Escolar Documentos
Profissional Documentos
Cultura Documentos
Documentação de Rede
Documentação de Rede
Documentação de rede
A rede é uma parte fundamental da plataforma SDDC (Datacenter definido pelo
software), e o Windows Server 2016 oferece tecnologias SDN (Rede definida pelo
software) novas e melhores para ajudar você a mudar para uma solução SDDC
totalmente pensada para a sua organização.
Sobre rede
e VISÃO GERAL
h NOVIDADES
Novidades na rede
i REFERÊNCIA
e VISÃO GERAL
Controlador de rede
` IMPLANTAR
e VISÃO GERAL
BranchCache
DirectAccess
Protocolo DHCP
Tecnologias de rede
e VISÃO GERAL
Acesso remoto
i REFERÊNCIA
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server (Canal
Semestral), Windows Server 2016
Este tópico fornece informações sobre cenários com suporte e sem suporte que você
pode ou não executar com esta versão do Windows Server 2016.
) Importante
Use o Controlador de Rede para criar e gerenciar redes virtuais com a Virtualização
de Rede Hyper-V usando o encapsulamento NVGRE ou VXLAN.
Implantar e usar um gateway de VPN (rede virtual privada) para túneis IPsec
(IKEv2) site a site
Use uma NIC convergida para combinar o tráfego RDMA e Ethernet usando um
único adaptador de rede.
Configure SET para difundir fluxos de tráfego SMB Direct e RDMA entre até dois
adaptadores de rede.
Para obter mais informações, consulte Remote Direct Memory Access (RDMA) e Switch
Embedded Teaming (SET).
Para obter mais informações, consulte Remote Direct Memory Access (RDMA) e Switch
Embedded Teaming (SET)
Configurar políticas de servidor DNS em Active Directory Domain Services (AD DS)
integradas
7 Observação
No Windows Server 2016, você pode usar o NIC Teaming no Hyper-V, no entanto,
em alguns casos, as VMQs (Filas de Máquina Virtual) podem não ser habilitadas
automaticamente nos adaptadores de rede subjacentes quando você cria uma
equipe NIC. Se isso ocorrer, você poderá usar o seguinte comando Windows
PowerShell para garantir que a VMQ está habilitada nos adaptadores de membro
da equipe NIC: Set-NetAdapterVmq -Name <NetworkAdapterName> -Enable
Para obter mais informações, consulte Remote Direct Memory Access (RDMA) e Switch
Embedded Teaming (SET)
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
NFV (virtualização de função de rede). Nos data centers definidos pelo software
de hoje, as funções de rede que estão sendo executadas por dispositivos de
hardware (como balanceadores de carga, firewalls, roteadores, comutadores etc.)
são cada vez mais implantadas como dispositivos virtuais. Essa "virtualização da
função de rede" é uma progressão natural de virtualização do servidor e de
virtualização de rede. Os dispositivos virtuais estão surgindo rapidamente e
criando um mercado totalmente novo. Eles continuam gerando interesse e
conquistam impulso nas plataformas de virtualização e nos serviços de nuvem. As
tecnologias NFV a seguir estão disponíveis em Windows Server 2016.
Gateway de Ras. Você pode usar o gateway de RAS para roteamento de tráfego
entre redes virtuais e redes físicas, incluindo conexões VPN site a site de seu
datacenter de nuvem para sites remotos de seus locatários. especificamente,
você pode implantar protocolo IKE a IKEv2 (redes virtuais privadas) site a site
(VPNs), VPN de camada 3 (L3) e gateways de túnel de roteamento genérico
(GRE). Além disso, agora há suporte para pools de gateway e redundância M +
N de gateways; e Border Gateway Protocol (BGP) com recursos de refletor de
rota fornecem roteamento dinâmico entre redes para todos os cenários de
gateway (VPN IKEv2, VPN GRE e VPN L3). Para obter mais informações, consulte
What ' s New in RAS gateway and RAS gateway for Sdn.
NIC (placa de interface de rede) convergida. A NIC convergida permite que você
use um único adaptador de rede para gerenciamento, armazenamento habilitado
para RDMA (acesso remoto direto à memória) e tráfego de locatário. Isso reduz as
despesas de capital associadas a cada servidor em seu datacenter, pois você
precisa de menos adaptadores de rede para gerenciar diferentes tipos de tráfego
por servidor.
Pacote direto. O pacote direto fornece uma alta taxa de transferência de tráfego
de rede e uma infra-estrutura de processamento de pacotes de baixa latência.
DHCP
O DHCP é um padrão IETF (Internet Engineering Task Force) projetado para reduzir a
carga administrativa e a complexidade da configuração de hosts em uma rede baseada
em TCP/IP, por exemplo, uma intranet privada. Usando o serviço de servidor DHCP, o
processo de configuração de TCP/IP em clientes DHCP é automático. Para obter mais
informações, consulte What ' s New in DHCP.
DNS
DNS é um sistema usado em redes TCP/IP para nomear computadores e serviços de
rede. A nomeação DNS localiza computadores e serviços por meio de nomes simples.
Quando um usuário insere um nome DNS em um aplicativo, os serviços DNS podem
resolvê-lo para outra informação associada a ele, como um endereço IP.
Cliente DNS
A seguir está uma tecnologia de cliente DNS nova ou aprimorada:
Servidor DNS
A seguir estão as tecnologias de servidor DNS novas ou aprimoradas:
Políticas de DNS. Você pode configurar as políticas de DNS para especificar como
um servidor DNS responde a consultas DNS. As respostas DNS podem ser
baseadas no endereço IP do cliente (local), na hora do dia e em vários outros
parâmetros. As políticas de DNS habilitam o DNS com reconhecimento de local, o
gerenciamento de tráfego, o balanceamento de carga, o DNS de divisão e outros
cenários.
Suporte do nano Server para DNS baseado em arquivo. você pode implantar o
servidor DNS em Windows Server 2016 em uma imagem do Nano server. Essa
opção de implantação estará disponível se você estiver usando DNS baseado em
arquivo. Ao executar o servidor DNS em uma imagem do nano Server, você pode
executar seus servidores DNS com espaço reduzido, inicialização rápida e
aplicação de patch minimizada.
7 Observação
Para obter mais informações, consulte What ' s New in DNS Server in Windows Server
2016
Túnel GRE
O gateway de RAS agora dá suporte a túneis GRE (encapsulamento de roteamento
genérico) de alta disponibilidade para conexões site a site e a redundância M + N de
gateways. GRE é um protocolo de túnel leve que pode encapsular uma ampla variedade
de protocolos de camada de rede em links de ponto a ponto virtuais por meio de uma
ligação entre redes de protocolo de Internet. Para obter mais informações, consulte
túnel GRE em Windows Server 2016.
IPAM
o IPAM fornece recursos administrativos e de monitoramento altamente personalizáveis
para o endereço IP e a infraestrutura de DNS em uma rede da organização. usando
IPAM, você pode monitorar, auditar e gerenciar servidores que estão executando o
protocolo DHCP e o DNS (sistema de nomes de domínio).
para obter mais informações, consulte o que há de novo em IPAM e gerenciar IPAM.
Blog do comunicado
Guia de validação para o Pro de ti
Blog do comunicado
Guia de validação para o Pro de ti
Diretrizes de rede principal para o
Windows Server
Artigo • 21/09/2022 • 3 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server, Windows
Server 2016
Este tópico fornece uma visão geral das diretrizes de rede principal para Windows
Server® 2016 e contém as seções a seguir.
Uma rede principal do Windows Server fornece muitos benefícios, incluindo alguns a
seguir.
Uma rede principal também permite escalar sua rede à medida que sua organização
cresce e os requisitos de TI mudam. Por exemplo, com uma rede principal, você pode
adicionar domínios, sub-redes IP, serviços de acesso remoto, serviços sem fio e outros
recursos e funções de servidor fornecidos pelo Windows Server 2016.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este guia fornece instruções sobre como planejar e implantar os componentes principais
necessários para uma rede totalmente funcional e um novo domínio do Active Directory
em uma nova floresta.
Apêndices A a E
Recomendamos que você leia os guias de design e de implantação para cada uma das
tecnologias usadas neste cenário de implantação para ajudar a determinar se este guia
fornece os serviços e configurações que você precisa.
Uma rede principal do Windows Server fornece muitos benefícios, incluindo alguns a
seguir.
Os protocolos principais de conectividade da rede entre computadores e outros
dispositivos compatíveis com os protocolos TCP/IP. TCP/IP é um conjunto de
protocolos padrão para conexão de computadores e criação de redes. TCP/IP é um
software de protocolo de rede fornecido com sistemas operacionais Microsoft
Windows que implementa e dá suporte ao conjunto de protocolos TCP/IP.
Uma rede principal também permite escalar sua rede à medida que sua organização
cresce e os requisitos de TI mudam. Por exemplo, com uma rede principal, você pode
adicionar domínios, sub-redes IP, serviços de acesso remoto, serviços sem fio e outros
recursos e funções de servidor fornecidos por Windows Server 2016.
Requisitos de hardware de rede
Para implantar com êxito uma rede principal, implante o hardware de rede, incluindo o
seguinte:
Acesso remoto
7 Observação
DNS
O DNS é um protocolo de resolução de nomes para redes TCP/IP, como a Internet ou
uma rede da organização. Um servidor DNS hospeda as informações que permite que
os computadores cliente e serviços resolvam nomes DNS alfanuméricos fáceis de
reconhecer para os endereços IP que os computadores usam para comunicação entre si.
DHCP
O DHCP é um padrão de IP para simplificar o gerenciamento da configuração de IP do
host. O padrão DHCP proporciona o uso de servidores DHCP como uma forma de
gerenciar a alocação dinâmica de endereços IP e outros detalhes de configuração
relacionados para clientes habilitados para DHCP em sua rede.
O DHCP permite que você use um servidor DHCP para atribuir dinamicamente um
endereço IP a um computador ou outro dispositivo, como uma impressora em sua rede
local. Todos os computadores em uma rede TCP/IP devem ter um endereço IP exclusivo,
porque o endereço IP e a máscara de sub-rede relacionada identificam o computador
host e a sub-rede à qual o computador está conectado. Usando o DHCP, você pode
garantir que todos os computadores configurados como clientes DHCP recebam um
endereço IP que seja apropriado para seu local de rede e sua sub-rede e, usando as
opções de DHCP (como o gateway padrão e os servidores DNS), você pode fornecer
automaticamente aos clientes DHCP as informações que eles precisam para funcionar
corretamente na rede.
TCP/IP
TCP/IP no Windows Server 2016 é o seguinte:
Uma base para obter acesso aos serviços globais da Internet, como os servidores
WWW e FTP.
O TCP/IP oferece utilitários TCP/IP básicos que permitem que computadores baseados
no Windows se conectem e compartilhem informações com outros sistemas Microsoft e
não Microsoft, incluindo:
Windows 10
Windows 8.1
Windows 8
Windows 7
Windows Vista
Hosts da Internet
Mainframes IBM
7 Observação
Este guia também inclui instruções para adicionar servidores NPS (Servidor de
Políticas de Rede) e de Servidor Web (IIS) para sua topologia de rede para fornecer
a base para proteger as soluções de acesso à rede, como implantações 802.1X com
fio e sem fio que você pode implementar usando guias complementares de Rede
Principal. Para obter mais informações, consulte Implantando recursos opcionais
para a autenticação do acesso à rede e dos serviços Web.
Roteador
Este guia de implantação fornece instruções para a implantação de uma rede principal
com duas sub-redes separadas por um roteador que tem o encaminhamento DHCP
habilitado. No entanto, você pode implantar um comutador de Camada 2, comutador
de Camada 3 ou um hub, dependendo das suas necessidades e recursos. Se você
implantar uma opção, a opção deverá ser capaz de encaminhar DHCP ou você deverá
colocar um servidor DHCP em cada sub-rede. Se você implantar um hub, estará
implantando uma única sub-rede e não precisará do encaminhamento DHCP ou de um
segundo escopo no servidor DHCP.
O servidor DHCP, denominado DHCP1, está configurado com um escopo que fornece
concessões de endereços IP para computadores na sub-rede local. O servidor DHCP
pode também ser configurado com escopos adicionais para fornecer concessões de
endereços IP para computadores em outras sub-redes quando o encaminhamento
DHCP é configurado nos roteadores.
Computadores cliente
Planejando sub-redes
7 Observação
Planejando sub-redes
No sistema de redes dos protocolos TCP/IP, os roteadores são usados para
interconectar o hardware e o software usados em segmentos de rede física diferentes
chamados sub-redes. Os roteadores também são usados para encaminhar pacotes IP
entre cada uma das sub-redes. Determine o layout físico da rede, incluindo o número de
roteadores e sub-redes que você precisa, antes de continuar com as instruções deste
guia.
Além disso, para configurar os servidores na rede com endereços IP estáticos, determine
o intervalo de endereços IP que deseja usar para a sub-rede onde se encontram os
servidores da rede principal. Neste guia, os intervalos de endereços IP privados 10.0.0.1
– 10.0.0.254 e 10.0.1.1 – 10.0.1.254 são usados como exemplos, mas você pode usar
qualquer intervalo de endereços IP privado que preferir.
) Importante
Depois de selecionar os intervalos de endereços IP que deseja usar para cada sub-
rede, verifique se você pode configurar seus roteadores com o mesmo intervalo de
endereços IP usado na sub-rede onde o roteador está instalado. Por exemplo, se
seu roteador estiver configurado por padrão com um endereço IP 192.168.1.1, mas
você estiver instalando o roteador em uma sub-rede com um intervalo de
endereços IP de 10.0.0.0/24, deverá reconfigurar o roteador para usar um endereço
IP do intervalo de endereços IP 10.0.0.0/24.
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
) Importante
Ao usar endereços IP particulares, você deve usar algum tipo de servidor proxy ou
NAT (conversão de endereços de rede) para converter os intervalos de endereços IP
privados na rede local para um endereço IP público que pode ser roteado na
Internet. A maioria dos roteadores fornecem os serviços NAT; portanto, selecionar
um roteador compatível com NAT deve ser bastante simples.
Endereço IP 10.0.0.2
7 Observação
Quando você cria o primeiro controlador de domínio em sua organização, está criando
o primeiro domínio (também chamado de domínio raiz da floresta) e a primeira floresta.
No entanto, antes de executar esta ação usando este guia, determine o melhor nome de
domínio para sua organização. Na maioria dos casos, o nome da organização é usado
como o nome de domínio, e, em muitos casos, este nome de domínio está registrado.
Se você planeja implantar os servidores Web baseados na Internet externos para
fornecer informações e serviços para seus clientes ou parceiros, escolha um nome de
domínio que não esteja em uso e registre o nome de domínio, para que sua
organização o possua.
) Importante
- example.com
Local da pasta dos arquivos de Log dos Serviços de Domínio Active E:\Configuração\
Directory Ou aceite o local
padrão.
Quando você cria uma zona de pesquisa inversa, o domínio in-addr.arpa, que é definido
nos padrões DNS e reservado no namespace DNS da Internet para oferecer uma forma
prática e confiável de realizar consultas inversas, é configurado no DNS. Para criar o
namespace inverso, subdomínios dentro do domínio in-addr.arpa são formados, usando
a ordem inversa dos números na notação decimal com ponto de endereços IP.
Escopo de Replicação de Zona do Active Para todos os servidores DNS neste domínio
Directory
7 Observação
Como as mensagens DHCP são mensagens de difusão, elas não são encaminhadas
entre as sub-redes por roteadores. Se você tiver várias sub-redes e desejar fornecer o
serviço DHCP em cada sub-rede, deverá fazer o seguinte:
Cada sub-rede deve ter seu próprio intervalo de endereços IP exclusivo. Esses intervalos
são representados em um servidor DHCP com escopos.
As reservas são opcionalmente usadas para garantir que um cliente DHCP sempre
receba o mesmo endereço IP.
As IDs de rede e IDs de host são diferenciadas usando uma máscara de sub-rede. Cada
máscara de sub-rede é um número de 32 bits que usa grupos de bits consecutivos de
todos (1) para identificar a ID da rede e todos os zeros (0) para identificar as partes de
ID do host de um endereço IP.
Para resolver esse problema, você pode criar um intervalo de exclusão para o escopo
DHCP. Um intervalo de exclusão é um intervalo contíguo de endereços IP dentro do
intervalo de endereços IP do escopo que o servidor DHCP não tem permissão para usar.
Se você criar um intervalo de exclusão, o servidor DHCP não atribuirá os endereços
nesse intervalo, permitindo que você atribua manualmente esses endereços sem criar
um conflito de endereços IP.
Você pode excluir endereços IP da distribuição pelo servidor DHCP, criando um intervalo
de exclusão para cada escopo. Use as exclusões para todos os dispositivos configurados
com um endereço IP estático. Os endereços excluídos devem incluir todos os endereços
IP que você atribuiu manualmente a outros servidores, clientes não-DHCP, estações de
trabalho sem disco ou clientes de Roteamento, Acesso Remoto e PPP.
Recomendamos que você configure o intervalo de exclusão com endereços extras para
acomodar o crescimento futuro da rede. A tabela a seguir fornece um intervalo de
exclusão de exemplo para um escopo com um intervalo de endereços IP 10.0.0.1 a
10.0.0.254 e uma máscara de sub-rede de 255.255.255.0.
Itens de configuração Valores de exemplo
Certos dispositivos, como roteadores, servidores DHCP e servidores DNS, devem ser
configurados com um endereço IP estático. Além disso, você pode ter dispositivos
adicionais, como impressoras, onde deve garantir sempre o mesmo endereço IP. Liste os
dispositivos que você deseja configurar estaticamente para cada sub-rede e planeje o
intervalo de exclusão que deseja usar no servidor DHCP para garantir que o servidor
DHCP não conceda o endereço IP de um dispositivo configurado estaticamente. Um
intervalo de exclusão é uma sequência limitada de endereços IP dentro de um escopo,
excluído das ofertas de serviço DHCP. Os intervalos de exclusão garantem que os
endereços nesses intervalos não sejam oferecidos pelo servidor a clientes DHCP na sua
rede.
Neste exemplo, você usa dez dos endereços IP excluídos para configurar servidores e
outros dispositivos com endereços IP estáticos e cinco endereços IP adicionais ficam
disponíveis para uma configuração estática de novos dispositivos que você possa
desejar adicionar no futuro. Com este intervalo de exclusão, o servidor DHCP fica com
um pool de endereços de 192.168.0.16 até 192.168.0.254.
1. Nome do escopo
2. 10.0.0.1
2. Iniciando o endereço IP
3. 10.0.0.254
3. Endereço IP final
4. 255.255.255.0
4. Máscara de Sub-rede
5. 10.0.0.1
2. Implantando o DC1
4. Implantando o DHCP1
7 Observação
Renomear o computador
Você pode usar as seções a seguir para executar essas ações em cada servidor.
Renomear o computador
Você pode usar o procedimento nesta seção para alterar o nome de um computador.
Renomear o computador é útil quando o sistema operacional cria automaticamente um
nome de computador que você deseja usar.
7 Observação
Rename-Computer Computername
Restart-Computer
7 Observação
7 Observação
127.0.0.1
1. Na barra de tarefas, clique com o botão direito do mouse no ícone Rede e clique
em Abrir a Central de Rede e Compartilhamento.
2. Na Central de Rede e Compartilhamento, clique em Alterar as configurações do
adaptador. A pasta Conexões de Rede é aberta e exibe as conexões de rede
disponíveis.
7 Observação
7 Observação
Implantando o DC1
Privilégios administrativos
Se você estiver instalando uma rede pequena e for o único administrador da rede,
recomendamos que crie uma conta de usuário para si mesmo e adicione sua conta de
usuário como um membro dos Administradores de Empresa e Administradores do
Domínio. Isso tornará mais fácil para você atuar como o administrador de todos os
recursos de rede. Também recomendamos que você faça logon com essa conta
somente quando precisar executar tarefas administrativas e crie uma conta de usuário
separada para executar outras tarefas relacionadas.
Uma das vantagens de uma infraestrutura baseada em domínio é que você não precisa
criar contas de usuário em cada computador no domínio. Isso é verdadeiro quando o
computador é um computador cliente ou um servidor.
Devido a isso, você não deve criar contas de usuário em cada computador no domínio.
Crie todas as contas de usuário em Usuários e Computadores do Active Directory e use
os procedimentos anteriores para atribuir a associação de grupo. Por padrão, todas as
contas de usuário são membros do grupo Usuários do Domínio.
Você pode configurar contas de usuário para designar os dias e horários em que o
usuário tem permissão para fazer logon no computador. Você também pode designar
que computadores cada usuário tem permissão para usar. Para definir essas
configurações, abra Usuários e Computadores do Active Directory, localize a conta de
usuário que deseja configurar e clique duas vezes na conta. Em Propriedades da conta
de usuário, clique na guia Conta e clique em Horário de Logon ou em Fazer Logon em.
Você pode usar um dos procedimentos a seguir para instalar Active Directory Domain
Services (AD DS) e DNS e criar um novo domínio em uma nova floresta.
O primeiro procedimento fornece instruções sobre como executar essas ações usando
Windows PowerShell, enquanto o segundo procedimento mostra como instalar o AD DS
e o DNS usando Gerenciador do Servidor.
) Importante
Você pode usar os comandos a seguir para instalar e configurar o AD DS e o DNS. Você
deve substituir o nome de domínio neste exemplo pelo valor que deseja usar para seu
domínio.
7 Observação
Para obter mais informações sobre esses comandos Windows PowerShell, consulte
os tópicos de referência a seguir.
Install-WindowsFeature
Install-ADDSForest
PowerShell
Quando a instalação for concluída com êxito, a mensagem a seguir será exibida em
Windows PowerShell.
PowerShell
SafeModeAdministratorPassword:
Confirme SafeModeAdministratorPassword:
Quando o prompt a seguir for exibido, digite a letra Y e pressione ENTER.
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help
(default is "Y"):
Depois que o servidor for reiniciado, você poderá verificar a instalação bem-
sucedida de Active Directory Domain Services e DNS. Abra Windows PowerShell,
digite o comando a seguir e pressione ENTER.
PowerShell
Get-WindowsFeature
7 Observação
Digite os locais de pasta que deseja usar para a Pasta do banco de dados,
Pasta dos arquivos de log e Pasta SYSVOL.
Você pode usar este procedimento para criar uma nova conta de usuário de domínio no
MMC (Console de Gerenciamento Microsoft) Usuários e Computadores do Active
Directory.
7 Observação
Com o cmdlet a seguir, você pode atribuir membros de grupos adicionais à nova
conta de usuário. O exemplo a seguir adiciona User1 aos grupos Administradores
do Domínio e Administradores de Empresa. Antes de executar esse comando,
altere o nome de conta de usuário, o nome do domínio e os grupos para atender
às suas necessidades.
Add-ADPrincipalGroupMembership -Identity
Admins,CN=Users,DC=corp,DC=contoso,DC=com"
Onde?
3. Aponte para Novo e clique em Usuário. A caixa de diálogo Novo Objeto – Usuário
é aberta.
Você pode usar este procedimento para adicionar um usuário, computador ou grupo a
um grupo no MMC (Console de Gerenciamento Microsoft) Usuários e Computadores do
Active Directory.
Onde?
3. No painel de detalhes, clique com o botão direito do mouse no objeto que deseja
adicionar a um grupo, como um usuário ou computador e clique em
Propriedades. A caixa de diálogo Propriedades do objeto é aberta. Clique na guia
Membro de.
Você pode usar este procedimento para configurar uma zona de pesquisa inversa no
DNS (Sistema de Nome de Domínio).
7 Observação
2. No DNS, clique duas vezes no nome do servidor para expandir a árvore, se ela
ainda não estiver expandida. Por exemplo, se o nome do Servidor DNS for DC1,
clique duas vezes em DC1.
Em todos os servidores que você estiver implantando, exceto no servidor que executa o
AD DS, faça o seguinte:
2. Use as instruções nos dois seguintes procedimentos para ingressar seus servidores
no domínio e fazer logon nos servidores para executar tarefas de implantação
adicionais:
7 Observação
Quando você for solicitado a fazê-lo, digite o nome de usuário e a senha de uma
conta que tenha permissão para ingressar um computador no domínio. Para
reiniciar o computador, digite o comando a seguir e pressione ENTER.
Restart-Computer
7 Observação
Para obter informações sobre como ingressar computadores que estão executando
outros sistemas operacionais da Microsoft no domínio, consulte Apêndice C –
Ingressando computadores no domínio.
7 Observação
Para obter informações sobre como fazer logon no domínio usando computadores
que executam outros sistemas operacionais da Microsoft, consulte Apêndice D –
Fazer logon no domínio.
Implantando o DHCP1
Antes de implantar este componente da rede principal, faça o seguinte:
7 Observação
EndRange 10.0.0.15
ComputerName DHCP1.corp.contoso.com
ComputerName DHCP1.corp.contoso.com
Você pode usar este procedimento para instalar e configurar a função de Servidor DHCP
usando o Assistente para Adicionar Funções e Recursos.
7 Observação
Você pode usar este procedimento para criar um novo escopo do DHCP usando o MMC
(Console de Gerenciamento Microsoft) DHCP. Quando você conclui o procedimento, o
escopo é ativado e o intervalo de exclusão que você cria impede que o servidor DHCP
conceda os endereços IP usados para configurar estaticamente os servidores e outros
dispositivos que exigem um endereço IP estático.
d. Clique em Próximo.
11. Em Configurar opções DHCP, selecione Sim, desejo configurar essas opções
agora e clique em Avançar.
14. Em Servidores WINS, como você não tem servidores WINS na sua rede, clique em
Avançar.
15. Em Ativar Escopo, selecione Sim, desejo ativar este escopo agora.
) Importante
Para criar novos escopos para sub-redes adicionais, repita o procedimento. Use um
intervalo de endereços IP diferente para cada sub-rede que você planeja implantar
e verifique se o encaminhamento de mensagem DHCP está habilitado em todos os
roteadores que levam a outras sub-redes.
7 Observação
Quando você for solicitado a fazê-lo, digite o nome de usuário e a senha de uma
conta que tenha permissão para ingressar um computador no domínio. Para
reiniciar o computador, digite o comando a seguir e pressione ENTER.
Restart-Computer
7 Observação
Você pode implantar certificados de servidor e outros recursos adicionais por meio
de Guias Complementares de Rede Principal. Para obter mais informações, consulte
Recursos técnicos adicionais.
A ilustração a seguir mostra a topologia rede do Windows Server Core com NPS e
servidores Web adicionados.
As seções a seguir fornecem informações sobre como adicionar servidores NPS e Web a
sua rede.
Implantando o NPS1
Implantando o WEB1
Implantando o NPS1
O servidor NPS (Servidor de Políticas de Rede) é instalado como uma etapa preparatória
para a implantação de outras tecnologias de acesso à rede, como servidores VPN (rede
virtual privada), pontos de acesso sem fio e comutadores de autenticação 802.1X.
O NPS (Servidor de Política de Rede) permite que você configure e gerencie
centralmente as políticas de rede com os seguintes recursos: servidor RADIUS (Serviço
de Usuário Discado de Autenticação Remota) e proxy RADIUS.
O NPS é um componente opcional de uma rede principal, mas você deve instalar o NPS
quando qualquer uma das seguintes opções é verdadeira:
Você está planejando expandir sua rede para incluir servidores de acesso remoto
compatíveis com o protocolo RADIUS, como um computador executando
Windows Server 2016, Windows Server 2012 R2 Windows Server 2012 , Windows
Server 2008 R2 ou Windows Server 2008 e Serviço de Roteamento e Acesso
Remoto, Gateway de Serviços de Terminal ou Gateway de Área de Trabalho
Remota.
Você planeja implantar a autenticação 802.1X para acesso com fio ou sem fio.
Antes de implantar esse serviço de função, você deve executar as seguintes etapas no
computador que está configurando como um NPS.
Para implantar o NPS1, que o computador está executando o serviço de função do NPS
(Servidor de Políticas de Rede) da função de servidor de Política de Rede e Serviços de
Acesso, conclua esta etapa:
7 Observação
Quando você usa o NPS como um servidor do serviço RADIUS, o NPS executa a
autenticação e a autorização para solicitações de conexão por meio de servidores de
acesso à rede. O NPS também permite que você configure e gerencie de forma
centralizada as políticas de rede que determinam quem pode acessar a rede, como eles
podem acessar a rede e quando eles podem acessar a rede.
Você pode usar esse procedimento para instalar o NPS (Servidor de Política de Rede)
usando o Assistente para Adicionar Funções e Recursos. O NPS é um serviço de função
da função de servidor Serviços de Acesso e Política de Rede.
7 Observação
Por padrão, o NPS ouve o tráfego RADIUS nas portas 1812, 1813, 1645 e 1646 em
todos os adaptadores de rede instalados. Se o Firewall do Windows com Segurança
Avançada estiver habilitado quando você instala o NPS, as exceções de firewall para
essas portas serão criadas automaticamente durante o processo de instalação para
o tráfego IPv6 (Protocolo de Internet 6) e IPv4. Se os servidores de acesso à rede
estiverem configurados para enviar tráfego RADIUS por portas diferentes desses
padrões, remova as exceções criadas no Firewall do Windows com Segurança
Avançada durante a instalação do NPS e crie exceções para as portas que você usa
para o tráfego RADIUS.
Credenciais Administrativas
Para concluir este procedimento, você deve ser um membro do grupo Administradores
de Domínio.
7 Observação
7 Observação
Você pode usar esse procedimento para registrar um NPS no domínio em que o
servidor é um membro de domínio.
Os NPSs devem ser registrados no Active Directory para que tenham permissão para ler
as propriedades discadas das contas de usuário durante o processo de autorização.
Registrar um NPS adiciona o servidor ao grupo SERVIDORES RAS e IAS no Active
Directory.
Credenciais administrativas
Para concluir este procedimento, você deve ser um membro do grupo Administradores
de Domínio.
7 Observação
server=NPS1.corp.contoso.com
Para obter mais informações sobre o Servidor de Política de Rede, consulte NPS
(Servidor de Política de Rede).
Implantando o WEB1
A função servidor Web (IIS) no Windows Server 2016 fornece uma plataforma segura,
fácil de gerenciar, modular e extensível para hospedar sites, serviços e aplicativos de
forma confiável. Com os Serviços de Informações da Internet (IIS), você pode
compartilhar informações com usuários na Internet, uma intranet ou uma extranet. O IIS
é uma plataforma Web unificada que integra IIS, ASP.NET, serviços FTP, PHP e WCF
(Windows Communication Foundation).
Além de permitir que você publique uma CRL para acesso por computadores membros
do domínio, a função de servidor do Servidor Web (IIS) permite que você configure e
gerencie vários sites, aplicativos Web e sites FTP. O IIS também oferece os seguintes
benefícios:
Para implantar o WEB1, que é o computador que está executando a função de servidor
Servidor Web (IIS), faça o seguinte:
7 Observação
7 Observação
Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012 Recursos da
Biblioteca Técnica
Novidades no AD DS (Active Directory Domain Services) no Windows Server 2016
Apêndices A a E
As seções a seguir contêm informações de configuração adicionais para computadores
que estão executando sistemas operacionais diferentes de Windows Server 2016,
Windows 10, Windows Server 2012 e Windows 8. Além disso, uma planilha de
preparação de rede é fornecida para ajudá-lo na implantação.
Windows Server 2008 e Windows Vista
Windows Server 2008 R2 e Windows 7
A associação a Administradores ou equivalente é o requisito mínimo para a execução
destes procedimentos.
7 Observação
Windows Server 2008 e Windows Vista
A associação a Administradores ou equivalente é o requisito mínimo para a execução
destes procedimentos.
7 Observação
4. Em Conexões de Rede, clique com o botão direito na conexão de rede que deseja
configurar e clique em Propriedades.
4. Em Conexões de Rede, clique com o botão direito na conexão de rede que deseja
configurar e clique em Propriedades.
) Importante
7 Observação
Windows Server 2008 e Windows Vista
O requisito mínimo para executar este procedimento é a associação ao grupo Usuários
do Domínio ou equivalente.
Windows Server 2008 e Windows Vista
Windows Server 2008 e Windows Vista
O requisito mínimo para executar este procedimento é a associação ao grupo Usuários
do Domínio ou equivalente.
Estes links levam para as seções neste tópico que fornecem itens de configuração e
exemplos de valores que estão associados com os procedimentos de implantação
apresentados neste guia.
2. Instalando o DHCP
Endereço IP 10.0.0.2
Renomear o computador
- Zona secundária
- Zona stub
Endereço IP 10.0.0.3
Renomear o computador
Comprimento 8
Itens de configuração Valores de exemplo Valores
Duração da concessão - 8
Dias - 0
-0
Horas
minutos
Endereço IP 10.0.0.4
Renomear o computador
Item de configuração Valor de exemplo Valor
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Embora o guia de rede Windows Server 2016 Core forneça instruções sobre como
implantar uma nova floresta do Active Directory® com um novo domínio raiz e a
infraestrutura de rede de suporte, os Guias Adicionais fornecem a capacidade de
adicionar recursos à sua rede.
Cada guia complementar permite cumprir uma meta específica, após a implantação de
sua rede principal. Em alguns casos, existem vários guias complementarem que, quando
implantados juntos e na ordem correta, permitem realizar objetivos muito complexos de
forma medida, econômica e razoável.
Se você implantou sua rede principal e seu domínio do Active Directory antes de
encontrar o Guia da Rede Principal, ainda pode usar os Guias Complementares para
adicionar recursos à sua rede. Simplesmente use o Guia da Rede Principal como uma
lista de pré-requisitos e saiba que, para implantar recursos adicionais com os Guias
Complementares, a rede deve atender aos pré-requisitos que são fornecidos pelo Guia
da Rede Principal.
Para obter instruções sobre como implantar certificados de servidor, consulte Implantar
certificados de servidor para implantações com fio e sem fio 802.1X.
Antes de usar este guia para implantar o acesso sem fio com o método de autenticação
PEAP-MS-CHAP v2, você deve fazer o seguinte:
Quando você implanta o modo de cache hospedado, todos os clientes em uma filial de
várias sub-redes podem acessar um único cache, que é armazenado no servidor de
cache hospedado, mesmo se os clientes estão em sub-redes diferentes.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este guia para implantar certificados de servidor em seus servidores de
infraestrutura de acesso remoto e servidor de políticas de rede (NPS).
Quando você usa certificados de servidor digital para autenticação entre computadores
em sua rede, os certificados fornecem:
Tipos de servidores
Usando este guia, você pode implantar certificados de servidor nos seguintes tipos de
servidores.
Servidores que executam o serviço de acesso remoto, que são servidores de rede
virtual privada (VPN) do DirectAccess ou padrão, e que são membros do grupo de
Servidores RAS e ias .
Servidores que executam o serviço de servidor de diretivas de rede (NPS) que são
membros do grupo de Servidores RAS e ias .
você deve implantar uma rede principal usando o guia de rede Windows Server
2016 core ou já deve ter as tecnologias fornecidas no guia de rede principal
instaladas e funcionando corretamente na rede. Essas tecnologias incluem TCP/IP
V4, DHCP, Active Directory Domain Services (AD DS), DNS e NPS.
7 Observação
Você deve ler a seção de planejamento deste guia para garantir que você está
preparado para essa implantação antes de executar a implantação.
Você deve executar as etapas neste guia na ordem em que elas são apresentadas.
Não vá em frente e implante sua autoridade de certificação sem executar as etapas
que levam à implantação do servidor ou a sua implantação falhará.
você deve estar preparado para implantar dois novos servidores em sua rede-um
servidor no qual você instalará o AD CS como uma autoridade de certificação raiz
Enterprise e um servidor no qual você instalará o servidor web (IIS) para que sua
autoridade de certificação possa publicar a CRL (lista de certificados revogados) no
servidor web.
7 Observação
Você está preparado para atribuir um endereço IP estático aos servidores Web e do
AD CS que você implanta com este guia, bem como para nomear os computadores
de acordo com as convenções de nomenclatura da organização. Além disso, você
deve unir os computadores ao seu domínio.
Para obter mais informações, consulte visão geral dos serviços de certificados Active
Directory e diretrizes de design de infraestrutura de chave pública .
Para obter mais informações, consulte visão geral do servidor Web (IIS).
Visão geral da implantação de
certificado do servidor
Artigo • 21/12/2022 • 6 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Na ilustração acima, vários servidores são descritos: DC1, CA1, WEB1 e muitos
servidores SDN. Este guia fornece instruções para implantar e configurar o CA1 e o
WEB1 e para configurar o DC1, que este guia pressupõe que você já instalou em
sua rede. Se você ainda não instalou seu domínio do Active Directory, poderá fazê-
lo usando o Guia de Rede Principal para Windows Server 2016.
Para obter mais informações sobre cada item ilustrado na ilustração acima, consulte o
seguinte:
CA1
WEB1
DC1
NPS1
Para redes maiores ou em que questões de segurança fornecem justificativa, você pode
separar as funções da AC raiz e da AC emissora e implantar CAs subordinadas que estão
emitindo CAs.
Capolicy.inf
Você utiliza uma cópia do modelo em vez do modelo original para que a configuração
do modelo original seja preservada para possível uso futuro. Você configura a cópia do
modelo de servidores RAS e IAS para que a AC possa criar certificados de servidor que
ele emite para os grupos em Usuários e Computadores do Active Directory que você
especificar.
7 Observação
2. No DC1, crie um registro de alias (CNAME) para seu servidor Web, WEB1.
8. Na AC, configure uma cópia do modelo de certificado ras e ias servers. A AC emite
certificados com base em um modelo de certificado, portanto, você deve
configurar o modelo para o certificado do servidor antes que a AC possa emitir um
certificado.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Para obter mais informações, consulte o Guia Windows Server 2016 De rede principal.
Este guia fornece instruções para configurar seu servidor Web para hospedar a CRL (lista
de certificados revogados) para sua AC (autoridade de certificação). Como você também
pode querer usar seu servidor Web para outras finalidades, como hospedar um FTP ou
site, é uma boa ideia criar um registro de recurso de alias no DNS para seu servidor
Web. Neste guia, o registro CNAME é denominado "pki", mas você pode escolher um
nome apropriado para sua implantação.
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
[BasicConstraintsExtension]
PathLength=0
Critical=Yes
) Importante
O local do CDP que você deve inserir durante essa etapa de implantação tem o formato:
http:\/\/*DNSAlias\
(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix>
<DeltaCRLAllowed>.crl.
Por exemplo, se o servidor Web for chamado WEB1 e o registro CNAME do alias DNS
para o servidor Web for "pki", seu domínio será corp.contoso.com e seu diretório virtual
for nomeado pki, o local do CDP será:
http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName>
<CertificateName>.crt.
Por exemplo, se o servidor Web for chamado WEB1 e o registro CNAME do alias DNS
para o servidor Web for "pki", seu domínio será corp.contoso.com e seu diretório virtual
for nomeado pki, o local do AIA será:
http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Siga estas etapas para instalar uma AC (autoridade de certificação) raiz corporativa e
implantar certificados de servidor para uso com PEAP e EAP.
) Importante
7 Observação
Os procedimentos deste guia não incluem instruções para os casos em que a caixa
de diálogo Controle de Conta de Usuário é aberta para solicitar sua permissão
para continuar. Caso essa caixa de diálogo seja aberta durante a execução dos
procedimentos deste guia e em resposta às suas ações, clique em Continuar.
Instalar o servidor Web WEB1
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
A função servidor Web (IIS) no Windows Server 2016 fornece uma plataforma segura,
fácil de gerenciar, modular e extensível para hospedar sites, serviços e aplicativos de
forma confiável. Com o IIS, você pode compartilhar informações com usuários na
Internet, em uma intranet ou em uma extranet. O IIS é uma plataforma Web unificada
que integra IIS, ASP.NET, serviços FTP, PHP e WCF (Windows Communication
Foundation).
Quando você implanta certificados de servidor, seu servidor Web fornece um local em
que você pode publicar a CRL (lista de certificados revogados) para sua AC (autoridade
de certificação). Após a publicação, a CRL fica acessível a todos os computadores em
sua rede para que eles possam usar essa lista durante o processo de autenticação para
verificar se os certificados apresentados por outros computadores não são revogados.
Antes de instalar a função servidor Web (IIS), verifique se você configurou o nome do
servidor e o endereço IP e ingressou o computador no domínio.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar esse procedimento para adicionar um registro de recurso CNAME
(nome canônico do Alias) para seu servidor Web a uma zona no DNS no controlador de
domínio. Com registros CNAME, você pode usar mais de um nome para apontar para
um único host, facilitando a realização de coisas como hospedar um servidor FTP
(Protocolo de Transferência de Arquivo) e um servidor Web no mesmo computador.
Por isso, você é livre para usar seu servidor Web para hospedar a CRL (lista de
revogação de certificados) para sua AC (autoridade de certificação), bem como para
executar serviços adicionais, como FTP ou servidor Web.
Para executar esse procedimento, você deve ser membro dos Administradores de
Domínio.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para configurar o servidor Web WEB1 para distribuir
CRLs.
Nas extensões da CA raiz, foi mencionado que a CRL da CA raiz estaria disponível via
https://pki.corp.contoso.com/pki . Atualmente, não há um diretório virtual PKI em
WEB1, portanto, é necessário criá-lo.
Para executar esse procedimento, você deve ser membro de Admins. do domínio.
7 Observação
2. Crie uma nova pasta chamada PKI na unidade C:. Para fazer isso, clique em inícioe,
em seguida, clique em nova pasta. Uma nova pasta é criada com o nome
temporário realçado. Digite PKI e pressione Enter.
3. no Windows Explorer, clique com o botão direito do mouse na pasta que você
acabou de criar, passe o cursor do mouse sobre compartilhar come clique em
pessoas específicas. A caixa de diálogo Compartilhamento de Arquivos será
aberta.
8. Expanda Sites, clique com o botão direito do mouse no Default Web Site e clique
em Adicionar Diretório Virtual.
10. Habilite o acesso anônimo ao diretório virtual PKI, para que qualquer cliente possa
verificar a validade dos certificados e das CRLs da AC. Para fazer isso:
12. No painel Página Inicial da pki, clique duas vezes em Filtragem de Solicitações.
O CAPolicy.inf é:
Depois de criar o arquivo CAPolicy.inf, você deve copiá-lo para a pasta %systemroot%
do servidor antes de instalar o ADCS ou renovar o certificado de AUTORIDADE.
Seção – é uma área do arquivo que abrange um grupo lógico de chaves. Os nomes
de seção em arquivos .inf são identificados aparecendo entre colchetes. Muitas,
mas não todas, seções são usadas para configurar extensões de certificado.
[Version]
Signature="$Windows NT$"
Versão
Identifica o arquivo como um arquivo .inf. A versão é a única seção necessária e deve
estar no início do arquivo CAPolicy.inf.
PolicyStatementExtension
Lista as políticas que foram definidas pela organização e se elas são opcionais ou
obrigatórias. Várias políticas são separadas por vírgulas. Os nomes têm significado no
contexto de uma implantação específica ou em relação a aplicativos personalizados que
verificam a presença dessas políticas.
Para cada política definida, deve haver uma seção que defina as configurações dessa
política específica. Para cada política, você precisa fornecer um OID (identificador de
objeto definido pelo usuário) e o texto desejado exibido como a instrução de política ou
um ponteiro de URL para a instrução de política. A URL pode estar na forma de uma
URL HTTP, FTP ou LDAP.
[InternalPolicy]
OID=1.1.1.1.1.1.1
Se você usar uma URL para hospedar a instrução de política de AC, as próximas três
linhas serão semelhantes a:
[InternalPolicy]
OID=1.1.1.1.1.1.2
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
Além disso:
URLs com espaços ou texto com espaços devem ser cercadas por aspas. Isso é
verdadeiro para a chave de URL , independentemente da seção na qual ela
aparece.
[InternalPolicy]
OID=1.1.1.1.1.1.1
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
URL=ftp://ftp.wingtiptoys.com/pki/policies/legalpolicy.asp
CRLDistributionPoint
Você pode especificar OS CDPs (Pontos de Distribuição de CRL) para um certificado de
AC raiz no CAPolicy.inf. Depois de instalar a AC, você pode configurar as URLs de CDP
que a AC inclui em cada certificado emitido. O certificado de AC raiz mostra as URLs
especificadas nesta seção do arquivo CAPolicy.inf.
[CRLDistributionPoint]
URL=http://pki.wingtiptoys.com/cdp/WingtipToysRootCA.crl
Oferece suporte a:
HTTP
URLs de arquivo
LDAP URLs
Várias URLs
) Importante
Use esta seção somente se você estiver configurando uma AC raiz ou renovando o
certificado de autoridade de certificação raiz. A AC determina as extensões cdp de
AC subordinadas.
AuthorityInformationAccess
Você pode especificar os pontos de acesso de informações de autoridade no
CAPolicy.inf para o certificado de autoridade de certificação raiz.
[AuthorityInformationAccess]
URL=http://pki.wingtiptoys.com/Public/myCA.crt
Há suporte para URLs HTTP, FTP, LDAP e FILE. Não há suporte para URLs HTTPS.
Esta seção só será usada se você estiver configurando uma AC raiz ou renovando o
certificado de autoridade de certificação raiz. As extensões subordinadas da AC
AIA são determinadas pela AC que emitiu o certificado da AC subordinada.
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=Days
CRLPeriodUnits=2
CRLDeltaPeriod=Hours
CRLDeltaPeriodUnits=4
ClockSkewMinutes=20
LoadDefaultTemplates=True
AlternateSignatureAlgorithm=0
ForceUTF8=0
EnableKeyCounting=0
Cada uma dessas configurações pode ser configurada após a instalação da AC:
Talvez você não deseje emitir certificados imediatamente após a instalação de uma AC,
portanto, você pode usar a configuração LoadDefaultTemplates para impedir que os
modelos padrão sejam adicionados à AC Enterprise. Se não houver modelos
configurados na AC, ele não poderá emitir certificados.
2. Quando ele perguntar se você deseja criar um novo arquivo, clique em Sim.
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
[CRLDistributionPoint]
[AuthorityInformationAccess]
6. Verifique o seguinte:
Codificação é ANSI
7. Clique em Salvar.
U Cuidado
Verifique se você salvou o CAPolicy.inf com a extensão inf. Se você não digitar
.inf especificamente no final do nome de arquivo e selecionar as opções
conforme descrito, o arquivo será salvo como um arquivo de texto e não será
usado durante a instalação da AC.
) Importante
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para instalar Active Directory serviços de certificados
(AD CS) para que você possa registrar um certificado do servidor em servidores que
estejam executando o servidor de diretivas de rede (NPS), o serviço de roteamento e
acesso remoto (RRAS) ou ambos.
) Importante
7 Observação
se você quiser usar Windows PowerShell para instalar Active Directory serviços de
certificados, consulte install-AdcsCertificationAuthority para obter cmdlets e
parâmetros opcionais.
7 Observação
13. Na página especificar o tipo da chave privada , verifique se criar uma nova chave
privada está selecionado e clique em Avançar.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para definir as configurações de CDP (Ponto de
Distribuição da CRL) e AIA (Acesso de Informações da Autoridade) na CA1.
7 Observação
http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix>
<DeltaCRLAllowed>.crl . Em Confirmar remoção, clique em Sim.
c. Selecione a entrada que começa com o caminho ldap:///CN=<CATruncatedName>
<CRLNameSuffix>,CN=<ServerShortName> e clique em ldap:///CN=
<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName> . Em Confirmar
4. Em Especificar locais dos quais os usuários podem obter uma CRL (lista de
certificados revogados), clique em Adicionar. A caixa de diálogo Adicionar Local
é aberta.
5. Em Adicionar Local, em Local, digite e clique em OK. Isso retorna você para a caixa
de diálogo Propriedades da AC.
Incluir nas CRLs. Os clientes usam isso para encontrar os locais da CRL
Delta
7. Em Especificar locais dos quais os usuários podem obter uma CRL (lista de
certificados revogados), clique em Adicionar. A caixa de diálogo Adicionar Local
é aberta.
8. Em Adicionar Local, em Local, digite e clique em OK. Isso retorna você para a caixa
de diálogo Propriedades da AC.
clique em Sim.
b. Selecione a entrada
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName>
<CertificateName>.crt e clique em
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName>
11. Em Especificar locais dos quais os usuários podem obter o certificado para essa
AC, clique em Adicionar. A caixa de diálogo Adicionar Local é aberta.
12. Em Adicionar Local, em Local, digite e clique em OK. Isso retorna você para a caixa
de diálogo Propriedades da AC.
14. Quando for solicitado que você reinicie Serviços de Certificados do Active
Directory, clique em Não. Você reiniciará o serviço mais tarde.
Copiar o certificado de autoridade de
certificação e a CRL para o Diretório
Virtual
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar esse procedimento para copiar a Lista de Revogação de Certificados e
Enterprise certificado de autoridade de certificação raiz de sua autoridade de
certificação para um diretório virtual em seu servidor Web e garantir que o AD CS esteja
configurado corretamente. Antes de executar os comandos abaixo, verifique se você
substitui os nomes de diretório e servidor pelos que são apropriados para sua
implantação.
Para executar esse procedimento, você deve ser membro dos Administradores de
Domínio.
Dica
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para configurar o modelo de certificado que o AD
CS (Serviços de Certificados do Active Directory®) usa como base para certificados de
servidor que estão inscritos em servidores em sua rede.
Ao configurar esse modelo, você pode especificar os servidores por grupo do Active
Directory que devem receber automaticamente um certificado do servidor AD CS.
2. No MMC, clique duas vezes no nome da AC, clique com o botão direito do mouse
em Modelos de Certificado e clique em Gerenciar.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
) Importante
9. Clique em OK.
) Importante
9. Clique em OK.
Próximas etapas
Atualizar Política de Grupo
Atualizar Diretiva de Grupo
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para atualizar manualmente a Diretiva de Grupo no
computador local. Quando a Diretiva de Grupo é atualizada, se o registro automático de
certificados estiver configurado e funcionando corretamente, o computador local terá o
registro automático de um certificado pela autoridade de certificação (CA).
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
2. Clique duas vezes em políticas, clique com o botão direito do mouse em políticas
de redee clique em novo. O assistente Nova Diretiva de Rede é exibido.
) Importante
7 Observação
Como você não está concluindo o assistente, a política de rede de teste não é
criada no NPS.
Implantar acesso sem fio autenticado
802.1X baseado em senha
Artigo • 07/02/2023 • 24 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este é um guia complementar para o Guia de Rede Principal do Windows Server® 2016.
O Guia de Rede Principal fornece instruções para planejar e implantar os componentes
necessários para uma rede totalmente funcional e um novo domínio do Active
Directory® em uma nova floresta.
Este guia explica como desenvolver uma rede principal e fornece instruções sobre como
implantar o acesso sem fio IEEE 802.11 com autenticação 802.1 X do Instituto de
Engenheiros Eletricistas e Eletrônicos usando o Protocolo de Autenticação Extensível
Protegido – Microsoft Challenge Handshake Authentication Protocol versão 2 (PEAP-
MS-CHAP v2).
7 Observação
Neste guia, o Acesso Sem Fio Autenticado IEEE 802.1X com PEAP-MS-CHAP v2 é
abreviado para "acesso sem fio" e "acesso WiFi".
Um ou mais pontos de acesso sem fio 802.11 com capacidade para 802.11 (APs).
As seções a seguir fornecem links para a documentação que mostra como implantar
essas tecnologias.
O Windows Server 2016 Core Network Guide está disponível na Biblioteca Técnica
Windows Server 2016.
AD CS
CA Pública
Você pode comprar certificados de servidor de uma AC pública, como VeriSign, em que
os computadores cliente já confiam.
É recomendável que você examine os guias de design e implantação de cada uma das
tecnologias usadas neste cenário de implantação. Esses guias podem ajudar a
determinar se o cenário de implantação fornece os serviços e as configurações que você
precisa para a rede de sua organização.
Requisitos
A seguir estão os requisitos para implantar uma infraestrutura de acesso sem fio usando
o cenário documentado neste guia:
Antes de implantar esse cenário, primeiro você deve comprar pontos de acesso
sem fio compatíveis com 802,1X para fornecer cobertura sem fio nos locais
desejados em seu site. A seção de planejamento deste guia ajuda a determinar os
recursos aos quais seus APs devem dar suporte.
Active Directory Domain Services (AD DS) está instalado, assim como as outras
tecnologias de rede necessárias, de acordo com as instruções no Guia de Rede do
Windows Server 2016 Core.
Configuração avançada de AP sem fio, como para VLANs (Redes de Área Local)
virtuais sem fio.
DHCP
Este guia de implantação não fornece informações sobre como projetar ou implantar
sub-redes DHCP para LANs sem fio.
IEEE 802.1X
O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta usado para
fornecer acesso de rede autenticado às redes Ethernet. Esse controle de acesso à rede
baseado em porta usa as características físicas da infraestrutura de LAN comutada para
autenticar dispositivos anexados a uma porta LAN. O acesso à porta pode ser negado se
o processo de autenticação falhar. Embora esse padrão tenha sido projetado para redes
Ethernet com fio, ele foi adaptado para uso em LANs sem fio 802.11.
7 Observação
Você também pode usar computadores que estão executando Windows Server
2016, Windows Server 2012 R2 e Windows Server 2012 como clientes sem fio.
Embora haja suporte interno para rede sem fio 802.11, os componentes sem fio do
Windows dependem do seguinte:
Os recursos do adaptador de rede sem fio. O adaptador de rede sem fio instalado
deve dar suporte à LAN sem fio ou aos padrões de segurança sem fio necessários.
Por exemplo, se o adaptador de rede sem fio não der suporte a Wi-Fi WPA (Acesso
Protegido), você não poderá habilitar ou configurar opções de segurança do WPA.
Os recursos do driver do adaptador de rede sem fio. Para permitir que você
configure opções de rede sem fio, o driver do adaptador de rede sem fio deve dar
suporte ao relatório de todos os seus recursos para o Windows. Verifique se o
driver do adaptador de rede sem fio foi gravado para os recursos do sistema
operacional. Verifique também se o driver é a versão mais atual verificando o
Microsoft Update ou o site do fornecedor do adaptador de rede sem fio.
802,11n C-Band e S-Band ISM 250 Mbps Os dispositivos baseados no padrão IEEE
\2.4 e 802.11n de pré-ratificação ficaram disponíveis
5.0 GHz em agosto de 2007. Muitos dispositivos
802.11n são compatíveis com dispositivos
802.11a, b e g.
Ao definir configurações de segurança sem fio nas Políticas de Rede Sem Fio do Política
de Grupo, há várias combinações para escolher. No entanto, somente os padrões de
autenticação WPA2-Enterprise, WPA-Enterprise e Open com 802.1X têm suporte para
implantações sem fio autenticadas 802.1X.
7 Observação
1. Exigir autenticação que usa a estrutura EAP 802.1X como parte da infraestrutura
que garante a autenticação mútua centralizada e o gerenciamento dinâmico de
chaves
) Importante
A WEP (Privacidade de Equivalência com Fio) era o padrão de segurança sem fio
original que era usado para criptografar o tráfego de rede. Você não deve
implantar o WEP em sua rede porque há vulnerabilidades conhecidas nessa forma
de segurança desatualizada.
