51988-Apostila Windows Server 2012 01

Curso de Windows Server 2012 R2
-5-
Sistemas Operacionais E-Mail: ocastro@faculdadescearenses.edu.br
UMÁRIO
EMENTA DO CURSO
1. Implantando e Gerenciando o Windows Server 2012
 Visão geral Windows Server 2012 R2
 Visão geral do Windows Server 2012 Administração
 Instalando o Windows Server 2012
 Configuração pós-instalação do Windows Server 2012
2. Implementando IPv4
 Visão geral do TCP / IP
 Entendendo Endereçamento IPv4
 Configuração e Solução de problemas IPv4
3. Implementação do IPv6
 Endereçamento IPv6
 Coexistência com IPv4
 Tecnologias de Transição IPv6
4. Instalação e configuração de Servidor DHCP

 Instalando um servidor DHCP
 Configurando Escopo DHCP
5. Gerenciando objetos do Active Directory Domain Services

 Administrando Contas de Usuário
 Gerenciando contas de grupo
 Delegação de Administração
-6-
OBJETIVO
Este curso oferece aos alunos o conhecimento e a capacidade de implantar, gerenciar

e manter serviços de rede em um ambiente Microsoft Windows Server 2012 R2 é
ingressar profissionais na área de administração de redes, utilizando tecnologia de
administração de servidores Microsoft para disponibilizar os recursos necessários aos
usuários da rede, de forma segura e controlada. Também recomendado às
profissionais que devido ao potencial tecnológico e credibilidade, foram "eleitos" para
administrar a rede da empresa em uma situação emergencial e hoje sentem o peso da
falta de preparo que seu potencial merece, passando boa parte de seu tempo, no
desgastante clube "Bombeiros do Google". A boa notícia é que tanto para os iniciantes,
quanto para os heroicos "bombeiros", o curso mostra que baseado em informações
sólidas é possível praticar uma administração fácil e de alto nível em redes com
dezenas, centenas ou até milhares de usuários com o mínimo de esforço, onde o
profissional controla a rede, e nunca o contrário. Esse curso pode também ser o
primeiro passo de sua preparação para a certificação da Microsoft, que em caso de
aprovação, lhe darão credenciais de Especialista em Tecnologia (MCTS - Microsoft
Certified Technology Specialist). Esse tipo de certificação formaliza e dá visibilidade de
mercado ao profissional de alto nível, com uma referência respeitada no mundo
inteiro.
-7-
Versões Do Windows Server
História Das Versões Do Windows Server
O Windows NT foi lançado pela primeira vez pela Microsoft em 1993 com o objectivo
principal de fornecer mais segurança e comodidade aos utilizadores de empresas e lojas
(meio corporativo), pois as versões do Windows disponíveis até então não eram
suficientemente estáveis e confiáveis. Foi um sistema operativo de 32 bits, multitarefa e
multiutilizador. A sigla NT significa New Tecnology (nova tecnologia). Trazia a
funcionalidade de trabalhar como um servidor de arquivos. Os NTs têm uma grande
estabilidade e têm a vantagem de não ter o MS-DOS. A arquitectura desta versão é
fortemente baseada no microkernel. Assim, em teoria, pode-se remover, actualizar ou
substituir qualquer módulo sem a necessidade de alterar o resto do sistema. Foi criado
com base no sistema operacional OS/2 da IBM - que havia deixado de ser comercializado
e não representava mais um competidor no mercado. Ele não era muito popularizado até
ao aparecimento do Windows 2000 (NT 5.0). O Windows NT aceita três tipos de sistemas
de arquivos: FAT16 (Windows NT 3.xx e Windows NT 4.0); FAT32 (Windows 2000,
Windows XP e Windows 2003); NTFS (Windows NT 4.0, Windows 2000, Windows XP e
Windows 2003). O NTFS não é, necessariamente, um sistema de arquivos novo e que,
apesar disso, é utilizado com sucesso pela Microsoft até os dias de hoje. Então, nada mais
natural ele sofrer atualizações para se adaptar às necessidades das versões mais atuais
do Windows.
A versão mais conhecida do Windows NT, o Windows NT 4, fazia uso do NTFS 1.2.
Aparentemente, houve versões antes desta: a 1.0, que foi utilizada no Windows NT 3.1, e
a 1.1, aplicado ao Windows NT 3.5. O NTFS 1.2 passou a ser chamado de NTFS 4 em alusão
-8-
à existência do número em questão no nome "Windows NT 4", embora esta versão do
NTFS também tenha sido utilizada no Windows NT 3.51.
O Windows NT ficou um bom tempo no mercado, mas depois foi substituído pelo
Windows 2000, que trouxe também o NTFS 5, versão dotada de vários novos recursos,
entre eles: Reparse Points, onde arquivos e pastas dentro do sistema de arquivos podem
ter ações associadas a eles, de forma que operações particulares a estes arquivos possam
ser executadas; quotas de discos; encriptação (EFS); suporte a dados esparsos, onde é
possível armazenar de forma eficiente arquivos grandes mas que possuem estruturas
vazias.
Revisões do NTFS 5 foram lançadas para os sistemas operacionais Windows XP e Serve

2003. O NTFS 6 e suas variações surgiram para as versões Vista, 7 e Server 2008 do
Windows.
Novas versões podem surgir com o lançamento de outras edições do Windows.
Edições especiais:
NT 3.1 era muito semelhante ao Windows 3.1. Foi lançado em 1993. Podendo ser utilizado
no Intel x86;
NT 3.5 foi lançada em 1994 e era semelhante ao NT 3.1;
NT 3.51 foi lançada em 1995 e tinha uma interface semelhante ao Windows 3.1 e trouxe
algumas inovações nas áreas de gestão e distribuição de energia, podia executar um
grande número de aplicações Win 32 do Windows 95. Mas foi rapidamente ultrapassado
porque não oferecia bons serviços de Internet;
NT 4.0 lançado em 1996 tinha uma interface semelhante ao Windows 95 e era mais
estável mais menos fléxivel do que o Windows 95. Introduziu o Web Server, o Microsoft
FrontPage, softwares de criação e gestão de web sites, o Microsoft Transaction Server e
o Microsoft Message Queuing (o MSMQ melhora a comunicação). Foi implementado
Protocolo NWLINK / IPX/SPX para comunicação com a plataforma Novell, resolução de
nomes atravez de NETBios, e o conceito de Dominio.
-9-
Windows 2000 Server
O Windows 2000 Server partilha a mesma interface de utilizador do Windows 2000

Professional, contendo adicionalmente componentes para infraestruturas e aplicações
para servidor. A Microsoft integrou o protocolo Kerberos de autenticação, substituindo o
muito criticado NTLM (Windows NT LAN Manager), utilizado em versões anteriores. Ainda
introduziu um servidor DNS que permite um registro dinâmico de endereços IP. Esta
versão do Windows 2000 suporta até 4 GB de memória RAM e gerencia até 4
processadores simétricos.
Windows 2000 Advanced Server
Suporte adicional além do Windows 2000 Server:
Clustering - Faz vários computadores aparecerem como um para aplicativos e clientes.

Podem ser agrupados entre 2 e 32 servidores. O "Cluster Service" deve ser instalado para
implementar o cluster. Suas características são:
Network Load Balancing (NLB).
Aquisição automática caso o computador que está executando um aplicativo falhar.
O diferencial de hardware do Windows 2000 Advanced Server é o seu suporte a até 8 GB

de memória RAM e 8 processadores simétricos.
Nas versões do Windows 2000 Server, houve Integração de serviços como IIS e TS como
também resolução de nome através de Host, e o aperfeiçoamento de AD.
Windows Server 2003
Versão do Windows lançada em 24 de Abril de 2003, e é também conhecida como

Windows NT 5.2, e ele era nada mais do que o Windows XP reformulado.
Novidades na área administrativa, Active Directory, e automatização de operações.
Esta versão do Windows é voltada principalmente para servidores e empresas de grande

porte.
- 10 -
 Windows Server 2003 Web Edition
Funciona como host e servidor Web, fornecendo uma plataforma para agilizar o
desenvolvimento e a implantação de aplicativos e serviços da Web.
Windows Server 2003 Standard Edition
Atende às necessidades diárias de empresas de todos os portes, fornecendo uma solução

para o compartilhamento de arquivos e impressoras, conectividade segura com a
Internet, implantação centralizada de aplicativos da área de trabalho e colaboração entre
funcionários, parceiros e clientes.
Windows Server 2003 Enterprise Edition
Destina-se a empresas de médio a grande porte, ativando a infra-estrutura da empresa,

aplicativos de linha de negócios e transações de comércio eletrônico.
Windows Server 2003 Datacenter Edition
Permite o desenvolvimento de soluções comerciais críticas que exigem os bancos de

dados mais escalonáveis e o processamento de um grande volume de transações. Além
disso, é uma plataforma ideal para a consolidação de servidores.
Em todas as versões do Windows 2003 foi aprimorado todos os serviços a segurança /

Robustez como também a Disponibilidade.
- 11 -
Visão geral do Windows Server 2012 R2
Windows Server 2012 R2 Foundation:
Com o Windows Server 2012 R2 Foundation, você pode gerenciar centralmente as

configurações em seus computadores que são baseados no sistema operacional
Windows, sobre a qual você pode executar os aplicativos de negócios mais populares,
Windows Server 2012 Foundation vem pré-instalado com o hardware do servidor,
Requisitos: Suporta 15 usuarios, suporte 30 conexões SMB, até 32 GB de RAM, e 1 CPU,
suporta ADDS, não suportea Hyper-V.
Windows Server 2012 R2 Essentials:
Com foco para pequenas empresas com até 25 usuários, a versão Essentials substitui a
versão Windows Small Business Server Essentials. Habilitado para nuvem com uma
interface de usuário intuitiva, a versão Essentials também proporciona uma experiência
de gerenciamento integrada na execução de aplicações e serviços baseados na nuvem,
como e-mail, colaboração, backup online, entre outros, as configurações de hardware são
as seguintes: até 64 GB de RAM e 2 CPU’S.
Windows Server 2012 R2 Standard:
A versão standard é indicada para ambientes não virtualizados ou com baixa densidade
de VMs. Seguindo o licenciamento por processador visto na versão Datacenter, com 01
licença da edição Windows Server 2012 Standard, suporta 64 CPU’S, 4 TB de RAM,
Incuindo o lincensiamento das maquinas virtuais.
Windows Server 2012 R2 Datacenter
Desenvolvido para ambientes de nuvem privada altamente virtualizado, a versão

datacenter é licenciada conforme o número de processadores, 1 licença é necessária a
cada 2 processadores e executa um número ilimitado de VMs.
O Windows Server 2012 R2 suporta maquinas virtuais com até 4TB de memória e 320 LP
(processadores lógicos) ou, por exemplo, 32 processadores com 10 núcleos cada.
- 12 -
Visão Geral do Windows Server 2012 R2 e Administração
Comparações Vs Requisitos
Uma das grandes novidades no Windows Server 2012 R2 é a facilidade de instalação do

sistema operacional. Durante a instalação é solicitado o mínimo de informações e as
demais configurações são realizadas somente após a instalação do Windows Server 2012,
através de um assistente chamado Dashboard. Esse assistente é aberto automaticamente
após a conclusão da instalação do Windows Server 2012 R2.
Um novo conceito interessante no Windows Server 2012 R2 são as Roles (papéis). Através
do Server Manager Dashboard, gerenciamos todas as roles que o servidor terá, como por
exemplo, DNS Server, Terminal Services, Active Directory Domain Services, e assim por
diante.
Outra novidade no Windows Server 2012 é a instalação Server Core como opção primaria.
Nesse tipo de instalação, apenas os arquivos, serviços e DLLs necessários são instalados,
suportando apenas alguns papéis (roles) de infra-estrutura de rede.
Requisitos de instalação do Windows Server 2012 R2
Seguem abaixo os requisitos mínimos e recomendados para a instalação do Windows

Server 2012:
Memória RAM
 Mínimo: 512 MB (para ambos os tipos de instalação: Server Core e Full).
Processador
 Mínimo: 1,4 GHz 64 bits (para o tipo de instalação Full).
- 13 -
Disco rígido
 Mínimo: 32 GB (para ambos os tipos de instalação: Server Core e Full).
Unidades
 Unidade de DVD-ROM.
Vídeo
 Super VGA (800 × 600) ou superior.
Outros
 Teclado e Mouse Microsoft ou dispositivo apontador compatível, Mídia DVD, Serial

Valido.
Observação:
Computadores com mais de 16 GB de memória RAM precisarão de mais espaço em disco

para o arquivo de paginação, hibernação e arquivos de dump. Verificação dos tipos de
hardware como também os HCLs.
- 14 -
Instalação Do Windows Server 2012 R2
Recurso para instalação do Windows Server 2012 R2
O procedimento de instalação do Windows Server 2012 R2 está muito simples, a

instalação pode ser feita através de Mida CD-ROM, USB, Serviço de Instação Windows
(WDS).
Mida:
 Necessario unidade de CD-ROM conectada ao servidor.

 Unidade de CD-ROM USB, conectada ao servidor.
USB:
 Necessario que administrador realizado os passos de extração dos arquivos da ISO.

 Servidores precisam suportar boot via USB.
Imagem ISO:
 Usando o recurso de virtualização para redirecionar ao arquivo no format ISO.
Compartilhamento de rede:
 Instalação aparti de um compartilhamento de rede

 Não necessita de um CD-ROM, ou USB.
 Instalação aparti do WDS “Windows Deploy Services”
A instalação do Windows Server 2012 R2 mudou um pouco em relação a versões

anteriores do Windows Server. As opções disponíveis variam de uma simples instalação
baseada em DVD ao uso de arquivos de resposta criados com o Gerenciador de Imagens
do Sistema (SIM) e à automação de implantação usando o Kit de Instalação Automatizada
do Windows (WAIK).
- 15 -
Ainda continua que um único DVD de 64 bits inclui as edições Standard GUI, Standard
CORE e DataCenter GUI, DataCenter CORE. No entanto, a versão instalada depende da
chave de instalação que você usa durante o processo de instalação.
1 – Ligar a máquina para alterar a ordem de boot do equipamento, colocando como

primeiro dispositivo a ser identificado a unidade de DVD. Após efetuado esse salvar as
alterações de SETUP.
2 – Inserir a mídia de DVD contendo o instalador do sistema Operacional Microsoft

Windows Server 2012 R2 na unidade de DVD. Ao reiniciar a máquina o boot deverá
acontecer a partir do DVD, então deverá aparecer a tela abaixo visualizada.
3 – O usuário deverá escolher o Idioma, fuso horário e Teclado e clicar em Avançar para
prosseguir com a instalação.
- 16 -
4 – O usuário deverá clicar em Instalar Agora para iniciar a instalação. ]
5 – Nessa tela defina o tipo de instalação do Windows Server 2012 R2, em nosso caso
vamos escolher o Windows Server 2012 Standard (Instalação Completa).
- 17 -
6 – Nessa tela clicar em Aceito os termos de licença, para prosseguir com a instalação.
7 – Perceba na tela abaixo que a opção de Atualização porém vamos realizar uma
instalação limpa (do zero) Clique em Personalizado (avançado)
- 18 -
8 - Selecione a partição na qual o Windows Server 2012 será instalado e clique em
novo. Perceba que nessa tela podemos clicar em Opções de unidade (avançadas) e
exibir opções avançadas, como por exemplo, deletar uma partição, criar uma partição,
formatar uma partição e estender uma partição, veja as partições criadas, Clicar em
Avançar.
- 19 -
9 – Aguarde até que o processo de instalação seja concluído, será solicitado que a
máquina seja reiniciada.
11 – Nessa tela o usuário deverá realizar a alteração da senha para o primeiro acesso,
clicar em OK.
- 20 -
12 – Alterar a senha utilizando caracteres especiais, números e letras, vamos utilizar a
senha “Pa$$w0rd”.
13 – Tela informando a preparação da área de trabalho após o primeiro acesso

pressione CTRL+ALT+DEL
- 21 -
14 – Digite a senha que foi cadastrada no passo 11 e aguarde a preparação da área de
trabalho.
15 – Automaticamente seja aberta uma tela conforme abaixo apresentando as

informações de configuração do servidor chamada de Deashboard.
- 22 -
Configuração pós Instalação
1 – No Dashboard clique em na opção Servidor Local e em seguida nome do
computador.
2 – Clique em Alterar, ira aparecer a opção para alterar o nome do servidor.
- 23 -
3 – Apague o nome existente e adicione o nome do computador de SRV01 clique em
Ok.
4 – Irá aparecer uma mensagem para reiniciar o servidor, clique em Ok.
- 24 -
5 – Aguarde a reinicialização para verificar se o nome foi alterado corretamente.
6 – Veja de acordo com a Imagem que o Nome foi alterado com êxito.
- 25 -
Inserido um IP Fixo para o Servidor
1 – Abra o Deashboard, nas opções locais do servidor clique em Ethernet.
2 –Veja que será exibida as conexões de rede do Servido. Clique com o botão direito
em Conexão Local e depois em propriedades.
- 26 -
3 – Em Propriedades de Conexão Local Selecione Protocolo TCP/IP versão 4 clique
em propriedades.
4 – Em seguida adiciones as seguintes configurações IP, Máscara de Sub rede,

Gateway, DNS:
- 27 -
PÓS-INSTALAÇÃO DO WINDOWS SERVER 2012 R2
• Configure o endereço IP
• Defina o nome do computador
• Junte-se a um domínio
• Configure o fuso horário
• Ativar as atualizações automáticas
• Adicionar funções e recursos
• Habilitar área de trabalho remota
• Defina as configurações do Firewall do Windows
- 28 -
Implementando IPV4
Compreender a comunicação de rede IPv4 é fundamental para garantir que você pode
implementar, solucionar problemas e manter redes IPv4. Um dos principais

componentes do IPv4 está se dirigindo. Compreensão de endereçamento, máscaras de
sub-rede e gateways padrão, permite identificar a comunicação adequada entre hosts.
Para identificar erros de comunicação IPv4, você precisa entender como a
comunicação processo é projetado para trabalhar.
Entendendo Endereçamento IPv4

