

Ipconfig

Emita este comando para fazer solicitaes e interagir com o


servidor DHCP no lado cliente.

DHCPLoc.exe

Esta ferramenta faz parte do Microsoft Resource Kit, e pode ser


utilizada para localizar os servidores DHCP ativos na sub-rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

4-58

5-1

Mdulo 5
Configurao e soluo de problemas de TCP/IP
IPv6
Contedo:
Lio 1: Viso geral do IPv6

5-3

Lio 2: Coexistncia com o IPv6

5-18

Lio 3: Tecnologias de tnel IPv6

5-27

Laboratrio A: Configurao de um roteador ISATAP

5-34

Lio 4: Transio do IPv4 para o IPv6

5-46

Lio 5: Soluo de problemas do IPv6

5-49

Laboratrio B: Converso da rede

5-55

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral do mdulo

O Windows Server 2008 inclui suporte para protocolo IP verso 6 (IPv6), que
um novo pacote de protocolos padro para a camada de rede da Internet.
O IPv6 uma tecnologia crtica que ajudar a garantir que a Internet possa aceitar uma
base crescente de usurios e o nmero cada vez maior de dispositivos habilitados para
IP. O atual protocolo IPv4 tem atuado como o protocolo de Internet subjacente por
quase 30 anos. Sua robustez, escalabilidade e conjunto limitado de recursos enfrenta
agora o desafio da crescente necessidade por novos endereos IP, devido, em grande
parte, ao crescimento rpido dos novos dispositivos com reconhecimento de rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-2

5-3

Lio 1

Viso geral do IPv6

O IPv6 est, aos poucos, tornando-se mais comum. Embora a adoo possa ser
lenta, importante entender como essa tecnologia afetar as redes atuais e como
integrar o IPv6 a essas redes. A lio a seguir abordar os benefcios do IPv6, uma
comparao entre ele e o IPv4 e os tipos bsicos de endereos IPv6. Ao concluir
esta lio, voc dever entender endereos globais, de links locais, de sites locais
e de locais exclusivos.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Benefcios do IPv6

Pontos principais
O protocolo IPv6 fornece as seguintes vantagens:

Amplo espao de endereos

Infraestrutura hierrquica de endereamento e roteamento

Configurao de endereos com e sem monitoramento de estado

Segurana incorporada

Entrega priorizada

Deteco de vizinhos

Extensibilidade

Leituras adicionais

IPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-4

5-5

Diferenas entre o IPv4 e o IPv6

Pontos principais
Esta tabela reala as diferenas entre IPv4 e IPv6:
IPv4

IPv6

Endereos de origem e de destino tm


32 bits (4 bytes) de comprimento.

Endereos de origem e de destino tm


128 bits (16 bytes) de comprimento.

O suporte ao IPsec opcional.

O suporte ao IPsec obrigatrio.

O cabealho do IPv4 no contm


identificao de fluxo do pacote para
que os roteadores tratem do QoS
(qualidade de servio).

O cabealho do IPv6 usa o campo Flow Label


a fim de identificar o fluxo de pacotes para
que os roteadores tratem do QoS.

A fragmentao feita por ambos os


roteadores e o host de envio.

A fragmentao no feita por roteadores,


somente pelo host de envio.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

(continuao)
IPv4

IPv6

O cabealho inclui uma soma de


verificao.

O cabealho no inclui uma soma de


verificao.

O cabealho inclui opes.

Todos os dados opcionais so movidos


para cabealhos de extenso do IPv6.

O protocolo ARP usa quadros de


solicitao de difuso ARP para resolver
um endereo IPv4 em um endereo de
camada de link.

Os quadros de solicitao ARP foram


substitudos por mensagens de solicitao
de vizinho multicast.

O protocolo IGMP usado para


gerenciar a associao com grupo
local de sub-rede.

O IGMP substitudo por mensagens MLD


(Multicast Listener Discovery).

A Descoberta de Roteador ICMP, que


opcional, usada para determinar o
endereo IPv4 do melhor gateway
padro.

A Descoberta de Roteador ICMP, que


obrigatria, substituda pelas mensagens
de solicitao e anncio de roteador do
ICMPv6.

Difunde endereos que so usados para


o envio de tr fego para todos os ns
em uma sub-rede.

No h endereos de difuso do IPv6. H


um endereo multicast de todos os ns do
escopo de link local.

Deve ser configurado manualmente ou


atravs do DHCP.

No requer configurao manual ou DHCP.

Usa registros de recursos (A) de endereo


de host no sistema DNS (sistema de
nomes de domnios) para mapear nomes
de host para endereos IPv4.

Usa registros de recursos (AAAA) de


endereo de host no DNS para mapear
nomes de host para endereos IPv6.

Usa registros de recursos (PTR) de


ponteiro no domnio IN-ADDR.ARPA
DNS para mapear endereos IPv4 para
nomes de host.

Usa registros de recursos PTR no domnio


IP6.ARPA DNS para mapear endereos IPv6
para nomes de host.

Deve ser compat vel com um pacote de


576 bytes (possivelmente fragmentado).

Deve ser compatvel com um pacote de


1280 bytes (sem fragmentao).

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-6

5-7

Implementaes do IPv6 atravs de tecnologias Microsoft

Pontos principais
Em todas as implementaes do IPv6 da Microsoft, o IPv6 pode ser utilizado sem
afetar as comunicaes do IPv4. Observe que o IPv6 uma implementao de pilha
dual no Windows XP SP2 e no Windows Server 2003, e uma implementao de
camada dupla para o Windows Vista e o Windows Server 2008.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Espao de endereos IPv6

Pontos principais
O recurso diferencial mais bvio do IPv6 a sua capacidade de usar endereos
muito maiores.
Os endereos IP do IPv4 expressam-se em quatro grupos de nmeros decimais,
como 192.168.1.1.
Cada agrupamento de nmeros representa um octeto binrio. Em representao
binria, o nmero precedente :
11000000.10101000.00000001.00000001 (4 octetos = 32 Bits)

O tamanho de um endereo IPv6 de 128 bits, que quatro vezes maior do que um
endereo IPv4. Os endereos IPv6 tambm so expressos como endereos hexadecimais
em seu formato legvel. Por exemplo, 2001:DB8:0:2F3B:2AA:FF:FE28:9C5A.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-8

5-9

Isso pode parecer contraditrio para usurios finais. Porm, supe-se que a mdia
dos usu rios utilize nomes DNS para resolver hosts e, raramente, digitem endereos
IPv6 manualmente. O endereo IPv6 em hexadecimal tambm mais fcil de ser
convertido em binrio e vice-versa. Isso simplifica o trabalho com sub-redes e o
clculo de hosts e redes.

Leituras adicionais

Introduo ao IP Verso 6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Prefixos IPv6

Pontos principais
Como o espao de endereo do IPv4, o espao de endereo do IPv6 dividido por
meio da alocao de pores do espao de endereo disponvel para vrias funes de
IP. Os bits de ordem superior (bits que esto no incio do endereo IPv6 de 128 bits)
definem reas estaticamente no espao IP. Os bits de ordem superior e seus valores
fixos so conhecidos como um prefixo de formato.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-10

5-11

Tipos de endereo IPv6 unicast

Pontos principais
Um endereo unicast identifica uma interface nica dentro do escopo do tipo de
endereo unicast. Com a topologia adequada de roteamento unicast, os pacotes
endereados para um endereo unicast so fornecidos para uma nica interface.
Os tipos de endereo IPv6 incluem:

Endereos unicast globais

Endereos unicast de uso local

Endereos unicast IPv6 locais exclusivos

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Endereos IPv6 atribudos a hosts e roteadores

Pontos principais
Um host IPv6, incluindo aqueles com apenas uma interface, geralmente tem vrios
endereos IPv6. Por padro, endereos de link local so configurados automaticamente
para cada interface em cada roteador ou host IPv6. Para comunicar-se com ns que no
so vizinhos, um host tambm deve ser configurado com endereos unicast de site
local ou globais. Um host obtm esses endereos adicionais de anncios de roteador
ou por atribuio manual. Use comandos no contexto netsh interface ipv6 para
configurar endereos IPv6 manualmente.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-12

No IPv6, os hosts e os roteadores recebem, normalmente, a atribuio dos


seguintes endereos:

Endereos unicast

Endereos multicast (para escutar tr fego multicast)

Alm disso, os roteadores IPv6 tambm tm os seguintes endereos:

Endereos de difuso seletiva

Endereos anycast

5-13

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

IDs de zona

Pontos principais
Diferentemente dos endereos globais, voc pode reutilizar os endereos de uso
local. Os endereos de link local so reutilizados em cada link. Voc pode reutilizar
os endereos de site local em cada site da organizao. Os endereos de link local e
de site local so ambguos, devido sua capacidade de reutilizao.
necessrio um identificador adicional para especificar o link ou site em que um
endereo ser atribudo ou localizado. Esse identificador adicional um identificador
de zona, tambm conhecido como ID de escopo, que identifica uma poro conectada
de uma rede com um escopo especificado. A sintaxe especificada em RFC 4007 para a
identificao da zona associada a um endereo de uso local a seguinte:
Endereo%ID_da_zona

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-14

5-15

Configurao automtica de endereo para o IPv6

Pontos principais
O host pode atravessar vrios estados medida que ele avana no processo de
autoconfigurao e h vrias maneiras de atribuio de informaes e de um
endereo IP. De acordo com a configurao do roteador, um cliente pode usar a
configurao sem monitorao de estado (sem servio DHCP) ou com monitorao
de estado, tendo a participao de um servidor DHCP, para atribuir um endereo IP
e outras informaes de rede ou apenas para atribuir outras informaes de rede.
Essas outras informaes podem incluir servidores DNS e gateways.
O estado dos endereos autoconfigurados um ou mais dos seguintes:

Provisrio. A verificao ocorre para determinar se o endereo exclusivo.

Vlido. Verificou-se que o endereo exclusivo e pode enviar e receber tr fego


unicast.

Preferencial. O endereo permite que um n envie e receba trfego unicast


desse endereo e para o endereo.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Preterido. O endereo vlido, mas seu uso desestimulado para nova


comunicao.

Invlido. O endereo no permite mais que um n receba ou envie trfego


unicast.

Os tipos de autoconfigurao incluem:

Sem monitorao de estado. A configurao de endereos se baseia no recebimento


de mensagens de Anncio de Roteador com os sinalizadores Configurao de
Endereo Gerenciado e Outra Configurao com Monitorao de Estado definidos
como 0 e uma ou mais opes de Informao de Prefixo.

Com monitorao de estado. A configurao se baseia no uso de um protocolo


de configurao de endereo com monitorao de estado, como o DHCPv6,
para obter endereos e outras opes de configurao.

Ambos. A configurao se baseia no recebimento de mensagens de Anncio de


Roteador com opes de Informao de Prefixo e os sinalizadores Configurao
de Endereo Gerenciado ou Outra Configurao com Monitoramento de Estado
definidos com 1.

Leituras adicionais

Introduo ao IP Verso 6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-16

5-17

Demonstrao: Configurao dos parmetros de cliente IPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 2

Coexistncia com o IPv6

Desde sua concepo, a ideia foi a de elaborar o IPv6 para que coexista, por longo
tempo, com o IPv4. Esta lio oferece uma viso geral das tecnologias que sustentam
a coexistncia dos dois protocolos IP. Aps concluir esta lio, voc dever saber e
ser capaz de descrever os diferentes tipos de n e implementaes de pilhas de IP do
IPv6, como o DNS define endereos IPv6 e os vrios tipos de tecnologias de tnel do
IPv6.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-18

5-19

O que so tipos de ns?

Pontos principais
Ao planejar uma rede IPv6, importante conhecer o tipo de ns ou hosts existentes na
rede. Descrevendo os ns como descrito a seguir, possvel definir suas possibilidades
na rede. Isso tambm importante para o recurso de tnel, porque certos tipos de
tneis exigem tipos de ns especficos, incluindo:

N exclusivamente IPv4. Um n que implementa somente o IPv4 (e possui


apenas endereos IPv4) e no tem suporte para o IPv6.

N exclusivamente IPv6. Um n que implementa somente o IPv6 (e possui


apenas endereos IPv6) e no tem suporte para o IPv4.

N IPv6/IPv4. Um n que implementa tanto o IPv4 quanto o IPv6.

N IPv4. Um n que implementa o IPv4. Pode ser um n exclusivamente IPv4


ou um n IPv6/IPv4.

N IPv6. Um n que implementa o IPv6. Pode ser um n exclusivamente IPv6


ou um n IPv6/IPv4.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Coexistncia entre o IPv4 e o IPv6

Pontos principais
Para coexistir com uma infraestrutura do IPv4 e permitir uma transio eventual
para uma infraestrutura exclusivamente IPv6, voc pode usar os seguintes
mecanismos:

Arquitetura IP de camada dupla (Windows Vista e Windows Server 2008).

Arquitetura de pilha dupla (Windows Server 2003 e Windows XP).

Requisitos da infraestrutura DNS.

Tnel IPv6 atravs do IPv4.

Leituras adicionais

Tecnologias de Transio do IPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-20

5-21

O que uma arquitetura de camada dupla?

Pontos principais
Uma arquitetura IP de camada dupla contm as duas camadas da Internet, IPv4 e
IPv6, com uma implementao exclusiva dos protocolos da camada de transporte,
como o TCP e o UDP. A pilha dupla facilita a migrao para o IPv6. H menos
arquivos a serem mantidos para proporcionar a conectividade do IPv6. O IPv6
tambm est disponvel sem a incluso de novos protocolos na configurao da
placa de rede.
Os tipos de pacotes incluem:

Pacotes IPv4

Pacotes IPv6

Pacotes IPv6 atravs do IPv4 (pacotes IPv6 encapsulados com um cabealho IPv4)

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que uma arquitetura de pilha dual?

Pontos principais
A arquitetura de pilha dupla contm ambas as camadas da Internet, IPv4 e IPv6,
com pilhas de protocolo separadas contendo implementaes distintas dos
protocolos da camada de transporte, como o TCP e o UDP.
O protocolo IPv6 para Windows Server 2003 e Windows XP usa a arquitetura de
pilha dupla. O driver do protocolo IPv6 no Windows Server 2003 e Windows XP,
Tcpip6.sys, contm uma implementao separada do TCP e UDP.
Os tipos de pacotes incluem:

Pacotes IPv4

Pacotes IPv6

Pacotes IPv6 atravs do IPv4

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-22

5-23

De que modo o DNS oferece suporte para o IPv6?

Pontos principais
Voc precisa de uma infraestrutura DNS para o xito da coexistncia, devido ao
uso predominante de nomes em vez de endereos, para referncia aos recursos
da rede. A atualizao da infraestrutura DNS consiste em preencher os servidores
DNS com registros que oferecem suporte para as resolues de nome-paraendereo e endereo-para-nome IPv6. Depois de obter o endereo usando uma
consulta de nome DNS, o n de envio deve selecionar quais endereos sero
usados para comunicao.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Configurao do DNS para oferecer suporte


ao IPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-24

O que tnel IPv6 atravs do IPv4?

Pontos principais
O tnel IPv6 atravs do IPv4 o encapsulamento de pacotes IPv6 com um
cabealho IPv4, para que os pacotes IPv6 sejam enviados atravs de uma
infraestrutura IPv4. Dentro do cabealho IPv4:

O campo Protocolo IPv4 definido como 41 para indicar um pacote IPv6


encapsulado.

Os campos Origem e Destino so definidos com os endereos IPv4 das


extremidades do tnel. Voc pode configurar as extremidades do tnel
manualmente, como parte da interface de tnel, ou so derivadas
automaticamente do endereo do prximo salto da rota correspondente
para o destino e a interface de tnel.

5-25

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Observao: Diferentemente do protocolo PPTP e do protocolo L2TP, no h troca de


mensagens para a instalao, manuteno ou trmino do tnel. Alm disso, o tnel IPv6
atravs do IPv4 no oferece segurana para os pacotes IPv6 em tnel. Isso significa que
quando voc utiliza o tnel IPv6, ele no precisa estabelecer primeiramente uma conexo.
Alm disso, o tnel supe que ele funciona somente atravs das redes IPv4 e no
criptografa o tnel.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-26

5-27

Lio 3

Tecnologias de tnel IPv6

Uma transio finalmente bem-sucedida para o IPv6 requer coexistncia intermediria


dos ns do IPv6 no atual ambiente predominantemente IPv4. Para que isso ocorra,
os pacotes IPv6 so encapsulados automaticamente atravs de infraestruturas de
roteamento IPv4, permitindo que clientes IPv6 se comuniquem entre si usando
endereos 6to4 ou endereos ISATAP e encapsulamento de pacotes IPv6 atravs
de redes IPv4. Esta lio fornece informaes sobre as diversas tecnologias de tnel
disponveis no IPv6.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Configuraes do tnel

Pontos principais
A RFC 2893 define as seguintes configuraes de tnel com as quais deve ser feito
o tnel do trfego IPv6 entre ns IPv6/IPv4 atravs de uma infraestrutura IPv4:

Roteador-para-Roteador

Host-para-roteador ou Roteador-para-host

Host-para-Host

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-28

5-29

Tipos de tneis

Pontos principais
RFC 2893, Mecanismos de transio para os hosts e roteadores IPv6, define os
seguintes tipos de tneis:

Configurado

Automtica

Leituras adicionais

RFC 2893: Mecanismos de transio para os hosts e roteadores IPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Uso das tecnologias de tnel

Pontos principais
As tecnologias usadas para o tnel IPv6 atravs do IPv4 incluem:

ISATAP

6to4

Teredo

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-30

5-31

PortProxy
Para facilitar a comunicao entre ns ou aplicativos que no podem se comunicar
usando o protocolo de camada da Internet (IPv4 ou IPv6), o protocolo IPv6 para
o Windows Server 2008 oferece o Proxy de Porta, um componente que permite
colocar o seguinte trfego em proxy:

IPv4 para IPv4

IPv4 para IPv6

IPv6 para IPv6

IPv6 para IPv4

Leituras adicionais

Tecnologias de Transio do IPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que o tnel ISATAP?

Pontos principais
ISATAP uma tecnologia de atribuio de endereos e tnel automtico de hostpara-host, host-para-roteador e de roteador-para-host, que pode ser utilizada para
fornecer a conectividade unicast IPv6 entre os hosts IPv6/IPv4 atravs de uma
intranet IPv4. Os hosts ISATAP no exigem configurao manual e podem criar
endereos ISATAP usando mecanismos de configurao automtica de endereo
padro.

O que um roteador ISATAP?


O ISATAP permite que os clientes IPv6 em uma sub-rede IPv4 se comuniquem
sem configurao manual adicional. Um roteador ISATAP permite que os clientes
se comuniquem com outros clientes IPv6 em sub-redes exclusivamente IPv6 ou
mistas.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-32

5-33

Como funciona o tnel ISATAP


O tnel ISATAP pode ser iniciado de vrias maneiras. O roteador ISATAP pode ter
o nome ISATAP resolvido em um endereo IPv4 ou pode ser resolvido com o uso
do comando Netsh Interface IPv6 ISATAP set Router.

Leituras adicionais

RFC 4214: Protocolo ISATAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Laboratrio A: Configurao de um roteador


ISATAP

Objetivos

Configurar uma rede e um cliente IPv6 novos

Configurar um roteador ISATAP para permitir a comunicao entre a rede IPv4


e a rede IPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-34

5-35

Antes de comear:
Para poder simular vrias redes, voc deve configurar o seguinte antes de iniciar as
mquinas virtuais:
1.

No computador host, abra o Virtual Server Administration Website.

2.

No painel esquerdo, em Virtual Networks, clique em Add. No painel de


detalhes, ao lado do Existing configuration (.vnc) file, digite o seguinte:
C:\Arquivos de Programas\Microsoft Learning\10221\Drives\
10221A-NYC-VN2_IPv6 e clique Add novamente.