Certificados do servidor
Esse cenário de implantação requer certificados de servidor para cada NPS que executa
a autenticação 802.1X.
Protocolo TLS
) Importante
O PEAP (EAP protegido) usa TLS para criar um canal criptografado entre um cliente
PEAP de autenticação, como um computador sem fio, e um autenticador PEAP, como
um NPS ou outros servidores RADIUS. O PEAP não especifica um método de
autenticação, mas fornece segurança adicional para outros protocolos de autenticação
EAP (como EAP-MS-CHAP v2) que podem operar por meio do canal criptografado TLS
fornecido pelo PEAP. O PEAP é usado como um método de autenticação para acessar
clientes que estão se conectando à rede da sua organização por meio dos seguintes
tipos de NASs (servidores de acesso à rede):
Este guia fornece instruções para configurar seus clientes sem fio e seus NPS para usar o
PEAP-MS-CHAP v2 para acesso autenticado 802.1X.
Quando você configura seus pontos de acesso sem fio 802.1X como clientes RADIUS no
NPS, o NPS processa as solicitações de conexão enviadas pelos APs. Durante o
processamento da solicitação de conexão, o NPS executa a autenticação e a
autorização. A autenticação determina se o cliente apresentou credenciais válidas. Se o
NPS autenticar com êxito o cliente solicitante, o NPS determinará se o cliente está
autorizado a fazer a conexão solicitada e permite ou nega a conexão. Isso é explicado
com mais detalhes da seguinte maneira:
Autenticação
A autenticação mútua PEAP-MS-CHAP v2 com êxito tem duas partes principais:
1. O cliente autentica o NPS. Durante essa fase de autenticação mútua, o NPS envia
seu certificado de servidor para o computador cliente para que o cliente possa
verificar a identidade do NPS com o certificado. Para autenticar o NPS com êxito, o
computador cliente deve confiar na AC que emitiu o certificado NPS. O cliente
confia nessa AC quando o certificado da AC está presente no repositório de
certificados autoridades de certificação raiz confiáveis no computador cliente.
2. O NPS autentica o usuário. Depois que o cliente autentica o NPS com êxito, o
cliente envia as credenciais baseadas em senha do usuário para o NPS, que verifica
as credenciais do usuário no banco de dados de contas de usuário no AD DS
(Active Directory Domain Services).
Autorização
2. Em seguida, o NPS processa suas políticas de rede para encontrar uma política que
corresponda à solicitação de conexão. Se uma política correspondente for
encontrada, o NPS concederá ou negará a conexão com base na configuração
dessa política.
7 Observação
Para implantar o acesso sem fio, você deve configurar políticas NPS. Este guia
fornece instruções para usar o assistente Configurar 802.1X no NPS para criar
políticas NPS para acesso sem fio autenticado 802.1X.
Perfis de inicialização
Em redes sem fio autenticadas em 802.1X, os clientes sem fio devem fornecer
credenciais de segurança autenticadas por um servidor RADIUS para se conectarem à
rede. Para o Protocolo de Autenticação de Handshake do EAP Protegido [PEAP]-
Microsoft Challenge Handshake versão 2 [MS-CHAP v2], as credenciais de segurança
são um nome de usuário e uma senha. Para EAP-Transport TLS [Layer Security] ou PEAP-
TLS, as credenciais de segurança são certificados, como certificados de usuário cliente e
computador ou cartões inteligentes.
Conforme mencionado anteriormente, você pode emitir seus servidores RADIUS seu
certificado de servidor de uma das duas maneiras: de uma AC comercial (como VeriSign,
Inc., ) ou de uma AC privada que você implanta em sua rede. Se o servidor RADIUS
enviar um certificado de computador emitido por uma AC comercial que já tenha um
certificado raiz instalado no repositório de certificados autoridades de certificação raiz
confiáveis do cliente, o cliente sem fio poderá validar o certificado de computador do
servidor RADIUS, independentemente de o cliente sem fio ter ingressado no domínio do
Active Directory. Nesse caso, o cliente sem fio pode se conectar à rede sem fio e, em
seguida, você pode ingressar o computador no domínio.
7 Observação
O comportamento que exige que o cliente valide o certificado do servidor pode ser
desabilitado, mas não é recomendável desabilitar a validação de certificado do
servidor em ambientes de produção.
Quando Política de Grupo é aplicado, um ou mais perfis de conexão sem fio que
impõem o requisito de autenticação mútua são aplicados no computador; o perfil de
inicialização não é mais necessário e é removido. Depois de ingressar o computador no
domínio e reiniciar o computador, o usuário pode usar uma conexão sem fio para fazer
logon no domínio.
Para obter uma visão geral do processo de implantação de acesso sem fio usando essas
tecnologias, consulte Visão geral da implantação de acesso sem fio.
Visão geral da implantação de acesso
sem fio
Artigo • 21/12/2022 • 5 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Determine quantos APs sem fio implantar para garantir a cobertura adequada.
Usuários e computadores
Use o snap-in Usuários e Computadores do Active Directory para criar e gerenciar
contas de usuário e para criar um grupo de segurança sem fio que inclua cada membro
de domínio a quem você deseja conceder acesso sem fio.
Você pode usar a extensão de políticas de rede sem fio (IEEE 802.11) do Gerenciamento
de Política de Grupo para configurar políticas aplicadas a computadores sem fio quando
eles tentam acessar a rede.
Criar uma nova política de rede sem fio para versões posteriores e Windows
Vista
Ao configurar uma nova política de rede sem fio, você tem a opção de alterar o
nome e a descrição da política. Se você alterar o nome da política, a alteração será
refletida no painel Detalhes do Editor de Gerenciamento de Política de Grupo e na
barra de título da caixa de diálogo política de rede sem fio. Independentemente de
como você renomeia suas políticas, a Nova Política Sem Fio XP sempre será listada
no Editor de Gerenciamento Política de Grupo com o Tipo exibindo XP. Outras
políticas são listadas com o Tipo mostrando Versões Posteriores e Vista.
A Política de Rede Sem Fio para Windows Versões Posteriores e Vista permite que você
configure, priorize e gerencie vários perfis sem fio. Um perfil sem fio é uma coleção de
configurações de conectividade e segurança que são usadas para se conectar a uma
rede sem fio específica. Quando Política de Grupo é atualizado em seus computadores
cliente sem fio, os perfis criados na Política de Rede Sem Fio são adicionados
automaticamente à configuração em seus computadores cliente sem fio aos quais a
Política de Rede Sem Fio se aplica.
Se você tiver clientes sem fio movidos entre locais físicos em sua organização, como
entre uma sede e uma filial, talvez queira que os computadores se conectem a mais de
uma rede sem fio. Nessa situação, você pode configurar um perfil sem fio que contém
as configurações de conectividade e segurança específicas para cada rede.
Por exemplo, suponha que sua empresa tenha uma rede sem fio para o escritório
corporativo principal, com um identificador de conjunto de serviços (SSID) WlanCorp.
Sua filial também tem uma rede sem fio à qual você também deseja se conectar. A filial
tem o SSID configurado como WlanBranch.
Nesse cenário, você pode configurar um perfil para cada rede e computadores ou
outros dispositivos que são usados na filial e na filial corporativa podem se conectar a
qualquer uma das redes sem fio quando elas estiverem fisicamente no intervalo da área
de cobertura de uma rede.
Como alternativa, suponha que sua rede tenha uma mistura de computadores sem fio e
dispositivos que dão suporte a diferentes padrões de segurança. Talvez alguns
computadores mais antigos tenham adaptadores sem fio que só podem usar o WPA-
Enterprise, enquanto os dispositivos mais recentes podem usar o padrão de WPA2-
Enterprise mais forte.
Você pode criar dois perfis diferentes que usam o mesmo SSID e configurações de
conectividade e segurança quase idênticas.
Em um perfil, você pode definir a autenticação sem fio para WPA2-Enterprise com o AES
e, no outro perfil, você pode especificar WPA-Enterprise com TKIP.
Isso é comumente conhecido como uma implantação de modo misto e permite que
computadores de diferentes tipos e recursos sem fio compartilhem a mesma rede sem
fio.
Ao usar o NPS como um servidor RADIUS, você configura servidores de acesso à rede,
como pontos de acesso sem fio, como clientes RADIUS no NPS. Você também configura
as políticas de rede que o NPS usa para autenticar clientes de acesso e autorizar suas
solicitações de conexão.
Por padrão, a funcionalidade para 802.11 sem fio está desabilitada em computadores
que estão executando Windows Server.
Quando você instala o recurso Serviço de LAN Sem Fio , a nova Configuração
Automática WLAN do serviço é instalada nos Serviços. Quando a instalação for
concluída, você deverá reiniciar o servidor.
Depois que o servidor for reiniciado, você poderá acessar a Configuração Automática da
WLAN ao clicar em Iniciar, Windows Ferramentas Administrativas e Serviços.
Para obter uma visão geral da implantação de acesso sem fio, consulte o Processo de
Implantação de Acesso Sem Fio.
Processo da implantação de acesso sem
fio
Artigo • 21/09/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
O processo usado para implantar o acesso sem fio ocorre nestes estágios:
Estágio 1 – Implantação de AP
Planeje, implante e configure seus APs para conectividade de cliente sem fio e para uso
com NPS. Dependendo de sua preferência e dependências de rede, você pode pré-
configurar as configurações em seus APs sem fio antes de instalá-las em sua rede ou
configurá-las remotamente após a instalação.
Em seguida, identifique os usuários que têm permissão de acesso sem fio à rede.
Por fim, adicione os usuários aos grupos de segurança de usuários sem fio apropriados
que você criou.
7 Observação
Você também pode forçar Política de Grupo atualizar enquanto estiver conectado a um
computador executando o comando gpupdate no prompt de comando.
Ao usar o assistente para criar as políticas de rede, especifique PEAP como o tipo de
EAP e o grupo de segurança de usuários sem fio que foi criado no segundo estágio.
Para computadores membros do domínio que podem fazer logoff na LAN com fio, as
definições de configuração sem fio necessárias são aplicadas automaticamente quando
Política de Grupo é atualizada.
Se você habilitar a configuração em Políticas de Rede Sem Fio (IEEE 802.11) para se
conectar automaticamente quando o computador estiver dentro do intervalo de difusão
da rede sem fio, seus computadores sem fio ingressados no domínio tentarão se
conectar automaticamente à LAN sem fio.
Para se conectar à rede sem fio, os usuários só precisam fornecer suas credenciais de
nome de usuário de domínio e senha quando solicitados por Windows.
Para planejar sua implantação de acesso sem fio, consulte Planejamento de implantação
de acesso sem fio.
Planejamento da implantação de acesso
sem fio
Artigo • 21/12/2022 • 17 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Antes de implantar o acesso sem fio, você deve planejar os seguintes itens:
1. Determinar quais padrões seus APs sem fio devem dar suporte
2. Determinar as áreas de cobertura nas quais você deseja fornecer serviço sem fio
3. Determinar onde você deseja localizar APs sem fio
Além disso, você deve planejar um esquema de endereço IP para clientes sem fio e AP
sem fio. Consulte a seção Planejar a configuração de APs sem fio no NPS abaixo para
obter informações relacionadas.
IEEE 802.1X
Autenticação RADIUS
7 Observação
Para implantar o WPA2, você deve usar adaptadores de rede sem fio e APs sem fio
que também suportam WPA2. Caso contrário, use WPA-Enterprise.
Além disso, para fornecer segurança aprimorada para a rede, os APs sem fio devem dar
suporte às seguintes opções de segurança:
Filtragem de DNS. A AP sem fio deve filtrar em portas IP para impedir que um
cliente seja um servidor DNS. A AP sem fio deve impedir que o cliente envie
pacotes IP da porta TCP ou UDP 53 para a rede.
Nos desenhos, indique os dispositivos que interferem nos sinais sem fio, como
equipamentos médicos, câmeras de vídeo sem fio, telefones sem fio que operam no
intervalo de 2,4 a 2,5 GHz de ISM (Industrial, Científico e Médico) e dispositivos
habilitados para Bluetooth.
No desenho, marque aspectos do prédio que podem interferir em sinais sem fio;
Objetos de metal usados na construção de um prédio podem afetar o sinal sem fio. Por
exemplo, os objetos comuns a seguir podem interferir na propagação de sinal:
elevadores, aquecimento e ar-condicionado e fitas concretas de suporte.
Consulte seu fabricante de AP para obter informações sobre fontes que podem causar
atenuação de frequência de rádio de AP sem fio. A maioria dos APs fornece software de
teste que você pode usar para verificar a intensidade do sinal, a taxa de erro e a taxa de
transferência de dados.
Instale temporariamente os APs sem fio nos locais especificados em seus desenhos de
arquitetura. Em seguida, usando um laptop equipado com um adaptador sem fio 802.11
e o software de pesquisa do site que normalmente é fornecido com adaptadores sem
fio, determine a intensidade do sinal em cada área de cobertura.
Se você estiver implantando uma rede sem fio grande que inclui muitos APs, será muito
mais fácil configurar APs em grupos. Para adicionar os APs como grupos de clientes
RADIUS no NPS, você deve configurar os APs com essas propriedades.
Os APs sem fio são configurados com endereços IP do mesmo intervalo de
endereços IP.
Todos os APs sem fio são configurados com o mesmo segredo compartilhado.
Como o cliente PEAP e o NPS usam propriedades de conexão TLS (Transport Layer
Security) armazenadas anteriormente em cache (a coleção da qual é chamada de
identificador TLS), o NPS pode determinar rapidamente que o cliente está autorizado a
se reconectar.
) Importante
7 Observação
Os nomes de item podem variar de acordo com a marca e o modelo e podem ser
diferentes daqueles da lista a seguir. Consulte a documentação da AP sem fio para
obter detalhes específicos da configuração.
Identificador do conjunto de serviços (SSID). Esse é o nome da rede sem fio (por
exemplo, ExampleWlan) e o nome que é anunciado para clientes sem fio. Para
reduzir a confusão, o SSID que você opta por anunciar não deve corresponder ao
SSID que é transmitido por nenhuma rede sem fio que está dentro do intervalo de
recepção de sua rede sem fio.
Nos casos em que vários APs sem fio são implantados como parte da mesma rede
sem fio, configure cada AP sem fio com o mesmo SSID. Nos casos em que vários
APs sem fio são implantados como parte da mesma rede sem fio, configure cada
AP sem fio com o mesmo SSID.
Nos casos em que você precisa implantar diferentes redes sem fio para atender às
necessidades de negócios específicas, as AP's sem fio em uma rede devem
transmitir um SSID diferente do SSID de suas outras redes. Por exemplo, se você
precisar de uma rede sem fio separada para seus funcionários e convidados,
poderá configurar seus APs sem fio para a rede de negócios com o SSID definido
para transmitir ExampleWLAN. Para sua rede convidada, você pode definir o SSID
de cada AP sem fio para transmitir GuestWLAN. Dessa forma, seus funcionários e
convidados podem se conectar à rede pretendida sem confusão desnecessária.
Dica
Algumas APs sem fio têm a capacidade de transmitir vários SSIDs para
acomodar implantações de várias redes. As AP's sem fio que podem transmitir
vários SSIDs podem reduzir os custos de implantação e manutenção
operacional.
Nome DNS. Alguns APs sem fio podem ser configurados com um nome DNS.
Configure cada AP sem fio com um nome exclusivo. Por exemplo, se você tiver um
APs sem fio implantado em um prédio de várias histórias, poderá nomear os três
primeiros APs sem fio implantados no terceiro andar AP3-01, AP3-02 e AP3-03.
Máscara de sub-rede ap sem fio. Configure a máscara para designar qual parte do
endereço IP é a ID de rede e qual parte do endereço IP é o host.
Serviço DHCP de AP. Se seu AP sem fio tiver um serviço DHCP integrado,
desabilite-o.
Porta(s) UDP. Por padrão, o NPS usa as portas UDP 1812 e 1645 para mensagens
de autenticação RADIUS e as portas UDP 1813 e 1646 para mensagens de
contabilidade RADIUS. É recomendável que você não altere as configurações
padrão de portas UDP RADIUS.
VSAs. Alguns APs sem fio exigem VSAs (atributos específicos do fornecedor) para
fornecer funcionalidade de AP sem fio completa.
Filtragem de DHCP. Configure APs sem fio para impedir que clientes sem fio
enviem pacotes IP da porta UDP 68 para a rede. Consulte a documentação do seu
AP sem fio para configurar a filtragem de DHCP.
Filtragem de DNS. Configure APs sem fio para impedir que clientes sem fio
enviem pacotes IP da porta TCP ou UDP 53 para a rede. Consulte a documentação
do SEU AP sem fio para configurar a filtragem de DNS.
No entanto, para computadores que ainda não ingressaram em seu domínio, você
deve planejar um método para aplicar as configurações necessárias para o acesso
autenticado 802.1X. Por exemplo, determine se você deseja ingressar o
computador no domínio usando um dos métodos a seguir.
Você pode implantar APs sem fio configurados com os padrões aos quais deseja dar
suporte e, em seguida, configurar vários perfis sem fio em Políticas de Rede Sem Fio
(IEEE 802.11), com cada perfil especificando um conjunto de padrões necessários.
Por exemplo, se sua rede tiver computadores sem fio que suportam WPA2-Enterprise e
AES, outros computadores que deem suporte a WPA-Enterprise e AES e outros
computadores que suportam apenas WPA-Enterprise e TKIP, você deverá determinar se
deseja:
Configure um único perfil para dar suporte a todos os computadores sem fio
usando o método de criptografia mais fraco que todos os seus computadores
suportam– nesse caso, WPA-Enterprise e TKIP.
Configure dois perfis para fornecer a melhor segurança possível com suporte em
cada computador sem fio. Nesse caso, você configuraria um perfil que especifica a
criptografia mais forte (WPA2-Enterprise e AES) e um perfil que usa a criptografia
WPA-Enterprise e TKIP mais fracas. Neste exemplo, é essencial que você coloque o
perfil que usa WPA2-Enterprise E AES mais alto na ordem de preferência. Os
computadores que não são capazes de usar o WPA2-Enterprise e o AES ignorarão
automaticamente para o próximo perfil na ordem de preferência e processarão o
perfil que especifica WPA-Enterprise e TKIP.
) Importante
Você deve colocar o perfil com os padrões mais seguros mais altos na lista
ordenada de perfis, pois os computadores que se conectam usam o primeiro perfil
que eles são capazes de usar.
Este guia fornece instruções para criar um ambiente de acesso que coloca todos os
usuários sem fio em um grupo com acesso comum a recursos sem fio. Você cria um
grupo de segurança de usuários sem fio no snap-in Usuários e Computadores do Active
Directory e, em seguida, torna cada usuário para o qual você deseja conceder acesso
sem fio a um membro desse grupo.
1. Crie mais de um Grupo de Segurança de Usuários Sem Fio para criar grupos de
segurança sem fio adicionais Usuários e Computadores do Active Directory. Por
exemplo, você pode criar um grupo que contém usuários que têm acesso
completo, um grupo para aqueles que só têm acesso durante o horário de
trabalho regular e outros grupos que se ajustam a outros critérios que
corresponderem aos seus requisitos.
3. Configure políticas de rede NPS adicionais para cada grupo de segurança sem fio
adicional e configure as políticas para aplicar as condições e restrições necessárias
para cada grupo.
Em alguns casos, no entanto, pode não ser prático usar uma conexão com fio para
ingressar computadores no domínio ou, para que um usuário use uma conexão com fio
para sua primeira tentativa de logoff usando computadores que já ingressaram no
domínio.
Para ingressar um computador no domínio usando uma conexão sem fio ou para que os
usuários faça logoff no domínio pela primeira vez usando um computador ingressado
no domínio e uma conexão sem fio, os clientes sem fio devem primeiro estabelecer uma
conexão com a rede sem fio em um segmento que tenha acesso aos controladores de
domínio de rede usando um dos métodos a seguir.
2. O usuário configura manualmente o computador sem fio com o perfil sem fio
de inicialização e, em seguida, insinuou no domínio. Com esse método, os
usuários configuram manualmente seus computadores sem fio com um perfil sem
fio de inicialização com base nas instruções de um administrador de IT. O perfil
sem fio de inicialização permite que os usuários estabeleçam uma conexão sem fio
e, em seguida, insinuem o computador ao domínio. Depois de ingressar o
computador no domínio e reiniciar o computador, o usuário pode fazer logoff no
domínio usando uma conexão sem fio e suas credenciais de conta de domínio.
Para implantar o acesso sem fio, consulte Implantação de acesso sem fio.
Implantação de acesso sem fio
Artigo • 21/12/2022 • 39 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Configurar NPSs
7 Observação
Os procedimentos deste guia não incluem instruções para os casos em que a caixa
de diálogo Controle de Conta de Usuário é aberta para solicitar sua permissão
para continuar. Caso essa caixa de diálogo seja aberta durante a execução dos
procedimentos deste guia e em resposta às suas ações, clique em Continuar.
Você pode usar as seguintes diretrizes para ajudá-lo a escolher frequências de canal que
não entram em conflito com outras redes sem fio na localização geográfica da rede sem
fio.
Se houver outras organizações que têm escritórios próximos ou no mesmo prédio
que sua organização, identifique se há redes sem fio pertencentes a essas
organizações. Descubra o posicionamento e as frequências de canal atribuídas de
suas APs sem fio, pois você precisa atribuir diferentes frequências de canal às ap's
e você precisa determinar o melhor local para instalar as AP's.
SSID. Especifique o nome das redes sem fio (por exemplo, ExampleWLAN). Esse é
o nome que é anunciado para clientes sem fio.
Nome DNS. Alguns APs sem fio podem ser configurados com um nome DNS. O
serviço DNS na rede pode resolver nomes DNS para um endereço IP. Em cada AP
sem fio compatível com esse recurso, insira um nome exclusivo para resolução
DNS.
Dica
Porta(s) UDP. Por padrão, o NPS usa as portas UDP 1812 e 1645 para mensagens
de autenticação e portas UDP 1813 e 1646 para mensagens contábeis. É
recomendável que você use essas mesmas portas UDP em seus APs, mas se você
tiver um motivo válido para usar portas diferentes, certifique-se de não apenas
configurar os APs com os novos números de porta, mas também reconfigurar
todos os seus NPSs para usar os mesmos números de porta que os APs. Se os APs
e os NPSs não estiverem configurados com as mesmas portas UDP, o NPS não
poderá receber ou processar solicitações de conexão dos APs e todas as tentativas
de conexão sem fio na rede falharão.
VSAs. Alguns APs sem fio exigem que os VSAs (atributos específicos do
fornecedor) forneçam a funcionalidade completa de AP sem fio. OS VSAs são
adicionados na política de rede NPS.
Filtragem DHCP. Configure os APs sem fio para impedir que clientes sem fio
enviem pacotes IP da porta UDP 68 para a rede, conforme documentado pelo
fabricante de AP sem fio.
Filtragem DNS. Configure os APs sem fio para impedir que clientes sem fio enviem
pacotes IP da porta TCP ou UDP 53 para a rede, conforme documentado pelo
fabricante de AP sem fio.
2. No painel de detalhes, clique com o botão direito do mouse na pasta na qual você
deseja adicionar um novo grupo (por exemplo, clique com o botão direito do
mouse em Usuários), aponte para Novo e clique em Grupo.
3. Em Novo Objeto – Grupo, em Nome do grupo, digite o nome do novo grupo. Por
exemplo, digite Grupo Sem Fio.
Local de domínio
Global
Universal
6. Clique em OK.
Se você precisar de mais de um grupo de segurança para usuários sem fio, repita essas
etapas para criar grupos de usuários sem fio adicionais. Posteriormente, você pode criar
políticas de rede individuais no NPS para aplicar diferentes condições e restrições a cada
grupo, fornecendo-lhes permissões de acesso e regras de conectividade diferentes.
2. No painel de detalhes, clique duas vezes na pasta que contém seu grupo de
segurança sem fio.
2. No painel esquerdo, clique duas vezes na floresta. Por exemplo, clique duas vezes
em Floresta: example.com.
Para abrir um GPO de nível de domínio existente para edição, clique duas
vezes no domínio que contém o objeto Política de Grupo que você deseja
gerenciar, clique com o botão direito do mouse na política de domínio que
você deseja gerenciar, como a Política de Domínio Padrão, e clique em Editar.
Política de Grupo Editor de Gerenciamento é aberto.
Para criar um novo objeto Política de Grupo e abrir para edição, clique com
o botão direito do mouse no domínio para o qual você deseja criar um novo
objeto Política de Grupo e clique em Criar um GPO neste domínio e vincule-
o aqui.
Na próxima seção, você usará Política de Grupo Editor de Gerenciamento para criar uma
política sem fio.
7 Observação
1. No GPME, na caixa de diálogo propriedades de rede sem fio para a política que
você acabou de criar, na guia Geral e na Descrição, digite uma breve descrição
para a política.
3. Em Conexão para redes disponíveis na ordem dos perfis listados abaixo, clique
em Adicionar e selecione Infraestrutura. A caixa de diálogo Propriedades do
Novo Perfil é aberta.
Se sua implantação utiliza vários SSIDs e cada PA sem fio utiliza as mesmas
configurações de segurança sem fio, repita essa etapa para adicionar o SSID de
cada PA sem fio ao qual você deseja que esse perfil seja aplicado.
Habilitar essa opção pode criar um risco de segurança porque os clientes sem
fio investigarão e tentarão conexões com qualquer rede sem fio. Por padrão,
essa configuração não está habilitada.
b. Para habilitar o Logon Único, selecione Habilitar Logon Único para esta rede.
9. Para especificar que as comunicações sem fio atendem aos padrões FIPS 140-2,
selecione Executar criptografia no modo certificado FIPS 140-2.
11. Em Criptografia, se houver suporte para seus adaptadores de rede de cliente sem
fio e AP sem fio, selecione AES-CCMP. Se você estiver usando pontos de acesso e
adaptadores de rede sem fio que dão suporte a 802.11ac, selecione AES-GCMP.
Caso contrário, selecione TKIP.
7 Observação
7 Observação
Essa configuração limita as ACs raiz que os clientes confiam para as ACs
selecionadas. Se nenhum CAs raiz confiável estiver selecionado, os clientes
confiarão em todos os CAs raiz listados no repositório de certificados
autoridades de certificação raiz confiáveis.
[! ANOTAÇÕES]
A política NPS para o 802.1X Wireless deve ser criada usando a Política
de Solicitação de Conexão NPS. Se a política NPS for criada usando a
Política de Rede NPS, a privacidade de identidade não funcionará.
A privacidade de identidade EAP é fornecida por determinados métodos
EAP em que uma identidade vazia ou anônima (diferente da identidade
real) é enviada em resposta à solicitação de identidade EAP. O PEAP
envia a identidade duas vezes durante a autenticação. Na primeira fase, a
identidade é enviada em texto sem formatação e essa identidade é usada
para fins de roteamento, não para autenticação do cliente. A identidade
real, usada para autenticação, é enviada durante a segunda fase da
autenticação, dentro do túnel seguro estabelecido na primeira fase. Se a
caixa de seleção Habilitar Privacidade de Identidade estiver selecionada,
o nome de usuário será substituído pela entrada especificada na caixa de
texto. Por exemplo, suponha que Enable Identity Privacy esteja
selecionado e o alias de privacidade de identidade anônimo seja
especificado na caixa de texto. Para um usuário com um alias
jdoe@example.comde identidade real, a identidade enviada na primeira
fase da autenticação será alterada para anonymous@example.com. A
parte realm da identidade da 1ª fase não é modificada, pois é usada para
fins de roteamento.
22. Se você quiser criar perfis adicionais, clique em Adicionar e repita as etapas
anteriores, fazendo escolhas diferentes para personalizar cada perfil para os
clientes sem fio e a rede à qual você deseja que o perfil seja aplicado. Quando
terminar de adicionar perfis, clique em OK para fechar a caixa de diálogo
Propriedades da Política de Rede Sem Fio.
Na próxima seção, você pode ordenar os perfis de política para uma segurança ideal.
Para garantir que os clientes sem fio se conectem com o mais alto nível de segurança
que podem dar suporte, coloque suas políticas mais restritivas no topo da lista.
Por exemplo, se você tiver dois perfis, um para clientes que dão suporte ao WPA2 e
outro para clientes que dão suporte ao WPA, coloque o perfil WPA2 mais alto na lista.
Isso garante que os clientes que dão suporte ao WPA2 usem esse método para a
conexão em vez do WPA menos seguro.
Este procedimento fornece as etapas para especificar a ordem na qual os perfis de
conexão sem fio são usados para conectar clientes sem fio membros do domínio a
redes sem fio.
1. No GPME, na caixa de diálogo propriedades de rede sem fio para a política que
você acabou de configurar, clique na guia Geral .
2. Na guia Geral, em Conexão para redes disponíveis na ordem dos perfis listados
abaixo, selecione o perfil que você deseja mover na lista e clique no botão "seta
para cima" ou "seta para baixo" para mover o perfil para o local desejado na lista.
3. Repita a etapa 2 para cada perfil que você deseja mover na lista.
Na seção a seguir, você pode definir permissões de rede para a política sem fio.
Você só pode aplicar as seguintes configurações para redes sem fio que não estão
configuradas na guia Geral na página Propriedades da Política de Rede Sem Fio :
Permitir ou negar conexões a redes sem fio específicas que você especificar por
tipo de rede e SSID (Identificador de Conjunto de Serviços)
Permitir ou negar que os usuários exibam tipos de rede (ad hoc ou infraestrutura)
aos quais eles têm acesso negado
7 Observação
Para permitir que seus membros de domínio exibam tipos de rede (ad hoc ou
infraestrutura) aos quais eles têm acesso negado, selecione Permitir que o
usuário exiba redes negadas.
Para permitir que os usuários criem perfis que se aplicam a todos os usuários,
selecione Permitir que todos criem todos os perfis de usuário.
7 Observação
PowerShell
) Importante
Se você inserir o FQDN, para verificar se o nome está correto e mapear para um
endereço IP válido, clique em Verificar e, em Verificar Endereço, no campo
Endereço , clique em Resolver. Se o nome FQDN for mapeado para um endereço
IP válido, o endereço IP desse NAS será exibido automaticamente no endereço IP.
Se o FQDN não for resolvido para um endereço IP, você receberá uma mensagem
indicando que nenhum host desse tipo é conhecido. Se isso ocorrer, verifique se
você tem o nome AP correto e se a AP está ativada e conectada à rede.
) Importante
9. Clique em OK. Seu NAS aparece na lista de clientes RADIUS configurados no NPS.
7 Observação
Você pode executar o Assistente de Conexões Com Fio Seguro e Sem Fio do New
IEEE 802.1X sempre que precisar criar novas políticas para acesso autenticado
802.1X.
Para adicionar NASs (servidores de acesso à rede adicionais), como APs sem
fio, em clientes RADIUS, clique em Adicionar e, em seguida, no novo cliente
RADIUS, insira as informações para: Nome amigável, endereço (IP ou DNS) e
Segredo Compartilhado.
2 Aviso
Dica
7 Observação
Para permitir que os usuários percorram seus computadores sem fio entre os
pontos de acesso sem exigir que eles sejam reautenticados sempre que
associarem a uma nova AP, selecione Habilitar Reconexão Rápida.
Suas políticas NPS agora são criadas e você pode passar a unir computadores sem fio
ao domínio.
Da mesma forma, depois que um novo computador sem fio é unido ao domínio, o
método preferido para os usuários fazer logon no domínio é executar logon usando
uma conexão com fio para a rede.
Para obter mais informações, consulte a seção Ingressar no Domínio e Fazer Logon
usando o Método de Configuração do Computador da Equipe de TI
Para obter mais informações, consulte a seção Ingressar no Domínio e Fazer Logon
usando a Configuração de Perfil Sem Fio bootstrap por usuários.
Um perfil sem fio de inicialização exige que o usuário especifique manualmente suas
credenciais de conta de usuário de domínio e não valide o certificado do servidor
RADIUS (Serviço de Usuário Discado de Autenticação Remota) que executa o NPS
(Servidor de Política de Rede).
Além disso, como parte da autenticação mútua PEAP-MS-CHAP v2 usando o novo perfil
em vez do perfil de inicialização, o cliente valida as credenciais do servidor RADIUS.
Depois de ingressar o computador no domínio, use este procedimento para configurar
um perfil sem fio de inicialização de logon único antes de distribuir o computador sem
fio para o usuário membro do domínio.
Autenticação PEAP-MS-CHAP v2
2. Nas propriedades da Política de Rede Sem Fio na qual você criou o novo perfil de
inicialização, na guia Geral , selecione o perfil de inicialização e clique em Exportar
para exportar o perfil para um compartilhamento de rede, uma unidade flash USB
ou outro local facilmente acessível. O perfil é salvo como um arquivo *.xml no local
especificado.
3. Ingresse o novo computador sem fio no domínio (por exemplo, por meio de uma
conexão Ethernet que não exija autenticação IEEE 802.1X) e adicione o perfil sem
fio de inicialização ao computador usando o comando netsh wlan add profile .
7 Observação
Para obter mais informações, consulte Os comandos netsh para wlan (rede de
área local sem fio) em http://technet.microsoft.com/library/dd744890.aspx.
4. Distribua o novo computador sem fio para o usuário com o procedimento para
"Fazer logon no domínio usando computadores em execução Windows 10".
Quando o usuário inicia o computador, Windows solicita que o usuário insira o nome e
a senha da conta de usuário de domínio. Como o Logon Único está habilitado, o
computador usa as credenciais da conta de usuário de domínio para primeiro
estabelecer uma conexão com a rede sem fio e, em seguida, fazer logon no domínio.
7 Observação
Se a tela Outro Usuário não incluir o texto entrar em: e seu nome de domínio,
você deverá inserir seu nome de usuário no domínio de formato\usuário. Por
exemplo, para fazer logon no domínio example.com com uma conta chamada
User-01, digiteexemplo\User-01.
Etapas gerais
1. Configure uma conta de administrador de computador local, em Painel de
Controle, para o usuário.
) Importante
Para ingressar um computador em um domínio, o usuário deve estar
conectado ao computador com a conta de Administrador local. Como
alternativa, o usuário deve fornecer as credenciais para a conta de
Administrador local durante o processo de ingressar o computador no
domínio. Além disso, o usuário deve ter uma conta de usuário no domínio ao
qual o usuário deseja ingressar no computador. Durante o processo de junção
do computador ao domínio, o usuário será solicitado a obter credenciais de
conta de domínio (nome de usuário e senha).
2. Forneça aos usuários de domínio as instruções para configurar um perfil sem fio
de inicialização, conforme documentado no procedimento a seguir para
configurar um perfil sem fio de inicialização.
4. Na conexão manual a uma rede sem fio, no nome da rede, digite o nome SSID da
AP.
13. Windows tenta se conectar à rede sem fio. As configurações do perfil sem fio de
inicialização especificam que você deve fornecer suas credenciais de domínio.
Quando Windows solicitar um nome de conta e senha, digite suas credenciais de
conta de domínio da seguinte maneira: Nome de Domínio\Nome de Usuário, Senha
de Domínio.
Add-Computer DomainName
5. Reinicie o computador.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
O Windows Server 2016 De rede principal fornece instruções para planejar e implantar
os componentes principais necessários para uma rede totalmente funcional e um novo
domínio do Active Directory® em uma nova floresta.
Este guia explica como criar na rede principal fornecendo instruções para implantar o
BranchCache no modo de cache hospedado em uma ou mais filiais com um
Controlador de Domínio do Read-Only em que os computadores cliente ® estão
executando o Windows 10, Windows 8.1 ou Windows 8 e são ingressados no domínio.
) Importante
Recursos adicionais
Pré-requisitos para usar este guia
Este é um guia de adoção para o Windows Server 2016 Core Network Guide. Para
implantar o BranchCache no modo de cache hospedado com este guia, você deve
primeiro fazer o seguinte.
Implantar uma rede principal em seu escritório principal usando o Guia da rede
principal, ou já ter as tecnologias fornecidas no Guia da rede principal instaladas e
funcionando corretamente em sua rede. Essas tecnologias incluem TCP/IP v4,
DHCP, Active Directory Domain Services (AD DS) e DNS.
7 Observação
7 Observação
É recomendável que você examine os guias de design e implantação de cada uma das
tecnologias usadas neste cenário de implantação. Esses guias podem ajudar a
determinar se o cenário de implantação fornece os serviços e as configurações que você
precisa para a rede de sua organização.
Este guia não fornece informações sobre como implantar conexões WAN ou outras
tecnologias de filial, como DHCP, um RODC ou um servidor VPN.
Além disso, este guia não fornece orientação sobre o hardware que você deve usar ao
implantar um servidor de cache hospedado. É possível executar outros serviços e
aplicativos no seu servidor de cache hospedado. No entanto, você deve determinar,
com base na carga de trabalho, nos recursos de hardware e no tamanho da filial, se
quer instalar o servidor de cache hospedado do BranchCache em determinado
computador e quanto espaço em disco alocar para o cache.
Este guia não fornece
instruções para configurar computadores que estão executando Windows 7. Se você
tiver computadores cliente que executam o Windows 7 em suas filiais, deverá configurá-
los usando procedimentos diferentes daqueles fornecidos neste guia para
computadores cliente que executam Windows 10, Windows 8.1 e Windows 8.
Além disso, se você tiver computadores que executam o Windows 7, deverá configurar
o servidor de cache hospedado com um certificado de servidor emitido por uma
autoridade de certificação em que os computadores cliente confiam. (Se todos os seus
computadores cliente estão executando Windows 10, Windows 8.1 ou Windows 8, você
não precisa configurar o servidor de cache hospedado com um certificado do servidor.)
) Importante
Se os servidores de cache hospedados estão executando o Windows Server 2008
R2, use o Guia de Implantação do BranchCache do Windows Server 2008 R2 em
vez deste guia para implantar o BranchCache no modo de cache hospedado.
Aplique as Política de Grupo configurações descritas nesse guia a todos os clientes
do BranchCache que estão executando versões do Windows do Windows 7 ao
Windows 10. Computadores que executam Windows Server 2008 R2 não podem
ser configurados usando as etapas neste guia.
BranchCache
O BranchCache é uma tecnologia de otimização de largura de banda de WAN (rede de
ampla área) incluída em algumas edições dos sistemas operacionais Windows Server
2016 e Windows 10, bem como em algumas edições do Windows Server 2012 R2,
Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2 e Windows 7.
Política de Grupo
Política de Grupo em Windows Server 2016, Windows Server 2012 R2 e Windows Server
2012 é uma infraestrutura usada para fornecer e aplicar uma ou mais configurações de
política desejadas a um conjunto de usuários e computadores direcionados em um
ambiente do Active Directory.
Para continuar com este guia, consulte Visão geral da implantação do modo de cache
hospedado do BranchCache.
Visão geral da implantação do modo de
cache hospedado BranchCache
Artigo • 21/12/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Você pode usar este guia para implantar um servidor de cache hospedado do
BranchCache em uma filial onde os computadores são ingressados em um domínio.
Você pode usar este tópico para obter uma visão geral do processo de implantação do
Modo de Cache Hospedado do BranchCache.
Essa visão geral inclui a infraestrutura branchcache de que você precisa, bem como uma
visão geral passo a passo simples da implantação.
HCS1 na filial
Você deve configurar esse computador como um servidor de cache hospedado. Se você
optar por pré-exibir dados do servidor de conteúdo para que possa pré-carregar o
conteúdo em seus servidores de cache hospedados, poderá importar pacotes de dados
que contenham o conteúdo de seus servidores Web e de arquivos.
7 Observação
7 Observação
Algumas das etapas abaixo são opcionais, como as etapas que demonstram como
pré-exibir e pré-carregar conteúdo em servidores de cache hospedados. Quando
você implanta o BranchCache no modo de cache hospedado, não é necessário pré-
exibir conteúdo nos servidores de conteúdo da Web e do arquivo, criar um pacote
de dados e importar o pacote de dados para pré-carregar os servidores de cache
hospedados com conteúdo. As etapas são indicadas como opcionais nesta seção e
na seção Implantação do Modo de Cache Hospedado do BranchCache para que
você possa ignorá-las se preferir.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Você pode usar este tópico para planejar sua implantação do BranchCache no modo
cache hospedado.
) Importante
Depois de instalar Windows Server 2016 no servidor de cache hospedado, você deve
renomear o computador e atribuir e configurar um endereço IP estático para o
computador local.
7 Observação
Neste guia, o servidor de cache hospedado é denominado HCS1, no entanto, você
deve usar um nome de servidor apropriado para sua implantação.
Além disso, decida qual percentual de espaço em disco você deseja alocar para o cache
hospedado.
Além disso, você deve planejar o local da pasta local em que você pode armazenar os
pacotes de dados antes de copiá-los para o servidor de cache hospedado.
Para continuar com este guia, consulte Implantação do Modo de Cache Hospedado do
BranchCache.
Implantação do modo de cache
hospedado BranchCache
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Você pode usar este tópico para links para tópicos de procedimento detalhados que
orientam você pelo processo de implantação do modo de cache hospedado do
BranchCache.
7 Observação
Os procedimentos deste guia não incluem instruções para os casos em que a caixa
de diálogo Controle de Conta de Usuário é aberta para solicitar sua permissão
para continuar. Caso essa caixa de diálogo seja aberta durante a execução dos
procedimentos deste guia e em resposta às suas ações, clique em Continuar.
Para continuar com este guia, consulte Instalar o recurso BranchCache e Configurar o
servidor de cache hospedado por ponto de conexão de serviço.
Instalar o recurso BranchCache e
configurar o servidor de cache
hospedado por ponto de conexão de
serviço
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Você pode usar esse procedimento para instalar o recurso BranchCache em seu servidor
de cache hospedado, HCS1, e configurar o servidor para registrar um SCP (Ponto de
Conexão de Serviço) no Active Directory Domain Services (AD DS).
Quando você registra servidores de cache hospedados com um SCP no AD DS, o SCP
permite que os computadores cliente configurados corretamente descubram
automaticamente os servidores de cache hospedados consultando AD DS para o SCP.
Instruções sobre como configurar computadores cliente para executar essa ação são
fornecidas posteriormente neste guia.
) Importante
Install-WindowsFeature BranchCache
Enable-BCHostedServer -RegisterSCP
Get-BCStatus
BranchCacheIsEnabled: True
HostedCacheServerIsEnabled: True
HostedCacheScpRegistrationEnabled: True
4. Para se preparar para a etapa de copiar seus pacotes de dados de seus servidores
de conteúdo para seus servidores de cache hospedados, identifique um
compartilhamento existente no servidor de cache hospedado ou crie uma nova
pasta e compartilhe a pasta para que ela seja acessível de seus servidores de
conteúdo. Depois de criar seus pacotes de dados em seus servidores de conteúdo,
você copiará os pacotes de dados para essa pasta compartilhada no servidor de
cache hospedado.
Para continuar com este guia, consulte Mover e reessular o cache hospedado (opcional).
Mover e redimensionar o cache
hospedado (opcional)
Artigo • 21/09/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Você pode usar este procedimento para mover o cache hospedado para a unidade e a
pasta que preferir e especificar a quantidade de espaço em disco que o servidor de
cache hospedado pode usar para o cache hospedado.
Você deve ser membro do grupo Administradores para executar esse procedimento.
2. Digite o comando a seguir para mover o cache hospedado para outro local no
computador local e pressione ENTER.
) Importante
) Importante
Antes de executar o comando a seguir, substitua os valores de parâmetro,
como -Percentage, por valores apropriados para sua implantação.
Set-BCCache -Percentage 20
Get-BCStatus
Para continuar com este guia, consulte Prehash and Preload Content on the Hosted
Cache Server (Opcional).
Realizar hash prévio e pré-carregar
conteúdo no servidor de cache
hospedado (opcional)
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Você pode usar os procedimentos nesta seção para pré-hash de conteúdo em seus
servidores de conteúdo, adicionar o conteúdo a pacotes de dados e, em seguida, pré-
carregar o conteúdo em seus servidores de cache hospedados.
Esses procedimentos são opcionais porque você não precisa pré-hash e pré-carregar
conteúdo em seus servidores de cache hospedados.
) Importante
Para continuar com este guia, consulte Criar pacotes de dados do servidor de conteúdo
para conteúdo da Web e do arquivo (opcional).
Criar pacotes de dados do servidor de
conteúdo para conteúdo da Web e do
arquivo (opcional)
Artigo • 21/09/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Você pode usar este procedimento para fazer o hash de conteúdo em servidores Web e
de arquivos e, em seguida, criar pacotes de dados para importar no servidor de cache
hospedado.
) Importante
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Você pode usar esse procedimento para importar pacotes de dados e pré-carregar
conteúdo em seus servidores de cache hospedados.
Você deve ser membro do grupo Administradores para executar esse procedimento.
Para continuar com este guia, consulte Configurar a descoberta automática de cache
hospedado do cliente por ponto de conexão de serviço.
Configurar descoberta automática de
cache hospedado cliente por ponto de
conexão de serviço
Artigo • 21/12/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Com este procedimento, você pode usar o Política de Grupo para habilitar e configurar
o modo de cache hospedado do BranchCache em computadores ingressados no
domínio que executam os seguintes sistemas operacionais Windows branchCache.
Windows 10 Enterprise
Windows 10 Education
Windows 8.1 Enterprise
O Windows 8 Enterprise
7 Observação
7 Observação
Por padrão, os computadores cliente armazenam em cache o conteúdo de
servidores de arquivos se a latência da rede de ida e volta for maior que 80
milissegundos.
13. Para especificar a idade padrão, em dias, para os quais os segmentos são válidos
no cache de dados branchCache em computadores cliente: no console do Editor
de Gerenciamento de Política de Grupo, verifique se BranchCache ainda está
selecionado e, em seguida, no painel de detalhes, clique duas vezes em Definir
idade para segmentos no cache de dados. A caixa de diálogo Definir idade para
segmentos no cache de dados é aberta. Clique em Habilitado e, no painel de
detalhes, digite o número de dias que você preferir. Clique em OK.
Para obter informações adicionais sobre as tecnologias neste guia, consulte Recursos
adicionais.
Recursos adicionais do BranchCache
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 e Windows Server 2012
Para obter mais informações sobre as tecnologias discutidas neste guia, consulte os
seguintes recursos:
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Você deseja otimizar o uso de largura de banda de WAN por meio da redução da
quantidade de tráfego de rede entre as filiais e a matriz.
O que é BranchCache?
Modos do BranchCache
BranchCache na nuvem
Segurança do BranchCache
Segurança de cache
O que é BranchCache?
BranchCache é uma tecnologia de otimização de largura de banda wan (rede de ampla
área) incluída em algumas edições dos sistemas operacionais Windows Server 2016 e
Windows 10, bem como em algumas edições do Windows Server 2012 R2, Windows 8.1,
Windows Server 2012, Windows 8, Windows Server 2008 R2 e Windows 7. Para otimizar
a largura de banda de WAN quando os usuários acessam conteúdo em servidores
remotos, o BranchCache busca o conteúdo dos servidores de conteúdo da matriz ou da
nuvem hospedada e o armazena em cache nas filiais, permitindo que os computadores
cliente das filiais acessem o conteúdo localmente e não pela WAN.
Modos do BranchCache
O BranchCache tem dois modos de operação: o modo de cache distribuído e o modo
de cache hospedado.
7 Observação
Você pode implantar o BranchCache usando os dois modos, mas apenas um deles
pode ser usado por filial. Por exemplo, se você tiver duas filiais, uma com um
servidor e outra sem, será possível implantar o BranchCache no modo de cache
hospedado no escritório que possui o servidor e implantar a solução no modo de
cache distribuído no escritório que tem apenas computadores clientes.
Porém, não é o caso quando você implanta o modo de cache hospedado, pois todos os
clientes em uma filial com várias sub-redes podem acessar um único cache, armazenado
no servidor de cache hospedado, mesmo que os clientes estejam em sub-redes
diferentes. Além disso, o BranchCache em Windows Server 2016, Windows Server 2012
R2 e Windows Server 2012 fornece a capacidade de implantar mais de um servidor de
cache hospedado por filial.
U Cuidado
Se você usa o BranchCache para cache SMB de arquivos e pastas, não desabilite
Arquivos Offline. Se você desabilitar Arquivos Offline, o cache SMB do BranchCache
não funcionará corretamente.
7 Observação
Servidores Web
Os servidores Web com suporte incluem computadores que estão executando Windows
Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008
R2 que têm a função de servidor do IIS (Servidor Web) instalada e que usam HTTP
(Protocolo de Transferência de Hipertexto) ou HTTP Secure (HTTPS).
Servidores de arquivos
Os servidores de arquivos com suporte incluem computadores que estão executando
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows
Server 2008 R2 que têm a função de servidor dos Serviços de Arquivos e o serviço de
função BranchCache for Network Files instalado.
Esses servidores de arquivos usam o protocolo SMB (Server Message Block) para trocar
informações entre computadores. Depois de concluir a instalação do servidor de
arquivos, você também deve compartilhar pastas e habilitar a geração de hash para
pastas compartilhadas usando a Política de Grupo ou Política de Grupo Local para
habilitar o BranchCache.
Servidores de aplicativos
Os servidores de aplicativos com suporte incluem computadores que estão executando
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows
Server 2008 R2 com o BITS (Serviço de Transferência Inteligente em Segundo Plano)
instalado e habilitado.
Além disso, o servidor de aplicativos deve ter o recurso BranchCache instalado. Como
exemplos de servidores de aplicativos, você pode implantar servidores do Microsoft
Windows Server Update Services (WSUS) e do Microsoft Endpoint Configuration
Manager Branch Distribution Point como servidores de conteúdo branchcache.
BranchCache na nuvem
A nuvem tem um grande potencial de redução das despesas operacionais e obtenção
de novos níveis de dimensionamento. Porém, afastar as cargas de trabalho das pessoas
que dependem delas podem aumentar os custos de rede e prejudicar a produtividade.
Os usuários esperam alto desempenho e não se importam com o local em que seus
aplicativos e dados estão hospedados.
O BranchCache pode aprimorar o desempenho de aplicativos em rede e reduzir o
consumo de largura de banda com um cache compartilhado de dados. Ele aumenta a
produtividade em filiais e matrizes, nas quais os funcionários usam servidores
implantados na nuvem.
Como o BranchCache não exige novo hardware nem mudanças na topologia de rede,
ele é uma solução excelente para melhorar as comunicações entre matrizes em nuvens
privadas ou públicas.
7 Observação
7 Observação
Quando você tem servidores de conteúdo e servidores de cache hospedados que estão
executando Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012,
eles usam a versão de informações de conteúdo apropriada com base no sistema
operacional do cliente BranchCache que solicita informações.
) Importante
Windows 10 Enterprise
Windows 10 Education
O Windows 8 Enterprise
Windows 7 Enterprise
Windows 7 Ultimate
7 Observação
BranchCache não está disponível por padrão nos sistemas operacionais Windows
Server 2008 ou Windows Vista. Nesses sistemas operacionais, no entanto, se você
baixar e instalar a atualização Windows Management Framework, a funcionalidade
branchCache estará disponível apenas para o protocolo BITS (Serviço de
Transferência Inteligente em Segundo Plano). Para obter mais informações e baixar
Windows Management Framework, consulte Windows Management Framework
(Windows PowerShell 2.0, WinRM 2.0 e BITS 4.0) em
/powershell/scripts/windows-powershell/install/installing-the-windows-powershell-
2.0-engine.
Além disso, a família de sistemas operacionais Windows Server 2008 R2 pode ser usada
como servidores de conteúdo BranchCache, com as seguintes exceções:
Além disso, os seguintes sistemas operacionais Windows Server 2008 R2 podem ser
usados como servidores de cache hospedados pelo BranchCache:
Segurança do BranchCache
O BranchCache implementa uma abordagem segura por design, que trabalha de forma
ininterrupta juntamente com as arquiteturas de segurança de rede existentes,
dispensando outros equipamentos ou configurações de segurança adicionais
complexas.
O BranchCache não é invasivo e não altera processo de autenticação ou autorização do
Windows. Após a implantação do BranchCache, a autenticação ainda é realizada usando
credenciais de domínio, e o modo no qual a organização com ACLs (listas de controle
de acesso) funciona é inalterado. Além disso, outras configurações continuam a
funcionar do mesmo modo antes da implantação do BranchCache.
Depois que as informações de conteúdo são criadas, elas são usadas em trocas de
mensagens do BranchCache no lugar dos dados reais e são trocadas usando os
protocolos com suporte (HTTP, HTTPS e SMB).
7 Observação
HoD = Hash(BlockHashList)
Kp = HMAC(Ks, HoD)
Por exemplo, se o computador cliente tiver solicitado uma página da Web por HTTP, o
servidor de conteúdo enviará as informações de conteúdo usando HTTP. Por causa
disso, as garantias de segurança em nível de transmissão do conteúdo e das
informações de conteúdo são idênticas.
HoHoDk = HMAC(Kp, HoD + C), where C is the ASCII string "MS_P2P_CACHING" with
NUL terminator.
Essa abordagem garante que uma entidade que não possua o segredo de segmento
não possa descobrir o conteúdo real em um bloco de dados. O segredo de segmento é
tratado com o mesmo nível de segurança que o segmento em texto não criptografado,
pois o conhecimento do segredo de um determinado segmento permite que uma
entidade obtenha o segmento a partir de pares e o descriptografe. O conhecimento do
segredo de servidor não produz texto não criptografados, mas pode ser usado paras
derivar certos tipos de dados do texto codificado e possivelmente expor dados
parcialmente conhecidos a um ataque de adivinhação pro força bruta. Por isso, o
segredo de servidor deve ser confidencial.
Se o computador cliente estiver configurado para o modo de cache hospedado, ele será
configurado com o nome do computador do servidor de cache hospedado e entrará em
contato com o servidor para recuperar o conteúdo.
Para que o processo WS-Discovery obtenha êxito, o cliente que realiza a descoberta
deve ter as informações de conteúdo corretas (fornecidas pelo servidor de conteúdo)
para o conteúdo solicitado.
Depois que o conteúdo é recebido, ele é adicionado ao cache local, seja no computador
cliente ou no servidor de cache hospedado. Nesse caso, as informações de conteúdo
evitam que um cliente ou servidor de cache hospedado adicione ao cache local
qualquer conteúdo que não corresponda aos hashes. O processo de verificação do
conteúdo por meio da correspondência de hashes garante que apenas o conteúdo
válido seja adicionado ao cache e a integridade do cache local seja protegida.
Se o host de conteúdo possuir o bloco de conteúdo, ele enviará uma resposta que
contém o ID do segmento, ID do bloco, bloco de dados criptografados e vetor de
inicialização usado para criptografar o bloco.
Se o host de conteúdo não possuir o bloco de conteúdo, ele enviará uma mensagem de
resposta vazia. Isso informará ao computador cliente que o host de conteúdo não tem o
bloco solicitado. Uma mensagem de resposta vazia contém o ID do segmento e ID do
bloco solicitado, juntamente com um bloco de dados com tamanho zero.
7 Observação
Ameaças de segurança
As principais ameaças à segurança nesta camada incluem:
Adulteração de dados:
Divulgação de informações:
Negação de serviço:
Para servidores de cache hospedados que estão executando Windows Server 2008
R2, um certificado de servidor de cache hospedado e uma chave privada associada
são necessários, e a autoridade de certificação (AC) que emitiu o certificado deve
ser confiável por computadores cliente na filial. Isso permite que o cliente e o
servidor participem com êxito na autenticação do servidor HTTPS.