Para configurar a conectividade de rede, você deve ser familiarizado com os endereços
IPv4 e como eles funcionam. Comunicação em rede para um computador é direcionado
para o endereço IPv4 do computador. Portanto, cada computador na rede deve ser
atribuído um endereço IPv4 único. Cada endereço IPv4 é de 32 bits de comprimento.
Para fazer IP endereços mais legíveis, eles são exibidos em notação decimal. Notação
decimal divide um endereço IPv4 de 32 bits em quatro grupos de 8 bits, que são
convertidos para um número decimal entre zero e 255. Separa ponto decimal os
números decimais. Cada número decimal é chamado de octeto. Como exemplo, este
endereço IP contém de quatro octetos: 192.168.30.10.
- 29 -
Máscara de Sub-rede
Cada endereço IPv4 é composto por uma rede de identificação (ID) e uma identificação
de host. O ID de rede identifica a rede na qual o computador está localizado. O ID de
host identifica o computador em que específica rede. A máscara de sub-rede identifica
qual parte de um endereço IPv4 é a identificação da rede e que parte é o sediar ID. Nos
cenários mais simples, cada octeto em uma máscara de sub-rede ou é 255 ou 0. A 255
representa um octeto que é parte do ID de rede, enquanto um 0 representa um octeto
que é parte da identificação do host. Por exemplo, um computador com um endereço
IP de 192.168.30.10 e uma máscara de sub-rede 255.255.255.0 tem uma identificação
de rede de 192.168.30.0 e o ID do host seria 192.168.30.10. Você pode apresentar as
máscaras de sub-rede na notação de prefixo de rede, o que representa quantas binário
contínuo números com o valor de 1 estão contidos na máscara de sub-rede. Por
exemplo, a rede que 192.168.30.0 tem a máscara de sub-rede 255.255.255.0 pode ser
apresentado como 192.168.30.10/24. A / 24 representa os 24 bits que tem um valor
de 1 quando a máscara de sub-rede é representada em um formato binário
11111111.11111111.11111111.00000000. A tabela a seguir representa as máscaras de
sub-padrão e sua notação de prefixo de rede.
- 30 -
Default Gateway
Um gateway padrão é um dispositivo, geralmente um roteador, em uma rede TCP / IP

que encaminha pacotes IP para outras redes. As múltiplas redes internas de uma
organização podem ser referidas como uma intranet. Em uma intranet, qualquer rede
pode ter vários roteadores que ligam a outras redes, tanto local e remoto. Você deve
configurar um dos roteadores como o gateway padrão para hosts locais. Isto permite
que os hosts locais para se comunicar com hosts em redes remotas. Antes de um host
envia um pacote IPv4, ele usa sua própria máscara de sub-rede para determinar se o
host de destino é na mesma rede ou de uma rede remota. Se o host de destino está na
mesma rede, o envio de acolhimento transmite o pacote diretamente para o host de
destino. Se o host de destino está em uma diferente rede, o anfitrião transmite o
pacote para um roteador para a entrega. Quando um host transmite um pacote para
uma rede remota, IPv4 consulta a tabela de roteamento interno para determinar o
roteador apropriado para o pacote para chegar ao destino sub-rede. Se a tabela de
roteamento não conter todas as informações de roteamento sobre a sub-rede de
destino, IPv4 encaminha o pacote para o padrão gateway. O anfitrião assume que o
gateway padrão contém as informações de roteamento necessário. O gateway padrão
é usado na maioria dos casos. Os computadores clientes normalmente obter suas
informações de endereçamento IP a partir de um Dynamic Host Configuration Servidor
Protocol (DHCP). Este é mais simples do que atribuir um gateway padrão manualmente
em cada hospedeiro. A maioria dos servidores tem uma configuração de IP estático
que é atribuído manualmente.
- 31 -
Os endereços IPv4 públicos e privados
Dispositivos e máquinas que se conectam diretamente a Internet requerem um
endereço IPv4 público. Hosts e dispositivos que não se conectam diretamente a
Internet não necessitam de um endereço IPv4 público.
Os endereços IPv4 públicos
Endereços IPv4 público deve ser exclusivo. Internet Assigned Numbers Authority
(IANA) atribui Endereços público IPv4 para registros regionais da Internet, que, então,
atribuir endereços IPv4 para Internet service providers (ISPs). Normalmente, o seu
ISP alocado um ou mais endereços públicos de seu pool endereços. O número de
endereços que o seu ISP aloca para você depende de quantos dispositivos e hosts que
você se conectar à Internet.
Endereços IPv4 privados
Computadores e dispositivos que precisam se conectar à Internet devem ser

configurados com endereços IP públicos. No entanto, o número de endereços IPv4
públicos está se tornando limitada. Desde as organizações não podem obter endereço
IPv4 público para cada computador corporativo, eles usam endereçamento IP privado
em seu lugar. Como os endereços IP privados não são roteáveis na Internet, os
computadores configurados com IP privado endereço não pode acessar a Internet.
Tecnologias como a tradução de endereços de rede (NAT) permitir Os administradores
de usar um número relativamente pequeno de endereços IPv4 públicos e, ao mesmo
tempo, permitir hosts locais para se conectar aos hosts e serviços remotos na
Internet.IANA define as faixas de endereços na tabela a seguir como privado.
- 32 -
Roteadores baseados na Internet não fazer frente pacotes provenientes ou destinados
a, endereços nesses intervalos.
Classes de Endereços IPV4
A IANA organiza endereços IPv4 em classes. Cada classe de endereço tem um padrão
diferente de máscara de sub-rede que define o número de válidos de hosts da rede.
IANA nomeou o IPv4 classes de endereços de classe A até a classe E. Classes A, B, e C
são redes IP que você pode atribuir aos endereços IP em computadores host.
Computadores e programas usam endereços de classe D para multicasting. A IANA
reservas Classe E para uso experimental. Um processo de endereçamento que utiliza
um A, B ou classe C é chamado classful endereçamento. Uma rede que utiliza um A, B
ou classe C é chamado um classful.
- 33 -
Implementações complexas IPV4
Em redes complexas, máscaras de sub-rede pode não ser combinações simples de 255
e 0. Em vez disso, você pode subdividir um octeto com alguns bits que são para a
identificação de rede, e alguns que são para o host ID. Isso permite que você tenha o
número específico de sub-redes e hosts que você precisa. 192.168.30.0 com a máscara
de sub-rede 255.255.128.0 é um exemplo de uma máscara que pode ser usado para
dividir uma rede de classe C em 2 sub-redes. Em muitos casos, ao invés de usar uma
decimal pontilhada representação da máscara de sub-rede, o número de bits na ID de
rede for especificado em seu lugar. Isto é chamado Classes Interdomain Routing (CIDR).
Este é um exemplo de notação CIDR:
- 34 -
Configuração e Solução de problemas IPv4
Uma configuração IPv4 incorreta afeta a disponibilidade dos serviços que estão sendo
executados em um servidor. Para garantir a disponibilidade de serviços de rede, você
precisa entender como configurar e solucionar problemas de IPv4. Windows Server
2012 introduz a capacidade de configurar IPv4 usando o Windows PowerShell. As
ferramentas de resolução de problemas no Windows Server 2012 são semelhantes às
ferramentas de solução de problemas versões anteriores dos sistemas operacionais
clientes do Windows e sistemas operacionais Windows Server. Você pode usar
ferramentas, como o Microsoft Mensagem Analyzer, para realizar uma análise
detalhada de sua rede.
Configuração manual do IPV4

Você pode configurar os endereços IPv4 manualmente ou automaticamente. Para
configurar um endereço IPv4 manualmente, digite o endereço IPv4 usando o Windows
Server 2012 interface gráfica ou por usando o Windows PowerShell. Um endereço IPv4
é configurado automaticamente quando um servidor que executa Dinâmica Host
Configuration Protocol - DHCP concendendo um endereço IPv4 para os computadores
ou dispositivos de rede. Os endereços IP estáticos são geralmente configurados em
servidores, roteadores, switches ou outros dispositivos de rede que devem manter
persistente Configuração de IP que não muda ao longo do tempo.
- 35 -
Para configurar um endereço IP estático para um servidor em uma configuração IPv4,
você vai precisar para determinar as seguintes definições:
 Endereço IPV4
 Máscara de Sub rede
 Gateway Padrão
 Servidor DNS
- 36 -
Configurando um endereço IP estático usando o Windows
PowerShell
Windows Server 2012 inclui cmdlets do Windows PowerShell que você pode usar para
gerenciar sua rede, A tabela a seguir descreve alguns dos cmdlets do Windows
PowerShell que estão disponíveis para configurar IPv4.
Cmdlet Descrição
Utilize este comando para criar um novo endereço IP e
vinculá-lo a um adaptador de rede. Você não pode usar este
New-NetIPAddress comando para alterar um endereço IP.
Este comando altera a configuração de um endereço IP

Set-NetIPAddress
Você pode usar este comando para ativar ou desativar o

Set-NetIPInterface DHCP para uma interface de rede.
Este comando cria entradas da tabela de roteamento,
incluindo o gateway padrão (0.0.0.0). Você não pode usar este
New-NetRoute cmdlet para modificar o próximo salto de uma rota existente,
em vez disso, você deve remover uma rota existente e criar
uma nova rota com o próximo salto correto.
Você pode usar este comando para adicionar um servidor

Set-DNSClientServerAddress DNS a interface de rede.
O comando a seguir é um exemplo dos cmdlets do Windows PowerShell que você pode
usar para configurar a interface de conexão de rede local com os seguintes parâmetros:
 Endereço IPV4: 192.168.30.1

 Máscara de Sub rede: 255.255.255.0
 Gateway Padrão:192.168.30.254
 Servidor DNS: 192.168.168.1
- 37 -
New-NetIPAddress -IPAddress 192.168.30.1 -InterfaceAlias Ethernet0 –
DefaultGateway 192.168.30.254 -AddressFamily IPv4 -PrefixLength 24
Set-DnsClientServerAddress –InterfaceAlias Ethernet0 -ServerAddresses 192.168.30.1
Configurando um endereço IP estático usando Netsh
Você também pode configurar um endereço IP estático ou nas propriedades da conexão

de rede ou usando a ferramenta de linha de comando netsh. Por exemplo, o seguinte
comando configura o local de interface Conexão com os seguintes parâmetros:
Netsh interface ipv4 set address name="Ethernet0" source=static addr=192.168.30.1

mask=255.255.255.0 gateway=192.168.30.254
Configurando Endereço IPV4 automático
DHCP IPv4 permite automatizar o processo de atribuição de endereços IPv4 para

grande número de computadores sem ter de atribuir cada um individualmente. O
serviço DHCP recebe pedidos de configuração IPv4 a partir de computadores que você
configura para obter um endereço IPv4 automaticamente. Ele também atribui
configurações IPv4 adicionais dos escopos que você define para cada sub-redes da sua
rede. O serviço DHCP identifica a sub-rede a partir do pedido originado do host e atribui
a configuração IP do espaço pertinente.
Interface. A tabela a seguir descreve alguns dos cmdlets do Windows PowerShell

disponíveis, que são disponíveis para a configuração DHCP em uma interface, no
laboratório o aluno terá oportunidade de teste o comando necessário para resolver
problemas com DHCP na rede.
- 38 -
Cmdlet Descrição
Lista Interfaces e suas configurações, incluindo as
Get-NetIPInterface configurações IP.
Esse comando habilita e desabilita as
Set-NetIPInterface configurações automáticas de DHCP.
Get-NetAdapter Lista as interfaces de rede do Servidor.

Habilita e desabilita a interface de rede para
Restart-NetAdapter obter novas configurações.
O que é Microsoft Message Analyzer?

Microsoft Message Analyzer é uma ferramenta utilizada para capturar o tráfego de
rede e, em seguida, exibir e analisar informações sobre o tráfego. Você pode usar
Microsoft Message Analyzer para monitorar em tempo real o tráfego de rede, ou para
importar, informações, e analisar dados de arquivos de log e de rastreio. Você pode
usar o Microsoft Message Analyzer para realizar as seguintes tarefas de análise de
rede:
 Captura os dados das mensagens

 Visualizar mensagens salvas
 Importar dados das mensagens
 Visualizar dados das mensagens
 Filtrar dados das mensagens
- 39 -
Microsoft Message Analyzer usa vários cenários de rastreamento embutidas que
podem ser acessadas através da Console Microsoft Message Analyzer. Cenários de
rastreamento contêm configurações de captura específicas que permitem que você
rapidamente iniciar uma sessão de rastreamento e, em seguida, capturar as
informações que você precisa para os seus procedimentos de soluções de problemas.
Estes cenários de rastreamento incluem a configuração de captura predefinido para
solução de problemas do Firewall do Windows, LAN e WAN monitoramento, e Proxy
Web solução de problemas. Você pode personalizar cenários de rastreamento para
remover itens que não exigem acompanhamento.
A console Microsoft Message Analyzer contém um guia Charts que cria gráficos a partir
de dados capturados. Você pode personalizar os parâmetros e dados que serão
incluídos nas opções, incluindo as operações de rede, operações, bem como o
protocolo de rede. Além disso, você pode definir diferentes tipos de pontos de vista
gráfico, como gráfico Timeline, Gráfico, Grid View, ou Bar Chart. Os gráficos podem
ajudar você a entender os dados de rastreio de entrada por apresentação de
informação de tráfego complicado visualmente. Muitas vezes, esse recurso é útil
quando você precisa executar cálculos matemáticos sobre os dados de rastreio, tais
como o número de tentativas necessária para um pacote ser enviado entre hosts.
Microsoft Message Analyzer apresenta o monitoramento em tempo real e remoto, que
é um recurso que permite que administradores monitorar a rede a partir de um host
remoto. Os administradores podem conectar-se ao host e verificar os adaptadores de
rede e placas de rede das máquinas virtuais, a fim de capturar e analisar a rede tráfego
dados. Microsoft Message Analyzer é capaz de carregar dados de arquivos nativos do
Microsoft Message Analyzer, Arquivos de captura do Monitor de rede (.cap)
rastreamento arquivos de log (.etl) evento, valores separados por vírgula arquivos
- 40 -
(.csv), e vários outros formatos. Você pode baixar Microsoft Message Analyzer
gratuitamente no site da Microsoft.
Laboratório Implementando IPV4

Ligue a máquina virtual Windows Install, logue usando as credenciais de instalação
Administrador senha Pa$$w0rd, em seguida acesse Windows Power Shell.
Execute o comando Get-NetAdapter, e visualize as informações da interface de rede.
- 41 -
Execute o comando Get-NetIPAdrress, e visualize as configurações IP da interface de
rede.
Altere o endereço da interface de rede usando o comando os seguintes:
New-NetIPAddress -IPAddress 192.168.30.1 -InterfaceAlias Ethernet0 -DefaultGateway

192.168.30.254 -AddressFamily IPv4 -PrefixLength 24
- 42 -
Altere o DNS server usando o comando:
Set-DnsClientServerAddress -InterfaceAlias Ethernet0 -ServerAddresses

192.168.30.1
Verifique as rotas do servidor usando o comando Get-NetRoute.
- 43 -
Remova as configurações IPV4 usando comando seguinte:
Remove-NetIPAddress -IPAddress 192.168.30.1 -InterfaceAlias Ethernet -

DefaultGateway 192.168.30.254 -AddressFamily IPv4 -PrefixLength 24
Renove o Endereçamento IPV4 usando o comando, ipconfig /renew
- 44 -
Implementando IPv6
IPV6
IPv6 foi incluído nos sistemas de servidores e cliente Windows desde o lançamento do
Windows Server 2008. O uso de IPv6 está se tornando mais comum em redes
corporativas e na Internet. Portanto, é importante para você entender como essa
tecnologia afeta as redes atuais, e como integrar IPv6 para essas redes. Esta lição
aborda os benefícios do IPv6, e como ele difere do IPv4.
Benefícios do IPv6
 Maior espaço de endereçamento

 Hierarquia de Endereçamento e roteamento de Infraestrutura
 Configuração do endereço Stateless e Stateful
 Total suporte a IPsec
 Comunicação fim a fim
 Suporte a Q.O.S
 Suporte melhorado a sub-redes únicas
 Extensibilidade
- 45 -
Diferença ente IPv4 e IPv6
Quando o espaço de endereços IPv4 foi projetado, era inimaginável que ele jamais
poderia ser esgotado. No entanto, por causa dos avanços tecnológicos e uma prática
de alocação que não anteciparam o aumento do número de servidores e ativos na
Internet, ficou claro em 1992 que a substituição seria necessária. Quando o espaço de
endereço IPv6 foi projetado, os endereços foram feitos a 128 bits de comprimento para
acomodar a subdivisão do espaço de endereço em domínios de roteamento
hierárquicos que refletem na topologia da Internet moderna. A extensão para 128 bits
garante que há bits suficientes para criar vários níveis de hierarquia, e oferece
flexibilidade para a concepção hierárquica endereçamento e roteamento. A Internet
baseada em IPv4 não possui esses recursos.
Comparação ente IPv4 e IPv6
Formato de endereço IPV6