3.

No painel esquerdo, em Virtual Machines, aponte para Configure e clique em


10221A-NYC-SVR1.

4.

Em 10221A-NYC-SVR1 Configuration, clique em Network adapters.

5.

Em Virtual network adapter 2, clique na seta para baixo, selecione 10221ANYC-VN2_IPv6 e clique em OK.

6.

No painel esquerdo, em Virtual Machines, aponte para Configure e clique em


10221A-NYC-CL1.

7.

Em 10221A-NYC-CL1 Configuration, clique em Network adapters.

8.

Em Virtual network adapter 1, clique na seta para baixo, selecione 10221ANYC-VN2_IPv6 e clique em OK.

Informaes de logon
Neste laboratrio, voc far logon nas mquinas virtuais 10221A-NYC-DC1,
10221A-NYC-SVR1 e 10221A-NYC-CL1 usando as seguintes informaes:

Nome do usurio: Administrador

Senha: Pa$$w0rd

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Exerccio 1: Configurao de uma rede e um cliente IPv6


novos
Cenrio
Voc deve criar e implementar uma rede IPv6. Para a prova de conceito inicial,
implemente um cliente apenas.

Viso geral do exerccio


Neste exerccio, voc preparar o ambiente atual para trabalhar com o IPv6 e
implantar um cliente IPv6 e uma sub-rede IPv6.
As principais tarefas so:
1.

Inicie as mquinas virtuais 10221A-NYC-DC1, 10221A-NYC-SVR1 e 10221ANYC-CL1.

2.

Configure o roteamento IPv4.

3.

Habilite o roteamento IP no NYC-SVR1 e confirme a conectividade IPv4.

4.

Desabilite IPv6 em NYC-DC1.

5.

Desabilite IPv4 em NYC-CL1.

6.

Verifique a configurao de IP em NYC-CL1 e garanta que ele no esteja


configurado com um endereo IP do IPv4.

7.

Configure um anncio de roteador IPv6 para a rede 2001:db8:0:1::/64 de


endereo global em NYC-SVR1.

8.

Verifique a configurao de IP em NYC-CL1 para garantir que ele esteja


configurado com um endereo global IPv6 na rede 2001:db8:0:1::/64.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-36

5-37

f Tarefa 1: Iniciar as mquinas virtuais 10221A-NYC-DC1, 10221A-NYCSVR1 e 10221A-NYC-CL1


1.

No computador host, clique em Iniciar, aponte para Todos os Programas,


aponte para Microsoft Learning e clique em 10221A. O Lab Launcher ser
iniciado.

2.

No Lab Launcher, ao lado de 10221A-NYC-DC1, clique em Launch.

3.

No Lab Launcher, ao lado de 10221A-NYC-SVR1, clique em Launch.

4.

No Lab Launcher, ao lado de 10221A-NYC-CL1, clique em Launch

5.

Faa logon em cada mquina virtual como Woodgrovebank\Administrador


com a senha Pa$$w0rd.

6.

Minimize a janela do Lab Launcher.

f Tarefa 2: Configurar o roteamento IPv4


1.

2.

Em NYC-CL1, na janela Conexes de Rede, configure o seguinte:

Endereo IP: 192.168.1.20

Mscara de sub-rede: 255.255.255.0

Gateway Padro: 192.168.1.10

Em NYC-DC1, na janela Conexes de Rede, configure o seguinte:

Gateway Padro: 10.10.0.24

f Tarefa 3: Habilitar o roteamento IP no NYC-SVR1 e confirmar a


conectividade IPv4
1.

2.

Em NYC-SVR1, use o Editor do Registro (Regedit.exe) para configurar o


seguinte:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters

IPEnableRouter=1

Reinicie NYC-SVR1 e faa logon como Administrador com a senha Pa$$w0rd.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

3.

Em NYC-CL1, use o comando ping para NYC-DC1 a fim de verificar a


conectividade.

4.

Em NYC-DC1, use o comando ping para 192.168.1.20 a fim de verificar a


conectividade.
Observao: Neste ponto, somente o trfego IPv4 roteado atravs da infraestrutura
de roteamento de IPv4.

f Tarefa 4: Desabilitar IPv6 em NYC-DC1

Em NYC-DC1, na janela Conexes de Rede, desabilite a conectividade do IPv6.

f Tarefa 5: Desabilitar IPv4 em NYC-CL1

Em NYC-CL1, na janela Conexes de Rede, desabilite a conectividade do IPv4.

f Tarefa 6: Verificar a configurao de IP em NYC-CL1 e garantir que ele


no esteja configurado com um endereo IP do IPv4

Confirme se o endereo IP em NYC-CL1 um endereo IP de link local vlido


que comea com fe80.

f Tarefa 7: Configurar um anncio de roteador IPv6 para a rede


2001:db8:0:1::/64 de endereo global no NYC-SVR1
1.

Em NYC-SVR1, usando a linha de comando e o comando netsh, configure


Conexo Local 2 para encaminhar pacotes e para anunciar prefixos de subrede.

2.

Adicione uma rota de IPv6 Conexo Local 2 de 2001:db8:0:1::/64.


Publique esta rota.

f Tarefa 8: Verificar a configurao de IP em NYC-CL1 para garantir


que ele esteja configurado com um endereo global IPv6 na rede
2001:db8:0:1::/64

Confirme se NYC-CL1 configurou-se usando o prefixo global atribudo rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-38

5-39

Exerccio 2: Configurao de um roteador ISATAP para


permitir a comunicao entre uma rede IPv4 e uma rede
IPv6
Cenrio
Agora que j configurou o cliente IPv6, voc deve habilitar a conectividade do
cliente IPv4 para a rede IPv6. Voc avaliou as tecnologias atuais de tnel IPv6 e
decidiu implementar um roteador ISATAP.

Viso geral do exerccio


Neste exerccio, voc habilitar e configurar uma interface de roteador ISATAP,
que permitir a comunicao bidirecional entre as redes IPv4 e IPv6.
As principais tarefas so:
1.

Adicionar a entrada ISATAP zona DNS.

2.

Configurar o roteador ISATAP em NYC-SVR1.

3.

Habilitar a interface ISATAP em NYC-DC1.

4.

Testar a conectividade com o cliente IPv6.

f Tarefa 1: Adicionar a entrada ISATAP zona DNS em NYC-DC1

Em NYC-SVR1, na zona Woodgrovebank.com, crie um novo registro de


host chamado ISATAP e configure-o com o endereo IPv4 de NYC-SVR1
(10.10.0.24).

f Tarefa 2: Configurar o roteador ISATAP no NYC-SVR1


1.

Em NYC-SVR1, usando o comando netsh, habilite o roteador isatap definido


como 10.10.0.24.

2.

Usando o comando netsh, habilite forwarding e prefix advertise para a


interface ISATAP. (Sugesto: Conexo Local* 8)

3.

Usando o comando netsh, publique uma nova rota para a sub-rede ISATAP
usando 2001:db8:0:10:/64.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

4.

Reinicie NYC-SVR1 e faa logon como Administrador com a senha Pa$$w0rd.

5.

Abra o prompt de comando e use o comando ipconfig para verificar se o


adaptador de tnel Conexo Local* 8 exibe um endereo IPv6 no intervalo
de 2001:db8:0:10.

f Tarefa 3: Habilitar a interface ISATAP em NYC-DC1


1.

Em NYC-DC1, clique em Iniciar e em Prompt de Comando.

2.

No prompt de comando, digite os seguintes comandos:

Netsh interface isatap set router 10.10.0.24

Ipconfig

Observao: Observe que o adaptador de tnel Conexo Local 8 (que o adaptador


ISATAP) recebeu um endereo IPv6 automaticamente do roteador ISATAP.

f Tarefa 4: Testar a conectividade com o cliente IPv6

Verifique se voc pode efetuar ping no NYC-DC1 de NYC-CL1 e no NYC-SVR1.


Por fim, verifique se voc pode efetuar ping no NYC-CL1 de NYC-DC1.

Observao: Se os endereos IP no forem resolvidos, reinicialize os servidores,


comeando com NYC-DC1, NYC-SVR1 e, ento, NYC-CL1.

Importante: No desligue as mquinas virtuais neste momento, pois voc precisa


delas para concluir o prximo laboratrio.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-40

5-41

O que o tnel 6to4?

Pontos principais
O padro 6to4 uma tecnologia de atribuio de endereos e de tnel automtico
de roteador-para-roteador, host-para-roteador e roteador-para-host, que voc pode
usar para propiciar a conectividade unicast IPv6 entre os sites e hosts IPv6 atravs
da Internet IPv4. O padro 6to4 considera a Internet IPv4 inteira como um link
nico.

Funcionalidade do roteador 6to4


Um roteador 6to4:

Permite o encaminhamento IPv6 em ambas as interfaces de tnel 6to4 e privada.

Determina um prefixo de sub-rede IPv6 de 64 bits para anunciar na intranet privada.

Envia as mensagens de anncio de roteador na interface privada.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Como funciona o tnel 6to4


Dentro de um site, os roteadores IPv6 locais anunciam os prefixos de sub-rede
2002:WWXX:YYZZ:Subnet_ID::/64 para que os hosts configurem automaticamente
os endereos 6to4. Os roteadores IPv6 dentro do site fornecem o trfego entre os
hosts 6to4. Os hosts nas sub-redes individuais so configurados automaticamente
com a rota da sub-rede de 64 bits para entrega direta aos vizinhos, e com uma rota
padro com o endereo do prximo salto do roteador anunciante. O trfego IPv6
no correspondente a nenhum dos prefixos de sub-rede utilizados pelo site
encaminhado para um roteador 6to4 na fronteira do site. O roteador 6to4 na
fronteira do site tem uma rota 2002::/16 que encaminha o trfego para outros sites
6to4, e uma rota padro (::/0) que direciona o trfego para uma retransmisso 6to4.

Leituras adicionais

RFC 3056: Conexo de domnios IPv6 atravs de nuvens IPv4

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-42

5-43

O que o tnel Teredo?

Pontos principais
O tnel Teredo permite que voc estabelea o tnel atravs da rede IPv4 quando os
clientes esto por trs de um NAT IPv4. Teredo foi criado porque muitos roteadores
IPv4 usam NAT para definir um espao de endereo privado para redes corporativas.

Componentes Teredo
Os principais componentes do Teredo so:

Cliente Teredo

Servidor Teredo

Retransmisso Teredo

Retransmisso especfica de hosts Teredo

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Como funciona o Teredo


Para dois clientes Teredo baseados no Windows, os processos mais crticos do
Teredo so aqueles que voc utiliza na configurao inicial e na comunicao com
um par de outro site:

Configurao inicial

Cliente Teredo:

Resolve o nome teredo.ipv6.microsoft.com para os servidores Teredo

Envia diversas solicitaes do roteador encapsuladas pelo Teredo para


vrios servidores Teredo

De acordo com as respostas, o cliente Teredo determina:

O endereo IPv4 do servidor Teredo

Tipo de NAT

O endereo mapeado externamente e a porta para o trfego Teredo

Comunicao inicial entre dois clientes Teredo em sites distintos


O conjunto de pacotes enviados ao longo da comunicao inicial entre os
clientes Teredo localizados em sites diferentes depende da localizao desses
clientes por trs de NATs do tipo cone ou restritas.

Teredo: NAT restrita


Este o processo que envia um pacote de comunicao inicial do Cliente A Teredo
para o Cliente B Teredo:
1.

O Cliente A Teredo envia um pacote bolha diretamente para o Cliente B Teredo.

2.

O Cliente A Teredo envia um pacote bolha para o Cliente B Teredo atravs do


Servidor 2 Teredo (servidor Teredo do Cliente B Teredo).

3.

O Servidor 2 Teredo encaminha o pacote bolha para o Cliente B Teredo.

4.

O Cliente B Teredo responde ao pacote bolha recebido do Cliente A Teredo com


seu prprio pacote bolha, que enviado diretamente para o Cliente A Teredo.

5.

Ao receber o pacote bolha do Cliente B Teredo, o Cliente A Teredo detecta a


existncia de mapeamentos NAT especficos da origem para ambas as NATs.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-44

5-45

O que Proxy de porta?

Pontos principais
Voc pode usar o servio Proxy de Porta como um gateway de camada de aplicativo
para ns ou aplicativos que no oferecem suporte ao IPv6. O Proxy de Porta facilita a
comunicao entre os ns ou aplicativos que no podem se conectar usando um tipo
de endereo comum, protocolo de camadas da Internet (IPv4 ou IPv6) e porta TCP.
A principal finalidade deste servio permitir que os ns de IPv6 se comuniquem
com aplicativos TCP do IPv4.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 4

Transio do IPv4 para o IPv6

Espera-se que a transio do IPv4 para o IPv6 demore alguns anos. O IPv4 permanece
como o padro de IP para a maioria dos aplicativos e servios da Internet em uso
atualmente. Porm, mais e mais redes e aplicativos podem funcionar bem em um
ambiente puramente IPv6, medida que o Windows Vista e o Windows Server 2008
so adotados mais amplamente. Nesta lio, voc saber sobre os problemas que deve
considerar ao fazer a transio para o IPv6 e verificar as etapas necessrias para a
transio para uma instalao exclusivamente IPv6.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-46

5-47

Discusso: Consideraes sobre a migrao do IPv4 para o


IPv6

Pontos principais
Responda s perguntas em uma discusso na sala de aula.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Processo de transio para o IPv6

Pontos principais
Geralmente, a migrao do IPv4 para o IPv6 consome muito tempo. Esse fator foi
considerado durante o desenvolvimento do IPv6 e, consequentemente, o plano de
transio para o IPv6 um processo em vrias etapas, que permite a coexistncia
prolongada.
Para alcanar o objetivo de um ambiente exclusivamente IPv6, siga estas diretrizes
gerais:

Atualizar os aplicativos de modo a no dependerem do IPv6 ou do IPv4.

Atualizar a infraestrutura DNS para se tornar compatvel com o endereo IPv6


e os registros PTR.

Atualizar os hosts para ns IPv6/IPv4.

Atualizar a infraestrutura de roteamento para o roteamento interno IPv6.

Converter ns IPv6/IPv4 em ns exclusivamente IPv6.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-48

5-49

Lio 5

Soluo de problemas do IPv6

Esta lio descreve as ferramentas e as tcnicas que voc pode usar para identificar
um problema em camadas sucessivas da pilha de protocolos TCP/IP usando uma
camada IPv6 da Internet.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Mtodos aplicados para solucionar problemas do IPv6

Pontos principais
Para solucionar problemas do IPv6, de acordo com o problema, voc pode:

Comear no final da pilha e subir.

Comear no incio da pilha e descer.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-50

5-51

Ao comear no incio da pilha, os mtodos utilizados para solucionar problemas


do IPv6 incluem:

Verificar a conectividade IPv6.

Verificar a resoluo de nomes DNS para os endereos IPv6.

Verificar as sesses TCP baseadas no IPv6.

Leituras adicionais

Conceitos bsicos de TCP/IP para Microsoft Windows: Captulo 16 Soluo


de problemas de TCP/IP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Verificao da conectividade IPv6

Pontos principais
possvel usar as seguintes tarefas para solucionar problemas com a conectividade IPv6:

Verificar a configurao

Verificar a acessibilidade

Verificar a filtragem de pacote

Exibir e gerenciar a tabela de roteamento IPv6

Verificar a confiabilidade do roteador

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-52

5-53

Verificao da resoluo de nomes DNS para os endereos


IPv6

Pontos principais
Ao verificar a conectividade dos servios de rede, voc usa muitas das mesmas
ferramentas e software que usa com o IPv4. Ao verificar a configurao de DNS
e a resoluo de nomes, voc pode verificar a configurao de DNS usando as
seguintes ferramentas:

Ipconfig/all

Ipconfig/displaydns e Ipconfig/flushdns

Ping

Nslookup

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Verificao das conexes TCP baseadas no IPv6

Pontos principais
Para verificar as conexes TCP baseadas no IPv6:

Verificar a filtragem de pacote.

Verificar o estabelecimento de conexes do TCP (Telnet).

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-54

Laboratrio B: Converso da rede

Objetivo

Migrar a rede para uma rede exclusivamente IPv6.

Cenrio
Voc responsvel pelo teste do plano de transio do IPv6. Para isso, voc
migrar os computadores da rede anterior, que usa o IPv4 e o IPv6, para uma
rede exclusivamente IPv6.

5-55

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Exerccio 1: Transio para uma rede exclusivamente IPv6


Viso geral do exerccio
Neste exerccio, voc migrar a rede IPv4 para que essa seja uma rede com
capacidade total para o IPv6.
As principais tarefas so:
1.

Desabilitar o roteador ISATAP no NYC-SVR1.

2.

Configurar o roteador IPv6 nativo no NYC-SVR1.

3.

Desabilitar a conectividade IPv4.

4.

Testar a conectividade com cada sub-rede IPv6.

f Tarefa 1: Desabilitar o roteador ISATAP no NYC-SVR1

Em NYC-SVR1, desabilite o roteador ISATAP e exclua o prefixo de sub-rede de


rota esttica que foi anteriormente definido para a sub-rede ISATAP.

f Tarefa 2: Configurar o roteador IPv6 nativo no NYC-SVR1

Configure um roteador IPv6 na interface de Conexo Local no NYC-SVR1.


Verificar se o encaminhamento e o anncio de prefixo esto habilitados.
E tambm adicione e publique o prefixo de sub-rede: 2001:db8:0:0::/64.

f Tarefa 3: Desabilitar a conectividade IPv4


1.

Em NYC-SVR1, desabilite todas as demais interfaces IPv4.

2.

Em NYC-DC1, habilite a interface do IPv6 e desabilite a interface do IPv4.

f Tarefa 4: Testar a conectividade com cada sub-rede IPv6

Verifique se voc pode efetuar ping em NYC-DC1 de NYC-CL1. Tambm verifique


se NYC-SVR1 pode efetuar ping nos dois servidores.

Observao: Se os endereos IP no forem resolvidos, reinicialize os servidores,


comeando com NYC-DC1, NYC-SVR1 e, ento, NYC-CL1.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-56

5-57

f Tarefa 5: Reconfigurar os adaptadores de rede


Para ter a configurao apropriada para futuros laboratrios, voc deve configurar
o seguinte antes de iniciar as mquinas virtuais:
1.

No computador host, abra o Virtual Server Administration Website.

2.

No painel esquerdo, em Virtual Machines, aponte para Configure e clique em


10221A-NYC-SVR1.

3.

Em 10221A-NYC-SVR1 configuration, clique em Network adapters.

4.

Em Virtual network adapter 2, clique na seta para baixo, selecione Internal


Network e clique em OK.

5.

No painel esquerdo, em Virtual Machines, aponte para Configure e clique em


10221A-NYC-CL1.

6.

Em 10221A-NYC-CL1 configuration, clique em Network adapters.

7.

Em Virtual network adapter 1, clique na seta para baixo, selecione Internal


Network e clique em OK.

f Tarefa 6: Fechar todas as mquinas virtuais e descartar discos de


desfazer
1.

Para cada mquina virtual em execuo, feche a janela Virtual Machine Remote
Control (VMRC).

2.

Na caixa de dilogo Close, selecione Turn off machine and discard changes
e clique em OK.

3.

Feche o Lab Launcher do 10221A.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Reviso do mdulo e informaes


complementares

Perguntas de reviso
1.

Quais so os diferentes tipos de endereos unicast IPv6?

2.

Quais so os principais motivos pelos quais o IPv6 necessrio?

3.

Qual o processo chamado quando um cliente se configura com um endereo


IPv6?

4.

Que tipo de endereo IP todo cliente IPv6 se atribui automaticamente?