) Importante
Segurança de cache
Esta seção fornece informações sobre como o BranchCache protege dados em cache
em computadores clientes e servidores de cache hospedado.
Embora a ACL seja eficiente para evitar que usuários não autorizados acessem o cache,
é possível que um usuário com privilégios administrativos obtenha acesso ao cache por
meio da alteração manual das permissões especificadas na ACL. O BranchCache não
oferece proteção contra o uso mal-intencionado de uma conta administrativa.
7 Observação
Mesmo que um cliente esteja configurado no modo de cache hospedado, ele ainda
armazenará dados em cache localmente. Por isso, convém tomar medidas para proteger
o cache local (além do cache no servidor de cache hospedado).
Shell de rede do BranchCache e
comandos do Windows PowerShell
Artigo • 24/09/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Dica
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este guia para saber como implantar o BranchCache no Windows Server
2016.
Implantar o BranchCache
Este guia também fornece instruções sobre como implantar três tipos de servidores de
conteúdo. Os servidores de conteúdo contêm o conteúdo de origem baixado pelos
computadores cliente da filial e um ou mais servidores de conteúdo são necessários
para implantar o BranchCache em qualquer modo. Os tipos de servidores de conteúdo
são:
Os sites do Active Directory são usados para limitar o escopo dos servidores de
cache hospedados que são descobertos automaticamente. Para descobrir
automaticamente um servidor de cache hospedado, os computadores cliente e
servidor devem pertencer ao mesmo site. O BranchCache foi projetado para ter um
impacto mínimo em clientes e servidores e não impõe requisitos de hardware
adicionais além daqueles necessários para executar seus respectivos sistemas
operacionais.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber mais sobre os modos BranchCache e selecionar
os melhores modos para sua implantação.
Você pode usar este guia para implantar o BranchCache nos seguintes modos e
combinações de modo.
Algumas filiais são configuradas para o modo de cache distribuído e algumas filiais
têm um servidor de cache hospedado no site e são configuradas para o modo de
cache hospedado.
A ilustração a seguir ilustra uma instalação de modo duplo, com uma filial configurada
para o modo de cache distribuído e uma filial configurada para o modo de cache
hospedado.
Antes de implantar o BranchCache, selecione o modo que você prefere para cada filial
em sua organização.
Implantar o BranchCache
Artigo • 29/09/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Os procedimentos deste guia não incluem instruções para os casos em que a caixa
de diálogo Controle de Conta de Usuário é aberta para solicitar sua permissão
para continuar. Caso essa caixa de diálogo seja aberta durante a execução dos
procedimentos deste guia e em resposta às suas ações, clique em Continuar.
Instalar e configurar servidores de
conteúdo
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Para implantar servidores de conteúdo que são servidores Web HTTPS (Secure
Hypertext Transfer Protocol), servidores Web HTTP (Protocolo de Transferência de
Hipertexto) e servidores de aplicativos baseados em BITS (Serviço de Transferência
Inteligente em Segundo Plano), como Windows Server Update Services (WSUS) e
Microsoft Endpoint Configuration Manager servidores do sistema de sites de
distribuição de branch, você deve instalar o recurso BranchCache, iniciar o serviço
BranchCache e (somente para servidores WSUS) executar etapas de configuração
adicionais.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para instalar o recurso BranchCache e iniciar o
serviço BranchCache em um computador que executa o Windows Server® 2016,
Windows Server 2012 R2 ou Windows Server 2012.
7 Observação
Install-WindowsFeature BranchCache
Restart-Computer
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para instalar a função de servidor de serviços de
arquivo e o BranchCache para o serviço de função de arquivos de rede em um
computador que executa o Windows Server 2016.
7 Observação
Restart-Computer
Dica
Clique em Próximo.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para instalar o serviço de função BranchCache para
Arquivos de Rede da função de servidor de Serviços de Arquivos em um computador
que executa Windows Server 2016.
) Importante
7 Observação
Dica
Se você ainda não fez isso, é recomendável marcar também a caixa de seleção
Deduplication de Dados.
Clique em Próximo.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para configurar a publicação de hash para o
BranchCache usando o Política de Grupo de computador local em um servidor de
arquivos que está executando o Windows Server 2016 com o serviço de função
BranchCache para Arquivos de Rede da função de servidor dos Serviços de Arquivos
instalado.
7 Observação
8. Clique em OK.
Habilitar publicação de hash para
servidores de arquivos associados ao
domínio
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Quando estiver usando Active Directory Domain Services (AD DS), você poderá usar o
Política de Grupo de domínio para habilitar a publicação de hash do BranchCache para
vários servidores de arquivos. Para fazer isso, você deve criar uma UO (unidade
organizacional), adicionar servidores de arquivos à UO, criar uma publicação de hash do
BranchCache Política de Grupo objeto (GPO) e, em seguida, configurar o GPO.
Consulte os tópicos a seguir para habilitar a publicação de hash para vários servidores
de arquivos.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para criar uma UO (unidade organizacional) no AD
DS (Serviços de Domínio Active Directory) para servidores de arquivos BranchCache.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para adicionar servidores de arquivos BranchCache a
uma UO (unidade organizacional) no AD DS (Serviços de Domínio Active Directory).
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este procedimento para criar a publicação de hash BranchCache Política
de Grupo Objeto (GPO).
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
) Importante
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar esse procedimento para instalar e configurar servidores de cache
hospedados do BranchCache localizados em filiais nas quais você deseja implantar o
modo de cache hospedado do BranchCache. Com o BranchCache Windows Server 2016,
você pode implantar vários servidores de cache hospedados em uma filial.
) Importante
Enable-BCHostedServer
Para configurar um computador ingressado no domínio como um servidor de
cache hospedado e registrar um ponto de conexão de serviço no Active
Directory para descoberta automática de servidor de cache hospedado por
computadores cliente, digite o seguinte comando no prompt do Windows
PowerShell e pressione ENTER.
Enable-BCHostedServer -RegisterSCP
Get-BCStatus
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar esse procedimento para forçar a criação de informações de conteúdo ,
também chamadas de hashes, em servidores de arquivos e Web habilitados para
BranchCache. Você também pode coletar os dados em servidores Web e arquivos em
pacotes que podem ser transferidos para servidores de cache hospedado remotos. Isso
fornece a capacidade de pré-carregar conteúdo em servidores de cache hospedados
remotos para que os dados estão disponíveis para o primeiro acesso do cliente.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar os tópicos a seguir para configurar computadores cliente de membro
de domínio e não membro de domínio como clientes do modo de cache distribuído do
BranchCache ou de host hospedado.
usar Windows PowerShell para configurar computadores cliente que não são
membros do domínio
Configurar regras de firewall para membros que não sejam de domínio para
permitir o tráfego do BranchCache
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
nesta seção, você cria um objeto Política de Grupo para todos os computadores em sua
organização, configura os computadores cliente membro do domínio com o modo de
cache distribuído ou o modo de cache hospedado e configura Windows Firewall com
segurança avançada para permitir o tráfego do BranchCache.
Dica
10. Se você tiver uma ou mais filiais em que você está implantando o BranchCache no
modo de cache hospedado e tiver implantado servidores de cache hospedados
nesses escritórios, clique duas vezes em habilitar descoberta automática de cache
hospedado pelo ponto de conexão de serviço. A caixa de diálogo configuração
de política é aberta.
11. Na caixa de diálogo habilitar descoberta automática de cache hospedado por
ponto de conexão de serviço , clique em habilitadoe em OK.
7 Observação
) Importante
) Importante
) Importante
Selecione Permitir a conexão para que o cliente BranchCache possa enviar o
tráfego nesta porta.
) Importante
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Enable-BCDistributed
Enable-BCHostedClient
Dica
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar as informações neste tópico para configurar produtos de firewall de
terceiros e configurar um computador cliente manualmente com regras de firewall que
permitam a execução do BranchCache no modo de cache distribuído.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar esse procedimento para verificar se o computador cliente está
configurado corretamente para o BranchCache.
7 Observação
gpupdate /force
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para uma breve visão geral do DirectAccess, incluindo os
sistemas operacionais de servidor e cliente que dão suporte ao DirectAccess e para links
para a documentação adicional do DirectAccess para Windows Server.
7 Observação
) Importante
Não tente implantar o Acesso Remoto em uma VM (máquina virtual) no Microsoft
Azure. Não há suporte para o uso do Acesso Remoto no Microsoft Azure. Você não
pode usar o Acesso Remoto em uma VM do Azure para implantar VPN,
DirectAccess ou qualquer outro recurso de Acesso Remoto em Windows Server
2016 ou versões anteriores do Windows Server. Para obter mais informações,
consulte Suporte de software do servidor Microsoft para máquinas virtuais do
Microsoft Azure .
Windows 11 Enterprise
Windows 10 Enterprise
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Em Windows Server 2016, o DNS é uma função de servidor que você pode instalar
usando comandos Gerenciador do Servidor ou Windows PowerShell. Se você estiver
instalando uma nova floresta e domínio do Active Directory, o DNS será instalado
automaticamente com o Active Directory como o servidor de Catálogo Global para a
floresta e o domínio.
Active Directory Domain Services (AD DS) usa o DNS como seu mecanismo de
localização do controlador de domínio. Quando qualquer uma das principais operações
do Active Directory é executada, como autenticação, atualização ou pesquisa, os
computadores usam DNS para localizar controladores de domínio do Active Directory.
Além disso, os controladores de domínio usam DNS para localizar uns aos outros.
O serviço cliente DNS está incluído em todas as versões de cliente e servidor do sistema
operacional Windows e está em execução por padrão após a instalação do sistema
operacional. Quando você configura uma conexão de rede TCP/IP com o endereço IP de
um servidor DNS, o cliente DNS consulta o servidor DNS para descobrir controladores
de domínio e resolver nomes de computador para endereços IP. Por exemplo, quando
um usuário de rede com uma conta de usuário do Active Directory faz logon em um
domínio do Active Directory, o serviço cliente DNS consulta o servidor DNS para
localizar um controlador de domínio para o domínio do Active Directory. Quando o
servidor DNS responde à consulta e fornece o endereço IP do controlador de domínio
para o cliente, o cliente entra em contato com o controlador de domínio e o processo
de autenticação pode começar.
O servidor DNS Windows Server 2016 e os serviços de cliente DNS usam o protocolo
DNS incluído no conjunto de protocolos TCP/IP. O DNS faz parte da camada de
aplicativo do modelo de referência TCP/IP, conforme mostrado na ilustração a seguir.
Sistema de nome de domínio (DNS)
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Em Windows Server 2016, o DNS é uma função de servidor que você pode instalar
usando comandos Gerenciador do Servidor ou Windows PowerShell. Se você estiver
instalando uma nova floresta e domínio do Active Directory, o DNS será instalado
automaticamente com o Active Directory como o servidor de Catálogo Global para a
floresta e o domínio.
Active Directory Domain Services (AD DS) usa o DNS como seu mecanismo de
localização do controlador de domínio. Quando qualquer uma das principais operações
do Active Directory é executada, como autenticação, atualização ou pesquisa, os
computadores usam DNS para localizar controladores de domínio do Active Directory.
Além disso, os controladores de domínio usam DNS para localizar uns aos outros.
O serviço cliente DNS está incluído em todas as versões de cliente e servidor do sistema
operacional Windows e está em execução por padrão após a instalação do sistema
operacional. Quando você configura uma conexão de rede TCP/IP com o endereço IP de
um servidor DNS, o cliente DNS consulta o servidor DNS para descobrir controladores
de domínio e resolver nomes de computador para endereços IP. Por exemplo, quando
um usuário de rede com uma conta de usuário do Active Directory faz logon em um
domínio do Active Directory, o serviço cliente DNS consulta o servidor DNS para
localizar um controlador de domínio para o domínio do Active Directory. Quando o
servidor DNS responde à consulta e fornece o endereço IP do controlador de domínio
para o cliente, o cliente entra em contato com o controlador de domínio e o processo
de autenticação pode começar.
O servidor DNS Windows Server 2016 e os serviços de cliente DNS usam o protocolo
DNS incluído no conjunto de protocolos TCP/IP. O DNS faz parte da camada de
aplicativo do modelo de referência TCP/IP, conforme mostrado na ilustração a seguir.
o que há de novo no servidor DNS no
Windows server
Artigo • 21/12/2022 • 9 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
no Windows Server 2016, o servidor DNS oferece suporte aprimorado nas seguintes
áreas.
Políticas de Novo Você pode configurar as políticas de DNS para especificar como
DNS um servidor DNS responde a consultas DNS. As respostas DNS
podem ser baseadas no endereço IP do cliente (local), na hora
do dia e em vários outros parâmetros. As políticas de DNS
habilitam o DNS com reconhecimento de local, o gerenciamento
de tráfego, o balanceamento de carga, o DNS de divisão e
outros cenários.
Suporte a Novo você pode adicionar registros que não são explicitamente
registro suportados pelo servidor DNS Windows usando a funcionalidade
desconhecido de registro desconhecida.
Dicas de raiz Novo Você pode usar o suporte de dicas de raiz IPV6 nativo para
IPv6 executar a resolução de nomes da Internet usando os servidores
raiz IPV6.
Funcionalidade Novo ou Descrição
melhorado
Políticas de DNS
Você pode usar a política DNS para gerenciamento de tráfego baseado em Geo-
Location, respostas de DNS inteligente com base na hora do dia, para gerenciar um
único servidor DNS configurado para implantação de divisão, aplicar filtros em consultas
DNS e muito mais. Os itens a seguir fornecem mais detalhes sobre esses recursos.
Filtragem. Você pode configurar a política DNS para criar filtros de consulta
baseados em critérios fornecidos por você. Os filtros de consulta na política DNS
permitem configurar o servidor DNS para responder de uma maneira
personalizada com base na consulta DNS e no cliente DNS que envia a consulta
DNS.
Análises forenses. Você pode usar a política DNS para redirecionar clientes DNS
mal-intencionados para um endereço IP não existente em vez de direcioná-los
para o computador que estão tentando acessar.
Hora do redirecionamento com base no dia. Você pode usar a política DNS para
distribuir o tráfego de aplicativos em diferentes instâncias distribuídas
geograficamente de um aplicativo usando políticas de DNS com base na hora do
dia.
Você também pode usar políticas de DNS para Active Directory zonas DNS integradas.
Respostas por segundo. Esse é o número máximo de vezes que a mesma resposta
é dada a um cliente dentro de um segundo.
Erros por segundo. Este é o número máximo de vezes que uma resposta de erro é
enviada para o mesmo cliente dentro de um segundo.
Taxa de perda. É com que frequência o servidor DNS responde a uma consulta
durante as respostas de tempo que são suspensas. Por exemplo, se o servidor
suspender as respostas a um cliente por 10 segundos, e a taxa de vazamento for 5,
o servidor ainda responderá a uma consulta para cada 5 consultas enviadas. Isso
permite que os clientes legítimos obtenham respostas mesmo quando o servidor
DNS estiver aplicando a limitação de taxa de resposta em sua sub-rede ou FQDN.
Taxa de TC. Isso é usado para instruir o cliente a tentar se conectar com TCP
quando as respostas para o cliente são suspensas. Por exemplo, se a taxa de TC for
3 e o servidor suspender as respostas para um determinado cliente, o servidor
emitirá uma solicitação de conexão TCP para cada 3 consultas recebidas. Verifique
se o valor da taxa de TC é menor que a taxa de vazamento, para dar ao cliente a
opção de se conectar via TCP antes de vazar as respostas.
Suporte ao SUNDANÊS
Você pode usar o suporte do SUNDANÊS (RFC 6394 e 6698) para especificar para seus
clientes DNS qual AC eles devem esperar que os certificados sejam emitidos para os
nomes de domínios hospedados no seu servidor DNS. Isso impede uma forma de
ataque man-in-the-Middle, em que alguém é capaz de corromper um cache DNS e
apontar um nome DNS para seu próprio endereço IP.
Por exemplo, imagine que você hospede um site seguro que usa SSL em
www.contoso.com usando um certificado de uma autoridade bem conhecida
chamada CA1. Alguém ainda poderá obter um certificado para www.contoso.com de
uma autoridade de certificação diferente, e não tão conhecida, denominada Ca2. Em
seguida, a entidade que hospeda o site da www.contoso.com falsa pode ser capaz de
corromper o cache DNS de um cliente ou servidor para apontar www.contoto.com
para seu site falso. O usuário final recebe um certificado de CA2 e pode simplesmente
refirmá-lo e conectar-se ao site falso. Com o SUNDANÊS, o cliente fará uma solicitação
ao servidor DNS para contoso.com solicitando o registro TLSA e aprenderia que o
certificado para www.contoso.com foi emitido por CA1. Se for apresentado um
certificado de outra CA, a conexão será anulada.
Para obter mais informações, consulte os tópicos Windows Server 2016 Windows
PowerShell referência de comando a seguir.
Módulo DnsServer
Módulo DnsClient
Referências adicionais
O que há de novo no cliente DNS
Novidades no cliente DNS no Windows
Server 2016
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Se o servidor DNS usado for designado por uma configuração Política de Grupo
do NRPT (Tabela de Políticas de Resolução de Nomes), o serviço cliente DNS não
se vinculará a uma interface específica.
7 Observação
Referências adicionais
Novidades do servidor DNS no Windows Server 2016
Visão geral do DNS do Anycast
Artigo • 14/02/2023 • 8 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2016 e Windows Server 2019
O que é Anycast?
Anycast é uma tecnologia que fornece vários caminhos de roteamento para um grupo
de pontos de extremidade que recebem cada um o mesmo endereço IP. Cada
dispositivo no grupo anuncia o mesmo endereço em uma rede e os protocolos de
roteamento são usados para escolher qual é o melhor destino.
O Anycast permite dimensionar um serviço sem estado, como DNS ou HTTP, colocando
vários nós atrás do mesmo endereço IP e usando o roteamento ECMP (multi-caminho
de custo igual) para direcionar o tráfego entre esses nós. Anycast é diferente do unicast,
no qual cada ponto de extremidade tem seu próprio endereço IP separado.
O DNS anycast é usado normalmente hoje em dia para rotear o tráfego DNS para
muitos serviços DNS globais. Por exemplo, o sistema de servidor DNS raiz depende
muito do DNS do Anycast. O Anycast também funciona com muitos protocolos de
roteamento diferentes e pode ser usado exclusivamente em intranets.
Demonstração do BGP Anycast nativo do
Windows Server
O procedimento a seguir demonstra como o BGP nativo no Windows Server pode ser
usado com o DNS do Anycast.
Requisitos
Um dispositivo físico com a função Hyper-V instalada.
Windows Server 2012 R2, Windows 10 ou posterior.
2 VMs cliente (qualquer sistema operacional).
A instalação de ferramentas BIND para DNS, como dig, é recomendada.
3 VMs de servidor (Windows Server 2016 ou Windows Server 2019).
Se o módulo Windows PowerShell LoopbackAdapter ainda não estiver instalado
em VMs do servidor (DC001, DC002), o acesso à Internet será temporariamente
necessário para instalar este módulo.
Configuração do Hyper-V
Configure seu servidor Hyper-V da seguinte maneira:
1. Client1, client2
Client1: 131.253.1.1
Client2: 131.253.1.2
Máscara de sub-rede: 255.255.255.0
DNS: 51.51.51.51
Gateway: 131.253.1.254
NIC1: 10.10.10.1
Sub-rede: 255.255.255.0
DNS: 10.10.10.1
Gateway: 10.10.10.254
NIC1: 10.10.10.2
Sub-rede 255.255.255.0
DNS: 10.10.10.2*
Gateway: 10.10.10.254
*Use 10.10.10.1 para DNS inicialmente ao executar a junção de domínio para DC002
para que você possa localizar o domínio do Active Directory no DC001.
Configurar DNS
Use Gerenciador do Servidor e o console de gerenciamento DNS ou Windows
PowerShell para instalar as seguintes funções de servidor e criar uma zona DNS estática
em cada um dos dois servidores.
1. DC001, DC002
O comando Install-Module requer acesso à Internet. Isso pode ser feito atribuindo
temporariamente a VM a uma rede externa no Hyper-V.
PowerShell
$loopback_ipv4 = '51.51.51.51'
$loopback_ipv4_length = '32'
$loopback_name = 'Loopback'
1. Gateway
PowerShell
2. DC001
PowerShell
3. DC002
PowerShell
Diagrama de resumo
Figura 2: Configuração do laboratório para demonstração nativa de DNS do BGP
Anycast
PS C:\> Get-BgpRouteInformation
7 Observação
3. Em client1 e client2, use nslookup ou dig para consultar o registro TXT. Exemplos
de ambos são mostrados.
PS C:\> (Get-NetAdapter).Name
Loopback
Ethernet 2
Confirmar
[Y] Sim [A] Sim para Todos [N] Não [L] Não a Todos [S] Suspender [?] Ajuda (o
padrão é "Y"):
PS C:\> (Get-NetAdapter).Status
Up
Desabilitado
5. Confirme se os clientes DNS que estavam recebendo respostas anteriormente de
DC001 mudaram para DC002.
Endereço: 51.51.51.51
texto server.zone.tst =
"DC001"
Endereço: 51.51.51.51
texto server.zone.tst =
"DC002"
7 Observação
Perguntas frequentes
P: O DNS do Anycast é uma boa solução para usar em um ambiente DNS local?
R: Se você usar um balanceador de carga que não seja da Microsoft para encaminhar
consultas DNS, a Microsoft oferecerá suporte a problemas relacionados ao serviço
servidor DNS. Consulte o fornecedor do balanceador de carga para obter problemas
relacionados ao encaminhamento de DNS.
P: Qual é a melhor prática para o DNS anycast com um número grande (por exemplo,
>50) de controladores de domínio?
R: O DNS do Azure usa Anycast. Para usar o Anycast com o DNS do Azure, configure o
balanceador de carga para encaminhar solicitações para o servidor DNS do Azure.
Visão geral das políticas de DNS
Artigo • 21/12/2022 • 12 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber mais sobre a Política de DNS, que é nova em
Windows Server 2016. Você pode usar a Política de DNS para Geo-Location
gerenciamento de tráfego baseado, respostas DNS inteligentes com base na hora do
dia, para gerenciar um único servidor DNS configurado para implantação de cérebro
dividido, aplicação de filtros em consultas DNS e muito mais. Os itens a seguir fornecem
mais detalhes sobre esses recursos.
Dividir O DNS do Cérebro. Com o DNS de cérebro dividido, os registros DNS são
divididos em escopos de zona diferentes no mesmo servidor DNS e os clientes
DNS recebem uma resposta com base em se os clientes são clientes internos ou
externos. Você pode configurar o DNS de cérebro dividido para zonas integradas
do Active Directory ou zonas em servidores DNS autônomos.
Filtragem. Você pode configurar a política DNS para criar filtros de consulta
baseados nos critérios fornecidos. Os filtros de consulta na política DNS permitem
que você configure o servidor DNS para responder de maneira personalizada com
base na consulta DNS e no cliente DNS que envia a consulta DNS.
Análises forenses. Você pode usar a política DNS para redirecionar clientes DNS
mal-intencionados para um endereço IP inexistente em vez de direcioná-los para o
computador que eles estão tentando acessar.
Redirecionamento baseado em hora do dia. Você pode usar a política DNS para
distribuir o tráfego de aplicativos em diferentes instâncias distribuídas
geograficamente de um aplicativo usando políticas DNS baseadas na hora do dia.
Novos conceitos
Para criar políticas para dar suporte aos cenários listados acima, é necessário ser capaz
de identificar grupos de registros em uma zona, grupos de clientes em uma rede, entre
outros elementos. Esses elementos são representados pelos seguintes novos objetos
DNS:
Escopos de zona: uma zona DNS pode ter vários escopos de zona, com cada
escopo de zona contendo seu próprio conjunto de registros DNS. O mesmo
registro pode estar presente em vários escopos, com endereços IP diferentes. Além
disso, as transferências de zona são feitas no nível do escopo da zona. Isso
significa que os registros de um escopo de zona em uma zona primária serão
transferidos para o mesmo escopo de zona em uma zona secundária.
Tipos de política
As políticas DNS são divididas por nível e tipo. Você pode usar políticas de resolução de
consulta para definir como as consultas são processadas e as Políticas de Transferência
de Zona para definir como as transferências de zona ocorrem. Você pode aplicar cada
tipo de política no nível do servidor ou na zona.
- Pode
conter
qualquer
caractere
válido para
um nome de
arquivo
-
Desabilitado
- Zona
Ordem de Depois que uma consulta é classificada por nível e se aplica, o - Valor
processamento servidor localiza a primeira política para a qual a consulta numérico
- Negar
(padrão no
nível do
servidor)
- Ignorar
Campo Descrição Valores
possíveis
- Lista de
critérios
(consulte a
tabela de
critérios
abaixo)
7 Observação
Sub-rede Nome de uma sub-rede de cliente - EQ, Espanha, França - resolve como true se a
do cliente predefinida. Usado para verificar a sub-rede for identificada como Espanha ou
sub-rede da qual a consulta foi França
- EQ,*.contoso.com,*.woodgrove.com –
resolve como true se a consulta for para
qualquer registro que termine em
contoso.comOUwoodgrove.com
Tipo de Tipo de registro que está sendo - EQ, TXT, SRV – resolve como true se a
consulta consultado (A, SRV, TXT) consulta estiver solicitando um registro TXT
OU SRV
Usando a tabela acima como ponto de partida, a tabela a seguir pode ser usada para
definir um critério usado para corresponder a consultas para qualquer tipo de registros,
mas registros SRV no domínio contoso.com provenientes de um cliente na sub-rede
10.0.0.0/24 via TCP entre 20h e 22h por meio da interface 10.0.0.3:
Nome Valor
FQDN EQ,*.contoso.com
Você pode criar várias políticas de resolução de consulta do mesmo nível, desde que
elas tenham um valor diferente para a ordem de processamento. Quando várias
políticas estão disponíveis, o servidor DNS processa consultas de entrada da seguinte
maneira:
Políticas de recursão
As políticas de recursão são um tipo especial de políticas de nível de servidor. As
políticas de recursão controlam como o servidor DNS executa a recursão para uma
consulta. As políticas de recursão se aplicam somente quando o processamento de
consulta atinge o caminho de recursão. Você pode escolher um valor de DENY ou
IGNORE para recursão para um conjunto de consultas. Como alternativa, você pode
escolher um conjunto de encaminhadores para um conjunto de consultas.
Você pode usar políticas de recursão para implementar uma configuração de DNS split-
brain. Nessa configuração, o servidor DNS executa a recursão de um conjunto de
clientes para uma consulta, enquanto o servidor DNS não executa a recursão para
outros clientes para essa consulta.
Nome Descrição
Aplicar na recursão Especifica que essa política só deve ser usada para recursão.
7 Observação
7 Observação
Você pode usar a política de transferência de zona no nível do servidor abaixo para
negar uma transferência de zona para o domínio contoso.com de uma determinada
sub-rede:
Você pode criar várias políticas de transferência de zona do mesmo nível, desde que
elas tenham um valor diferente para a ordem de processamento. Quando várias
políticas estão disponíveis, o servidor DNS processa consultas de entrada da seguinte
maneira:
Gerenciamento de políticas DNS
Você pode criar e gerenciar políticas de DNS usando o PowerShell. Os exemplos a seguir
passam por diferentes cenários de exemplo que você pode configurar por meio de
Políticas DNS:
Gerenciamento de tráfego
Você pode direcionar o tráfego com base em um FQDN para servidores diferentes,
dependendo da localização do cliente DNS. O exemplo a seguir mostra como criar
políticas de gerenciamento de tráfego para direcionar os clientes de uma determinada
sub-rede para um datacenter norte-americano e de outra sub-rede para um datacenter
europeu.
As duas primeiras linhas do script criam objetos de sub-rede do cliente para América do
Norte e Europa. As duas linhas depois disso criam um escopo de zona dentro do
domínio contoso.com, uma para cada região. As duas linhas depois disso criam um
registro em cada zona que associa www.contoso.com a um endereço IP diferente,
uma para a Europa, outra para América do Norte. Por fim, as últimas linhas do script
criam duas Políticas de Resolução de Consulta DNS, uma a ser aplicada à sub-rede
América do Norte, outra à sub-rede da Europa.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este início rápido mostra como instalar e configurar um servidor DNS no Windows
Server. Você instalará a função servidor DNS para encaminhar consultas DNS para
servidores de nome de dica raiz DNS ou, opcionalmente, para um servidor de nomes
upstream.
Pré-requisitos
Antes de instalar e configurar o servidor DNS, seu computador deve atender aos
seguintes pré-requisitos:
Dica
Quando você instala o Active Directory Domain Services (AD DS) com o Assistente
de Instalação do Active Directory Domain Services, o assistente oferece a opção de
instalar e configurar automaticamente um servidor DNS. A zona DNS resultante é
integrada ao namespace de domínio do AD DS. Para saber mais, confira Noções
básicas sobre a integração Active Directory Domain Services.
PowerShell
Veja como instalar a função de Servidor DNS usando o comando Install-
WindowsFeature .
PowerShell
Configurar interfaces
Por padrão, um servidor DNS escutará solicitações em todas as interfaces de endereço
IP. Você pode configurar o servidor DNS para escutar em uma interface especificada
usando a GUI ou usando o PowerShell.
PowerShell
Veja como configurar a interface usada para escutar solicitações DNS usando o
comando Set-DNSServerSetting .
PowerShell
Get-NetIPAddress | fl IPAddress,InterfaceAlias
PowerShell
$DnsServerSettings.ListeningIpAddress = @("<ip_address>")
Set-DNSServerSetting $DnsServerSettings
Você pode editar a lista de servidores de nome raiz, se necessário, navegando até a guia
Dicas Raiz da caixa de diálogo propriedades do servidor DNS ou usando o PowerShell.
Não há suporte para a remoção de todos os servidores de dicas raiz. Em vez disso,
configure o servidor DNS para não usar o servidor de nomes de dica raiz selecionando a
opção Desabilitar servidor de recursão na guia Avançado do console do Gerenciador
DNS. Desabilitar a recursão também desabilita todos os encaminhadores configurados.
Como alternativa, desmarque Usar dicas raiz se nenhum encaminhador estiver
disponível na guia Encaminhadores .
PowerShell
Veja como atualizar um servidor de nomes de dica raiz DNS usando o comando
Set-DnsServerRootHint .
PowerShell
Get-DnsServerRootHint
PowerShell
PowerShell
$RootHintServer.IPAddress[0].RecordData.Ipv4address = "
<ip_address>"
PowerShell
Set-DnsServerRootHint $RootHintServer
PowerShell
Get-DnsServerRootHint
Configurar encaminhadores
Opcionalmente, você pode configurar um encaminhador para resolver informações de
endereço DNS em vez de encaminhar o tráfego para os servidores raiz DNS. Você pode
adicionar encaminhadores usando a GUI ou usando o cmdlet do Set-
DNSServerForwarder PowerShell.
7 Observação
As dicas de raiz DNS não serão usadas, a menos que os encaminhadores não
respondam.
PowerShell
PowerShell
$Forwarders = "<ip_forwarder_1>","<ip_forwarder_2>"
PowerShell
PowerShell
) Importante
Ao remover o serviço de função de servidor DNS de um computador Windows
Server, esteja ciente:
Para um servidor DNS que hospeda zonas integradas ao AD DS, essas zonas
são salvas ou excluídas de acordo com seu tipo de armazenamento. Os dados
de zona não são excluídos, a menos que o servidor DNS que você desinstale
seja o último servidor DNS que hospeda essa zona.
Para um servidor DNS que hospeda zonas DNS padrão, os arquivos de zona
permanecem no diretório %systemroot%\System32\Dns , mas não são
recarregados se o servidor DNS for reinstalado.
Se você criar uma nova zona
com o mesmo nome de uma zona antiga, o arquivo de zona antiga será
substituído pelo novo arquivo de zona.
Próximas etapas
Agora que você instalou e configurou um servidor DNS, aqui estão alguns artigos que
podem ajudá-lo a fazer mais.
3. Na tela Ethernet, selecione a interface de rede que você deseja configurar para o
DoH.
4. Na tela Rede, role para baixo até as configurações de DNS e selecione o botão
Editar .
Não habilite a opção Exigir DoH para computadores ingressados no domínio, pois
Active Directory Domain Services depende muito do DNS porque o serviço servidor
DNS do servidor Windows não dá suporte a consultas DoH. Se você precisar que o
tráfego de consulta DNS na rede Active Directory Domain Services seja criptografado,
considere implementar regras de segurança de conexão baseadas em IPsec para
proteger esse tráfego. Consulte Como proteger conexões IPsec de ponta a ponta
usando iKEv2 para obter mais informações.
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9
Adicionar um novo servidor DoH à lista de
servidores conhecidos
Você pode adicionar novos servidores DoH à lista de servidores conhecidos usando o
cmdlet do Add-DnsClientDohServerAddress PowerShell. Especifique a URL do modelo
DoH e se você permitirá que o cliente volte para uma consulta não criptografada caso a
consulta segura falhe. A sintaxe desse comando é:
PowerShell
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este guia destina-se ao uso pelo DNS, pela rede e pelos administradores de sistemas.
A Política dns é um novo recurso para DNS no Windows Server® 2016. Você pode usar
este guia para aprender a usar a política dns para controlar como um servidor DNS
processa consultas de resolução de nomes com base em diferentes parâmetros que
você define nas políticas.
Este guia contém informações de visão geral da política DNS, bem como cenários de
política DNS específicos que fornecem instruções sobre como configurar o
comportamento do servidor DNS para atingir suas metas, incluindo o gerenciamento de
tráfego baseado em localização geográfica para servidores DNS primários e
secundários, alta disponibilidade de aplicativos, DNS de divisão e muito mais.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para aprender a configurar a Política DNS para permitir que
os servidores DNS primários respondam a consultas de cliente DNS com base na
localização geográfica do cliente e no recurso ao qual o cliente está tentando se
conectar, fornecendo ao cliente o endereço IP do recurso mais próximo.
) Importante
Este cenário ilustra como implantar a política DNS para o gerenciamento de tráfego
baseado em localização geográfica quando você está usando apenas servidores
DNS primários. Você também pode realizar o gerenciamento de tráfego baseado
em localização geográfica quando tiver servidores DNS primários e secundários. Se
você tiver uma implantação primária-secundária, primeiro conclua as etapas neste
tópico e conclua as etapas fornecidas no tópico Usar política DNS para
gerenciamento de tráfego baseado em Geo-Location com implantações de
Primary-Secondary.
Com novas políticas DNS, você pode criar uma política DNS que permite que o servidor
DNS responda a uma consulta cliente solicitando o endereço IP de um servidor Web. As
instâncias do servidor Web podem estar localizadas em diferentes datacenters em
diferentes locais físicos. O DNS pode avaliar os locais do cliente e do servidor Web e
responder à solicitação do cliente fornecendo ao cliente um endereço IP do servidor
Web para um servidor Web que esteja fisicamente localizado mais perto do cliente.
Você pode usar os seguintes parâmetros de política DNS para controlar as respostas do
servidor DNS para consultas de clientes DNS.
Você pode combinar os critérios a seguir com um operador lógico (AND/OR) para
formular expressões de política. Quando essas expressões correspondem, espera-se que
as políticas executem uma das ações a seguir.
Este exemplo usa duas empresas fictícias - Contoso Serviços de Nuvem, que fornece
soluções de hospedagem na Web e domínio; e woodgrove Food Services, que fornece
serviços de entrega de alimentos em várias cidades em todo o mundo, e que tem um
site chamado woodgrove.com.
A Contoso Serviços de Nuvem tem dois datacenters, um nos EUA e outro na Europa. O
datacenter europeu hospeda um portal de pedidos de comida para woodgrove.com.
Se o nome DNS não estiver presente no cache local do LDNS, o servidor LDNS
encaminha a consulta para o servidor DNS que é autoritativo para woodgrove.com. O
servidor DNS autoritativo responde com o registro solicitado (www.woodgrove.com )
ao servidor LDNS, que, por sua vez, armazena em cache o registro localmente antes de
enviá-lo para o computador do usuário.
Como a Contoso Serviços de Nuvem usa políticas do Servidor DNS, o servidor DNS
autoritativo que hospeda contoso.com está configurado para retornar respostas
gerenciadas de tráfego baseadas em localização geográfica. Isso resulta na direção dos
clientes europeus para o datacenter europeu e na direção dos clientes americanos para
o datacenter dos EUA, conforme descrito na ilustração.
7 Observação
7 Observação
Você deve executar essas etapas no servidor DNS que é autoritativo para a zona
que deseja configurar. A associação em DnsAdmins, ou equivalente, é necessária
para executar os procedimentos a seguir.
) Importante
Você pode obter essas informações de mapas Geo-IP. Com base nessas distribuições de
IP geográfico, você deve criar as "Sub-redes do cliente DNS". Uma sub-rede de cliente
DNS é um agrupamento lógico de sub-redes IPv4 ou IPv6 das quais as consultas são
enviadas para um servidor DNS.
Você pode usar os comandos de Windows PowerShell a seguir para criar sub-redes de
cliente DNS.
PowerShell
Um escopo de zona é uma instância exclusiva da zona. Uma zona DNS pode ter vários
escopos de zona, com cada escopo de zona contendo seu próprio conjunto de registros
DNS. O mesmo registro pode estar presente em vários escopos, com endereços IP
diferentes ou os mesmos endereços IP.
7 Observação
Por padrão, existe um escopo de zona nas zonas DNS. Esse escopo de zona tem o
mesmo nome que a zona e as operações DNS herdadas funcionam nesse escopo.
Você pode usar os comandos Windows PowerShell a seguir para criar escopos de zona.
PowerShell
Você pode usar os comandos Windows PowerShell a seguir para adicionar registros aos
escopos da zona.
PowerShell
Neste exemplo, você também deve usar os comandos Windows PowerShell a seguir
para adicionar registros ao escopo da zona padrão para garantir que o resto do mundo
ainda possa acessar o servidor Web woodgrove.com de qualquer um dos dois
datacenters.
PowerShell
Você pode usar os comandos de Windows PowerShell a seguir para criar uma política
DNS que vincule as sub-redes do cliente DNS e os escopos da zona.
PowerShell
Agora, o servidor DNS está configurado com as políticas de DNS necessárias para
redirecionar o tráfego com base na localização geográfica.
Quando o servidor DNS recebe consultas de resolução de nomes, o servidor DNS avalia
os campos na solicitação DNS em relação às políticas DNS configuradas. Se o endereço
IP de origem na solicitação de resolução de nomes corresponder a qualquer uma das
políticas, o escopo da zona associada será usado para responder à consulta e o usuário
será direcionado para o recurso geograficamente mais próximo a elas.
Você pode criar milhares de políticas DNS de acordo com seus requisitos de
gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente - sem
reiniciar o servidor DNS - em consultas de entrada.
Usar política de DNS para
gerenciamento de tráfego baseado em
localização geográfica com
implantações primárias e secundárias
Artigo • 21/12/2022 • 9 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para aprender a criar uma política DNS para gerenciamento
de tráfego baseado em localização geográfica quando sua implantação de DNS inclui
servidores DNS primários e secundários.
O cenário anterior, Usar política DNS para gerenciamento de tráfego baseado em Geo-
Location com servidores primários, forneceu instruções para configurar a política DNS
para gerenciamento de tráfego baseado em localização geográfica em um servidor DNS
primário. Na infraestrutura da Internet, no entanto, os servidores DNS são amplamente
implantados em um modelo primário-secundário, onde a cópia gravável de uma zona é
armazenada em servidores primários selecionados e seguros, e cópias somente leitura
da zona são mantidas em vários servidores secundários.
7 Observação
Para obter mais informações sobre a AXFR, consulte a Solicitação IETF (Internet
Engineering Task Force) para Comentários 5936 . Para obter mais informações
sobre o IXFR, consulte a Solicitação IETF (Internet Engineering Task Force) para
Comentários 1995 .
Este exemplo usa duas empresas fictícias - Contoso Serviços de Nuvem, que fornece
soluções de hospedagem na Web e domínio; e woodgrove Food Services, que fornece
serviços de entrega de alimentos em várias cidades em todo o mundo, e que tem um
site chamado woodgrove.com.
A Contoso Serviços de Nuvem tem dois datacenters, um nos EUA e outro na Europa,
sobre os quais a Contoso hospeda seu portal de pedidos de comida para
woodgrove.com.
1. Quando você instala o DNS, a zona primária é criada no servidor DNS primário.
2. No servidor secundário, crie as zonas e especifique os servidores primários.
3. Nos servidores primários, você pode adicionar os servidores secundários como
secundários confiáveis na zona primária.
4. As zonas secundárias fazem uma solicitação de transferência de zona completa
(AXFR) e recebem a cópia da zona.
5. Quando necessário, os servidores primários enviam notificações para os servidores
secundários sobre atualizações de zona.
6. Os servidores secundários fazem uma solicitação de transferência de zona
incremental (IXFR). Por isso, os servidores secundários permanecem sincronizados
com o servidor primário.
O valor do OPT RR é o nome do escopo da zona para o qual a solicitação está sendo
enviada. Quando um servidor DNS primário recebe esse pacote de um servidor
secundário confiável, ele interpreta a solicitação como chegando para esse escopo de
zona.
Se o servidor primário tiver esse escopo de zona, ele responderá com os dados de
transferência (XFR) desse escopo. A resposta contém um OPT RR com a mesma ID de
opção "65433" e valor definido como o mesmo escopo de zona. Os servidores
secundários recebem essa resposta, recuperam as informações de escopo da resposta e
atualizam esse escopo específico da zona.
Após esse processo, o servidor primário mantém uma lista de secundários confiáveis
que enviaram uma solicitação de escopo de zona para notificações.
7 Observação
As instruções neste tópico para copiar sub-redes de cliente DNS, escopos de zona
e políticas DNS de servidores primários DNS para servidores secundários DNS são
para sua configuração e validação DNS iniciais. No futuro, talvez você queira alterar
as sub-redes do cliente DNS, os escopos de zona e as configurações de políticas no
servidor primário. Nessa circunstância, você pode criar scripts de automação para
manter os servidores secundários sincronizados com o servidor primário.
) Importante
Você pode usar os comandos Windows PowerShell a seguir para criar as zonas
secundárias.
PowerShell
7 Observação
Você pode usar os comandos Windows PowerShell a seguir para copiar as sub-redes
para os servidores secundários.
PowerShell
Você pode usar os comandos Windows PowerShell a seguir para criar os escopos de
zona nos servidores secundários.
PowerShell
7 Observação
Você pode usar os comandos Windows PowerShell a seguir para criar uma política DNS
que vincule as sub-redes do cliente DNS e os escopos de zona.
PowerShell
Quando o servidor DNS recebe consultas de resolução de nomes, o servidor DNS avalia
os campos na solicitação DNS em relação às políticas DNS configuradas. Se o endereço
IP de origem na solicitação de resolução de nome corresponder a qualquer uma das
políticas, o escopo de zona associado será usado para responder à consulta e o usuário
será direcionado para o recurso geograficamente mais próximo a eles.
Você pode criar milhares de políticas DNS de acordo com seus requisitos de
gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente - sem
reiniciar o servidor DNS - em consultas de entrada.
Usar a política de DNS para respostas de
DNS inteligente com base na hora do
dia
Artigo • 21/12/2022 • 8 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para aprender a distribuir o tráfego de aplicativos entre
diferentes instâncias distribuídas geograficamente de um aplicativo usando políticas
DNS baseadas na hora do dia.
Esse cenário é útil em situações em que você deseja direcionar o tráfego em um fuso
horário para servidores de aplicativos alternativos, como servidores Web, que estão
localizados em outro fuso horário. Isso permite que você balancee o tráfego em
instâncias de aplicativo durante períodos de horário de pico quando os servidores
primários estão sobrecarregados com o tráfego.
Este exemplo usa uma empresa fictícia, a Contoso Gift Services, que fornece soluções de
presenteação online em todo o mundo por meio de seu site, contosogiftservices.com.
A Contoso Gift Services executa uma análise de site e descobre que todas as noites
entre 18h e 21h locais, há um aumento no tráfego para os servidores Web. Os
servidores Web não podem ser dimensionados para lidar com o aumento do tráfego
nesses horários de pico, resultando em negação de serviço aos clientes. A mesma
sobrecarga de tráfego de horário de pico ocorre nos datacenters europeus e
americanos. Em outras horas do dia, os servidores lidam com volumes de tráfego bem
abaixo de sua capacidade máxima.
Quando várias políticas DNS são configuradas no DNS, elas são um conjunto ordenado
de regras e são processadas pelo DNS da prioridade mais alta para a menor prioridade.
O DNS usa a primeira política que corresponde às circunstâncias, incluindo a hora do
dia. Por esse motivo, políticas mais específicas devem ter maior prioridade. Se você criar
políticas de hora do dia e lhes der alta prioridade na lista de políticas, o DNS processará
e usará essas políticas primeiro se corresponderem aos parâmetros da consulta de
cliente DNS e aos critérios definidos na política. Se eles não corresponderem, o DNS
moverá para baixo a lista de políticas para processar as políticas padrão até encontrar
uma correspondência.
Para obter mais informações sobre tipos de política e critérios, consulte Visão geral das
políticas de DNS.
7 Observação
Você deve executar essas etapas no servidor DNS que é autoritativo para a zona
que deseja configurar. A associação em DnsAdmins, ou equivalente, é necessária
para executar os procedimentos a seguir.
Você pode obter essas informações de mapas Geo-IP. Com base nessas distribuições de
IP geográfico, você deve criar as "Sub-redes do cliente DNS". Uma sub-rede de cliente
DNS é um agrupamento lógico de sub-redes IPv4 ou IPv6 das quais as consultas são
enviadas para um servidor DNS.
Você pode usar os comandos de Windows PowerShell a seguir para criar sub-redes de
cliente DNS.
PowerShell
7 Observação
Por padrão, existe um escopo de zona nas zonas DNS. Esse escopo de zona tem o
mesmo nome que a zona e as operações DNS herdadas funcionam nesse escopo.
Você pode usar os comandos Windows PowerShell a seguir para criar escopos de zona.
PowerShell
Agora você deve adicionar os registros que representam o host do servidor Web nos
dois escopos de zona.
Você pode usar os comandos Windows PowerShell a seguir para adicionar registros aos
escopos da zona.
PowerShell
Você pode usar os comandos de Windows PowerShell a seguir para criar uma política
DNS que vincule as sub-redes do cliente DNS e os escopos da zona.
7 Observação
Neste exemplo, o servidor DNS está no fuso horário GMT, portanto, os períodos de
hora de pico devem ser expressos no horário GMT equivalente.
PowerShell
Agora, o servidor DNS está configurado com as políticas de DNS necessárias para
redirecionar o tráfego com base na localização geográfica e na hora do dia.
Quando o servidor DNS recebe consultas de resolução de nomes, o servidor DNS avalia
os campos na solicitação DNS em relação às políticas DNS configuradas. Se o endereço
IP de origem na solicitação de resolução de nomes corresponder a qualquer uma das
políticas, o escopo da zona associada será usado para responder à consulta e o usuário
será direcionado para o recurso geograficamente mais próximo a elas.
Você pode criar milhares de políticas DNS de acordo com seus requisitos de
gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente - sem
reiniciar o servidor DNS - em consultas de entrada.
Respostas de DNS com base na hora do
dia com o Servidor de aplicativos da
nuvem do Azure
Artigo • 21/12/2022 • 6 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para aprender a distribuir o tráfego de aplicativos entre
diferentes instâncias distribuídas geograficamente de um aplicativo usando políticas
DNS baseadas na hora do dia.
Esse cenário é útil em situações em que você deseja direcionar o tráfego em um fuso
horário para servidores de aplicativos alternativos, como servidores Web hospedados no
Microsoft Azure, que estão localizados em outro fuso horário. Isso permite que você
balancee o tráfego em instâncias de aplicativo durante períodos de horário de pico
quando os servidores primários estão sobrecarregados com o tráfego.
7 Observação
Para saber como usar a política DNS para respostas DNS inteligentes sem usar o
Azure, consulte Usar a política DNS para respostas DNS inteligentes com base na
hora do dia.
Este exemplo usa uma empresa fictícia, a Contoso Gift Services, que fornece soluções de
presenteação online em todo o mundo por meio de seu site, contosogiftservices.com.
7 Observação
Para obter mais informações sobre VMs do Azure, consulte Máquinas Virtuais
documentação
Os servidores DNS são configurados com escopos de zona e políticas DNS para que,
entre 17h e 21h todos os dias, 30% das consultas sejam enviadas para a instância do
servidor Web em execução no Azure.
Após a configuração de uma nova política DNS baseada nos horários de pico das 18h às
21h em Seattle, o servidor DNS envia setenta por cento das respostas DNS para clientes
que contêm o endereço IP do servidor Web de Seattle e 30% das respostas DNS aos
clientes que contêm o endereço IP do servidor Web do Azure, Direcionando assim o
tráfego do cliente para o novo servidor Web do Azure e impedindo que o servidor Web
de Seattle fique sobrecarregado.
7 Observação
Você deve executar essas etapas no servidor DNS que é autoritativo para a zona
que deseja configurar. A associação em DnsAdmins, ou equivalente, é necessária
para executar os procedimentos a seguir.
) Importante
7 Observação
Por padrão, existe um escopo de zona nas zonas DNS. Esse escopo de zona tem o
mesmo nome que a zona e as operações DNS herdadas funcionam nesse escopo.
Você pode usar o comando de exemplo a seguir para criar um escopo de zona para
hospedar os registros do Azure.
No segundo cmdlet abaixo, o parâmetro –ZoneScope não está incluído. Por isso, os
registros são adicionados no ZoneScope padrão.
Além disso, a TTL do registro para VMs do Azure é mantida em 600s (10 minutos) para
que o LDNS não o armazene em cache por mais tempo - o que interferiria no
balanceamento de carga. Além disso, as VMs do Azure estão disponíveis por 1 hora
extra como uma contingência para garantir que até mesmo clientes com registros
armazenados em cache sejam capazes de resolver.
1. Das 18h às 21h diariamente, 30% dos clientes recebem o endereço IP do servidor
Web no datacenter do Azure na resposta DNS, enquanto 70% dos clientes
recebem o endereço IP do servidor Web local de Seattle.
2. Em todos os outros momentos, todos os clientes recebem o endereço IP do
servidor Web local de Seattle.
Você pode usar o comando de exemplo a seguir para criar a política DNS.
Agora, o servidor DNS está configurado com as políticas de DNS necessárias para
redirecionar o tráfego para o servidor Web do Azure com base na hora do dia.
Observe a expressão:
Você pode criar milhares de políticas DNS de acordo com seus requisitos de
gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente - sem
reiniciar o servidor DNS - em consultas de entrada.
Usar a política de DNS para DNS com
partição de rede no Active Directory
Artigo • 21/12/2022 • 7 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para aproveitar os recursos de gerenciamento de tráfego de
políticas DNS para implantações de cérebro dividido com zonas DNS integradas do
Active Directory em Windows Server 2016.
Em Windows Server 2016, o suporte a políticas DNS é estendido para zonas DNS
integradas do Active Directory. A integração do Active Directory fornece recursos de alta
disponibilidade de vários mestres para o servidor DNS.
7 Observação
O site tem duas versões, uma para os usuários internos em que as postagens de
trabalho internas estão disponíveis. Este site interno está disponível no endereço IP local
10.0.0.39.
A segunda versão é a versão pública do mesmo site, que está disponível no endereço IP
público 65.55.39.10.
Usando políticas DNS, essas zonas agora podem ser hospedadas no mesmo servidor
DNS.
A Interface do servidor é usada neste exemplo como os critérios para diferenciar entre
os clientes internos e externos.
As políticas DNS são armazenadas no servidor DNS local. Você pode exportar facilmente
políticas DNS de um servidor para outro usando o exemplo a seguir Windows
PowerShell comandos.
PowerShell
Get-DnsServerQueryResolutionPolicy
Add-DnsServerQueryResolutionPolicy
Como configurar a política DNS para Split-
Brain DNS no Active Directory
Para configurar a Implantação de Split-Brain DNS usando a Política DNS, você deve usar
as seções a seguir, que fornecem instruções de configuração detalhadas.
PowerShell
Um escopo de zona é uma instância exclusiva da zona. Uma zona DNS pode ter vários
escopos de zona, com cada escopo de zona contendo seu próprio conjunto de registros
DNS. O mesmo registro pode estar presente em vários escopos, com endereços IP
diferentes ou os mesmos endereços IP.
Como você está adicionando esse novo escopo de zona em uma zona integrada do
Active Directory, o escopo da zona e os registros dentro dele serão replicados por meio
do Active Directory para outros servidores de réplica no domínio.
Por padrão, existe um escopo de zona em cada zona DNS. Esse escopo de zona tem o
mesmo nome que a zona e as operações DNS herdadas funcionam nesse escopo. Esse
escopo de zona padrão hospedará a versão interna do www.career.contoso.com .
Você pode usar o comando de exemplo a seguir para criar o escopo da zona no servidor
DNS.
PowerShell
Os registros (no escopo da zona interna padrão e no escopo da zona externa) serão
replicados automaticamente no domínio com seus respectivos escopos de zona.
Você pode usar o comando de exemplo a seguir para adicionar registros aos escopos de
zona no servidor DNS.
PowerShell
7 Observação
7 Observação
Este exemplo usa a interface do servidor (o parâmetro -ServerInterface no
comando de exemplo abaixo) como os critérios para diferenciar entre os clientes
internos e externos. Outro método para diferenciar entre clientes externos e
internos é usando sub-redes de cliente como critério. Se você puder identificar as
sub-redes às quais os clientes internos pertencem, você poderá configurar a
política DNS para diferenciar com base na sub-rede do cliente. Para obter
informações sobre como configurar o gerenciamento de tráfego usando critérios
de sub-rede do cliente, consulte Usar a Política DNS para Geo-Location
Gerenciamento de Tráfego Baseado com Servidores Primários.
7 Observação
PowerShell
7 Observação
Agora, o servidor DNS está configurado com as políticas de DNS necessárias para um
servidor de nome de cérebro dividido com uma zona DNS integrada do Active
Directory.
Você pode criar milhares de políticas DNS de acordo com seus requisitos de
gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente - sem
reiniciar o servidor DNS - em consultas de entrada.
Usar a política de DNS para a
implantação de DNS com partição de
rede
Artigo • 21/12/2022 • 9 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para aprender a configurar a política DNS no Windows
Server® 2016 para implantações de DNS de cérebro dividido, em que há duas versões
de uma única zona : uma para os usuários internos na intranet da sua organização e
outra para os usuários externos, que normalmente são usuários na Internet.
7 Observação
Para obter informações sobre como usar a Política DNS para implantação de DNS
de cérebro dividido com zonas DNS integradas do Active Directory, consulte Usar a
política DNS para Split-Brain DNS no Active Directory.
Este exemplo usa uma empresa fictícia, a Contoso, que mantém um site de carreira em
www.career.contoso.com .