IPv4 IPv6
A fragmentação é realizada por ambos os A fragmentação não é realizada pelos roteadores,
roteadores e o envio de transmissão. mas apenas o envio de transmissão.
Address Resolution Protocol (ARP) usos solicitação Os quadros de solicitação ARP são substituídos por
de difusão ARP quadros para resolver um Endereço Mensagens multicast em uma modalidade mais
IPv4 para um endereço camada de Link. próxima.
Internet Group Management Protocol (IGMP) gere IGMP é substituído por Multicast Listener Discovery
a participação no grupo de sub-rede local. mensagens.
Internet Control Message Protocol (ICMP) Router ICMP Router Discovery é substituído por exigir
Discover, que é opcional, determina o endereço Solicitação ICMPv6 Router a Router e a Publicidade
IPv4 do melhor gateway padrão. da mensagem.
Usa registros tipo host (A) do recurso no DNS para Usa host IPv6 (AAAA) registros de recursos no DNS
mapear nomes de host para endereços IPv4. para mapear nomes de host para endereços IPv6.
Usa ponteiro (PTR) registros de recursos na IN- Usa ponteiro (PTR) registros de recursos na
ADDR.ARPA DNS de domínio para mapear IPv4 IP6.ARPA domínio DNS para mapear endereços
endereços para nomes de host. IPv6 para Os nomes de host.
Deve suportar um tamanho de pacote 576-byte Deve suportar um tamanho de pacote de 1280
(possivelmente fragmentado). bytes (sem fragmentação).
- 46 -
A característica mais distintiva do IPv6 é a sua utiliza endereços muito maiores. Os
endereços IPv4 são expressos em quatro grupos de números decimais, como
192.168.1.1. Cada agrupamento de números representa um octeto binário. No sistema
binário, é 192.168.1.1 iguais a:
11000000.10101000.00000001.00000001
(4 octetos = 32 Bits)
No entanto, um endereço IPv6 é 4 vezes maior do que um endereço IPv4. Devido a

isso, os endereços IPv6 são expressos em hexadecimal (hex). Por exemplo:
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
Conversão de Binário em hexadecimal
A formula seguinte mostrada na tabela é realizada de maneira simples para ajudar na

compreensão do protocolo IPV6.
Binario 0010 1111

Valores Binarios 8421 8421
Valores adicionado onde o bit é 0+0+2+0=2 8+4+2+1=15 or hexadecimal F
1
O seguinte Exemplo é simples conversão de IPV6 a partir de endereço binário.
0010000000000001 0000110110111000 0000000000000000 0010111100111011
0000001010101010 0000000011111111 1111111000101000 1001110001011010
- 47 -
Endereçamento IPv6
Cada endereço IPV6 tem 128 Bits O prefixo é a parte do endereço que indica que os
bits ter valores fixos, ou que são as sub-rede prefixo de BITS. Isto é equivalente a uma
identificação de rede para endereços IPv4. Prefixos de sub-redes IPv6, rotas, e
endereço gamas são expressas na mesma maneira como o IPv4 Sem classe
Interdomain Routing (CIDR) notações. Um prefixo IPv6 é escrito em endereço / prefixo
de comprimento notação. Por exemplo, 2001: DB8 :: / 48 e 2001: DB8: 0: 2F3B :: / 64
são prefixos de endereços IPv6.
Configuração automática de endereçamento IPV6
Na maioria dos casos, você vai usar a configuração automática para fornecer aos hosts
um endereço IPv6. Ao contrário IPv4, que usa servidores DHCP principalmente para
fornecer informações de endereçamento, o IPv6 usa também como routers parte do
processo de configuração automática. Os routers pode fornecer o endereço de rede e
um padrão porta de entrada para os clientes em Router Advertisement mensagens.
- 48 -
Tipos de auto configuração
Os tipos de configurações incluem:
Stateless. Autoconfiguração, configuração do endereço é baseado apenas no

recebimento de mensagens de anúncio de roteador. Stateless autoconfiguração inclui
um prefixo roteador, mas não inclui opções de configuração adicionais tais como
servidores DNS.
Stateful. Com monitoramento automático, a configuração de endereço é baseada no

uso de um monitor endereços de protocolos de configuração, como DHCPv6 para obter
endereços e outras opções de configuração. Um host usa a configuração de endereços
com estado quando:
Both. Com Both, configuração baseia-se tanto a recepção de mensagens de anúncio do

router, e sobre DHCPv6.
Coexistência com IPV4
Desde a sua criação, o IPv6 foi projetado para a coexistência de longo prazo com IPv4.
Na maioria dos casos, a sua rede vai usar tanto IPv4 e IPv6 por muitos anos.
Consequentemente, você precisa entender como eles coexistem.
Tipos de nós
Ao planejar uma rede IPv6, você deve saber que tipos de nós ou host estão na rede. Ao
planejar uma rede IPv6, você deve saber que tipos de nós ou host estão na rede.
Descrevendo os nós de uma maneira específica ajuda a definir as suas capacidades da
rede. Compreender as capacidades de cada tipo de nó é importante se você usar
tunneling, porque certos tipos de túneis requerem nó específico tipos, que incluem:
- 49 -
IPv4-Nó sozinho. Este nó implementa apenas IPv4, e tem apenas endereços IPv4. Não faz ao
suporta IPv6.
IPv6-Nó sozinho. Este nó implementa apenas IPv6, e tem apenas endereços IPv6. Ele não
suporta IPv4. Este nó é capaz apenas de comunicar com nós IPv6, algo que não é comum hoje
em dia. No entanto, ele pode se tornar mais prevalentes como dispositivos menores, como
telefones celulares e laptops, se utilizarem o protocolo IPv6 exclusivamente
Nó IPv6 / IPv4. Este nó implementa tanto IPv4 e IPv6. Por padrão, ele é usado pelo Windows
Server 2008 e sistemas operacionais mais recentes do Windows Server e Windows Vista® e
mais recente dos sistemas operacionais Windows clientes.
Coexistência ocorre quando o maior número de nós (nós IPv4 ou IPv6) podem se
comunicar usando uma infraestrutura IPv4, uma infraestrutura IPv6, ou uma
infraestrutura que é uma combinação de IPv4 e IPv6. Você só vai alcançar a verdadeira
migração quando todos nós IPv4 são convertidos para IPv6-nós sozinho. No entanto,
para o futuro próximo, você pode conseguir migração prático quando tantos IPv4-só
nós quanto possível são convertidas para nós IPv6/IPv4. IPv4-nós sozinho pode se
- 50 -
comunicar com IPv6-nós sozinho apenas quando estiver usando um proxy ou tradução
de gateway IPv4-para-IPv6.
O que é IPv6 sobre IPv4 Tunneling?
Em IPv6 sobre IPv4 tunelamento pacotes IPv6 são encapsulados com um cabeçalho
IPv4. Isto permite os pacotes IPv6 para ser enviado através de uma infraestrutura IPv4-
only.Dentro do cabeçalho IPv4:
 O campo de protocolo IPv4 é definido como 41 para indicar um pacote IPv6 encapsulado.
 Os campos Origem e Destino estão definidas para Endereços IPv4 das extremidades do
túnel. Você pode configurar manualmente como extremidades do túnel parte da interface do
túnel, ou eles podem ser derivados automaticamente.
Ao contrário de tunelamento para o Point-to-Point Tunneling Protocol (PPTP) e do

Protocolo Layer Two Tunneling (L2TP), não há troca de mensagens para a configuração
do túnel, manutenção ou cessação. Além disso, o IPv6 sobre IPv4 tunneling não fornece
segurança para pacotes IPv6 túnel. Isto significa que quando você usa Tunelamento
IPv6, ele não precisa estabelecer uma conexão protegida em primeiro lugar. Você pode
configurar o IPv6 sobre IPv4 tunneling manualmente, ou usar tecnologias
automatizadas, como ISATAP, 6to4, Teredo.
Tecnologias de Transição IPv6

A transição do IPv4 para o IPv6 exige a coexistência entre os dois protocolos. Muitos
programas, aplicativos e serviços dependem de IPv4 para que possa ser removido
rapidamente. No entanto, existem diversas tecnologias que auxiliam na transição,
permitindo a comunicação entre IPv4 e IPv6-only-somente hosts. Também existem
tecnologias que permitem a comunicação IPv6 em redes IPv4.
- 51 -
ISATAP: A tecnologia de atribuição de endereços, ISATAP fornece conectividade IPv6
unicast entre Hosts IPv6/IPv4 em uma intranet IPv4. Pacotes IPv6 são encapsulados em
pacotes IPv4 para a transmissão através da rede. Comunicação pode ocorrer
diretamente entre dois hosts ISATAP em uma rede IPv4, ou comunicação pode ir
através de um roteador ISATAP se uma rede tem apenas hosts IPv6. Hosts ISATAP não
necessita de qualquer configuração manual, e pode criar endereços ISATAP usando o
mecanismo de configuração automática de endereço padrão. Embora o componente
ISATAP é ativado por padrão, ele atribui endereços baseados ISATAP só se pode
resolver o nome ISATAP em sua rede. Não necessitam de qualquer configuração
manual, e pode criar endereços ISATAP usando o mecanismo de configuração
automática de endereço padrão. Embora o componente ISATAP é ativado por padrão,
ele atribui endereços baseados ISATAP só se pode resolver o nome ISATAP na rede.
- 52 -
6to4: A tecnologia de transição 6to4 fornece unicast Conectividade IPv6 pela Internet
IPv4. Você pode usar 6to4 para fornecer conectividade IPv6 entre dois sites IPv6 ou
entre um host IPv6 e um IPv6 site. No entanto, 6to4 não é adequado para cenários que
requerem NAT. Um roteador 6to4 fornece um site com IPv6 conectividade através da
Internet IPv4. O 6to4 roteador tem um endereço IPv4 público que está configurado na
interface externa, e um endereço 6to4 IPv6 que está configurado na interface interna.
Para configurar computadores clientes, a interface interna anuncia a rede 6to4.
Qualquer computador cliente que Comece a usar o endereço de rede 6to4 é um host
6to4. Os hosts no site 6to4 deve enviar pacotes 6to4 para o Router 6to4 para entrega
aos outros sites na Internet IPv4.
Teredo: Teredo é semelhante ao 6to4 na medida em que permite envio de pacotes

para IPv6 através do túnel da Internet IPv4. No entanto, ao contrário do 6to4, Teredo
é compatível com NAT. Teredo é útil porque muitas organizações que usam endereços
IP privados, que precisam usar o NAT em Para acessar a Internet. Se um dispositivo
NAT pode ser configurado como um router 6to4, então Teredo não é necessario.
- 53 -
Laboratório Implementando IPV6
Conecte no servidor Install, em seguida execute o Windows PoweShell, para executar
os comandos para realizar as configurações necessárias de rede Execute o ipconfig,
para verificar as configurações IPV4 e IPV6
- 54 -
Em seguida execute o comando a seguir: New-NetIPAddress -IPAddress
2001:0DB:ABCD:EF::1000 -InterfaceAlias Ethernet0 -DefaultGateway
2001:0DB:ABCD:EF::1 -AddressFamily IPv6 -PrefixLength 64
- 55 -
Em seguida execute o comando a seguir para configurar o DNS:
Set-DnsClientServerAddress -InterfaceAlias Ethernet0 -ServerAddresses
2001:0DB:ABCD:EF::1000
Navegue até o painel de controle e Central de rede e compartilhamento.
- 56 -
Navegue até alterar configurações de adaptador de rede.
- 57 -
Selecione a interface de rede do Servidor clique com botão direito do mouse, vá em
propriedades.
Selecione protocolo IPV6 e selecione a opção propriedades.
- 58 -
E veja as configurações efetuada com sucesso.
Configure o protocolo ISATAP no servidor para uma conexão IPV4, executando o

seguinte comando: Set-NetIsatapConfiguration -Router 172.16.50.254
Em seguida execute o comando para verificar as configurações realizada: Get-

NetIPAddress.Agora o servidor este pronto para trabalhar com IPV6 e IPV4.
- 59 -
Implementar protocolo de configuração dinâmica de host
Você pode usar a função de servidor DHCP para ajudar a simplificar as configurações
dos computadores cliente através das informações de configuração rede para clientes,
como serviços habilitados para rede, o Windows DS e NAP
Benefícios de usar o serviço de DHCP

O protocolo DHCP simplifica a configuração de IP clientes em um ambiente de rede. Se
não usar DHCP, cada vez que você adicionar um cliente para uma rede, você precisará
configurá-lo com informações sobre a rede na qual incluindo o endereço IP, a máscara
de sub-rede e o gateway padrão para o acesso para outras redes. Quando você precisa
gerenciar vários computadores em uma rede, gestão manual pode se tornar um
processo que consome muito tempo. Muitas corporações gerenciar milhares de
dispositivos de computador, incluindo handhelds, computadores de mesa e laptops.
Portanto, não é viável para executar o gerenciamento manual das configurações de
rede IP para organizações deste tamanho. O serviço de cliente DHCP é executado em
todos os computadores que têm suas propriedades TCP / IP definido para obter
automaticamente um endereço IP. O serviço ajuda a garantir que todos os clientes a
receber as informações de configuração adequada, o que ajuda a eliminar o erro
humano durante a configuração. Quando as informações de chave de configuração
muda na rede, você pode atualizar os clientes DHCP usando o serviço do servidor
DHCP, então você não tem que alterar as informações diretamente em cada
computador. O serviço do servidor DHCP só funciona em computadores que tenha a
função DHCP configurado.
- 60 -
NAP
NAP é um conjunto de ferramentas que podem impedir o acesso completo a uma
intranet para computadores que não cumpram requisitos de integridade do sistema.
NAP com DHCP ajuda a isolar computadores potencialmente infectados com malware
a partir de a rede corporativa. DHCP NAP permite que os administradores para garantir
que os clientes DHCP estão em conformidade com políticas de segurança interna. Por
exemplo, todos os clientes de rede devem estar em dia com as políticas de segurança
interna, e ter um programa antivírus válido, up-to-date instalado antes que eles são
atribuídos uma configuração de IP que permite o acesso total a uma intranet.
Instalando DHCP Server

Você pode instalar o DHCP em uma instalação Server Core do Windows Server 2012. A
instalação Server Core permite que você crie um servidor com uma superfície de
ataque reduzida. Para gerenciar DHCP do Servidor Core, você deve instalar e configurar
o papel a partir da interface de linha de comando. Você também pode gerenciar o
DHCP papel rodando em instalação Server Core do Windows Server 2012 a partir de
uma interface gráfica do usuário (GUI) do console baseado em que o papel DHCP
estiver instalado.
Processo de Lease do DHCP Server

A seguir estão os quatro passos do processo de DHCP lease-geração:
O cliente DHCP transmite um pacote DHCPDISCOVER para cada computador na sub-

rede. a única computadores que respondem são computadores que têm a função de
servidor DHCP, ou computadores ou roteadores que está executando um agente de
retransmissão DHCP. Neste último caso, o agente de retransmissão DHCP encaminha
a mensagem para o Servidor DHCP com o qual está configurado.Um servidor DHCP
responde com um pacote DHCPOFFER, que contém o endereço para o cliente.O cliente
recebe o pacote DHCPOFFER. Ele pode receber pacotes de vários servidores. Se isso
acontecer, ele Normalmente seleciona o servidor que fez a resposta mais rápida a sua
DHCPDISCOVER, que normalmente é o Servidor DHCP mais próximo do cliente. O
cliente, em seguida, transmite um DHCPREQUEST que contém um servidor
identificador. Isso informa os servidores DHCP que recebem a transmissão ao qual o
servidor de DHCPOFFER a cliente tenha optado por aceitar.Os servidores DHCP receber
- 61 -
a DHCPREQUEST. Os servidores que o cliente não aceitou uso desta mensagem como
a notificação de que o cliente recusa o pacote desse servidor. O servidor armazena o
IP escolhido e salva as informações do cliente no banco de dados DHCP e responde
com uma mensagem DHCPACK. Se o Servidor DHCP não pode fornecer o endereço que
foi oferecido no DHCPOFFER inicial, o servidor DHCP envia uma mensagem DHCPNAK.
Protocolo DHCP Server Failover

O papel DHCP no Windows Server 2012 oferece suporte a um novo recurso chamado
o protocolo DHCP Server Failover, que permite a sincronização de informações de
locação entre vários servidores DHCP. Também aumenta Disponibilidade do serviço de
DHCP. Se um servidor DHCP não estiver disponível, os outros servidores DHCP
continuar a serviço clientes na mesma sub-rede.
Integração do DHCP com DNS

O uso primário para servidores DHCP é dar cliente IP dinamicamente. O uso principal
para servidores DNS é encontrar um endereço IP, com base em o nome dado, ou para
encontrar um nome baseado em um determinado endereço IP. Começando com
Windows 2000, Os clientes DNS podem registrar seus registros através do DNS
protocolo de atualização dinâmica. Nomes de clientes registrado e atualização e
endereços IP com um servidor DNS, quando esses clientes DHCP pertencem a essa zona
DNS. Código de opção DHCP 81 retorna o nome de domínio totalmente qualificado de
um cliente (FQDN) para o servidor de DHCP. O servidor DHCP, em seguida, utiliza o
- 62 -
protocolo de atualização dinâmica de DNS para atualizar o registro de recurso do
cliente individual dinamicamente volta para o servidor DNS.
DNS Protocolo de Atualização Dinâmica

Dependendo de como você configurar a função de atualização dinâmica do DNS no
servidor de DNS, usando o DNS protocolo de atualização dinâmica pode não ser segura.
Em vez disso, você pode configurar o DNS dinâmico seguro. O servidor DNS aceita
atualizações somente de clientes que estão autorizados a fazer atualizações dinâmicas
de DNS para os objetos que representam no AD DS. Ao usar servidores DHCP e
servidores DNS que são definidas para atualizações dinâmicas de DNS seguro, você
pode adicionar conta de computador do servidor DHCP para o DS AD Grupo global
DnsUpdateProxy. Os membros deste grupo garantem que o servidor DHCP pode
executar atualizações dinâmicas seguras de DNS para os registros de recursos de um
cliente.
Configurações de Scopo DHCP

Após realizar a instalação do papel de servidor DHCP, temos que realizar as
configurações de Scopo, isso inclui autorizar o DHCP no Active Directory, caso esteja
em um domínio, caso contrário não necessita, passo seguinte é configurar os ranges
de endereçamento, as opções dos Scopos para que todas as informações sejam
entregues de forma adequada com a rede.
O que é Scopo DHCP?