5.

De que modo o escopo de um endereo afeta sua possibilidade de se comunicar


na Internet?

6.

Quais so as diversas tecnologias de tnel no IPv6?

7.

Qual a finalidade de um tnel Teredo?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

5-58

5-59

Ferramentas de linha de comando


A tabela a seguir descreve as ferramentas de linha de comando que podem ser
utilizadas para configurar o IPv6 TCP/IP e solucionar problemas:
Comando

Descrio

IPconfig

Apresenta os dados gerais do IPv4 e IPv6.

Rota

Fornece informaes bsicas sobre as tabelas de roteamento IPv4 e


IPv6.

Netsh

Fornece informaes detalhadas sobre a configurao do IPv6 e a


principal ferramenta utilizada para configurar o IPv6 no Windows
Server 2008 e Windows Vista. Use tambm essa ferramenta de linha
de comando para configurar um roteador IPv6.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de TCP/IP IPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-1

Mdulo 6
Configurao e soluo de problemas de
Roteamento e Acesso Remoto
Contedo:
Lio 1: Configurao do acesso rede

6-3

Lio 2: Configurao do acesso VPN

6-12

Lio 3: Viso geral das diretivas de rede

6-22

Lio 4: Viso geral do Kit de Administrao do Gerenciador de Conexes

6-28

Lio 5: Soluo de problemas de Roteamento e Acesso Remoto

6-34

Laboratrio: Configurao e gerenciamento do acesso rede

6-42

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral do mdulo

Este mdulo explica como configurar e solucionar os problemas de roteamento e


acesso remoto no Windows Server 2008.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-2

6-3

Lio 1

Configurao do acesso rede

O Windows Server 2008 inclui Servios de Acesso e Diretiva de Rede, que oferecem
solues para questes de conectividade, como:

NAP (Proteo de Acesso Rede) Com a NAP, os administradores de sistema


podem estabelecer e automaticamente impor diretivas de integridade, o que inclui
requisitos de software, requisitos de atualizao de segurana e configuraes de
computador obrigatrias, entre outras configuraes.

Solues sem fio e com fio, seguras, com base no mtodo de imposio 802.1X.

Solues de acesso remoto, incluindo roteadores de rede VPN (rede virtual


privada), de discagem tradicional e roteadores de software completos.

Gerenciamento central de diretivas de rede com servidor RADIUS e proxy.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Componentes de uma infraestrutura de acesso rede

Pontos principais
A infraestrutura subjacente em um servio de acesso rede completo no
Windows Server 2008 normalmente inclui os seguintes componentes:

Servidor VPN

Servios de diretrio Active Directory

Servidor de protocolo DHCP

Servidor de diretiva de integridade de NAP

Autoridade de Registro de Integridade

Servidores de atualizaes

Leituras adicionais

Tpico da Ajuda: Acesso remoto

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-4

6-5

O que a funo Servios de Acesso e Diretiva de Rede?

Pontos principais
A funo Servios de Acesso e Diretiva de Rede no Windows Server 2008 oferece
estas solues de conectividade de rede:

NAP

Acesso seguro com fio e sem fio

Solues de acesso remoto

Gerenciamento central de diretivas de rede com servidor RADIUS e proxy

Leituras adicionais

Biblioteca Tcnica do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que o Roteamento e Acesso Remoto?

Pontos principais
Com o servio Roteamento e Acesso Remoto, voc pode implantar servios de
acesso remoto dial-up e por VPN, alm de servios de roteamento de protocolos
mltiplos, de rede local para rede local, de rede local para rede de longa distncia,
de rede VPN e de NAT (converso de endereo de rede).
possvel implantar as seguintes tecnologias durante a instalao da funo Servio
de Roteamento e Acesso Remoto:

Servio de Acesso Remoto

Roteamento

Leituras adicionais

Biblioteca Tcnica do Windows Server 2008

Ajuda do Servio de Roteamento e Acesso Remoto

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-6

6-7

Demonstrao: Como instalar os servios de roteamento e


acesso remoto

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Autenticao e autorizao de rede

Pontos principais
A distino entre autenticao e autorizao importante para ajudar a compreender
por que as tentativas de conexo so aceitas ou negadas:

Autenticao a verificao das credenciais da tentativa de conexo. Esse processo


consiste no envio das credenciais do cliente de acesso remoto para o servidor de
acesso remoto, na forma de texto simples ou criptografado, com o uso de um
protocolo de autenticao.

Autorizao o processo de verificar se a tentativa de conexo permitida.


A autorizao ocorre aps a autenticao bem-sucedida.

Leituras adicionais

Autenticao versus autorizao

Introduo a diretivas de acesso remoto

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-8

6-9

Tipos de mtodos de autenticao

Pontos principais
A autenticao dos clientes de acesso uma questo importante de segurana.
Normalmente, os mtodos de autenticao utilizam um protocolo de autenticao
que negociado durante o processo de estabelecimento da conexo. Esses protocolos
incluem:

PAP

CHAP

MSCHAPv2

EAP

PEAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Leituras adicionais

Ajuda do Servio de Roteamento e Acesso Remoto: Autenticao

Ajuda do Servio de Roteamento e Acesso Remoto: Soluo de problemas do


Acesso Remoto

Mtodos de autenticao para uso com o IAS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-10

6-11

Integrao dos servidores DHCP ao Servio de Roteamento


e Acesso Remoto

Pontos principais
Voc pode implantar o servio do Servidor DHCP com o servio de Roteamento
e Acesso Remoto para fornecer acesso aos clientes com um endereo IP atribudo
dinamicamente durante a conexo. Quando voc usa esses servios juntos no
mesmo servidor, as informaes fornecidas durante a configurao dinmica
so fornecidas de forma diferente da configurao DHCP normal para clientes
baseados em LAN.

Leituras adicionais

Ajuda do Servio de Roteamento e Acesso Remoto: Uso de Servidores de


Roteamento e Acesso Remoto com DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 2

Configurao do acesso VPN

VPNs so conexes ponto a ponto atravs de uma rede privada ou pblica, como a
Internet. Um cliente VPN usa protocolos especiais baseados em TCP/IP, conhecidos
como protocolos de tnel, para efetuar uma chamada virtual para uma porta virtual
do servidor VPN.
Em uma tpica implantao de VPN, o cliente inicia uma conexo virtual ponto a
ponto com um servidor de acesso remoto atravs da Internet. O servidor de acesso
remoto responde chamada, autentica o chamador e transfere os dados entre o
cliente VPN e a rede privada da organizao.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-12

6-13

O que uma conexo VPN?

Pontos principais
Para emular um link ponto a ponto, os dados so encapsulados ou colocados em um
invlucro, com um cabealho. O cabealho contm informaes de roteamento que
permitem que os dados atravessem a rede compartilhada ou pblica at seu ponto
de extremidade. Para emular um link particular, os dados so criptografados para
garantir sua confidencialidade. Os pacotes interceptados na rede compartilhada ou
pblica no podem ser decifrados sem as chaves de criptografia. O link em que os
dados privados so encapsulados e criptografados conhecido como conexo VPN.
H dois tipos de conexes VPN:

VPN de acesso remoto

VPN entre sites

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Componentes de uma conexo VPN

Pontos principais
A VPN inclui os seguintes componentes:

Cliente VPN

Servidor VPN

Tnel VPN

Dados encapsulados

Ligao entre redes de trfego

Leituras adicionais

Redes Virtuais Privadas

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-14

6-15

Protocolos de tnel para uma conexo VPN

Pontos principais
O tnel permite o encapsulamento de um pacote de um tipo de protocolo em um
datagrama de outro protocolo. Por exemplo, a VPN usa PPTP para encapsular
pacotes IP atravs de uma rede pblica, como a Internet. Voc tambm pode
configurar uma soluo VPN com base em PPTP, L2TP ou SSTP.

Leituras adicionais

Ajuda do Servio de Roteamento e Acesso Remoto: Protocolos de tnel VPN

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Requisitos de configurao

Pontos principais
Antes de configurar um servidor VPN de acesso remoto, voc deve:

Determinar qual interface de rede se conecta Internet e qual interface de rede


se conecta rede privada.

Determinar se os clientes remotos recebem endereos IP de um servidor


DHCP em sua rede privada ou do servidor VPN de acesso remoto que voc
est configurando.

Determinar se voc quer que as solicitaes de conexo dos clientes VPN


sejam autenticadas por um servidor RADIUS ou pelo servidor VPN de acesso
remoto que voc est configurando.

Determinar se os clientes VPN podem enviar mensagens DHCP para o servidor


DHCP em sua rede privada.

Verificar se todos os usurios tm contas de usurio configuradas para acesso


dial-up.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-16

6-17

Leituras adicionais

Ajuda do Servio de Roteamento e Acesso Remoto: Configurao de servidores


VPN de acesso remoto

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Configurao do acesso VPN

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-18

6-19

Concluso de tarefas adicionais

Pontos principais
Depois que voc concluir as etapas do Assistente para Adicionar Funes e concluir
a configurao de Roteamento e Acesso Remoto, o servidor estar pronto para ser
usado como servidor VPN de acesso remoto.
Tarefas adicionais que voc pode executar no servidor VPN/acesso remoto incluem:

Configurar filtros de pacote esttico

Configurar servios e portas

Ajustar os nveis de registro dos protocolos de roteamento

Configurar o nmero de portas VPN

Criar um perfil de Gerenciador de Conexes para os usurios

Adicionar Servios de Certificados do Active Directory (AD CS)

Melhorar a segurana do acesso remoto

Melhorar a segurana da VPN

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Leituras adicionais

Servios de Acesso e Diretiva de Rede

Ajuda do Servio de Roteamento e Acesso Remoto: Configurao de servidores


VPN de acesso remoto

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-20

6-21

Componentes de uma conexo dial-up

Pontos principais
O acesso remoto dial-up uma tecnologia de acesso remoto que est disponvel
como parte do servio de Roteamento de Acesso Remoto que o Windows Server
2008 inclui.
Com acesso remoto dial-up, um cliente de acesso remoto usa a infraestrutura de
telecomunicao para criar um circuito fsico temporrio ou um circuito virtual
para uma porta em um servidor de acesso remoto. Depois que o circuito fsico
ou virtual criado, os demais parmetros da conexo podem ser negociados.
A conexo fsica ou lgica entre o servidor de acesso remoto e o cliente de acesso
remoto facilitada pelo equipamento dial-up instalado no cliente de acesso remoto,
no servidor de acesso remoto e na infraestrutura de WAN.

Leituras adicionais

Ajuda do Servio de Roteamento e Acesso Remoto: O que rede dial-up?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 3

Viso geral das diretivas de rede

Durante o processamento de solicitaes de conexo como um servidor RADIUS,


o NPS realiza a autenticao e a autorizao para a solicitao de conexo. O NPS
verifica a identidade do usurio ou do computador que est se conectando rede
durante o processo de autenticao. O NPS determina se o usurio ou o computador
tem permisso para acessar a rede durante o processo de autorizao.
Para fazer essa determinao, o NPS usa diretivas de rede que voc configura no
snap-in MMC (Console de Gerenciamento Microsoft). Para realizar a autorizao,
o NPS tambm examina as propriedades de discagem da conta do usurio no
Active Directory.

Observao: No IAS (Servio de Autenticao da Internet) na famlia de sistemas


operacionais do Windows Server 2003, as diretivas de rede chamam-se diretivas de
acesso remoto.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-22

6-23

O que diretiva de rede?

Pontos principais
Diretivas de rede so conjuntos de condies, restries e configuraes que lhe
permitem designar quem est autorizado a se conectar rede, e as circunstncias
nas quais possvel se conectar ou no. Quando voc implanta a NAP, a diretiva
de integridade adicionada configurao de diretivas de rede para que o NPS
faa as verificaes de integridade do cliente, durante o processo de autorizao.
Cada diretiva de rede tem quatro categorias de propriedades:

Viso geral

Condies

Restries

Configuraes

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Propriedades de diretiva de rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-24

6-25

Processo para criar e configurar uma diretiva de rede

Pontos principais
O NPS usa diretivas de rede, anteriormente chamadas de diretivas de acesso remoto,
as propriedades de discagem das contas de usurio, para determinar se deve autorizar
uma solicitao de conexo com a rede. Voc pode configurar uma nova diretiva de
rede no snap-in MMC do NPS ou no snap-in MMC do Servio de Roteamento e Acesso
Remoto.
Para adicionar uma diretiva de rede usando a interface do Windows:
1.

Abra o console do NPS e clique duas vezes em Diretivas.

2.

No painel do console, clique com o boto direito do mouse em Diretivas de


Rede e clique em Novo. O assistente Nova Diretiva de Rede aberto.

3.

Use o novo Assistente de Diretiva de Rede para criar uma diretiva.

4.

Configure as propriedades da diretiva de rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Diretivas de rede

Ajuda do Servidor de Diretivas de Rede: Adicionar uma diretiva de rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-26

Como as diretivas de rede so processadas?

Pontos principais
Quando o NPS autoriza uma solicitao de conexo, ele compara a solicitao
a cada diretiva de rede na lista de diretivas ordenada, comeando pela primeira
diretiva e descendo at o final da lista.

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Adicionar uma diretiva de rede

6-27

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 4

Viso geral do Kit de Administrao do


Gerenciador de Conexes

O CMAK (Kit de Administrao do Gerenciador de conexes) permite que os


administradores personalizem as opes de conexo remota dos usurios criando
conexes predefinidas para servidores e redes remotas. O assistente do CMAK cria
um arquivo executvel, que pode ser distribudo de vrias maneiras ou includo
durante as atividades de implantao como parte da imagem do sistema operacional.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-28

O que o Kit de Administrao do Gerenciador de


Conexes?

Pontos principais
O CMAK uma ferramenta que voc pode usar para personalizar a experincia
de conexo remota dos usurios da rede, criando conexes predefinidas com
servidores remotos e redes. Use o assistente do CMAK para criar e personalizar
uma conexo para os usurios.

Leituras adicionais

Ajuda do CMAK: Bem-vindo ao Kit de Administrao do Gerenciador de


Conexes

6-29

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Instalao do CMAK

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-30

6-31

Processo para configurar um perfil de conexo

Pontos principais
possvel configurar um perfil de conexo novo ou j existente usando o assistente do
CMAK. Cada pgina do assistente permite que voc conclua uma etapa do processo.

Observao: Para obter informaes completas sobre como criar um perfil de conexo,
consulte o CMAK Operations Guide.

Leituras adicionais

CMAK Operations Guide

Ajuda do Kit de Administrao do Gerenciador de Conexes: Executar o


Assistente do CMAK para criar um perfil de conexo

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Criao de um perfil de conexo

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-32

6-33

Distribuio do perfil de conexo para os usurios

Pontos principais
O assistente do CMAK compila o perfil de conexo em um arquivo executvel
nico com uma extenso .exe. Voc pode passar esse arquivo para os usurios
usando qualquer mtodo que esteja disponvel. Alguns mtodos a serem
considerados so:

Inclua o perfil de conexo como parte da imagem includa com novos


computadores.

Entregue o perfil de conexo em mdia removvel para o usurio instalar


manualmente.

Entregue o perfil de conexo com ferramentas de distribuio de software


automatizadas.

Leituras adicionais

Ajuda do Kit de Administrao do Gerenciador de Conexes: Distribuir seu


perfil de conexo para os usurios

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 5

Soluo de problemas de Roteamento e Acesso


Remoto

A soluo de problemas ocorridos no Roteamento e Acesso Remoto pode ser uma


tarefa muito demorada. Os problemas variam e no so facilmente identificados.
Considerando que voc pode estar usando redes dial-up, dedicadas, concedidas ou
pblicas para satisfazer a sua soluo de conexo remota, ser necessrio usar um
processo metdico e em etapas para solucionar problemas.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-34

Ferramentas para soluo de problemas do TCP/IP

Pontos principais
O Windows Server 2008 inclui ferramentas de diagnstico de TCP/IP bsicas e
avanadas que podem ser usadas para solucionar problemas de TCP/IP.
As ferramentas bsicas de diagnstico de TCP/IP incluem:

Diagnstico de rede em Ajuda e Suporte

Pasta Conexes de Rede

Comando Ipconfig

Comando Ping

6-35

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

As ferramentas avanadas de diagnstico de TCP/IP incluem:

Comando Hostname

Comando Nbtstat

Comando Pathping

Comando Route

Comando Tracert

Leituras adicionais

Como solucionar problemas de conectividade do TCP/IP com o Windows XP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-36

6-37

Log de contabilizao e de autenticao

Pontos principais
Voc pode configurar o NPS para executar a contabilizao RADIUS para solicitaes
de autenticao do usurio, mensagens Access-Accept, mensagens Access-Reject,
solicitaes e respostas de contabilizao e atualizaes de status peridicas. Voc
pode adotar esse procedimento para configurar os arquivos de log nos quais deseja
armazenar os dados de contabilizao.

Leituras adicionais

Tpico da Ajuda: Configurao das propriedades do arquivo de log

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Configurao do log de acesso remoto

Pontos principais
Para configurar o log do acesso remoto, abra o console do servio de Roteamento e
Acesso Remoto, clique com o boto direito do mouse no nome do servidor e clique
em Propriedades. Clique na guia Log para exibir as opes disponveis para o log
de rastreamento e a respectiva localizao.
Os quatro nveis de log de eventos que o servio de Roteamento e Acesso Remoto
do Windows Server 2008 disponibiliza so:

Registrar apenas erros no log

Registrar erros e avisos no log

Registrar todos os eventos

Desativar log de eventos

Leituras adicionais

Ajuda do servio de Roteamento e Acesso Remoto: Propriedades do servidor


guia Log

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-38

6-39

Configurao do rastreamento de acesso remoto

Pontos principais
O servio de Roteamento e Acesso Remoto no Windows Server 2008 tem uma
extensa capacidade de rastreamento que pode ser usada para solucionar problemas
complexos de rede. Voc pode habilitar os componentes no Windows Server 2008
para registrar informaes de rastreamento nos arquivos usando o comando Netsh
ou atravs do Registro.

Leituras adicionais

Tpico da Ajuda: Ferramentas para soluo de problemas de VPN

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Solues comuns para a resoluo de problemas

Pontos principais
Problemas comuns que podem ocorrer quando se usa o Acesso Remoto do
Windows Server 2008 incluem:

Erro 800: Servidor VPN est inalcanvel

Erro 721: Computador remoto no est respondendo

Erro 741/742: Erro de incompatibilidade de criptografia

No possvel estabelecer conexo VPN de acesso remoto

Erros de autenticao L2TP/IPsec

Erros de autenticao EAP-TLS

Tentativa de conexo aceita quando deveria ser rejeitada

Os clientes VPN no podem ter acesso aos recursos alm do servidor VPN

No possvel estabelecer tnel

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-40

Leituras adicionais

Tpico da Ajuda: Soluo de problemas de acesso remoto

6-41

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Laboratrio: Configurao e gerenciamento do


acesso rede

Objetivos
Depois de concluir este laboratrio, voc ser capaz de:

Configurar o Roteamento e Acesso Remoto como uma soluo de acesso


remoto VPN.

Configurar uma diretiva de rede personalizada.

Configurar o registro em log.