O site tem duas versões, uma para os usuários internos em que as postagens de
trabalho internas estão disponíveis. Este site interno está disponível no endereço IP local
10.0.0.39.
A segunda versão é a versão pública do mesmo site, que está disponível no endereço IP
público 65.55.39.10.
Usando políticas DNS, essas zonas agora podem ser hospedadas no mesmo servidor
DNS.
A Interface do servidor é usada neste exemplo como os critérios para diferenciar entre
os clientes internos e externos.
) Importante
7 Observação
Por padrão, existe um escopo de zona nas zonas DNS. Esse escopo de zona tem o
mesmo nome que a zona e as operações DNS herdadas funcionam nesse escopo.
Esse escopo de zona padrão hospedará a versão externa do
www.career.contoso.com .
Você pode usar o comando de exemplo a seguir para particionar o escopo da zona
contoso.com para criar um escopo de zona interno. O escopo da zona interna será
usado para manter a versão interna do www.career.contoso.com .
IPv4Address "65.55.39.10"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -
Name "www.career" -IPv4Address "10.0.0.39” -ZoneScope "internal"
7 Observação
Este exemplo usa a interface do servidor como os critérios para diferenciar entre os
clientes internos e externos. Outro método para diferenciar entre clientes externos
e internos é usando sub-redes de cliente como critério. Se você puder identificar as
sub-redes às quais os clientes internos pertencem, você poderá configurar a
política DNS para diferenciar com base na sub-rede do cliente. Para obter
informações sobre como configurar o gerenciamento de tráfego usando critérios
de sub-rede do cliente, consulte Usar a Política DNS para Geo-Location
Gerenciamento de Tráfego Baseado com Servidores Primários.
7 Observação
Algumas implantações de DNS podem exigir que o mesmo servidor DNS execute a
resolução de nomes recursivos para clientes internos, além de atuar como o servidor de
nome autoritativo para clientes externos. Essa circunstância é chamada de controle de
recursão seletiva DNS.
Nas versões anteriores do Windows Server, habilitar a recursão significava que ele
estava habilitado em todo o servidor DNS para todas as zonas. Como o servidor DNS
também está escutando consultas externas, a recursão está habilitada para clientes
internos e externos, tornando o servidor DNS um resolvedor aberto.
Por isso, os administradores de DNS da Contoso não querem que o servidor DNS para
contoso.com execute a resolução de nomes recursivos para clientes externos. Há apenas
a necessidade de controle de recursão para clientes internos, enquanto o controle de
recursão pode ser bloqueado para clientes externos.
Isso impede que o servidor atue como um resolvedor aberto para clientes externos,
enquanto ele está atuando como um resolvedor de cache para clientes internos.
PowerShell
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Se o servidor DNS não for autoritativo para algumas consultas, as políticas de recursão
do servidor DNS permitirão que você controle como resolver as consultas.
Neste exemplo, o escopo de recursão interna com a recursão habilitada está associado à
interface de rede privada.
Você pode usar o comando de exemplo a seguir para configurar políticas de recursão
DNS.
PowerShell
Agora, o servidor DNS está configurado com as políticas de DNS necessárias para um
servidor de nome de cérebro dividido ou um servidor DNS com controle de recursão
seletivo habilitado para clientes internos.
Você pode criar milhares de políticas DNS de acordo com seus requisitos de
gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente - sem
reiniciar o servidor DNS - em consultas de entrada.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber como configurar a política DNS no Windows
Server® 2016 para criar filtros de consulta com base nos critérios que você fornecer.
Os filtros de consulta na política DNS permitem que você configure o servidor DNS para
responder de maneira personalizada com base na consulta DNS e no cliente DNS que
envia a consulta DNS.
Por exemplo, você pode configurar a política DNS com a Lista de Blocos do filtro de
consulta que bloqueia consultas DNS de domínios mal-intencionados conhecidos, o que
impede que o DNS responde a consultas desses domínios. Como nenhuma resposta é
enviada do servidor DNS, a consulta DNS do membro do domínio mal-intencionado
chega ao tempo.
Outro exemplo é criar um filtro de consulta Lista de Permitir que permita que apenas
um conjunto específico de clientes resolva determinados nomes.
Nome Descrição
Sub-rede do cliente Nome de uma sub-rede de cliente predefinida. Usado para verificar a
sub-rede da qual a consulta foi enviada.
Tipo de consulta Tipo de registro que está sendo consultado (A, SRV, TXT etc.).
Os exemplos a seguir mostram como criar filtros para a política DNS que bloqueiam ou
permitem consultas de resolução de nomes DNS.
7 Observação
A política configurada neste exemplo não é criada em nenhuma zona específica– em vez
disso, você cria uma Política de Nível de Servidor que é aplicada a todas as zonas
configuradas no servidor DNS. As Políticas de Nível de Servidor são as primeiras a serem
avaliadas e, portanto, primeiro a serem corresponder quando uma consulta é recebida
pelo servidor DNS.
"EQ,*.contosomalicious.com" -PassThru
7 Observação
Quando você configura o parâmetro Action com o valor IGNORE, o servidor DNS é
configurado para soltar consultas sem resposta. Isso faz com que o cliente DNS no
domínio mal-intencionado es time-out.
Bloquear consultas de uma sub-rede
Com este exemplo, você poderá bloquear consultas de uma sub-rede se for
considerado infectado por algum malware e estiver tentando entrar em contato com
sites mal-intencionados usando seu servidor DNS.
PassThru
Por exemplo, se você tiver clientes externos consultando a interface do servidor DNS
164.8.1.1, somente determinados QTYPEs poderão ser consultados, enquanto outros
QTYPEs, como registros SRV ou TXT, que são usados por servidores internos para
resolução de nomes ou para fins de monitoramento.
Você pode criar milhares de políticas DNS de acordo com seus requisitos de
gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente –
sem reiniciar o servidor DNS – em consultas de entrada.
Usar a Política de DNS para
balanceamento de carga de aplicativo
Artigo • 21/12/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber como configurar a política DNS para executar o
balanceamento de carga do aplicativo.
Quando você tiver implantado várias instâncias de um aplicativo, poderá usar a política
DNS para equilibrar a carga de tráfego entre as diferentes instâncias do aplicativo,
alocando dinamicamente a carga de tráfego para o aplicativo.
Este exemplo usa uma empresa fictícia - Contoso Gift Services - que fornece serviços de
presente online e que tem um site chamado contosogiftservices.com.
O servidor Web de Seattle tem a melhor configuração de hardware e pode lidar com o
dobro de carga que os outros dois sites. Os Serviços de Presentes da Contoso querem o
tráfego de aplicativo direcionado da maneira a seguir.
Como o servidor Web de Seattle inclui mais recursos, metade dos clientes do
aplicativo são direcionados para este servidor
Um quarto dos clientes do aplicativo são direcionados para o datacenter Dallas, TX
Um quarto dos clientes do aplicativo são direcionados para Chicago, IL, datacenter
A ilustração a seguir ilustra esse cenário.
Assim, para cada quatro consultas que o servidor DNS recebe, ele responde com duas
respostas para Seattle e uma para Dallas e Chicago.
Você pode atenuar o efeito desse comportamento usando um valor TTL (time-to-live)
baixo para os registros DNS que devem ser balanceados por carga.
Um escopo de zona é uma instância exclusiva da zona. Uma zona DNS pode ter vários
escopos de zona, com cada escopo de zona contendo seu próprio conjunto de registros
DNS. O mesmo registro pode estar presente em vários escopos, com endereços IP
diferentes ou os mesmos endereços IP.
7 Observação
Por padrão, existe um escopo de zona nas zonas DNS. Esse escopo de zona tem o
mesmo nome que a zona e as operações DNS herdadas funcionam nesse escopo.
Você pode usar os comandos Windows PowerShell a seguir para criar escopos de zona.
PowerShell
Você pode usar os comandos Windows PowerShell a seguir para adicionar registros aos
escopos de zona.
PowerShell
Você pode usar os comandos Windows PowerShell a seguir para criar uma política DNS
que balancee o tráfego do aplicativo entre esses três datacenters.
7 Observação
PowerShell
Agora você criou com êxito uma política DNS que fornece balanceamento de carga do
aplicativo entre servidores Web em três datacenters diferentes.
Você pode criar milhares de políticas DNS de acordo com seus requisitos de
gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente - sem
reiniciar o servidor DNS - em consultas de entrada.
Usar a Política de DNS para
balanceamento de aplicativo com
reconhecimento de localização
geográfica
Artigo • 21/12/2022 • 5 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber como configurar a política DNS para balancear a
carga de um aplicativo com reconhecimento de localização geográfica.
O tópico anterior neste guia, Usar política DNS para balanceamento de carga de
aplicativos, usa um exemplo de uma empresa fictícia – Contoso Gift Services – que
fornece serviços de presentes online e que tem um site chamado
contosogiftservices.com. O Contoso Gift Services balanceia a carga de seu aplicativo
Web online entre servidores em datacenters da América do Norte localizados em
Seattle, WA, Chicago, IL e Dallas, TX.
7 Observação
É recomendável que você se familiarize com o tópico Usar Política DNS para
Balanceamento de Carga de Aplicativo antes de executar as instruções neste
cenário.
Este tópico usa a mesma infraestrutura fictícia de rede e empresa como base para uma
nova implantação de exemplo que inclui reconhecimento de localização geográfica.
Neste exemplo, os Serviços de Presentes da Contoso estão expandindo com êxito sua
presença em todo o mundo.
Nas próximas seções, você pode aprender a atingir metas semelhantes às dos
Administradores dns da Contoso em sua própria rede.
) Importante
Você pode obter essas informações de mapas geo-IP. Com base nessas distribuições
geo-IP, você deve criar as sub-redes do cliente DNS.
Uma sub-rede de cliente DNS é um grupo lógico de sub-redes IPv4 ou IPv6 das quais as
consultas são enviadas a um servidor DNS.
Você pode usar os comandos Windows PowerShell a seguir para criar sub-redes de
cliente DNS.
PowerShell
Um escopo de zona é uma instância exclusiva da zona. Uma zona DNS pode ter vários
escopos de zona, com cada escopo de zona contendo seu próprio conjunto de registros
DNS. O mesmo registro pode estar presente em vários escopos, com endereços IP
diferentes ou os mesmos endereços IP.
7 Observação
Por padrão, existe um escopo de zona nas zonas DNS. Esse escopo de zona tem o
mesmo nome que a zona e as operações dns herddas funcionam nesse escopo.
Com os comandos abaixo, você pode criar mais dois escopos de zona, um para os
datacenters Dublin e Amsterdã.
Você pode adicionar esses escopos de zona sem nenhuma alteração aos três escopos
América do Norte zona existentes na mesma zona. Além disso, depois de criar esses
escopos de zona, você não precisa reiniciar o servidor DNS.
Você pode usar os comandos Windows PowerShell a seguir para criar escopos de zona.
PowerShell
PowerShell
Você pode usar os comandos Windows PowerShell a seguir para implementar essas
políticas DNS.
PowerShell
Agora você criou com êxito uma política DNS que fornece balanceamento de carga de
aplicativo entre servidores Web localizados em cinco datacenters diferentes em vários
continentes.
Você pode criar milhares de políticas DNS de acordo com seus requisitos de
gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente –
sem reiniciar o servidor DNS – em consultas de entrada.
Solução de problemas do DNS (Sistema
de Nomes de Domínio)
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Coleta de dados
Recomendamos que você colete dados simultaneamente nos lados do cliente e do
servidor quando o problema ocorrer. No entanto, dependendo do problema real, você
pode iniciar sua coleção em um único conjunto de dados no cliente DNS ou no servidor
DNS.
cmd
cmd
ipconfig /flushdns
3. Reproduza o problema.
Verificar configuração de IP
1. Abra uma janela de prompt de comando como administrador no computador
cliente.
cmd
ipconfig /all
Se o cliente não tiver uma configuração de TCP/IP válida, use um dos seguintes
métodos:
Teste de ping
Verifique se o cliente pode contatar um servidor DNS preferencial (ou alternativo) ao
executar ping no servidor DNS preferencial por seu endereço IP.
Por exemplo, se o cliente usar um servidor DNS preferencial de 10.0.0.1, execute este
comando em um prompt de comando:
cmd
ping 10.0.0.1
Se nenhum servidor DNS configurado responder a um ping direto de seu endereço IP,
isso indica que a origem do problema é mais provável que a conectividade de rede
entre o cliente e os servidores DNS. Se esse for o caso, siga as etapas básicas de solução
de problemas de rede TCP/IP para corrigir o problema. Tenha em mente que o tráfego
ICMP deve ser permitido por meio do firewall para que o comando ping funcione.
Testar um cliente
cmd
nslookup <client>
Por exemplo, se o computador cliente for chamado de CLIENT1, execute este comando:
cmd
nslookup client1
Se uma resposta bem-sucedida não for retornada, tente executar o seguinte comando:
cmd
nslookup client1.corp.contoso.com.
7 Observação
se Windows encontrar com êxito o FQDN, mas não encontrar o nome curto, verifique a
configuração do sufixo dns na guia DNS do Configurações TCP/IP avançado da NIC.
Para obter mais informações, consulte Configuring DNS Resolution.
cmd
Por exemplo, se o servidor DNS for denominado DC1, execute este comando:
cmd
nslookup dc1
Se os testes anteriores tiverem sido bem-sucedidos, esse teste também deverá ser bem-
sucedido. Se esse teste não for bem-sucedido, verifique a conectividade com o servidor
DNS.
cmd
cmd
nslookup app1.corp.contoso.com
cmd
Por exemplo:
cmd
nslookup bing.com
Próxima etapa
Se a resolução de nomes ainda estiver falhando, vá para a seção Solucionando
problemas de servidores DNS .
Solução de problemas de servidores
DNS
Artigo • 21/12/2022 • 9 minutos para o fim da leitura
Verificar a configuração de IP
1. Execute ipconfig /all em um prompt de comando e verifique o endereço IP, a
máscara de sub-rede e o gateway padrão.
2. Verifique se o servidor DNS é autoritativo para o nome que está sendo pesquisado.
Nesse caso, consulte Verificando se há problemas com dados autoritativos.
cmd
Por exemplo:
cmd
Se você receber uma falha ou uma resposta de tempo limite, consulte Verificando
problemas de recursão.
4. Libere o cache do resolvedor. Para fazer isso, execute o seguinte comando em uma
janela administrativa do Prompt de Comando:
cmd
dnscmd /clearcache
Clear-DnsServerCache
5. Repita a etapa 3.
Log de eventos
Verifique os seguintes logs para ver se há erros registrados:
Aplicativo
Sistema
Servidor DNS
cmd
cmd
Em casos raros, o servidor DNS pode ter uma configuração avançada de segurança ou
firewall. Se o servidor estiver localizado em outra rede que só pode ser acessada por
meio de um host intermediário (como um roteador de filtragem de pacotes ou um
servidor proxy), o servidor DNS poderá usar uma porta não padrão para escutar e
receber solicitações de cliente. Por padrão, o nslookup envia consultas para servidores
DNS na porta UDP 53. Portanto, se o servidor DNS usar qualquer outra porta, as
consultas nslookup falharão. Se você acha que esse pode ser o problema, verifique se
um filtro intermediário é usado intencionalmente para bloquear o tráfego em portas
DNS conhecidas. Se não for, tente modificar os filtros de pacote ou as regras de porta
no firewall para permitir o tráfego na porta UDP/TCP 53.
cmd
Inicie a solução de problemas no servidor que foi usado em sua consulta original.
Verifique se esse servidor encaminha consultas para outro servidor examinando a guia
Encaminhadores nas propriedades do servidor no console DNS. Se a caixa de seleção
Habilitar encaminhadores estiver marcada e um ou mais servidores estiverem listados,
esse servidor encaminhará as consultas.
Se o servidor estiver íntegro e puder encaminhar consultas, repita esta etapa e examine
o servidor para o qual esse servidor encaminha consultas.
Se esse servidor não encaminhar consultas para outro servidor, teste se esse servidor
pode consultar um servidor raiz. Para fazer isso, execute o seguinte comando:
cmd
nslookup
set q=NS
cmd
nslookup
set norecursion
<FQDN>
7 Observação
2. Se a resposta incluir uma lista de registros de recursos "NS" e "A" para servidores
delegados, repita a etapa 1 para cada servidor e use o endereço IP dos registros de
recurso "A" como o endereço IP do servidor.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para uma breve visão geral do DHCP Windows Server 2016.
7 Observação
Novidades no DHCP
Implantar o DHCP usando Windows PowerShell
Windows Server 2016 inclui o Servidor DHCP, que é uma função de servidor de rede
opcional que você pode implantar em sua rede para concessão de endereços IP e outras
informações para clientes DHCP. Todos Windows sistemas operacionais cliente
baseados em Windows incluem o cliente DHCP como parte do TCP/IP e o cliente DHCP
está habilitado por padrão.
Um cliente habilitado para DHCP, após aceitar uma oferta de concessão, recebe:
Opções DHCP solicitadas, que são parâmetros adicionais que um servidor DHCP
está configurado para atribuir aos clientes. Alguns exemplos de opções de DHCP
são Roteador (gateway padrão), Servidores DNS e Nome de Domínio DNS.
Benefícios do DHCP
O DHCP oferece os seguintes benefícios.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
O DHCP é um padrão IETF (Internet Engineering Task Force) projetado para reduzir a
carga administrativa e a complexidade da configuração de hosts em uma rede baseada
em TCP/IP, por exemplo, uma intranet privada. Usando o serviço de servidor DHCP, o
processo de configuração de TCP/IP em clientes DHCP é automático.
além disso, o nome tradicional do fornecedor do cliente foi atualizado para alguns
dispositivos baseados em Windows. Esse valor costumava ser simplesmente MSFT 5,0.
Alguns dispositivos agora aparecerão como MSFT 5,0 XBOX.
Para obter mais informações, consulte eventos de log do DHCP para registros de
registro DNS.
o suporte a NAP foi introduzido na função de servidor DHCP com o Windows Server
2008 e tem suporte em Windows sistemas operacionais de cliente e servidor antes de
Windows 10 e Windows Server 2016. a tabela a seguir resume o suporte para NAP no
Windows Server.
no Windows Server 2016, os servidores dhcp não impõem políticas NAP e os escopos
dhcp não podem ser habilitados para NAP. Os computadores cliente DHCP que também
são clientes NAP enviam uma SoH (declaração de integridade) com a solicitação DHCP.
se o servidor DHCP estiver em execução Windows Server 2016, essas solicitações serão
processadas como se nenhuma SoH estiver presente. O servidor DHCP concede uma
concessão DHCP normal ao cliente.
se servidores que estão executando Windows Server 2016 são proxies RADIUS que
encaminham solicitações de autenticação para um servidor de diretivas de rede (NPS)
que dá suporte a nap, esses clientes NAP são avaliados pelo NPS como sem capacidade
de nap e o processamento de NAP falha.
Referências adicionais
Protocolo DHCP
Opções de seleção de sub-rede DHCP
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para obter informações sobre as novas opções de seleção
de sub-rede do DHCP.
O DHCP agora dá suporte à opção 82 (subopção 5). Você pode usar essas opções para
permitir que clientes proxy DHCP e agentes de retransmissão solicitem um endereço IP
para uma sub-rede específica e de um intervalo de endereços IP e escopo específicos.
Para obter mais detalhes, confira a opção 82 sub Option 5: RFC 3527 link Selection
suboption para a opção de informações do agente de retransmissão para o DHCPv4 .
1. Para informar ao servidor DHCP sobre a sub-rede na qual o cliente DHCP que está
solicitando a concessão de endereço IP reside.
2. Para informar o servidor DHCP do endereço IP a ser usado para se comunicar com
o agente de retransmissão.
A opção de seleção de link da opção 82 é útil nessa situação, permitindo que o agente
de retransmissão declare explicitamente a sub-rede da qual deseja o endereço IP
alocado na forma de DHCP v4 Option 82 sub Option 5.
7 Observação
Um escopo especial pode ser criado para "autorizar" agentes de retransmissão. Crie
um escopo com o GIADDR (ou vários se os GIADDR forem endereços IP
sequenciais), exclua os endereços GIADDR da distribuição e, em seguida, ative o
escopo. Isso autorizará os agentes de retransmissão ao impedir que os endereços
GIADDR sejam atribuídos.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Em muitos casos, o motivo para falhas de registro de registro DNS por servidores
DHCP é que uma Zona Reverse-Lookup DNS está configurada incorretamente ou
não está configurada.
ID Evento Valor
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este guia fornece instruções sobre como usar Windows PowerShell para implantar um
servidor DHCP (Protocolo de Protocolo de Internet) versão 4 que atribui
automaticamente endereços IP e opções DHCP a clientes DHCP IPv4 conectados a uma
ou mais sub-redes em sua rede.
7 Observação
Você pode implantar seu servidor DHCP em um grupo de trabalho como um servidor
autônomo ou como parte de um domínio do Active Directory.
O DHCP permite que você use um servidor DHCP para atribuir dinamicamente um
endereço IP a um computador ou outro dispositivo, como uma impressora, em sua rede
local, em vez de configurar manualmente todos os dispositivos com um endereço IP
estático.
Uma base para obter acesso a serviços globais de Internet, como servidores FTP
(Protocolo de Transferência de Arquivos e Web).
O TCP/IP oferece utilitários TCP/IP básicos que permitem que computadores baseados
no Windows se conectem e compartilhem informações com outros sistemas Microsoft e
não Microsoft, incluindo:
Windows 10
Windows Server 2012 R2
Windows 8.1
Windows 8
Windows 7
Windows Vista
Hosts da Internet
Mainframes IBM
Tablets e telefones celulares com ethernet com fio ou tecnologia 802.11 sem fio
habilitada
Valores de duração da concessão, que são atribuídos aos clientes DHCP que
recebem endereços IP alocados dinamicamente.
As reservas são opcionalmente usadas para garantir que um cliente DHCP sempre
receba o mesmo endereço IP.
Para resolver esse problema, você pode criar um intervalo de exclusão para o escopo
DHCP. Um intervalo de exclusão é um intervalo contíguo de endereços IP dentro do
intervalo de endereços IP do escopo que o servidor DHCP não tem permissão para usar.
Se você criar um intervalo de exclusão, o servidor DHCP não atribuirá os endereços
nesse intervalo, permitindo que você atribua manualmente esses endereços sem criar
um conflito de endereços IP.
Você pode excluir endereços IP da distribuição pelo servidor DHCP, criando um intervalo
de exclusão para cada escopo. Use as exclusões para todos os dispositivos configurados
com um endereço IP estático. Os endereços excluídos devem incluir todos os endereços
IP que você atribuiu manualmente a outros servidores, clientes não-DHCP, estações de
trabalho sem disco ou clientes de Roteamento, Acesso Remoto e PPP.
Recomendamos que você configure o intervalo de exclusão com endereços extras para
acomodar o crescimento futuro da rede. A tabela a seguir fornece um intervalo de
exclusão de exemplo para um escopo com um intervalo de endereços IP 10.0.0.1 a
10.0.0.254 e uma máscara de sub-rede de 255.255.255.0.
Neste exemplo, você usa dez dos endereços IP excluídos para configurar servidores e
outros dispositivos com endereços IP estáticos e cinco endereços IP adicionais ficam
disponíveis para uma configuração estática de novos dispositivos que você possa
desejar adicionar no futuro. Com este intervalo de exclusão, o servidor DHCP fica com
um pool de endereços de 192.168.0.16 até 192.168.0.254.
1. Nome do escopo
2. 10.0.0.1
2. Endereço IP inicial
3. 10.0.0.254
3. Endereço IP final
4. 255.255.255.0
4. Máscara de Sub-rede
5. 10.0.0.1
7 Observação
Se você não quiser implantar o DHCP em um laboratório de teste, pode pular para
a seção Implantar DHCP.
Os requisitos para seu laboratório diferem dependendo se você está usando servidores
físicos ou VMs (máquinas virtuais) e se você está usando um domínio do Active
Directory ou implantando um servidor DHCP autônomo.
Implantação de domínio
Implantação de domínio
7 Observação
Se você não tiver computadores de teste suficientes para essa implantação, poderá
usar um computador de teste para AD DS e DHCP , no entanto, essa configuração
não é recomendada para um ambiente de produção.
Implantar DHCP
Esta seção fornece comandos de Windows PowerShell de exemplo que você pode usar
para implantar o DHCP em um servidor. Antes de executar esses comandos de exemplo
no servidor, você deve modificar os comandos para corresponder à rede e ao ambiente.
Por exemplo, antes de executar os comandos, você deve substituir valores de exemplo
nos comandos para os seguintes itens:
Nomes de computadores
Intervalo de endereços IP para cada escopo que você deseja configurar (1 escopo
por sub-rede)
Máscara de sub-rede para cada intervalo de endereços IP que você deseja
configurar
Nome do escopo para cada escopo
Intervalo de exclusão para cada escopo
Valores de opção DHCP, como gateway padrão, nome de domínio e servidores
DNS ou WINS
Nomes de interface
) Importante
Para obter mais informações, consulte a seção Criar um Comutador Virtual com o
Gerenciador do Hyper-V no tópico Criar uma rede virtual.
Você pode usar os comandos a seguir para atribuir um endereço IP estático ao servidor
DHCP e configurar as propriedades TCP/IP do servidor DHCP com o endereço IP correto
do servidor DNS. Você também deve substituir os nomes de interface e os endereços IP
neste exemplo pelos valores que deseja usar para configurar o seu computador.
New-NetIPAddress -IPAddress 10.0.0.3 -InterfaceAlias "Ethernet" -
DefaultGateway 10.0.0.1 -AddressFamily IPv4 -PrefixLength 24
Para obter mais informações sobre esses comandos, consulte os tópicos a seguir.
New-NetIPAddress
Set-DnsClientServerAddress
Renomear o computador
Restart-Computer
Para obter mais informações sobre esses comandos, consulte os tópicos a seguir.
Rename-Computer
Restart-Computer
Add-Computer CORP
Quando solicitado, digite as credenciais de uma conta de usuário de domínio que tenha
permissão para ingressar um computador no domínio.
Restart-Computer
Instalar o DHCP
Depois que o computador for reiniciado, abra Windows PowerShell com privilégios de
Administrador e instale o DHCP executando o comando a seguir.
Para obter mais informações sobre esse comando, consulte o tópico a seguir.
Install-WindowsFeature
Restart-Service dhcpserver
Para obter mais informações sobre esses comandos, consulte os tópicos a seguir.
7 Observação
Você pode usar o comando a seguir para adicionar o servidor DHCP à lista de servidores
DHCP autorizados no Active Directory.
7 Observação
Para verificar se o servidor DHCP está autorizado no Active Directory, você pode usar o
comando a seguir.
Get-DhcpServerInDC
IPAddress DnsName
--------- -------
10.0.0.3 DHCP1.corp.contoso.com
Para obter mais informações sobre esses comandos, consulte os tópicos a seguir.
Add-DhcpServerInDC
Get-DhcpServerInDC
Notifique Gerenciador do Servidor que a configuração de
DHCP pós-instalação está concluída (opcional)
Depois de concluir tarefas pós-instalação, como criar grupos de segurança e autorizar o
servidor DHCP no Active Directory, Gerenciador do Servidor ainda poderá exibir um
alerta na interface do usuário informando que as etapas pós-instalação devem ser
concluídas usando o assistente de Configuração de Pós-Instalação DHCP.
Você pode impedir que essa mensagem agora desnecessária e imprecisa apareça em
Gerenciador do Servidor configurando a seguinte chave do Registro usando este
comando Windows PowerShell.
Set-ItemProperty –Path
registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManager\Roles\12 –Name
ConfigurationState –Value 2
Para obter mais informações sobre esse comando, consulte o tópico a seguir.
Set-ItemProperty
Você pode usar o comando a seguir para configurar as credenciais que o servidor DHCP
usa para registrar ou cancelar o registro de registros de cliente em um servidor DNS.
Este exemplo salva uma credencial em um servidor DHCP. O primeiro comando usa Get-
Credential para criar um objeto PSCredential e armazena o objeto na variável
$Credential . O comando solicita o nome de usuário e a senha, portanto, certifique-se
de fornecer credenciais para uma conta que tenha permissão para atualizar registros de
recursos no servidor DNS.
$Credential = Get-Credential
Para obter mais informações sobre esses comandos, consulte os tópicos a seguir.
Set-DhcpServerv4DnsSetting
Set-DhcpServerDnsCredential
Para obter mais informações sobre esses comandos, consulte os tópicos a seguir.
Add-DhcpServerv4Scope
Add-DhcpServerv4ExclusionRange
Set-DhcpServerv4OptionValue
Se você tiver sub-redes adicionais que são atendidas por esse servidor DHCP, poderá
repetir esses comandos, usando valores diferentes para todos os parâmetros de
comando, para adicionar escopos para cada sub-rede.
) Importante
Verifique se todos os roteadores entre seus clientes DHCP e seu servidor DHCP
estão configurados para encaminhamento de mensagens DHCP. Consulte a
documentação do roteador para obter informações sobre como configurar o
encaminhamento DHCP.
7 Observação
Você não pode usar comandos Windows Server 2016 no Windows Server 2012 R2.
Módulo DhcpServer
7 Observação
Você pode usar Windows Server 2012 comandos R2 em Windows Server 2016.
Restart-Computer
Add-Computer CORP
Restart-Computer
Restart-Service dhcpserver
Get-DhcpServerInDC
Set-ItemProperty –Path
registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManager\Roles\12 –Name
ConfigurationState –Value 2
$Credential = Get-Credential
Mais informações
O procedimento para atribuição de endereço IPv4 geralmente envolve três
componentes principais:
Uma comunicação de cliente para servidor DHCP consiste em três tipos de interação
entre os dois pares:
O cliente DHCP envia uma solicitação de difusão dhcp discover para todos os
servidores DHCP disponíveis dentro do intervalo.
Se um Microsoft cliente DHCP não receber um endereço DHCP IPv4 válido, o cliente
provavelmente estará configurado para usar um endereço APIPA. Para obter mais
informações, consulte o seguinte artigo da Base de Dados de Conhecimento: 220874
Como usar o endereçamento TCP/IP automático sem um servidor DHCP
Toda a comunicação é feita nas portas UDP 67 e 68. Para obter mais informações,
consulte o seguinte artigo da Base de Dados de Conhecimento: 169289 noções
básicas do DHCP (Dynamic Host Configuration Protocol).
Noções básicas do DHCP (Dynamic Host
Configuration Protocol)
Artigo • 21/12/2022 • 15 minutos para o fim da leitura
O protocolo DHCP é um protocolo padrão definido pelo RFC 1541 (que é superado pelo
RFC 2131) que permite que um servidor distribua dinamicamente informações de
endereçamento IP e configuração para clientes. Normalmente, o servidor DHCP fornece
ao cliente pelo menos essas informações básicas:
Endereço IP
Máscara de Sub-rede
Mais informações
Os seguintes produtos da Microsoft fornecem a funcionalidade do cliente DHCP:
Windows 95
Microsoft TCP/IP-32 para Windows para Grupos de Trabalho versões 3.11, 3.11a e
3.11b
Clientes DHCP diferentes são suportados por diferentes opções que podem receber do
servidor DHCP.
Quando um cliente é inicializado pela primeira vez depois de configurado para receber
informações de DHCP, ele inicia uma conversa com o servidor.
Veja abaixo uma tabela de resumo da conversa entre o cliente e o servidor, que é
seguida por uma descrição no nível do pacote do processo:
-----------------------------------------------------------------
DHCPDISCOVER
O cliente envia um pacote DHCPDISCOVER. Veja a seguir um trecho de uma captura de
monitor de rede mostrando as partes IP e DHCP de um pacote DHCPDISCOVER. Na
seção IP, você pode ver que o Endereço de destino é 255.255.255.255 e o endereço de
origem é 0.0.0.0. A seção DHCP identifica o pacote como um pacote Discover e
identifica o cliente em dois locais usando o endereço físico da placa de rede. Observe
que os valores no campo LTDDR e no campo DHCP: Identificador de Cliente são
idênticos.
DHCPOFFER
O servidor DHCP responde enviando um pacote DHCPOFFER. Na seção IP do trecho de
captura abaixo, o Endereço de origem agora é o endereço IP do servidor DHCP e o
Endereço de destino é o endereço de difusão 255.255.255.255.255. A seção DHCP
identifica o pacote como uma Oferta. O campo LTDADDR é preenchido com o endereço
IP que o servidor está oferecendo ao cliente. Observe que o campo LTDDR ainda
contém o endereço físico do cliente solicitante. Além disso, vemos na seção Campo de
Opção DHCP as várias opções que estão sendo enviadas pelo servidor junto com o
endereço IP. Nesse caso, o servidor está enviando a Máscara de Sub-rede, o Gateway
Padrão (Roteador), o Tempo de Concessão, o endereço do servidor WINS (Serviço de
Nome NetBIOS) e o Tipo de Nó NetBIOS.
IP: ID = 0x3C30; Proto = UDP; Len: 328
DHCPREQUEST
O cliente responde ao DHCPOFFER enviando um DHCPREQUEST. Na seção IP da
captura abaixo, o endereço de origem do cliente ainda é 0.0.0.0 e o Destino do pacote
ainda é 255.255.255.255.255. O cliente retém 0.0.0.0 porque o cliente não recebeu a
verificação do servidor de que não há problema em começar a usar o endereço
oferecido. O Destino ainda é transmitido, porque mais de um servidor DHCP pode ter
respondido e estar mantendo uma reserva para uma Oferta feita ao cliente. Isso permite
que esses outros servidores DHCP saibam que podem liberar seus endereços oferecidos
e devolvê-los aos pools disponíveis. A seção DHCP identifica o pacote como uma
Solicitação e verifica o endereço oferecido usando o campo DHCP: Endereço Solicitado.
O campo DHCP: Identificador de Servidor mostra o endereço IP do servidor DHCP que
oferece a concessão.
DHCPACK
O servidor DHCP responde ao DHCPREQUEST com um DHCPACK, concluindo assim o
ciclo de inicialização. O endereço de origem é o endereço IP do servidor DHCP e o
Endereço de destino ainda é 255.255.255.255. O campo LTDADDR contém o endereço
do cliente e os campos DEDDD e DHCP: Identificador do Cliente são o endereço físico
da placa de rede no cliente solicitante. A seção Opção DHCP identifica o pacote como
um ACK.
Referências
Para obter mais informações sobre o DHCP, consulte RFC1541 e RFC2131. RfCs podem
ser obtidos por meio da Internet em vários sites, por exemplo: http://www.rfc-
editor.org/ e http://www.tech-nic.qc.ca/
Diretrizes gerais para solucionar
problemas do DHCP
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Antes de começar a solucionar problemas, verifique os itens a seguir. Eles podem ajudá-
lo a encontrar a causa raiz do problema.
Lista de verificação
Quando começou o problema?
Há mensagens de erro?
Mais informações
) Importante
Siga as etapas nesta seção com cuidado. Problemas sérios podem ocorrer se você
modificar o Registro incorretamente. Antes de modificá-lo, faça backup do
Registro para a restauração em caso de problemas.
Depois que o adaptador de rede tiver sido atribuído um endereço IP, o computador
poderá usar TCP/IP para se comunicar com qualquer outro computador que esteja
conectado à mesma LAN e que também esteja configurado para APIPA ou que tenha o
endereço IP definido manualmente como 169.254. x. y (em que x. y é o intervalo de
endereços do cliente) com uma máscara de sub-rede de 255.255.0.0. Observe que o
computador não pode se comunicar com computadores em outras sub-redes ou com
computadores que não usam o endereçamento IP privado automático. O
endereçamento IP privado automático é habilitado por padrão.
Talvez você queira desabilitá-lo em qualquer um dos seguintes casos:
Observe que você deve reiniciar o computador para que a alteração entre em vigor.
você também pode determinar se o computador está usando o APIPA usando a
ferramenta Winipcfg no Windows Millennium edition, Windows 98 ou Windows 98
Second edition:
Clique em Iniciar, executar, digite "winipcfg" (sem as aspas) e, em seguida, clique em OK.
Clique em mais informações. Se a caixa endereço de configuração automática de IP
contiver um endereço IP dentro do intervalo 169.254. x. x, o endereçamento IP privado
automático será habilitado. Se a caixa de endereço IP existir, o endereçamento IP
privado automático não estará habilitado no momento.
para Windows 2000, Windows
XP ou Windows Server 2003, você pode determinar se o computador está usando o
APIPA usando o comando IPconfig em um prompt de comando:
Clique em Iniciar, executar, digite "cmd" (sem as aspas) e clique em OK para abrir uma
janela de linha de comando do MS-DOS. Digite "ipconfig/all" (sem as aspas) e, em
seguida, pressione a tecla ENTER. Se a linha ' autoconfiguração habilitada ' disser "Sim"
e o ' endereço IP de configuração automática ' for 169.254. x. y (em que x. y é o
identificador exclusivo do cliente), o computador estará usando APIPA. Se a linha '
autoconfiguração habilitada ' disser "não", o computador não está usando APIPA no
momento.
Você pode desabilitar o endereçamento IP privado automático usando
qualquer um dos métodos a seguir.
7 Observação
Este artigo discute como solucionar problemas que ocorrem em clientes DHCP.
A filtragem de MAC está habilitada nos comutadores aos quais o cliente está
conectado.
O serviço cliente DHCP é iniciado e está em execução. Para verificar isso, execute o
comando net start e procure o cliente DHCP.
Logs de eventos
Examine os logs de eventos do cliente Microsoft-Windows-DHCP/Eventos operacionais
e do cliente Microsoft-Windows-DHCP/Administração. Todos os eventos relacionados
ao serviço cliente DHCP são enviados para esses logs de eventos.
Os Eventos do Cliente
Microsoft-Windows-DHCP estão localizados no Visualizador de Eventos em Logs de
Aplicativos e Serviços.
Coleta de dados
Recomendamos que você colete dados simultaneamente no lado do cliente DHCP e do
servidor quando o problema ocorrer. No entanto, dependendo do problema real, você
também pode iniciar sua investigação usando um único conjunto de dados no cliente
DHCP ou no servidor DHCP.
Para coletar dados do servidor e do cliente afetado, use Wireshark . Comece a coletar
ao mesmo tempo no cliente DHCP e nos computadores do servidor DHCP.
Console
ipconfig /release
ipconfig /renew
Este artigo discute como solucionar problemas que ocorrem no servidor DHCP.
Verifique se algum dispositivo na rede tem endereços IP estáticos que não foram
excluídos do escopo do DHCP.
Logs de eventos
Verifique os logs de eventos de serviço do Sistema e do Servidor DHCP (Logs de
Aplicativos e Serviços>Microsoft>Windows>DHCP-Server) para obter problemas
relatados relacionados ao problema observado.
Dependendo do tipo de problema, um
evento é registrado em um dos seguintes canais de evento: Eventos Operacionais do
Servidor DHCP Eventos Administrativos do Servidor DHCP Eventos do Sistema dhcp
eventos de notificação de filtro de servidor DHCP Eventos de auditoria do servidor
DHCP
Coleta de dados
Rastreamento de rede
Um rastreamento de rede correlacionado pode indicar o que o servidor DHCP estava
fazendo no momento em que o evento foi registrado. Para criar esse rastreamento, siga
estas etapas:
2. Copie o arquivo Tss_tools.zip e expanda-o para um local no disco local, como para
a pasta C:\tools.
Console
7 Observação
aplica-se a: Windows server 2022, Windows server 2019, Windows Server 2016,
Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1
Métodos de autenticação
Este tópico contém informações específicas sobre configuração dos seguintes métodos
de autenticação em EAP. Observe que os métodos de autenticação EAP usados em
métodos EAP encapsulados são comumente conhecidos como métodos internos ou
tipos de EAP.
EAP-MS-CHAP v2 de senha segura é um tipo de EAP que pode ser usado com o
PEAP para autenticação de rede baseada em senha. O EAP-MsCHAP V2 também
pode ser usado como um método autônomo para VPN, mas somente como um
método interno de PEAP para sem fio.
Ao configurar as extensões das Políticas de Rede com Fio (IEEE 802.3) e das
Políticas de Rede sem Fio (IEEE 802.11) na Política de Grupo.
Você pode acessar as propriedades do EAP para conexões VPN das seguintes formas:
Por padrão, você pode definir configurações do EAP para os seguintes métodos de
autenticação para acesso com fio autenticado 802.1X, acesso sem fio autenticado
802.1X e VPN:
Além disso, o método de autenticação de rede MS-CHAP-V2 está disponível para VPN
por padrão.
) Importante
Padrões:
Se você tiver uma infraestrutura de chave pública (PKI) na sua rede e tiver usado uma
autoridade de certificação para emitir certificados para os servidores RADIUS, seu
certificado da autoridade de certificação será automaticamente adicionado à lista de
autoridades de certificação raiz confiáveis.
Você também pode comprar um certificado de uma autoridade de certificação que não
seja da Microsoft. Algumas das autoridades de certificação raiz confiáveis que não são
da Microsoft fornecem softwares com os certificados comprados que instalam
automaticamente o certificado no repositório de certificados Autoridades de
Certificação Raiz Confiáveis. Nesse caso, a autoridade de certificação raiz confiável
aparece automaticamente na lista de autoridades de certificação raiz confiáveis.
7 Observação
Configurar
Esse item fornece acesso às configurações de propriedade para o tipo de EAP
especificado.
Para conexões VPN, a Reconexão Rápida usa a tecnologia IKEv2 para fornecer
conectividade VPN contínua e consistente quando os usuários perdem
temporariamente a conexão com a Internet. Os usuários que se conectam usando
banda larga móvel sem fio terão mais benefícios com esse recurso.
Toda vez que o trem passa por um túnel, a conexão com a Internet é perdida. Quando o
trem está fora do túnel, a placa de banda larga móvel sem fio reconecta-se
automaticamente à Internet.
Padrão = habilitado
Padrões:
Padrões:
Padrões:
Padrões:
Avançado
Esse item abre a caixa de diálogo Configurar Seleção de Certificado. Para obter mais
informações sobre Configurar Seleção de Certificado, consulte Configurar novos itens
de configuração de seleção de certificado.
Padrão = habilitado
Padrões:
Com fio e sem fio = não habilitado
VPN = habilitado
Se você tiver uma infraestrutura de chave pública (PKI) na sua rede e tiver usado uma
autoridade de certificação para emitir certificados para os servidores RADIUS, seu
certificado da autoridade de certificação será automaticamente adicionado à lista de
autoridades de certificação raiz confiáveis.
Você também pode comprar um certificado de uma autoridade de certificação que não
seja da Microsoft. Algumas das autoridades de certificação raiz confiáveis que não são
da Microsoft fornecem softwares com os certificados comprados que instalam
automaticamente o certificado no repositório de certificados Autoridades de
Certificação Raiz Confiáveis. Nesse caso, a autoridade de certificação raiz confiável
aparece automaticamente na lista de autoridades de certificação raiz confiáveis. Mesmo
que nenhuma autoridade de certificação raiz confiável esteja selecionada, o cliente
verificará se o certificado do servidor RADIUS foi emitido por uma autoridade de
certificação raiz confiável.
7 Observação
Exibir certificado
Esse item permite que você veja as propriedades do certificado selecionado.
Emissor do certificado
Este item especifica se a filtragem do Emissor do Certificado está habilitada.
ListaEmissor do Certificado
Usada para especificar um ou vários emissores para os certificados.
A lista final de certificados permitidos para autenticação contém apenas aqueles que
foram emitidos por um dos emissores selecionados nesta lista.
Todas as Finalidades
Quando selecionado, esse item especifica que os certificados que têm o EKU de Todas
as Finalidades são considerados certificados válidos para fins de autenticação do cliente
para o servidor.
Qualquer Finalidade
Quando selecionado, esse item especifica que todos os certificados com EKU de
Qualquer Finalidade e a lista especificada de EKUs são considerados certificados válidos
para fins de autenticação do cliente para o servidor.
Adicionar
Este item abre a caixa de diálogo Selecionar EKUs, que permite adicionar EKUs padrão,
personalizadas ou específicas do fornecedor à lista Autenticação do Cliente ou
Qualquer Finalidade.
Remover
Esse item remove o EKU selecionado da lista Autenticação de Clienteou Qualquer
Finalidade.
Padrão = N/D
7 Observação
Selecionar EKUs
Você pode selecionar um EKU na lista fornecida ou adicionar um novo.
Item Detalhes
Adicionar Abre a caixa de diálogo Adicionar ou Editar EKU , que permite definir e adicionar
EKUs personalizadas. Em Selecione os EKUs da lista abaixo, selecione um EKU na lista
e clique em OK para adicionar o EKU à lista Autenticação de Cliente ou Qualquer
Finalidade.
Editar Abre a caixa de diálogo Adicionar ou Editar EKU e permite editar EKUs
personalizadas que você adicionou. Você não pode editar os EKUs padrão
predefinidos.
Insira Fornece um local para digitar o OID do EKU. Somente números, separadores e “.” são
o OID permitidos. É permitido inserir curingas. Nesse caso, todos os OIDs filhos na hierarquia
do são permitidos. Por exemplo, se você informar 1.3.6.1.4.1.311.*, serão permitidos
EKU 1.3.6.1.4.1.311.42 e 1.3.6.1.4.1.311.42.2.1
Esta seção lista os itens que podem ser configurados para EAP-TTLS.
Padrão = nenhum
Se você tiver uma infraestrutura de chave pública (PKI) na sua rede e tiver usado uma
autoridade de certificação para emitir certificados para os servidores RADIUS, seu
certificado da autoridade de certificação será automaticamente adicionado à lista de
autoridades de certificação raiz confiáveis. Se a opção for selecionada, seu certificado de
autoridade de certificação raiz será instalado em um computador cliente quando os
computadores forem associados ao domínio.
Você também pode comprar um certificado de uma autoridade de certificação que não
seja da Microsoft. Algumas das autoridades de certificação raiz confiáveis que não são
da Microsoft fornecem softwares com os certificados comprados que instalam
automaticamente o certificado no repositório de certificados Autoridades de
Certificação Raiz Confiáveis. Nesse caso, a autoridade de certificação raiz confiável
aparece automaticamente na lista de autoridades de certificação raiz confiáveis.
7 Observação
PAP
CHAP
MS-CHAP
MS-CHAP v2
Padrões:
Microsoft: MS-CHAP v2
MS-CHAP
MS-CHAP v2
7 Observação
Configurar
Abre a caixa de diálogo de propriedades do tipo EAP especificado. Para obter detalhes
sobre os tipos de EAP padrão, consulte Itens de configuração de propriedades de cartão
inteligente ou outros itens de configuração de propriedades de certificado ou Senha
segura (EAP-MSCHAP v2).
Item Descrição
Habilitar uso de Fornece um local para digitação do nome do realm. Se esse campo for
realms deixado em branco com Habilitar uso de realms selecionado, o realm será
derivado da IMSI (Identidade do Assinante Móvel Internacional) usando o
realm 3gpp.org, conforme descrito no Project 3GPP (3GPP) padrão 23.003
V6.8.0.
Item Descrição
Habilitar uso de Fornece um local para digitação do nome do realm. Se esse campo for
realms deixado em branco com Habilitar uso de realms selecionado, o realm será
derivado da IMSI (Identidade do Assinante Móvel Internacional) usando o
realm 3gpp.org, conforme descrito no Project 3GPP (3GPP) padrão 23.003
V6.8.0.
Item Descrição
Item Descrição
Habilitar uso de Fornece um local para digitação do nome do realm. Se esse campo for
realms deixado em branco com Habilitar uso de realms selecionado, o realm será
derivado da IMSI (Identidade do Assinante Móvel Internacional) usando o
realm 3gpp.org, conforme descrito no Project 3GPP (3GPP) padrão 23.003
V6.8.0.
Ignorar O cliente compara o nome da rede conhecido com o nome enviado pelo
incompatibilidade servidor RADIUS durante a autenticação. Se houver incompatibilidade, ela
de nome de rede será ignorada se essa opção estiver selecionada. Se não estiver selecionada,
haverá falha de autenticação.
Habilitar Especifica que a reautenticação rápida está habilitada. Esse recurso é útil
Reautenticação quando a autenticação SIM é realizada com frequência. As chaves de
Rápida criptografia derivadas da autenticação completa são reutilizadas. Como
resultado, o algoritmo SIM não precisa ser executado em cada tentativa de
autenticação, e o número de operações de rede resultantes das tentativas
frequentes de autenticação é reduzido.
Recursos adicionais
Para obter informações adicionais sobre configurações sem fio autenticadas no Política
de Grupo, consulte Gerenciando a nova rede sem fio (IEEE 802.11) Políticas
Configurações
Para obter informações adicionais sobre configurações com fio autenticadas no Política
de Grupo, consulte Gerenciando as políticas de nova rede com fio (IEEE 802.3)
Configurações
Para obter informações sobre configurações avançadas para acesso com fio autenticado
e acesso sem fio autenticado, consulte Advanced Security Settings for Wired and
Wireless Network Policies.
Rede de alto desempenho (HPN)
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
aplica-se a: Windows server 2022, Windows server 2019, Azure Stack HCI, versões
21H2 e 20H2
RSC no vSwitch
Tecnologias de descarregamento e
otimização de rede
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Azure Stack HCI, versões
21H2 e 20H2
4. Propriedades avançadas da NIC: você pode gerenciar NICs e todos os recursos por
meio Windows PowerShell usando o cmdlet NetAdapter. Você também pode
gerenciar NICs e todos os recursos usando Painel de Controle (ncpa.cpl).
Dica
Os recursos e tecnologias do SO estão disponíveis em todas as arquiteturas
de hardware, independentemente da velocidade da NIC ou dos recursos de
NIC.
aplica-se a: Windows server 2022, Windows server 2019, Azure Stack HCI, versões
21H2 e 20H2
ACLs estendidas
ACLs estendidas do comutador virtual do Hyper-V permitem que você configure as
ACLs de porta estendida do comutador virtual do Hyper-v para fornecer proteção de
firewall e impor políticas de segurança para as VMs de locatário em data centers. Como
as ACLs de porta são configuradas no comutador virtual do Hyper-V em vez de nas
VMs, o administrador pode gerenciar políticas de segurança para todos os locatários em
um ambiente multilocatário.
Você pode gerenciar ACLs estendidas do comutador Hyper-V por meio dos cmdlets do
PowerShell Add-VMNetworkAdapterExtendedAcl e Remove-
VMNetworkAdapterExtendedAcl .
Dica
Esse recurso se aplica à pilha HNVv1. Para ACLs na pilha SDN, consulte ACLs de
rede definida pelo software SDN) abaixo.
Para obter mais informações sobre as listas de controle de acesso de porta estendida
nesta biblioteca, consulte criar políticas de segurança com listas de controle de acesso
de porta estendida.
Agrupamento NIC
O agrupamento NIC, também chamado de acoplamento NIC, é a agregação de várias
portas NIC em uma entidade que o host percebe como uma única porta NIC. O
agrupamento NIC protege contra a falha de uma única porta NIC (ou o cabo conectado
a ela). Ele também agrega o tráfego de rede para uma taxa de transferência mais rápida.
com Windows Server 2016 você tem duas maneiras de fazer o agrupamento:
RSC no vSwitch
A União de segmento de recebimento (RSC) no vSwitch é um recurso que usa pacotes
que fazem parte do mesmo fluxo e chegam entre interrupções de rede e os une em um
único pacote antes de entregá-los ao sistema operacional. o comutador virtual no
Windows Server 2019 tem esse recurso. Para obter mais detalhes sobre esse recurso,
confira União de segmento de recebimento no vSwitch.
vmQoS pode definir limites de saída e reservas de saída. Você deve determinar o modo
de reserva de saída (peso relativo ou largura de banda absoluta) antes de criar o
comutador do Hyper-V.
Devido às limitações no algoritmo usado para esse recurso, recomendamos que o peso
mais alto ou a largura de banda absoluta não seja superior a 20 vezes o peso mais baixo
ou a largura de banda absoluta. Se for necessário mais controle, considere usar a pilha
SDN e o recurso SDN-QoS.
Software e hardware (SH) integrado
recursos e tecnologias
Artigo • 21/12/2022 • 7 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Azure Stack HCI, versões
21H2 e 20H2
Dica
NIC convergida
A NIC convergida é uma tecnologia que permite que NICs virtuais no host Hyper-V
exponham serviços RDMA a processos de host. Windows Server 2016 não requer mais
NICs separadas para RDMA. O recurso NIC Convergido permite que as NICs Virtuais na
partição host (vNICs) exponham o RDMA à partição de host e compartilhem a largura
de banda das NICs entre o tráfego RDMA e a VM e outro tráfego TCP/UDP de maneira
justa e gerenciável.
Você pode gerenciar a operação NIC convergida por meio do VMM ou Windows
PowerShell. Os cmdlets do PowerShell são os mesmos cmdlets usados para RDMA (veja
abaixo).
2. Certifique-se de habilitar o RDMA na NIC ou, no caso de uma equipe SET, as NICs
estão associadas ao comutador Hyper-V.
Para obter mais detalhes sobre RDMA e SET, consulte RDMA (Acesso remoto direto à
memória) e set (agrupamento incorporado com comutador).
Para DCB, Windows Server usa o PFC (controle de Flow baseado em prioridade),
padronizado no IEEE 802.1Qbb. O PFC cria uma malha de rede (quase) sem perda
impedindo o estouro dentro das classes de tráfego. Windows Server também usa ETS
(Seleção de Transmissão Avançada), padronizada no IEEE 802.1Qaz. O ETS habilita a
divisão da largura de banda em partes reservadas para até oito classes de tráfego. Cada
classe de tráfego tem sua própria fila de transmissão e, por meio do uso do PFC, pode
iniciar e interromper a transmissão dentro de uma classe.
NVGRE Em Windows Server 2016 e System Center Virtual Machine Manager, a Microsoft
v2 fornece uma solução de virtualização de rede de ponta a ponta que inclui Gateway ras,
(HNVv2 balanceamento de carga de software, controlador de rede e muito mais. Para obter
NVGRE) mais informações, consulte a Visão geral da Virtualização de Rede do Hyper-V no
Windows Server 2016.
VxLAN No Windows Server 2016, faz parte da extensão SDN, que você gerencia por meio do
v2 Controlador de Rede.
(HNVv2
VxLAN)
) Importante
Para obter detalhes sobre o isolamento PVLAN, consulte System Center: blog de
engenharia Virtual Machine Manager .
Para obter mais detalhes sobre RDMA, consulte RDMA (Acesso remoto direto à
memória) e alternância de agrupamento inserido (SET).
No futuro, duas tecnologias permitiriam SR-IOV: GFT (Generic Flow Tables) e Hardware
QoS Offload (gerenciamento de largura de banda na NIC) – uma vez que as NICs em
nosso ecossistema dão suporte a elas. A combinação dessas duas tecnologias tornaria o
SR-IOV útil para todas as VMs, permitiria que políticas, virtualização e regras de
gerenciamento de largura de banda fossem aplicadas e poderia resultar em grandes
avanços na aplicação geral do SR-IOV.
Para obter mais detalhes, consulte Visão geral da Virtualização de E/S de Raiz Única (SR-
IOV).