Um escopo DHCP é um intervalo de endereços IP que são disponível para locação e que
um servidor DHCP gerencia. Um escopo DHCP normalmente se limita a os endereços
IP em uma determinada sub-rede. Por exemplo, um escopo DHCP para a rede
192.168.1.0/24 (máscara de sub-rede 255.255.255.0) suporta uma gama de
192.168.1.1 através 192.168.1.254. Quando um computador ou dispositivo na
192.168.1.0/24 subnet solicita um endereço IP, o escopo definido que o intervalo neste
exemplo aloca um endereço entre 192.168.1.1 e 192.168.1.254.
- 63 -
Configurando reserva
Para configurar uma reserva, você deve saber de interface de rede de controle de
acesso de mídia do dispositivo (MAC) endereço ou endereço físico. Este endereço
indica ao servidor DHCP que o dispositivo deve ter uma reserva. Você pode adquirir o
endereço MAC de uma interface de rede usando o comando pconfig/all. Normalmente,
os endereços MAC para impressoras de rede e outros dispositivos de rede são
impressos no dispositivo. Mais computadores portáteis também observam essa
informação na base do seu chassi.
Opções de Scopo DHCP

Os servidores DHCP pode configurar mais do que apenas um IP endereço. Eles também
fornecem informações sobre recursos de rede, como servidores DNS e do gateway
padrão. Opções DHCP são valores para dados de configuração comum que se aplica ao
servidores, escopos, reservas e opções de classe. Você pode aplicar opções DHCP no
servidor, escopo do usuário, e os níveis de fornecedores. Um código de opção identifica
o Opções de DHCP, ea maioria dos códigos de opção de vir de a documentação RFC
encontrado na internet Engineering Task Force (IETF) website.
Código da Opção Nome

1 Máscara de Sub rede
3 Rota
6 Servidor DNS
15 DNS nome de domínio
31 Discovery de Rota
33 Rota Estatica
43 Informações especificas
de Fornecedor
47 NetBIOS scope ID
51 Tempo de Lease
58 Renovação do Valor do
Tempo (1)
- 64 -
59 Valor Temporário de
Religação (T2)
60 Pre-Boot Execution (PXE)
client
66 Nome do Servidor de
Boot
67 Nome do Arquivo de
Inicialização
249 Rota Estática sem Classe
Laboratório Implementando Servidor DHCP

Instalando a Função DHCP
Primeiro passo, é acesse o servidor SRVDC01, use as credenciais repassada pelo
professor, após se conectar ao servidor navegue até o Gerenciador do Servidor,
clique em adicionar funções e recursos.
- 65 -
No assistente de configurações, cliquem em próximo.
Selecione o tipo de instalação, Instalação baseada em função ou recursos, clique em

Próximo.
- 66 -
Selecione o Servidor SRVDC01, pois já encontra-se selecionado, clique em Próximo.
Selecione o recurso de DHCP clique em Próximo, e no Assistente de Adição de

Funções e Recursos clique em Adicionar Recursos.
- 67 -
Na opção Selecionar recursos cliquem em Próximo.
Em Servidor DHCP, veja as orientações recomendadas pela Microsoft cliquem em

próximo.
- 68 -
Confirme as configurações para realização da instalação do Servidor DHCP.
Aguarde o processo de instalação.
- 69 -
Após o processo ser concluído cliquem em fechar.
Veja que em notificações apareceu alerta, cliquem no alerta para ver a mensagem.
- 70 -
O alerta informa que será necessária realizar as configurações pós instalação clique
em configuração de DHCP concluída.
Vejas as próximas etapas a serem concluídas, cliquem em Confirmar.
- 71 -
Após os grupos criados, cliquem em fechar e reinicie o SRVDC01.
Note que no Gerenciado do Servidor agora encontra-se a opção de DHCP.
- 72 -
Configurando Escopo DHCP.
No Gerenciador do servidor, navegue até a opção ferramentas, e selecione a opção
DHCP.
Veja a console de gerenciamento do Servidor DHCP e expanda a opção IPV4.
- 73 -
Cliquem com botão direito do Mouse e clique em novo Escopo.
Em seguida clique em Avançar na tela de Assistente para Novos Escopos.
- 74 -
Na opção Nome do escopo digite CEPEP_2012, na descrição digite Curso
Windows Server 2012.
Em Intervalo de endereço digite as seguintes informações em Endereço IP inicial:

172.16.50.1 em Endereço IP final: 172.16.50.254, em Comprimento 16 em Máscara
de sub-rede: 255.255.0.0.
- 75 -
Em Adicionar Exclusões e atraso, digite as seguintes informações. Endereço IP inicial:
172.16.50.1, Endereço IP final: 172.16.50.100, clique em Adicionar.
Em duração de concessão clique em Avançar.
- 76 -
Configura as Opções de escopo clique em Não, configurarei essas opções mais tarde.
Clique em Concluir.
- 77 -
Agora veja o escopo criado de acordo com a configuração.
Clique em Opções de escopo com botão direito do Mouse e selecione configurar

opções.
- 78 -
Navegue até a opção 006, e adicione em Nome do servidor SRVDC01, em Endereço
IP, 172.16.50.1.
Clique em sim na mensagem de alerta, por conta que o Servidor DNS ainda não foi
configurado.
- 79 -
Navegue até a opção 015, e digite cepeplab.com.br, pois será o nome do domínio a
ser criado.
Ao final das configurações, veja se a console de seu servidor DHCP, está igual a
imagem.
- 80 -
Clique com botão direito do Mouse no Escopo criado e selecione a opção Ativar, e
ative seu escopo.
Gerenciando Escopo DHCP

Navegue até a opção de Reservas e crie 2 reservas.
- 81 -
Na opção Nome da reserva digite Prear DEV, em Endereço IP digite 172.16.50.240,
em Endereço MAC 000102030405, repita o procedimento para Coordenação com IP
172.16.50.241, e o endereço MAC 010203040506.
Verifique se as configurações criadas estão corretas de acordo com a imagem.
- 82 -
Em seguida crie uma regra de filtro negando a navegação de um IPAD na rede, clique
filtro em seguida com botão direito Negar, selecione Novo filtro
No final do procedimento verifique se o filtro foi criado, de acordo com a imagem.
- 83 -
Logue no CLI01 e execute no CMD o comando IPconfig /all, e verifique se o endereço
IP e as informações do escopo foram obtidas com sucesso.
Crie um escopo básico usando Windows Power Shell, como administrador,

digite os seguintes comandos: Add-DhcpServerv4Scope –Name "CEPEP_DEV”
–StartRange 10.10.0.100 –EndRange 10.10.0.200 –SubnetMask 255.255.0.0,
para criar o escopo.
- 84 -
Em seguida digite o seguinte comando: Add-Dhcpserverv4ExclusionRange –ScopeID
10.10.0.0 –StartRange 10.10.0.190 –EndRange 10.10.0.200.
Após realizar as configurações, navegue até a console DHCP, e confirme se as

configurações foram realizadas com sucesso.
- 85 -
Instalando Sistema de Resolução de Nome.
O que DNS?
DNS é um serviço que resolve FQDNs (Nomes qualificados) e outros nomes para
endereços IP do host. Todos sistemas operacionais Windows Server incluem um
serviço de servidor de DNS. Quando você usa o DNS, os usuários em sua rede pode
localizar recursos de rede, digitando nomes (por exemplo, cepeplab.com.br), qual o
computador, em seguida, resolve a um IP endereço. A vantagem é que os endereços
IPv4 pode ser difícil para lembrar (por exemplo, 172.16.50.254) enquanto um nome de
domínio normalmente é mais fácil de lembrar. Além disso, você pode usar nomes de
host que não mudam, enquanto os endereços IP subjacentes podem ser alterados para
atender às suas necessidades organizacionais. O DNS usa um banco de dados de nomes
e endereços IP, armazenados em um arquivo ou em AD DS, para prestar este serviço.
Software cliente DNS faz consultas sobre e atualizações do banco de dados DNS. Por
exemplo, dentro de uma organização, um usuário que está tentando localizar um
servidor de impressão pode usar o nome DNS printserver.cepeplab.com.br, e o
software cliente DNS resolve o nome para o endereço IP de uma impressora, como
172.16.50.55. Mesmo se as mudanças de endereço IP da impressora, o nome pode
permanecer o mesmo. Originalmente, havia um arquivo na Internet que continha uma
lista de todos os nomes de domínio e os seus endereços IP correspondente. Esta lista
rapidamente se tornou muito tempo para gerenciar e distribuir. DNS foi desenvolvida
para resolver os problemas associados com a utilização de um único catalago de
Internet. Com a adoção do IPv6.
- 86 -
Zonas de DNS.
Uma zona de DNS é a parte específica de um DNS namespace (como cepeplab.com.br)
que contém Registros de DNS. Uma zona de DNS está hospedado em um servidor DNS,
servidor que é responsável por responder a consultas de registros em um domínio
específico. Para exemplo, o servidor DNS que é responsável pela resolvendo
www.cepeplab.com.br para um endereço IP conteria a zona cepeplab.com.br
Pesquisa de Zonas Direta

 Registro tipo Host (A)
 Registro tipo Alias (CNAME)
 Registro tipo Serviço (SRV)
 Registro tipo Email (MX)
 Registro tipo Autoridade (SOA)
 Registro tipo Servidor de Nomes (NS)
- 87 -
Pesquisa de Zonas Inversa
Zonas de pesquisa inversa resolver endereços IP para nomes de domínio. A funções
inversa da zona de pesquisa, na mesma maneira que uma zona de pesquisa direta, mas
o endereço IP é parte da consulta e o nome do host é o informações devolvido. Zonas
de pesquisa inversa nem sempre são configurados, mas você deve configurá-los para
reduzir as mensagens de aviso e erro. Zonas de pesquisa inversa sediar SOA, NS, e
registro de recursos (PTR).
Registro (PTR)
Quando você cria registros de host no console DNS, você também tem a opção de fazer
um registro PTR no mesmo tempo, se uma zona de pesquisa inversa apropriado existe.
PTR podem ser criadas automaticamente e adicionada a uma zona de pesquisa inversa
quando um registro Host (A) é criado em uma zona de pesquisa direta. estes PTR
registros são excluídos automaticamente se o correspondente registro de recurso é
excluído. Você só precisa manualmente criar um registro PTR uma vez. Porque ele não
está vinculado a um registro de recurso, ele não é excluído se o A registro de recurso é
excluído. Os computadores clientes podem criar seus registros PTR quando atualizar
dinamicamente. Um registro PTR está no formato de endereço IP, tipo de registro
(PTR), e hostname
Registros DNS
O arquivo de zona DNS armazena registros. Os registros especificar um tipo de recurso
e o endereço IP para localizar o recurso. O registro mais comum de recursos é um
registro de recurso de host (A). Esta é uma simples registro que resolve um nome de
host para um endereço IP. O host pode ser uma estação de trabalho, servidor ou outro
dispositivo de rede, tal como um router.
Os registros ajudam a Encontrar Recursos Para um Domínio particular. Por Exemplo,

Quando um Microsoft Exchange Server Precisa Encontrar o Servidor Que É Responsável
Pela Entrega de Correio de um Domínio para outro, solicita o registro de recurso de
Mensagens (MX) para esse Domínio. Esse registro aponta para o host (A) registro de
recurso que esta executando o serviço de e-mail SMTP.
- 88 -
Os registros também pode conter atributos personalizados. Registros MX, por
exemplo, têm um atributo de Preferência, que é útil se uma organização tem vários
servidores de correio. O registro MX diz o servidor de envio que servidor de correio da
organização receptora prefere. Registros SRV também contêm informações sobre a
porta do serviço está ouvindo, e o protocolo que você deve usar para se comunicar
com o serviço.
O que e DNS Split?

Em sistemas operacionais Microsoft, DNS tem dois funções principais: para resolver
endereços IP para nomes (e vice-versa), e facilitar em nível de domínio comunicações
e de autenticação para o AD DS. A capacidade de localizador de serviço de
armazenamento (SRV) permite que os clientes associados a um domínio para
encontrar domínio controladores (DCs) para autenticação de domínio e segurança,
enquanto o balanceamento de carga acesso aos vários DCs usando DNS funcionalidade
round-robin. No entanto, a nível de Internet de usuários não confiáveis fora do firewall
nunca deve ser capaz de acesso os registros SRV e outros ADDS sensível informações
dos servidores DNS internos. Que dados devem permanecer separados e inacessível a
partir do firewall. Ao mesmo tempo, os registros de DNS dos servidores e serviços de
hospedagem recursos nível Internet, tais como servidores web, e-mail, e proxy, deve
permanecer acessível. Dividir DNS, também conhecido como DNS Split-brain, usa o
mesmo nome de domínio DNS para o Internet e rede interna recursos associados a um
domínio. No entanto, a função de servidor DNS é atribuída a servidores separados: um
- 89 -
ou mais servidores para a Internet, e o outro servidor (s) para o domínio ADDS.
Implantando DNS desta forma requer medidas adicionais para garantir que
informações sensíveis encontrado no lado domínio do ADDS que está separado da
Internet, e para assegurar que apenas o servidor de DNS implantado no lado da
Internet, isto é, fora do firewall interno, pode ser acessado por consultas a partir de
fora do firewall.
Consultas recursivas
Em uma consulta recursiva, o requerente pede ao servidor DNS para obter um
endereço IP totalmente resolvida do recurso solicitado, antes de retornar a resposta
para o solicitante. O servidor DNS pode ter que realizar várias consultas a outros
servidores DNS antes de encontrar a resposta. As consultas recursivas são geralmente
feitas por um Cliente DNS para um servidor DNS, ou por um servidor de DNS que está
configurado para passar consultas não resolvidas para outro Servidor de DNS, no caso
de um servidor de DNS configurado para utilizar um encaminhador.
- 90 -
Consultas Interativa
Consultas iterativa de acesso a informações do domínio sobre o nome que reside em
todo o sistema DNS. Você pode usar consultas iterativas para resolver nomes por vários
servidores de forma rápida e eficiente. Quando um servidor DNS recebe um pedido
para que ele não pode responder usando sua informação local ou de suas pesquisas
em cache, ele faz o mesmo solicitar para outro servidor DNS usando uma consulta
iterativa. Quando um servidor DNS recebe uma consulta iterativa, ele pode responder
com o endereço IP para o nome de domínio (se conhecido), ou com uma referência
para o DNS servidores que são responsáveis para o domínio que está sendo consultado.
O servidor DNS continua este processo até que ele localizar.
- 91 -
Consultas de Dicas Raiz
Como dicas de raiz são uma lista dos 13 FQDNs da Internet que o seu Servidor DNS se não
puder fazer uma consulta resolvedo DNS, ele utiliza os seus proprios dados de zona, ele
usa um encaminhador DNS, ou o seu proprio cache. como dicas de raiz, e lista os mais
altos servidores DNS na hierarquia, e pode fornecer como Informações necessárias Para
um servidor DNS para executar uma consulta iterativa, a próxima camada mais baixa da
namespace DNS.
- 92 -
Encaminhadores
Um encaminhador é um servidor DNS de rede que encaminha consultas de nomes
externos para servidores DNS fora da sua rede. Você também pode criar e usar
encaminhadores condicionais para encaminhar consultas de acordo com os nomes de
domínio específicos.
Servidores Cache DNS.