Configurar um perfil de conexo.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-42

6-43

Cenrio
O Woodgrove Bank deseja implementar uma soluo de acesso remoto para os
seus funcionrios para que eles possam se conectar rede corporativa quando
estiverem fora do banco. O Woodgrove Bank precisa de uma diretiva de rede que
obrigue a criptografia das conexes VPN por questes de segurana.
O departamento de TI do Woodgrove Bank no quer que a soluo de acesso
remoto aumente demais as chamadas ao suporte tcnico devido a problemas de
configurao de objetos da conexo VPN que precisem ser criados no computador
cliente.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Exerccio 1: Configurao do Roteamento e Acesso Remoto


como uma soluo de acesso remoto VPN
Viso geral do exerccio
Neste exerccio, voc vai configurar a funo Servio de Roteamento e Acesso
Remoto como uma soluo de acesso remoto VPN. O servidor VPN deve alocar
para os clientes um endereo IP que esteja em um pool de endereos IP configurado
no servidor de Acesso Remoto. O servidor de Acesso Remoto deve aceitar somente
conexes PPTP e L2TP, com 25 conexes permitidas para cada um.
As principais tarefas so:
1.

Inicie as mquinas virtuais 10221A-NYC-DC1, 10221A-NYC-SVR1 e


10221A-NYC-CL1.

2.

Instale a funo Servios de Acesso e Diretiva de Rede.

3.

Configure 10221A-NYC-SVR1 como um servidor VPN com um pool de


endereos estticos para clientes de Acesso Remoto.

4.

Configure as portas VPN disponveis no servidor de Roteamento e Acesso


Remoto para permitir 25 conexes PPTP e 25 conexes L2TP.

f Tarefa 1: Iniciar as mquinas virtuais 10221A-NYC-DC1, 10221A-NYCSVR1 e 10221A-NYC-CL1


1.

No computador host, clique em Iniciar, aponte para Todos os Programas,


aponte para Microsoft Learning e clique em 10221A. O Lab Launcher ser
iniciado.

2.

No Lab Launcher, ao lado de 10221A-NYC-DC1, clique em Launch.

3.

No Lab Launcher, ao lado de 10221A-NYC-SVR1, clique em Launch.

4.

No Lab Launcher, ao lado de 10221A-NYC-CL1, clique em Launch.

5.

Faa logon em cada mquina virtual como Woodgrovebank\Administrador


com a senha Pa$$w0rd.

6.

Minimize a janela do Lab Launcher.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-44

6-45

f Tarefa 2: Instalar a funo Servios de Acesso e Diretiva de Rede em


10221A-NYC-SVR1
1.

Abra o Gerenciador de Servidores no NYC-SVR1 e clique em Adicionar Funes.

2.

No Gerenciador de Servidores, role a pgina Funes do Servidor, selecione


Servios de Acesso e Diretiva de Rede e clique em Prximo.

3.

Na pgina Selecionar Servios de Funo, selecione Servidor de Diretivas


de Rede e Servios de Roteamento e Acesso Remoto e clique duas vezes em
Prximo.

4.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

5.

Na pgina Resultados da Instalao, verifique se Instalao bem-sucedida


exibida no painel de detalhes e clique em Fechar.
As funes Diretiva de Rede e Servios de Roteamento e Acesso Remoto so
instaladas no NYC-SVR1.

Observao: No faa logoff nas mquinas virtuais nem as desligue neste momento.

f Tarefa 3: Configurao do 10221A-NYC-SVR1 como um servidor VPN


com um pool de endereos estticos para clientes de Acesso Remoto
1.

Em Ferramentas Administrativas, abra Roteamento e Acesso Remoto.

2.

No painel de lista, selecione e clique com o boto direito do mouse em


NYC-SVR1 (local) e clique em Configurar e Habilitar Roteamento e
Acesso Remoto.

3.

Confira se a configurao padro, Acesso Remoto (dial-up ou VPN),


est selecionada e, na pgina Acesso Remoto, selecione a opo VPN.

4.

Na pgina Conexo VPN, selecione a interface Conexo local 2.

5.

Na pgina Atribuio de Endereo IP, selecione De um intervalo de endereo


especificado.

6.

Use o intervalo de 192.168.1.100 com 75 endereos disponveis do pool esttico.

7.

Aceite as configuraes padro para o restante do processo de configurao.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 4: Configurao das portas VPN disponveis no servidor de


Roteamento e Acesso Remoto para permitir 25 conexes PPTP e 25
conexes L2TP
1.

Na interface da ferramenta administrativa Roteamento e Acesso Remoto,


clique com o boto direito em Porta e clique em Propriedades.

2.

Na caixa de dilogo Propriedades de Portas, configure L2TP e PPTP para


que tenham 25 conectores disponveis. Especifique 0 para SSTP.

3.

Na caixa de dilogo Propriedades de Portas, clique em OK.

4.

Feche a ferramenta administrativa Roteamento e Acesso Remoto.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-46

6-47

Exerccio 2: Configurao de uma diretiva de rede


personalizada
Viso geral do exerccio
Neste exerccio, voc criar uma diretiva de rede para permitir conexes seguras
com o servidor do servio de Roteamento e Acesso Remoto.
As principais tarefas so:
1.

Abra a ferramenta administrativa Servidor de Diretivas de Rede em 10221ANYC-SVR1.

2.

Crie uma nova diretiva de rede para os clientes do servio de Roteamento e


Acesso Remoto.

f Tarefa 1: Abertura da ferramenta de gerenciamento Servidor de


Diretivas de Rede em 10221A-NYC-SVR1

No menu Ferramentas Administrativas, clique em Servidor de Diretivas


de Rede.
A ferramenta administrativa Servidor de Diretivas de Rede exibida.

f Tarefa 2: Criao de uma nova diretiva de rede para os clientes do


servio de Roteamento e Acesso Remoto
1.

No painel de lista da ferramenta administrativa Servidor de Diretivas de Rede,


expanda Diretivas, clique com o boto direito do mouse em Diretivas de Rede
e clique em Novo.

2.

No assistente de Nova Diretiva de Rede, especifique as seguintes configuraes


e aceite os valores padro de todas as outras configuraes:

3.

Nome da Diretiva de Rede: VPN Segura

Tipo de servidor de acesso rede: Servidor de Acesso Remoto (VPN-Dial up)

Especificar Condies: Tipo de Tnel: PPTP e L2TP

Configurar Mtodos de Autenticao: desmarque MS-CHAP

Configurar Restries: Dia e Hora: negar acesso seg a sex das 23:00 s 6:00

Defina as Configuraes: Em Criptografia, desmarque todas as configuraes,


exceto Criptografia mxima

Feche a ferramenta administrativa Servidor de Diretivas de Rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Exerccio 3: Configurao do registro em log


Viso geral do exerccio
Neste exerccio, voc habilitar o registro em log no Roteamento e Acesso Remoto.
As principais tarefas so:
1.

Configurar o servio de Roteamento e Acesso Remoto em 10221A-NYC-SVR1


para registrar todos os eventos no log do sistema.

2.

Testar os nveis de registro em log.

f Tarefa 1: Configurao do servio de Roteamento e Acesso Remoto em


10221A-NYC-SVR1 para registrar todos os eventos no log do sistema
1.

Clique em Iniciar, aponte para Ferramentas Administrativas e clique em


Roteamento e Acesso Remoto.

2.

Clique com o boto direito do mouse em NYC-SVR1 e clique em Propriedades.

3.

Na caixa de dilogo Propriedades de NYC-SVR1 (local), clique na guia Log,


clique em Registrar todos os eventos e em OK.

f Tarefa 2: Teste dos nveis de registro em log


1.

Faa logon em NYC-CL1 com um nome de usurio como administrador e a


senha Pa$$w0rd.

2.

Clique em Iniciar, em Rede e, na janela Rede, clique em Centro de Rede e


Compartilhamento.

3.

Em Tarefas, clique em Configurar uma conexo ou uma rede para criar um


novo objeto de conexo VPN.

4.

Na caixa de dilogo Digite o endereo da Internet com o qual se conectar,


especifique um endereo da Internet de 10.10.0.24 e um Nome de Destino de
Woodgrovebank VPN.

5.

Aceite os padres para as demais configuraes do assistente.

6.

Depois que o objeto de conexo VPN for criado, conecte-se a WoodgroveBank


VPN na pgina Conexes de Rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-48

7.

6-49

Usando as seguintes informaes, nas caixas de texto Connect Woodgrovebank


VPN:

Nome do usurio: Administrador

Senha: Pa$$w0rd

Domnio: Woodgrovebank

A VPN conecta-se com xito.


8.

Clique com o boto direito do mouse em Woodgrovebank VPN e clique em


Desconectar. A VPN desconecta-se.

9.

Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administrativas


e clique em Visualizador de Eventos.

10. Use o Visualizador de Eventos no NYC-SVR1 e verifique as entradas na origem


RemoteAccess, no log do sistema, para ver os dados registrados em log.
11. Feche o Visualizador de Eventos.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Exerccio 4: Configurao de um perfil de conexo


Viso geral do exerccio
Neste exerccio, voc configurar um perfil de conexo usando a ferramenta CMAK
para criar objetos de conexo para usurios de computador mvel.
As principais tarefas so:
1.

Instale o Kit de Administrao do Gerenciador de Conexes.

2.

Use o CMAK para criar um executvel distribuvel que automatize a criao de


objetos de conexo para os usurios.

3.

Instale e teste o perfil do CMAK.

4.

Feche todas as mquinas virtuais e exclua as alteraes.

f Tarefa 1: Instalao do Kit de Administrao do Gerenciador de Conexes


1.

Em NYC-SVR1, clique em Iniciar e em Gerenciador de Servidores.

2.

Selecione o recurso Kit de Administrao do Gerenciador de Conexes e


clique em Instalar.

3.

Feche o Gerenciador de Servidores em 10221A-NYC-SVR1.

f Tarefa 2: Uso do CMAK para criar um executvel distribuvel que


automatize a criao de objetos de conexo para os usurios
1.

Clique em Iniciar, aponte para Ferramentas Administrativas e clique em


Kit de Administrao do Gerenciador de Conexes.

2.

Na pgina Bem-vindo do Assistente do Kit de administrao do Gerenciador


de conexes, clique em Avanar. Especifique as seguintes configuraes na
interface do assistente e aceite os valores padro das outras configuraes:

Na pgina Especificar o Nome do Servio e o Nome do Arquivo, use


WOODGROVEBANK VPN para o nome do servio e CORP_VPN para
o nome do arquivo.

In Adicionar Suporte a Conexes VPN, selecione Catlogo telefnico


deste perfil e especifique que sempre use o mesmo servidor VPN com
um endereo IP de 10.10.0.24.

Em Adicionar um Catlogo Telefnico Personalizado, desmarque


Download automtico de atualizaes do catlogo telefnico.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-50

3.

Na pgina O Perfil do Gerenciador de Conexes foi Concludo e Est


Pronto para ser Distribudo, clique em Concluir.

4.

Em NYC-SVR1, copie a pasta CORP_VPN de C:\Arquivos de Programas\


CMAK\Profiles\Vista\ para \\NYC-DC1\Module6.

6-51

f Tarefa 3: Instalao e teste do perfil do CMAK


1.

Em 10221A-NYC-CL1, no compartilhamento \\NYC-DC1\module6\, execute


CORP_VPN.exe para criar o objeto de conexo VPN.
O objeto de conexo WOODGROVEBANK VPN aberto.

2.

No objeto de conexo WOODGROVEBANK VPN, digite as seguintes credenciais


e clique em Conectar:

Nome do usurio: Administrador

Senha: Pa$$w0rd

Domnio de Logon: Woodgrovebank

3.

Defina o Local da Rede como Trabalho.

4.

Verifique se a VPN conecta-se com xito em Conexes de Rede. Clique com o


boto direito do mouse no cone da conexo e clique em Desconectar.

f Tarefa 4: Fechar todas as mquinas virtuais e descartar discos de


desfazer
1.

Para cada mquina virtual em execuo, feche a janela Virtual Machine Remote
Control (VMRC).

2.

Na caixa de dilogo Close, selecione Turn off machine and discard changes
e clique em OK.

3.

Feche o Lab Launcher do 10221A.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Reviso do mdulo e informaes


complementares

Perguntas de reviso
1.

Voc est adicionando servios de Acesso Remoto a uma infraestrutura j


existente que utiliza roteadores no compatveis com a RFC 1542. O servidor
DHCP no se encontra na mesma sub-rede do servidor de Acesso remoto.
Que problema pode surgir com essa configurao? Como voc atenuaria o
problema?

2.

Voc quer implementar uma soluo de VPN para os usurios em sua empresa,
mas o grupo responsvel pela segurana se nega a abrir o firewall para o trfego
do PPTP e L2TP. possvel criar essa soluo no Windows Server 2008? Nesse
caso, o que voc usaria?

3.

Baseando-se no cenrio da pergunta anterior, que criptografia deve ser usada


para proteger o trfego?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-52

6-53

4.

possvel ignorar as propriedades de discagem atribudas s contas no Active


Directory com diretivas de rede? Em qual categoria de propriedade isso estaria
definido?

5.

Voc habilitou o registro completo em log do RADIUS nos servidores de acesso


remoto em sua empresa e constatou que os logs esto obtendo as informaes
solicitadas. Depois de algumas semanas de registro em log, os usurios comeam a
ligar para o Suporte tcnico porque as suas tentativas de conexo falham. Qual o
problema mais provvel?

Prticas recomendadas
As decises sobre o melhor mtodo para fornecer acesso remoto variam de acordo
com as ferramentas selecionadas por voc:

Instale e teste os servidores que executam o servio Roteamento e Acesso


Remoto, antes de configur-los como clientes RADIUS.

Os servidores RADIUS e de Acesso remoto devem ser servidores dedicados.


Isso minimiza a probabilidade de usurios no autorizados obterem acesso
rede e debilitarem a configurao de segurana.

Proteja fisicamente os servidores RADIUS e de Acesso Remoto.

Desabilite os protocolos de autenticao no utilizados. No use o PAP, a menos


que voc precise oferecer suporte para sistemas herdados.

Determine os nveis de registro em log necessrios para fins de auditoria e faa


o backup dos logs do RADIUS.

Proteja as sesses de administrao remota com IPsec ou com VPNs, se essas


sesses forem iniciadas externamente.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de Roteamento e Acesso Remoto

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Ferramentas
Ferramenta

Use para

Onde encontr-la

Ferramenta de
gerenciamento
do Roteamento e
Acesso Remoto

Gerenciamento e configurao
do servio Roteamento e Acesso
Remoto no servidor local

Roteamento e
Acesso Remoto no
menu Ferramentas
Administrativas

Servidor de Diretivas
de Rede

Gerenciamento e criao de
diretivas de rede

Servidor de
Diretivas de Rede
no menu Ferramentas
Administrativas

Kit de Administrao
do Gerenciador de
Conexes

Criao de objetos de conexo


distribuveis e personalizados
para instalao em computadores
clientes

Kit de Administrao
do Servidor de
Conexes no menu
Ferramentas
Administrativas

Visualizador de
Eventos

Exibir informaes registradas


em log de eventos de aplicativos,
eventos do sistema e eventos de
segurana

Visualizador de
Eventos no menu
Ferramentas
Administrativas

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

6-54

7-1

Mdulo 7
Instalao, configurao e soluo de problemas
do servio de funo Servidor de Diretivas de Rede
Contedo:
Lio 1: Instalao e configurao de um Servidor de Diretivas de Rede

7-3

Lio 2: Configurao de clientes e servidores RADIUS

7-9

Lio 3: Mtodos de autenticao do NPS

7-16

Lio 4: Monitoramento e soluo de problemas de um Servidor de


Diretivas de Rede

7-22

Laboratrio: Configurao e gerenciamento do Servidor de Diretivas


de Rede

7-27

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral do mdulo

Este mdulo explica como instalar, configurar e solucionar problemas do servio


Funo de Servidor de Diretivas de Rede. O NPS (Servidor de Diretivas de Rede)
a implementao da Microsoft de um servidor e proxy RADIUS no Windows
Server 2008. O NPS a substituio do IAS (Servio de Autenticao da Internet)
no Windows Server 2003.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-2

7-3

Lio 1

Instalao e configurao de um Servidor de


Diretivas de Rede

O NPS permite que voc configure e gerencie diretivas de rede de forma centralizada,
com estes trs recursos: servidor RADIUS, proxy RADIUS e servidor de diretivas NAP.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que o Servidor de Diretivas de Rede?

O NPS permite criar e impor diretivas de acesso rede em nvel organizacional, para
fins de integridade do cliente, autenticao e autorizao de solicitao de conexo.
Voc tambm pode usar o NPS como um proxy RADIUS para encaminhar solicitaes
de conexo para o NPS ou para outros servidores RADIUS que voc configura em
grupos de servidores RADIUS remotos.

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Servidor de Diretivas de Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-4

Cenrios de utilizao do Servidor de Diretivas de Rede

Voc pode usar o NPS no Windows Server 2008 como um servidor RADIUS ou
um proxy RADIUS.

Como um servidor RADIUS, o NPS realiza a autenticao, a autorizao e a


contabilizao de conexes centralizadas para vrios tipos de acesso rede,
incluindo sem fio, comutador de autenticao, acesso remoto por VPN ou
dial-up e conexes entre roteadores.

Como um proxy RADIUS, o NPS encaminha mensagens de autenticao e


contabilizao para outros servidores RADIUS.

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Viso geral do Servidor de Diretivas


de Rede

7-5

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Como instalar o Servidor de Diretivas de Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-6

7-7

Ferramentas usadas para gerenciar um Servidor de Diretivas


de Rede

Estas ferramentas permitem que voc gerencie o servio de funo Servidor de


Diretivas de Rede e Acesso:

Snap-in NPS MMC. Use o NPS MMC para configurar um servidor RADIUS,
um proxy RADIUS ou uma tecnologia NAP.

Comandos netsh para NPS. Os comandos netsh para NPS consistem em um


conjunto de comandos que o equivalente completo de todas as definies
de configurao disponveis por meio do snap-in NPS MMC.

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Viso geral do Servidor de Diretivas


de Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Definio de configuraes gerais do NPS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-8

7-9

Lio 2

Configurao de clientes e servidores RADIUS

RADIUS um protocolo padro do setor que est descrito na RFC 2865, RADIUS e
na RFC 2866, Contabilizao de RADIUS. O protocolo RADIUS oferece servios de
autenticao de rede, autorizao e contabilizao.
Os seguintes componentes fazem parte da infraestrutura de autenticao, autorizao e
contabilizao do RADIUS:

Clientes de acesso

Servidores de acesso (clientes RADIUS)

Proxies RADIUS

Servidores RADIUS

Bancos de dados de contas de usurio

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que um cliente RADIUS?

Um NAS um dispositivo que fornece nveis de acesso a uma rede maior. Um NAS
que usa uma infraestrutura RADIUS tambm um cliente RADIUS, que envia
solicitaes de conexo e mensagens de contabilizao para um servidor RADIUS
para autenticao, autorizao e contabilizao.

Importante: Os computadores cliente, como laptops sem fio e outros computadores


que executam sistemas operacionais cliente no so clientes RADIUS. Os clientes
RADIUS so servidores de acesso rede, incluindo pontos de acesso sem fio,
comutadores de autenticao 802.1X, servidores VPN e servidores dial-up, pois eles
usam o protocolo RADIUS para se comunicarem com servidores RADIUS como os
servidores NPS.

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Clientes RADIUS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-10

7-11

O que um proxy RADIUS?

Voc pode usar o NPS como um proxy RADIUS para rotear mensagens do RADIUS
entre clientes RADIUS (servidores de acesso) e servidores RADIUS que executam a
autenticao, a autorizao e contabilizao de usurios na tentativa de conexo.
Quando voc usa o NPS como um proxy RADIUS, o NPS um ponto de comutao
e roteamento central atravs do qual fluem as mensagens de contabilizao e acesso
do RADIUS. O NPS registra informaes em um log de contabilizao sobre as
mensagens encaminhadas.

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Proxy RADIUS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Demonstrao: Configurao de um cliente RADIUS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-12

7-13

Configurao do processamento de solicitao de conexo

Diretivas de solicitao de conexo so conjuntos de condies e configuraes


que permitem que os administradores de rede designem quais servidores RADIUS
executaro a autenticao e a autorizao de solicitaes de conexo que o servidor
NPS recebe de clientes RADIUS.
A diretiva de solicitao de conexo padro usa o NPS como um servidor RADIUS
e processa todas as solicitaes de autenticao localmente.