) Importante
VMMQ (VMMQ)
O VMMQ é um recurso nic que permite que o tráfego de uma VM se espalhe por várias
filas, cada uma processada por um processador físico diferente. Em seguida, o tráfego é
passado para vários LPs na VM como seria no vRSS, o que permite fornecer largura de
banda de rede substancial para a VM.
Tecnologias e recursos do hardware
apenas (HO)
Artigo • 21/12/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Azure Stack HCI, versões
21H2 e 20H2
Dica
Por padrão, todos eles estão sempre habilitados. É recomendável sempre habilenciar
todos esses descarregamentos.
PowerShell
Quadros jumbo
Frames Dols é um recurso de rede e NIC que permite que um aplicativo envie quadros
muito maiores do que os 1500 bytes padrão. Normalmente, o limite em quadros de
frames do Frames é de cerca de 9.000 bytes, mas pode ser menor.
Aplica-se a: Windows Server 2022, Windows Server 2019, Azure Stack HCI, versões
21H2 e 20H2
Você pode gerenciar NICs e todos os recursos por meio de Windows PowerShell usando
o cmdlet NetAdapter. Você também pode gerenciar NICs e todos os recursos usando
Painel de Controle de rede (ncpa.cpl). Para saber mais, confira os requisitos de rede do
host para o Azure Stack HCI.
Aplica-se a: Windows Server 2022, Windows Server 2019, Azure Stack HCI, versões
21H2 e 20H2
Por exemplo:
Host do Hyper-V
As cargas de trabalho que não são compatíveis com esse recurso incluem:
SMB Direct
PowerShell
) Importante
PowerShell
PowerShell
A API de serviço da HCN (Rede de Computação de Host) é uma API do Win32 que
fornece acesso no nível da plataforma para gerenciar as redes virtuais, pontos de
extremidade virtuais e políticas associadas. juntos, isso fornece conectividade e
segurança para VMs (máquinas virtuais) e contêineres em execução em um host
Windows.
Os desenvolvedores usam a API de serviço HCN para gerenciar a rede para VMs e
contêineres em seus fluxos de trabalho de aplicativo. A API HCN foi projetada para
fornecer a melhor experiência para os desenvolvedores. Os usuários finais não
interagem diretamente com essas APIs.
Dica
A API do serviço HCN tem suporte em tarefas em segundo plano e em janelas que
não são de primeiro plano.
O idioma usado para criar documentos de configuração é JSON , que você usa em
combinação com:
O conjunto válido de valores para uma propriedade, como 0-100 para uma
propriedade que representa uma porcentagem.
A definição de enumerações, que são representadas como um conjunto de cadeias
de caracteres válidas para uma propriedade.
Uma expressão regular para o formato esperado de uma cadeia de caracteres.
Exemplo
Veja a seguir um exemplo desse fluxo de trabalho para o objeto que representa um
controlador SCSI no documento de configuração de uma VM.
enum IpamType
[NewIn("2.0")] Static,
[NewIn("2.0")] Dhcp,
};
class Ipam
// Type : dhcp
};
};
enum SubnetPolicyType
[NewIn("2.0")] VLAN
};
class SubnetPolicy
};
class PolicySettings
};
};
class Route
};
Dica
"swagger" : "2.0",
"info" : {
"version" : "2.1",
},
"definitions": {
"Ipam": {
"type": "object",
"properties": {
"Type": {
"type": "string",
"enum": [
"Static",
"Dhcp"
],
},
"Subnets": {
"type": "array",
"items": {
"$ref": "#/definitions/Subnet"
},
"Subnet": {
"type": "object",
"properties": {
"ID": {
"type": "string",
"pattern": "^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-
Fa-f]{12}$"
},
"IpAddressPrefix": {
"type": "string"
},
"Policies": {
"type": "array",
"items": {
"$ref": "#/definitions/SubnetPolicy"
},
"Routes": {
"type": "array",
"items": {
"$ref": "#/definitions/Route"
},
"SubnetPolicy": {
"type": "object",
"properties": {
"Type": {
"type": "string",
"enum": [
"VLAN",
"VSID"
},
"Data": {
"$ref": "#/definitions/PolicySettings"
},
"PolicySettings": {
"type": "object",
"properties": {
"Name": {
"type": "string"
},
"VlanPolicy": {
"type": "object",
"properties": {
"Name": {
"type": "string"
},
"IsolationId": {
"type": "integer",
"format": "uint32"
},
"Route": {
"type": "object",
"properties": {
"NextHop": {
"type": "string"
},
"DestinationPrefix": {
"type": "string"
},
"Metric": {
"type": "integer",
"format": "uint16"
Você pode usar ferramentas, como o Swagger , para gerar representações específicas
de idioma da linguagem de programação de esquema usada por um cliente. O Swagger
dá suporte a uma variedade de linguagens, como C#, go, JavaScript e Python.
além da geração de código e da validação, você pode usar ferramentas para simplificar
o trabalho com documentos JSON, ou seja, Visual Studio Code .
HostComputeNetwork
HostComputeEndpoint
HostComputeNamespace
HostComputeLoadBalancer
[NewIn("2.0"),OmitEmpty] HCN.Schema.Network.NetworkPolicy
Policies[];
[NewIn("2.0"),OmitEmpty] HCN.Schema.Network.MacPool
MacPool;
[NewIn("2.0"),OmitEmpty] HCN.Schema.Network.Ipam
Ipams[];
};
[NewIn("2.0"),OmitEmpty] string
HostComputeNetwork;
[NewIn("2.0"),OmitEmpty] HCN.Schema.Network.Endpoint.EndpointPolicy
Policies[];
[NewIn("2.0"),OmitEmpty] HCN.Schema.Network.Endpoint.IpConfig
IpConfigurations[];
[NewIn("2.0"),OmitEmpty] HCN.Schema.Network.Route
Routes[];
[NewIn("2.0"),OmitEmpty] string
MacAddress;
};
[NewIn("2.0"),OmitEmpty] uint32
NamespaceId;
[NewIn("2.0"),OmitEmpty] Guid
NamespaceGuid;
[NewIn("2.0"),OmitEmpty] HCN.Schema.Namespace.NamespaceResource
Resources[];
};
[NewIn("2.0"), OmitEmpty]
HCN.Schema.Network.Endpoint.Policy.PortMappingPolicy PortMappings[];
};
Próximas etapas
Saiba mais sobre os cenários comuns de HCN.
Cenário: HCN
Criar um HCN
Este exemplo mostra como usar a API do Serviço de Rede de Computação de Host para
criar uma Rede de Computação de Host no host que pode ser usada para conectar a
NICS Virtual a Máquinas Virtuais ou contêineres.
C++
HCN_NETWORK,
decltype(&HcnCloseNetwork),
HcnCloseNetwork>;
/// Creates a simple HCN Network, waiting synchronously to finish the task
void CreateHcnNetwork()
unique_hcn_network hcnnetwork;
wil::unique_cotaskmem_string result;
"SchemaVersion": {
"Major": 2,
"Minor": 0
},
"Owner" : "WDAGNetwork",
"Flags" : 0,
"Type" : 0,
"Ipams" : [
"Type" : 0,
"Subnets" : [
"IpAddressPrefix" : "192.168.1.0/24",
"Policies" : [
"Type" : "VLAN",
"IsolationId" : 100,
],
"Routes" : [
"NextHop" : "192.168.1.1",
"DestinationPrefix" : "0.0.0.0/0",
],
},
],
"MacPool": {
"Ranges" : [
"EndMacAddress": "00-15-5D-52-CF-FF",
"StartMacAddress": "00-15-5D-52-C0-00"
],
},
"Dns" : {
"Suffix" : "net.home",
"ServerList" : ["10.0.0.10"],
})";
GUID networkGuid;
result = HcnCreateNetwork(
networkGuid, // Unique ID
&result
);
if (FAILED(result))
// ErrorSchema
// {
// "ErrorCode" : <uint32>,
// "Error" : <string>,
// "Success" : <bool>,
// }
THROW_HR(result);
result = HcnCloseNetwork(hcnnetwork.get());
if (FAILED(result))
THROW_HR(result);
Excluir um HCN
Este exemplo mostra como usar a API do Serviço de Rede de Computação de Host para
abrir & a exclusão de uma rede de computação de host
C++
wil::unique_cotaskmem_string errorRecord;
if (FAILED(hr))
THROW_HR(hr);
C++
wil::unique_cotaskmem_string resultNetworks;
wil::unique_cotaskmem_string errorRecord;
"Name" : "WDAG",
})";
if (FAILED(result))
THROW_HR(result);
C++
unique_hcn_network hcnnetwork;
wil::unique_cotaskmem_string errorRecord;
wil::unique_cotaskmem_string properties;
// Future
})";
if (FAILED(hr))
THROW_HR(hr);
hr = HcnQueryNetworkProperties(hcnnetwork.get(), query.c_str(),
&properties, &errorRecord);
if (FAILED(hr))
THROW_HR(hr);
C++
HCN_ENDPOINT,
decltype(&HcnCloseEndpoint),
HcnCloseEndpoint>;
void CreateAndHotAddEndpoint()
unique_hcn_endpoint hcnendpoint;
unique_hcn_network hcnnetwork;
wil::unique_cotaskmem_string errorRecord;
"SchemaVersion": {
"Major": 2,
"Minor": 0
},
"Owner" : "Sample",
"Flags" : 0,
"HostComputeNetwork" : "87fdcf16-d210-426e-959d-2a1d4f41d6d3",
"DNS" : {
"Suffix" : "net.home",
"ServerList" : "10.0.0.10",
})";
GUID endpointGuid;
result = HcnOpenNetwork(
networkGuid, // Unique ID
&hcnnetwork,
&errorRecord
);
if (FAILED(result))
result = HcnCreateEndpoint(
hcnnetwork.get(),
endpointGuid, // Unique ID
&errorRecord
);
if (FAILED(result))
THROW_HR(result);
// Can use the sample from HCS API Spec on how to attach this endpoint
result = HcnCloseEndpoint(hcnendpoint.get());
if (FAILED(result))
THROW_HR(result);
C++
wil::unique_cotaskmem_string errorRecord;
if (FAILED(hr))
THROW_HR(hr);
C++
unique_hcn_endpoint hcnendpoint;
if (FAILED(hr))
THROW_HR(hr);
"ResourceType" : 0,
"RequestType" : 0,
"Settings" : {
"PortName" : "acbd341a-ec08-44c0-9d5e-61af0ee86902"
"VirtualNicName" : "641313e1-7ae8-4ddb-94e5-3215f3a0b218-
-87fdcf16-d210-426e-959d-2a1d4f41d6d1"
"VirtualMachineId" : "641313e1-7ae8-4ddb-94e5-3215f3a0b218"
)";
hr = HcnModifyEndpoint(hcnendpoint.get(),
ModifySettingAddPortJson.c_str(), &errorRecord);
if (FAILED(hr))
THROW_HR(hr);
C++
wil::unique_cotaskmem_string errorRecord;
wil::unique_cotaskmem_string resultEndpoints;
wil::unique_cotaskmem_string errorRecord;
"Name" : "sampleNetwork",
})";
if (FAILED(result))
THROW_HR(result);
C++
unique_hcn_endpoint hcnendpoint;
wil::unique_cotaskmem_string errorRecord;
if (FAILED(hr))
THROW_HR(hr);
wil::unique_cotaskmem_string properties;
// Future
})";
hr = HcnQueryEndpointProperties(hcnendpoint.get(), query.c_str(),
&properties, &errorRecord);
if (FAILED(hr))
THROW_HR(hr);
C++
using unique_hcn_namespace = wil::unique_any<
HCN_NAMESPACE,
decltype(&HcnCloseNamespace),
HcnCloseNamespace>;
/// Creates a simple HCN Network, waiting synchronously to finish the task
void CreateHcnNamespace()
unique_hcn_namespace handle;
wil::unique_cotaskmem_string errorRecord;
"SchemaVersion": {
"Major": 2,
"Minor": 0
},
"Owner" : "Sample",
"Flags" : 0,
"Type" : 0,
})";
GUID namespaceGuid;
result = HcnCreateNamespace(
namespaceGuid, // Unique ID
&errorRecord
);
if (FAILED(result))
// ErrorSchema
// {
// "ErrorCode" : <uint32>,
// "Error" : <string>,
// "Success" : <bool>,
// }
THROW_HR(result);
result = HcnCloseNamespace(handle.get());
if (FAILED(result))
THROW_HR(result);
wil::unique_cotaskmem_string errorRecord;
if (FAILED(hr))
THROW_HR(hr);
C++
unique_hcn_namespace handle;
if (FAILED(hr))
THROW_HR(hr);
wil::unique_cotaskmem_string errorRecord;
"ResourceType" : 1,
"RequestType" : 0,
"Settings" : {
"EndpointId" : "87fdcf16-d210-426e-959d-2a1d4f41d6d1"
)";
hr = HcnModifyNamespace(handle.get(),
ModifySettingAddEndpointJson.c_str(), &errorRecord);
if (FAILED(hr))
THROW_HR(hr);
hr = HcnCloseNamespace(handle.get());
if (FAILED(hr))
THROW_HR(hr);
C++
wil::unique_cotaskmem_string resultNamespaces;
wil::unique_cotaskmem_string errorRecord;
// Future
})";
if (FAILED(hr))
THROW_HR(hr);
C++
unique_hcn_namespace handle;
if (FAILED(hr))
THROW_HR(hr);
wil::unique_cotaskmem_string errorRecord;
wil::unique_cotaskmem_string properties;
// Future
})";
if (FAILED(hr))
THROW_HR(hr);
C++
HCN_LOADBALANCER,
decltype(&HcnCloseLoadBalancer),
HcnCloseLoadBalancer>;
void CreateHcnLoadBalancer()
unique_hcn_loadbalancer handle;
wil::unique_cotaskmem_string errorRecord;
"SchemaVersion": {
"Major": 2,
"Minor": 0
},
"Owner" : "Sample",
"HostComputeEndpoints" : [
"87fdcf16-d210-426e-959d-2a1d4f41d6d1"
],
"VirtualIPs" : [ "10.0.0.10" ],
"PortMappings" : [
"Protocol" : 0,
"InternalPort" : 8080,
"ExternalPort" : 80,
],
"EnableDirectServerReturn" : true,
"InternalLoadBalancer" : false,
)";
GUID lbGuid;
HRESULT hr = HcnCreateLoadBalancer(
lbGuid, // Unique ID
&handle,
&errorRecord
);
if (FAILED(hr))
// ErrorSchema
// {
// "ErrorCode" : <uint32>,
// "Error" : <string>,
// "Success" : <bool>,
// }
THROW_HR(hr);
hr = HcnCloseLoadBalancer(handle.get());
if (FAILED(hr))
THROW_HR(hr);
C++
wil::unique_cotaskmem_string errorRecord;
if (FAILED(hr))
THROW_HR(hr);
C++
unique_hcn_loadbalancer handle;
if (FAILED(hr))
THROW_HR(hr);
wil::unique_cotaskmem_string errorRecord;
"ResourceType" : 1,
"RequestType" : 0,
"Settings" : {
"EndpointId" : "87fdcf16-d210-426e-959d-2a1d4f41d6d1"
)";
hr = HcnModifyLoadBalancer(handle.get(),
ModifySettingAddEndpointJson.c_str(), &errorRecord);
if (FAILED(hr))
THROW_HR(hr);
hr = HcnCloseLoadBalancer(handle.get());
if (FAILED(hr))
THROW_HR(hr);
C++
wil::unique_cotaskmem_string resultLoadBalancers;
wil::unique_cotaskmem_string errorRecord;
// Future
})";
if (FAILED(result))
THROW_HR(result);
C++
unique_hcn_loadbalancer handle;
if (FAILED(hr))
THROW_HR(hr);
wil::unique_cotaskmem_string errorRecord;
wil::unique_cotaskmem_string properties;
"ID" : "",
"Type" : 0,
})";
if (FAILED(hr))
THROW_HR(hr);
C++
HCN_CALLBACK,
decltype(&HcnUnregisterServiceCallback),
HcnUnregisterServiceCallback>;
unique_hcn_callback g_Callback;
void
CALLBACK
ServiceCallback(
DWORD NotificationType,
void* Context,
HRESULT NotificationStatus,
PCWSTR NotificationData)
UNREFERENCED_PARAMETER(context);
UNREFERENCED_PARAMETER(NotificationStatus);
switch (NotificationType)
case HcnNotificationNetworkCreate:
//
// // Notification
// {
// "ID" : Guid,
// "Flags" : <uint32>,
// };
break;
case HcnNotificationNetworkDelete:
break;
Default:
break;
void RegisterForServiceNotifications()
THROW_IF_FAILED(HcnRegisterServiceCallback(
ServiceCallback,
nullptr,
&g_Callback));
void UnregisterForServiceNotifications()
g_Callback.reset();
Próximas etapas
Saiba mais sobre as alças de contexto RPC para HCN.
Saiba mais sobre os esquemas de documento JSON do HCN.
Identificadores de contexto de RPC para
HCN
Artigo • 25/01/2023 • 12 minutos para o fim da leitura
HCN_Network
Uma Rede HCN é uma entidade usada para representar uma rede de computação de
host e seus recursos e políticas do sistema associados. Normalmente, uma rede HCN
pode incluir:
DECLARE_HANDLE(HCN_NETWORK);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnEnumerateNetworks(
);
///
/// \param Settings JSON document specifying the settings of the new
Network.
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnCreateNetwork(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnOpenNetwork(
);
///
/// \param Settings JSON document specifying the new settings of the
network.
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnModifyNetwork(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnQueryNetworkProperties(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnDeleteNetwork(
);
///
///
///
HRESULT
WINAPI
HcnCloseNetwork(
);
HCN_Endpoint
Um ponto de extremidade HCN é uma entidade que é usada para representar um ponto
de extremidade IP em uma rede HCN e seus recursos e políticas do sistema associados.
Um ponto de extremidade HCN normalmente consiste em:
DECLARE_HANDLE(HCN_ENDPOINT);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnEnumerateEndpoints(
);
///
/// \param Settings JSON document specifying the settings of the new
endpoint.
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnCreateEndpoint(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnOpenEndpoint(
);
///
/// \param Settings JSON document specifying the new settings of the
endpoint.
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnModifyEndpoint(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnQueryEndpointProperties(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnDeleteEndpoint(
);
///
///
HRESULT
WINAPI
HcnCloseEndpoint(
);
HCN_Namespace
Um namespace HCN é uma entidade usada para representar um namespace de rede de
computação de host. Os namespaces permitem que você tenha ambientes de rede
isolados em um único host, em que cada namespace tem seus próprios adaptadores de
rede e tabela de roteamento, separados de outros namespaces.
DECLARE_HANDLE(HCN_NAMESPACE);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnEnumerateNamespaces(
);
///
/// \param Settings JSON document specifying the settings of the new
namespace.
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnCreateNamespace(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnOpenNamespace(
);
///
/// \param Settings JSON document specifying the new settings of the
namespace.
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnModifyNamespace(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnQueryNamespaceProperties(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnDeleteNamespace(
);
///
///
HRESULT
WINAPI
HcnCloseNamespace(
);
HCN_LoadBalancer
Um balanceador de carga HCN é uma entidade usada para representar um balanceador
de carga de rede de computação de host. Os balanceadores de carga permitem que
você tenha pontos de extremidade de rede de computação de host com balanceamento
de carga.
As entidades HCN LoadBalancer são representadas usando
HCN_LOADBALANCER identificadores de contexto RPC.
DECLARE_HANDLE(HCN_LOADBALANCER);
//////
///
/// \retval LoadBalancers Receives a JSON document with the list of load
balancers.
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnEnumerateLoadBalancers(
);
///
/// \param Settings JSON document specifying the settings of the new
load balancer.
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnCreateLoadBalancer(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnOpenLoadBalancer(
);
///
/// \param Settings JSON document specifying the new settings of the
PolcyList.
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnModifyLoadBalancer(
);
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnQueryLoadBalancerProperties(
);
///
/// CoTaskMemFree.
///
///
HRESULT
WINAPI
HcnDeleteLoadBalancer(
);
///
///
///
HRESULT
WINAPI
HcnCloseLoadBalancer(
HCN_Notification_Callback
Há funções que fornecem acesso a operações de todo o serviço, como notificações (por
exemplo, receber notificações de uma nova criação de rede).
/// Registers a callback function to receive notifications of service-wide
events such as network
/// creations/deletions.
///
///
///
HRESULT WINAPI
HcnRegisterServiceCallback(
);
///
///
///
HRESULT WINAPI
HcnUnregisterServiceCallback(
);
Esquema HCN
JSON
// Network
"Id" : <string>,
"Owner" : <string>,
"SchemaVersion" : {
"Major" : <uint32>,
"Minor" : <uint32>
},
// AsString; Values:
// "None" (0),
// "EnableDnsProxy" (1),
// "EnableDhcpServer" (2),
// "IsolateVSwitch" (8)
"Type" : <enum>,
// AsString; Values:
// "NAT" (0),
// "ICS" (1),
// "Transparent" (2)
"Ipams" : [ {
"Type" : <enum>,
// AsString; Values:
// "Static" (0),
// "Dhcp" (1)
"Subnets" : [ {
"Policies" : [ {
"Type" : <enum>,
// AsString; Values:
// "VLAN" (0)
"Data" : <any>
} ],
"Routes" : [ {
} ],
} ],
} ],
"Policies" : [{
"Type" : <enum>,
// AsString; Values:
// "NetAdapterName" (1),
// "InterfaceConstraint" (2)
"Data" : <any>
}],
"Dns" : {
"ServerList" : [<string>],
"Options" : [<string>],
},
"MacPool" : {
"Ranges" : [ {
"StartMacAddress" : <string>,
"EndMacAddress" : <string>
} ],
},
// Endpoint
"Id" : <string>,
"Owner" : <string>,
"SchemaVersion" : {
"Major" : <uint32>,
"Minor" : <uint32>
},
// AsString; Values:
// "None" (0),
// "DisableInterComputeCommunication" (2)
"HostComputeNetwork" : <string>,
"MacAddress" : <string>,
"Policies" : [ {
"Type" : <enum>,
// AsString; Values:
// "PortMapping" (0),
// "ACL" (1)
"Data" : <any>
} ],
"Dns" : {
"ServerList" : [<string>],
"Options" : [<string>],
},
"IPConfigurations" : [ {
} ],
"Routes" : [ {
} ],
// VlanPolicy
"Type" : "VLAN",
"IsolationId" : <uint32>,
// PortMappingPolicy
"Type" : "PortMapping",
"Protocol" : <enum>,
// AsString; Values:
// "Unknown" (0),
// "ICMPv4" (1),
// "IGMP" (2),
// "TCP" (6),
// "UDP" (17),
// "ICMPv6" (58)
"InternalPort" : <uint16>,
"ExternalPort" : <uint16>,
"Id" : <string>,
"Owner" : <string>,
"SchemaVersion" : {
"Major" : <uint32>,
"Minor" : <uint32>
},
// AsString; Values:
// "None" (0),
// "EnableDirectServerReturn" (1)
// "EnableInternalLoadBalancer" (2)
"PortMappings" : [ {
"Type" : "PortMapping",
"Protocol" : <enum>,
// AsString; Values:
// "Unknown" (0),
// "ICMPv4" (1),
// "IGMP" (2),
// "TCP" (6),
// "UDP" (17),
// "ICMPv6" (58)
"InternalPort" : <uint16>,
"ExternalPort" : <uint16>,
} ],
"Policies" : [ {
"Type" : <enum>,
// AsString; Values:
// "SourceVirtualIp" (0),
"Data" : <any>
} ],
// Namespace
"Id" : <string>,
"Owner" : <string>,
"SchemaVersion" : {
"Major" : <uint32>,
"Minor" : <uint32>
},
"NamespaceId" : <uint32>,
"NamespaceGuid" : <guid>,
"Type" : <enum>,
// AsString; Values:
// "Host" (0),
// "HostDefault" (1),
// "Guest" (2),
// "GuestDefault" (3)
"Resources" : [ {
"Type" : <enum>,
// AsString; Values:
// "Container" (0),
// "Endpoint" (1)
"Data" : <any>
} ],
// Notification
"ID" : Guid,
"Flags" : <uint32>,
};
// ErrorSchema
"ErrorCode" : <uint32>,
"Error" : <string>,
"Success" : <bool>,
C#
/*
* HCN API
*/
using System;
using System.Linq;
using System.IO;
using System.Text;
using System.Text.RegularExpressions;
using System.Collections;
using System.Collections.Generic;
using System.Collections.ObjectModel;
using System.Runtime.Serialization;
using Newtonsoft.Json;
using Newtonsoft.Json.Converters;
using System.ComponentModel.DataAnnotations;
namespace IO.Swagger.Model
/// <summary>
/// Ipam
/// </summary>
[DataContract]
/// <summary>
/// </summary>
[JsonConverter(typeof(StringEnumConverter))]
/// <summary>
/// </summary>
[EnumMember(Value = "Static")]
Static = 1,
/// <summary>
/// </summary>
[EnumMember(Value = "Dhcp")]
Dhcp = 2
/// <summary>
/// </summary>
[DataMember(Name="Type", EmitDefaultValue=false)]
/// <summary>
/// </summary>
this.Type = Type;
this.Subnets = Subnets;
/// <summary>
/// </summary>
[DataMember(Name="Subnets", EmitDefaultValue=false)]
/// <summary>
/// </summary>
sb.Append("}\n");
return sb.ToString();
/// <summary>
/// </summary>
/// <summary>
/// </summary>
/// <returns>Boolean</returns>
/// <summary>
/// </summary>
/// <returns>Boolean</returns>
if (input == null)
return false;
return
this.Type == input.Type ||
this.Type.Equals(input.Type))
) &&
this.Subnets == input.Subnets ||
this.Subnets.SequenceEqual(input.Subnets)
);
/// <summary>
/// </summary>
if (this.Type != null)
if (this.Subnets != null)
return hashCode;
/// <summary>
/// </summary>
IEnumerable<System.ComponentModel.DataAnnotations.ValidationResult>
IValidatableObject.Validate(ValidationContext validationContext)
yield break;
/*
* HCN API
*/
using System;
using System.Linq;
using System.IO;
using System.Text;
using System.Text.RegularExpressions;
using System.Collections;
using System.Collections.Generic;
using System.Collections.ObjectModel;
using System.Runtime.Serialization;
using Newtonsoft.Json;
using Newtonsoft.Json.Converters;
using System.ComponentModel.DataAnnotations;
namespace IO.Swagger.Model
/// <summary>
/// Subnet
/// </summary>
[DataContract]
/// <summary>
/// </summary>
this.ID = ID;
this.IpAddressPrefix = IpAddressPrefix;
this.Policies = Policies;
this.Routes = Routes;
/// <summary>
/// </summary>
[DataMember(Name="ID", EmitDefaultValue=false)]
/// <summary>
/// </summary>
[DataMember(Name="IpAddressPrefix", EmitDefaultValue=false)]
/// <summary>
/// </summary>
[DataMember(Name="Policies", EmitDefaultValue=false)]
/// <summary>
/// </summary>
[DataMember(Name="Routes", EmitDefaultValue=false)]
/// <summary>
/// </summary>
sb.Append(" IpAddressPrefix:
").Append(IpAddressPrefix).Append("\n");
sb.Append("}\n");
return sb.ToString();
/// <summary>
/// </summary>
/// <summary>
/// </summary>
/// <returns>Boolean</returns>
/// <summary>
/// </summary>
/// <returns>Boolean</returns>
if (input == null)
return false;
return
this.ID == input.ID ||
this.ID.Equals(input.ID))
) &&
this.IpAddressPrefix == input.IpAddressPrefix ||
this.IpAddressPrefix.Equals(input.IpAddressPrefix))
) &&
this.Policies == input.Policies ||
this.Policies.SequenceEqual(input.Policies)
) &&
this.Routes == input.Routes ||
this.Routes.SequenceEqual(input.Routes)
);
/// <summary>
/// </summary>
if (this.ID != null)
if (this.IpAddressPrefix != null)
hashCode = hashCode * 59 +
this.IpAddressPrefix.GetHashCode();
if (this.Policies != null)
if (this.Routes != null)
return hashCode;
/// <summary>
/// </summary>
IEnumerable<System.ComponentModel.DataAnnotations.ValidationResult>
IValidatableObject.Validate(ValidationContext validationContext)
// ID (string) pattern
if (false == regexID.Match(this.ID).Success)
yield break;
Go
/*
* HCN API
*/
package swagger
// Type : dhcp
/*
* HCN API
*/
package swagger
ID string `json:"ID,omitempty"`
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico fornece uma visão geral do Comutador Virtual do Hyper-V, que fornece a
capacidade de conectar máquinas virtuais (VMs) a redes externas ao host Hyper-V,
incluindo a intranet da sua organização e a Internet.
Você também pode se conectar a redes virtuais no servidor que está executando o
Hyper-V ao implantar o SDN (Software Defined Networking).
7 Observação
Para obter mais informações sobre outras tecnologias de rede, consulte Rede em
Windows Server 2016.
Na ilustração a seguir, uma VM tem uma NIC virtual conectada ao Comutador Virtual do
Hyper-V por meio de uma porta de comutador.
7 Observação
Em Windows Server 2016, uma VM com uma NIC virtual exibe com precisão a taxa
de transferência máxima para a NIC virtual. Para exibir a velocidade da NIC virtual
em Conexões de Rede, clique com o botão direito do mouse no ícone de NIC
virtual desejado e clique em Status. A caixa de diálogo Status da NIC virtual é
aberta. Em Conexão, o valor de Velocidade corresponde à velocidade da NIC física
instalada no servidor.
Modo tronco para uma VM: permite que os administradores configurem uma VM
específica como um dispositivo virtual e, em seguida, direcionem o tráfego de
vários VLANs para essa VM.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Novidades no IPAM
Gerenciar IPAM
Gerenciamento de Endereço IP (IPAM) cmdlets de servidor no Windows
PowerShell
Novidades no IPAM
Artigo • 21/12/2022 • 6 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Suporte a várias florestas Novo Você pode usar IPAM para gerenciar os servidores DNS
do Active Directory e DHCP de várias florestas do Active Directory quando
houver uma relação de confiança de duas vias entre a
floresta em que o IPAM está instalado e cada uma das
florestas remotas.
Recurso/funcionalidade Novo ou Descrição
melhorado
Limpar dados de Novo Agora você pode reduzir o tamanho IPAM banco de
utilização dados por meio da redução dos dados de utilização do
endereço IP mais antigos do que uma data
especificada.
Windows PowerShell Novo Você pode usar Windows PowerShell para definir
suporte para controle de escopos de acesso IPAM objetos.
acesso baseado em
função
7 Observação
IPAM em Windows Server 2016 agora dá suporte a /31, /32 e /128 sub-redes. Por
exemplo, uma sub-rede de dois endereços (/31 IPv4) pode ser necessária para um link
ponto a ponto entre as opções. Além disso, algumas opções podem exigir endereços de
loopback único (/32 para IPv4, /128 para IPv6).
Esse comando retorna sub-redes que estão disponíveis para alocação, considerando um
bloco IP, o comprimento do prefixo e o número de sub-redes solicitadas.
7 Observação
Na verdade, essa função não aloca as sub-redes, apenas relata sua disponibilidade.
No entanto, a saída do cmdlet pode ser canal para o comando Add-IpamSubnet
para criar a sub-rede.
7 Observação
Na verdade, essa função não aloca os intervalos, apenas relata sua disponibilidade.
No entanto, a saída do cmdlet pode ser canal para o comando Add-IpamRange
para criar o intervalo.
Como parte da coleção de registros de recurso DNS, IPAM coleta os registros PTR para
as zonas de busca inversa do DNS. Para todas as zonas de busca inversa mapeadas para
qualquer intervalo de endereços IP, o IPAM cria os registros de endereço IP para todos
os registros PTR que pertencem a essa zona no intervalo de endereços IP mapeados
correspondente. Se o endereço IP já existir, o registro PTR será simplesmente associado
a esse endereço IP. Os endereços IP não serão criados automaticamente se a zona de
busca inversa não for mapeada para qualquer intervalo de endereços IP.
Para obter mais informações, consulte Gerenciar recursos em várias florestas do Active
Directory
Limpar dados de utilização
Limpar dados de utilização permite que você reduza o tamanho IPAM banco de dados
excluindo dados antigos de utilização de endereço IP. Para executar a exclusão de
dados, especifique uma data e IPAM todas as entradas de banco de dados mais antigas
ou iguais à data que você fornecer.
Espaço de endereço IP
Bloco de endereços IP
Sub-redes de endereço IP
Intervalos de endereços IP
Servidores DNS
Zonas DNS
Servidores DHCP
Superescopos DHCP
Escopos do DHCP
Para obter mais informações, consulte Manage Role Based Access Control with Windows
PowerShelland Gerenciamento de Endereço IP (IPAM) Server Cmdlets in Windows
PowerShell.
Gerenciar o IPAM
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Consulte Também
IPAM (Gerenciamento de Endereço IP)
Gerenciamento de registro de recursos
de DNS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico fornece informações sobre como gerenciar registros de recursos DNS
usando IPAM.
7 Observação
7 Observação
Veja a seguir uma lista de tipos de registro de recurso DNS que são coletados por IPAM.
Endereço do ATM
CNAME
DHCID
DNAME
Hospedar A ou AAAA
Informações do host
ISDN
MX
Servidores de Nome
Ponteiro (PTR)
Pessoa responsável
Rotear através
Local do serviço
SOA
SRV
Texto
Serviços conhecidos
WINS
WINS-R
X.25
Em Windows Server 2016, IPAM fornece integração entre inventário de endereço IP,
zonas DNS e registros de recursos DNS:
Você pode exibir registros de recursos DNS para uma zona DNS específica e filtrar
os registros com base no tipo, endereço IP, dados de registro de recurso e outras
opções de filtragem.
Consulte Também
Gerenciar IPAM
Adicionar um registro de recursos de
DNS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para adicionar um ou mais novos registros de recursos DNS
usando o console do cliente IPAM.
11. Se você quiser adicionar mais registros de recursos, repita o processo para criar
registros. Quando terminar de criar novos registros de recursos, clique em Aplicar.
12. A caixa de diálogo Adicionar Registro de Recurso exibe um resumo de registros
de recursos enquanto IPAM cria os registros de recursos no servidor DNS
especificado. Quando os registros são criados com êxito, o Status do registro é
êxito.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para excluir um ou mais registros de recursos DNS usando o
console do cliente IPAM.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para filtrar a exibição de registros de recursos DNS no
console do cliente IPAM.
8. Clique em Adicionar.
9. O Tipo de Registro é adicionado como um parâmetro de pesquisa. Insira o texto
para o tipo de registro que você deseja encontrar. Por exemplo, se você quiser
exibir apenas registros SRV, digite SRV.
10. Pressione ENTER. Os registros de recursos DNS são filtrados de acordo com os
critérios e a frase de pesquisa que você especificou.
Consulte Também
Gerenciamento de Registro de Recurso DNSIPAM
Exibir registros de recurso de DNS para
um endereço IP específico
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para exibir os registros de recursos DNS associados ao
Endereço IP escolhido.
Consulte Também
Gerenciamento de Registro de Recurso DNSIPAM
Gerenciamento de zonas DNS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico fornece informações sobre como gerenciar zonas DNS usando o console
IPAM cliente.
7 Observação
Além deste tópico, os tópicos IPAM gerenciamento de zona DNS estão disponíveis
nesta seção.
Ao implantar IPAM no Windows Server 2016, você pode usar IPAM para gerenciar zonas
DNS.
No console IPAM, você pode exibir registros de recursos DNS para uma zona DNS
específica e filtrar os registros com base no tipo, endereço IP, dados de registro de
recurso e outras opções de filtragem. Além disso, você pode editar registros de recursos
DNS para zonas específicas
Consulte Também
Gerenciar IPAM
Criar uma zona DNS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para criar uma zona DNS usando o console do cliente IPAM.
3. Localize o servidor onde você deseja adicionar uma zona e clique com o botão
direito do mouse no servidor. Clique em Criar zona DNS.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para editar uma zona DNS no console do cliente IPAM.
Pesquisa de Encaminhamento
Consulte Também
DNS ZoneManagementManage IPAM
Exibir registros de recurso de DNS para
uma zona DNS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para exibir registros de recursos DNS para uma zona DNS
no console do cliente IPAM.
5. Os registros de recurso DNS para a zona são exibidos. Para filtrar os registros,
digite o texto que você deseja encontrar no Filtro.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para exibir zonas DNS no console IPAM cliente.
Forward Lookup
Encaminhador Condicional
Consulte Também
Gerenciamento de ZonaDNSManage IPAM
Gerenciar recursos em várias florestas
do Active Directory
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para aprender a usar IPAM para gerenciar controladores de
domínio, servidores DHCP e servidores DNS em várias florestas do Active Directory.
Para usar IPAM para gerenciar recursos em florestas remotas do Active Directory, cada
floresta que você deseja gerenciar deve ter uma relação de confiança bidirecional com a
floresta em que o IPAM está instalado.
Para iniciar o processo de descoberta para diferentes florestas do Active Directory, abra
Gerenciador do Servidor e clique em IPAM. No console do cliente IPAM, clique em
Configurar Descoberta de Servidor e clique em Obter florestas. Isso inicia uma tarefa
em segundo plano que descobre florestas confiáveis e seus domínios. Após a conclusão
do processo de descoberta, clique em Configurar Descoberta de Servidor, que abre a
caixa de diálogo a seguir.
7 Observação
PowerShell
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
você pode usar este tópico para saber como excluir dados de utilização do banco de
IPAM.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico fornece informações sobre como usar o controle de acesso baseado em
função no IPAM.
7 Observação
Você pode configurar o controle de acesso para que os usuários sejam restritos às
permissões a seguir.
Consulte Também
gerenciar o controle de acesso baseado em função com Gerenciador do
Servidorgerenciar o controle de acesso baseado em função com Windows
PowerShellgerenciar IPAM
Gerenciar controle de acesso baseado
em função com o Gerenciador do
Servidor
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar os tópicos a seguir para gerenciar o controle de acesso baseado em
função usando Gerenciador do Servidor, que tem uma interface gráfica do usuário.
Como alternativa, você pode usar o Windows PowerShell para gerenciar IPAM controle
de acesso baseado em função. Para obter mais informações, consulte Gerenciar o
controle de acesso baseado em função com Windows PowerShell.
Consulte Também
Gerenciar IPAM
Criar uma função de usuário para
controle de acesso
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para criar uma nova função de usuário Controle de Acesso
no console do cliente IPAM.
7 Observação
Depois de criar uma função, você pode criar uma política de acesso para atribuir a
função a um usuário específico ou grupo do Active Directory. Para obter mais
informações, consulte Criar uma Política de Acesso.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para criar uma política de acesso no console do cliente
IPAM.
7 Observação
Você pode criar uma política de acesso para um usuário específico ou para um
grupo de usuários no Active Directory. Ao criar uma política de acesso, você deve
selecionar uma função de IPAM interna ou uma função personalizada que você
criou. Para obter mais informações sobre funções personalizadas, consulte Criar
uma função de usuário para Controle de Acesso.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para definir o escopo de acesso para uma zona DNS usando
o console do cliente IPAM.
Consulte Também
Controle de Acesso Managebaseado em função IPAM
Definir escopo de acesso para registros
de recurso DNS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para definir o escopo de acesso para um registro de recurso
DNS usando o console do cliente IPAM.
4. Clique com o botão direito do mouse nos registros de recursos DNS selecionados
e clique em Definir Escopo de Acesso.
5. A caixa de diálogo Definir Escopo de Acesso é aberta. Se necessário para sua
implantação, clique para desmarcar o escopo de acesso Herdado do pai. Em
Selecionar o escopo de acesso, selecione um item e clique em OK.
Consulte Também
Controle de Acesso Manage baseadoem função IPAM
Exibir funções e permissões de função
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para exibir Controle de Acesso funções de usuário no
console do cliente IPAM.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para aprender a usar o IPAM gerenciar o controle de acesso
baseado em função com Windows PowerShell.
7 Observação
ZoneName : dublin.contoso.com
ZoneType : Forward
AccessScopePath : \Global\Dublin
IsSigned : False
DynamicUpdateStatus : None
ScavengeStaleRecords : False
Escopo do DHCP
Servidor DHCP
Superescopo do DHCP
Servidor DNS
Zona do DNS
Bloco de endereço IP
Intervalo de endereços IP
Espaço de Endereço IP
Sub-rede de endereço IP
NAME
Set-IpamAccessScope
SYNTAX
[<CommonParameters>]
[<CommonParameters>]
[<CommonParameters>]
[<CommonParameters>]
[<CommonParameters>]
[<CommonParameters>]
[<CommonParameters>]
[<CommonParameters>]
ZoneName : dublin.contoso.com
ZoneType : Forward
AccessScopePath : \Global\Dublin
IsSigned : False
DynamicUpdateStatus : None
ScavengeStaleRecords : False
ZoneName : dublin.contoso.com
ZoneType : Forward
AccessScopePath : \Global\Europe
IsSigned : False
DynamicUpdateStatus : None
ScavengeStaleRecords : False
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Neste tópico, fornecemos uma visão geral do recurso NLB (Balanceamento de Carga de
Rede) no Windows Server 2016. Você pode usar o NLB para gerenciar dois ou mais
servidores como um único cluster virtual. O NLB aprimora a disponibilidade e a
escalabilidade de aplicativos de servidor da Internet, como os usados na Web, FTP,
firewall, proxy, VPN (rede virtual privada) e outros servidores críticos.
7 Observação
Windows Server 2016 inclui um novo SLB (Software Load Balancer) inspirado no
Azure como um componente da infraestrutura de SDN (Rede Definida pelo
Software). Use o SLB em vez de NLB se você estiver usando o SDN, estiver usando
cargas de trabalho não Windows, precisar de NAT (conversão de endereço de rede
de saída) ou precisar de L3 (Camada 3) ou balanceamento de carga não baseado
em TCP. Você pode continuar a usar o NLB com Windows Server 2016 para
implantações não SDN. Para obter mais informações sobre o SLB, consulte SLB
(Balanceamento de Carga de Software) para SDN.
Os servidores em um cluster NLB se chamam hosts, e cada host executa uma cópia
separada dos aplicativos de servidor. O NLB distribui as solicitações de entrada dos
clientes pelos hosts do cluster. É possível configurar a carga que será tratada por cada
host. Você também pode adicionar hosts dinamicamente ao cluster para tratar
aumentos de carga. Além disso, o NLB pode direcionar todo o tráfego para um único
host designado, chamado de host padrão.
O NLB permite que todos os computadores no cluster sejam abordados pelo mesmo
conjunto de endereços IP, e mantém um conjunto de endereços IP exclusivos e
dedicados para cada host. Para aplicativos com balanceamento de carga, quando um
host falha ou fica offline, a carga é automaticamente redistribuída entre os
computadores que permanecem em operação. Quando estiver pronto, o computador
offline poderá reintegrar-se ao cluster de forma transparente e retomar sua parcela da
carga de trabalho, o que permite que os outros computadores do cluster lidem com
menos tráfego.
Aplicações práticas
O NLB é útil para garantir que os aplicativos sem monitoração de estado, como
servidores Web que usam o IIS (Serviços de Informações da Internet), fiquem
disponíveis com inatividade mínima e que eles sejam dimensionáveis(por meio da
adição de servidores à medida que a carga aumenta). As seções a seguir descrevem
como o NLB suporta alta disponibilidade, escalabilidade e gerenciamento dos servidores
em cluster que executam esses aplicativos.
Alta disponibilidade
Um sistema altamente disponível oferece, de forma confiável, um nível aceitável de
serviço com tempo de inatividade mínimo. Para oferecer alta disponibilidade, o NLB
inclui recursos internos que podem automaticamente:
Escalabilidade
Escalabilidade é a medida que determina como um computador, serviço ou aplicativo
pode atender melhor às necessidades crescentes de desempenho. No caso de clusters
NLB , a escalabilidade é a capacidade de adicionar paulatinamente um ou mais sistemas
a um cluster existente quando a carga total sobre o cluster excede seus recursos. Para
dar suporte à escalabilidade, o NLB pode fazer o seguinte:
Adicionar hosts ao cluster do NLB à medida que a carga aumenta, sem fazer o
cluster falhar.
Capacidade de gerenciamento
Para dar suporte à escalabilidade, o NLB pode fazer o seguinte:
Definir regras de porta diferentes para cada site. Se você usar o mesmo conjunto
de servidores com balanceamento de carga para vários aplicativos ou sites, as
regras de porta baseiam-se no endereço IP de destino virtual (usando clusters
virtuais).
Exibir o log de eventos do Windows para verificar eventos do NLB. O NLB registra
todas as ações e alterações de cluster no log de eventos.
Funcionalidade importante
O NLB é instalado como um componente padrão do driver de rede do servidor
Windows. Suas operações são transparentes para a pilha de rede TCP/IP. A figura a
seguir mostra a relação entre nlb e outros componentes de software em uma
configuração típica.
A seguir estão os principais recursos do NLB.
7 Observação
Quando você implanta VMs como clusters virtuais, o NLB não exige que os
servidores sejam multihomed para ter vários endereços IP virtuais.
Permite que o NLB seja vinculado a vários adaptadores de rede, o que permite
configurar vários clusters independentes em cada host. O suporte a vários
adaptadores de rede difere dos clusters virtuais, pois os clusters virtuais permitem
configurar vários clusters em um único adaptador de rede.
Não requer modificações de aplicativos de servidor para que eles possam ser
executados em um cluster NLB.
Requisitos de hardware
A seguir estão os requisitos de hardware para executar um cluster NLB.
Se você usar o modo unicast, o adaptador de rede que é usado para lidar com
tráfego cliente para cluster deve apoiar a mudança do seu endereço de MAC
(Controle de Acesso de Mídia).
Requisitos de software
A seguir estão os requisitos de software para executar um cluster NLB.
Apenas TCP/IP podem ser usados no adaptador para que o NLB seja habilitado em
cada host. Não adicione outros protocolos (por exemplo, IPX) a esse adaptador.
7 Observação
O NLB não oferece suporte ao protocolo DHCP. O NLB desabilita o DHCP em cada
interface que ele configura.
Informações de instalação
Você pode instalar o NLB usando Gerenciador do Servidor ou os comandos Windows
PowerShell para NLB.
PowerShell
Recursos adicionais
A tabela a seguir fornece links para informações adicionais sobre o recurso NLB.
Tipo de Referências
conteúdo
Aplica-se a: Windows Server 2022, Windows Server 2016 e Windows Server 2019
Você pode usar este tópico para uma visão geral do Servidor de Política de Rede no
Windows Server 2016 e Windows Server 2019. O NPS é instalado quando você instala o
recurso NPAS (Política de Rede e Serviços do Access) no Windows Server 2016 e no
Server 2019.
7 Observação
O Servidor de Políticas de Rede (NPS) permite que você crie e aplique políticas de
acesso de rede em toda a organização para autenticação e autorização de solicitações
de conexão.
Você também pode configurar o NPS como um proxy RADIUS (Serviço de Usuário de
Autenticação Remota) para encaminhar solicitações de conexão para um NPS remoto
ou outro servidor RADIUS para que você possa balancear a carga das solicitações de
conexão e encaminhá-las para o domínio correto para autenticação e autorização.
) Importante
Você pode configurar o NPS com qualquer combinação desses recursos. Por exemplo,
você pode configurar um NPS como um servidor RADIUS para conexões VPN e também
como um proxy RADIUS para encaminhar algumas solicitações de conexão para
membros de um grupo remoto de servidores RADIUS para autenticação e autorização
em outro domínio.
7 Observação
Servidor RADIUS
O NPS é a implementação da Microsoft do padrão RADIUS especificado pela IETF
(Internet Engineering Task Force) nas RFCs 2865 e 2866. Como um servidor RADIUS, o
NPS executa a autenticação de conexão centralizada, a autorização e a contabilidade
para muitos tipos de acesso à rede, incluindo conexões sem fio, comutador de
autenticação, acesso remoto vpn (rede virtual privada) e conexões de roteador para
roteador.
7 Observação
Para obter informações sobre como implantar o NPS como um servidor RADIUS,
consulte Implantar o Servidor de Política de Rede.
O NPS permite o uso de um conjunto heterogêneo de rede sem fio, comutador, acesso
remoto ou equipamento VPN. Você pode usar o NPS com o serviço de Acesso Remoto,
que está disponível em Windows Server 2016.
O NPS usa um domínio de Active Directory Domain Services (AD DS) ou o banco de
dados de contas de usuário do SAM (Gerenciador de Contas de Segurança) local para
autenticar as credenciais do usuário para tentativas de conexão. Quando um servidor
que executa o NPS é membro de um domínio do AD DS, o NPS usa o serviço de
diretório como seu banco de dados de conta de usuário e faz parte de uma solução de
logon único. O mesmo conjunto de credenciais é usado para o controle de acesso à
rede (autenticando e autorizando o acesso a uma rede) e para fazer logon em um
domínio do AD DS.
7 Observação
A ilustração a seguir mostra o NPS como um servidor RADIUS para uma variedade de
clientes de acesso.
Proxy RADIUS
Como proxy RADIUS, o NPS encaminha mensagens de autenticação e contabilidade
para NPS e outros servidores RADIUS. Você pode usar o NPS como um proxy RADIUS
para fornecer o roteamento de mensagens RADIUS entre clientes RADIUS (também
chamados de servidores de acesso à rede) e servidores RADIUS que executam
autenticação, autorização e contabilidade do usuário para a tentativa de conexão.
A ilustração a seguir mostra o NPS como um proxy RADIUS entre clientes RADIUS e
servidores RADIUS.
Com o NPS, as organizações também podem terceirizar a infraestrutura de acesso
remoto a um provedor de serviços, mantendo o controle sobre autenticação,
autorização e contabilidade do usuário.
NPS como um proxy RADIUS. Neste exemplo, o NPS é configurado como um proxy
RADIUS que encaminha solicitações de conexão para grupos de servidores RADIUS
remotos em dois domínios não confiáveis. A política de solicitação de conexão padrão é
excluída e duas novas políticas de solicitação de conexão são criadas para encaminhar
solicitações para cada um dos dois domínios não confiáveis. Neste exemplo, o NPS não
processa nenhuma solicitação de conexão no servidor local.
NPS com RADIUS remoto para Windows mapeamento de usuário. Neste exemplo, o
NPS atua como um servidor RADIUS e como um proxy RADIUS para cada solicitação de
conexão individual encaminhando a solicitação de autenticação para um servidor
RADIUS remoto usando uma conta de usuário local Windows para autorização. Essa
configuração é implementada configurando o RADIUS Remoto para Windows atributo
de Mapeamento de Usuário como uma condição da política de solicitação de conexão.
(Além disso, uma conta de usuário deve ser criada localmente no servidor RADIUS que
tenha o mesmo nome que a conta de usuário remoto na qual a autenticação é
executada pelo servidor RADIUS remoto.)
Configuração
Para configurar o NPS como um servidor RADIUS, você pode usar a configuração
padrão ou a configuração avançada no console do NPS ou no Gerenciador do Servidor.
Para configurar o NPS como um proxy RADIUS, você deve usar a configuração
avançada.
Configuração padrão
Com a configuração padrão, os assistentes são fornecidos para ajudá-lo a configurar o
NPS para os seguintes cenários:
Para configurar o NPS usando um assistente, abra o console do NPS, selecione um dos
cenários anteriores e clique no link que abre o assistente.
Configuração avançada
Ao usar a configuração avançada, você configura manualmente o NPS como um
servidor RADIUS ou proxy RADIUS.
Para configurar o NPS usando a configuração avançada, abra o console do NPS e clique
na seta ao lado da Configuração Avançada para expandir esta seção.
Para obter instruções sobre como fazer essas configurações, consulte os tópicos a
seguir.
Para configurar o NPS como um proxy RADIUS, você deve configurar clientes RADIUS,
grupos de servidores RADIUS remotos e políticas de solicitação de conexão.
Para obter instruções sobre como fazer essas configurações, consulte os tópicos a
seguir.
Para configurar o registro em log do NPS, você deve configurar quais eventos deseja
registrar e visualizar com Visualizador de Eventos e determinar quais outras informações
deseja registrar. Além disso, você deve decidir se deseja registrar informações de
autenticação e contabilidade do usuário em arquivos de log de texto armazenados no
computador local ou em um banco de dados SQL Server no computador local ou em
um computador remoto.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber mais sobre as práticas recomendadas para
implantar e gerenciar o NPS (Servidor de Políticas de Rede).
Contabilidade
A seguir estão as práticas recomendadas para registro em log do NPS.
Log de eventos para NPS. Você pode usar o log de eventos para registrar eventos
NPS nos logs de eventos do sistema e de segurança. Isso é usado principalmente
para auditar e solucionar problemas de tentativas de conexão.
Faça o back-up de todos os arquivos de log regularmente porque eles não podem
ser recriados quando estão danificados ou excluídos.
Use o atributo classe RADIUS para acompanhar o uso e simplificar a identificação
de qual departamento ou usuário cobrar pelo uso. Embora o atributo Class gerado
automaticamente seja exclusivo para cada solicitação, registros duplicados podem
existir em casos em que a resposta ao servidor de acesso é perdida e a solicitação
é reposta. Talvez seja necessário excluir solicitações duplicadas de seus logs para
acompanhar com precisão o uso.
Para fornecer failover e redundância com SQL Server registro em log, coloque dois
computadores executando SQL Server em sub-redes diferentes. Use o assistente
SQL Server Criar Publicação para configurar a replicação de banco de dados entre
os dois servidores. Para obter mais informações, consulte SQL Server
documentação técnicae Replicação do SQL Server.
Autenticação
A seguir estão as práticas recomendadas para autenticação.
) Importante
O NPS (Servidor de Políticas de Rede) não dá suporte ao uso dos caracteres ASCII
estendidos em senhas.
Sugestões de instalação
A seguir estão as práticas recomendadas para instalar o NPS.
Antes de instalar o NPS, instale e teste cada um dos servidores de acesso à rede
usando métodos de autenticação local antes de configurá-los como clientes
RADIUS no NPS.
U Cuidado
O arquivo de configuração NPS exportado contém segredos compartilhados
não criptografados para clientes RADIUS e membros de grupos de servidores
RADIUS remotos. Por isso, certifique-se de salvar o arquivo em um local
seguro.
O processo de exportação não inclui configurações de registro em log
Microsoft SQL Server no arquivo exportado. Se você importar o arquivo
exportado para outro NPS, deverá configurar manualmente SQL Server Log
no novo servidor.
Se você estiver usando políticas de rede para restringir o acesso a todos, menos
para determinados grupos, crie um grupo universal para todos os usuários para os
quais você deseja permitir o acesso e crie uma política de rede que conceda
acesso a esse grupo universal. Não coloque todos os usuários diretamente no
grupo universal, especialmente se você tiver um grande número deles em sua
rede. Em vez disso, crie grupos separados que são membros do grupo universal e
adicione usuários a esses grupos.
Use um nome de entidade de usuário para se referir aos usuários sempre que
possível. Um usuário pode ter o mesmo nome de entidade de usuário,
independentemente da associação de domínio. Essa prática fornece escalabilidade
que pode ser necessária em organizações com um grande número de domínios.
Problemas de segurança
A seguir estão as práticas recomendadas para reduzir problemas de segurança.