Cache DNS aumenta o desempenho do sistema de DNS da organização, diminuindo o
ritmo de pesquisa de DNS. Quando um Servidor DNS resolve hum Nome de DNS com
Sucesso, ele adiciona o nome a sua lista de cache. Sobre tempo, isso cria hum de cache
de Nomes de Domínio e SEUS Endereços IP associados Para a maior Parte fazer
domínios Que estão nos EUA ou. O ritmo Padrão Para manter hum Nome uma hora em
cache . O Proprietário da zona pode isso configurar isso modificando os Registro de
Autoridade (SOA) do Para um apropriado zona de DNS.
- 93 -
Zona Primaria
Quando o servidor DNS é o host principal a zona, e a zona é primária. Além disso, o
servidor de DNS armazena a cópia master dos dados da zona ou em um arquivo local
ou no ADDS. Quando o servidor DNS armazena os dados da zona em um arquivo, o
arquivo de zona primária, por padrão é nomeado zone_name.dns, e está localizado no
servidor na pasta %windir%\System32\ Dns. quando o zona não é armazenada no
ADDS, o servidor zona primária é o único servidor DNS que tem uma cópia gravável a
base de dados.
Zona Secundaria
Quando o servidor DNS é Host, mas é a segunda opção de informações sobre a zona,
a zona é umzona secundária. As informações zona neste servidor deve ser obtido a
partir de outro servidor DNS que também hospeda a zona. Este servidor DNS deve ter
acesso à rede para o servidor de DNS para receber zona atualizadas informações.
Porque uma zona secundária é uma cópia de uma zona primária que outro servidor
anfitriões, a zona secundária não podem ser armazenados em ADDS. As zonas
secundárias pode ser útil se você está replicando dados de não-Windows Zonas DNS.
- 94 -
Zona Stub
Uma zona de stub é uma cópia replicada de uma zona que contém apenas os registros
que são necessários para identificar os servidores DNS autorizados dessa zona. Uma
zona de stub resolve nomes entre DNS separado namespaces, que pode ser necessário
quando uma fusão corporativa requer que os servidores de DNS para dois DNS
separado namespaces resolver nomes para clientes em ambos os namespaces.
Zona Intregada ao ADDS

Se ADDS armazena os dados de fuso, DNS pode usar o modelo de replicação multi-
measter para replicar os dados zona primária. Isso permite que você edite
simultaneamente dados da zona em mais de um servidor DNS.
Atualização Automatica de Zona

A atualização dinâmica é uma atualização do DNS em tempo real tempo. As
atualizações dinâmicas são importantes para o DNS clientes que alteram locais, porque
pode registrar e atualizar dinamicamente seus recursos registros sem intervenção
manual.O Dynamic Host Configuration Protocol (DHCP) a entrega do endereçamento
ao Cliente Realiza o registro, independentemente de saber se o endereço IP do Cliente
de e obtido a Partir hum Servidor DHCP ou e fixo.
- 95 -
Laboratório Implementando Servidor DNS
Logue no Servidor SRVDC01, execute o Windows Powershell como Administrador.
Em seguida digite o comando Install-WindowsFeature DNS –

IncludeManagementTools.
- 96 -
Navegue até a console do DNS no Gerenciador do Servidor em seguida Ferramentas,
opção DNS.
Na console de Gerenciamento do DNS, veja as informações seguintes.
- 97 -
Acesso o Windows Powershell e digite o comando Add-DnsServerPrimaryZone -
Name cepeplab.com.br -ZoneFile cepeplab.dns.
Atualize a console do Gerenciador de DNS, e veja se a zona foi criada com sucesso.
- 98 -
Digite no Windows PowerShell Add-DnsServerResourceRecordA –ZoneName
cepeplab.com.br –Name CLI01 –Ipv4Address 172.16.50.101
Atualize a Console do DNS, clique na Zona cepeplab.com.br, e veja se o registro do

tipo Host foi criado para o CLI01.
- 99 -
Execute o comando ping para SRVDC01, em seguinda execute o ping –a para
172.16.50.1.
Na Console de Gerenciamento do DNS, clique com botão direito do mouse e

selecione novo Servidor de Mensagem.
- 100 -
Em seguida preencha com as informações necessarias de acordo com a imagem.
Crie um Registro do tipo Host (A) como nome SRVWEB01 apontando para IP
172.16.50.1.
- 101 -
Crie um Registro do tipo CNAME.
Em seguida adicione as informações, nome WWW, clique em procurar.
- 102 -
Em seguida clique duas vezes no SRVDC01, navegue até o Registro do tipo (A),
SRVWEB01.
Em seguida clique em OK, para finalização do procedimento.
- 103 -
Em seguida execute o ping para www.cepeplab.com.br.
Na Console de Gerenciamento do DNS, clique com botão direito do mouse em Zona

de Pesquisa Inversa, Nova Zonda.
- 104 -
Cliquem em Avançar, na opção de boas vindas.
Escolha a opção de Zona Primaria clique em Avançar.
- 105 -
Selecione a opção Zona de Pesquisa Inversa IPV4.
Adicione o Endereço de Rede 172.16.50., cliquem em avançar.
- 106 -
Em arquivo de Zona clique em avançar.
Clique em Avnaçar na opção de updates.
- 107 -
Clique em Concluir.
Logue no CLI01 e execute Windows PowerShell o seguinte comando Get-

DnsClientServerAddress
- 108 -
Em seguida o comando Clear-DnsClientCache
Execute o comando Resolve-DnsName SRVDC01.
- 109 -
Introdução ao Serviços de Dominio Active Directory
Serviços de Domínio Active Directory (AD DS) e seus serviços relacionados formam a
base para a empresa que executam sistemas operacionais Windows. O banco de dados
AD DS é o repositório central de todos o domínio objetos, como contas de usuário,
contas de computador e grupos. AD DS fornece um hierárquico pesquisável diretório,
e fornece um método para aplicar as definições e configuração e segurança para
objetos na empresa. Este capitulo abrange a estrutura do AD DS e seus vários
componentes, tais como floresta, domínio, e unidades organizacionais (OUs). O
processo de instalação do AD DS em um servidor foi aperfeiçoado e melhorado com o
Windows Server 2012 em comparação com o processo de instalação do AD DS com
versões anteriores dos sistemas operacionais do servidor Windows. este capitulo
analisa das algumas opções que estão disponíveis com o Windows Server 2012 para a
instalação de AD DS em um servidor. Ele também dá uma visão geral dos controladores
de domínio, além de opções que estão disponíveis com Windows Server 2012 para a
instalação do AD DS em um servidor. O banco de dados AD DS armazena informações
sobre a identidade do usuário, computadores, grupos, serviços e
recursos.Controladores de domínio do AD DS também hospedar o serviço que
autentica contas de usuário e computador quando entrar para o domínio. Porque
banco do AD DS contem as informações sobre todos os objetos no domínio, e todos
usuários e computadores deve se conectar a controladores de domínio AD DS quando
acessam a rede, AD DS é o principal meio pelo qual você pode configurar e gerenciar
contas de usuário e computador em sua rede. Esta lição abrange os componentes
lógicos de núcleo e componentes físicos que compõem um DS AD implantação.
AD DS
AD DS é composto de componentes lógicos e físicos . Você precisa entender que a
forma que oscomponentes do AD DS trabalhar juntos para que você posa gerenciar
sua infra-estrutura de forma eficiente. em conjunto, você pode usar muitas outras
opções de AD DS para executar ações como instalação, configuração, e atualização de
aplicativos; gestão da segurança a infraestrutura; permitindo acesso remoto e
DirectAccess; e emissão e gerenciamento de certificados digital. Um dos recursos mais
utilizados AD DS é Política grupo, que permite que você configure de forma
centralizada as políticas que você pode usar para gerenciar a maioria dos objetos no
- 110 -
AD DS. Compreender as funções do AD DS e seus componentes é importante para que
tenha uma implementação de Diretiva de Grupo com sucesso.
AD DS
AD DS é feito de componentes lógicos, os componetes logicos são estruturas que você
usar para implementar um projeto Active Directory que é apropriado para uma
organização.
Componentes Logicos Descrição

Partições Esta é uma secção da base do dados AD DS. Embora o banco
de dados é um arquivo chamado Ntds.dit, você vê-lo,
controlá-lo e replicá-la como se ela consiste de seções
distintas ou instâncias. Estes são chamados de partições, que
são também chamados contextos de nomeação.
Esquema Este é o conjunto de definições dos tipos de objetos e
atributos que pode ser usado para criar objetos no AD DS.
Dominio Este é um recipiente lógico, administrativo para usuários e
computadores.
Arvore de Dominio São varios domínios que compartilham um domínio raiz
comum e uma contígua Domain Name System (DNS)
namespace.
Foresta Varios dominios que compartilham um AD DS
Site São varios usuários, grupos e computadores que são
definidos por sua localização física. Você pode usar sites para
planejar tarefas administrativas, como replicação de
alterações para o banco de dados do AD DS.
Unidade Organizacional (OU) Unidade organizacional é um objeto de recipiente que
fornece uma estrutura para delegando direitos
administrativos e para a ligação de Group Policy Objects
(GPOs).
Container Contêiner é um objeto que fornece uma estrutura
organizacional para uso em
AD DS. Containers não pode ter GPOs vinculados a ele.
- 111 -
Componentes Fisicos
A tebela seguinte seguem com as informações dos componete fisicos.
Componentes Fisicos Descrição

Controlador de Dominio Controlador de Dominio contém uma cópia do banco
de dados do AD DS. Para a maioria das operações, cada
controlador de domínio pode processar alterações e
replicar as alterações para todos os outros
controladores de domínio no domínio.
Armazenamento de Dados Existe um armazenamento de dados sobre cada
controlador de domínio; que detém o banco de dados
AD DS.O banco de dados AD DS usa a tecnologia de
banco de dados Microsoft Jet, e armazena o
informações de diretório no arquivo Ntds.dit e arquivos
de log associados. esses arquivos são armazenados na
pasta C:\Windows\NTDS por padrão.
Catalago Global É um controlador de domínio que hospeda o catálogo
global, que é uma cópia parcial, somente leitura de
todos os objetos na floresta. Um catálogo global
acelera buscas por objetos que possam ser
armazenados em controladores de domínio de uma
forma diferente domínio da floresta.
(RODC) É um controlodor de dominio somente de leitura
especial de AD DS. Rodc são frequentemente utilizados
em filiais, onde a segurança e suporte de TI são menos
avançado do que no principais centros empresariais.
AD DS, Usuarios e Grupos

Um domínio do AD DS é um recipiente lógico usado para gerenciar usuário,
computador, grupo e outros objetos. Todos os objectos do domínio são armazenados
no banco do dados AD DS, uma cópia da qual é armazenada em cada controlador de
domínio. Há varios tipos de objetos no banco de dados AD DS, incluindo contas de
usuário, contas computador, e grupos.
• As contas de usuário. As contas de usuário contêm as informações necessárias para

autenticar um usuário durante o processo de logon e construir token de acesso do
usuário.
• As contas de computador. Cada computador associado a um domínio tem uma conta

no AD DS. As contas de computador são usado para computadores associados a um
domínio da mesma forma que as contas de usuário são usados para os usuários.
- 112 -
• Grupos. Os grupos são usados para organizar usuários ou computadores para torná-
lo mais fácil de gerenciar permissões e política de grupo no domínio.
Dominio AD DS e Replicação
Quando são feitas alterações a qualquer objeto no domínio, o controlador de domínio
em que a mudança ocorreu ela é replicada para todos os outros controladores de
domínio no domínio. Se houver vários domínios a floresta, apenas subconjuntos das
alterações são replicadas para outros domínios. AD DS utiliza um multi mestre modelo
de replicação que permite que cada controlador de domínio para fazer alterações em
objetos no domínio. alterações para identificador de gestão relativo (RID), na versão
de domínio do Active Directory do Windows Server 2012 Serviços (Windows Server
2012 Active Directory) agora permitem que um único domínio para conter quase 2
bilhões objectos. Com esse volume de capacidade, a maioria das organizações poderia
implantar apenas um único domínio e garantir que todos os controladores de domínio
contêm todas as informações de domínio.No entanto, as organizações que
descentralizaram estruturas administrativas, ou que são distribuídos em vários locais,
pode considerar a implementação vários domínios na mesma floresta para acomodar
as necessidades administrativas de seu ambiente.
Dominio AD DS e o Centro Administrativo

O domínio contém uma conta de administrador que pertence ao grupo de
administradores do domínio. Por padrão, a conta Administrador é um membro do
grupo Administradores de domínio, bem como o grupo de administradores de domínio
é um membro de cada grupo Administradores local de computadores associados a um
domínio. Além disso, por padrão, o grupo membros de administradores de domínio
têm controle total sobre todos os objetos no domínio. A conta de administrador na raiz
da floresta domínio tem direitos adicionais.
- 113 -
Dominio AD DS e Autenticação
Sempre que um computador associado ao domínio começa, ou um usuário em um
computador associado a um domínio, AD DS autentica. A autenticação verifica se o
computador ou usuário tem as credenciais adequadas para uma Conta do AD DS.
Unidade Organizacional
Uma unidade organizacional (OU) é um objeto de contêiner dentro de um domínio que
você pode usar para consolidar usuários, computadores, grupos e outros objetos. OUs
não deve ser confundido com o genérico objetos de contêiner no AD DS. o primário
diferença entre OUs e recipientes são o capacidades de gestão. Os recipientes têm
capacidades limitadas de gestão; por exemplo, você não pode aplicar um GPO
directamente para um recipiente. você normalmente utilizar recipientes para objetos
do sistema e como o locais padrão para novos objetos. Com OUs, você tem mais opções
de gestão, você pode vincular Diretamente GPOs, atribuir um gerente de unidade
organizacional e associar uma partição COM+ com uma UO. Embora não exista uma
opção de menu para a criação de novos contêiners, Usuários e Computadores do Active
Directory, Você pode criar novas OUs no AD DS, a qualquer momento. Há duas razões
para criar OUs:
• Para agrupar objetos para torná-lo mais fácil para gerenciá-los através da aplicação
de objetos de diretiva de grupo (GPO) para todo o grupo. Você pode atribuir GPOs à
UO, e as configurações se aplicam a todos os objetos dentro do OU. GPOs são políticas
que os administradores a criar para gerir e configurar as definições para computadores
e, OU, usuários. As GPOs são implantados, ligando-as OUs, domínios ou sites.
• Para delegar o controle administrativo de objetos dentro da OU. Você pode atribuir
permissões de gerenciamento em uma UO, delegação de controle de OU para que um
gerente dentro AD DS para além do grupo de administradores.
Você pode usar as OUs para representar as estruturas hierárquicas e lógicas dentro de
sua organização. Por exemplo, você pode criar OUs que representam os
departamentos dentro da sua organização, as regiões geográficas dentro de sua
organização, ou uma combinação de ambas as regiões departamentais e geográficos.
Você pode usar OUs para gerenciar a configuração e utilização do usuário, grupo e
contas de computador com base na sua modelo organizacional.
- 114 -
Designer e Heraquia
Você pode usar as OUs para representar as estruturas hierárquicas e lógicas dentro de
sua organização. Por exemplo, você pode criar OUs que representam os
departamentos dentro da sua organização, as regiões geográficas dentro de sua
organização, ou uma combinação de ambas as regiões departamentais e geográficos.
Você pode usar OUs para gerenciar a configuração e utilização do usuário, grupo e
contas de computador com base na sua modelo organizacional. Você também pode
criar OUs dentro de outras OUs. Por exemplo, sua organização pode ter vários
escritórios, e cada serviço pode ter uma equipe de administradores de TI que são
responsáveis pela gestão de usuário e contas de computador em seu escritório. Além
disso, cada gabinete pode ter diferentes departamentos, com diferentes requisitos de
configuração do computador. Nesta situação, você pode criar uma UO para cada cargo,
e em seguida dentro de cada uma dessas unidades organizacionais, criar uma UO para
os administradores de TI e OUs para cada um dos outros.
AD DS e Floresta
Uma árvore de domínio é um conjunto de um ou mais domínios que compartilham um
espaço de nomes. A floresta é uma ou mais árvores de domínio que compartilham um
esquema de diretório comum e global catálogo. O primeiro domínio que é criado no
floresta é chamado de domínio raiz da floresta. a floresta de domínio raiz contém
alguns objetos que não fazer existem em outros domínios na floresta. porque estes
objectos são sempre criadas no primeiro domínio controlador criado, uma floresta
pode consistir em tão pouco como um domínio com um único controlador de domínio,
ou que pode consistir em centenas de entre os domínios várias árvores. Os seguintes
objetos existem apenas no domínio raiz da floresta:
• A função de mestre de esquema. Esta é uma função de controlador de domínio de

toda a floresta especial. Há apenas um mestre esquema em qualquer floresta. O
esquema pode ser alterado apenas no controlador de domínio que detém a mestre de
esquema.
• A nomeação de domínio função de mestre. Esta é também função de controlador

de domínio de toda a floresta especial. Não só é uma nomeação de domínio em
qualquer floresta. Novos nomes de domínio podem ser adicionados ao diretório
somente por o mestre de nomeação de domínio.
- 115 -
• O grupo Administradores de Empresa. Por padrão, o grupo Administradores de
Empresa tem a conta de administrador para o domínio raiz da floresta como um
membro. O grupo Administradores de Empresa é um membro do Grupo local de
administradores em cada domínio na floresta. Isso permite que os membros dos
Administradores de Empresa grupo para ter controle total direitos administrativos para
cada domínio em toda a floresta.
• O grupo Administradores de esquema. Por padrão, o grupo Administradores de

esquema não possui membros. Somente os membros da o grupo Administradores de
empresa, ou grupo de administradores de domínio (no domínio raiz da floresta), pode
adicionar membros ao grupo Administradores de esquema. Apenas os membros do
grupo Administradores do Esquema pode fazer alterações no Esquema.
AD DS e Esquema
O esquema AD DS é o componente que define todas as classes de objetos e atributos
que o AD DS usa para Data Store. É por vezes referido como o modelo para o AD DS. O
esquema é replicada entre todos os controladores de domínio na floresta. qualquer
alteração que é feita ao esquema é replicado para cada controlador de domínio na
floresta do titular mestre de esquema, que normalmente é o primeiro controlador de
domínio na floresta. AD DS armazena e recupera informações de um ampla variedade
de aplicações e serviços. Ele fazi sto, em parte, mediante a normalização como os
dados são armazenados em o diretório AD DS. Com a padronização de armazenamento
de dados, o AD DS pode recuperar, atualizar e replicar dados, enquanto assegurando
que a integridade dos dados é mantida.
Active Directory
Foram implementadas no Windows Server 2012, algumas alterações introduzidas no
Active Directory. Estas melhorias focadas em quatro áreas principais: a virtualização,
implementação, administração.
- 116 -
Virtualização
• A nova propriedade GenerationID, quando usado com um hypervisor da geração
mais recente (como do Windows 2012 R2 Hyper-V), permite uma máquina virtual para
detectar eventos, tais como um rollback instantâneo. Isso ajuda a evitar problemas que
podem ocorrer quando um controlador de domínio out-of-date é iniciado.
• Um novo processo de clonagem foi desenvolvido para controladores de domínio que

usa o GenerationID propriedade para permitir que uma máquina virtual recentemente
clonado para determinar que é um clone. O recém-clonado máquina, em seguida, usa
o DCCloneConfig.xml, que você cria, como parte do processo de clonagem, a
reconfigurar o novo controlador de domínio.
Implementação, Autalização e Melhorias

• Em versões anteriores do sistema operacional Windows Server, você tinha que
executar a linha de comando adprep ferramenta manualmente para preparar o
sistema antes de instalar controladores de domínio. Estes processos agora executado
automaticamente como parte do processo de instalação do controlador de domínio.
• Antes de concluir o Assistente de Configuração do AD DS, você pode copiar do