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Configurao de informaes da porta


UDP do NPS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que uma diretiva de solicitao de conexo?

Diretivas de solicitao de conexo so conjuntos de condies e configuraes


que permitem que os administradores de rede designem quais servidores RADIUS
executaro a autenticao e a autorizao de solicitaes de conexo que o servidor
NPS recebe de clientes RADIUS. possvel configurar as diretivas de solicitao
de conexo para que designem os servidores RADIUS que sero usados para a
contabilizao RADIUS.

Leituras adicionais

Ajuda do Servidor de Diretivas de Rede: Diretivas de solicitao de conexo

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-14

7-15

Demonstrao: Criao de uma nova diretiva de solicitao


de conexo

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 3

Mtodos de autenticao do NPS

Quando os usurios tentam se conectar com sua rede atravs de servidores de


acesso rede (tambm conhecidos como servidores RADIUS), como pontos
de acesso sem fio, comutadores de autenticao 802.1X, servidores dial-up e
servidores VPN, o NPS autentica e autoriza a solicitao de conexo antes de
permitir ou negar o acesso.
Como a autenticao o processo de verificar a identidade do usurio ou do
computador que est tentando se conectar rede, o NPD deve comprovar a
identidade do usurio ou do computador na forma de credenciais.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-16

7-17

Mtodos de autenticao baseados em senha

Cada mtodo de autenticao tem vantagens e desvantagens em termos de segurana,


capacidade de uso e abrangncia do suporte. Todavia, mtodos de autenticao
baseados em senha no garantem segurana mximo e seu uso no recomendvel.
Recomendamos que voc use um mtodo de autenticao baseado em certificado para
o acesso rede. Isso se constata principalmente nas conexes sem fio, para as quais
recomendvel o uso do PEAP-MS-CHAP v2 ou PEAP-TLS.

Leituras adicionais

Tpico da Ajuda: Mtodos de autenticao baseados em senha

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Uso de certificados para autenticao

Certificados so documentos digitais emitidos pelas autoridades de certificao


(CAs), como os Servios de Certificados do Active Directory (AD CS) ou a CA
pblica da VeriSign. Os certificados podem ser usados para vrios fins, como a
assinatura de cdigo e a proteo da comunicao por email. Porm, com o NPS,
voc usa certificados para autenticao do acesso rede porque eles garantem
segurana mxima para a autenticao de usurios e computadores, e tambm
eliminam a necessidade de mtodos de autenticao baseados em senha, que so
menos seguros.

Leituras adicionais

Tpico da Ajuda: Certificados e NPS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-18

7-19

Certificados necessrios para os mtodos de autenticao


do NPS

A tabela a seguir detalha os certificados que so obrigatrios para a implantao


bem-sucedida de cada mtodo de autenticao baseado em certificado.
Certificado

Necessrio para EAPTLS e PEAP-TLS?

Necessrio para
PEAP-MS-CHAP v2?

Certificado de autoridade de
certificao no repositrio de
certificados de Autoridades de
Certificao Raiz Confiveis para o
Computador Local e o Usurio Atual

Sim

Sim

Certificado de computador cliente no


repositrio de certificados do cliente

Sim

No

Certificado de servidor no repositrio


de certificados do servidor NPS

Sim

Sim

Certificado de usurio em um carto


inteligente

No

No

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Leituras adicionais

Tpico da Ajuda: Requisitos de certificado para PEAP e EAP

Tpico da Ajuda: Certificados e NPS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-20

7-21

Implantao de certificados para PEAP e EAP

Todos os certificados que voc usa para autenticao do acesso rede com EAP-TLS
e PEAP devem atender aos requisitos dos certificados X.509 e funcionar para as
conexes que usam SSL/TLS. Aps atender a esse requisito mnimo, os certificados
de cliente e de servidor tm outros requisitos.

Leituras adicionais

Tpico da Ajuda: Certificados e NPS

Tpico da Ajuda: EAP e NPS

Tpico da Ajuda: PEAP e NPS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 4

Monitoramento e soluo de problemas de um


Servidor de Diretivas de Rede

Para monitorar o NPS, voc pode configurar e usar o registro em log de eventos,
da autenticao de usurios e das solicitaes de contas. O registro em log de eventos
permite que voc registre eventos do NPS nos logs de eventos do sistema e de
segurana. Voc pode usar o log de solicitaes para fins de cobrana e anlise de
conexo. As informaes que os arquivos de log coletam so teis para solucionar
problemas de tentativas de conexo para investigao de segurana.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-22

7-23

Mtodos usados para monitorar o NPS

Existem dois tipos de contabilizao, ou log, que voc pode usar para monitorar o
NPS:

Log de eventos para NPS. Voc pode usar o registro em log de eventos para
registrar eventos do NPS nos logs de eventos do sistema e de segurana. Ele
usado principalmente para auditorias e soluo de problemas de tentativas de
conexo.

Registro em log de solicitaes de autenticao e contabilizao de usurios.


Voc pode registrar as solicitaes de autenticao e contabilizao em arquivos
de log em formato de texto ou de banco de dados, ou pode registrar em log um
procedimento armazenado em um banco de dados SQL Server 2000. Use o log
de solicitaes principalmente para fins de cobrana e anlise de conexes,
e como ferramenta de investigao de segurana, j que ele permite que voc
identifique atividades de invasores.

Leituras adicionais

Tpico da Ajuda: Prticas recomendadas do NPS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Configurao das propriedades do arquivo de log

Voc pode configurar o NPS para executar a contabilizao RADIUS para solicitaes
de autenticao do usurio, mensagens Access-Accept, mensagens Access-Reject,
solicitaes e respostas de contabilizao e atualizaes de status peridicas.

Leituras adicionais

Tpico da Ajuda: Configurar as propriedades do arquivo de log

Tpico da Ajuda: Prticas recomendadas do NPS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-24

7-25

Configurao do log do SQL Server

Voc pode configurar o NPS para executar a contabilizao RADIUS para solicitaes
de autenticao do usurio, mensagens Access-Accept, mensagens Access-Reject,
solicitaes e respostas de contabilizao e atualizaes de status peridicas. Voc
pode adotar esse procedimento para configurar as propriedades de log e a conexo
com o servidor (que executa o SQL Server) que armazena os dados de contabilizao.
O banco de dados do SQL Server pode ficar no computador local ou em um servidor
remoto.

Leituras adicionais

Tpico da Ajuda: Configurar Log do SQL no NPS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Configurao de eventos do NPS para gravar no


Visualizador de Eventos

Voc pode configurar o registro em log de eventos do NPS para registrar eventos
de sucesso e falha de solicitaes de conexo no log do sistema Visualizador de
Eventos.

Leituras adicionais

Tpico da Ajuda: Eventos do NPS e o Visualizador de Eventos

Tpico da Ajuda: Configurao de log de eventos do NPS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-26

7-27

Laboratrio: Configurao e gerenciamento do


Servidor de Diretivas de Rede

Objetivos
Depois de concluir este laboratrio, voc ser capaz de:

Instalar o servio de funo Servidor de Diretivas de Rede e definir suas


configuraes

Configurar um cliente RADIUS

Configurar o registro automtico de certificados

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Cenrio
O Woodgrove Bank est expandindo sua soluo de acesso remoto para todos os
funcionrios de suas agncias. Isso exigir vrios servidores de Roteamento e Acesso
Remoto localizado em diferentes pontos para fornecer conectividade aos funcionrios.
Voc usar o RADIUS para centralizar a autenticao e a contabilizao para a soluo
de acesso remoto.
O Especialista em Tecnologia de Servios de Infraestrutura do Windows recebeu a
tarefa de instalar e configurar o Servidor de Diretivas de Rede em uma infraestrutura
existente para ser usado para NAP, acesso com fio e sem fio, RADIUS e proxy
RADIUS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-28

7-29

Exerccio 1: Instalao e configurao do servio de funo


Servidor de Diretivas de Rede
Viso geral do exerccio
Neste exerccio, voc instalar e configurar a funo Servidor de Diretivas de Rede.
As principais tarefas so:
1.

Iniciar as mquinas virtuais e fazer logon.

2.

Abrir a ferramenta Gerenciador de Servidores em 10221A-NYC-DC1.

3.

Instalar Servios de Acesso e Diretiva de Rede.

4.

Registrar o NPS no Active Directory.

5.

Configurar 10221A-NYC-DC1 para ser um servidor RADIUS para conexes


dial-up ou VPN.

f Tarefa 1: Iniciar as mquinas virtuais e fazer logon


1.

No computador host, clique em Iniciar, aponte para Todos os Programas,


aponte para Microsoft Learning e clique em 10221A. O Lab Launcher ser
iniciado.

2.

No Lab Launcher, ao lado de 10221A-NYC-DC1, clique em Launch.

3.

No Lab Launcher, ao lado de 10221A-NYC-SVR1, clique em Launch.

4.

Faa logon em ambas as mquinas virtuais como Woodgrovebank\Administrador


com a senha Pa$$w0rd.

5.

Minimize a janela do Lab Launcher.

f Tarefa 2: Instalar a funo Servios de Acesso e Diretiva de Rede


1.

Em NYC-DC1, no painel de lista do Gerenciador de Servidores, clique com o


boto direito do mouse em Funes e clique em Adicionar Funes.

2.

Instale o servio da funo Servidor de Diretivas de Rede da funo Servios


de Acesso e Diretiva de Rede.

3.

Na pgina Resultados da Instalao, verifique se Instalao bem-sucedida


exibida no painel de detalhes e clique em Fechar.
A funo Servidor de Diretivas de Rede est instalada em 10221A-NYC-DC1.

4.

No faa logoff nas mquinas virtuais nem as desligue neste momento.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 3: Registro do NPS no Active Directory


1.

Abra o Servidor de Diretivas de Rede no menu Ferramentas Administrativas.

2.

Usando a ferramenta NPS, registre o NPS no Active Directory.


O servidor de Diretivas de Rede registrado no Active Directory.

f Tarefa 4: Configurao de 10221A-NYC-DC1 para ser um servidor


RADIUS para conexes dial-up ou VPN
1.

No painel de lista da ferramenta de gerenciamento do Servidor de Diretivas


de Rede, clique em NPS (Local).

2.

No painel de detalhes, em Configurao Padro, clique em Servidor RADIUS


para Conexes Dial-Up ou VPN.

3.

Em Servidor RADIUS para Conexes Dial-Up ou VPN, clique em Configurar


VPN ou Dial-Up, especifique Conexes VPN (Rede Virtual Privada) e aceite
o nome padro.

4.

Na caixa de dilogo Clientes RADIUS, adicione NYC-SVR1 como um cliente


RADIUS com um endereo 10.10.0.24.

5.

Na caixa de dilogo Novo Cliente RADIUS, especifique e confirme o segredo


compartilhado Pa$$w0rd e clique em OK.

6.

Na caixa de dilogo Especificar Servidor Dial-Up ou VPN, aceite a configurao


padro.

7.

Na caixa Configurar Mtodos de Autenticao, selecione Protocolo EAP e


MS-CHAPv2.

8.

Na pgina Especificar Grupos de Usurios, aceite as configuraes padro.

9.

Na pgina Especificar Filtros IP, aceite as configuraes padro.

10. Na pgina Especificar Configuraes de Criptografia, desmarque Criptografia


bsica e Criptografia forte.
11. Na pgina Especificar um Nome de Territrio, aceite as configuraes padro
e encerre o assistente.
12. Feche a ferramenta administrativa Servidor de Diretivas de Rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-30

7-31

Exerccio 2: Configurao de um cliente RADIUS


Viso geral do exerccio
Neste exerccio, voc configurar 10221A-NYC-SVR1 para hospedar os Servios de
Roteamento e Acesso Remoto e configurar 10221A-NYC-SVR1 como um cliente
RADIUS.
As principais tarefas so:
1.

Abrir a ferramenta Gerenciador de Servidores em 10221A-NYC-SVR1.

2.

Instalar a funo dos Servios de Roteamento e Acesso Remoto.

3.

Configurar o 10221A-NYC-SVR1 como um servidor VPN com um pool


de endereos estticos para clientes de Acesso Remoto, e especificar a
autenticao e a contabilizao RADIUS.

f Tarefa 1: Abertura da ferramenta Gerenciador de Servidores em


10221A-NYC-SVR1

Em 10221A-NYC-SVR1, abra Gerenciador de Servidores, no menu


Ferramentas Administrativas.

f Tarefa 2: Instalao da funo Servios de Roteamento e Acesso


Remoto em 10221A-NYC-SVR1
1.

Usando o Gerenciador de Servidores, instale a funo Servios de Acesso e


Diretiva de Rede com o servio de funo de Roteamento e Acesso Remoto.

2.

Na pgina Resultados da Instalao, verifique se Instalao bem-sucedida


exibida no painel de detalhes e clique em Fechar.
A funo Servios de Roteamento e Acesso Remoto instalada em 10221ANYC-SVR1.

3.

No faa logoff nas mquinas virtuais nem as desligue neste momento.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 3: Configurao do 10221A-NYC-SVR1 como um servidor VPN


com um pool de endereos estticos para clientes de Acesso Remoto,
e especificao da autenticao e a contabilizao RADIUS
1.

Na ferramenta administrativa Servios de Roteamento e Acesso Remoto,


clique em Configurar e Habilitar o Roteamento e o Acesso Remoto.

2.

Configure o Acesso Remoto (dial-up ou VPN) padro e, na pgina Acesso


Remoto, selecione a opo VPN.

3.

Na pgina Conexo VPN, selecione a interface Conexo local 2.

4.

Na pgina Atribuio de Endereo IP, selecione De um intervalo de endereo


especificado.

5.

Use o intervalo de 192.168.1.100 com 75 endereos disponveis do pool esttico.

6.

Na pgina Gerenciando Mltiplos Servidores de Acesso Remoto, selecione


Sim, configurar este servidor para funcionar com um servidor RADIUS e
clique em Avanar.

7.

Defina as seguintes configuraes:

8.

Servidor RADIUS principal: NYC-DC1

Segredo compartilhado para servidor RADIUS: Pa$$w0rd

Aceite as configuraes padro para o restante do processo de configurao

Feche a ferramenta administrativa Servios de Roteamento e Acesso Remoto.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-32

7-33

Exerccio 3: Configurao da inscrio automtica do


certificado
Viso geral do exerccio
Neste exerccio, voc configurar o registro automtico do certificado para que os
computadores usem autenticao avanada.
As principais tarefas so:
1.

Instalar e configurar os Servios de Certificados em NYC-DC1.

2.

Abrir a ferramenta Gerenciamento de Diretiva de Grupo em 10221A-NYC-DC1


e configurar o registro automtico de certificados.

3.

Fechar todas as mquinas virtuais e excluir as alteraes.

f Tarefa 1: Instalao e configurao dos Servios de Certificados em


NYC-DC1
1.

Em NYC-DC1, inicie o Gerenciador de Servidores no menu Ferramentas


Administrativas.

2.

Instale a funo Servios de Certificados do Active Directory usando os


padres, exceto o seguinte:

Nome de Autoridade de Certificao = WoodGroveBank-CA

3.

Na pgina Resultados da Instalao, clique em Fechar.

4.

No menu Ferramentas Administrativas, abra a ferramenta de gerenciamento


Certification authority.

5.

Clique com o boto direito do mouse em Modelos de Certificado e selecione


Gerenciar no menu de contexto.

6.

Modifique a segurana no modelo Computador para oferecer aos Usurios


Autenticados a permisso de Registrar.

7.

Feche os consoles de gerenciamento Modelos de Certificado e certsrv.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 2: Abertura da ferramenta Gerenciamento de Diretiva de Grupo


em 10221A-NYC-DC1 e configurao do registro automtico de
certificados
1.

Em 10221A-NYC-DC1, abra Gerenciamento de Diretiva de Grupo no menu


Ferramentas Administrativas.

2.

Na ferramenta Gerenciamento de Diretiva de Grupo, expanda Floresta:


WoodgroveBank.com, expanda Domnios e expanda WoodgroveBank.com.

3.

Clique com o boto direito do mouse em Default Domain Policy e clique em


Editar.

4.

Expanda Configurao do computador, expanda Diretivas, expanda


Configuraes do Windows, expanda Configuraes de Segurana e
expanda Diretivas de Chave Pblica.

5.

Clique com o boto direito do mouse Configuraes de Solicitao de


Certificado Automtica, clique em Novo e em Solicitao de Certificado
Automtica.

6.

Aceite as configuraes padro em todo o assistente.

7.

Feche o Editor de Gerenciamento de Diretiva de Grupo.

8.

Feche a ferramenta Gerenciamento de Diretiva de Grupo.


Agora o registro de certificado automtico est configurado para os computadores
do domnio WoodgroveBank.

9.

Inicie 10221A-NYC-CL1 e faa logon como Administrador com a senha


Pa$$w0rd.

10. Crie um novo console MMC com o snap-in Certificados. Direcione o snap-in
para a Conta de Computador.
11. No console do MMC, verifique se a conta de computador registrou o certificado
de WoodGroveBank-CA.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-34

7-35

f Tarefa 3: Fechar todas as mquinas virtuais e descartar discos de


desfazer
1.

Para cada mquina virtual em execuo, feche a janela Virtual Machine Remote
Control (VMRC).

2.

Na caixa de dilogo Close, selecione Turn off machine and discard changes
e clique em OK.

3.

Feche o Lab Launcher do 10221A.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Reviso do mdulo e informaes


complementares

Perguntas de reviso
1.

Por que necessrio registrar o servidor NPS no Active Directory?

2.

Como possvel usar os recursos de log do NPS mais eficazmente?

3.

Quais so as portas padro de autenticao e contabilizao para o RADIUS?


Qual o procedimento para configurar as informaes da porta NPS UDP por
meio da interface do Windows?

4.

O que mais deve ser considerado se voc optar por usar uma atribuio de
porta no padro para o trfego RADIUS?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-36

7-37

Prticas recomendadas
Execute as seguintes tarefas antes de instalar o NPS:

Instale e teste cada um dos servidores de acesso rede por meio de mtodos
de autenticao local antes de torn-los clientes RADIUS.

Depois de instalar e configurar o NPS, salve a configurao usando o comando


netsh nps show config > path\file.txt. Salve a configurao do NPS com o
comando netsh nps show config > path\file.txt a cada alterao.

No instale o Windows Server 2008, o Windows Server 2003 Standard Edition,


o Windows Server 2003 Enterprise Edition e nem o Windows Server 2003
Datacenter Edition na mesma partio que o Windows 2000 Server.

No configure um servidor que execute NPS ou Roteamento e Acesso Remoto


como membro de um domnio do Windows NT Server 4.0 se o banco de dados
das suas contas de usurio estiver armazenado em um controlador de domnio
do Windows Server 2008 ou Windows Server 2003 em outro domnio.

Problemas de segurana
Recomendamos dois mtodos para a administrao remota de servidores NPS:

Use os Servios de Terminal para acessar o servidor NPS (rea de trabalho remota).