Use Serviços de Área de Trabalho Remota para acessar o NPS. Quando você usa
Serviços de Área de Trabalho Remota, os dados não são enviados entre o cliente e
o servidor. Somente a interface do usuário do servidor (por exemplo, a área de
trabalho do sistema operacional e a imagem do console NPS) é enviada ao cliente
do Serviços de Área de Trabalho Remota, que é chamado Conexão de Área de
Trabalho Remota no Windows ® 10. O cliente envia a entrada do teclado e do
mouse, que é processada localmente pelo servidor que Serviços de Área de
Trabalho Remota habilitado. Quando Serviços de Área de Trabalho Remota
usuários fazem logon, eles podem exibir apenas suas sessões de cliente
individuais, que são gerenciadas pelo servidor e são independentes umas das
outras. Além disso, Conexão de Área de Trabalho Remota fornece criptografia de
128 bits entre cliente e servidor.
) Importante
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Introdução ao Servidor de Políticas de
Rede
Artigo • 29/09/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar os tópicos nesta seção para saber mais sobre recursos e funcionalidades
do Servidor de Políticas de Rede.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber mais sobre o processamento de solicitação de
conexão no Servidor de Política de Rede no Windows Server 2016.
7 Observação
Se você quiser que o servidor local que executa o NPS (Servidor de Política de Rede)
execute a autenticação para solicitações de conexão, poderá usar a política de
solicitação de conexão padrão sem configuração adicional. Com base na política padrão,
o NPS autentica usuários e computadores que têm uma conta no domínio local e em
domínios confiáveis.
7 Observação
Os servidores de acesso à rede que você usa com o NPS podem ser dispositivos de
gateway compatíveis com o protocolo RADIUS, como pontos de acesso sem fio
802.1X e comutadores de autenticação, servidores que executam o Acesso Remoto
configurados como servidores VPN ou discagem ou outros dispositivos
compatíveis com RADIUS.
Para configurar uma política de solicitação de conexão que especifica quais NPS ou
grupo de servidores RADIUS processam solicitações de autenticação, consulte Políticas
de Solicitação de Conexão.
7 Observação
Para obter mais informações sobre o NPS, consulte O NPS (Servidor de Política de
Rede).
Políticas de solicitação de conexão
Artigo • 21/09/2022 • 17 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para aprender a usar políticas de solicitação de conexão NPS
para configurar o NPS como um servidor RADIUS, um proxy RADIUS ou ambos.
7 Observação
Você pode criar políticas de solicitação de conexão para que algumas mensagens de
solicitação RADIUS enviadas de clientes RADIUS sejam processadas localmente (o NPS é
usado como um servidor RADIUS) e outros tipos de mensagens sejam encaminhados
para outro servidor RADIUS (NPS é usado como um proxy RADIUS).
Com políticas de solicitação de conexão, você pode usar o NPS como um servidor
RADIUS ou como um proxy RADIUS, com base em fatores como o seguinte:
Exemplos de configuração
Os exemplos de configuração a seguir demonstram como você pode usar políticas de
solicitação de conexão.
A seguir estão os atributos de condição disponíveis que você pode configurar nas
políticas de solicitação de conexão.
Grupo de atributos Propriedades da Conexão
O grupo de atributos Propriedades da Conexão contém os seguintes atributos.
Autenticação
Contabilidade
Manipulação de atributo
Solicitação de encaminhamento
Avançado
Autenticação
Usando essa configuração, você pode substituir as configurações de autenticação
configuradas em todas as políticas de rede e designar os métodos de autenticação e os
tipos necessários para se conectar à sua rede.
) Importante
7 Observação
Manipulação de atributo
Você pode configurar um conjunto de regras de encontrar e substituir que manipulam
as cadeias de caracteres de texto de um dos atributos a seguir.
Nome do Usuário
Chamado ID da Estação
ID da estação de chamada
7 Observação
Solicitação de encaminhamento
Você pode definir as seguintes opções de solicitação de encaminhamento que são
usadas para mensagens radius Access-Request:
7 Observação
Para exemplos de como usar expressões regulares para criar regras de roteamento que
encaminham mensagens RADIUS com um nome de realm especificado para um grupo
de servidores RADIUS remoto, consulte a seção "Exemplo de encaminhamento de
mensagens RADIUS por um servidor proxy" no tópico Usar expressões regulares no
NPS.
Avançado
Você pode definir propriedades avançadas para especificar a série de atributos RADIUS
que são:
Por exemplo, os visitantes de organizações parceiras podem ser autenticados por seu
próprio servidor RADIUS da organização parceira e, em seguida, usar uma conta de
usuário do Windows em sua organização para acessar uma LAN (rede local) convidada
em sua rede.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para obter uma visão geral do uso de nomes de realm no
processamento de solicitação de conexão do Servidor de Política de Rede.
Para configurar o NPS para atuar como um proxy RADIUS e encaminhar solicitações de
conexão para domínios não confiáveis, você deve criar uma nova política de solicitação
de conexão. Na nova política de solicitação de conexão, você deve configurar o atributo
Nome de Usuário com o nome de realm que estará contido no atributo User-Name de
solicitações de conexão que você deseja encaminhar. Você também deve configurar a
política de solicitação de conexão com um grupo de servidores RADIUS remoto. A
política de solicitação de conexão permite que o NPS calcule quais solicitações de
conexão encaminhar para o grupo de servidores RADIUS remoto com base na parte
realm do atributo User-Name.
Você pode designar que os usuários da rede forneçam o nome do realm ao digitar suas
credenciais durante tentativas de conexão de rede.
Por exemplo, você pode exigir que os usuários digitem seu nome de usuário, incluindo
o nome da conta de usuário e o nome de realm, em Nome de usuário na caixa de
diálogo Conectar ao fazer uma conexão vpn (rede privada virtual) ou discada.
Além disso, se você criar um pacote de discagem personalizado com o CMAK (Kit de
Administração do Gerenciador de Conexões), poderá ajudar os usuários adicionando o
nome do realm automaticamente ao nome da conta de usuário em perfis cm instalados
nos computadores dos usuários. Por exemplo, você pode especificar um nome de realm
e uma sintaxe de nome de usuário no perfil cm para que o usuário só precise especificar
o nome da conta de usuário ao digitar credenciais. Nessa circunstância, o usuário não
precisa saber nem se lembrar do domínio em que sua conta de usuário está localizada.
7 Observação
Altere o nome do realm, mas não sua sintaxe. Por exemplo, o nome
user1@example.com de usuário é alterado para user1@wcoast.example.com.
O NPS encaminha a mensagem para outro servidor RADIUS (quando o NPS está
sendo usado como um proxy RADIUS).
Configurando o nome de domínio fornecido
pelo NPS
Quando o nome de usuário não contém um nome de domínio, o NPS fornece um. Por
padrão, o nome de domínio fornecido pelo NPS é o domínio do qual o NPS é membro.
Você pode especificar o nome de domínio fornecido pelo NPS por meio da seguinte
configuração do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProto
cols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
U Cuidado
Alguns servidores de acesso à rede que não são da Microsoft excluem ou modificam o
nome de domínio conforme especificado pelo usuário. Como resultado, a solicitação de
acesso à rede é autenticada no domínio padrão, que pode não ser o domínio da conta
do usuário. Para resolver esse problema, configure seus servidores RADIUS para alterar
o nome de usuário para o formato correto com o nome de domínio preciso.
Grupos de servidores RADIUS remotos
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Para configurar o NPS como um proxy RADIUS, você deve criar uma política de
solicitação de conexão que contenha todas as informações necessárias para que o NPS
avalie quais mensagens devem ser encaminhadas e para onde enviar as mensagens.
Para obter mais informações sobre o NPS, consulte servidor de diretivas de rede (NPS).
Políticas de Rede
Artigo • 21/09/2022 • 3 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para uma visão geral das políticas de rede no NPS.
7 Observação
Permissão de acesso
Configurar políticas de rede
Para fazer essas determinações, o NPS usa políticas de rede configuradas no console do
NPS. O NPS também examina as propriedades discadas da conta de usuário no Active
Directory® Domain Services (AD DS) para executar a autorização.
Quando várias políticas de rede são configuradas no NPS, elas são um conjunto
ordenado de regras. O NPS verifica cada solicitação de conexão em relação à primeira
regra na lista, depois à segunda e assim por diante, até que uma combinação seja
encontrada.
Cada política de rede tem uma configuração de Estado de Política que permite habilitar
ou desabilitar a política. Quando você desabilita uma política de rede, o NPS não avalia
a política ao autorizar solicitações de conexão.
7 Observação
Se você quiser que o NPS avalie uma política de rede ao executar a autorização
para solicitações de conexão, configure a configuração Estado da Política marcando
a caixa de seleção Política habilitada.
Visão geral
Essas propriedades permitem que você especifique se a política está habilitada, se a
política concede ou nega acesso e se um método de conexão de rede específico ou tipo
de NAS (servidor de acesso à rede) é necessário para solicitações de conexão. As
propriedades de visão geral também permitem que você especifique se as propriedades
discadas das contas de usuário AD DS são ignoradas. Se você selecionar essa opção,
somente as configurações na política de rede serão usadas pelo NPS para determinar se
a conexão está autorizada.
Condições
Essas propriedades permitem que você especifique as condições que a solicitação de
conexão deve ter para corresponder à política de rede; se as condições configuradas na
política corresponderem à solicitação de conexão, o NPS aplicará as configurações
designadas na política de rede à conexão. Por exemplo, se você especificar o endereço
NAS IPv4 como uma condição da política de rede e o NPS receber uma solicitação de
conexão de um NAS que tenha o endereço IP especificado, a condição na política
corresponde à solicitação de conexão.
Restrições
Restrições são parâmetros adicionais da política de rede necessários para corresponder
à solicitação de conexão. Se uma restrição não for corresponder à solicitação de
conexão, o NPS rejeitará automaticamente a solicitação. Ao contrário da resposta NPS a
condições incomparáveis na política de rede, se uma restrição não for corresponder, o
NPS negará a solicitação de conexão sem avaliar políticas de rede adicionais.
Configurações
Essas propriedades permitem que você especifique as configurações que o NPS aplica à
solicitação de conexão se todas as condições de política de rede para a política
corresponderem.
Ao adicionar uma nova política de rede usando o console do NPS, você deve usar o
Assistente para Nova Política de Rede. Depois de criar uma política de rede usando o
assistente, você pode personalizar a política clicando duas vezes na política no console
do NPS para obter as propriedades da política.
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Permissões de acesso
Artigo • 21/09/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Essa configuração permite que você configure a política para conceder ou negar acesso
aos usuários se as condições e restrições da política de rede corresponderem à
solicitação de conexão.
7 Observação
7 Observação
Para dar suporte a vários tipos de conexões para as quais o NPS fornece autenticação e
autorização, pode ser necessário desabilitar o processamento de propriedades discadas
da conta de usuário. Isso pode ser feito para dar suporte a cenários em que
propriedades discadas específicas não são necessárias.
Por exemplo, as propriedades caller-ID, retorno de chamada, endereço IP estático e
rotas estáticas são projetadas para um cliente que está discando em um NAS (servidor
de acesso à rede), não para clientes que estão se conectando a pontos de acesso sem
fio. Um ponto de acesso sem fio que recebe essas configurações em uma mensagem
RADIUS do NPS pode não ser capaz de processá-las, o que pode fazer com que o
cliente sem fio seja desconectado.
Quando o NPS fornece autenticação e autorização para usuários que estão discando e
acessando a rede da sua organização por meio de pontos de acesso sem fio, você deve
configurar as propriedades discadas para dar suporte a conexões discadas (definindo
propriedades discadas) ou conexões sem fio (sem definir propriedades discadas).
Você pode usar o NPS para habilitar o processamento de propriedades discadas para a
conta de usuário em alguns cenários (como discagem) e desabilitar o processamento de
propriedades discadas em outros cenários (como 802.1X sem fio e comutamento de
autenticação).
Você também pode usar Ignorar propriedades discadas da conta de usuário para
gerenciar o controle de acesso à rede por meio de grupos e a configuração de
permissão de acesso na política de rede. Quando você marca a caixa de seleção Ignorar
propriedades discadas da conta de usuário, a permissão de acesso à rede na conta de
usuário é ignorada.
A única desvantagem dessa configuração é que você não pode usar as propriedades de
discagem de conta de usuário adicionais de caller-ID, retorno de chamada, endereço IP
estático e rotas estáticas.
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Modelos NPS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Os modelos de NPS (servidor de políticas de rede) permitem que você crie elementos
de configuração, como clientes serviço RADIUS (RADIUS) ou segredos compartilhados,
que você pode reutilizar no NPS local e exportar para uso em outros NPSs.
Segredos compartilhados
Clientes RADIUS
Servidores RADIUS remotos
Filtros de IP
Grupos de servidores de atualizações
Para obter mais informações sobre o NPS, consulte servidor de diretivas de rede (NPS).
Clientes RADIUS
Artigo • 21/12/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Um NAS (servidor de acesso à rede) é um dispositivo que fornece algum nível de acesso
a uma rede maior. Um NAS que usa uma infraestrutura RADIUS também é um cliente
RADIUS, enviando solicitações de conexão e mensagens de contabilidade para um
servidor RADIUS para autenticação, autorização e contabilidade.
7 Observação
Para implantar o NPS como um servidor RADIUS ou um proxy RADIUS, você deve
configurar clientes RADIUS no NPS.
1. Os servidores de acesso à rede, como pontos de acesso sem fio e servidores VPN,
são configurados com o endereço IP do proxy NPS como o servidor RADIUS
designado ou o servidor de autenticação. Isso permite que os servidores de acesso
à rede, que criam Access-Request com base nas informações recebidas dos
clientes de acesso, encaminhem mensagens para o proxy NPS.
Nome do cliente
Um nome amigável para o cliente RADIUS, que facilita a identificação ao usar os
comandos nps snap-in ou netsh para NPS.
Endereço IP
O protocolo IP versão 4 (IPv4) ou o nome DNS (Sistema de Nomes de Domínio) do
cliente RADIUS.
Client-Vendor
O fornecedor do cliente RADIUS. Caso contrário, você pode usar o valor padrão RADIUS
para Client-Vendor.
Segredo compartilhado
Uma cadeia de caracteres de texto usada como uma senha entre clientes RADIUS,
servidores RADIUS e proxies RADIUS. Quando o atributo Message Authenticator é
usado, o segredo compartilhado também é usado como a chave para criptografar
mensagens RADIUS. Essa cadeia de caracteres deve ser configurada no cliente RADIUS e
no snap-in NPS.
7 Observação
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Planejar Servidor de Políticas de Rede
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Quando você implanta o NPS (Servidor de Políticas de Rede) como um servidor RADIUS
(Remote Authentication Dial-In User Service), o NPS executa autenticação, autorização e
contabilização de solicitações de conexão para o domínio local e para domínios que
confiam no domínio local. Você pode usar essas diretrizes de planejamento para
simplificar sua implantação radius.
Essas diretrizes de planejamento não incluem circunstâncias nas quais você deseja
implantar o NPS como um proxy RADIUS. Quando você implanta o NPS como um proxy
RADIUS, o NPS encaminha solicitações de conexão para um servidor que executa o NPS
ou outros servidores RADIUS em domínios remotos, domínios não confiáveis ou ambos.
Antes de implantar o NPS como um servidor RADIUS em sua rede, use as diretrizes a
seguir para planejar sua implantação.
Determine as portas RADIUS que o NPS usa para receber mensagens RADIUS de
clientes RADIUS. As portas padrão são as portas UDP 1812 e 1645 para mensagens
de autenticação RADIUS e as portas 1813 e 1646 para mensagens de contabilidade
RADIUS.
Determine os tipos de eventos que você deseja que o NPS registre no Log de
Eventos. Você pode registrar solicitações de autenticação rejeitadas, solicitações de
autenticação bem-sucedidas ou ambos os tipos de solicitações.
Planeje o script usado para copiar uma configuração do NPS para outros NPSs
para economizar na sobrecarga administrativa e evitar a cofiguração incorreta de
um servidor. O NPS fornece os comandos Netsh que permitem copiar toda ou
parte de uma configuração do NPS para importação para outro NPS. Você pode
executar os comandos manualmente no prompt do Netsh. No entanto, se você
salvar a sequência de comandos como um script, poderá executar o script em uma
data posterior se decidir alterar as configurações do servidor.
) Importante
Os clientes de acesso, como computadores cliente, não são clientes RADIUS.
Somente servidores de acesso à rede e servidores proxy que suportam o protocolo
RADIUS são clientes RADIUS.
Além disso, os pontos de acesso sem fio e as opções devem ser capazes de
autenticação 802.1X. Se você quiser implantar o Protocolo de Autenticação Extensível
(EAP) ou o PEAP (Protocolo de Autenticação Extensível Protegido), os pontos de acesso
e as opções deverão dar suporte ao uso do EAP.
Para testar a interoperabilidade básica para conexões PPP para pontos de acesso sem
fio, configure o ponto de acesso e o cliente de acesso para usar o PROTOCOLO DE
AUTENTICAÇÃO de Senha (PAP). Use protocolos de autenticação adicionais baseados
em PPP, como PEAP, até que você teste aqueles que pretende usar para acesso à rede.
Etapas principais
Durante o planejamento de clientes RADIUS, você pode usar as etapas a seguir.
EAP-TLS
O EAP-TLS usa certificados para autenticação de cliente e servidor e requer que você
implante uma PKI (infraestrutura de chave pública) em sua organização. A implantação
de uma PKI pode ser complexa e requer uma fase de planejamento que seja
independente do planejamento para o uso do NPS como um servidor RADIUS.
Para que esse processo de autenticação seja bem-sucedido, é necessário que todos os
computadores tenham o certificado de autoridade de certificação da sua organização
no armazenamento de certificados autoridades de certificação raiz confiáveis para o
computador local e o usuário atual.
PEAP-MS-CHAP v2
PEAP-MS-CHAP v2 usa um certificado para autenticação de servidor e credenciais
baseadas em senha para autenticação de usuário. Como os certificados são usados
apenas para autenticação de servidor, você não precisa implantar uma PKI para usar
PEAP-MS-CHAP v2. Ao implantar o PEAP-MS-CHAP v2, você pode obter um certificado
do servidor para o NPS de uma das duas maneiras a seguir:
Etapas principais
Durante o planejamento do uso de métodos de autenticação, você pode usar as etapas
a seguir.
Identifique os tipos de acesso à rede que você planeja oferecer, como sem fio,
VPN, com opção 802.1X e acesso discado.
Se você estiver implantando o EAP-TLS, planeje sua implantação de PKI. Isso inclui
o planejamento dos modelos de certificado que você usará para certificados de
servidor e certificados de computador cliente. Ele também inclui determinar como
registrar certificados em computadores membros do domínio e não membros do
domínio e determinar se você deseja usar cartões inteligentes.
Como as políticas de rede são processadas na ordem em que aparecem no snap-in nps,
planeje colocar suas políticas mais restritivas primeiro na lista de políticas. Para cada
solicitação de conexão, o NPS tenta corresponder as condições da política com as
propriedades da solicitação de conexão. O NPS examina cada política de rede na ordem
até encontrar uma combinação. Se ele não encontrar uma combinação, a solicitação de
conexão será rejeitada.
Etapas principais
Durante o planejamento de políticas de rede, você pode usar as etapas a seguir.
Determine o tipo de política. Você deve determinar se a política foi projetada para
conceder acesso quando as condições da política são corresponderes pela
solicitação de conexão ou se a política foi projetada para negar acesso quando as
condições da política são corresponderem pela solicitação de conexão. Por
exemplo, se você quiser negar explicitamente o acesso sem fio aos membros de
um grupo Windows, poderá criar uma política de rede que especifique o grupo, o
método de conexão sem fio e que tenha uma configuração de tipo de política
negar acesso.
Determine se você deseja que o NPS ignore as propriedades discadas das contas
de usuário que são membros do grupo no qual a política se baseia. Quando essa
configuração não está habilitada, as propriedades discadas das contas de usuário
substituem as configurações configuradas nas políticas de rede. Por exemplo, se
uma política de rede estiver configurada que concede acesso a um usuário, mas as
propriedades discadas da conta de usuário para esse usuário estão definidas para
negar o acesso, o usuário terá o acesso negado. Mas se você habilitar a
configuração de tipo de política Ignorar propriedades discadas da conta de
usuário, o mesmo usuário terá acesso à rede.
Determine as condições que devem ser corresponder para que a política de rede
seja aplicada.
Formato IAS e formato compatível com banco de dados criam arquivos de log no NPS
local no formato de arquivo de texto.
Etapas principais
Durante o planejamento da contabilidade do NPS, você pode usar as etapas a seguir.
Etapas principais
Durante o planejamento da contabilidade do NPS usando arquivos de log locais, você
pode usar as etapas a seguir.
Determine o formato de arquivo de texto que você deseja usar para seus arquivos
de log NPS.
Escolha o tipo de informação que você deseja registrar em log. Você pode registrar
solicitações de contabilidade, solicitações de autenticação e status periódico.
Projete sua solução de backup de arquivo de log. O local do disco rígido em que
você armazena os arquivos de log deve ser um local que permite que você faça
backup facilmente de seus dados. Além disso, o local do disco rígido deve ser
protegido configurando a ACL (lista de controle de acesso) para a pasta em que os
arquivos de log estão armazenados.
Determine a frequência na qual você deseja que novos arquivos de log sejam
criados. Se você quiser que os arquivos de log sejam criados com base no
tamanho do arquivo, determine o tamanho máximo permitido do arquivo antes
que um novo arquivo de log seja criado pelo NPS.
Determine se você deseja que o NPS exclua arquivos de log mais antigos se o
disco rígido ficar sem espaço de armazenamento.
Determine o aplicativo ou os aplicativos que você deseja usar para exibir dados de
contabilidade e produzir relatórios.
O NPS fornece a capacidade de usar o log do SQL Server para registrar solicitações de
autenticação e contabilidade de usuário recebidas de um ou mais servidores de acesso
à rede para uma fonte de dados em um computador que executa o Mecanismo de Área
de Trabalho do Microsoft SQL Server (MSDE 2000) ou qualquer versão do SQL Server
posterior ao SQL Server 2000.
Etapas principais
Durante o planejamento da contabilidade do NPS usando o nps SQL Server log, você
pode usar as etapas a seguir.
Projete o procedimento armazenado que você usará em seu banco de dados SQL
Server para processar arquivos XML de entrada que contêm dados de
contabilidade NPS.
Determine o aplicativo ou os aplicativos que você deseja usar para exibir dados de
contabilidade e produzir relatórios.
Planeje usar servidores de acesso à rede que enviam o atributo Class em todas as
solicitações de contabilidade. O atributo Class é enviado ao cliente RADIUS em
uma mensagem Access-Accept e é útil para correlacionar mensagens Accounting-
Request com sessões de autenticação. Se o atributo Class for enviado pelo servidor
de acesso à rede nas mensagens de solicitação de contabilidade, ele poderá ser
usado para corresponder aos registros de contabilidade e autenticação. A
combinação dos atributos Unique-Serial-Number, Service-Reboot-Time e Server-
Address deve ser uma identificação exclusiva para cada autenticação que o
servidor aceita.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Quando você implanta o NPS (Servidor de Políticas de Rede) como um proxy radius
(Remote Authentication Dial-In User Service), o NPS recebe solicitações de conexão de
clientes RADIUS, como servidores de acesso à rede ou outros proxies RADIUS, e, em
seguida, encaminha essas solicitações de conexão para servidores que executam NPS ou
outros servidores RADIUS. Você pode usar essas diretrizes de planejamento para
simplificar sua implantação radius.
Essas diretrizes de planejamento não incluem circunstâncias nas quais você deseja
implantar o NPS como um servidor RADIUS. Quando você implanta o NPS como um
servidor RADIUS, o NPS executa autenticação, autorização e contabilização para
solicitações de conexão para o domínio local e para domínios que confiam no domínio
local.
Antes de implantar o NPS como um proxy RADIUS em sua rede, use as diretrizes a
seguir para planejar sua implantação.
O NPS deve ser configurado para se comunicar com clientes RADIUS, também
chamados de servidores de acesso à rede, usando o protocolo RADIUS. Além disso,
você pode configurar os tipos de eventos que o NPS registra no log de eventos e pode
inserir uma descrição para o servidor.
Etapas principais
Durante o planejamento da configuração de proxy NPS, você pode usar as etapas a
seguir.
Determine as portas RADIUS que o proxy NPS usa para receber mensagens
RADIUS de clientes RADIUS e enviar mensagens RADIUS para membros de grupos
de servidores RADIUS remotos. As portas padrão do protocolo UDP são 1812 e
1645 para mensagens de autenticação RADIUS e portas UDP 1813 e 1646 para
mensagens de contabilidade RADIUS.
Determine os tipos de eventos que você deseja que o NPS registre no Log de
Eventos. Você pode registrar solicitações de conexão rejeitadas, solicitações de
conexão bem-sucedidas ou ambas.
Planeje o script usado para copiar uma configuração de proxy NPS para outros
proxies NPS para economizar na sobrecarga administrativa e evitar a configuração
incorreta de um servidor. O NPS fornece os comandos Netsh que permitem copiar
toda ou parte de uma configuração de proxy NPS para importação para outro
proxy NPS. Você pode executar os comandos manualmente no prompt do Netsh.
No entanto, se você salvar a sequência de comandos como um script, poderá
executar o script em uma data posterior se decidir alterar suas configurações de
proxy.
Além disso, os pontos de acesso sem fio e as opções devem ser capazes de
autenticação 802.1X. Se você quiser implantar o Protocolo de Autenticação Extensível
(EAP) ou o PEAP (Protocolo de Autenticação Extensível Protegido), os pontos de acesso
e as opções deverão dar suporte ao uso do EAP.
Para testar a interoperabilidade básica para conexões PPP para pontos de acesso sem
fio, configure o ponto de acesso e o cliente de acesso para usar o PROTOCOLO DE
AUTENTICAÇÃO de Senha (PAP). Use protocolos de autenticação adicionais baseados
em PPP, como PEAP, até que você teste aqueles que pretende usar para acesso à rede.
Etapas principais
Durante o planejamento de clientes RADIUS, você pode usar as etapas a seguir.
Você pode usar o NPS como um proxy RADIUS para encaminhar solicitações de
conexão para um ou mais grupos de servidores RADIUS remotos, e cada grupo pode
conter um ou mais servidores RADIUS. Quando você quiser que o proxy NPS encaminhe
mensagens para vários grupos, configure uma política de solicitação de conexão por
grupo. A política de solicitação de conexão contém informações adicionais, como regras
de manipulação de atributo, que informam ao proxy NPS quais mensagens enviar ao
grupo de servidores RADIUS remoto especificado na política.
Etapas principais
Durante o planejamento de grupos de servidores RADIUS remotos, você pode usar as
etapas a seguir.
Documente os endereços IP dos servidores RADIUS que você deseja adicionar aos
grupos de servidores RADIUS remotos.
Você pode configurar o NPS para encaminhar todas as solicitações de conexão para um
grupo de servidores RADIUS remoto sem usar regras de manipulação de atributo.
Se você tiver mais de um local para o qual deseja encaminhar solicitações de conexão,
no entanto, deverá criar uma política de solicitação de conexão para cada local e, em
seguida, configurar a política com o grupo de servidores RADIUS remoto para o qual
deseja encaminhar mensagens, bem como com as regras de manipulação de atributo
que dizem ao NPS quais mensagens encaminhar.
Etapas principais
Durante o planejamento de regras de manipulação de atributo, você pode usar as
etapas a seguir.
Planeje o roteamento de mensagens do NAS por meio do proxy para os servidores
RADIUS remotos para verificar se você tem um caminho lógico com o qual
encaminhar mensagens para os servidores RADIUS.
Determine um ou mais atributos que você deseja usar para cada política de
solicitação de conexão.
Documente as regras de manipulação de atributo que você planeja usar para cada
política de solicitação de conexão e corresponder as regras ao grupo de servidores
RADIUS remoto ao qual as mensagens são encaminhadas.
Etapas principais
Durante o planejamento de políticas de solicitação de conexão, você pode usar as
etapas a seguir.
Etapas principais
Durante o planejamento da contabilidade do NPS, você pode usar as etapas a seguir.
Determine o formato de log que você deseja usar: arquivos de log de formato IAS,
arquivos de log de formato compatíveis com o banco de dados ou nps SQL Server
log.
Para configurar o balanceamento de carga para NPS como um proxy RADIUS, consulte
Balanceamento de carga do servidor proxy NPS.
Implantar o Servidor de Políticas de
Rede
Artigo • 17/01/2023 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para obter informações sobre como implantar o Servidor de
Política de Rede.
7 Observação
O guia de rede do Windows Server 2016 Core inclui uma seção sobre planejamento e
instalação do NPS (Servidor de Política de Rede) e as tecnologias apresentadas no guia
servem como pré-requisitos para implantar o NPS em um domínio do Active Directory.
Para obter mais informações, consulte a seção "Implantar NPS1" no guia de rede do
Windows Server 2016 Core.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar os tópicos desta seção para gerenciar o servidor de políticas de rede.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber mais sobre as ferramentas que você pode usar
para gerenciar seus NPSs.
7 Observação
Em Windows Server 2016, você pode gerenciar o NPS local usando o console do
NPS. Para gerenciar NPSs remotos e locais, você deve usar o snap-in MMC do NPS.
7 Observação
O Console do NPS e o snap-in do NPS MMC têm um limite de 256 caracteres para
todas as configurações que levam um valor de cadeia de caracteres. Isso inclui
todas as configurações que podem ser configuradas usando expressões regulares.
Para configurar valores de cadeia de caracteres que excedem 256 caracteres, você
pode usar os comandos NPS NETSH. Valores de cadeia de caracteres configurados
que excedem 256 caracteres não podem ser editados no Console do NPS ou no
snap-in do NPS MMC sem invalidá-los.
As seções a seguir fornecem instruções sobre como gerenciar seus NPSs locais e
remotos.
Credenciais Administrativas
Dependendo das condições de rede e do número de NPSs que você gerencia usando o
snap-in do MMC do NPS, a resposta do snap-in do MMC pode ser lenta. Além disso, o
tráfego de configuração do NPS é enviado pela rede durante uma sessão de
administração remota usando o snap-in do NPS. Verifique se sua rede é fisicamente
segura e se os usuários mal-intencionados não têm acesso a esse tráfego de rede.
Credenciais Administrativas
Você pode usar a conexão de Área de Trabalho Remota para gerenciar vários NPSs
usando um dos dois métodos.
1. Crie uma conexão de Área de Trabalho Remota para cada um de seus NPSs
individualmente.
2. Use a Área de Trabalho Remota para se conectar a um NPS e, em seguida, use o
MMC do NPS nesse servidor para gerenciar outros servidores remotos. Para obter
mais informações, consulte a seção anterior Gerenciar vários NPSs usando o
snap-in do MMC do NPS.
Credenciais Administrativas
Para concluir este procedimento, você deve ser um membro do grupo Administradores
no NPS.
Credenciais Administrativas
Para executar esse procedimento, você deve ser membro do grupo Administradores no
computador local.
Para obter mais informações sobre comandos Netsh NPS, consulte Comandos netsh
para servidor de política de rede no Windows Server 2008 ou baixe toda a Referência
Técnica do Netsh da Galeria do TechNet. Este download é a Referência Técnica
completa do Shell de Rede para Windows Server 2008 e Windows Server 2008 R2. O
formato é a Ajuda do Windows (*.chm) em um arquivo zip. Esses comandos ainda estão
presentes em Windows Server 2016 e Windows 10, portanto, você pode usar netsh
nesses ambientes, embora o uso de Windows PowerShell seja recomendado.
Para obter mais informações sobre a administração do NPS, consulte Gerenciar O NPS
(Servidor de Políticas de Rede).
Configurar políticas de solicitação de
conexão
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para criar e configurar políticas de solicitação de conexão
que designam se o NPS local processa solicitações de conexão ou as encaminha para o
servidor RADIUS remoto para processamento.
Para configurar um servidor que executa o NPS para atuar como um proxy RADIUS e
encaminhar solicitações de conexão para outros servidores NPS ou RADIUS, você deve
configurar um grupo de servidores RADIUS remoto, além de adicionar uma nova política
de solicitação de conexão que especifica condições e configurações que as solicitações
de conexão devem corresponder.
Você pode criar um novo grupo de servidores RADIUS remoto enquanto cria uma nova
política de solicitação de conexão com o Assistente para Nova Política de Solicitação de
Conexão.
Se você não quiser que o NPS atue como um servidor RADIUS e processe solicitações
de conexão localmente, exclua a política de solicitação de conexão padrão.
Se você quiser que o NPS atue como um servidor RADIUS, processando solicitações de
conexão localmente e como um proxy RADIUS, encaminhando algumas solicitações de
conexão para um grupo de servidores RADIUS remoto, adicione uma nova política
usando o procedimento a seguir e verifique se a política de solicitação de conexão
padrão é a última política processada colocando-a por último na lista de políticas.
Adicionar uma política de solicitação de
conexão
A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para
concluir este procedimento.
Para obter mais informações sobre como gerenciar o NPS, consulte Gerenciar servidor
de políticas de rede.
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Configurar firewalls para tráfego
RADIUS
Artigo • 24/09/2022 • 9 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Talvez seja necessário configurar dois tipos de firewalls para permitir o tráfego RADIUS:
Com o Server 2019, essa exceção de firewall requer uma modificação no identificador de
segurança da conta de serviço para detectar e permitir efetivamente o tráfego RADIUS.
Se essa alteração do identificador de segurança não for executada, o firewall soltará o
tráfego RADIUS. Em um prompt de comandos com privilégios elevados, execute sc
sidtype IAS unrestricted . Esse comando altera o serviço RADIUS (IAS) para usar um SID
Portanto, se você estiver usando as portas UDP padrão, não precisará alterar a
configuração do Firewall Windows Defender para permitir o tráfego RADIUS de e para
NPSs.
Em alguns casos, talvez você queira alterar as portas que o NPS usa para o tráfego
RADIUS. Se você configurar o NPS e seus servidores de acesso à rede para enviar e
receber tráfego RADIUS em portas diferentes dos padrões, faça o seguinte:
Remova as exceções que permitem o tráfego RADIUS nas portas padrão.
Crie novas exceções que permitem o tráfego RADIUS nas novas portas.
Para obter mais informações, consulte Configurar informações de porta UDP do NPS.
Outros firewalls
Na configuração mais comum, o firewall está conectado à Internet e o NPS é um recurso
de intranet conectado à rede de perímetro.
Para maior segurança, você pode usar os endereços IP de cada cliente RADIUS que
envia os pacotes por meio do firewall para definir filtros de tráfego entre o cliente e o
endereço IP do NPS na rede de perímetro.
Para obter mais informações sobre como gerenciar o NPS, consulte Gerenciar servidor
de políticas de rede.
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Configurar políticas de rede
Artigo • 21/09/2022 • 13 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para configurar políticas de rede no NPS.
Você pode usar esse procedimento para configurar uma nova política de rede no
console do NPS ou no console de Acesso Remoto.
Executando autorização
Quando o NPS executa a autorização de uma solicitação de conexão, ele compara a
solicitação com cada política de rede na lista ordenada de políticas, começando com a
primeira política e, em seguida, movendo para baixo a lista de políticas configuradas. Se
o NPS encontrar uma política cujas condições corresponderem à solicitação de conexão,
o NPS usará a política de correspondência e as propriedades discadas da conta de
usuário para executar a autorização. Se as propriedades discadas da conta de usuário
estão configuradas para conceder acesso ou controle por meio da política de rede e a
solicitação de conexão estiver autorizada, o NPS aplicará as configurações que estão
configuradas na política de rede à conexão.
Se o NPS não encontrar uma política de rede que corresponde à solicitação de conexão,
a solicitação de conexão será rejeitada, a menos que as propriedades discadas na conta
de usuário sejam definidas para conceder acesso.
Configurações de chave
Quando você usa o assistente de Nova Política de Rede para criar uma política de rede,
o valor especificado no método de conexão de rede é usado para configurar
automaticamente a condição Tipo de Política:
Se você manter o valor padrão de Não especificado, a política de rede que você
criar será avaliada pelo NPS para todos os tipos de conexão de rede que estão
usando qualquer tipo de NAS (servidor de acesso à rede).
Se você especificar um método de conexão de rede, o NPS avaliará a política de
rede somente se a solicitação de conexão for originada do tipo de servidor de
acesso à rede que você especificar.
Na página Permissão de Acesso, você deve selecionar Acesso concedido se quiser que
a política permita que os usuários se conectem à sua rede. Se você quiser que a política
impeça que os usuários se conectem à sua rede, selecione Acesso negado.
Se você quiser que a permissão de acesso seja determinada pelas propriedades discadas
da conta de usuário no AD DS (Active Directory® Domain Services), selecione a caixa de
seleção Acesso é determinado pelas propriedades discadas pelo usuário .
7 Observação
Este procedimento explica como abrir o assistente Novas Conexões de Rede Discadas
ou Virtuais Privadas no NPS.
Você pode executar o assistente Novas Conexões de Rede Discadas ou Virtuais Privadas
sempre que precisar criar novas políticas para servidores discados e servidores VPN.
Este procedimento explica como iniciar o assistente Novas Conexões Seguras com Fio e
Sem Fio do IEEE 802.1X no NPS.
Você pode executar o assistente Novas Conexões Seguras com Fio e Sem Fio do IEEE
802.1X sempre que precisar criar novas políticas para acesso 802.1X.
A execução do assistente Novas Conexões Seguras com Fio e Sem Fio do IEEE 802.1X
não é a única etapa necessária para implantar comutadores de autenticação 802.1X e
pontos de acesso sem fio como clientes RADIUS no NPS. Ambos os métodos de acesso
à rede exigem que você implante componentes adicionais de hardware e software.
2. Se ele ainda não estiver selecionado, clique em NPS (Local). Se você quiser criar
políticas em um NPS remoto, selecione o servidor.
Há duas circunstâncias em que talvez você queira configurar o NPS para ignorar as
propriedades discadas de contas de usuário no Active Directory:
Você pode usar esse procedimento para configurar o NPS para ignorar as propriedades
discadas da conta de usuário. Se uma solicitação de conexão corresponde à política de
rede em que essa caixa de seleção está marcada, o NPS não usa as propriedades
discadas da conta de usuário para determinar se o usuário ou o computador está
autorizado a acessar a rede; somente as configurações na política de rede são usadas
para determinar a autorização.
Além disso, as VLANs permitem agrupar logicamente os recursos de rede que existem
em diferentes locais físicos ou em sub-redes físicas diferentes. Por exemplo, os
membros do departamento de vendas e seus recursos de rede, como computadores
cliente, servidores e impressoras, podem estar localizados em vários edifícios diferentes
em sua organização, mas você pode colocar todos esses recursos em uma VLAN que
usa o mesmo intervalo de endereços IP. Em seguida, a VLAN funciona, da perspectiva
do usuário final, como uma única sub-rede.
Você também pode usar VLANs quando quiser separar uma rede entre diferentes
grupos de usuários. Depois de determinar como deseja definir seus grupos, você pode
criar grupos de segurança no snap-in Usuários e Computadores do Active Directory e,
em seguida, adicionar membros aos grupos.
Ao definir as configurações de uma política de rede NPS para uso com VLANs, você
deve configurar os atributos Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type
e Tunnel-Tag.
Este procedimento é fornecido como uma diretriz; sua configuração de rede pode exigir
configurações diferentes das descritas abaixo.
A associação em Administradores, ou equivalente, é o mínimo necessário para concluir
este procedimento.
Quando você implanta o NPS com políticas de rede que usam o protocolo EAP com TLS
(Transport Layer Security) ou EAP-TLS, como um método de autenticação, a MTU
(unidade de transmissão máxima) padrão usada pelo NPS para cargas EAP é de 1500
bytes.
Esse tamanho máximo para o conteúdo de EAP pode criar mensagens RADIUS que
exigem fragmentação por um roteador ou firewall entre o NPS e um cliente RADIUS. Se
esse for o caso, um roteador ou firewall posicionado entre o cliente RADIUS e o NPS
poderá descartar silenciosamente alguns fragmentos, resultando em falha de
autenticação e na incapacidade do cliente de acesso de se conectar à rede.
Use o procedimento a seguir para reduzir o tamanho máximo que o NPS usa para
cargas EAP ajustando o atributo Framed-MTU em uma política de rede para um valor
não maior que 1344.
6. Em Valor do Atributo, digite um valor igual ou menor que 1344. Clique em OK,
clique em Fechare em OK.
Para obter mais informações sobre políticas de rede, consulte Políticas de rede.
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Configurar a contabilização do Servidor
de Políticas de Rede
Artigo • 21/12/2022 • 11 minutos para o fim da leitura
SQL registro em log. Usando essa configuração, você pode configurar um link de
dados para um SQL Server que permite que o NPS se conecte e envie dados de
contabilidade para o SQL servidor. Além disso, o assistente pode configurar o
banco de dados no SQL Server para garantir que o banco de dados seja
compatível com o log SQL servidor NPS.
Somente registro em log de texto. Usando essa configuração, você pode
configurar o NPS para registrar dados de contabilidade em um arquivo de texto.
Registro em log paralelo. Usando essa configuração, você pode configurar o link
de SQL Server dados e o banco de dados. Você também pode configurar o log de
arquivo de texto para que o NPS seja logs simultaneamente para o arquivo de
texto e o banco de SQL Server dados.
SQL registro em log com backup. Usando essa configuração, você pode
configurar o link de SQL Server dados e o banco de dados. Além disso, você pode
configurar o log de arquivo de texto que o NPS usa se SQL Server registro em log
falhar.
Além dessas configurações, tanto o log SQL Server quanto o log de texto permitem que
você especifique se o NPS continuará a processar solicitações de conexão se o log
falhar. Você pode especificar isso na seção Ação de falha de registro em log nas
propriedades de log de arquivo local, nas propriedades de log do SQL do servidor e
durante a execução do Assistente de Configuração de Contabilidade.
Para obter mais informações sobre como interpretar arquivos de log, consulte
Interpretar arquivos de log de formato de banco de dados NPS.
Alternar formatos de arquivo de log não faz com que um novo log seja criado. Se
você alterar os formatos de arquivo de log, o arquivo que estiver ativo no
momento da alteração conterá uma combinação dos dois formatos (os registros
no início do log terão o formato anterior e os registros no final do log terão o
novo formato).
7 Observação
O NPS formatará dados de contabilidade como um documento XML que ele envia
para o report_event armazenado no banco de dados SQL Server que você designa
no NPS. Para SQL Server registro em log funcione corretamente, você deve ter um
procedimento armazenado chamado report_event no banco de dados SQL Server
que possa receber e analisar os documentos XML do NPS.
7. para testar a conexão entre o NPS e o SQL Server, clique em testar conexão.
Clique em OK para fechar as propriedades do vínculo de dados.
8. em ação de falha de log, selecione habilitar log de arquivo de texto para failover
se você quiser que o NPS continue com o log de arquivo de texto se SQL Server
log falhar.
9. Em ação de falha no log, selecione se o log falhar, descarte as solicitações de
conexão se desejar que o NPS pare de processar Access-Request mensagens
quando os arquivos de log estiverem cheios ou indisponíveis por algum motivo. Se
você quiser que o NPS continue a processar solicitações de conexão se o log
falhar, não marque essa caixa de seleção.
Quando você configura uma entrada de registro para ping User-Name, o NPS
corresponde ao valor de entrada do registro em relação ao valor do nome de usuário
em solicitações de ping por outros servidores. Uma entrada de registro de nome de
usuário de ping especifica o nome de usuário fictício (ou um padrão de nome de
usuário, com variáveis que corresponde ao nome de usuário fictício) enviado por
servidores proxy RADIUS e servidores de acesso à rede. Quando o NPS recebe
solicitações de ping que correspondem ao valor de entrada de registro de nome de
usuário de ping , o NPS rejeita as solicitações de autenticação sem processar a
solicitação. O NPS não registra as transações que envolvem o nome de usuário fictício
em todos os arquivos de log, o que torna o log de eventos mais fácil de interpretar.
O ping User-Name não é instalado por padrão. Você deve adicionar ping User-Name
ao registro. Você pode adicionar uma entrada ao registro usando o editor do registro.
U Cuidado
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters
Nome:
Tipo:
Dados: nome de usuário
Dica
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para configurar servidores de acesso à rede como clientes
RADIUS no NPS.
Ao adicionar um novo servidor de acesso à rede (servidor VPN, ponto de acesso sem fio,
opção de autenticação ou servidor discado) à sua rede, você deve adicionar o servidor
como um cliente RADIUS no NPS e, em seguida, configurar o cliente RADIUS para se
comunicar com o NPS.
) Importante
Para executar os procedimentos neste tópico, você deve ter pelo menos um servidor de
acesso à rede (servidor VPN, ponto de acesso sem fio, comutador de autenticação ou
servidor discado) ou proxy NPS fisicamente instalado em sua rede.
Este procedimento fornece diretrizes gerais sobre as configurações que você deve usar
para configurar seus NASs; Para obter instruções específicas sobre como configurar o
dispositivo que você está implantando em sua rede, consulte a documentação do
produto NAS.
Você não poderá configurar clientes RADIUS por intervalo de endereços IP se estiver
executando o NPS Windows Server 2016 Standard.
Use este procedimento para adicionar um grupo de NASs (servidores de acesso à rede)
como clientes RADIUS configurados com endereços IP do mesmo intervalo de
endereços IP.
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Configurar grupos de servidores
RADIUS remotos
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para configurar grupos de servidores RADIUS remotos
quando quiser configurar o NPS para atuar como um servidor proxy e encaminhar
solicitações de conexão para outros NPSs para processamento.
Ao configurar o NPS como um proxy RADIUS, você cria uma nova política de solicitação
de conexão que o NPS usa para determinar quais solicitações de conexão encaminhar
para outros servidores RADIUS. Além disso, a política de solicitação de conexão é
configurada especificando um grupo de servidores RADIUS remoto que contém um ou
mais servidores RADIUS, que informa ao NPS para onde enviar as solicitações de
conexão que corresponderem à política de solicitação de conexão.
7 Observação
Para obter mais informações sobre como gerenciar o NPS, consulte Gerenciar servidor
de políticas de rede.
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Gerenciar certificados usados com NPS
Artigo • 29/09/2022 • 6 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Correspondentemente, o cliente examina o handle TLS para o NPS, determina que ele é
uma reconexão e não precisa executar a autenticação do servidor.
Por exemplo, talvez você queira diminuir o tempo de expiração do handle TLS em
circunstâncias em que o certificado de um usuário é revogado por um administrador e o
certificado expirou. Nesse cenário, o usuário ainda poderá se conectar à rede se um NPS
tiver um alça TLS armazenado em cache que não expirou. Reduzir a expiração do lidar
com TLS pode ajudar a impedir que esses usuários com certificados revogados se
reconectem.
7 Observação
) Importante
6. No painel de detalhes, navegue até o certificado para sua AC raiz confiável. Clique
duas vezes no certificado. A caixa de diálogo Certificado é aberta.
10. Abra o local no qual você deseja colar o hash SHA-1, localize corretamente o
cursor e pressione o atalho de teclado Windows para o comando Colar (CTRL+V).
Para obter mais informações sobre certificados e NPS, consulte Configurar modelos de
certificado para requisitos de PEAP e EAP.
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Configurar modelos de certificado para
requisitos de PEAP e EAP
Artigo • 21/12/2022 • 5 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
) Importante
Este tópico fornece instruções para configurar modelos de certificado. Para usar
essas instruções, é necessário que você tenha implantado sua própria PKI
(Infraestrutura de Chave Pública) com Serviços de Certificados do Active Directory
(AD CS).
Ao usar PEAP e EAP-TLS, o NPSs exibe uma lista de todos os certificados instalados no
armazenamento de certificados do computador, com as seguintes exceções:
Certificados que não contêm a finalidade de Autenticação de Servidor em
extensões de EKU não são exibidos.
O cliente 802.1X não usa certificados baseados no Registro que são certificados
protegidos por senha ou logon de cartão inteligente.
Clientes sem fio e clientes VPN não exibem certificados protegidos por senha.
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Gerenciar NPSs
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para configurar um NPS com vários adaptadores de rede.
Por padrão, o NPS escuta o tráfego RADIUS nas portas 1812, 1813, 1645 e 1646 para
IPv6 e IPv4 para todos os adaptadores de rede instalados. Como o NPS usa
automaticamente todos os adaptadores de rede para tráfego RADIUS, você só precisa
especificar os adaptadores de rede que deseja que o NPS use para o tráfego RADIUS
quando quiser impedir que o NPS use um adaptador de rede específico.
7 Observação
Em um NPS que tenha vários adaptadores de rede instalados, talvez você queira
configurar o NPS para enviar e receber o tráfego RADIUS somente nos adaptadores
especificados.
) Importante
Se você não usar os números de porta padrão RADIUS, deverá configurar exceções
no firewall do computador local para permitir o tráfego RADIUS nas novas portas.
Para obter mais informações, consulte Configurar firewalls para tráfego RADIUS.
Para obter mais informações sobre portas UDP do NPS, consulte Configurar informações
de porta UDP do NPS
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede
Configurar informações da porta UDP
do NPS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar o procedimento a seguir para configurar as portas que o servidor de
diretivas de rede (NPS) usa para autenticação de serviço RADIUS (RADIUS) e o tráfego
de contabilização.
Por padrão, o NPS escuta o tráfego RADIUS nas portas 1812, 1813, 1645 e 1646 para o
protocolo IP versão 6 (IPv6) e IPv4 para todos os adaptadores de rede instalados.
7 Observação
Os valores de porta de 1812 para autenticação e 1813 para contabilidade são portas
RADIUS padrão definidas pela IETF (Internet Engineering Task Force) nas RFCs 2865 e
2866. No entanto, por padrão, muitos servidores de acesso usam as portas 1645 para
solicitações de autenticação e 1646 para solicitações de contabilização. Não importa
quais números de porta você decidir usar, verifique se o NPS e o servidor de acesso
estão configurados para usar os mesmos.
Para obter mais informações sobre como gerenciar o NPS, consulte gerenciar o servidor
de políticas de rede.
Para obter mais informações sobre o NPS, consulte servidor de diretivas de rede (NPS).
Desabilitar o encaminhamento de
notificação do NAS no NPS
Artigo • 24/09/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Isso cria tráfego de rede desnecessário. Para eliminar esse tráfego, desabilite o
encaminhamento de notificação nas para servidores individuais em cada grupo de
servidores RADIUS remoto.
3. Clique duas vezes no membro do grupo que você deseja configurar e clique na
guia Autenticação/Contabilidade .
Para obter mais informações sobre o NPS, consulte Servidor de Políticas de Rede (NPS).
Exportar uma configuração do NPS para
importação em outro servidor
Artigo • 29/09/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
No Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012, você
pode usar o Netsh ou pode usar Windows PowerShell.
No Windows Server 2008 R2 e Windows Server 2008, use Netsh.
) Importante
Não use esse procedimento se o banco de dados NPS de origem tiver um número
de versão maior do que o número de versão do banco de dados NPS de destino.
Você pode exibir o número de versão do banco de dados NPS na exibição do
comando netsh nps show config .
7 Observação
Se SQL Server log estiver configurado no NPS de origem, SQL Server configurações
de log não serão exportadas para o arquivo XML. Depois de importar o arquivo em
outro NPS, você deve configurar manualmente SQL Server log.
Exportar e importar a configuração do NPS
usando Windows PowerShell
Para Windows Server 2012 e versões posteriores do sistema operacional, você pode
exportar a configuração do NPS usando Windows PowerShell.
PowerShell
Parâmetro Descrição
Caminho Especifica o nome e o local do arquivo XML para o qual você deseja exportar a
configuração do NPS.
Credenciais administrativas
Exemplo de exportação
No exemplo a seguir, a configuração do NPS é exportada para um arquivo XML
localizado na unidade local. Para executar esse comando, execute Windows PowerShell
como Administrador no NPS de origem, digite o comando a seguir e pressione Enter.
PowerShell
PowerShell
Import-NpsConfiguration [-Path] <String> [ <CommonParameters>]
Exemplo de importação
O comando a seguir importa configurações do arquivo chamado C:\Npsconfig.xml para
NPS. Para executar esse comando, execute Windows PowerShell como Administrador no
NPS de destino, digite o comando a seguir e pressione Enter.
PowerShell
7 Observação
Credenciais administrativas
Referências adicionais
Shell de Rede (Netsh)
Aumentar autenticações simultâneas
processadas pelo NPS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para obter instruções sobre como configurar autenticações
simultâneas do Servidor de Políticas de Rede.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
U Cuidado
Para obter mais informações sobre MaxConcurrentApi, consulte Como fazer o ajuste de
desempenho para autenticação NTLM usando a configuração MaxConcurrentApi
Para obter mais informações sobre como gerenciar o NPS, consulte Gerenciar Servidor
de Política de Rede.
Para obter mais informações sobre o NPS, consulte NPS (Servidor de Política de Rede).
Instalar o NPS (Servidor de Políticas de
Rede)
Artigo • 29/09/2022 • 2 minutos para o fim da leitura
Você pode usar este tópico para instalar o NPS (Servidor de Políticas de Rede) usando o
Windows PowerShell ou o Assistente para Adicionar Funções e Recursos. O NPS é um
serviço de função da função de servidor Serviços de Acesso e Política de Rede.
7 Observação
Por padrão, o NPS ouve o tráfego RADIUS nas portas 1812, 1813, 1645 e 1646 em
todos os adaptadores de rede instalados. Se Windows Firewall com Segurança
Avançada estiver habilitado quando você instalar o NPS, as exceções de firewall
para essas portas serão criadas automaticamente durante o processo de instalação
para o tráfego IPv6 (protocolo IPv6) e IPv4. Se os servidores de acesso à rede estão
configurados para enviar tráfego RADIUS por portas diferentes desses padrões,
remova as exceções criadas no Firewall do Windows com Segurança Avançada
durante a instalação do NPS e crie exceções para as portas que você usa para o
tráfego RADIUS.
Credenciais administrativas
Para concluir este procedimento, você deve ser um membro do grupo Administradores
de Domínio.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Clientes do serviço RADIUS (RADIUS), que são servidores de acesso à rede, como
servidores de rede virtual privada (VPN) e pontos de acesso sem fio, criam solicitações
de conexão e as enviam para servidores RADIUS, como o NPS. Em alguns casos, um NPS
pode receber muitas solicitações de conexão ao mesmo tempo, resultando em um
desempenho degradado ou em uma sobrecarga. Quando um NPS está sobrecarregado,
é uma boa ideia adicionar mais NPSs à sua rede e configurar o balanceamento de carga.
Quando você distribui uniformemente as solicitações de conexão de entrada entre
vários NPSs para evitar o sobrecarregamento de um ou mais NPSs, ele é chamado de
balanceamento de carga.
Há dois métodos que você pode usar para balancear a carga de solicitações de conexão
enviadas para seu NPSs:
Peso. O NPS usa essa configuração de peso para determinar quantas solicitações
de conexão devem ser enviadas a cada membro do grupo quando os membros do
grupo têm o mesmo nível de prioridade. A configuração de peso deve ser
atribuída a um valor entre 1 e 100, e o valor representa um percentual de 100%.