Windows Script PowerShell o assistente cria e usá-lo para automatizar as instalações
AD DS adicionais.
Melhorias de Gerenciamento
• Controle de Acesso Dinâmico é um novo recurso que torna mais fácil para controlar
quem pode acessar os recursos e auditar quem acessou eles. Autorização baseada em
declarações foi implementado para melhorar a modelo de autorização atual. Por
exemplo, um usuário pode ser necessário para acessar determinados recursos de um
dispositivo específico, para além de ser um membro de um grupo específico.
• A nova interface de usuário para a Lixeira do Active Directory torna mais fácil e mais
rápido para recuperar objetos. Windows Server 2008 introduziu o AD lixeira, mas não
incluiu um usuário baseada em GUI interface e era, difícil de usar.
- 117 -
Controlador de Dominio
Um controlador de domínio é um servidor que está configurado para armazenar uma
cópia do banco de dados do diretório do AD DS (Ntds.dit) e uma cópia da pasta SYSVOL.
todos os controladores de domínio, exceto RODC tem uma cópia de ambos Ntds.dit
eo SYSVOL pasta. Ntds.dit é o próprio banco de dados, e o Pasta SYSVOL contém todas
as configurações do modelo e arquivos para GPOs. Os controladores de domínio usam
uma replicação de vários servidores mestres; na maioria das operações, os dados
podem ser modificada em qualquer controlador de domínio, exceto em RODCs. O
serviço de replicação AD DS, em seguida, sincroniza as alterações que foram feitas ao
banco de dados AD DS para todos os outros controladores de domínio em o domínio.
Na versão original do Windows Server 2012, você pode usar o serviço de duplicação de
arquivos (FRS) ou o mais recente de replicação Distributed File System (DFS) para
replicar as pastas SYSVOL. No Windows Server 2012 R2, você pode usar somente a
Replicação DFS.
Os controladores de domínio hospedam vários outros serviços relacionados ao Active

Directory, incluindo o Kerberos serviço de autenticação, que as contas de usuário e
computador usado para sign-in de autenticação; eo Key Centro de Distribuição (KDC),
que emite os bilhetes de concessão de ticket (TGTs) para uma conta que os sinais para
o AD DS domínio. Opcionalmente, você pode configurar os controladores de domínio
para hospedar uma cópia do catálogo global. Todos os usuários em um domínio do AD
DS existem no banco de dados do AD DS, se o banco de dados está indisponível por
qualquer motivo todos operações em função da autenticação baseada em domínio
falhará. Como melhor prática, um domínio do AD DS
- 118 -
Catalogo Global
O catálogo global é uma parcial, somente leitura, cópia pesquisável de todos os objetos
na floresta. ele acelera as pesquisas para objetos que possam ser armazenado em
controladores de domínio de uma forma diferente domínio da floresta. Dentro de um
único domínio, o banco de dados do AD DS em cada controlador de domínio contém
todas as informações sobre cada objeto nesse domínio, mas apenas um subconjunto
desta informação é replicada para servidores de catálogo global em outros domínios
na floresta. Dentro de um determinado domínio, uma consulta para um objecto é
dirigido a um dos controladores de domínio nesse domínio, mas que busca não inclui
resultados sobre objetos em outros domínios na floresta. para consulta para incluir os
resultados de outros domínios da floresta, você deve consultar um controlador de
domínio que é um servidor de catálogo global. Por padrão, o primeiro controlador de
domínio no domínio raiz da floresta é o único hospedado servidor de catálogo global.
Para melhorar a procura através de domínios em uma floresta, você deve configurar
adicional controladores de domínio para armazenar uma cópia do catálogo global.
Sites
Um cliente usa sites de quando ele precisa entrar em contato com um controlador de
domínio. Ele começará a procurar os registros SRV no DNS. A resposta para a consulta
DNS inclui:
• Uma lista dos controladores de domínio no mesmo local que o cliente.
• Uma lista dos controladores de domínio do local mais próximo que não inclua um
RODC, se não houver controladores de domínio disponíveis no mesmo site, e a tentar
na próxima Closest definição de Política de Grupo do site é activado.
• Uma lista aleatória de controladores de domínio disponíveis no domínio, caso

nenhum controlador é encontrado no próximo local mais próximo.
Os administradores podem definir sites no AD DS. Quando você está definindo locais,
você deve considerar quais as partes do a rede tem boa conectividade e largura de
banda. Por exemplo, se uma filial é conectado ao principal centro de dados por um link
WAN não confiável, você deve definir a filial e do centro de dados como locais
separados.
- 119 -
Mestres de Operações
Algumas operações podem ser realizadas apenas por uma papel específico, em um
controlador de domínio específico. A controlador de domínio que tem um desses
papéis é chamado de um mestre de operações (também conhecido como operações
de mestre único flexível (FSMO). Há cinco funções de mestre de operações, e todos os
cinco pode estar localizado num controlador de domínio único ou eles podem ser
distribuídos em vários domínios controladores. Por padrão, o primeiro controle de
domínio instalado em uma floresta contém todas as cinco funções; no entanto, esses
papéis podem ser movidos mais uma vez de domínio controladores são construídas.
Ao permitir que as mudanças apenas em um único controlador de domínio das
operações de funções de mestre de ajudar a evitar conflitos no AD DS causadas por
latência de replicação. Ao fazer alterações de dados realizada em uma das operações
de funções de mestre você deve conectar-se ao controlador de domínio que detém a
função.
As funções de mestre de cinco operações estão distribuídas da seguinte forma:
• Cada floresta tem um mestre de esquema e um mestre de nomeação de domínio.
• Cada domínio AD DS tem um mestre RID, um mestre de infra-estrutura, e um domínio

primário controlador (PDC) emulador.
Mestres de Operações de Floresta

• Nomeação de Domínio. Este é o controlador de domínio que deve ser contactado
quando você adiciona ou remover um domínio, ou quando você faz mudanças de
nomes de domínio. Se o mestre de nomeação de domínio não estiver disponível, você
não será capaz de adicionar domínios adicionais para a floresta.
• Mestre de esquema. Este é o controlador de domínio em que você faz todas as

alterações de esquema. Fazer alterações tipicamente entrar no mestre de esquema
como um membro dos Administradores de esquema e Administradores de Empresa
grupos. Um usuário que é membro de ambos os grupos e quem tem o permissões
apropriadas também pode editar o esquema usando um script.
- 120 -
Mestres de Operações de Dominio
• ID Relative master (RID). Sempre que um objeto é criado no AD DS, o controlador de
domínio em que o objeto é criado atribui o objeto um número de identificação único,
conhecido como SID. Para garantir que nenhum dois controladores de domínio atribuir
o mesmo SID a dois objetos diferentes, o mestre RID aloca blocos de livra para cada
controlador de domínio no domínio para usar na construção do SID. Se o mestre de
RID não estiver disponível, você pode experimentar dificuldades adicionando novos
objetos para o domínio. Como controladores de domínio de usar seus RID existentes
eles acabarão por ficar sem passeios e ser incapaz de criar novos objetos.
• Mestre Infra-estrutura. Este papel mantém referências a objetos inter-domínio,

como quando um grupo de um domínio contém um membro de outro domínio. Nesta
situação, a infra-estrutura mestre está responsável por manter a integridade desta
referência. Por exemplo, quando você olha para a segurança guia de um objeto, o
sistema procura-se os SID que são listados e os traduz em nomes. em um multi-
domínio da floresta, o mestre de infraestrutura olha SIDs de outros domínios. Se o
mestre de infra-estrutura é, controladores de domínio indisponíveis que não são
catálogos globais são incapazes para verificar membros do grupo universal e são
incapazes de autenticar os usuários. O papel da infra-estrutura não deve residir em um
servidor de catálogo global, a menos que você tem um único domínio floresta. A
exceção é quando você segue as melhores práticas e fazer o controlador de domínio
cada um mundial catálogo. Nesse caso, o papel da infra-estrutura não é necessária
porque cada controlador de domínio sabe sobre cada objeto na floresta.
• Mestre PDC emulador. O controlador de domínio que tem o PDC emulador é a fonte
de tempo para o domínio. Os emuladores de PDC em cada domínio em uma floresta
sincronizar seu tempo com o emulador PDC no domínio raiz da floresta. Você define o
emulador PDC no domínio raiz da floresta para sincronizar com um fonte de tempo
externa confiável. O emulador PDC é também o controlador de domínio que recebe as
alterações de senha urgentes. Se um utilizador senha é alterada, a informação é enviada
imediatamente para o controlador de domínio que o PDC emulador. Isto significa que
se o usuário tentar entrar, mesmo se o usuário tivesse sido autenticada por um
- 121 -
controlador de domínio em um local diferente que ainda não tinha recebido a
informação nova senha, o controlador de domínio na localização atual do usuário
entrará em contato com o controlador de domínio que o PDC
emulador para verificar as alterações recentes. Se o emulador PDC não estiver

disponível, os usuários podem ter problemas para acessar até a sua alteração de senha
tem replicada para todos os controladores de domínio. O emulador PDC também é
usado durante a edição de GPOs. Quando um GPO que não seja um GPO local é aberto
para edição, a cópia editada é armazenado no emulador PDC. Isto é feito para impedir
conflitos se dois Os administradores de tentar editar o mesmo GPO ao mesmo tempo
em diferentes controladores de domínio. No entanto, você pode optar por usar um
controlador de domínio específico para editar GPOs. Isto é especialmente útil ao editar
GPOs em um escritório remoto com uma conexão lenta para o emulador PDC.
Instalação do Controlador de Dominio

Com o Windows Server 2008 e versões anteriores, foi uma prática comum para iniciar o
Active Directory Assistente de Instalação dos Serviços de Domínio com o ferramenta
dcpromo para instalar controladores de domínio. mas, começando com o Windows
Server 2012, Active Assistente de Instalação dos Serviços de Diretório é parte do Server
Manager e uso dcpromo é suportado apenas para automação legado.O processo de
promoção controlador de domínio é um processo de duas etapas. Primeiro, você precisa
instalar os arquivos que a função de controlador de domínio usa, e então você instalar
a própria função de controlador de domínio.
Antes da Instalação leve em consideração algumas questões:
Você está instalando uma nova floresta, um novo árvore, ou um controlador de domínio
adicional para um domínio existente?
Qual é o nome de DNS para o DS AD domínio?
Qual será o nível funcional da floresta ser definido?
Qual será o nível funcional do domínio?
Será que o controlador de domínio seja um servidor DNS ?
Será que o controlador de domínio Catálogo Global?
Será que o controlador de domínio é um RODC?
Quais serão os Directory Services Restore Mode (DSRM) qual a senha?
Qual é o nome NetBIOS para o AD DS?
Onde é que o banco de dados, arquivos de log e Pastas SYSVOL ser criado?
- 122 -
Essas questões devem ser levantadas antes da instalação do AD DS.
Instalação do AD DS em Windows Server Core 2012 R2

Um servidor Windows Server 2012 que está executando Server Core não tem o
Gerenciador do ServidorInterface gráfica, por isso você precisa usar métodos
alternativo para instalar os arquivos para instalar a função de controlador de domínio.
Você pode usar o Gerenciador do Servidor, o Windows PowerShell, ou Administração
de Servidor Remoto Tools (RSAT) instalado em um cliente Windows 8.1.
Para instalar os arquivos do AD DS no servidor, você pode fazer um dos seguintes
passos:
• Use o Gerenciador de servidor para se conectar remotamente o servidor Server Core

e instalar o AD DS papel, conforme descrito no tópico anterior.
• Use o comando Windows PowerShell Install-WindowsFeature AD-Domain-Services
para instalar os arquivos.
Depois de instalar os arquivos do AD DS, você pode completar tudo, exceto a instalação
de hardware e a configuração de uma das seguintes maneiras:
• Use Manager para iniciar o Assistente de Configuração dos Serviços de Domínio
Active Directory Server como descrito no tópico anterior.
• Execute o cmdlet Windows PowerShell Install-ADDSDomainController.
- 123 -
Laboratório Instalando AD DS
Logue No servidor SRVDC01, clique em Adicionar funções e Recurso.
Em Assistente de Adição de Funções e Recursos, clique em proximo.
- 124 -
Selecione Instalação Baseada em função ou recurso, clique em proximo.
Selecione o Servidor de acordo com a figura e clique em Proximo.
- 125 -
Selecione a opção Active Directory Domain Services
Na janela Assiste de Adição de Funções e Recursos, clique em Adicionar Recursos.
- 126 -
Veja se a opção seleciona esta de acordo coma figura, clique em proximo.
Em AD DS, clique em Proximo.
- 127 -
Confirme a opções seleciona e clique em Instalar.
Aguarde a instalação do serviço de AD DS, clique em Fechar.
- 128 -
Após a instalação, clique no alerta que aparece no Dashboard.
Clique em Promover este servidor ao controlador de dominio.
- 129 -
Selecione a opção Adicionar uma nova floresta, clique em proximo.
Em seguida digite o nome do domino cepeplab.com.br, clique em Proximo.
- 130 -
Em seguida adicione a senha padrão do laboratorio para restação do AD DS, clique
em Proximo.
Clique em Proximo na delegação de DNS.
- 131 -
Na opção de Netbios, veja se esta de acordo com a figura, e clique em proximo.
Observer os diretorios dos dados do AD DS, clique em Proximo.
- 132 -
No resumo verifique se esta tudo de acordo, clique em Exibir Script.
Veja o Script que pode ser aproveitado, para criação de um novo AD DS.
- 133 -
Na verificações de Pré-Requisitos, clique em Instalar, ele vai alertar do DNS, porém
ficara normalizado.
Após a instalação e reinicialização do Servidor, navegue até a opção Ferramentas, e

Usuarios e Computadores do Active Directory.
- 134 -
Em seguida veja a janela com todas as informações do AD DS.
Clique em Domain Controllers, e verifique se há uma conta do SRVDC01.
- 135 -
Em seguida navege até Buitin, verifique as contas locais de Dominio.
Navegue até a OU User, verifique os grupos e usuarios do Dominio.
- 136 -
Navegue até o Iniciar acesse o Executar.
Em seguida digite \\SRVDC01.
- 137 -
Verique as pasta de NETLOGON e SYSVOL, que sõ utilizadas para autenticação e
demais funções do AD DS.
Volte a janela do AD DS, clique em Exibir, e marque a opção Recursos avançados.
- 138 -
Agora veja como encontra-se a janela do AD DS.
Navegue até o Dashboard, vá em Ferramentas, escolha a opção DHCP.
- 139 -
Clique com botão direito no Servidor SRVDC01, clique em Autorizar.
Em seguida verifique se o escopo DHCP esta ativo.
- 140 -
Em seguida execute o Windows PowerShell, como Administrador.
Execute o comando netdom query fsmo, veirifque as FSMO do AD DS.
- 141 -
Em seguida navegue até o DashBoard, clique em Serviços e Sites do Active Directory.
Em seguida expanda o container, Default-First-Site-Name, Servers, SRVDC01.
- 142 -
Clique com botão direito do mouse, selecione a opção Propiedades.
Em seguida navegue até a aba Geral, veja que o SRVDC01 é um Catalago Global.
- 143 -
Na guia Objetos veja as infomações e marque a opção Proteger objeto contra
exclusão acidental.
Em seguida navegue até a aba Segurança.
- 144 -
Nevegue até a janela do AD DS, em seguida clique com botão direito do mouse no
dominio, selecione a opção Mestre de operações.
Navegue até a aba RID.
- 145 -
Naegue até a aba Controlador de domino primario.
Navegue até a aba Infraestrutura.
- 146 -
Gerenciando os Objetos do Active Directory
Serviços de Domínio Active Directory (AD DS) pode ajudá-lo a gerenciar sua rede de
forma mais eficaz em muitas maneiras. Por exemplo, ele permite que você gerenciar
contas de usuário e computador como parte de grupos em vez de gerir uma conta de
cada vez. Ele também fornece formas de delegação de tarefas administrativas para
várias pessoas para ajudá-lo a distribuir as cargas de trabalho de forma eficiente.
Gerenciamento de Contas de Usuarios

Um objeto de usuário no AD DS é muito mais do que apenas as propriedades
relacionadas à identidade de segurança do usuário, ou conta. É a pedra angular da
identidade e de acesso no AD DS. Portanto, coerente, eficiente e processos seguros
quanto à administração de contas de usuário são a pedra angular da gestão de
segurança da empresa. Nesta lição, você vai aprender sobre o gerenciamento de
contas de usuários, o que é mais complexo do que apenas criar e excluí-los. As contas
de usuário ter muitos atributos associados a eles que podem ser usados para uma
diversos fins, como o armazenamento de informações de contato do usuário adicional
ou informações específicas do aplicativo para aplicações com o Active Directory. Além
disso, existem arquivos e configurações específicas de usuários que não são
armazenadas no Active Directory, mas são normalmente armazenados no perfil do
usuário. Finalmente, você vai aprender sobre o uso do usuário modelos para ajudar a
criar contas de usuário mais facilmente.
- 147 -
Administrandor Active Directory usando Snap-ins
Podemos administrar o AD DS das seguintes formas:
• Usuários e Computadores do Active Directory. você utilizar este snap-in para

gerenciar mais comum dia-a-dia os recursos, incluindo usuários, grupos computadores
e unidades organizacionais (OUs). Você provavelmente vai usar esse snap-in com muito
mais frequência do que o outros três.
• Sites e Serviços do Active Directory. Você usa esse snap-in para gerenciar a
replicação, a topologia da rede, e serviços relacionados.
• Active Directory Domínios e relações de confiança. Você usa esse snap-in para
configurar e manter a confiança relações e do nível funcional da floresta.
• Esquema do Active Directory. Você usa esse snap-in para analisar e modificar a
definição de Ativo Diretório atributos e classes de objetos. É o modelo para AD DS.
Você raramente vai olhar para ele, e mesmo mor
Centro Administrativo do Active Directory

Windows Server 2012 fornece uma outra opção para o gerenciamento de objetos do
AD DS. O Active Directory Centro Administrativo fornece uma interface gráfica do
usuário (GUI) construída sobre o Windows PowerShell. Podemos usar essa interface
melhorada para executar AD DS gerenciamento de objetos usando a navegação
orientada por tarefas. Tarefas que podem ser executadas usando o Centro
Administrativo do Active Directory incluem:
• Criar e gerenciar usuário, contas de computador e de grupo
• Criar e gerenciar OUs
• Conectar-se a, e gerenciar vários domínios dentro de uma única instância do Centro