Use o protocolo IPsec para criptografar dados confidenciais.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Ferramentas
Veja a seguir as ferramentas que voc pode usar para configurar, gerenciar,
monitorar e solucionar problemas do NPS.
Ferramenta

Use para

Onde encontr-la

Servidor de
Diretivas de Rede

Gerenciamento e criao de
diretivas de rede

Servidor de Diretivas
de Rede no menu
Ferramentas
Administrativas

Ferramenta de linha
de comando Netsh

Criao de scripts administrativos


para configurar e gerenciar a
funo Servidor de Diretivas de
Rede

Em uma janela de comando,


digite netsh nps para
administrar a partir de um
ambiente de comando

Visualizador de
Eventos

Exibio de informaes
registradas em log de
eventos de aplicativos,
do sistema e da segurana

Visualizador de Eventos
no menu Ferramentas
Administrativas

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

7-38

8-1

Mdulo 8
Configurao da Proteo de Acesso Rede
Contedo:
Lio 1: Viso geral da Proteo de Acesso Rede

8-3

Lio 2: Funcionamento da NAP

8-19

Lio 3: Configurao da NAP

8-29

Lio 4: Monitoramento e soluo de problemas da NAP

8-36

Laboratrio: Configurao da NAP para DHCP e VPN

8-40

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Viso geral do mdulo

A Proteo de Acesso Rede (NAP) garante a conformidade com as diretivas


de integridade especficas dos sistemas que acessam a rede. A NAP auxilia os
administradores na execuo e manuteno de uma diretiva de integridade
especfica. Este mdulo fornece informaes sobre como a NAP funciona e
sobre como configur-la, monitor-la e solucionar problemas relacionadas a ela.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-2

8-3

Lio 1

Viso geral da Proteo de Acesso Rede

NAP uma plataforma de imposio de diretivas de integridade do sistema, includa


no Windows Server 2008, Windows Vista e Windows XP Service Pack 3 (que
inclui o Cliente NAP para Windows XP). Essa plataforma permite proteger melhor os
ativos de rede privada, impondo a conformidade com
os requisitos de diretiva do sistema. A NAP permite criar diretivas de requisito de
integridade personalizadas para validar a integridade do computador antes de permitir
o acesso ou a comunicao, assim como atualizar automaticamente os computadores
compatveis a fim de garantir a compatibilidade contnua e limitar o acesso de
computadores incompatveis a uma rede restrita at que eles se tornem compatveis.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que Proteo de Acesso Rede?

A NAP para Windows Server 2008, Windows Vista e Windows XP Service Pack 3
fornece componentes e uma API (interface de programao de aplicativos) que
auxiliam os administradores na imposio da conformidade com as diretivas
de requisito de integridade para o acesso ou comunicao. A NAP permite que
desenvolvedores e administradores criem solues de validao dos computadores
que se conectam s suas redes, forneam as atualizaes necessrias ou o acesso
aos recursos de atualizao da integridade necessrios e limitem o acesso ou a
comunicao de computadores incompatveis.
A NAP apresenta trs aspectos importantes e distintos:

Validao do estado de integridade

Conformidade com a diretiva de integridade

Acesso limitado

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-4

8-5

Pergunta: Como voc usaria a imposio de NAP em seu ambiente, levando em


considerao usurios domsticos, computadores mveis (laptops) e parceiros de
negcios externos?

Leituras adicionais

Introduo Proteo de Acesso Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Cenrios de NAP

A NAP fornece uma soluo para os seguintes cenrios comuns:

Verificao do estado de integridade de laptops mveis

Verificao do estado de integridade de computadores desktop

Verificao do estado de integridade de laptops visitantes

Verificao do estado de integridade de computadores particulares no


gerenciados

Dependendo das necessidades, os administradores podem configurar uma soluo


para atender a alguns ou a todos esses cenrios de redes.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-6

8-7

Pergunta: Voc j teve algum problema com laptops no seguros e no gerenciados


que causaram danos rede? Voc acha que a NAP solucionaria esse problema?

Leituras adicionais

Proteo de Acesso Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Mtodos de imposio de NAP

Os componentes da infraestrutura de NAP, conhecidos como ECs (clientes de


imposio) e ESs (servidores de imposio), exigem a validao do estado de
integridade e impem acesso limitado rede aos computadores incompatveis
para acesso ou comunicao com a rede especfica. Windows Vista, Windows XP
Service Pack 3 e Windows Server 2008 incluem suporte NAP para os seguintes
tipos de acesso ou comunicao com a rede:

Trfego protegido por IPsec

Conexes de rede autenticadas pelo IEEE (Institute of Electrical and Electronics


Engineers) 802.1X

Conexes VPN de acesso remoto

Configuraes de endereo DHCP

O Windows Vista e o Windows Server 2008 tambm incluem suporte NAP para
conexes de Gateway de Servios de Terminal (Gateway TS).

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-8

8-9

Pergunta: Que tipo de imposio de NAP mais adequado para a sua empresa?
Voc pode considerar o uso de vrios tipos de imposio de NAP em sua organizao?
Em caso afirmativo, quais?

Leituras adicionais

Servios de Terminal

Proteo de Acesso Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Arquitetura da plataforma NAP

Os componentes de uma infraestrutura de rede habilitada para NAP consistem em:

Clientes NAP

Pontos de imposio de NAP, que incluem:

HRA

Servidor VPN

Servidor DHCP

Dispositivos de acesso rede

Servidores de diretivas de integridade de NAP

Servidores de requisitos de integridade

AD DS

Rede restrita, que inclui:

Servidores de atualizaes

Clientes NAP com acesso limitado

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-10

8-11

Pergunta: Atualmente, o seu ambiente usa a autenticao 802.1x no nvel de


comutador? Em caso afirmativo, a NAP 802.1x seria vantajosa, considerando que
voc pode configurar VLANs de remediao para oferecer acesso limitado?

Leituras adicionais

Arquitetura da plataforma NAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Interaes da arquitetura NAP

As seguintes interaes so para os computadores e dispositivos de uma infraestrutura


de rede habilitada para NAP:

Entre um cliente NAP e uma HRA

Entre um cliente NAP e um dispositivo de acesso rede 802.1X (um comutador


Ethernet ou um ponto de acesso sem fio)

Entre um cliente NAP e um servidor VPN

Entre um cliente NAP e um servidor DHCP

Entre um cliente NAP e um servidor de atualizaes

Entre uma HRA e um servidor de diretivas de integridade de NAP

Entre um dispositivo de acesso rede 802.1X e um servidor de diretivas de


integridade de NAP

Entre um servidor VPN e um servidor de diretivas de integridade de NAP

Entre um servidor DHCP e um servidor de diretivas de integridade de NAP

Entre um servidor de diretivas de integridade de NAP e um servidor de


requisitos de integridade

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-12

Leituras adicionais

Arquitetura da plataforma NAP

8-13

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Infraestrutura do cliente NAP

A arquitetura do cliente NAP consiste em:

Uma camada de componentes EC de NAP

Uma camada de componentes SHA (agente de integridade do sistema)

Agente NAP

API (interface de programao de aplicativo) do SHA

API do EC de NAP

Os ECs de NAP para a plataforma NAP fornecidos no Windows Vista, Windows


Server 2008 e Windows XP com SP2 (com o Cliente NAP para Windows XP) so:

Um EC de NAP para IPsec, para comunicaes protegidas por IPsec

Um EC de NAP para EAPHost, para conexes autenticadas por 802.1X

Um EC de NAP para VPN, para conexes VPN de acesso remoto

Um EC de NAP para DHCP, para a configurao de endereo IPv4 baseado


em DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-14

8-15

Pergunta: Como a sua organizao habilitaria o EC apropriado em computadores


que no so de domnio e que esto fora do escopo de gerenciamento?

Leituras adicionais

Arquitetura da plataforma NAP

Proteo de Acesso Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Infraestrutura do servidor NAP

Um ponto de imposio de NAP baseado em Windows tem uma camada de


componentes do Servidor de Imposio (ES) de NAP. Cada ES de NAP definido
para um tipo diferente de comunicao ou acesso rede. Por exemplo, h um ES
de NAP para conexes VPN de acesso remoto e um ES de NAP para a configurao
DHCP. Normalmente o ES de NAP corresponde a um tipo especfico de cliente
compatvel com NAP. Por exemplo, o servidor de imposio de NAP para DHCP est
projetado para funcionar com um cliente NAP baseado em DHCP. Os fornecedores
de software de terceiros ou a Microsoft podem fornecer ESs de NAP adicionais para a
plataforma NAP.

Leituras adicionais

Arquitetura da plataforma NAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-16

8-17

Comunicao entre componentes da plataforma NAP

O componente Agente NAP pode comunicar-se com o componente Servidor de


Administrao de NAP por meio do seguinte processo:
1.

O Agente NAP transmite a SSoH para o EC de NAP.

2.

O EC de NAP transmite a SSoH para o ES de NAP.

3.

O ES de NAP transmite a SSoH para o servio NPS.

4.

O servio NPS transmite a SSoH para o Servidor de Administrao de NAP.

O Servidor de Administrao de NAP pode comunicar-se com o Agente NAP por


meio do seguinte processo:
1.

O Servidor de Administrao de NAP transmite as SoHRs para o servio NPS.

2.

O servio NPS passa a resposta de declarao de integridade do sistema (SSoHR)


para o ES de NAP.

3.

O ES de NAP transmite a SSoHR para o EC de NAP.

4.

O EC de NAP transmite a SSoHR para o Agente NAP.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Um agente de integridade do sistema pode comunicar-se com o validador da


integridade do sistema correspondente por meio do seguinte processo:
1.

O SHA transmite a SoH para o Agente NAP.

2.

O Agente NAP transmite a SoH contida na SSoH para o EC de NAP.

3.

O EC de NAP transmite a SoH para o ES de NAP.

4.

O ES de NAP transmite a SoH para o Servidor de Administrao de NAP.

5.

O Servidor de Administrao de NAP transmite a SoH para o SHV.

Um validador da integridade do sistema pode comunicar-se com o agente de


integridade do sistema correspondente por meio do seguinte processo:
1.

O SHV transmite a SoHR para o Servidor de Administrao de NAP.

2.

O Servidor de Administrao de NAP transmite a SoHR para o servio NPS.

3.

O servio NPS transmite a SoHR contida na SSoHR para o ES de NAP.

4.

O ES de NAP transmite a SoHR para o EC de NAP.

5.

O EC de NAP transmite a SoHR para o Agente NAP.

6.

O Agente NAP transmite a SoHR para o SHA.

Leituras adicionais

Arquitetura da plataforma NAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-18

8-19

Lio 2

Funcionamento da NAP

O projeto da NAP permite que os administradores a configurem de acordo com suas


necessidades de rede. Portanto, a configurao real da NAP variar de acordo com as
preferncias e requisitos do administrador. No entanto, a operao subjacente da
NAP permanece a mesma.
Quando um cliente tenta acessar ou comunicar-se com a rede, ele precisa apresentar
sua conformidade com a declarao de integridade (SoH) ou a comprovao de
integridade. Se o cliente no puder comprovar que est em conformidade com os
requisitos de integridade do sistema (por exemplo, ter o sistema operacional mais
recente e as atualizaes de antivrus instalados), o acesso ou a comunicao com a
rede poder ser limitado a uma rede restrita de recursos de servidor, at os problemas
de conformidade de integridade serem corrigidos. Depois que as atualizaes forem
instaladas, o cliente solicitar acesso rede ou tentar a comunicao novamente. Se
houver compatibilidade, o cliente ter acesso ilimitado rede ou a comunicao ser
permitida.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Processo de imposio da NAP

NAP uma plataforma de imposio de diretivas includa nos sistemas operacionais


Windows Vista, Microsoft Windows XP e Windows Server 2008 que permite uma
melhor proteo dos ativos da rede por meio da imposio da conformidade com
requisitos de integridade do sistema. A Proteo de Acesso Rede permite criar
diretivas de integridade personalizadas para validar a integridade do computador
antes de permitir o acesso ou a comunicao, para atualizar automaticamente os
computadores compatveis a fim de garantir a conformidade contnua e, opcionalmente,
para limitar os computadores no compatveis a uma rede restrita at que eles se tornem
compatveis.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-20

8-21

Para validar o acesso a uma rede com base na integridade do sistema,


uma infraestrutura de rede precisa oferecer a seguinte funcionalidade:

Validao da diretiva de integridade. Determina se os computadores esto


compatveis com os requisitos de diretiva de integridade.

Limitao do acesso rede. Limita o acesso a computadores no compatveis.

Remediao automtica. Fornece as atualizaes necessrias para que um


computador incompatvel torne-se compatvel.

Conformidade contnua. Atualiza automaticamente os computadores compatveis


para que eles acompanhem as alteraes contnuas dos requisitos de diretiva de
integridade.

Leituras adicionais

Imposio de segurana e de diretiva

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Funcionamento da imposio IPsec

A imposio IPsec limita a comunicao para clientes NAP protegidos por IPsec,
ignorando as tentativas de comunicao enviadas por computadores que no podem
negociar a proteo IPsec usando certificados de integridade. Ao contrrio da
imposio 802.1X e VPN, em que a imposio ocorre no ponto de entrada da rede,
cada computador executa a imposio IPsec. Devido possibilidade de se aproveitar
as configuraes de diretiva IPsec, a imposio de certificados de integridade pode
ser efetuada para todos os computadores de um domnio, computadores especficos
de uma sub-rede, um computador especfico, um conjunto especfico de portas TCP
ou UDP, ou um conjunto de portas TCP ou UDP em um computador especfico.
A imposio IPsec define as seguintes redes lgicas:

Rede segura

Rede de limite

Rede restrita

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-22

8-23

De acordo com a definio das trs redes lgicas, possvel iniciar as seguintes
comunicaes:

Os computadores na rede segura podem iniciar comunicaes com


computadores em todas as trs redes lgicas.

Os computadores na rede de limite podem iniciar comunicaes com


computadores nas redes seguras ou de limite que os certificados de
integridade e IPsec autenticam, ou com computadores na rede restrita
que o protocolo IPsec no autentica.

Os computadores na rede restrita podem iniciar comunicaes com


computadores nas redes restritas e de limite.

Pergunta: Para quais computadores da rede segura voc permitiria a comunicao


no protegida dos computadores da rede restrita para ter xito?

Leituras adicionais

Proteo de Acesso Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Funcionamento da imposio 802.1x

A imposio IEEE 802.1X instrui um ponto de acesso compatvel com 802.1X a usar
um perfil de acesso limitado, um conjunto de filtros de pacote IP ou uma identificao
VLAN, para limitar o trfego do computador no compatvel, de forma que ele possa
acessar somente os recursos da rede restrita. Para a filtragem de pacote IP, o ponto de
acesso compatvel com 802.1X aplica os filtros de pacote IP ao trfego IP trocado com
o cliente 802.1X e descarta silenciosamente todos os pacotes que no correspondem
a um filtro de pacote configurado. Para as identificaes VLAN, o ponto de acesso
compatvel com 802.1X aplica a identificao VLAN a todos os pacotes trocados com
o cliente 802.1X, e o trfego no deixa a VLAN correspondente rede restrita.
Se o cliente NAP no for compatvel, a conexo 802.1X ter o perfil de acesso
limitado aplicado e o cliente NAP poder acessar somente os recursos da rede
restrita.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-24

Pergunta: Qual deve ser o suporte oferecido pelos dispositivos de rede para
implementar a NAP 802.1x?

Leituras adicionais

Arquitetura da plataforma NAP

Proteo de Acesso Rede

8-25

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Funcionamento da imposio VPN

A imposio VPN usa um conjunto de filtros de pacote IP de acesso remoto para


limitar o trfego de cliente VPN, de forma que ele s possa acessar os recursos da
rede restrita. O servidor VPN aplica os filtros de pacote IP ao trfego IP que ele
recebe do cliente VPN e descarta silenciosamente todos os pacotes que no
correspondem a um filtro de pacote configurado.
Se o cliente VPN no for compatvel, a conexo VPN ter os filtros de pacote
aplicados e o cliente VPN s poder ter acesso aos recursos na rede restrita.
Pergunta: Como o mtodo de imposio de NAP para VPN responde aos
computadores no compatveis que tentam estabelecer conexo?

Leituras adicionais

Arquitetura da plataforma NAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-26

8-27

Funcionamento da imposio DHCP

A configurao de endereo DHCP limita o acesso rede do cliente DHCP por


meio de sua tabela de roteamento IPv4. A imposio DHCP define o valor da opo
de Roteador DHCP como 0.0.0.0, de forma que o computador no compatvel no
ter um gateway padro configurado. Alm disso, essa imposio define a mscara
de sub-rede do endereo IPv4 alocado como 255.255.255.255, de forma que no
haja nenhuma rota para a sub-rede conectada.
Para permitir que o computador no compatvel acesse os servidores de atualizaes
da rede restrita, o servidor DHCP atribui a opo de DHCP Rotas Estticas sem
Classes. Essa opo contm rotas de host para os computadores da rede restrita,
por exemplo, os servidores DNS e de atualizaes. O resultado final do acesso
limitado rede por DHCP uma tabela de configurao e roteamento que permite
a conectividade somente para endereos de destino especficos correspondentes
rede restrita. Portanto, quando um aplicativo tenta enviar para um endereo IPv4 de
difuso unicast que no seja nenhum dos fornecidos pela opo de Rotas Estticas
sem Classe, o protocolo TCP/IP retorna um erro de roteamento.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Pergunta: O tipo de imposio de NAP para DHCP funciona em redes IPv6?

Leituras adicionais

Arquitetura da plataforma NAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-28

8-29

Lio 3

Configurao da NAP

Esta lio fornece informaes sobre como configurar o cliente para interoperar
com a infraestrutura do servidor de um ambiente com imposio de NAP.
Um cliente compatvel com NAP um computador que tem os componentes
de NAP instalados e pode verificar seu estado de integridade enviando uma
declarao de integridade para o NPS.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que so validadores da integridade do sistema?

Os SHAs e os SHVs, que so componentes da infraestrutura da NAP, fornecem o


rastreamento e a validao do estado de integridade. O Windows Vista e o Windows
XP Service Pack 3 incluem um agente de integridade do sistema do Validador da
Integridade da Segurana do Windows, que monitora as configuraes da Central de
Segurana do Windows. O Windows Server 2008 inclui um validador da integridade
do sistema do Validador da Integridade da Segurana do Windows. A NAP foi
projetada para ser flexvel e extensvel e interopera com softwares de qualquer
fornecedor que ofeream agentes de integridade do sistema e validadores da
integridade do sistema que usam a API da NAP.
Pergunta: A NAP funciona somente com Validadores de Integridade do Sistema
fornecidos pela Microsoft?

Leituras adicionais

Arquitetura da plataforma NAP

Introduo Proteo de Acesso Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-30

8-31

O que diretiva de integridade?

As diretivas de integridade consistem em um ou mais SHVs e em outras configuraes


que permitem definir os requisitos de configurao de computador cliente para
computadores compatveis com NAP que tentam conectar-se rede.
Pergunta: Voc pode usar somente um SHV na diretiva de integridade?

Leituras adicionais

Tpico da Ajuda: Diretivas de integridade

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

O que so grupos de servidores de atualizaes?

Um grupo de servidores de atualizaes uma lista de servidores da rede restrita


que oferece conformidade para clientes NAP incompatveis com a diretiva de
integridade de cliente definida pelo administrador.
Pergunta: Que servios um servidor de atualizaes pode oferecer para atualizar as
assinaturas de antivrus?

Leituras adicionais

Tpico da Ajuda: Grupos de servidores de atualizaes

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-32

8-33

Configurao de cliente NAP

Lembre-se destas diretrizes bsicas ao configurar clientes NAP:

Algumas implantaes de NAP que usam o Validador da Integridade da


Segurana do Windows exigem a habilitao da Central de Segurana.

O servio de Proteo de Acesso Rede necessrio quando voc implanta a


NAP em computadores cliente compatveis com NAP.

Alm disso, necessrio configurar os clientes de imposio de NAP nos


computadores compatveis com NAP.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Pergunta: Que grupos do Windows tm os direitos de habilitar a Central de


Segurana na Diretiva de Grupo, de habilitar o servio NAP nos clientes e de
habilitar/desabilitar clientes de imposio de NAP?