Por exemplo, se o grupo de servidores remotos RADIUS contiver dois membros
que tenham um nível de prioridade 1 e uma classificação de peso de 50, o proxy
NPS encaminhará 50% das solicitações de conexão para cada servidor RADIUS.
7 Observação
Para configurar o NPS para atuar como um servidor proxy e encaminhar solicitações de
conexão de clientes RADIUS para servidores RADIUS remotos, você deve executar as
seguintes ações:
4. No proxy NPS, para cada servidor RADIUS que você adiciona a um grupo de
servidores remotos RADIUS, clique na guia balanceamento de carga do servidor
RADIUS e configure prioridade, pesoe Configurações avançadas.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para registrar um servidor que executa o Servidor de
Políticas de Rede Windows Server 2016 no domínio padrão do NPS ou em outro
domínio.
Os NPSs devem ser registrados no Active Directory para que tenham permissão para ler
as propriedades discadas das contas de usuário durante o processo de autorização.
Registrar um NPS adiciona o servidor ao grupo servidores RAS e IAS no Active
Directory.
Você pode usar esse procedimento para registrar um NPS em um domínio em que o
NPS não é um membro de domínio.
2. Na árvore de console, navegue até o domínio em que você deseja que o NPS leia
as informações da conta de usuário e clique na pasta Usuários.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Ao mover ou desativar um NPS, você pode cancelar o registro do NPS nos domínios de
Active Directory em que o NPS tem permissão para ler as propriedades de contas de
usuário em Active Directory.
3. Clique na guia Membros e selecione o NPS que você deseja cancelar o registro.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
7 Observação
O Console do NPS e o snap-in do NPS MMC têm um limite de 256 caracteres para
todas as configurações que levam um valor de cadeia de caracteres. Isso inclui
todas as configurações que podem ser configuradas usando expressões regulares.
Para configurar valores de cadeia de caracteres que excedem 256 caracteres, use
comandos NPS NETSH.
Valores de cadeia de caracteres configurados que excedem
256 caracteres não podem ser editados no Console do NPS ou no snap-in do NPS
MMC sem invalidá-los.
\ Indica que o caractere a seguir é um caractere /n/ matches the character "n"
especial ou deve ser interpretado literalmente. while the sequence /\n/ matches a
line feed or newline character.
+ Corresponde ao caractere anterior uma ou /zo+/ matches "zoo" but not "z."
mais vezes.
Caractere Descrição Exemplo
x | y Corresponde a x ou y.
{n} Corresponde exatamente a n vezes (n é um /o{2}/ does not match the "o" in
inteiro não negativo). "Bob," but matches the first two
instances of the letter o in
"foooood."
{n,} Corresponde pelo menos n vezes (n é um /o{2,}/ does not match the "o" in
inteiro não negativo). "Bob" but matches all of the
instances of the letter o in
"foooood." /o{1,}/ is equivalent
to /o+/.
{n,m} Corresponde pelo menos n e no máximo m /o{1,3}/ matches the first three
vezes (m e n são inteiros não negativos). instances of the letter o in
"fooooood."
[^xyz] Corresponde a todos os caracteres que não /[^abc]/ matches the "p" in
estão incluídos (um conjunto de caracteres "plain."
negativo).
899.*
Para especificar um intervalo de endereços IP que começam com 192.168.1, a
sintaxe é:
192\.168\.1\..+
7 Observação
Encontrar: @microsoft\.com
Substitua:
Encontrar: (.*)@(.*)
Substituir: $2\$1
Encontrar: (.*)\\(.*)
Encontrar: $
Substituir: @specific_domain
Para obter mais informações sobre como gerenciar o NPS, consulte Gerenciar servidor
de política de rede.
Para obter mais informações sobre o NPS, consulte NPS (Servidor de Política de Rede).
Verificar a configuração após as
alterações do NPS
Artigo • 21/12/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para verificar a configuração do NPS após a alteração de um
endereço IP ou nome para o servidor.
Use as diretrizes gerais a seguir para ajudá-lo a verificar se uma alteração de endereço
IP não interrompe a autenticação, autorização ou contabilização de acesso à rede em
sua rede para servidores RADIUS NPS e servidores proxy RADIUS.
3. se você configurou o NPS para usar SQL Server registro em log, verifique se a
conectividade entre o computador que está executando o SQL Server e o NPS
ainda está funcionando corretamente.
4. se você tiver implantado o IPsec para proteger o tráfego RADIUS entre o NPS e um
proxy nps ou outros servidores ou dispositivos, reconfigure a política IPsec ou a
regra de segurança de conexão no Windows Firewall com segurança avançada
para usar o novo endereço IP do NPS.
2. Se o proxy NPS for de hospedagem múltipla e você tiver configurado o proxy para
associar a um adaptador de rede específico, redefina as configurações de porta do
NPS com o novo endereço IP.
a. Clique duas vezes em NPS (local), clique duas vezes em clientes e servidores
RADIUS, clique em clientes RADIUSe, no painel de detalhes, clique duas vezes no
cliente RADIUS que você deseja alterar.
4. se você tiver configurado o proxy NPS para usar o log de SQL Server, verifique se a
conectividade entre o computador que executa o SQL Server e o proxy NPS ainda
está funcionando corretamente.
Se você alterar um nome de proxy ou NPS, será necessário reconfigurar partes de sua
implantação do NPS.
Use as diretrizes gerais a seguir para ajudá-lo a verificar se uma alteração de nome de
servidor não interrompe a autenticação, autorização ou contabilização de acesso à rede.
Depois que o certificado antigo for revogado, o NPS continuará a usá-lo até que o
certificado antigo expire. Por padrão, o certificado antigo permanece válido por
um tempo máximo de uma semana e 10 horas. Esse período de tempo pode ser
diferente dependendo se a expiração da CRL (lista de certificados revogados) e a
expiração do tempo de cache da TLS (segurança da camada de transporte) foram
modificadas a partir de seus padrões. A expiração da CRL padrão é de uma
semana; a expiração do tempo de cache TLS padrão é de 10 horas.
Este documento explica como localizar informações de usuário coletadas pelo NPS
(servidor de diretivas de rede) no evento que você gostaria de removê-las.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar modelos npS (Servidor de Políticas de Rede) para criar elementos de
configuração, como clientes Remote Authentication Dial-In User Service (RADIUS) ou
segredos compartilhados, que você pode reutilizar no NPS local e exportar para uso em
outros NPSs.
Filtros IP. Esse modelo possibilita que você crie filtros protocolo IP versão 4 (IPv4)
e IPv6 (Internet Protocol versão 6) que você possa reutilizar (selecionando o
modelo no local apropriado no console NPS) ao configurar políticas de rede.
3. Uma nova caixa de diálogo de propriedades de modelo é aberta que você pode
usar para configurar seu modelo.
3.In clientes RADIUS, no painel de detalhes, clique com o botão direito do mouse no
cliente RADIUS ao qual você deseja aplicar o modelo NPS e clique em Propriedades.
2. Para importar modelos NPS, no console do NPS, clique com o botão direito do
mouse em Gerenciamento de Modelos e clique em Importar Modelos de um
Computador ou Importar Modelos de um Arquivo.
Shell de rede (netsh)
Artigo • 26/01/2023 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Além disso, há comandos netsh para tecnologias de rede, como para IPv6, ponte de
rede e RPC (Chamada de Procedimento Remoto), que não estão disponíveis no
Windows Server como um snap-in do MMC.
) Importante
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar este tópico para aprender a inserir contextos e subcontextos netsh, a
entender a formatação da sintaxe e do comando netsh e a executar comandos netsh em
computadores locais e remotos.
O Netsh também fornece um recurso de script com o qual você pode executar um
grupo de comandos no modo em lote para um computador especificado. Com o Netsh,
você pode salvar um script de configuração em um arquivo de texto para fins de
arquivamento ou para ajudar você a configurar outros computadores.
Contextos netsh
O Netsh interage com outros componentes do sistema operacional usando arquivos
DLL (biblioteca de vínculo dinâmico).
PS C:\Windows\system32> netsh
netsh>/?
To view help for a command, type the command, followed by a space, and
then type ?.
Subcontextos
Os contextos netsh podem conter comandos e contextos adicionais, chamados
subcontextos. Por exemplo, dentro do contexto de roteiros, você pode alterar para os
subcontextos IP e IPv6.
Para exibir uma lista de comandos e subcontextos que você pode usar em um contexto,
no prompt netsh, digite o nome do contexto e digite /? ou help. Por exemplo, para
exibir uma lista de subcontextos e comandos que você pode usar no contexto de
roteamento, no prompt netsh (ou seja, netsh), digite um dos seguintes:
routing /?
routing help
Para executar tarefas em outro contexto sem alterar o contexto atual, digite o caminho
de contexto do comando que você deseja usar no prompt do netsh. Por exemplo, para
adicionar uma interface denominada "Conexão de Área Local" no contexto IGMP sem
primeiro alterar para o contexto IGMP, no prompt do netsh, digite:
Legenda de formatação
Você pode usar a legenda de formatação a seguir para interpretar e usar a sintaxe de
comando netsh correta ao executar o comando no prompt netsh ou em um arquivo ou
script em lotes.
O texto em itálico é a informação que você deve fornecer enquanto digita o
comando. Por exemplo, se um comando tiver um parâmetro denominado -
UserName, você deverá digitar o nome de usuário real.
O texto em negrito é a informação que você deve digitar exatamente conforme
mostrado enquanto você digita o comando.
Texto seguido por reellipse (...) é um parâmetro que pode ser repetido várias vezes
em uma linha de comando.
Texto entre colchetes [ ] é um item opcional.
Texto entre chaves { } com opções separadas por um pipe fornece um conjunto de
opções do qual você deve selecionar apenas uma, como {enable|disable} .
O texto formatado com a fonte Courier é a saída do código ou do programa.
netsh
O Netsh é um utilitário de script de linha de comando que permite, local ou
remotamente, exibir ou modificar a configuração de rede de um computador em
execução no momento. Usado sem parâmetros, o netsh abre o prompt Netsh.exe
comando (ou seja, netsh).
Sintaxe
netsh[ -aAliasFile] [ -cContext ] [-rRemoteComputer] [ -u [ DomainName\ ] UserName ] [
-pPassword | *] [{NetshCommand-fScriptFile}]
Parâmetros
-a
Opcional. Especifica que você é levado de volta ao prompt do netsh depois de executar
AliasFile.
AliasFile
Opcional. Especifica o nome do arquivo de texto que contém um ou mais comandos
netsh.
-c
Context
-r
) Importante
Quando você usa alguns comandos netsh remotamente ou outro computador com
o parâmetro netsh –r, o serviço do Registro Remoto deve ser executado no
computador remoto. Se não estiver em execução, o Windows exibirá uma
mensagem de erro "Caminho de Rede não encontrado".
RemoteComputer
-u
Opcional. Especifica que você deseja executar o comando netsh em uma conta de
usuário.
DomainName\\
Opcional. Especifica o domínio em que a conta de usuário está localizada. O padrão será
o domínio local se DomainName\ não for especificado.
UserName
-p
Opcional. Especifica que você deseja fornecer uma senha para a conta de usuário.
Password
Opcional. Especifica a senha da conta de usuário que você especificou com -
uUserName.
NetshCommand
-f
Opcional. Sai do netsh depois de executar o script que você designa com ScriptFile.
ScriptFile
/?
7 Observação
Caso um valor de cadeia de caracteres contenha espaços entre caracteres, como valores
de cadeia de caracteres compostos por mais de uma palavra, é necessário colocar o
valor da cadeia de caracteres entre aspas. Por exemplo, para um parâmetro denominado
interface com um valor de cadeia de caracteres de Conexão de Rede Sem Fio, use o
valor de cadeia de caracteres entre aspas:
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Use este tópico para aprender a criar um arquivo em lotes que executa várias tarefas
usando o Netsh no Windows Server. Este exemplo de arquivo em lotes usa o contexto
netsh wins.
rem 1. Connect to (WINS-A), and add the dynamic name MY\_RECORD \[04h\] to
the (WINS-A) database.
rem 5. Connect to (WINS-B), and check that the record MY_RECORD [04h] was
replicated successfully.
Referências adicionais
Shell de Rede (Netsh)
Comandos Netsh http
Artigo • 21/12/2022 • 8 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Dica
netsh http>
add iplisten
add sslcert
add timeout
add urlacl
delete cache
delete iplisten
delete sslcert
delete timeout
delete urlacl
flush logbuffer
show cachestate
show iplisten
show servicestate
show sslcert
show timeout
show urlacl
add iplisten
Adiciona um novo endereço IP à lista de escuta de IP, excluindo o número da porta.
Sintaxe
PowerShell
Parâmetros
ipaddress O endereço IPv4 ou IPv6 a ser adicionado à lista de escuta de IP. A lista Necessária
de escuta de IP é usada para definir o escopo da lista de endereços
aos quais o serviço HTTP associa-se. "0.0.0.0" significa qualquer
endereço IPv4 e "::" significa qualquer endereço IPv6.
Exemplos
add sslcert
Adiciona uma nova associação de certificado do servidor SSL e as políticas de certificado
de cliente correspondentes a um endereço IP e uma porta.
Sintaxe
PowerShell
Parâmetros
Exemplos
add timeout
Adiciona um tempo limite global ao serviço.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
value Valor do tempo limite (em segundos). Se o valor estiver em notação hexadecimal,
adicione o prefixo 0x.
Exemplos
add urlacl
Adiciona uma entrada de reserva de URL (Uniform Resource Locator). Esse comando
reserva a URL para contas e usuários não administradores. A DACL pode ser especificada
usando um nome de conta do NT com os parâmetros listen e delegate ou usando uma
cadeia de caracteres SDDL.
Sintaxe
PowerShell
Parâmetros
listen Especifica um dos seguintes valores: sim: permitir que o usuário Opcional
registre URLs. Este é o valor padrão. não: negar que o usuário registre
URLs.
delegate Especifica um dos seguintes valores: sim: permitir que o usuário Opcional
delegue URLs não: negar que o usuário delegue URLs. Este é o valor
padrão.
sddl Especifica uma cadeia de caracteres SDDL que descreve a DACL. Opcional
Exemplos
Sintaxe
PowerShell
Parâmetros
url Especifica a URL (Uniform Resource Locator) totalmente qualificada que Opcional
você deseja excluir.
recursive Especifica se todas as entradas no cache de URL são removidas. Sim: Opcional
remover todas as entradas não: não remover todas as entradas
Exemplos
delete iplisten
Exclui um endereço IP da lista de escuta de IP. A lista de escuta de IP é usada para
definir o escopo da lista de endereços aos quais o serviço HTTP associa-se.
Sintaxe
PowerShell
Parâmetros
ipaddress O endereço IPv4 ou IPv6 a ser excluído da lista de escuta de IP. A lista Necessária
de escuta de IP é usada para definir o escopo da lista de endereços
aos quais o serviço HTTP associa-se. "0.0.0.0" significa qualquer
endereço IPv4 e "::" significa qualquer endereço IPv6. Isso não inclui o
número da porta.
Exemplos
delete sslcert
Excluir as associações de certificado do servidor SSL e as políticas de certificado de
cliente correspondentes a um endereço IP e uma porta.
Sintaxe
PowerShell
Parâmetros
ipport Especifica o endereço IPv4 ou IPv6 e a porta para a qual as associações Necessária
de certificado SSL são excluídas. Um caractere de dois-pontos (:) é
usado como delimitador entre o endereço IP e o número da porta.
Exemplos
Sintaxe
PowerShell
Parâmetros
Exemplos
delete urlacl
Exclui as reservas de URL.
Sintaxe
PowerShell
Parâmetros
Exemplos
flush logbuffer
Libera os buffers internos para os arquivos de log.
Sintaxe
PowerShell
flush logbuffer
show cachestate
Lista os recursos de URI armazenados em cache e suas propriedades associadas. Este
comando lista todos os recursos e propriedades associadas em cache no cache de
resposta HTTP ou exibe um único recurso e as propriedades associadas a ele.
Sintaxe
PowerShell
Parâmetros
url Especifica a URL totalmente qualificada que você deseja exibir. Se não Opcional
for especificado, todas as URLs serão exibidas. A URL também pode ser
um prefixo para URLs registradas.
Exemplos
show iplisten
Exibe todos os endereços IP na lista de escuta de IP. A lista de escuta de IP é usada para
definir o escopo da lista de endereços aos quais o serviço HTTP associa-se. "0.0.0.0"
significa qualquer endereço IPv4 e "::" significa qualquer endereço IPv6.
Sintaxe
PowerShell
show iplisten
show servicestate
Exibe um instantâneo do serviço HTTP.
Sintaxe
PowerShell
Parâmetros
Verbose Especifica se é devem ser exibidas informações detalhadas que também Opcional
mostram informações de propriedade.
Exemplos
show sslcert
Exibe associações de certificado do servidor de protocolo SSL e as políticas de
certificado de cliente correspondentes a um endereço IP e uma porta.
Sintaxe
PowerShell
Parâmetros
ipport Especifica o endereço IPv4 ou IPv6 e a porta para a qual as associações Necessária
de certificado SSL são exibidas. Um caractere de dois-pontos (:) é
usado como delimitador entre o endereço IP e o número da porta. Se
você não especificar ipport, todas as associações serão exibidas.
Exemplos
show timeout
Exibe, em segundos, os valores de tempo limite do serviço HTTP.
Sintaxe
PowerShell
show timeout
show urlacl
Exibe DACLs (listas de controle de acesso discricional) para a URL reservada especificada
ou todas as URLs reservadas.
Sintaxe
PowerShell
Parâmetros
url Especifica a URL totalmente qualificada que você deseja exibir. Se não Opcional
for especificado, todas as URLs serão exibidas.
Exemplos
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Use os comandos netsh interface portproxy para funcionar como proxies entre as redes
e aplicativos IPv4 e IPv6. Você pode usar esses comandos para estabelecer o serviço de
proxy das seguintes maneiras:
Ao gravar arquivos ou scripts em lotes usando esses comandos, cada comando deve
começar com netsh interface portproxy. Por exemplo, ao usar o comando delete
v4tov6 para especificar que o servidor portproxy exclua uma porta e um endereço IPv4
da lista de endereços IPv4 para os quais o servidor escuta, o script ou o arquivo em
lotes deverá usar a seguinte sintaxe:
PowerShell
add v4tov4
add v4tov6
add v6tov4
add v6tov6
delete v4tov4
delete v4tov6
delete v6tov6
reset ipv4
reset ipv6
set v4tov4
set v4tov6
setv6tov4
set v6tov6
show all
show v4tov4
show v4tov6
show v6tov4
show v6tov6
add v4tov4
O servidor portproxy escuta mensagens enviadas a uma porta e um endereço IPv4
específicos. Ele mapeia uma porta e um endereço IPv4 para enviar as mensagens
recebidas após estabelecer uma conexão TCP separada.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
Parâmetro Descrição
listenport Especifica a porta IPv4, por número da porta ou nome do serviço, na qual
escutar.
connectport Especifica a porta IPv4, por número da porta ou nome do serviço, à qual se
conectar. Se connectport não for especificado, o padrão será o valor de
listenport no computador local.
listenaddress Especifica o endereço IPv4 para o qual escutar. Os valores aceitáveis são
endereço IP, nome NetBIOS do computador ou nome DNS do computador. Se
um endereço não for especificado, o padrão é o computador local.
add v4tov6
O servidor portproxy escuta mensagens enviadas a uma porta e um endereço IPv4
específicos e mapeia uma porta e um endereço IPv6 para enviar as mensagens
recebidas após estabelecer uma conexão TCP separada.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenport Especifica a porta IPv4, por número da porta ou nome do serviço, na qual
escutar.
connectport Especifica a porta IPv6, por número da porta ou nome do serviço, à qual se
conectar. Se connectport não for especificado, o padrão será o valor de
listenport no computador local.
listenaddress Especifica o endereço IPv4 no qual escutar. Os valores aceitáveis são endereço
IP, nome NetBIOS do computador ou nome DNS do computador. Se um
endereço não for especificado, o padrão é o computador local.
add v6tov4
O servidor portproxy escuta mensagens enviadas a uma porta e um endereço IPv6
específicos e mapeia uma porta e um endereço IPv4 para os quais enviar as mensagens
recebidas após estabelecer uma conexão TCP separada.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenport Especifica a porta IPv6, por número da porta ou nome do serviço, na qual
escutar.
connectport Especifica a porta IPv4, por número da porta ou nome do serviço, à qual se
conectar. Se connectport não for especificado, o padrão será o valor de
listenport no computador local.
listenaddress Especifica o endereço IPv6 no qual escutar. Os valores aceitáveis são endereço
IP, nome NetBIOS do computador ou nome DNS do computador. Se um
endereço não for especificado, o padrão é o computador local.
Parâmetro Descrição
add v6tov6
O servidor portproxy escuta mensagens enviadas a uma porta e um endereço IPv6
específicos e mapeia uma porta e um endereço IPv6 para os quais enviar as mensagens
recebidas após estabelecer uma conexão TCP separada.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenport Especifica a porta IPv6, por número da porta ou nome do serviço, na qual
escutar.
connectport Especifica a porta IPv6, por número da porta ou nome do serviço, à qual se
conectar. Se connectport não for especificado, o padrão será o valor de
listenport no computador local.
listenaddress Especifica o endereço IPv6 no qual escutar. Os valores aceitáveis são endereço
IP, nome NetBIOS do computador ou nome DNS do computador. Se um
endereço não for especificado, o padrão é o computador local.
delete v4tov4
O servidor portproxy exclui um endereço IPv4 da lista de portas e endereços IPv4 para
os quais o servidor escuta.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenaddress Especifica o endereço IPv4 a ser excluído. Se um endereço não for especificado, o
padrão é o computador local.
delete v4tov6
O servidor portproxy exclui uma porta e um endereço IPv4 da lista de endereços IPv4
para os quais o servidor escuta.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenaddress Especifica o endereço IPv4 a ser excluído. Se um endereço não for especificado, o
padrão é o computador local.
delete v6tov4
O servidor portproxy exclui uma porta e um endereço IPv6 da lista de endereços IPv6
para os quais o servidor escuta.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenaddress Especifica o endereço IPv6 a ser excluído. Se um endereço não for especificado, o
padrão é o computador local.
delete v6tov6
O servidor portproxy exclui um endereço IPv6 da lista de endereços IPv6 para os quais o
servidor escuta.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenaddress Especifica o endereço IPv6 a ser excluído. Se um endereço não for especificado, o
padrão é o computador local.
Parâmetro Descrição
reset-ipv4
Redefine o State Configuration do IPv4.
Sintaxe
PowerShell
reset-ipv6
Redefine o estado de configuração do IPv6.
Sintaxe
PowerShell
set v4tov4
Modifica os valores de parâmetro de uma entrada existente no servidor portproxy
criado com o comando add v4tov4 ou adiciona uma nova entrada à lista que mapeia os
pares porta/endereço.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenport Especifica a porta IPv4, por número da porta ou nome do serviço, na qual
escutar.
connectport Especifica a porta IPv4, por número da porta ou nome do serviço, à qual se
conectar. Se connectport não for especificado, o padrão será o valor de
listenport no computador local.
listenaddress Especifica o endereço IPv4 para o qual escutar. Os valores aceitáveis são
endereço IP, nome NetBIOS do computador ou nome DNS do computador. Se
um endereço não for especificado, o padrão é o computador local.
set v4tov6
Modifica os valores de parâmetro de uma entrada existente no servidor portproxy
criado com o comando add v4tov6 ou adiciona uma nova entrada à lista que mapeia os
pares porta/endereço.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenport Especifica a porta IPv4, por número da porta ou nome do serviço, na qual
escutar.
connectport Especifica a porta IPv6, por número da porta ou nome do serviço, à qual se
conectar. Se connectport não for especificado, o padrão será o valor de
listenport no computador local.
listenaddress Especifica o endereço IPv4 no qual escutar. Os valores aceitáveis são endereço
IP, nome NetBIOS do computador ou nome DNS do computador. Se um
endereço não for especificado, o padrão é o computador local.
set v6tov4
Modifica os valores de parâmetro de uma entrada existente no servidor portproxy
criado com o comando add v6tov4 ou adiciona uma nova entrada à lista que mapeia os
pares porta/endereço.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenport Especifica a porta IPv6, por número da porta ou nome do serviço, na qual
escutar.
connectport Especifica a porta IPv4, por número da porta ou nome do serviço, à qual se
conectar. Se connectport não for especificado, o padrão será o valor de
listenport no computador local.
listenaddress Especifica o endereço IPv6 no qual escutar. Os valores aceitáveis são endereço
IP, nome NetBIOS do computador ou nome DNS do computador. Se um
endereço não for especificado, o padrão é o computador local.
Parâmetro Descrição
set v6tov6
Modifica os valores de parâmetro de uma entrada existente no servidor portproxy
criado com o comando add v6tov6 ou adiciona uma nova entrada à lista que mapeia os
pares porta/endereço.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição
listenport Especifica a porta IPv6, por número da porta ou nome do serviço, na qual
escutar.
connectport Especifica a porta IPv6, por número da porta ou nome do serviço, à qual se
conectar. Se connectport não for especificado, o padrão será o valor de
listenport no computador local.
listenaddress Especifica o endereço IPv6 no qual escutar. Os valores aceitáveis são endereço
IP, nome NetBIOS do computador ou nome DNS do computador. Se você não
especificar um endereço, o padrão será o computador local.
exibir tudo
Exibe todos os parâmetros portproxy, incluindo pares porta/endereço para v4tov4,
v4tov6, v6tov4 e v6tov6.
Sintaxe
show all
show v4tov4
Exibe os parâmetros v4tov4 portproxy.
Sintaxe
show v4tov4
show v4tov6
Exibe os parâmetros v4tov6 portproxy.
Sintaxe
show v4tov6
show v6tov4
Exibe os parâmetros v6tov4 portproxy.
Sintaxe
show v6tov4
show v6tov6
Exibe os parâmetros v6tov6 portproxy.
Sintaxe
show v6tov6
Comandos netsh mbn
Artigo • 21/12/2022 • 13 minutos para o fim da leitura
aplica-se a: Windows server 2022, Windows server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Use o netsh mbn para consultar e definir configurações e parâmetros de banda larga
móvel.
Dica
netsh mbn /?
add
connect
delete
disconnect
diagnose
dump
help
set
show
teste
adicionar
Adiciona uma entrada de configuração a uma tabela.
dmprofile
profile
dmprofile
Adiciona um perfil de Configuração DM ao Armazenamento de Dados de Perfil.
Sintaxe
PowerShell
Parâmetros
name Nome do arquivo XML do perfil. É o nome do arquivo XML que Necessária
contém os dados do perfil.
Exemplo
PowerShell
perfil
Adiciona um perfil de rede ao Armazenamento de Dados do Perfil.
Sintaxe
PowerShell
Parâmetros
name Nome do arquivo XML do perfil. É o nome do arquivo XML que Necessária
contém os dados do perfil.
Exemplo
PowerShell
add profile interface="Cellular" name="Profile1.xml"
connect
Conecta-se a uma rede de Banda Larga Móvel.
Sintaxe
PowerShell
Parâmetros
name Nome do arquivo XML do perfil. É o nome do arquivo XML que Necessária
contém os dados do perfil.
Exemplos
PowerShell
excluir
Exclui uma entrada de configuração de uma tabela.
dmprofile
profile
dmprofile
Exclui um perfil de Configuração DM do Armazenamento de Dados de Perfil.
Sintaxe
PowerShell
Parâmetros
name Nome do arquivo XML do perfil. É o nome do arquivo XML que Necessária
contém os dados do perfil.
Exemplo
PowerShell
perfil
Exclui um perfil de rede do Armazenamento de Dados de Perfil.
Sintaxe
PowerShell
Parâmetros
name Nome do arquivo XML do perfil. É o nome do arquivo XML que Necessária
contém os dados do perfil.
Exemplo
PowerShell
diagnose
Executa o diagnóstico para problemas básicos de celular.
Sintaxe
PowerShell
diagnose [interface=]<string>
Parâmetros
Exemplo
PowerShell
diagnose interface="Cellular"
desconectar
Desconecta-se de uma rede de Banda Larga Móvel.
Sintaxe
PowerShell
disconnect [interface=]<string>
Parâmetros
Exemplo
PowerShell
disconnect interface="Cellular"
dump
Exibe um script de configuração.
Cria um script que contém a configuração atual. Se for salvo em um arquivo, esse script
poderá ser usado para restaurar as definições de configuração alteradas.
Sintaxe
PowerShell
dump
ajuda
Exibe uma lista de comandos.
Sintaxe
PowerShell
help
set
Define as informações de configuração.
acstate
dataenablement
dataroamcontrol
enterpriseapnparams
highestconncategory
powerstate
profileparameter
slotmapping
tracing
acstate
Define o estado de conexão automática de dados de Banda Larga Móvel para a
interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
dataenablement
Ativa ou desativa os dados de Banda Larga Móvel para o conjunto de perfis e a interface
especificados.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
dataroamcontrol
Define o estado do controle de roaming de Dados de Banda Larga Móvel para o
conjunto de perfis e a interface especificados.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
enterpriseapnparams
Define os parâmetros enterpriseAPN de dados de Banda Larga Móvel para a interface
fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
highestconncategory
Define a categoria de conexão mais alta de dados de Banda Larga Móvel para a
interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
powerstate
Ativa ou desativa o rádio de Banda Larga Móvel para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
profileparameter
Definir parâmetros em um Perfil de Rede de Banda Larga Móvel.
Sintaxe
PowerShell
Parâmetros
Comentários
Pelo menos um parâmetro entre o nome da interface e o custo deve ser especificado.
Exemplo
PowerShell
slotmapping
Define o mapeamento de slot de modem de Banda Larga Móvel para a interface
fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
tracing
Habilitar ou desabilitar o rastreamento.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
show
Exibe informações de rede de banda larga móvel.
acstate
capability
connection
dataenablement
dataroamcontrol
dmprofiles
enterpriseapnparams
highestconncategory
homeprovider
interfaces
netlteattachinfo
pin
pinlist
preferredproviders
profiles
profilestate
provisionedcontexts
purpose
radio
readyinfo
signal
slotmapping
slotstatus
smsconfig
tracing
visibleproviders
acstate
Mostra o estado de conexão automática de dados de Banda Larga Móvel para a
interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
capability
Mostra as informações de capacidade da interface para a interface fornecida.
Sintaxe
PowerShell
show capability [interface=]<string>
Parâmetros
Exemplo
PowerShell
connection
Mostra as informações de conexão atuais para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
dataenablement
Mostra o estado de habilitação de dados de Banda Larga Móvel para a interface
fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
dataroamcontrol
Mostra o estado de controle de roaming de dados de Banda Larga Móvel para a
interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
dmprofiles
Mostra uma lista de perfis de Configuração de DM configurados no sistema.
Sintaxe
PowerShell
Parâmetros
Comentários
Se o nome do perfil for fornecido, o conteúdo do perfil será exibido. Caso contrário, os
perfis serão listados para a interface.
Exemplo
PowerShell
show dmprofiles
enterpriseapnparams
Mostra os parâmetros enterpriseAPN de dados de Banda Larga Móvel para a interface
fornecida.
Sintaxe
PowerShell
show enterpriseapnparams [interface=]<string>
Parâmetros
Exemplo
PowerShell
highestconncategory
Mostra a categoria de conexão mais alta de Dados de Banda Larga Móvel para a
interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
homeprovider
Mostra as informações do provedor de residencial para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
interfaces
Mostra uma lista de interfaces de Banda Larga Móvel no sistema. Não há parâmetros
para esse comando.
Sintaxe
PowerShell
show interfaces
netlteattachinfo
Mostra as informações de anexação LTE de rede de Banda Larga Móvel para a interface
fornecida.
Sintaxe
PowerShell
Parâmetros
Parâmetro Descrição Requisito
Exemplo
PowerShell
pin
Mostra as informações de marcador para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
pinlist
Mostra as informações de lista de marcadores para a interface fornecida.
Sintaxe
PowerShell
Exemplo
PowerShell
preferredproviders
Mostra a lista de provedores preferenciais para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
profiles
Mostra uma lista de perfis configurados no sistema.
Sintaxe
PowerShell
show profiles [[name=]<string>] [[interface=]<string>] [[purpose=]<string>]
Parâmetros
Comentários
Se o nome do perfil for fornecido, o conteúdo do perfil será exibido. Caso contrário, os
perfis serão listados para a interface.
Exemplo
PowerShell
show profiles
profilestate
Mostra o estado de um perfil de Banda Larga Móvel para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
name Nome do perfil. É o nome do perfil que tem o estado a ser mostrado. Necessária
Exemplo
PowerShell
provisionedcontexts
Mostra as informações de contextos provisionadas para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
purpose
Mostra os GUIDs do grupo de finalidade que podem ser usados para filtrar perfis no
dispositivo. Não há parâmetros para esse comando.
Sintaxe
PowerShell
show purpose
radio
Mostra as informações de estado de rádio para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
readyinfo
Mostra as informações prontas para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
PowerShell
signal
Mostra as informações de sinal para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
slotmapping
Mostra o mapeamento de slot de modem de Banda Larga Móvel para a interface
fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
slotstatus
Mostra o status do slot de modem de Banda Larga Móvel para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
smsconfig
Mostra as informações de configuração do SMS para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
tracing
Mostra se o rastreamento de Banda Larga Móvel está habilitado ou desabilitado.
Sintaxe
PowerShell
show tracing
visibleproviders
Mostra a lista de provedores visíveis para a interface fornecida.
Sintaxe
PowerShell
Parâmetros
Exemplo
PowerShell
show visibleproviders interface="Cellular"
test
Executa testes para uma área de recurso específica enquanto coleta logs.
Sintaxe
Parâmetros
taefpath Demarcador que contém os binários TAEF Opcional se o servidor HLK estiver
instalado
Comentários
conectividade
potência
radio
esim
sms
dssa
lte
bringup
Alguns testes exigem que parâmetros adicionais sejam fornecidos no campo param .
Os
parâmetros necessários para os recursos estão listados abaixo.
connectivity: AccessString, UserName (se aplicável), Senha (se aplicável)
radio: AccessString, UserName (se aplicável), Senha (se aplicável)
esim: ActivationCode
bringup: AccessString, UserName (se aplicável), Senha (se aplicável)
Exemplos
test feature=lte
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar este tópico para uma visão geral do subsistema de rede e para links
para outros tópicos neste guia.
7 Observação
1. Interface de rede. Essa é a camada mais baixa da pilha de rede e contém o driver
de rede que se comunica diretamente com o adaptador de rede.
4. Drivers do sistema. Normalmente, são clientes que usam uma interface TDX
(extensão de dados de transporte) ou do Kernel winsock (WSK) para expor
interfaces a aplicativos do modo de usuário. A interface do WSK foi introduzida no
Windows Server 2008 e Windows ® Vista e é exposta por AFD.sys. A interface
melhora o desempenho eliminando a alternância entre o modo de usuário e o
modo kernel.
A tabela a seguir fornece uma ilustração vertical das camadas da pilha de rede,
incluindo exemplos de itens executados em cada camada.
Escolhendo um adaptador de rede
Artigo • 21/12/2022 • 11 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar este tópico para aprender alguns dos recursos de adaptadores de rede
que podem afetar suas escolhas de compra.
Dica
Capacidades de descarregamento
Descarregar tarefas da CPU (unidade de processamento central) para o adaptador de
rede pode reduzir o uso da CPU no servidor, o que melhora o desempenho geral do
sistema.
A pilha de rede em produtos da Microsoft pode descarregar uma ou mais tarefas para
um adaptador de rede se você selecionar um adaptador de rede que tenha os recursos
de descarregamento apropriados. A tabela a seguir fornece uma breve visão geral dos
diferentes recursos de descarregamento disponíveis no Windows Server 2016.
Tipo de Descrição
descarregamento
RSS (Receive Side O RSS é uma tecnologia de driver de rede que permite a distribuição
Scaling) eficiente do processamento de recebimento de rede em várias CPUs em
sistemas multiprocessadores. Mais detalhes sobre o RSS são fornecidos
posteriormente neste tópico.
O RSS distribui pacotes de E/S de rede de entrada entre processadores lógicos para que
os pacotes que pertencem à mesma conexão TCP sejam processados no mesmo
processador lógico, o que preserva a ordenação.
O RSS também balancea a carga do tráfego unicast e multicast UDP e roteia fluxos
relacionados (que são determinados por hash dos endereços de origem e destino) para
o mesmo processador lógico, preservando a ordem de chegadas relacionadas. Isso
ajuda a melhorar a escalabilidade e o desempenho para cenários intensivos de
recebimento para servidores que têm menos adaptadores de rede do que
processadores lógicos qualificados.
Configurando o RSS
Em Windows Server 2016, você pode configurar o RSS usando Windows PowerShell
cmdlets e perfis RSS.
Você pode definir perfis RSS usando o parâmetro –Profile do cmdlet Set-NetAdapterRss
Windows PowerShell.
Os cmdlets a seguir permitem ver e modificar parâmetros RSS por adaptador de rede.
7 Observação
Para obter uma referência de comando detalhada para cada cmdlet, incluindo
sintaxe e parâmetros, você pode clicar nos links a seguir. Além disso, você pode
passar o nome do cmdlet para Obter Ajuda no prompt de Windows PowerShell
para obter detalhes sobre cada comando.
Perfis RSS
Em uma base de adaptador por rede, quantos processadores lógicos podem ser
usados para o RSS.
O deslocamento inicial para o intervalo de processadores lógicos.
O nó do qual o adaptador de rede aloca memória.
7 Observação
Para obter mais informações, clique no link a seguir para baixar a Rede Escalonável:
Eliminando o Gargalo de Processamento de Recebimento – Apresentando o RSS no
formato word.
Noções básicas sobre o desempenho do RSS
Ajustar o RSS requer entender a configuração e a lógica de balanceamento de carga.
Para verificar se as configurações do RSS entraram em vigor, você pode examinar a
saída ao executar o cmdlet Get-NetAdapterRss Windows PowerShell. Veja a seguir a
saída de exemplo desse cmdlet.
PS C:\Users\Administrator> get-netadapterrss
Name : testnic 2
Enabled : True
NumberOfReceiveQueues : 2
Profile : NUMAStatic
MaxProcessors : 8
IndirectionTable: [Group:Number]:
0:0 0:4 0:0 0:4 0:0 0:4 0:0 0:4
Além de ecoar parâmetros que foram definidos, o aspecto principal da saída é a saída
da tabela de indireção. A tabela de indireção exibe os buckets de tabela de hash usados
para distribuir o tráfego de entrada. Neste exemplo, a notação n:c designa o par de
índice Numa K-Group:CPU usado para direcionar o tráfego de entrada. Vemos
exatamente duas entradas exclusivas (0:0 e 0:4), que representam k-group 0/cpu0 e k-
group 0/cpu 4, respectivamente.
Há apenas um grupo k para esse sistema (k-group 0) e um n (em que n <= 128) entrada
de tabela de indireção. Como o número de filas de recebimento é definido como 2,
apenas dois processadores (0:0, 0:4) são escolhidos – embora o máximo de
processadores esteja definido como 8. Na verdade, a tabela de indireção está hashando
o tráfego de entrada para usar apenas 2 CPUs das 8 disponíveis.
Para utilizar totalmente as CPUs, o número de Filas de Recebimento do RSS deve ser
igual ou maior que os Processadores Máximos. No exemplo anterior, a Fila de
Recebimento deve ser definida como 8 ou maior.
Agrupamento NIC e RSS
O RSS pode ser habilitado em um adaptador de rede que é combinado com outra placa
de interface de rede usando Agrupamento NIC. Nesse cenário, somente o adaptador de
rede física subjacente pode ser configurado para usar o RSS. Um usuário não pode
definir cmdlets RSS no adaptador de rede em equipe.
Essa abordagem pode afetar a latência com benefícios vistos principalmente em ganhos
de taxa de transferência. É recomendável aumentar a taxa de transferência para cargas
de trabalho pesadas recebidas. Considere implantar adaptadores de rede que dão
suporte ao RSC.
PS C:\Users\Administrator> Get-NetAdapterRsc
Reason
O cmdlet Get mostra se o RSC está habilitado na interface e se o TCP permite que o RSC
esteja em um estado operacional. O motivo da falha fornece detalhes sobre a falha em
habilitar o RSC nessa interface.
No cenário anterior, o IPv4 RSC tem suporte e está operacional na interface. Para
entender as falhas de diagnóstico, é possível ver os bytes unidos ou exceções causadas.
Isso fornece uma indicação dos problemas de coalescing.
PS C:\Users\Administrator> $x.rscstatistics
CoalescedBytes : 0
CoalescedPackets : 0
CoalescingEvents : 0
CoalescingExceptions : 0
RSC e Virtualização
O RSC só tem suporte no host físico quando o adaptador de rede do host não está
associado ao Comutador Virtual do Hyper-V. O RSC é desabilitado pelo sistema
operacional quando o host está associado ao Comutador Virtual hyper-V. Além disso, as
máquinas virtuais não recebem o benefício do RSC porque os adaptadores de rede
virtual não dão suporte ao RSC.
O RSC pode ser habilitado para uma máquina virtual quando a SR-IOV (Virtualização de
Entrada/Saída) de Raiz Única estiver habilitada. Nesse caso, as funções virtuais dão
suporte à funcionalidade RSC; portanto, as máquinas virtuais também recebem o
benefício do RSC.
Get-NetAdapterAdvancedProperty
Set-NetAdapterAdvancedProperty
Enable-NetAdapter
Enable-NetAdapterBinding
Enable-NetAdapterChecksumOffload
Enable-NetAdapterIPSecOffload
Enable-NetAdapterLso
Enable-NetAdapterPowerManagement
Enable-NetAdapterQos
Enable-NetAdapterRDMA
Enable-NetAdapterSriov
Para obter links para todos os tópicos neste guia, consulte Ajuste de Desempenho do
Subsistema de Rede.
Configurar a ordem das interfaces de
rede
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
No Windows Server 2016 e Windows 10, você pode usar a métrica de interface para
configurar a ordem dos interfaces de rede.
Em vez disso, você pode usar o novo método para definir a ordem enumerada de
adaptadores de rede configurando a métrica de interface de cada adaptador. Você pode
configurar a métrica de interface usando o comando Set-NetIPInterface Windows
PowerShell interface.
PowerShell
Para ver links para todos os tópicos neste guia, consulte Ajuste de desempenho do
subsistema de rede.
Adaptadores de rede para ajuste do
desempenho
Artigo • 21/12/2022 • 16 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
) Importante
7 Observação
) Importante
Evite usar adaptadores de rede não RSS e adaptadores de rede com capacidade
para RSS no mesmo servidor. Devido à lógica de distribuição de carga no RSS e no
PROTOCOLO HTTP, o desempenho poderá ser gravemente degradado se um
adaptador de rede não com capacidade de RSS aceitar o tráfego da Web em um
servidor que tenha um ou mais adaptadores de rede com capacidade para RSS.
Nesse caso, você deve usar adaptadores de rede habilitados para RSS ou
desabilitar RSS na guia Propriedades Avançadas das propriedades do adaptador
de rede.
Para determinar se um adaptador de rede está habilitado para RSS, você pode
visualizar as informações RSS na guia Propriedades Avançadas das propriedades
do adaptador de rede.
Alguns adaptadores de rede configuram seus buffers de recebimento como baixos para
preservar a memória alocada do host. O valor baixo resulta em pacotes descartados e
desempenho reduzido. Portanto, para cenários de recebimento intenso, recomendamos
aumentar o valor do buffer de recebimento para o máximo.
7 Observação
7 Observação
Se o tráfego for transmitido por vários fluxos, como ao receber tráfego multicast
de alto volume, habilita o RSS.
Se for necessário obter a menor latência, você deve solicitar uma versão do BIOS, junto
a seu fornecedor de hardware, que reduza as SMIs para o menor nível possível. Essas
versões do BIOS são frequentemente conhecidas como "BIOS de baixa latência" ou
"BIOS livre de SMI". Em alguns casos, não é possível que uma plataforma de hardware
elimine totalmente a atividade SMI porque ela é usada para controlar funções essenciais
(por exemplo, ventiladores de resfriamento).
7 Observação
O sistema operacional não pode controlar SMIs porque o processador lógico está
em execução em um modo de manutenção especial, o que impede a intervenção
do sistema operacional.
Para uma janela de recebimento TCP que tem um tamanho específico, você pode usar a
equação a seguir para calcular a produtividade total de uma única conexão.
Por exemplo, para uma conexão que tem uma latência de 10 ms, a produtividade total
que pode ser alcançada é de apenas 51 Mbps. Esse valor é razoável para uma
infraestrutura de rede corporativa grande. No entanto, usando o ajuste automático para
ajustar a janela de recebimento, a conexão pode atingir a taxa de linha completa de
uma conexão de 1 Gbps.
Esse recurso também faz uso completo de outros recursos para melhorar o
desempenho da rede. Esses recursos incluem o restante das opções de TCP que são
definidas no RFC 1323 . usando esses recursos, computadores baseados em Windows
podem negociar tamanhos de janela de recepção TCP menores, mas são dimensionados
em um valor definido, dependendo da configuração. Esse comportamento é mais fácil
de lidar com dispositivos de rede.
7 Observação
Você pode enfrentar um problema em que o dispositivo de rede não está em
conformidade com a opção de dimensionamento de janela TCP, conforme
definido no RFC 1323 e, portanto, não dá suporte ao fator de escala. nesses
casos, consulte este KB 934430, a conectividade de rede falha quando você tenta
usar o Windows Vista atrás de um dispositivo de firewall ou entrar em contato
com a equipe de suporte para o fornecedor do dispositivo de rede.
7 Observação
7 Observação
cmd
-----
cmd
7 Observação
Para obter mais informações sobre esse comando, consulte comandos netsh para
protocolo de controle de transmissão de interface.
PowerShell
SettingName AutoTuningLevelLocal
----------- --------------------
Automatic
InternetCustom Normal
DatacenterCustom Normal
Compat Normal
Datacenter Normal
Internet Normal
PowerShell
7 Observação
Para obter mais informações sobre esses cmdlets, consulte os seguintes artigos:
Get-NetTCPSetting
Set-NetTCPSetting
Normal 0x8 (fator de Defina a janela de recepção TCP para aumentar para acomodar
(padrão) escala de 8) quase todos os cenários.
Desabilitado Nenhum fator de Defina a janela de recepção TCP com seu valor padrão.
escala disponível
Restritos 0x4 (fator de Defina a janela de recepção TCP para aumentar além do valor
escala de 4) padrão, mas limite esse crescimento em alguns cenários.
Altamente 0x2 (fator de Defina a janela de recepção TCP para aumentar além do valor
restrito escala de 2) padrão, mas faça isso de forma muito conservadora.
Habilitação 0xE (fator de Defina a janela de recepção TCP para aumentar para acomodar
escala de 14) cenários extremos.
Se você usar um aplicativo para capturar pacotes de rede, o aplicativo deverá relatar
dados semelhantes aos seguintes para configurações de nível de ajuste automática de
janela diferentes.
SrcPort: 60975
DstPort: Microsoft-DS(445)
AcknowledgementNumber: 0 (0x0)
UrgentPointer: 0 (0x0)
- TCPOptions:
+ MaxSegmentSize: 1
+ NoOption:
+ NoOption:
+ NoOption:
+ SACKPermitted:
SrcPort: 60956
DstPort: Microsoft-DS(445)
AcknowledgementNumber: 0 (0x0)
UrgentPointer: 0 (0x0)
- TCPOptions:
+ MaxSegmentSize: 1
+ NoOption:
+ NoOption:
+ SACKPermitted:
SrcPort: 60890
DstPort: Microsoft-DS(445)
AcknowledgementNumber: 0 (0x0)
UrgentPointer: 0 (0x0)
- TCPOptions:
+ MaxSegmentSize: 1
+ NoOption:
+ NoOption:
+ NoOption:
+ SACKPermitted:
SrcPort: 60903
DstPort: Microsoft-DS(445)
AcknowledgementNumber: 0 (0x0)
UrgentPointer: 0 (0x0)
- TCPOptions:
+ MaxSegmentSize: 1
+ NoOption:
+ NoOption:
+ NoOption:
+ SACKPermitted:
SrcPort: 60933
DstPort: Microsoft-DS(445)
AcknowledgementNumber: 0 (0x0)
UrgentPointer: 0 (0x0)
- TCPOptions:
+ MaxSegmentSize: 1
+ NoOption:
+ NoOption:
+ NoOption:
+ SACKPermitted:
TcpWindowSize
NumTcbTablePartitions
MaxHashTableSize
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
7 Observação
Para obter links para todos os tópicos deste guia, consulte ajuste de desempenho do
subsistema de rede.
Contadores de desempenho
relacionados à rede
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Utilização de recursos
Utilização de recursos
Os contadores de desempenho a seguir são relevantes para a utilização de recursos de
rede.
IPv4, IPv6
Datagramas recebidos/s
Datagramas enviados/s
TCPv4, TCPv6
Segmentos recebidos/s
Segmentos Enviados/s
Segmentos Retransmitidos/s
Bytes Recebidos/s
Bytes Enviados/s
Pacotes recebidos/s
Pacotes enviados/s
Tamanho da Fila de Saída
Informações do processador
% Tempo do Processador
Interrupções/s
DPCs na fila/s
Esse contador é uma taxa média na qual os DPCs foram adicionados à fila DPC
do processador lógico. Cada processador lógico tem sua própria fila DPC. Esse
contador mede a taxa na qual os DPCs são adicionados à fila, não o número de
DPCs na fila. Ele exibe a diferença entre os valores que foram observados nos
dois últimos exemplos, divididos pela duração do intervalo de exemplo.
WFPv4, WFPv6
Pacotes descartados/s
UDPv4, UDPv6
Erros recebidos de datagramas
TCPv4, TCPv6
Falhas de Conexão
Conexões Redefinidas
Pacotes descartados
Pacotes descartados/s
Datagramas descartados
Datagramas descartados/s
Conexões rejeitadas
Conexões rejeitadas/s
Adaptador de rede(*)
Para ver links para todos os tópicos neste guia, consulte Ajuste de desempenho do
subsistema de rede.
Ferramentas de desempenho para
cargas de trabalho de rede
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar este tópico para saber mais sobre as ferramentas de desempenho.
Este tópico contém seções sobre a ferramenta Tráfego de Cliente para Servidor e
Tamanho da Janela TCP/IP.
Para obter mais informações e para baixar a ferramenta, consulte ctsTraffic (tráfego de
cliente para servidor) .
Por outro lado, para redes de alta latência ou para adaptadores de 10 GB, o valor de
tamanho da janela TCP padrão para NTttcp produz um desempenho inferior ao ideal.
Em ambos os casos, você deve ajustar o tamanho da janela TCP para permitir o produto
de atraso de largura de banda maior.
Você pode definir estaticamente o tamanho da janela TCP como um valor grande
usando a opção -rb . Essa opção desabilita o Ajuste Automático da Janela TCP e é
recomendável usá-la somente se o usuário entender totalmente a alteração resultante
no comportamento TCP/IP. Por padrão, o tamanho da janela TCP é definido com um
valor suficiente e se ajusta apenas sob carga pesada ou em links de alta latência.
Este tópico discute as considerações e os requisitos de rede do host para o Azure Stack
HCI. Para obter informações sobre arquiteturas de datacenter e as conexões físicas entre
servidores, consulte Requisitos de rede física.
Para obter informações sobre como simplificar a rede de host usando a ATC de rede,
consulte Simplificar a rede de host com a ATC de rede.
) Importante
Para obter mais informações sobre essa qualificação nic baseada em função, consulte este
link .
) Importante
Não há suporte para o uso de um adaptador fora de seu tipo de tráfego qualificado.
7 Observação
Exigências do driver
Não há suporte para drivers de caixa de entrada para uso com o Azure Stack HCI. Para
identificar se o adaptador está usando um driver de caixa de entrada, execute o cmdlet a
seguir. Um adaptador está usando um driver de caixa de entrada se a propriedade
DriverProvider for Microsoft.
Powershell
Get-NetAdapter -Name <AdapterName> | Select *Driver*
VMMQ dinâmico
Todos os adaptadores de rede com a qualificação de Computação (Premium) dão suporte
ao VMMQ Dinâmico. O VMMQ dinâmico requer o uso do Agrupamento Inserido com
Comutador.
Para obter mais informações sobre o VMMQ dinâmico, consulte a postagem no blog
Acelerações sintéticas .
RDMA
RDMA é um descarregamento de pilha de rede para o adaptador de rede. Ele permite que
o tráfego de armazenamento SMB ignore o sistema operacional para processamento.
O RDMA permite a rede de alta taxa de transferência e baixa latência, usando recursos
mínimos de CPU do host. Esses recursos de CPU do host podem ser usados para executar
VMs ou contêineres adicionais.
) Importante
7 Observação
Para obter mais informações sobre como implantar o RDMA para o host, é altamente
recomendável usar a ATC de Rede. Para obter informações sobre a implantação manual,
consulte o repositório GitHub do SDN .
iWARP
O iWARP usa o Protocolo de Controle de Transmissão (TCP) e, opcionalmente, pode ser
aprimorado com o PFC (Controle de Fluxo Baseado em Prioridade) e o ETS (Serviço de
Transmissão Avançada).
RoCE
O RoCE usa o UDP (Protocolo de Datagrama de Usuário) e exige que o PFC e o ETS
forneçam confiabilidade.
RDMA convidado
O RDMA convidado permite que cargas de trabalho SMB para VMs obtenham os mesmos
benefícios de usar o RDMA em hosts.
SET
SET é uma tecnologia de agrupamento baseada em software que foi incluída no sistema
operacional Windows Server desde Windows Server 2016. SET requer um adaptador de
Computação (Standard) ou Computação (Premium).
SET é a única tecnologia de agrupamento com suporte do Azure Stack HCI. SET funciona
bem com computação, armazenamento e tráfego de gerenciamento.
) Importante
O Azure Stack HCI não dá suporte ao agrupamento NIC com o LBFO (Balanceamento
de Carga/Failover) mais antigo. Confira a postagem no blog Agrupamento no Azure
Stack HCI para obter mais informações sobre LBFO no Azure Stack HCI.
SET é importante para o Azure Stack HCI porque é a única tecnologia de agrupamento
que permite:
make (fornecedor)
modelo (versão)
velocidade (taxa de transferência)
configuração
Consulte a tabela a seguir para obter um exemplo das descrições da interface desviando
apenas por numeral (#):
Nome Descrição da interface Velocidade do link
7 Observação
Para obter informações detalhadas sobre como implantar o RDMA, baixe o documento do
repositório GitHub do SDN .