Administrativo Active Directory
• pesquisar e filtrar dados do Active Directory através da construção de queries
- 148 -
• Gerencie configurações de controle de acesso dinâmico, como as políticas de acesso
central e Regras de acesso central Todas as ações que executa o Centro Administrativo
Active Directory são os comandos do Windows PowerShell, que você pode ver na área
de história do Windows PowerShell do Centro Administrativo do Active Directory. Você
pode copiar esses scripts e reutilizá-los nos processos subsequentes.
Windows PowerShell
Você pode utilizar o módulo do Active Directory para Windows PowerShell (módulo
Active Directory) para criar e gerenciar objetos no AD DS. Windows PowerShell não é
apenas uma linguagem de script; Ele também permite que você execute comandos que
executam tarefas administrativas, tais como a criação de novas contas de usuário,
configuração de serviços, excluir caixas de correio, e funções semelhantes. Windows
PowerShell 3.0 é instalado por padrão no Windows Server 2012 e Windows PowerShell
é v4 instalado por padrão no Windows Server 2012 R2. Cmdlets individuais são
agrupados em módulos do Windows PowerShell. Módulos precisam ser instalados em
um sistema para torná-los disponíveis em suas sessões do Windows PowerShell.
Quando você usa um Windows Cmdlet PowerShell, o módulo correspondente é
importado automaticamente. Por exemplo, a execução do cmdlet Get-ADdomain
carrega o módulo Active Directory automaticamente para essa sessão particular. o
Ativo Módulo Directory está instalado e disponível para uso quando você faz uma das
seguintes opções:
• Instale os AD DS ou o Active Directory Lightweight Directory Services (AD LDS) função

de servidor
• Instalar RSAT
A execução do comando Get-Module -ListAvailable lista todos os módulos instalados

disponíveis que podem ser importados automaticamente, ou importado manualmente
usando o cmdlet Import-Module. Se você precisar para instalar o serviço de função
relevante ou a ferramenta de gestão.
- 149 -
Linha de Comando para AD DS.
Podemos usar as ferramentas de linha de comando do serviço de diretório, além de
Windows PowerShell. Estes ferramentas permitem criar, modificar, gerenciar e excluir
objetos do AD DS, como usuários, grupos e computadores. Você pode usar os seguintes
comandos:
• dsadd. Use para criar novos objetos
• dsget. Use para exibir objetos e suas propriedades
• dsmod. Use para editar objetos e suas propriedades
• dsmove. Use para mover objetos
• dsquery. Use para consultar o AD DS para objetos que correspondem aos critérios
que você fornecer
• dsrm. Use para excluir objetos
Criando Contas de Usuarios

No AD DS, todos os usuários que necessitam de acesso à rede recursos deve ser
configurado com uma conta de usuário.Com esta conta de usuário, os usuários podem
autenticar o domínio do AD DS e recursos de rede de acesso. No Windows Server 2012,
uma conta de usuário é um objeto que contém todas as informações que define um
utilizador. Uma conta de usuário inclui o usuário nome, senha do usuário, e de grupo
adesões. Uma conta de usuário também contém muitas outras definições que podem
ser configuradas com base na sua requisitos organizacionais. Com uma conta de
usuário, você pode:
• Permitir ou negar permissão aos usuários fazer login em um computador com base
em sua identidade de conta de usuário.
• Conceder acesso aos usuários processos e serviços para um contexto de segurança

específico.
• Gerenciar o acesso dos usuários aos recursos, tais como objetos do AD DS e suas
propriedades, pastas compartilhadas, arquivos, diretórios e filas de impressão. Uma
conta de usuário permite que um usuário para entrar em computadores e domínios
- 150 -
com uma identidade que o domínio pode autenticar. Quando você cria uma conta de
usuário, você deve fornecer um nome de logon do usuário, que deve ser único no
domínio e da floresta em que a conta do usuário é criada. Para maximizar a segurança,
você deve evitar vários usuários compartilhando uma única conta, e em vez disso
assegurar que cada usuário que assina para a rede tem uma conta de usuário e senha
exclusivos.
Atributos e Categorias
Os atributos de um objeto de usuário se dividem em várias categorias. Estas categorias
aparecem na navegação painel da caixa de diálogo Propriedades do usuário no Centro
Administrativo do Active Directory, e incluem a seguinte:
• Conta. Além das propriedades de nome do usuário (nome, iniciais Médio, apelido,
nome completo) e vários nomes de logon do usuário (UPN logon do usuário, usuário
sAMAccountName logon), pode configurar as seguintes propriedades adicionais:
- 151 -
o Log on horas. Esta propriedade define quando a conta pode ser usado para acessar
os computadores do domínio. Você pode usar a exibição semanal estilo de calendário
para definir Logon permitido horas e Logon negado horas.
o logon. Use essa propriedade para definir quais os computadores que um usuário
pode usar para fazer logon no domínio. Especifique o nome do computador e adicioná-
lo a uma lista de computadores permitidos. Conta o expirar. Este valor é útil quando
você quer criar contas de usuário temporários. para exemplo, você pode criar contas
de usuário para estagiários que vão estar na sua empresa por apenas um ano. Você
pode definir a data de expiração da conta de antecedência. A conta não pode ser usado
após a data de validade até que seja reconfigurado pelo administrador manualmente.
o usuário deve alterar a senha no próximo logon. Esta propriedade permite que você
forçar os usuários a redefinir sua própria palavra-passe da próxima vez que iniciar
sessão. Isso normalmente é algo que você pode permitir que depois de redefinir a
senha de um usuário.
o cartão inteligente é necessário para logon interativo. Este valor redefine a senha do
usuário para um complexo, seqüência de caracteres aleatórios, e define uma
propriedade que requer que o usuário usar um cartão inteligente para autenticar
durante o logon.
o A senha nunca expira. Esta é uma propriedade que você normalmente usa com
contas de serviço; isto é, as contas que não são utilizados por usuários regulares, mas
por serviços. Ao definir este valor, você deve lembre-se de atualizar a senha
manualmente em uma base periódica. No entanto, você não é obrigado a fazer isso em
um intervalo pré-determinado. Consequentemente, a conta nunca pode ser bloqueada
devido a validade da senha-um recurso que é particularmente importante para as
contas de serviço.
• Organização. Isso inclui propriedades, tais como o nome do usuário Display,

Escritório, endereço de email, vário entre em contato com os números de telefone,
estrutura gerencial, departamento e nomes de empresas, endereços e outras
propriedades.
- 152 -
• Membro do. Esta seção permite que você defina as associações de grupo para o
usuário.
• Configurações de senha. Esta seção inclui as configurações de senha que são

aplicadas diretamente para o usuário.
• Perfil. Esta seção permite que você configure um local para os dados pessoais do
usuário, e para definir um local no qual deseja salvar o perfil desktop do usuário
quando ele ou ela faz logout.
• Extensões. Esta seção expõe muitas propriedades adicionais do usuário, a maioria

dos quais normalmente não requer configuração manual.
Gerenciamento de Grupos
Embora possa ser prático para atribuir permissões e habilidades para contas de
usuários individuais em pequena redes, isso se torna pouco viável e eficiente em
grandes redes corporativas. Por exemplo, se muitos usuários necessitam do mesmo
nível de acesso a uma pasta, que é mais eficiente para criar um grupo que contém o
necessário contas de usuário e, em seguida, atribuir o grupo as permissões necessárias.
Isto tem o benefício de permitir -lhe alterar as permissões de arquivos de um usuário,
adicionando ou removendo-os de grupos em vez de editar o permissões de arquivo
diretamente.
Tipos de Grupos
Em um Server 2012 rede corporativa do Windows, existem dois tipos de grupos:
segurança e distribuição. Quando você cria um grupo, você escolher o tipo eo escopo
do grupo. Os grupos de distribuição, que não são recursos de segurança, são utilizados
principalmente por e-mail aplicações. Os grupos de distribuição têm segurança
identificadores (SID). No entanto, porque eles têm um atributo Active Directory
groupType de 0x2 (ACCOUNT_GROUP), que não pode ser dada permissão para
recursos. Enviando um e-mail mensagem a um grupo de distribuição envia o
mensagem a todos os membros do grupo.
- 153 -
Escopos de Grupos
Windows Server 2012 oferece suporte a grupo de escopo. O escopo de um grupo
determina tanto o intervalo de habilidades ou permissões de um grupo, e o membros
do grupo. Há quatro escopos de grupo:
• Local. Você pode usar esse tipo de grupo para autônomo servidores ou estações de
trabalho, no domínio servidores membro que não são de domínio controladores, ou
no membro de domínio postos de trabalho. Os grupos locais são verdadeiramente
local, o que significa que elas estão disponíveis em apenas o computador, caso existam.
o importante características de um grupo local são:
o Você pode atribuir capacidades e permissões em apenas recursos locais, ou seja, no

computador local.
o Os membros podem ser de qualquer lugar do AD DS floresta, e podem incluir:
 Quaisquer entidades de segurança a partir do domínio: usuários, computadores,

grupos globais ou de domínio local grupos.
 Os usuários, computadores e grupos globais de qualquer domínio na floresta.
 Os usuários, computadores e grupos globais de qualquer domínio confiável.
 Os grupos universais definidos em qualquer domínio na floresta
• Domínio local. Você pode usar esse tipo de grupo, principalmente para gerenciar o
acesso a recursos ou para atribuir responsabilidades de gestão (direitos). Grupos locais
de domínio existir em controladores de domínio em um AD DS floresta, e,
consequentemente, o alcance do grupo está localizada ao domínio em que residem.
As características importantes dos grupos de domínio local são:
o Você pode atribuir capacidades e permissões em apenas recursos do domínio locais,

o que significa que em todos os computadores no domínio local.
 Quaisquer entidades de segurança a partir do domínio: usuários, computadores,

grupos globais ou de domínio local grupos.
- 154 -
 Os usuários, computadores e grupos globais de qualquer domínio confiável.
 Os grupos universais definidos em qualquer domínio na floresta.
• Global. Você pode usar esse tipo de grupo, principalmente para consolidar os
usuários que têm características semelhantes. Por exemplo, grupos globais são muitas
vezes utilizados para consolidar os usuários que fazem parte de um departamento ou
localização geográfica. As características importantes de grupos globais são:
• Você pode atribuir capacidades e permissões em qualquer lugar na floresta.

• os membros pode ser de apenas o domínio local, e podem incluir:
Os usuários, computadores e grupos globais do domínio local.
• Universal. Você pode usar esse tipo de grupo com mais freqüência em redes
multidomain porque combina a características de ambos os grupos de domínio local e
grupos globais. Especificamente, o importante características de grupos universais são:
o Você pode atribuir capacidades e permissões de qualquer lugar da floresta, como
com grupos globais.
 Os grupos universais definidos em qualquer domínio na floresta.
o Propriedades de grupos universais são propagadas para o catálogo global, e são
disponibilizados em toda a rede da empresa em todos os controladores de domínio
que hospedam a função de catálogo global. este faz listas de membros de grupos
universais mais acessível, o que é útil em vários domínios cenários. Por exemplo, se um
grupo universal é utilizado para fins de distribuição e-mail, o processo de para
determinar a lista de membros normalmente é mais rápido na distribuição ne
multidominios.
- 155 -
Gerenciando Grupos
Adição de grupos de outros grupos é um processo chamado nidificação. Assentamento
cria uma hierarquia de grupos que apoiar as suas funções e gestão de regras negócios.
A melhor prática para o grupo de nidificação é conhecido como IGDLA, que é um

acrônimo para o seguinte:
• Identidades
• Os grupos globais
• Grupos de domínio-local
• Acesso
Estas peças de IGDLA estão relacionadas da maneira seguinte:
• Identidades (contas de usuário e computador) são membros de grupos globais, que

representam negócios papéis.
• Os grupos globais (que também são conhecidos como grupos de função) são
membros de grupos de domínio local, que representar as regras-para gestão exemplo,
determinar quem tem permissão de leitura a um específico recolha de pastas.
• Grupos de domínio-local (que também são conhecidos como grupos de regras) têm
acesso aos recursos. no caso de uma pasta compartilhada, o acesso é concedido
através da adição do grupo de domínio local para ACL da pasta, com uma permissão
que fornece o nível de acesso adequado.
Em uma floresta de vários domínios, a melhor prática para o grupo de nidificação é

conhecido como IGUDLA. A letra adicional U significa grupos universais, que se
encaixam entre os grupos globais e locais de domínio da seguinte forma:
• Identidades
• Os grupos globais
• Os grupos universais
• Grupos de domínio-local
- 156 -
• Acesso
Neste caso, grupos globais de vários domínios são membros de um único grupo
universal. Isso universal grupo é um membro dos grupos de domínio local, em vários
domínios.
Grupos Padrões
Windows Server 2012 cria uma série de grupos automaticamente. Estes são chamados
de default grupos locais, e que incluem grupos bem conhecidos tais como
Administradores, Operadores de backup e Remote Desktop Users. Há adicional grupos
que são criados em um domínio, tanto no Internos e Usuários recipientes, incluindo
Domain Administradores, Administradores de Empresa e Administradores de
esquema. Existe um subconjunto de grupos padrão que têm permissões significativas
e direitos de usuário relacionadas a a gestão do AD DS. Por causa dos direitos que esses
grupos têm, eles são grupos protegidos. (Grupos protegidos são descrito
posteriormente neste tópico). A lista a seguir resume as capacidades destes grupos:
• Administradores de Empresa (no contêiner Usuários do domínio raiz da floresta).

Este grupo é um membro da Grupo de administradores em todos os domínios da
floresta, o que lhe dá acesso completo ao configuração de todos os controladores de
domínio. Também possui a partição de configuração do diretório e tem controle total
do contexto de nomeação de domínio em todos os domínios da floresta.
• Administradores de esquema (Usuários recipiente do domínio raiz da floresta). Este

grupo possui e tem controle total o esquema do Active Directory.
• Administradores (contêineres Built-in de cada domínio). Os membros deste grupo

tem o controle completo sobre todos os controladores de domínio e dados no contexto
de nomeação de domínios. Eles podem mudar a a adesão de todos os outros grupos
administrativos no domínio, e do grupo Administradores no domínio raiz da floresta
pode alterar os membros dos Administradores de Empresa, Schema Admins e Domain
Administradores. O grupo Administradores no domínio raiz da floresta é geralmente
considerado o mais poderoso grupo de administração de serviço na floresta.
- 157 -
• Administradores de Domínio (Usuários de contêineres de cada domínio). Este grupo
é adicionado ao grupo de administradores de seu domínio. É, portanto, herda todas as
capacidades do grupo de administradores. Ele também é, por padrão, adicionada ao
grupo Administradores local de cada computador membro do domínio, dando assim
Administradores de Dominio de propriedade de todos os computadores do domínio.
• Operadores de Servidor (container Built-in de cada domínio). Os membros deste

grupo pode executar tarefas de manutenção em controladores de domínio. Eles têm o
direito de entrar no local, iniciar e parar serviços, executar operações de backup e
restauração, discos de formato, criar ou excluir ações, e encerre controladores de
domínio. Por padrão, esse grupo não possui membros.
• Operadores de Contas (container Built-in de cada domínio). Os membros deste grupo

podem criar, modificar, e excluir contas de usuários, grupos e computadores
localizados em qualquer unidade organizacional no domínio (exceto o UO
Controladores de Domínio), e nos contêineres de Usuários e computadores. Grupo
Operador de Conta membros não podem modificar as contas que são membros dos
grupos Administradores ou Administradores de Domínio, nem podem modificar esses
grupos. Conta membros do grupo operador também pode entrar no local para
controladores de domínio. Por padrão, esse grupo não possui membros.
• Operadores de Backup (container Built-in de cada domínio). Os membros deste

grupo podem executar operações de backup e restaurar as operações em
controladores de domínio, e assinar em localmente e desligar os controladores de
domínio. Por padrão, esse grupo não possui membros.
• Operadores de impressão (container Built-in de cada domínio). Os membros deste

grupo podem manter filas de impressão em controladores de domínio. Eles também
podem entrar no local e desligar controladores de domínio.
• Editores (Usuários de contêineres de cada domínio). Os membros deste grupo têm

permissão para publicar certificados para o diretório.
- 158 -
Gerenciamento de Contas de Computadores
Antes de criar um objeto de computador no Serviço de Diretório, você deve ter um
lugar para colocá-lo. Quando você cria um domínio, os computadores contêiner é
criado por padrão (nome comum (o atributo cn) = Computadores). Este recipiente é
não uma OU; em vez disso, é um objecto do recipiente classe. Há diferenças sutis,
mas importantes entre um recipiente e uma UO. Você não pode criar uma unidade
organizacional dentro de um recipiente, de modo que você não pode subdividir o
recipiente Computers. você também Não é possível vincular um GPO a um contêiner.
A maioria das organizações a criar pelo menos dois OUs para objetos e outra OU
computador para os servidores, e outro para hospedar contas de computador para
computadores clientes, tais como desktops, laptops e outros dispositivos do usuário.
Estas duas unidades organizacionais estejam para além do domínio Controladores OU
que é criado por padrão durante a instalação do AD DS. Objectos de computador
pode ser criado em em qualquer OU em seu domínio. Não há nenhuma diferença
técnica entre um objeto de computador em um cliente OU, um objeto de computador
em uma OU servidor, um computador objeto em uma unidade organizacional
controladores de domínio, ou mesmo um objeto de computador em uma OU
destinado a usuários. Objetos de computador são objetos de computador. No
entanto, separada OUs normalmente são criados para fornecer escopos únicas de
gestão, de modo que você pode delegar gestão do cliente objetos a uma equipe e
gerenciamento de objetos de servidor para outro.
- 159 -
Delegação de Administração no AD DS
Embora uma única pessoa pode gerenciar uma pequena rede com algumas contas de
usuário e computador, como um rede cresce, o volume de trabalho relacionado com
a gestão da rede cresce também. Em algum momento, as equipes com determinadas
especializações evoluir, cada um com a responsabilidade de algum aspecto específico
da rede gestão. Em ambientes AD DS, é prática comum para criar OUs para diferentes
departamentos e regiões geográficas, e delegar o controle daqueles OUs para pessoas
diferentes. É importante que você saber por que e como criar OUs, e como delegar
tarefas administrativas aos usuários em objetos dentro essas OUs.
Uso de Unidade Organizacionais