Leituras adicionais

Tpico da Ajuda: Habilitar a Central de Segurana na diretiva de grupo

Tpico da Ajuda: Habilitao do servio Proteo de Acesso Rede em clientes

Tpico da Ajuda: Configurao de clientes de imposio de NAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-34

8-35

Demonstrao: Uso do assistente de configurao de NAP


para aplicar diretivas de acesso rede

Leituras adicionais

Tpico da Ajuda: Criar diretivas NAP com um assistente

Tpico da Ajuda: lista de verificao: Configurao da imposio de NAP para


DHCP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Lio 4

Monitoramento e soluo de problemas da NAP

A soluo de problemas e monitoramento da estrutura da NAP so uma tarefa


administrativa importante, em virtude dos diferentes nveis de tecnologia e de
especializao tcnica e pr-requisitos variados para cada mtodo de imposio de
NAP. Os logs de rastreamento esto disponveis para NAP, mas esto desabilitados,
por padro. Esses logs servem para duas finalidades: soluo de problemas e
avaliao da integridade e da segurana de uma rede.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-36

8-37

O que rastreamento de NAP?

Voc pode usar o snap-in Configurao de cliente NAP para configurar o rastreamento
de NAP. O rastreamento registra eventos de NAP em um arquivo de log e til na
soluo de problemas e manuteno. Os logs de rastreamento podem tambm ser
usados para avaliar a integridade e a segurana da rede. Voc pode configurar trs
nveis de rastreamento: Bsico, Avanado e Depurao.

necessrio habilitar o rastreamento de NAP quando:

Voc est solucionando problemas de NAP.

Voc deseja avaliar a integridade e a segurana gerais dos computadores da


organizao.

Leituras adicionais

Tpico da Ajuda e Suporte: Rastreamento de NAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Configurao do rastreamento de NAP

H duas ferramentas disponveis para a configurao do rastreamento de NAP.


O console de Configurao de cliente NAP faz parte da interface de usurio do
Windows, e netsh uma ferramenta de linha de comando.
Para exibir os arquivos de log, v at o diretrio %raizdosistema%\tracing\nap e
abra o log de rastreamento especfico a ser exibido.
Pergunta: Qual o comando netsh para habilitar nveis de log de depurao de NAP?

Leituras adicionais

Tpico da Ajuda: Habilitar e desabilitar o rastreamento de NAP

Tpico da Ajuda: Especificar o nvel de detalhes no log de rastreamento NAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-38

8-39

Demonstrao: Configurao do rastreamento

Pergunta: De qual grupo voc precisa ser membro para habilitar o rastreamento
de NAP?

Leituras adicionais

Tpico da Ajuda: Habilitar e desabilitar o rastreamento de NAP

Tpico da Ajuda: Especificar o nvel de detalhes no log de rastreamento NAP

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Laboratrio: Configurao da NAP para DHCP e


VPN

Objetivos

Configurar a NAP para clientes DHCP

Configurar a NAP para clientes VPN

Cenrio
Como especialista em tecnologia do Woodgrove Bank, voc precisa estabelecer um
meio de tornar compatveis os computadores cliente, de forma automtica. Para
isso, voc usar o Servidor de Diretiva de Rede, criando diretivas de conformidade
do cliente e configurando um servidor NAP para verificar a integridade atual dos
computadores.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-40

8-41

Exerccio 1: Configurao da NAP para clientes DHCP


Neste exerccio, voc configurar e testar a NAP para clientes DHCP.
As principais tarefas so:
1.

Iniciar as mquinas virtuais 10221A-NYC-DC1, 10221A-NYC-SVR1 e


10221A-NYC-CL1.

2.

Abrir a ferramenta Gerenciador de Servidores em 10221A-NYC-SVR1.

3.

Instalar as funes de servidor DHCP e NPS.

4.

Configurar NYC-SVR1 como um servidor de diretivas de integridade de NAP.

5.

Configurar o servio DHCP para imposio de NAP.

6.

Configurar NYC-CL1 como um cliente NAP e DHCP.

7.

Testar a imposio de NAP.

8.

Desligar as mquinas virtuais e no salvar as alteraes.

f Tarefa 1: Iniciar as mquinas virtuais 10221A-NYC-DC1, 10221A-NYCSVR1 e 10221A-NYC-CL1


1.

No computador host, clique em Iniciar, aponte para Todos os Programas,


aponte para Microsoft Learning e clique em 10221A. O Lab Launcher ser
iniciado.

2.

No Lab Launcher, ao lado de 10221A-NYC-DC1, clique em Launch.

3.

No Lab Launcher, ao lado de 10221A-NYC-SVR1, clique em Launch.

4.

No Lab Launcher, ao lado de 10221A-NYC-CL1, clique em Launch.

5.

Faa logon em cada mquina virtual como Woodgrovebank\Administrador


com a senha Pa$$w0rd.

6.

Minimize a janela do Lab Launcher.

f Tarefa 2: Abrir a ferramenta Gerenciador de Servidores em 10221ANYC-SVR1

Em 10221A-NYC-SVR1, abra Gerenciador de Servidores, no menu


Ferramentas Administrativas.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 3: Instalao das funes de servidor DHCP e NPS


1.

Em NYC-SVR1, abra o Gerenciador de servidores.

2.

Clique com o boto direito do mouse em Funes e clique em Adicionar


Funes.

3.

Na pgina Selecionar Funes do Servidor, marque as caixas de seleo


Servidor DHCP e Servios de Acesso e Diretiva de Rede.

4.

Na pgina Selecionar Servios de Funo, selecione Servidor de Diretivas


de Rede.

5.

Na pgina Selecionar Ligaes de Conexo de Rede, verifique se 10.10.0.24


est selecionado. Remova a marca de seleo ao lado de 192.168.1.10.

6.

Na pgina Especificar Configuraes de Servidor DNS, verifique se


woodgrovebank.com aparece na lista em Domnio pai.

7.

Digite 10.10.0.10 em Endereo IP do servidor DNS preferencial e clique em


Validar. Verifique se os resultados retornados so Vlidos.

8.

Na pgina Especificar Configuraes de Servidor WINS, aceite a configurao


padro.

9.

Na pgina Adicionar ou Editar Escopos DHCP, clique em Adicionar.

10. Na caixa de dilogo Adicionar Escopo, digite Escopo de NAP ao lado de


Nome do Escopo. Ao lado de Endereo IP Inicial, digite 10.10.0.50; ao lado
de Endereo IP Final, digite 10.10.0.199; e ao lado de Mscara de Sub-rede,
digite 255.255.0.0.
11. Marque a caixa de seleo Ativar este escopo e clique em OK.
12. Na pgina Configurar o Modo Sem Monitoramento de Estado do DHCPv6,
selecione Desabilitar o modo sem monitoramento de estado de DHCPv6
para este servidor.
13. Na pgina Autorizar Servidor DHCP, selecione Usar credenciais atuais.
Verifique se Woodgrovebank\administrador aparece ao lado de Nome de
usurio e clique em Prximo.
14. Na pgina Confirmar Selees de Instalao, clique em Instalar.
15. Verifique se a instalao foi bem-sucedida e clique em Fechar.
16. Feche a janela Gerenciador de Servidores.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-42

8-43

f Tarefa 4: Configurao de NYC-SVR1 como um servidor de diretiva de


integridade de NAP
1.

Abra a ferramenta administrativa Servidor de Diretivas de Rede no menu Iniciar,


em Ferramentas Administrativas.

2.

Configure os validadores de integridade do sistema:

3.

4.

a.

Expanda Proteo de Acesso Rede e clique em Validadores da


Integridade do Sistema.

b.

Configure o Validador de Integridade do Sistema. Na guia Windows Vista,


desmarque todas as caixas de seleo, exceto Firewall habilitado para
todas as conexes de rede.

Configure os grupos de servidores de atualizaes:


a.

Na rvore de console, em Proteo de Acesso Rede, clique com o boto


direito do mouse em Grupos de Servidores de Atualizaes e clique em
Novo.

b.

Crie um novo grupo de atualizaes com um nome Rem1 e adicione o


endereo IP 10.10.0.10.

Configure as diretivas de integridade:


a.

Expanda Diretivas.

b.

Clique com o boto direito do mouse em Diretivas de Integridade e


depois clique em Novo.

c.

Crie uma nova diretiva de integridade chamada Compatvel, que especifica


Cliente aprovado em todas as verificaes de SHV e usa o Validador de
Integridade de Segurana do Windows.

d. Clique com o boto direito do mouse em Diretivas de Integridade e


depois clique em Novo.
e.

5.

Crie uma nova diretiva de integridade chamada No compatvel, que


especifica Cliente reprovado em uma ou mais verificaes de SHV
e usa o Validador de Integridade de Segurana do Windows.

Configure uma diretiva de rede para computadores compatveis:


a.

Na rvore de console, em Diretivas, clique em Diretivas de Rede.

b.

Desabilite as duas diretivas padro em Nome da Diretiva.

c.

Crie uma nova Diretiva de Rede chamada Acesso total compatvel.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

d. Na janela Especificar Condies, clique em Adicionar.

6.

e.

Na caixa de dilogo Selecionar condio, clique duas vezes em Diretivas


de Integridade, selecione Compatvel e clique em OK.

f.

Na janela Especificar Permisso de Acesso, verifique se a opo Acesso


concedido est selecionada.

g.

Na janela Configurar Mtodos de Autenticao, marque a caixa de


seleo Executar somente verificao de integridade da mquina.
Desmarque todas as outras caixas de seleo.

h.

Na janela Definir Configuraes, clique em Imposio de NAP.


Verifique se a opo Permitir acesso total rede est selecionada.

i.

Na janela Concluindo Nova Diretiva de Rede, clique em Concluir para


concluir a configurao da diretiva de rede para computadores cliente
compatveis.

Configure uma diretiva de rede para computadores incompatveis:


a.

Clique com o boto direito do mouse em Diretivas de Rede e clique em


Novo.

b.

Crie uma nova Diretiva de Rede chamada Restrita no compatvel.

c.

Na janela Especificar Condies, clique em Adicionar.

d. Na caixa de dilogo Selecionar condio, clique duas vezes em Diretivas


de Integridade, selecione No compatvel e clique em OK.
e.

Na janela Especificar Permisso de Acesso, verifique se a opo Acesso


concedido est selecionada e clique em Avanar.

Importante: a configurao Acesso concedido no significa que os clientes


incompatveis tenham acesso total rede. Ela especifica que os clientes que
atendem a essas condies tero um nvel de acesso determinado pela diretiva.

f.

Na janela Configurar Mtodos de Autenticao, marque a caixa de


seleo Executar somente verificao de integridade da mquina.
Desmarque todas as outras caixas de seleo.

g.

Na janela Configurar Restries, clique em Avanar.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-44

8-45

h.

Na janela Definir Configuraes, clique em Imposio de NAP. Selecione


Permitir acesso limitado e verifique se a opo Habilitar correo automtica
de computadores cliente.

i.

Clique em Avanar e depois em Concluir. Isso conclui a configurao das


diretivas de rede NAP. Feche o console do Servidor de Diretivas de Rede.

f Tarefa 5: Configurao do servio DHCP para imposio de NAP


1.

Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administrativas


e clique em DHCP.

2.

No console de Gerenciamento DHCP, expanda NYC-SVR1.woodgrovebank.com


e expanda em IPv4.

3.

Abra Propriedades para o Escopo. Na guia Proteo de Acesso Rede,


verifique se a opo Usar perfil padro de Proteo de Acesso Rede est
selecionada e clique em OK.

4.

No console de Gerenciamento DHCP, configure Opes de Escopo.

5.

Na guia Avanado, verifique se a opo Classe de Usurio Padro est


selecionada ao lado de Classe de usurio.

6.

Em Opes Disponveis, marque a caixa de seleo Roteador 003, digite


10.10.0.1 em Endereo IP, marque a caixa de seleo Nome do Domnio
DNS 015, digite Woodgrovebank.com em Valor da cadeia de caracteres e
clique em OK. O domnio Woodgrovebank.com uma rede de acesso total,
atribuda a clientes NAP compatveis.

7.

No console de Gerenciamento DHCP, configure Opes de Escopo.

8.

Na guia Avanado, ao lado de Classe de usurio, escolha Default Network


Access Protection Class.

9.

Marque a caixa de seleo Servidores DNS 006, digite 10.10.0.10 em


Endereo IP, marque a caixa de seleo Nome do Domnio DNS 015, digite
restricted.Woodgrovebank.com em Valor da cadeia de caracteres e clique
em OK. O domnio restricted.woodgrovebank.com uma rede de acesso
restrito atribuda a clientes NAP incompatveis.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

f Tarefa 6: Configurao de NYC-CL1 como cliente NAP e DHCP


1.

Em NYC-CL1, habilite a Central de Segurana:


a.

Clique em Iniciar, aponte para Todos os Programas, clique em Acessrios


e clique em Executar.

b.

Digite gpedit.msc e pressione ENTER.

c.

Na rvore de console, abra Diretiva do Computador Local/Configurao


do Computador/Modelos Administrativos/Componentes do Windows/
Central de Segurana.

d. Clique duas vezes em Ativar a Central de Segurana (PCs em domnios


somente), clique em Ativado e em OK.
e.
2.

Feche a janela do console. Quando for solicitado o salvamento das


configuraes, clique em No.

Habilite o cliente de imposio DHCP:


a.

Clique em Iniciar, Todos os Programas, Acessrios e em Executar.

b.

Digite napclcfg.msc e pressione ENTER.

c.

Na rvore de console, clique em Clientes de Imposio.

d. Habilite o Cliente de Imposio de Quarentena DHCP.


e.
3.

Feche o console de Configurao de cliente NAP.

Habilite e inicie o servio Agente NAP:


a.

Clique em Iniciar, aponte para Todos os Programas, clique em Acessrios


e clique em Executar.

b.

Digite services.msc e pressione ENTER.

c.

Na lista de servios, defina o tipo de inicializao do Agente de Proteo


de Acesso Rede como Automtico e inicie o servio.

d. Espere o servio Agente NAP ser iniciado e clique em OK.


e.

Feche o console Servios.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-46

4.

8-47

Configure a NYC-CL1 para atribuio de endereo DHCP:


a.

Clique em Iniciar e, em seguida, clique em Painel de Controle.

b.

Clique em Rede e Internet, clique em Central de Rede e Compartilhamento


e clique em Gerenciar conexes de rede.

c.

Configure as propriedades da Conexo local com o seguinte:

Desmarque a caixa de seleo Protocolo TCP/IP verso 6 (TCP/IPv6).

Defina as propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4)


para Obter um endereo IP automaticamente e Obter o endereo
dos servidores DNS automaticamente.

d. Clique em OK e clique em Fechar para fechar a caixa de dilogo


Propriedades de Conexo Local.
5.

Feche as janelas Conexes de rede e Central de Redes e Compartilhamento.

6.

Reinicie o NYC-CL1. Depois que o computador reiniciar, faa logon como


Administrador com a senha Pa$$w0rd.

f Tarefa 7: Teste da imposio de NAP


1.

2.

Verifique o endereo atribudo por DHCP e o Estado de Quarentena atual:


a.

Em NYC-CL1, abra um prompt de comando administrativo usando o


comando Executar como Administrador.

b.

No prompt de comando, digite ipconfig /all.

c.

Verifique se o sufixo DNS especfico da conexo Woodgrovebank.com e


se o Estado de Quarentena Irrestrito.

Configure a diretiva do Validador da Integridade do Sistema para exigir


software antivrus:
a.

Em NYC-SVR1, no console do Servidor de Diretivas de Rede, abra


NPS (Local), abra Proteo de Acesso Rede e abra Validadores da
Integridade do Sistema.

b.

Configure os Validadores da Integridade do Sistema do Windows para que


a Proteo contra Vrus seja definida como Aplicativo antivrus ativo.

c.

Clique em OK e em OK novamente para fechar a janela Propriedades de


Validador de Integridade de Segurana do Windows.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

3.

Verifique a rede restrita em NYC-CL1:


a.

Em NYC-CL1, abra um prompt de comando administrativo usando o


comando Executar como Administrador.

b.

No prompt de comando, digite ipconfig /release.

c.

No prompt de comando, digite ipconfig /renew.

d. Verifique se o sufixo DNS especfico conexo agora


restricted.woodgrovebank.com.
e.

Feche a janela de comando e clique duas vezes no cone de Proteo de


Acesso Rede na bandeja do sistema. Observe que ela informa que o
computador no compatvel com os requisitos da rede.

f.

Clique em Fechar.

f Tarefa 8: Desligamento das mquinas virtuais e no salvamento das


alteraes
1.

Para cada mquina virtual em execuo, feche a janela Virtual Machine Remote
Control (VMRC).

2.

Na caixa de dilogo Close, selecione Turn off machine and discard changes
e clique em OK.

3.

Para o Exerccio 2, inicie 10221A-NYC-DC1 e 10221A-NYC-CL1.

4.

Faa logon em cada uma como WoodgroveBank\administrador com a senha


Pa$$w0rd.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-48

8-49

Exerccio 2: Configurao da NAP para clientes VPN


Neste exerccio, voc configurar a NAP para clientes VPN. Este exerccio usa o
Agente de Integridade da Segurana do Windows e o Validador da Integridade da
Segurana do Windows para exigir que os computadores cliente tenham o Firewall
do Windows habilitado e um aplicativo antivrus instalado.
Voc criar duas diretivas de rede neste exerccio. Uma diretiva compatvel concede
acesso total rede para um segmento de rede Intranet. Uma diretiva incompatvel
demonstra restrio de rede, aplicando filtros IP interface de encapsulamento VPN
que s permitem acesso do cliente a um nico servidor de atualizaes.
As principais tarefas so:
1.

Configurar NYC-DC1 como uma autoridade de certificao raiz corporativa.

2.

Configurar NYC-SVR1 com o NPS funcionando como um servidor de diretiva


de integridade.

3.

Configurar NYC-SVR1 com o Servio de Roteamento e Acesso Remoto


configurado como um servidor VPN.

4.

Permita ping no NYC-SVR1.

5.

Configurar NYC-CL1 como um cliente VPN e um cliente NAP.

6.

Fechar todas as mquinas virtuais e descartar discos de desfazer.

f Tarefa 1: Configurao de NYC-DC1 como uma autoridade de


certificao raiz corporativa
1.

Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e


clique em Gerenciador de Servidores.

2.

Em Resumo de Funes, clique em Adicionar Funes.

3.

Na pgina Antes de comear, clique em Prximo.

4.

Marque a caixa de seleo Servios de Certificados do Active Directory e


configure o assistente usando o seguinte:
a.

Na pgina Especificar Tipo de Instalao, selecione Enterprise.

b.

Na pgina Configurar Nome da CA, especifique um nome de CA Raiz.

c.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

5.

Na pgina Resultados da Instalao, verifique se a instalao foi bemsucedida e clique em Fechar.

6.

Feche a janela Gerenciador de Servidores.

7.

No menu Ferramentas Administrativas, abra a ferramenta de gerenciamento


Certification authority.

8.

Clique com o boto direito do mouse em Modelos de Certificado e selecione


Gerenciar no menu de contexto.

9.

Modifique a segurana no modelo Computador para oferecer aos Usurios


Autenticados a permisso de Registrar.

10. Feche os consoles de gerenciamento Modelos de Certificado e certsrv.

f Tarefa 2: Configurao de NYC-SVR1 com o NPS funcionando como


um servidor de diretiva de integridade
1.

Inicie 10221A-NYC-SVR1 e faa logon como Woodgrovebank\administrador


usando a senha Pa$$w0rd.

2.

Obtenha um certificado do computador em NYC-SVR1 para a autenticao


PEAP do servidor:
a.

Crie um console MMC personalizado que inclua o snap-in Certificados


para a Conta de Computador.

b.