Por padrão, o AD DS contém apenas uma única OU, os Controladores de Domínio UO.
Embora-lo é possível para gerenciar uma pequena organização sem a criação de OUs
adicional, até mesmo pequenas organizações tipicamente criar uma hierarquia de
OU. An hierarquia da unidade organizacional permite que você para subdividir a
administração do seu de domínio para fins de gestão. o melhor prática para a criação
de uma hierarquia de OU é para criar OUs para organizar objetos para:
• Delegação de controle de
• Aplicação de GPOs
• Ambos delegação de controle e aplicação de GPOs
Permissões no AD DS
Todos os objetos do AD DS, como usuários, computadores, e grupos, pode ser
assegurada através da utilização de uma lista de permissões. As permissões de um
objeto são chamados de entradas de controle de acesso (ACEs), e eles são atribuído
a usuários, grupos ou computadores, que são também conhecida como entidades de
segurança. ACEs são salvos na lista de controle de acesso discricionário do objeto
(DACL), que faz parte da ACL do objeto. a ACL contém a lista de controle de acesso do
sistema (SACL) que inclui configurações de auditoria.
- 160 -
Cada objeto no AD DS tem a sua própria ACL. Se você tem permissões suficientes,
você pode modificar o permissões que controlam o nível de acesso em um AD DS
específico objeto. Se você tem permissões suficientes, você também pode delegar
exemplo controle-for administrativa, assim como você pode dar a um grupo a
capacidade de alterar os arquivos em uma pasta, você pode dar a um grupo a
capacidade de redefinir senhas em objetos de usuário.
Permissões Efetivas no AD DS
As permissões efetivas são as permissões resultantes para uma entidade de
segurança (como um usuário ou grupo), baseado no efeito cumulativo de cada
herdado e ACE explícito. Sua capacidade de redefinir um usuário do senha, por
exemplo, pode ser devido a sua participação em um grupo que é permitido o reinício
Permissão de senha em uma OU vários níveis acima do objeto usuário. A permissão
herdada atribuída a um grupo ao qual você pertence resultados em uma permissão
efetiva de Permitir:
Repor Senha. Suas permissões efetivas pode ser complicado quando você considera
Permitir e Negar permissões, explícita e herdou ACEs, eo fato de que você pode
pertencer a vários grupos, cada um dos o que pode ser atribuído permissões
diferentes. Permissões, se atribuído à sua conta de usuário ou a um grupo ao qual
você pertence, são equivalentes. Isto significa que, em última análise, uma ACE se
aplica a você, o usuário. A melhor prática é para gerenciar permissões por atribuí-las
a grupos, mas você também pode atribuir ACEs a usuários individuais ou
computadores. A permissão que tenha sido atribuído diretamente para você, usuário,
não é nem mais nem menos importante importante do que um permissão atribuído
a um grupo ao qual você pertence. O Permitir que as permissões, que permitem o
acesso, são cumulativas. Quando você pertence a vários grupos, e quando esses
grupos têm permissões que permitem uma variedade de tarefas, você será capaz de
executar todas as tarefas atribuído a todos esses grupos, para além das tarefas
atribuídas diretamente à sua conta de usuário. Negar permissões, que negam o
acesso, override equivalente Permitir que as permissões. Se você está em um grupo
que foi autorizada a permissão para redefinir senhas, e você também está em outro
grupo que tem sido permissão para redefinir senhas negado, a permissão Negar o
impede de redefinir senhas.
- 161 -
Laboratorio Criando Grupos e Usuarios
Acesse o servidor SRVDC01 navegue até a console do AD DS, clique com botão
direito no dominio cepeplab, opção novo, unidade Organizacional.
Em seguida digite Fortaleza, e maque a opção de proteção, de acordo com a figura.
- 162 -
Verifique se o AD DS esta de acordo com a figura.
Dentro da OU Fortaleza crie 3 OUs, Administrativo, Suporte, Vendas.
- 163 -
E cria as OUs dos setores criem as OUs, Usuarios, Computadores, Grupos de acordo
com a figura a baixo dentro de cada setor.
Crie 2 usuarios dentro da OUs usuarios, do setor suporte.
Nome Prear
Inciais D
Sobrenome Silva
Nome completo Prear D Silva
Nome de logon do usuario Prear
Senha 123@Cepep
Alterar a Senha no Proximo Logon Sim
Nome Jose
Inciais S
Sobrenome Soares
Nome Completo Jose S Soares
Nome de Logon do Usuario Jose
Senha 123@Cepep
- 164 -
- 165 -
Verifique se os procedimentos estão de acordo com a figura a baixo
Navegue até a OU, Grupos dentor do setor Suporte, clique com botão direito
do Mouse, selecione Novo, em seguida Grupo.
- 166 -
Crie os Grupos Suporte_TIC_SCB, e o Grupo Suporte_TIC_SCA.
- 167 -
Navegue até a OU Computadores, dentro da OU Suporte, clique com botão
direito do Mouse e selecione a opção Novo, em seguida Computador.
Crie 2 contas de Computador, a conta MCSP01, e MCSP02.
- 168 -
Verifique se esta de acordo com a figura a baixo.
Em seguina navegue atá a OU Vendas, > Usuarios, e crie os seguintes Usuarios:
Nome Rayane
Inciais D
Sobrenome Vieira
Nome Completo Rayane D Vieira
Nome de Logon do Usuario Rayane
Senha 123@Cepep
Nome Rita
Inciais V
Sobrenome Silva
Nome Completo Rita V Silva
Nome de Logon do Usuario Rita
Senha 123@Cepep
- 169 -
Após a criação verifique se esta de acordo com a figura a baixo.
- 170 -
Em seguida Navegue até a OU Grupos, e crie os Seguintes grupos,
Cordenação_De_Vendas, e Vendedores.
- 171 -
Navegue até a OU Grupo dentro da OU Suporte selecione o grupo Suporte_TIC_SCA
e clique com botão direito do mouse, selecione a opção propriedades
Vá até a guia Mebros, clique em Adicionar.
- 172 -
Adicione o usuario Prear, em seguida clique em Ok.
- 173 -
Adicione o usuario Jose, no grupo Suporte_TIC_SCB.
Adicione o usuario Rita ao grupo Venderores.
- 174 -
Adicione o usuario Rayane ao grupo Coordenação_De_Vendas.
Agora acesso o CL01 usando a senha padrão.
- 175 -
Clique com botão direito do mouse no menu iniciar, escolha a opção Painel de
Controle.
Navegue atá a opção Sistema.
- 176 -
Selecione a opção Configurações Avançadas.
Clique em Nome do Computador em seguida Alterar.
- 177 -
Selecione a opção dominio, digite cepeplab, clique em Ok.
Adicione usuario Administrador e a senha padrão.
- 178 -
Em seguida reincie a estação CLI01.
Após reinicar a estção logue com o usuario Prear.
E altera a senha para Pa$$w0rd.
- 179 -
- 180 -
Gerenciando os Serviços do Active Directory
Você pode usar ferramentas de linha de comando do Windows e PowerShell® para
automatizar o Active Directory Domain Services (AD DS) administração. Administração
Automatizando acelera os processos que você pode caso contrário executar
manualmente. Windows PowerShell inclui cmdlets para a realização de AD
administração DS e para a realização de operações em massa. Você pode usar operações
em massa para mudar muitos objetos AD DS em um passo a passo, em vez de atualizar
manualmente cada objeto.
Beneficios de Usar linhas de Comandos para

Administrar o AD DS
Muitos administradores preferem usar gráfica ferramentas para administração AD DS
sempre que possível. Ferramentas gráficas snap-in, como os usuários do Active Directory
e computadores, são de uso intuitivo porque representam visualmente a informação e
fornecer opções na forma de botões de rádio e caixas de diálogo. Quando a informação é
representada graficamente, você não precisa memorizar sintaxe. As ferramentas gráficas
funcionam bem em muitas situações, mas você não pode automatizá-las. Para
automatizar a administração do AD DS, você precisa de ferramentas de linha de comando,
que você pode usar em scripts ou através de outro aplicativos e programas.
• Implementação de operações em massa. Por exemplo, você pode exportar uma lista
de novos funcionários a partir de um aplicativo de recursos humanos. Você pode usar
uma ferramenta de linha de comando ou script para criar o novo usuário contas com base
nas informações exportado. Isto é muito mais rápido do que a criação de cada nova conta
de usuário manualmente.
- 181 -
• Processos customizados para administração AD DS. Você pode usar um programa
gráfico personalizado para reunir informações sobre uma nova proposta de grupo, e em
seguida, criar o novo grupo. quando o a informação é recolhida, o programa gráfico pode
verificar que o -como formato informações como a convenção de nomenclatura-está
correto. Em seguida, o programa gráfico utiliza uma ferramenta de linha de comando para
criar o novo grupo. Este processo permite que as regras específicas de cada empresa deve
ser executada.
• AD DS administração sobre Server Core. A instalação Server Core do Windows Server
não pode ser executado ferramentas de administração gráfica, tais como Usuários e
Computadores do Active Directory. No entanto, você pode usar ferramentas de linha de
comando no Server Core.
Usando Windows Power Shell para Administrar o AD DS

Você pode usar os cmdlets do Windows PowerShell para criar, modificar e excluir contas
de usuário. você pode usar esses cmdlets para operações individuais ou como parte de
um script para executar operações em massa. A tabela a seguir lista alguns dos
comumente cmdlets usados para gerenciar contas de usuário.
Cmdlet Descrição
New-ADUser Criação de contas de usuarios
Set-ADUser Modificação das propiedades de contas de Usuarios
Remove-ADUser Remover contas de Usuarios
Set-ADAccountPassword Resetar a sennha das contas de usuarios
Set-ADAccountExpiration Modificar a data de expiração das contas de Usuarios
Unlock-ADAccount Realizar o desbloquio da conta de Usuarios
Enable-ADAccount Habilitar a conta de Usuario
Disable-ADAccount Desabilitar a conta de usuario.
- 182 -
Usando Windows Power Shell para Gerenciar Grupos
Você pode usar o Windows PowerShell para criar, modificar e excluir grupos. Você pode
usá-los cmdlets para operações individuais ou como parte de um script para executar
operações em massa.
Cmdlet Descrição
New-ADGroup Criar novos grupos
Set-ADGroup Modificar as propriedas dos Grupos
Get-ADGroup Mostrar as propriedades do Grupo
Remove-ADGroup Deletar o Grupo
Add-ADGroupMembe Adicionar memebors ao Grupo
Get-ADGroupMember Mostrar os membros do Grupo
Remove-ADGroupMember Remover membors do grupo
Add-ADPrincipalGroupMembership Adicionar Grupo membros de outro Objeto
Get-ADPrincipalGroupMembership Mostrar grupos membors de outro Objeto
Remove-ADPrincipalGroupMembership Remover Grupos membros de outro Objeto
Usando Windows Power Shell para Gerenciar

Computadores
Você pode usar o Windows PowerShell para criar, modificar e excluir contas de
computador. você pode usar esses cmdlets para operações individuais ou como
parte de um script para executar operações em massa.
- 183 -
Cmdlet Descrição
New-ADComputer Criar nova contas de Computadores
Set-ADComputer Modificar propriedades da conta de Computador
Get-ADComputer Mostrar as propriedas da conta de Computador
Remove-ADComputer Deleta conta de Computador
Test-ComputerSecureChannel Verifica e repara contas de Computador que estão com

problemas no Dominio
Reset-ComputerMachinePassword Reseta contas de Computador
Usando Windows Power Shell para Gerenciar Unidades

Organizacionais (OU)
Você pode usar o Windows PowerShell para criar, modificar e excluir Unidades
Organizacionais. você pode usar esses cmdlets para operações individuais ou como
parte de um script para executar operações em massa.
Cmdlet Descrição
New-ADOrganizationalUnit Criar novas OUs
Set-ADOrganizationalUnit Modificar as propriedades das OUs
Get-ADOrganizationalUnit Mostrar as propriedades das OUs
Remove-ADOrganizationalUnit Deletar as OUs
- 184 -
Laboratorio Automatizando a Administração do AD DS
Acesse o servidor SRVDC01, execute o Windows PowerShell, execue o comando,
New-ADOrganizationalUnit Teste .
Verifque se a OU foi criada com sucesso.
- 185 -
Agora digite o comando seguinte New-ADUser -Name Teste -DisplayName "Teste
Suporte" -GivenName Teste -Surname Suporte -Path
"ou=Teste,dc=cepeplab,dc=com,dc=br"
Agora verifique se o usuario foi criado com sucesso.
- 186 -
Agora execute o comando para alterar a senha do Usuario Teste,
Set-ADAccountPassword Teste
Execute o comando Enable-ADAccount Teste para habilitar a conta.
- 187 -
Adicione o um grupo dentro da OU Teste, executando o comando seguinte
New-ADGroup Usuarios_Teste -Path "ou=Teste,dc=cepeplab,dc=com,dc=br" -
GroupScope Global -GroupCategory Security .
Verifique se o Usuario e o Grupo estão criado de acordo com a figura a baixo.
- 188 -
Execute o comando seguinte Add-ADGroupMember Usuarios_Teste -Members Teste
, para adiconar usuario no grupo Usuarios_Teste.
Execute o comando seguinte Get-ADGroupMember Usuarios_Teste para verifica os

membros do grupo Usuarios_Teste.
- 189 -

51988-Apostila Windows Server 2012 01

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

51988-Apostila Windows Server 2012 01

Enviado por

Direitos autorais:

Formatos disponíveis

Curso de Windows Server 2012 R2

4. Instalação e configuração de Servidor DHCP

5. Gerenciando objetos do Active Directory Domain Services

Este curso oferece aos alunos o conhecimento e a capacidade de implantar, gerenciar

História Das Versões Do Windows Server

Revisões do NTFS 5 foram lançadas para os sistemas operacionais Windows XP e Serve

Novas versões podem surgir com o lançamento de outras edições do Windows.

NT 3.5 foi lançada em 1994 e era semelhante ao NT 3.1;

O Windows 2000 Server partilha a mesma interface de utilizador do Windows 2000

Windows 2000 Advanced Server

Suporte adicional além do Windows 2000 Server:

Clustering - Faz vários computadores aparecerem como um para aplicativos e clientes.

Network Load Balancing (NLB).

Aquisição automática caso o computador que está executando um aplicativo falhar.

O diferencial de hardware do Windows 2000 Advanced Server é o seu suporte a até 8 GB

Windows Server 2003

Versão do Windows lançada em 24 de Abril de 2003, e é também conhecida como

Novidades na área administrativa, Active Directory, e automatização de operações.

Esta versão do Windows é voltada principalmente para servidores e empresas de grande

Windows Server 2003 Standard Edition

Atende às necessidades diárias de empresas de todos os portes, fornecendo uma solução

Windows Server 2003 Enterprise Edition

Destina-se a empresas de médio a grande porte, ativando a infra-estrutura da empresa,

Windows Server 2003 Datacenter Edition

Permite o desenvolvimento de soluções comerciais críticas que exigem os bancos de

Em todas as versões do Windows 2003 foi aprimorado todos os serviços a segurança /

Windows Server 2012 R2 Foundation:

Com o Windows Server 2012 R2 Foundation, você pode gerenciar centralmente as

Windows Server 2012 R2 Essentials:

Windows Server 2012 R2 Standard:

Windows Server 2012 R2 Datacenter

Desenvolvido para ambientes de nuvem privada altamente virtualizado, a versão

Uma das grandes novidades no Windows Server 2012 R2 é a facilidade de instalação do

Requisitos de instalação do Windows Server 2012 R2

Seguem abaixo os requisitos mínimos e recomendados para a instalação do Windows

 Mínimo: 512 MB (para ambos os tipos de instalação: Server Core e Full).

 Mínimo: 1,4 GHz 64 bits (para o tipo de instalação Full).

 Mínimo: 32 GB (para ambos os tipos de instalação: Server Core e Full).

 Super VGA (800 × 600) ou superior.

 Teclado e Mouse Microsoft ou dispositivo apontador compatível, Mídia DVD, Serial

Computadores com mais de 16 GB de memória RAM precisarão de mais espaço em disco

Recurso para instalação do Windows Server 2012 R2

O procedimento de instalação do Windows Server 2012 R2 está muito simples, a

 Necessario unidade de CD-ROM conectada ao servidor.

 Necessario que administrador realizado os passos de extração dos arquivos da ISO.

 Usando o recurso de virtualização para redirecionar ao arquivo no format ISO.

 Instalação aparti de um compartilhamento de rede

A instalação do Windows Server 2012 R2 mudou um pouco em relação a versões

1 – Ligar a máquina para alterar a ordem de boot do equipamento, colocando como

2 – Inserir a mídia de DVD contendo o instalador do sistema Operacional Microsoft

13 – Tela informando a preparação da área de trabalho após o primeiro acesso

15 – Automaticamente seja aberta uma tela conforme abaixo apresentando as

2 – Clique em Alterar, ira aparecer a opção para alterar o nome do servidor.

4 – Irá aparecer uma mensagem para reiniciar o servidor, clique em Ok.

1 – Abra o Deashboard, nas opções locais do servidor clique em Ethernet.

4 – Em seguida adiciones as seguintes configurações IP, Máscara de Sub rede,

• Defina o nome do computador

• Configure o fuso horário

• Ativar as atualizações automáticas

• Adicionar funções e recursos

• Habilitar área de trabalho remota

• Defina as configurações do Firewall do Windows

implementar, solucionar problemas e manter redes IPv4. Um dos principais