Na rvore de console, clique duas vezes em Certificados, clique com


o boto direito do mouse em Pessoal, aponte para Todas as Tarefas e
clique em Solicitar Novo Certificado.

c.

A caixa de dilogo Registro de Certificado ser aberta. Clique em Avanar.

d. Marque a caixa de seleo Computador e clique em Registrar.


e.

Verifique o status da instalao do certificado como xito e clique em


Concluir.

f.

Feche a janela Console1.

g.

Clique em No, quando solicitado, para salvar as configuraes do console.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-50

3.

8-51

Instalar a funo Servidor NPS:


a.

Em NYC-SVR1, clique em Iniciar, em Ferramentas Administrativas e em


Gerenciador de Servidores.

b.

Use Adicionar Funes para instalar Servios de Acesso e Diretiva de Rede.

c.

Verifique se a instalao foi bem-sucedida e clique em Fechar.

d. Feche a janela Gerenciador de Servidores.


4.

Configure o NPS como um servidor de diretiva de integridade de NAP:


a.

Clique em Iniciar, clique em Executar, digite nps.msc e pressione ENTER.

b.

Expanda Proteo de Acesso Rede e clique em Validadores da


Integridade do Sistema.

c.

No painel do meio, em Nome, clique duas vezes em Validador da


Integridade da Segurana do Windows.

d. Configure as propriedades do Validador da Integridade da Segurana


do Windows de modo que todas as caixas de seleo, exceto Firewall
habilitado para todas as conexes de rede, sejam desmarcadas.
e.

5.

Clique em OK para fechar a caixa de dilogo Validador da Integridade


da Segurana do Windows e em OK para fechar a janela Propriedades
de Validador de Integridade de Segurana do Windows.

Configure as diretivas de integridade:


a.

Expanda Diretivas.

b.

Crie uma nova diretiva de integridade chamada Compatvel.

c.

Em Verificaes de SHV de cliente, verifique se a caixa de seleo Cliente


aprovado em todas as verificaes de SHV est marcada.

d. Em SHVs usados nesta diretiva de integridade, marque a caixa de seleo


Validador da Integridade da Segurana do Windows.
e.

Clique em OK.

f.

Crie uma nova diretiva de integridade chamada No compatvel.

g.

Em Verificaes de SHV de cliente, selecione Cliente reprovado em uma


ou mais verificaes de SHV.

h.

Em SHVs usados nesta diretiva de integridade, marque a caixa de seleo


Validador da Integridade da Segurana do Windows.

i.

Clique em OK.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

6.

Configure diretivas de rede para computadores compatveis:


a.

Expanda Diretivas.

b.

Clique em Diretivas de Rede.

c.

Desabilite as duas diretivas padro em Nome da Diretiva.

d. Crie uma nova diretiva de rede chamada Acesso total compatvel.

7.

e.

Na janela Especificar Condies, clique em Adicionar.

f.

Na caixa de dilogo Selecionar condio, clique duas vezes em Diretivas


de Integridade.

g.

Na caixa de dilogo Diretivas de Integridade, na lista Diretivas de


integridade, selecione Compatvel.

h.

Na janela Especificar Permisso de Acesso, verifique se a opo Acesso


concedido est selecionada.

i.

Na janela Definir Configuraes, clique em Imposio de NAP. Verifique


se a opo Permitir acesso total rede est selecionada.

j.

Na janela Concluindo Nova Diretiva de Rede, clique em Concluir.

Configure diretivas de rede para computadores incompatveis:


a.

Crie uma nova diretiva de integridade chamada Incompatvel-Restrita.

b.

Na janela Especificar Condies, clique em Adicionar.

c.

Na caixa de dilogo Selecionar condio, clique duas vezes em Diretivas


de Integridade.

d. Na caixa de dilogo Diretivas de Integridade, em Diretivas de integridade,


selecione No compatvel e clique em OK.
e.

Na janela Especificar Condies, verifique se Diretiva de Integridade


est especificada em Condies com um valor de No compatvel e clique
em Avanar.

f.

Na janela Especificar Permisso de Acesso, verifique se a opo Acesso


concedido est selecionada.

Importante: a configurao Acesso concedido no significa que os clientes


incompatveis tenham acesso total rede. Ela especifica que a diretiva deve
continuar a avaliar clientes que correspondam a essas condies.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-52

8-53

g.

Na janela Definir Configuraes, clique em Imposio de NAP. Selecione


Permitir acesso limitado e Habilitar correo automtica de computadores
cliente.

h.

Na janela Definir Configuraes, clique em Filtros de IP.

i.

Em IPv4, crie um novo filtro de entrada ou Rede de destino com os


seguintes valores:

Endereo IP: 10.10.0.10

Mscara de sub-rede: 255.255.255.255

Esta etapa assegura que o trfego de clientes incompatveis acesse somente


a DC1.
j.

Clique em OK para fechar a caixa de dilogo Adicionar Filtro IP e selecione


Permitir apenas os pacotes listados abaixo na caixa de dilogo Filtros de
Entrada.

k.

Em IPv4, crie um novo filtro de sada com os seguintes valores de rede de


origem:

l.

Endereo IP: 10.10.0.10

Mscara de sub-rede: 255.255.255.255

Clique em OK para fechar a caixa de dilogo Adicionar Filtro IP e selecione


Permitir apenas os pacotes listados abaixo na caixa de dilogo Filtros de
Sada. Isso assegura que somente o trfego de DC1 seja enviado a clientes
incompatveis.

m. Na janela Concluindo Nova Diretiva de Rede, clique em Concluir.


8.

Configure as diretivas de solicitao de conexo:


a.

Clique em Diretivas de Solicitao de Conexo.

b.

Desabilite a diretiva de solicitao de conexo em Nome da Diretiva.

c.

Crie uma nova diretiva de solicitao de conexo chamada VPN connections.

d. Em Tipo de servidor de acesso rede, selecione Servidor de Acesso


Remoto (VPN-Dial up).
e.

Na janela Especificar Condies, clique em Adicionar.

f.

Na janela Selecionar Condio, clique duas vezes em Tipo de Tnel,


selecione PPTP e L2TP e clique em OK.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

g.

Na janela Especificar Encaminhamento de Solicitaes de Conexo,


verifique se a opo Autenticar solicitaes neste servidor est
selecionada.

h.

Na janela Especificar Mtodos de Autenticao, selecione Substituir


configuraes de autenticao da diretiva de rede.

i.

Em Tipos EAP, clique em Adicionar. Na caixa de dilogo Adicionar EAP,


em Mtodos de autenticao, clique em Microsoft: EAP protegido (PEAP).

j.

Em Tipos EAP, clique em Adicionar. Na caixa de dilogo Adicionar EAP,


em Mtodos de autenticao, clique em Microsoft: Senha segura (EAPMSCHAP v2).

k.

Em Tipos EAP, clique em Microsoft: EAP protegido (PEAP) e depois em


Editar.

l.

Verifique se a caixa de seleo Ativar Verificaes de Quarentena est


selecionada e clique em OK.

m. Clique em Avanar duas vezes e depois clique em Concluir.

f Tarefa 3: Configurao de NYC-SVR1 com o Servio de Roteamento e


Acesso Remoto configurado como um servidor VPN
1.

Clique em Iniciar, clique em Executar, digite rrasmgmt.msc e pressione


ENTER.

2.

No console Gerenciamento de Roteamento e Acesso Remoto, configure e


habilite o Roteamento e Acesso Remoto com a funo Acesso remoto (dial-up
ou VPN).

3.

Marque a caixa de seleo VPN e clique em Avanar.

4.

Clique na interface de rede com um endereo IP 192.168.1.10. Desmarque a


caixa de seleo Habilitar a segurana na interface selecionada configurando
filtros de pacotes estticos. e clique em Avanar. Isso assegura que NYC-SVR1
possa executar ping em NYC-DC1 quando estiver conectada sub-rede da
Internet, sem necessidade de configurar filtros de pacote adicionais para o
trfego por ICMP.

5.

Na pgina Atribuio de Endereo IP, selecione De um intervalo de endereos


especificado e, na pgina Atribuio de Intervalo de Endereos, especifique
um intervalo de 10.10.0.100 a 10.10.0.110.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-54

8-55

6.

Na pgina Gerenciando Mltiplos Servidores de Acesso Remoto, selecione No,


usar o Roteamento e Acesso Remoto para autenticar pedidos de conexo.

7.

Clique em Avanar e depois em Concluir.

8.

Clique em OK e aguarde at que o servio Roteamento e Acesso Remoto inicie.

9.

Abra o console Servidor de Diretivas de Rede no menu Ferramentas


Administrativas, expanda Diretivas, selecione Diretivas de Solicitao de
Conexo e desabilite Diretiva do Servio de Roteamento e Acesso Remoto
da Microsoft clicando com o boto direito do mouse na diretiva e escolhendo
Desabilitar.

10. Feche o console de gerenciamento do Servidor de Diretivas de Rede.

f Tarefa 4: Permisso de ping no NYC-SVR1


1.

Clique em Iniciar, em Ferramentas Administrativas e em Firewall do


Windows com Segurana Avanada.

2.

Crie uma regra de sada personalizada para Todos os Programas com o tipo
de protocolo ICMPv4 e tipo de ICMP de Solicitao de Eco para as opes de
escopo padro.

3.

Na janela Ao, verifique se a opo Permitir a conexo est selecionada e


clique em Avanar.

4.

Clique em Avanar para aceitar o perfil padro.

5.

Na janela Nome, em Nome, digite ICMPv4 echo request e clique em Concluir.

f Tarefa 5: Configurao de NYC-CL1 como um cliente VPN e um cliente


NAP
1.

Configure NYC-CL1 para que a Central de Segurana esteja sempre habilitada:


a.

Abra o Editor de Objeto de Diretiva de Grupo usando o comando Executar


com gpedit.msc.

b.

Na rvore de console, abra Diretiva do Computador Local/Configurao


do Computador/Modelos Administrativos/Componentes do Windows/
Central de Segurana.

c.

Clique duas vezes em Ativar a Central de Segurana (PCs em domnios


somente), clique em Ativado e em OK.

d. Feche o console do Editor de Objeto de Diretiva de Grupo Local.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

2.

3.

Habilite o cliente de imposio de quarentena de acesso remoto:


a.

Inicie a ferramenta Configurao de cliente NAP usando o comando


Executar com napclcfg.msc.

b.

Habilite o Cliente de Imposio de Quarentena de Acesso Remoto.

c.

Feche a janela Configurao de cliente NAP.

Habilite e inicie o servio Agente NAP:


a.

Abra o console Servios usando services.msc no comando Executar.

b.

Na lista Servios, clique duas vezes em Agente de Proteo de Acesso Rede.

c.

Altere o tipo de inicializao para Automtico e clique em Iniciar.

d. Espere o servio Agente NAP ser iniciado e clique em OK.


e.
4.

Configure NYC-CL1 para o segmento de rede da Internet:


a.

5.

Feche o console Servios.

Configure Propriedades de Conexo Local com Protocolo TCP/IP Verso 4


(TCP/IPv4) definido da seguinte maneira:

Endereo IP: 192.168.1.20

Mscara de sub-rede: 255.255.255.0

Remova a configurao de Servidor DNS preferencial de 10.10.0.10

b.

Clique em OK e clique em Fechar para fechar a caixa de dilogo Propriedades


de Conexo Local.

c.

Feche a janela Conexes de Rede.

Verifique a conectividade de rede de NYC-CL1:


a.

Abra um prompt de comando e digite ping 192.168.1.10.

b.

Verifique se a resposta Resposta de 192.168. 1.10.

c.

Feche a janela de comando.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-56

6.

8-57

Configure uma conexo VPN:


a.

Usando a Central de Rede e Compartilhamento, crie um novo Conectar-se


a um local de trabalho com a opo Usar minha conexo com a Internet
(VPN).

b.

Clique em Configurarei minha conexo com a Internet mais tarde.

c.

Na pgina Digite o endereo da Internet com o qual se conectar, ao lado de


Endereo na Internet, digite 192.168. 1.10. Ao lado de Nome do destino,
digite Woodgrovebank. Marque a caixa de seleo Permitir que outras
pessoas usem esta conexo e clique em Avanar.

d. Na pgina Digite o seu nome de usurio e a senha, digite Administrador


ao lado de Nome de usurio e digite a senha da conta do administrador ao
lado de Senha. Marque a caixa de seleo Lembrar minha senha, digite
Woodgrovebank ao lado de Domnio (opcional) e clique em Criar.

7.

e.

Na janela Central de Rede e Compartilhamento, clique em Gerenciar


Conexes de Rede.

f.

Em Rede Virtual Privada, clique com o boto direito do mouse na


conexo Contoso, clique em Propriedades e na guia Segurana.

g.

Selecione Avanada (permisses personalizadas) e clique em Configuraes.

h.

Em Segurana de Logon, selecione Usar protocolo EAP (Extensible


Authentication Protocol) e escolha EAP protegido (PEAP) (criptografia
habilitada).

i.

Clique em Propriedades.

j.

Marque a caixa de seleo Validar certificado do servidor. Desmarque a


caixa de seleo Conectar-se a estes servidores e selecione Senha Segura
(EAP-MSCHAP v2) em Selecionar Mtodo de Autenticao. Desmarque
a caixa de seleo Ativar Reconexo Rpida e marque a caixa de seleo
Ativar verificaes de Quarentena.

k.

Clique em OK trs vezes para aceitar essas configuraes.

Teste a conexo VPN:


a.

Na janela Conexes de Rede, use o objeto de conexo Woodgrovebank


para iniciar a conexo VPN.

b.

Verifique se as credenciais da conta do administrador foram inseridas e se


a caixa de seleo Salvar este nome de usurio e senha para uso futuro
est marcada e clique em OK.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

c.

Uma janela Validar certificado do servidor exibida na primeira vez que


essa conexo VPN usada. Clique em Exibir certificado de servidor e
verifique os estados das Informaes sobre o Certificado emitido para
NYC-SVR1.Woodgrovebank.com pela CA Raiz. Clique em OK para
fechar a janela Certificado e clique em OK novamente.

d. Espere a conexo VPN ser estabelecida. Como a NYC-CL1 compatvel,


ela dever ter acesso ilimitado sub-rede da Intranet.
e.

Abra um prompt de comando e digite ipconfig /all para exibir a configurao.

f.

Exiba a configurao de IP. Estado de Quarentena do Sistema deve ser


Irrestrito.
Agora o cliente atende ao requisito da conectividade total VPN.

g.
8.

Desconecte-se de Woodgrovebank VPN.

Configure o Validador da Integridade da Segurana do Windows para exigir


um aplicativo antivrus:
a.

Em NYC-SVR1, abra o Servidor de Diretivas de Rede.

b.

Expanda Proteo de Acesso Rede e clique em Validadores da Integridade


do Sistema.

c.

Configure os Validadores da Integridade do Sistema do Windows para


requerer proteo antivrus marcando a caixa de seleo ao lado de
Aplicativo antivrus ativo.

d. Clique em OK e em OK novamente para fechar a janela Propriedades de


Validador de Integridade de Segurana do Windows.
9.

Verifique se o cliente foi colocado na rede restrita:


a.

Em NYC-CL1, na janela Conexes de Rede, clique com o boto direito do


mouse na conexo Woodgrovebank e clique em Conectar.

b.

Espere a conexo VPN ser estabelecida. Voc poder ver uma mensagem
na rea de notificao que indica que o computador no atende aos
requisitos de integridade. Essa mensagem exibida porque o software
antivrus no foi instalado.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-58

c.

8-59

Abra um prompt de comando e digite ipconfig /all para exibir a configurao


de IP. Estado de Quarentena do Sistema deve ser Restrito.
O cliente no atende aos requisitos da rede e, portanto, colocado na rede
restrita.
Tente executar ping 10.10.0.24. Voc no deve conseguir.
Tente executar ping 10.10.0.10. Este o nico servidor ao qual a diretiva
permite acesso.

d. Desconecte-se de Woodgrovebank VPN.

f Tarefa 6: Fechar todas as mquinas virtuais e descartar discos de


desfazer
1.

Para cada mquina virtual em execuo, feche a janela Virtual Machine Remote
Control (VMRC).

2.

Na caixa de dilogo Close, selecione Turn off machine and discard changes
e clique em OK.

3.

Feche o Lab Launcher do 10221A.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Reviso do mdulo e informaes


complementares

Perguntas de reviso
1.

Quais so as trs principais configuraes de cliente que voc precisa definir


para a maioria das implantaes de NAP?

2.

Voc deseja avaliar a integridade e a segurana gerais dos computadores com


imposio de NAP. O que voc precisa fazer para comear a registrar eventos
de NAP?

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-60

8-61

Prticas recomendadas
Leve em considerao as seguintes prticas recomendadas ao implementar a NAP:

Use mtodos de imposio fortes (IPsec, 802.1x e VPN). Os mtodos de


imposio fortes fornecem a implantao de NAP mais segura e eficiente.

No dependa da NAP para proteger uma rede contra usurios mal-intencionados.


A NAP foi projetada para auxiliar os administradores a manter a integridade dos
computadores da rede que, consequentemente, ajuda a manter a integridade
geral da rede. A NAP no impede um usurio autorizado com um computador
compatvel de carregar um programa mal-intencionado na rede ou de desabilitar
o agente NAP.

Use diretivas de NAP consistentes em toda a hierarquia do site para minimizar


a confuso. A configurao incorreta de uma diretiva de NAP poder permitir
que clientes acessem a rede quando deveriam estar restritos, ou que clientes
vlidos sejam erroneamente restringidos. Quanto mais complicado for o
design de diretiva de NAP, mais alto ser o risco de configurao incorreta.

No conte com a NAP como um mecanismo de imposio instantnea ou em


tempo real. Existem atrasos inerentes ao mecanismo de imposio de NAP.
Embora a NAP ajude a manter os computadores compatveis a longo prazo,
os atrasos de imposio tpicos podem durar vrias horas ou mais devido a
vrios fatores, inclusive as configuraes de vrios parmetros de configurao.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao da Proteo de Acesso Rede

Configurao e soluo de problemas de uma infraestrutura de rede do Microsoft Windows Server 2008

Ferramentas
Ferramenta

Use para

Onde encontr-la

Servios

Habilitar e configurar
o servio NAP em
computadores cliente.

Clique em Iniciar, em Painel de


controle, em Sistema e Manuteno,
em Ferramentas administrativas e,
em seguida, clique duas vezes em
Servios.

Netsh nap

Com o netsh, voc pode


criar scripts para configurar
automaticamente um
conjunto de configuraes
do Firewall do Windows
com Segurana Avanada,
criar regras e regras,
monitorar conexes e
visualizar a configurao e
o status do Firewall do
Windows com Segurana
Avanada.

Abra uma janela de comando com


direitos administrativos e digite
netsh nap. Voc pode digitar help
para obter uma lista completa de
comandos disponveis.

Diretiva de
Grupo

Algumas implantaes
de NAP que usam o
Validador da Integridade
da Segurana do Windows
exigem a habilitao da
Central de Segurana.

Habilite a configurao Ativar o


Centro de Segurana (PCs em
domnios somente) nas sees
Configurao do computador,
Modelos administrativos,
Componentes do Windows e
Central de Segurana da Diretiva
de Grupo.

Configurar
NAP com um
assistente

Usado para criar as


diretivas de integridade,
diretivas de solicitao
de conexo, e Proteo
de Acesso Rede (NAP)
com Servidor de Diretiva
de Rede.

Abra o console de NPS (Local). Em


Introduo e Configurao Padro,
selecione o servidor de diretivas
NAP (Servidor de Acesso Rede).
O texto e os links abaixo do texto so
alterados para refletir a sua seleo.
Clique em Configurar NAP com um
assistente.

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

8-62