Essa classe de tráfego garante que haja largura de banda suficiente reservada para
pulsações de cluster:
Exigida: Sim
Habilitado para PFC: Não
Prioridade de tráfego recomendada: Prioridade 7
Reserva de largura de banda recomendada:
10 GbE ou redes RDMA inferiores = 2%
25 GbE ou redes RDMA superiores = 1%
Classe de tráfego RDMA
Essa classe de tráfego garante que haja largura de banda suficiente reservada para
comunicações RDMA sem perdas usando SMB Direct:
Exigida: Sim
Habilitado para PFC: Sim
Prioridade de tráfego recomendada: Prioridade 3 ou 4
Reserva de largura de banda recomendada: 50%
7 Observação
Considere o exemplo a seguir de um cluster de quatro nós. Cada servidor tem duas portas
de armazenamento (esquerda e direita). Como cada adaptador está na mesma sub-rede e
VLAN, o SMB Multichannel distribuirá conexões entre todos os links disponíveis. Portanto,
a porta do lado esquerdo no primeiro servidor (192.168.1.1) fará uma conexão com a
porta do lado esquerdo no segundo servidor (192.168.1.2). A porta do lado direito no
primeiro servidor (192.168.1.12) se conectará à porta do lado direito no segundo servidor.
Conexões semelhantes são estabelecidas para o terceiro e quarto servidores.
No entanto, isso cria conexões desnecessárias e causa congestionamento no interlink
(grupo de agregação de link de vários chassis ou MC-LAG) que conecta os comutadores
ToR (marcados com Xs). Confira o diagrama a seguir:
Como esse caso de uso representa a maioria das restrições, ele representa uma boa linha
de base. No entanto, considerando as permutações para o número de adaptadores e
velocidades, isso deve ser considerado um exemplo e não um requisito de suporte.
Powershell
Se a largura de banda disponível para Migração Dinâmica for < de 5 Gbps, use
a compactação para reduzir os tempos de apagão. Use o seguinte cmdlet para
fazer isso:
Powershell
Powershell
7 Observação
50 Gbps 100 Gbps 50 Gbps 70% 35 Gbps 29% 14,5 Gbps 1% 500
Mbps
100 Gbps 200 Gbps 100 70% 70 Gbps 29% 29 Gbps 1% 1 Gbps
Gbps
200 Gbps 400 Gbps 200 70% 140 29% 58 Gbps 1% 2 Gbps
Gbps Gbps
* Use compactação em vez de RDMA, pois a alocação de largura de banda para o tráfego
de Migração Dinâmica é <de 5 Gbps.
Clusters estendidos
Os clusters estendidos fornecem recuperação de desastre que abrange vários datacenters.
Em sua forma mais simples, uma rede de cluster ampliada do Azure Stack HCI tem esta
aparência:
O RDMA é limitado a um único site e não tem suporte em diferentes sites ou sub-
redes.
Tenha largura de banda suficiente para executar as cargas de trabalho no outro site.
No caso de um failover, o site alternativo precisará executar todo o tráfego.
Recomendamos que você provisione sites com 50% da capacidade de rede
disponível. No entanto, isso não é um requisito se você conseguir tolerar um
desempenho mais baixo durante um failover.
A replicação entre sites (tráfego norte/sul) pode usar as mesmas NICs físicas que o
armazenamento local (tráfego leste/oeste). Se você estiver usando os mesmos
adaptadores físicos, esses adaptadores deverão ser agrupados com SET. Os
adaptadores também devem ter NICs virtuais adicionais provisionadas para tráfego
roteável entre sites.
Pode ser físico ou virtual (vNIC do host). Se os adaptadores forem virtuais, você
deverá provisionar uma vNIC em sua própria sub-rede e VLAN por NIC física.
Deve estar em sua própria sub-rede e VLAN que possam rotear entre sites.
7 Observação
Sua configuração exata, incluindo nomes NIC, endereços IP e VLANs, pode ser
diferente do que é mostrado. Isso é usado apenas como uma configuração de
referência que pode ser adaptada ao seu ambiente.
Próximas etapas
Saiba mais sobre a opção de rede e os requisitos de rede física. Confira Requisitos de
rede física.
Saiba como simplificar a rede de host usando a ATC de Rede. Consulte Simplificar a
rede de host com a ATC de Rede.
Ative os conceitos básicos de rede de clustering de failover .
Para implantação, consulte Criar um cluster usando Windows Admin Center.
Para implantação, consulte Criar um cluster usando Windows PowerShell.
Monitor de pacote (Pktmon)
Artigo • 21/12/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack
Hub, Azure, Azure Stack HCI, versões 21H2 e 20H2
Visão geral
Qualquer computador que se comunique pela rede tem pelo menos um adaptador de
rede. Todos os componentes entre esse adaptador e um aplicativo formam uma pilha de
rede: um conjunto de componentes de rede que processam e movem o tráfego de rede.
Em cenários tradicionais, a pilha de rede é pequena e todo o roteamento e alternância
de pacotes ocorre em dispositivos externos.
Funcionalidade
O Monitor de Pacotes oferece a seguinte funcionalidade:
6. Para nos ajudar a identificar e corrigir o bug mais rapidamente, capture capturas
de tela, anexe o log de saída do pktmon e/ou recrie o problema.
7. Clique em Enviar.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack
Hub, Azure, Azure Stack HCI, versões 21H2 e 20H2
Início rápido
Use as seguintes etapas para começar em cenários genéricos:
PowerShell
PowerShell
PowerShell
Consulte Analisar a saída do Monitor de Pacotes para obter instruções sobre como
analisar a saída do txt.
Capturar filtros
É altamente recomendável aplicar filtros antes de iniciar qualquer captura de pacote,
pois a solução de problemas de conectividade com um destino específico é mais fácil
quando você se concentra em um único fluxo de pacotes. Capturar todo o tráfego de
rede pode tornar a saída muito ruiva para ser analisada. Para que um pacote seja
relatado, ele deve corresponder a todas as condições especificadas em pelo menos um
filtro. Há suporte para até 32 filtros de uma só vez.
Por exemplo, o seguinte conjunto de filtros capturará qualquer tráfego ICMP de ou para
o endereço IP 10.0.0.10, bem como qualquer tráfego na porta 53.
PowerShell
Funcionalidade de filtragem
O Monitor de Pacotes dá suporte à filtragem por endereços MAC, endereços IP,
portas, EtherType, protocolo de transporte e ID de VLAN.
Para filtrar ainda mais os pacotes TCP, uma lista opcional de sinalizadores TCP a
serem correspondentes pode ser fornecida. Os sinalizadores com suporte são FIN,
SYN, RST, PSH, ACK, URG, ECE e CWR.
Por exemplo, o filtro a seguir capturará todos os pacotes SYN enviados ou
recebidos pelo endereço IP 10.0.0.10:
PowerShell
Você pode selecionar componentes para monitorar por meio do parâmetro [--comp] .
Ele pode ser apenas NICs ou uma lista de IDs de componente e é padrão para todos os
componentes. Você também pode filtrar por status de propagação de pacotes (pacotes
descartados ou fluindo) usando o parâmetro [--type] .
Por exemplo, o comando a seguir capturará pacotes somente dos adaptadores de rede:
PowerShell
PowerShell
C:\Test> pktmon start -c --comp 4,5 --type drop
PowerShell
Especifique o tamanho do arquivo de log por meio do parâmetro [-s ]. Esse será o
tamanho máximo do arquivo em um modo de log circular antes que o Monitor de
Pacotes comece a substituir os pacotes mais antigos com os mais recentes. Esse
também será o tamanho máximo de cada arquivo no modo de log de vários
arquivos antes que o Monitor de Pacotes crie um novo arquivo para registrar os
próximos pacotes. Você também pode usar esse parâmetro para definir o tamanho
do buffer para o modo de registro em log de memória.
7 Observação
*Use os hiperlinks acima para saber como analisar e analisar logs do Monitor de
Pacotes no Wireshark e no Monitor de Rede.
Contadores de pacotes
Os contadores do Monitor de Pacotes fornecem uma exibição de alto nível do tráfego
de rede em toda a pilha de rede sem a necessidade de analisar um log, o que pode ser
um processo caro. Examine os padrões de tráfego consultando contadores de pacotes
com contadores pktmon após iniciar a captura do Monitor de Pacotes. Redefina os
contadores como zero usando a redefinição de pktmon ou pare de monitorar todos
juntos usando a parada pktmon.
Conforme mostrado por meio desses exemplos, os contadores podem fornecer muitas
informações por meio de um diagrama que pode ser analisado apenas por uma
aparência rápida.
7 Observação
As IDs não são persistentes e podem ser alteradas entre reinicializações e conforme
o driver do Monitor de Pacotes é reiniciado.
Algumas IDs que aparecem na saída do Monitor de Pacotes podem não aparecer
na lista de componentes. Isso ocorre devido à agregação de alguns componentes
em uma única ID para facilitar a seleção e a exibição deles. Para localizar as IDs
originais desses componentes, use a lista pktmon --json e procure a propriedade
SecondaryId na saída.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack
Hub, Azure, Azure Stack HCI, versões 21H2 e 20H2
Antes de começar
Para usar a ferramenta, o servidor de destino precisa estar executando o Windows
Server 2019, versão 1903 ou posterior.
Instalar o Windows Admin Center.
Adicione um servidor ao Windows Admin Center:
Introdução
Para acessar a ferramenta, navegue até o servidor que você criou na etapa anterior e vá
para a extensão "Monitoramento de pacotes".
Aplicação de filtros
É altamente recomendável aplicar filtros antes de iniciar qualquer captura de pacotes,
pois a solução de problemas de conectividade com um destino específico é mais fácil ao
se concentrar em um único fluxo de pacotes. Por outro lado, capturar todo o tráfego de
rede pode tornar a saída muito barulhenta para ser analisada. Assim, a extensão orienta
você para o painel de filtros primeiro antes de iniciar a captura. Você pode ignorar esta
etapa clicando em Avançar para começar a capturar sem filtros. O painel filtros orienta
você a adicionar filtros em três etapas.
Se você quiser capturar o tráfego que passa apenas por componentes específicos,
a primeira etapa do painel de filtros mostrará o layout da pilha de rede para que
você possa selecionar os componentes pelos quais filtrar. Esse também é um
ótimo lugar para analisar e entender o layout da pilha de rede do computador.
2. Filtragem por parâmetros de pacote
Para a segunda etapa, o painel permite filtrar pacotes por seus parâmetros. Para
que um pacote seja relatado, ele deve corresponder a todas as condições
especificadas em pelo menos um filtro; há suporte para até 8 filtros ao mesmo
tempo. Para cada filtro, você pode especificar parâmetros de pacote como
Endereços MAC, Endereços IP, Portas, Ethertype, Protocolo de Transporte, ID de
VLAN.
Log de captura
Os resultados são exibidos em uma tabela que mostra os principais parâmetros dos
pacotes capturados: Carimbo de data/hora, Endereço IP de Fontes, Porta de Origem,
Endereço IP de Destino, Porta de Destino, Ethertype, Protocolo, Sinalizadores TCP, se o
pacote foi descartado e o motivo da remoção.
Página de detalhes
Esta página apresenta um instantâneo do pacote conforme ele flui por cada
componente da pilha de rede local. Essa exibição mostra o caminho do fluxo de pacotes
e permite que você investigue como os pacotes são alterados à medida que são
processados por cada componente pelo qual passam.
Exibir filtros
Os filtros de exibição permitem filtrar o log depois de capturar os pacotes. Para cada
filtro, você pode especificar parâmetros de pacote como Endereços MAC, Endereços IP,
Portas, Ethertype e Protocolo de Transporte. Ao contrário dos filtros de captura:
Salvar recurso
O botão Salvar permite que você salve o log no computador local, no computador
remoto ou em ambos. Os filtros de exibição serão invertidos no log salvo.
Se o log for salvo em seu computador local, você poderá salvá-lo em vários
formatos:
Formato etl que pode ser analisado usando Microsoft Monitor de Rede.
Observação: verifique esta página para obter mais informações.
Formato de texto que pode ser analisado usando qualquer editor de texto
como TextAnalysisTool.NET.
Formato Pcapng que pode ser analisado usando ferramentas como o Wireshark.
A maioria dos metadados do Monitor de Pacotes será perdida durante essa
conversão. Verifique esta página para obter mais informações.
Abrir recurso
O recurso aberto permitirá que você reabra qualquer um dos cinco últimos logs salvos
para analisar por meio da ferramenta.
Extensão de diagnóstico de caminho de
dados SDN no Windows Admin Center
Artigo • 21/12/2022 • 5 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack
Hub, Azure, Azure Stack HCI, versões 21H2 e 20H2
Antes de começar
Para usar a ferramenta, o servidor de destino precisa estar executando Windows
Server 2019 versão 1903 (19H1) e superior.
Instalar o Windows Admin Center.
Adicione um cluster a Windows Admin Center:
O cluster será adicionado à lista de conexões. Clique nele para iniciar o Painel.
Introdução
Para acessar a ferramenta, navegue até o cluster que você criou na etapa anterior e, em
seguida, até a extensão "Monitoramento do SDN" e, em seguida, até a guia
"Diagnóstico do Caminho de Dados".
Selecionando cenários
A primeira página lista todos os cenários de SDN classificados como cenários de carga
de trabalho e cenários de infraestrutura, conforme mostrado na imagem abaixo. Para
começar, selecione o cenário de SDN que precisa ser diagnosticado.
Parâmetros de cenário
Depois de escolher o cenário, preencha uma lista de parâmetros obrigatórios e
opcionais para iniciar a captura. Esses parâmetros básicos apontarão a ferramenta para
a conexão que precisa ser diagnosticada. Em seguida, a ferramenta usará esses
parâmetros para consultas para executar uma captura bem-sucedida, sem qualquer
intervenção do usuário para descobrir o fluxo de pacote esperado, os computadores
envolvidos no cenário, sua localização no cluster ou os filtros de captura a serem
aplicados em cada computador. Os parâmetros obrigatórios permitem que a captura
seja executada e os parâmetros opcionais ajudam a filtrar algum ruído.
Log de captura
Depois de iniciar a captura, a extensão mostrará uma lista dos computadores em que a
captura está sendo iniciada. Você poderá ser solicitado a entrar nesses computadores se
suas credenciais não forem salvas. Você pode começar a reproduzir o ping ou o
problema que está tentando diagnosticar capturando os pacotes relativos. Depois que
os pacotes forem capturados, a extensão mostrará marcas ao lado dos computadores
em que os pacotes foram capturados.
Os resultados são exibidos em uma tabela que mostra os principais parâmetros dos
pacotes capturados: Carimbo de data/hora, Endereço IP de Fontes, Porta de Origem,
Endereço IP de Destino, Porta de Destino, Ethertype, Protocolo, Sinalizadores TCP, se o
pacote foi descartado e o motivo da queda.
Página de detalhes
As informações nesta página são particularmente valiosas se você tiver problemas
incorretos de propagação de pacotes ou problemas de configuração incorreta, pois
você pode investigar o fluxo do pacote por meio de cada componente da pilha de rede.
Para cada salto de pacote, há detalhes que incluem os parâmetros de pacote, bem
como os detalhes brutos do pacote.
Os saltos são agrupados com base nos componentes envolvidos. Cada adaptador
e os drivers na parte superior dele são agrupados pelo nome do adaptador. Isso
facilita o acompanhamento do pacote em um alto nível por meio desses títulos de
grupo.
Todos os pacotes descartados também serão exibidos em texto vermelho para
torná-los mais fáceis de identificar.
Role para baixo para exibir detalhes brutos do pacote:
Exibir filtros
Os filtros de exibição permitem filtrar o log depois de capturar os pacotes. Para cada
filtro, você pode especificar parâmetros de pacote como Endereços MAC, Endereços IP,
Portas, Ethertype e Protocolo de Transporte.
Salvar
O botão salvar permite que você salve o log em seu computador local para análise
adicional por meio de outras ferramentas. Os filtros de exibição serão invertidos no log
salvo. Os logs podem ser salvos em vários formatos:
Formato ETL que pode ser analisado usando o Microsoft Network Monitor.
Observação: verifique esta página para obter mais informações.
Formato de texto que pode ser analisado usando qualquer editor de texto como
TextAnalysisTool.NET.
Formato Pcapng que pode ser analisado usando ferramentas como o Wireshark.
A maioria dos metadados do Monitor de Pacotes será perdida durante essa
conversão. Observação: verifique esta página para obter mais informações.
Suporte do Pktmon para o Microsoft
Network Monitor (Netmon)
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack
Hub, Azure, Azure Stack HCI, versões 21H2 e 20H2
O Monitor de Pacotes (Pktmon) gera logs no formato ETL. Esses logs podem ser
analisados usando o Microsoft Network Monitor (Netmon) usando analisadores
especiais. Este tópico explica como analisar arquivos ETL gerados pelo Monitor de
Pacotes no Netmon.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack
Hub, Azure, Azure Stack HCI, versões 21H2 e 20H2
O Monitor de Pacotes (Pktmon) pode converter logs em formato pcapng. Esses logs
podem ser analisados usando Wireshark (ou qualquer analisador pcapng); no entanto,
algumas das informações críticas podem estar ausentes nos arquivos pcapng. Este
tópico explica a saída esperada e como tirar proveito dela.
PowerShell
-o, --out
-d, --drop-only
-c, --component-id
Filtragem de saída
Todas as informações sobre os relatórios de soltar pacotes e o fluxo de pacotes pela
pilha de rede serão perdidas na saída do pcapng. Portanto, o conteúdo do log deve ser
cuidadosamente pré-filtrado para essa conversão. Por exemplo:
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar a Política de QoS como um ponto central de gerenciamento de largura
de banda de rede em toda sua infraestrutura do Active Directory por meio da criação de
perfis de QoS, cujas configurações são distribuídas com a Política de Grupo.
7 Observação
Em sua rede, aplicativos críticos e sensíveis à latência devem competir pela largura de
banda de rede em relação ao tráfego de menor prioridade. Ao mesmo tempo, alguns
usuários e computadores com requisitos específicos de desempenho de rede podem
exigir níveis de serviço diferenciados.
Quando você usa a Política de QoS, seus aplicativos não precisam ser gravados para
APIs (interfaces de programação de aplicativo) específicas. Isso oferece a capacidade de
usar o QoS com aplicativos existentes. Além disso, o QoS baseado em política aproveita
sua infraestrutura de gerenciamento existente, pois o QoS baseado em política é
integrado a Política de Grupo.
O DSCP permite que você aplique um valor (0 a 63) no campo TIPO de Serviço (TOS) no
cabeçalho de um pacote IPv4 e dentro do campo Classe de Tráfego no IPv6.
Por exemplo, você pode configurar roteadores para colocar pacotes com valores DSCP
específicos em uma das três filas: alta prioridade, melhor esforço ou menor que o
melhor esforço.
O tráfego de rede crítico, que está na fila de alta prioridade, tem preferência em relação
a outro tráfego.
Uma política de QoS que define limites de limitação determina a taxa de tráfego de
rede de saída. Por exemplo, para gerenciar os custos da WAN, um departamento de TI
pode implementar um contrato de nível de serviço que especifica que um servidor de
arquivos nunca pode fornecer downloads além de uma taxa específica.
Usando esses controles, você pode especificar uma política QoS com um valor DSCP de
46 para um aplicativo VoIP, permitindo que os roteadores coloquem pacotes VoIP em
uma fila de baixa latência ou você pode usar uma política de QoS para limitar um
conjunto de tráfego de saída dos servidores a 512 quilobytes por segundo (KBps) ao
enviar da porta TCP 443.
Você também pode aplicar a política de QoS a um aplicativo específico que tenha
requisitos especiais de largura de banda. Para obter mais informações, consulte
Cenários de Política de QoS.
a. Como ele é baseado em Política de Grupo, você pode usar a Política de QoS
para configurar e gerenciar um conjunto de políticas de QoS de
usuário/computador sempre que necessário e em um computador controlador de
domínio central.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar os tópicos a seguir para começar com a política de QoS (qualidade de
serviço).
Para o primeiro tópico deste guia, consulte política de QoS (qualidade de serviço).
Como funciona a política de QoS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
4. A Camada de Rede altera o campo IPv4 TOS ou o campo Classe de Tráfego IPv6
para o valor DSCP especificado por Pacer.sys e, para pacotes IPv4, calcula a caixa
de verificação final do header IPv4.
7. Pacer.sys usa o número de fluxo do pacote para determinar se o pacote precisa ser
throttled e, se for o caso, agenda o pacote para envio.
A inspeção do tráfego para determinar se uma política de QoS se aplica é feita por
ponto de extremidade da Camada de Transporte, em vez de por pacote.
Para o primeiro tópico deste guia, consulte Política de QoS (Qualidade de Serviço).
Arquitetura de política de QoS
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber mais sobre a arquitetura da Política de QoS.
Pilha TCP/IP. A pilha TCP/IP que inclui suporte integrado para IPv4 e IPv6 e dá
suporte Windows Plataforma de Filtragem.
NDIS 6.x. Uma interface padrão entre drivers de rede no modo kernel e o sistema
operacional em sistemas operacionais Windows Servidor e Cliente. O NDIS 6.x dá
suporte a filtros leves, que é um modelo de driver simplificado para drivers
intermediários NDIS e miniportores que proporcionam melhor desempenho.
NPI (Interface do Provedor de Rede) do QoS. Uma interface para drivers no modo
kernel interagirem com Pacer.sys.
Para obter o primeiro tópico neste guia, consulte Política de Qualidade de Serviço (QoS).
Cenários de política de QoS
Artigo • 21/12/2022 • 10 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para analisar cenários hipotéticos que demonstram como,
quando e por que usar a Política de QoS.
7 Observação
Algumas seções deste tópico contêm etapas gerais que você pode executar para
executar as ações descritas. Para obter instruções mais detalhadas sobre como
gerenciar a política de QoS, consulte Gerenciar política de QoS.
7 Observação
Para obter mais informações sobre o DSCP, consulte a seção Definir prioridade de
QoS por meio de um ponto de código Serviços Diferenciados no tópico Política de
QoS (qualidade de serviço).
Além dos valores DSCP, as políticas de QoS podem especificar uma taxa de aceleração.
A limitação tem o efeito de limitar todo o tráfego de saída que corresponde à Política
de QoS a uma taxa de envio específica.
A política de QoS é aplicada somente aos servidores LOB vinculando o GPO à UO que
contém apenas esses servidores, por meio da ferramenta Console de Gerenciamento de
Política de Grupo (GPMC). Essa política de LOB do servidor inicial aplica o valor DSCP de
alta prioridade sempre que o computador envia o tráfego de rede. Essa política de QoS
pode ser editada posteriormente (na ferramenta Editor de Objeto de Política de Grupo)
para incluir os números de porta do aplicativo ERP, que limita a política a ser aplicada
somente quando o número da porta especificado é usado.
Embora muitos grupos dentro da empresa acessem o aplicativo ERP, o grupo financeiro
depende desse aplicativo ao lidar com clientes, e o grupo requer um desempenho
consistentemente alto do aplicativo.
Para garantir que o grupo financeiro possa dar suporte a seus clientes, a política de QoS
deve classificar o tráfego desses usuários como de alta prioridade. No entanto, a política
não deve ser aplicada quando os membros do grupo financeiro usam aplicativos
diferentes do aplicativo ERP.
Por isso, o departamento de IT define uma segunda política de QoS chamada "Política
lob do cliente" na ferramenta Editor de Objeto de Política de Grupo que aplica um valor
DSCP de 60 quando o grupo de usuários financeiros executa o aplicativo ERP.
7 Observação
O tráfego de rede sem uma Política de QoS envia com um valor DSCP de 0.
Políticas de cenário
A tabela a seguir resume as políticas de QoS para esse cenário.
7 Observação
Quando o tráfego chega ao roteador com valores DSCP de "Política lob do servidor" e
"política lob do cliente", os dados são colocados em filas de alta prioridade. O tráfego
com um valor DSCP de 0 recebe um nível de serviço de melhor esforço. Pacotes com um
valor DSCP de 1 (do aplicativo de backup) recebem tratamento de baixa prioridade.
As redes TCP/IP são configuradas com roteadores configurados para DSCP (RFC
2474). Para obter mais informações, consulte RFC 2474 .
Credenciais administrativas
Para concluir essa tarefa, você deve ser capaz de criar e implantar Política de Grupo
Objetos.
Configure os roteadores para enfil de forma diferencial com base em valores DSCP.
Por exemplo, o valor DSCP 44 entra em uma fila "Platinum" e todos os outros são
ponderados com fila justa.
7 Observação
Você pode exibir valores DSCP usando capturas de rede com ferramentas como
Monitor de Rede. Depois de executar uma captura de rede, você pode observar o
campo TOS nos dados capturados.
1. Crie e vincule um GPO (objeto Política de Grupo) com uma política de QoS.
Nesse cenário, suponha que você gerencie um conjunto de servidores IIS que
hospedam vídeos de treinamento para todos os funcionários da sua organização. Seu
objetivo é garantir que o tráfego desses servidores de vídeo não sobrecarregará sua
rede e garantir que o tráfego de vídeo seja diferenciado do tráfego de voz e dados na
rede.
7 Observação
Você não pode usar políticas de QoS baseadas em URL para priorizar o tráfego de
rede para computadores que executam sistemas operacionais Windows que foram
lançados antes do Windows 7 e Windows Server 2008 R2.
https://video
https://training.hr.mycompany.com
https://10.1.10.249:8080/tech
https://*/ebooks
Mas qual deles receberá precedência? As regras são simples. As políticas baseadas em
URL são priorizadas em uma ordem de leitura da esquerda para a direita. Portanto, da
prioridade mais alta para a prioridade mais baixa, os campos de URL são:
1. Esquema de URL
2. Host de URL
3. Porta de URL
4. Caminho da URL
1. Esquema de URL
https:// tem uma prioridade mais alta do que https:// .
2. Host de URL
Da prioridade mais alta para a mais baixa, elas são:
1. Nome do host
2. Endereço IPv6
3. Endereço IPv4
4. Curinga
No caso do nome do host, um nome de host com mais elementos pontilhados (mais
profundidade) tem uma prioridade mais alta do que um nome de host com menos
elementos pontilhados. Por exemplo, entre os seguintes nomes de host:
video.internal.training.hr.mycompany.com (profundidade = 6)
selfguide.training.mycompany.com (profundidade = 4)
treinamento (profundidade = 1)
biblioteca (profundidade = 1)
3. Porta de URL
Um número de porta específico ou implícito tem uma prioridade mais alta do que uma
porta curinga.
4. Caminho da URL
Como um nome de host, um caminho de URL pode consistir em vários elementos.
Aquele com mais elementos sempre tem uma prioridade mais alta do que aquela com
menos. Por exemplo, os seguintes caminhos são listados por prioridade:
1. /ebooks/tech/windows/networking/qos
2. /ebooks/tech/windows/
3. /ebooks
4. /
Política de exemplo
Uma política Deple é especificada pela ID do protocolo, endereço IP de origem, porta
de origem, endereço IP de destino e porta de destino. Uma política de Instância sempre
tem uma precedência maior do que qualquer política baseada em URL.
Se uma política Deplor já estiver aplicada a um usuário, uma nova política baseada em
URL não causará conflitos em nenhum dos computadores cliente desse usuário.
Para o primeiro tópico deste guia, consulte Política de QoS (Qualidade de Serviço).
Gerenciar política de QoS
Artigo • 21/09/2022 • 20 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar este tópico para saber mais sobre como usar o assistente de Política de
QoS para criar, editar ou excluir uma Política de QoS.
7 Observação
Valor DSCP
Taxa de aceleração
7 Observação
Acelerando o tráfego
Juntamente com valores DSCP, a limitação é outro controle fundamental para gerenciar
a largura de banda da rede. Conforme mencionado anteriormente, você pode usar a
configuração Especificar Taxa de Aceleração para configurar uma política de QoS com
uma taxa de aceleração específica para o tráfego de saída. Usando a limitação, uma
política de QoS limita o tráfego de rede de saída a uma taxa de limitação especificada. A
aceleração e a marcação de DSCP podem ser usadas juntas para gerenciar o tráfego de
maneira eficiente.
7 Observação
Por padrão, a caixa de seleção Especificar Taxa de Aceleração não está marcada.
Para criar uma política de QoS, edite as configurações de um GPO (objeto Política de
Grupo) de dentro da ferramenta Console de Gerenciamento de Política de Grupo
(GPMC). O GPMC abre o Editor de Objeto de Política de Grupo.
Os nomes das políticas de QoS devem ser exclusivos. Como as políticas são aplicadas a
servidores e usuários finais depende de onde a política de QoS é armazenada no Editor
de Objeto de Política de Grupo:
4. Clique em Próximo.
Como opção, você pode inserir o caminho do aplicativo. Para especial um caminho de
aplicativo, inclua o caminho com o nome do aplicativo. O caminho pode incluir variáveis
de ambiente. Por exemplo, %ProgramFiles%\Caminho do Meu
Aplicativo\MeuAplicativo.exe ou c:\arquivos de programas\caminho do meu
aplicativo\meuaplicativo.exe.
7 Observação
O caminho do aplicativo não pode incluir um caminho que seja resolvido para um
link simbólico.
A URL deve estar em conformidade com o RFC 1738 , na forma de . Você pode usar
um curinga, ‘*' , <hostname> para e/ <port> ou , por exemplo, https://training.\*/,
https://\*.\* , mas o curinga não pode denotar uma substring de <hostname> ou
<port> .
5. Clique em Próximo.
5. Se você selecionou Para este número de porta de destino na etapa anterior, digite
um número de porta entre 1 e 65535.
Perfil da Política
Nome do Aplicativo
Endereços IP
Protocolos e portas
Depois Política de Grupo resultados são gerados, clique na guia Configurações dados.
Na guia Configurações, as políticas de QoS podem ser encontradas nos nós
"Configuração do Computador\Windows Configurações\Política de QoS" e
"Configuração do Usuário\Windows Configurações\Política de QoS".
Na guia Configurações, as políticas de QoS são listadas por seus nomes de política de
QoS com seu valor DSCP, taxa de aceleração, condições de política e GPO vencedor
listados na mesma linha..
Por exemplo, um usuário pode conectar seu computador portátil à rede da empresa por
meio da VPN (rede virtual privada) de uma cafeteira. Para VPN, o interface de rede física
(como sem fio) não terá políticas de QoS aplicadas. No entanto, a interface VPN terá
políticas de QoS aplicadas porque se conecta à empresa. Se o usuário entrar
posteriormente na rede de outra empresa que não tenha uma relação de confiança AD
DS, as políticas de QoS não serão habilitadas.
Observe que esses cenários móveis não se aplicam a cargas de trabalho de servidor. Por
exemplo, um servidor com vários adaptadores de rede pode ficar na borda da rede de
uma empresa. O departamento de IT pode optar por fazer com que as políticas de QoS
reduzam o tráfego que efeça a empresa; no entanto, esse adaptador de rede que envia
esse tráfego de saída não se conecta necessariamente à rede corporativa. Por esse
motivo, as políticas de QoS estão sempre habilitadas em todos os interfaces de rede de
um computador que executa Windows Server 2012.
7 Observação
7 Observação
0 64 KB
1 256 KB
Nível de produtividade de entrada Máximo
2 1 MB
3 16 MB
O tamanho real da janela pode ser um valor igual ou menor que o máximo,
dependendo das condições de rede.
Ao especificar Ignorar, os aplicativos que usam APIs de QoS terão seus valores DSCP
definidos como zero e somente as políticas de QoS poderão definir valores DSCP.
Por padrão, computadores que executam Windows Server 2016, Windows 10, Windows
Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008
R2, Windows Server 2008 e Windows Vista permitem que os aplicativos especifiquem
valores DSCP; aplicativos e dispositivos que não usam as APIs de QoS não são
substituídos.
A Wi-Fi Alliance estabeleceu uma certificação para WMM (Multimídia Sem Fio) que
define quatro categorias de acesso (WMM_AC) para priorizar o tráfego de rede
transmitido em uma rede Wi-Fi sem fio. As categorias de acesso incluem (na ordem da
prioridade mais alta para a mais baixa): voz, vídeo, melhor esforço e plano de fundo;
respectivamente abreviado como VO, VI, BE e BK. A especificação do WMM define quais
valores DSCP correspondem a cada uma das quatro categorias de acesso:
Você pode criar políticas de QoS que usam esses valores DSCP para garantir que
computadores portáteis com adaptadores sem fio Wi-Fi Certified™ para WMM recebam
tratamento priorizado quando associados ao Wi-Fi Certified para pontos de acesso
wmm.
Uma política de QoS no nível do usuário só é aplicável ao tráfego gerado por esse
usuário. Outros usuários de um computador específico e o próprio computador
não estarão sujeitos a nenhuma política de QoS definida para esse usuário.
No entanto, as políticas de QoS podem ter um número igual de condições. Por exemplo,
várias políticas podem especificar apenas uma parte (mas não a mesma) da rede. Entre a
instância de rede, a ordem a seguir é de precedência mais alta a inferior:
Endereço IP de origem
Endereço IP de destino
Porta de origem
Porta de destino
Dentro de uma condição específica, como endereço IP, um endereço IP mais específico
é tratado com maior precedência; por exemplo, um endereço IP 192.168.4.1 é mais
específico do que 192.168.4.0/24.
Para o próximo tópico neste guia, consulte Erros e eventos de política de QoS.
Para o primeiro tópico deste guia, consulte Política de QoS (Qualidade de Serviço).
Mensagens de evento e erro de política
de QoS
Artigo • 21/12/2022 • 7 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Mensagens informativas
Veja a seguir uma lista de mensagens informativas da Política de QoS.
Atributo Valor
MessageId 16500
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_MACHINE_POLICY_REFRESH_NO_CHANGE
Idioma Inglês
Atributo Valor
MessageId 16501
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_MACHINE_POLICY_REFRESH_WITH_CHANGE
Idioma Inglês
Atributo Valor
MessageId 16502
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_USER_POLICY_REFRESH_NO_CHANGE
Atributo Valor
Idioma Inglês
Atributo Valor
MessageId 16503
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_USER_POLICY_REFRESH_WITH_CHANGE
Idioma Inglês
Atributo Valor
MessageId 16504
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_TCP_AUTOTUNING_NOT_CONFIGURED
Idioma Inglês
Atributo Valor
MessageId 16505
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_TCP_AUTOTUNING_OFF
Idioma Inglês
Atributo Valor
Atributo Valor
MessageId 16506
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_TCP_AUTOTUNING_HIGHLY_RESTRICTED
Idioma Inglês
Atributo Valor
MessageId 16507
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_TCP_AUTOTUNING_RESTRICTED
Idioma Inglês
Atributo Valor
MessageId 16508
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_TCP_AUTOTUNING_NORMAL
Idioma Inglês
Atributo Valor
MessageId 16509
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_APP_MARKING_NOT_CONFIGURED
Idioma Inglês
Atributo Valor
Atributo Valor
MessageId 16510
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_APP_MARKING_IGNORED
Idioma Inglês
Atributo Valor
MessageId 16511
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_APP_MARKING_ALLOWED
Idioma Inglês
Atributo Valor
MessageId 16512
Gravidade Informativo
SymbolicName EVENT_EQOS_INFO_LOCAL_SETTING_DONT_USE_NLA
Idioma Inglês
Atributo Valor
MessageId 16600
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_TEST_1
Idioma Inglês
Atributo Valor
MessageId 16601
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_TEST_2
Idioma Inglês
Message EQOS: ***Testing***[, com duas cadeias de caracteres, string1 is] "%2"[, string2
is] "%3".
Atributo Valor
MessageId 16602
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_MACHINE_POLICY_VERSION
Idioma Inglês
Message A política de QoS do computador "%2" tem um número de versão inválido. Essa
política não será aplicada.
Atributo Valor
MessageId 16603
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_USER_POLICY_VERSION
Atributo Valor
Idioma Inglês
Message A política de QoS do usuário "%2" tem um número de versão inválido. Essa
política não será aplicada.
Atributo Valor
MessageId 16604
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_MACHINE_POLICY_PROFILE_NOT_SPECIFIED
Idioma Inglês
Message A política de QoS do computador "%2" não especifica um valor DSCP ou uma
taxa de aceleração. Essa política não será aplicada.
Atributo Valor
MessageId 16605
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_USER_POLICY_PROFILE_NOT_SPECIFIED
Idioma Inglês
Message A política de QoS do usuário "%2" não especifica um valor DSCP ou uma taxa
de aceleração. Essa política não será aplicada.
Atributo Valor
MessageId 16606
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_MACHINE_POLICY_QUOTA_EXCEEDED
Idioma Inglês
Atributo Valor
MessageId 16607
Atributo Valor
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_USER_POLICY_QUOTA_EXCEEDED
Idioma Inglês
Atributo Valor
MessageId 16608
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_MACHINE_POLICY_CONFLICT
Idioma Inglês
Atributo Valor
MessageId 16609
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_USER_POLICY_CONFLICT
Idioma Inglês
Message A política de QoS do usuário "%2" potencialmente está em conflito com outras
políticas de QoS. Consulte a documentação para ver as regras sobre qual
política será aplicada.
Atributo Valor
MessageId 16610
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_MACHINE_POLICY_NO_FULLPATH_APPNAME
Idioma Inglês
Atributo Valor
Atributo Valor
MessageId 16611
Gravidade Aviso
SymbolicName EVENT_EQOS_WARNING_USER_POLICY_NO_FULLPATH_APPNAME
Idioma Inglês
Message A política de QoS do usuário "%2" foi ignorada porque o caminho do aplicativo
não pode ser processado. O caminho do aplicativo pode ser inválido, conter
uma letra de unidade inválida ou conter uma unidade mapeada de rede.
Mensagens de erro
Veja a seguir uma lista de mensagens de erro da Política de QoS.
Atributo Valor
MessageId 16700
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_MACHINE_POLICY_REFERESH
Idioma Inglês
Message Falha na atualização das políticas de QoS do computador. Código de erro: "%2".
Atributo Valor
MessageId 16701
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_USER_POLICY_REFERESH
Idioma Inglês
Message Falha na atualização das políticas de QoS do usuário. Código de erro: "%2".
Atributo Valor
MessageId 16702
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_OPENING_MACHINE_POLICY_ROOT_KEY
Idioma Inglês
Message Falha na QoS ao abrir a chave raiz no nível do computador para políticas de
QoS. Código de erro: "%2".
Atributo Valor
MessageId 16703
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_OPENING_USER_POLICY_ROOT_KEY
Idioma Inglês
Message Falha na QoS ao abrir a chave raiz no nível do usuário para políticas de QoS.
Código de erro: "%2".
Atributo Valor
MessageId 16704
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_MACHINE_POLICY_KEYNAME_TOO_LONG
Idioma Inglês
Atributo Valor
MessageId 16705
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_USER_POLICY_KEYNAME_TOO_LONG
Idioma Inglês
Atributo Valor
Atributo Valor
MessageId 16706
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_MACHINE_POLICY_KEYNAME_SIZE_ZERO
Idioma Inglês
Atributo Valor
MessageId 16707
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_USER_POLICY_KEYNAME_SIZE_ZERO
Idioma Inglês
Message Uma política de QoS de usuário tem um nome de comprimento zero. A política
incorreta está listada na chave raiz de política de QoS de nível de usuário, com
o índice "%2".
Atributo Valor
MessageId 16708
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_OPENING_MACHINE_POLICY_SUBKEY
Idioma Inglês
Message Falha do QoS ao abrir a subchave do registro para uma política de QoS do
computador. A política está listada na chave raiz da política de QoS no nível da
máquina, com o índice "%2".
Atributo Valor
Atributo Valor
MessageId 16709
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_OPENING_USER_POLICY_SUBKEY
Idioma Inglês
Message Falha de QoS ao abrir a subchave do registro para uma política de QoS de
usuário. A política está listada na chave raiz de política de QoS de nível de
usuário, com o índice "%2".
Atributo Valor
MessageId 16710
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_PROCESSING_MACHINE_POLICY_FIELD
Idioma Inglês
Message Falha de QoS ao ler ou validar o campo "%2" para a política de QoS do
computador "%3".
Atributo Valor
MessageId 16711
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_PROCESSING_USER_POLICY_FIELD
Idioma Inglês
Message Falha de QoS ao ler ou validar o campo "%2" para a política de QoS de usuário
"%3".
Atributo Valor
MessageId 16712
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_SETTING_TCP_AUTOTUNING
Idioma Inglês
Atributo Valor
Message Falha na QoS ao ler ou definir o nível de produtividade TCP de entrada, código
de erro: "%2".
Atributo Valor
MessageId 16713
Gravidade Erro
SymbolicName EVENT_EQOS_ERROR_SETTING_APP_MARKING
Idioma Inglês
Para o próximo tópico neste guia, consulte Perguntas frequentes sobre a política de
QoS.
Para o primeiro tópico deste guia, consulte Política de QoS (Qualidade de Serviço).
Perguntas frequentes sobre a
política de QoS
Perguntas frequentes
Para o primeiro tópico deste guia, consulte Política de QoS (Qualidade de Serviço).
Rede definida pelo software (SDN)
Saiba mais sobre os recursos, a tecnologia e a implantação da Rede definida pelo
software (SDN).
e VISÃO GERAL
h NOVIDADES
p CONCEITO
q VIDEO
Introdução
b COMEÇAR AGORA
e VISÃO GERAL
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Controlador de rede
O controlador de rede fornece um ponto de automação centralizado e programável
para gerenciar, configurar, monitorar e solucionar problemas de infraestrutura de rede
física e virtual em seu datacenter. Com o controlador de rede, você pode automatizar a
configuração da infraestrutura de rede em vez de executar a configuração manual de
dispositivos e serviços de rede.
Gateway RAS para SDN. Roteia o tráfego de rede entre a rede física e os recursos
de rede da VM, independentemente do local. Você pode roteá-lo no mesmo local
físico ou em muitos locais diferentes. Para obter mais detalhes, consulte Gateway
RAS para SDN.
SET é uma solução alternativa de NIC Teaming que você pode usar em ambientes que
incluem o Hyper-V e a pilha SDN (Rede Definida pelo Software) no Windows Server
2016. SET integra algumas das funcionalidades de NIC Teaming no Com switch virtual
do Hyper-V.
Além disso, você pode usar comandos do Windows PowerShell para habilitar o DCB
(Data Center Bridging), criar um Comu switch virtual do Hyper-V com uma vNIC (NIC
virtual) RDMA e criar um comu switch virtual do Hyper-V com vNICs SET e RDMA. Para
obter mais informações, consulte Remote Direct Memory Access (RDMA) e Switch
Embedded Teaming (SET).
System Center
Implante e gerencie a infraestrutura de SDN com o VMM (Gerenciamento de Máquinas
Virtuais)e Operations Manager. Com o VMM, você provisiona e gerencia os recursos
necessários para criar e implantar máquinas virtuais e serviços em nuvens privadas. Com
o Operations Manager, você monitora serviços, dispositivos e operações em toda a
empresa para identificar problemas para ação imediata.
Virtualização de Rede Hyper-V
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
- Conexão uma rede local para o Azure via VPN site a site e estender o Active
Directory para uma VM DC iaaS no Azure |
Visão geral da Virtualização de Rede
Hyper-V no Windows Server
Artigo • 21/12/2022 • 13 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Windows Pacote do Azure para Windows Server fornece um portal voltado para
locatários para criar redes virtuais e um portal administrativo para gerenciar redes
virtuais.
Para obter mais detalhes técnicos sobre a virtualização de rede Windows Server 2016,
consulte Detalhes técnicos de virtualização de rede hyper-V Windows Server 2016.
Descrição do recurso
A Virtualização de Rede Hyper-V fornece "redes virtuais" (chamadas de rede VM) para
máquinas virtuais semelhantes a como a virtualização de servidor (hipervisor) fornece
"máquinas virtuais" para o sistema operacional. A virtualização de rede separa redes
virtuais da infraestrutura de rede física e remove as restrições da atribuição de
endereços IP hierárquicos e de VLAN do provisionamento de máquinas virtuais. Essa
flexibilidade facilita a migração de clientes para nuvens IaaS e torna mais eficiente o
gerenciamento da infraestrutura pelos hosters e administradores do datacenter,
mantendo ainda o isolamento multilocatário, os requisitos de segurança e o suporte à
sobreposição de endereços IP de máquinas virtuais.
Aplicações práticas
Com o sucesso dos datacenters virtualizados, as organizações de TI e os provedores de
hospedagem (provedores que fornecem aluguéis de servidores físicos ou colocação)
começaram a oferecer infraestruturas virtualizadas mais flexíveis que facilitam a oferta
de instâncias de servidor por demanda a seus clientes. Essa nova classe de serviços é
chamada de IaaS (Infraestrutura como Serviço). Windows Server 2016 fornece todos os
recursos de plataforma necessários para permitir que os clientes empresariais criem
nuvens privadas e transiram para um modelo operacional de TI como serviço. Windows
Server 2016 também permite que os hosters criem nuvens públicas e ofereçam soluções
de IaaS para seus clientes. Quando combinada com Virtual Machine Manager e
Windows Azure Pack para gerenciar a política de Virtualização de Rede Hyper-V, a
Microsoft fornece uma solução de nuvem poderosa.
Windows Server 2016 Virtualização de Rede Hyper-V fornece aos hosters de nuvem
melhor flexibilidade e escalabilidade para gerenciar máquinas virtuais para obter maior
utilização de recursos.
Vlans
Atualmente, as VLANs são o mecanismo que a maioria das organizações usa para dar
suporte à reutilização de espaço de endereço e ao isolamento de locatário. Uma VLAN
usa a marcação explícita (VLAN ID) nos cabeçalhos de quadros Ethernet e depende dos
comutadores Ethernet para impor o isolamento e restringir o tráfego aos nós da rede
com a mesma ID da VLAN. As principais desvantagens das VLANs são as descritas a
seguir:
Limitadas a uma única sub-rede de IPs, o que restringe o número de nós em uma
única VLAN e o posicionamento de máquinas virtuais com base em localizações
físicas. Embora as VLANs possam ser expandidas entre sites, a VLAN inteira deve
estar na mesma sub-rede.
Atribuição de endereço IP
Funcionalidade importante
Veja a seguir uma lista das principais funcionalidades, benefícios e funcionalidades da
Virtualização de Rede Hyper-V Windows Server 2016:
Habilita migrações mais fáceis de cargas de trabalho para uma nuvem IaaS
compartilhada
Requisitos de software
a virtualização de rede Hyper-v usando o controlador de rede da Microsoft requer
Windows Server 2016 e a função Hyper-v.
Confira também
para saber mais sobre a virtualização de rede Hyper-V no Windows Server 2016
consulte os links a seguir:
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
HNVv1
O HNVv1 é compatível com Windows Server 2012 R2 e System Center VMM (2012
R2 Virtual Machine Manager). A configuração do HNVv1 depende do
gerenciamento do WMI e dos cmdlets Windows PowerShell (facilitados por meio
de System Center VMM) para definir as configurações de isolamento e a CA
(Endereço do Cliente) – rede virtual – para mapeamentos e roteamento de
Endereço Físico (PA). Nenhum recurso adicional foi adicionado ao HNVv1 em
Windows Server 2016 e nenhum novo recurso está planejado.
Set Teaming e HNV V1 não são compatíveis com a plataforma.
o Para usar gateways NVGRE ha, os usuários precisam usar a equipe LBFO ou
nenhuma equipe. Ou
HNVv2
) Importante
Rede virtual
Cada rede virtual consiste em uma ou mais sub-redes virtuais. Uma rede virtual
forma um limite de isolamento em que as máquinas virtuais dentro de uma rede
virtual só podem se comunicar entre si. Tradicionalmente, esse isolamento era
imposto usando VLANs com um intervalo de endereços IP segregado e ID de
marca 802,1q ou VLAN. Mas com o HNV, o isolamento é imposto usando
encapsulamento NVGRE ou VXLAN para criar redes de sobreposição com a
possibilidade de sobreposição de sub-redes IP entre clientes ou locatários.
Cada rede virtual tem uma RDID (ID de Domínio de Roteamento) exclusiva no host.
Essa RDID é mapeada aproximadamente para uma ID de Recurso para identificar o
recurso REST de rede virtual no Controlador de Rede. O recurso REST de rede
virtual é referenciado usando um namespace URI (Uniform Resource Identifier)
com a ID do Recurso acrescentada.
Sub-redes virtuais
Uma sub-rede virtual implementa a semântica de sub-rede IP de Camada 3 das
máquinas virtuais na mesma sub-rede virtual. A sub-rede virtual forma um
domínio de difusão (semelhante a uma VLAN) e o isolamento é imposto usando o
campo TNI (ID de Rede de Locatário) NVGRE ou VNI (Identificador de Rede
VXLAN).
Cada sub-rede virtual pertence a uma única RDID (rede virtual) e recebe uma VSID
(ID de sub-rede virtual) exclusiva usando a chave TNI ou VNI no cabeçalho de
pacote encapsulado. O VSID deve ser exclusivo dentro do datacenter e está no
intervalo de 4096 a 2^24-2.
Uma das principais vantagens da rede virtual e do domínio de roteamento é que ela
permite que os clientes tragam suas próprias topologias de rede (por exemplo, sub-
redes IP) para a nuvem. A Figura 2 mostra um exemplo em que a Contoso Corp tem
duas redes separadas, o R&D Net e o Sales Net. Como essas redes têm diferentes IDs de
domínio de roteamento, elas não podem interagir entre si. Ou seja, a Contoso R&D Net
é isolada da Contoso Sales Net, embora ambas sejam de propriedade da Contoso Corp.
Contoso R&D Net contém três sub-redes virtuais. Observe que a RDID e a VSID são
exclusivas dentro de um datacenter.
Figura 2: Redes de cliente e sub-redes virtuais
Encaminhamento da Camada 2
Na Figura 2, as máquinas virtuais no VSID 5001 podem ter seus pacotes encaminhados
para máquinas virtuais que também estão no VSID 5001 por meio do Comutador
Hyper-V. Os pacotes de entrada de uma máquina virtual no VSID 5001 são enviados
para um VPort específico no Comutador Hyper-V. As regras de entrada (por exemplo,
encap) e mapeamentos (por exemplo, cabeçalho de encapsulamento) são aplicados
pelo Comutador Hyper-V para esses pacotes. Em seguida, os pacotes são encaminhados
para um VPort diferente no Comutador Hyper-V (se a máquina virtual de destino estiver
anexada ao mesmo host) ou para um comutador Hyper-V diferente em um host
diferente (se a máquina virtual de destino estiver localizada em um host diferente).
Roteamento da Camada 3
Da mesma forma, as máquinas virtuais no VSID 5001 podem ter seus pacotes roteados
para máquinas virtuais no VSID 5002 ou VSID 5003 pelo roteador distribuído HNV que
está presente no VSwitch de cada host Hyper-V. Ao entregar o pacote para o
comutador Hyper-V, o HNV atualiza o VSID do pacote de entrada para o VSID da
máquina virtual de destino. Isso ocorrerá somente se as duas VSIDs estiverem na mesma
RDID. Portanto, adaptadores de rede virtual com RDID1 não podem enviar pacotes para
adaptadores de rede virtual com RDID2 sem percorrer um gateway.
7 Observação
7 Observação
A porta de comutador do Hyper-V deve ter uma regra de ACL aplicada. Essa ACL pode
ser ALLOW ALL, DENY ALL ou ser mais específica para permitir apenas determinados
tipos de tráfego com base na correspondência de 5 tuplas (IP de origem, IP de destino,
porta de origem, porta de destino, protocolo).
7 Observação
7 Observação
O Agente host, atuando como o servidor OVSDB, usa uma variante do esquema
VTEP para armazenar mapeamentos de CA-PA, tabela MAC e assim por diante.
Se um endereço MAC estiver disponível, o Agente host injetará uma resposta ARP e
enviará isso de volta para a máquina virtual. Depois que a pilha de rede da máquina
virtual tiver todas as informações de cabeçalho L2 necessárias, o quadro será enviado
para a porta do Hyper-V correspondente no V-Switch. Internamente, o Comutador
Hyper-V testa esse quadro em relação às regras de correspondência N-tupla atribuídas
à Porta V e aplica determinadas transformações ao quadro com base nessas regras.
Mais importante, um conjunto de transformações de encapsulamento é aplicado para
construir o cabeçalho de encapsulamento usando NVGRE ou VXLAN, dependendo da
política definida no Controlador de Rede. Com base na política programada pelo
Agente host, um mapeamento ca-pa é usado para determinar o endereço IP do host
Hyper-V onde reside a máquina virtual de destino. O Comutador Hyper-V garante que
as regras de roteamento corretas e as marcas VLAN sejam aplicadas ao pacote externo
para que ele atinja o endereço pa remoto.
Se uma máquina virtual conectada a uma rede virtual HNV quiser criar uma conexão
com uma máquina virtual em uma VSID (sub-rede virtual) diferente, o pacote precisará
ser roteado de acordo. O HNV pressupõe uma topologia de estrela em que há apenas
um endereço IP no espaço de AC usado como o próximo salto para alcançar todos os
prefixos IP (ou seja, uma rota/gateway padrão). Atualmente, isso impõe uma limitação a
uma única rota padrão e não há suporte para rotas não padrão.
Como o HNV assume uma topologia estrela, o roteador distribuído HNV atua como um
único gateway padrão para todo o tráfego que está entre sub-redes virtuais que fazem
parte da mesma rede VSID. O endereço usado como o gateway padrão é padrão para o
endereço IP mais baixo no VSID e é atribuído ao roteador distribuído HNV. Esse
roteador distribuído permite uma maneira muito eficiente para que todo o tráfego
dentro de uma Rede VSID seja roteado adequadamente porque cada host pode rotear
diretamente o tráfego para o host apropriado sem precisar de um intermediário. Isso é
particularmente verdadeiro quando duas máquinas virtuais na mesma Rede VM, mas em
diferentes Sub-redes Virtuais estão no mesmo host físico. Como você verá mais adiante
nesta seção, o pacote nunca terá que sair do host físico.
Os gateways podem ser fornecidos em diferentes fatores forma físicos. Eles podem ser
criados em Windows Server 2016, incorporados em um comutador TOR (Top of Rack)
atuando como um Gateway VXLAN, acessado por meio de um IP Virtual (VIP) anunciado
por um balanceador de carga, colocado em outros dispositivos de rede existentes ou
pode ser um novo dispositivo de rede autônomo.
Para obter mais informações sobre Windows opções de Gateway RAS, consulte o
Gateway de RAS.
Encapsulamento de Pacote
Cada adaptador de rede virtual da HNV está associado a dois endereços IP:
Endereço do cliente (AC) O endereço IP atribuído pelo cliente, com base em sua
infraestrutura de intranet. Esse endereço permite que o cliente troque o tráfego de
rede com a máquina virtual como se não tivesse sido movido para uma nuvem
pública ou privada. O CA é visível para a máquina virtual e está acessível para o
cliente.
As máquinas virtuais enviam pacotes de dados nos espaços de AC, que são
colocados em um "envelope" com um par de origem e destino de PA com base no
mapeamento.
Com Windows Server 2016 e posteriores, o HNV dá suporte total a NVGRE e VXLAN fora
da caixa; não requer a atualização ou a compra de novos hardwares de rede, como NICs
(adaptadores de rede), comutadores ou roteadores. Isso ocorre porque esses pacotes na
transmissão são pacotes IP regulares no espaço de PA, que é compatível com a
infraestrutura de rede atual. No entanto, para obter o melhor desempenho, use NICs
com suporte com os drivers mais recentes que dão suporte a descarregamentos de
tarefas.
Exemplo de implantação multilocatário
O diagrama a seguir mostra um exemplo de implantação de dois clientes localizados em
um datacenter de nuvem com a relação CA-PA definida pelas políticas de rede.
Usando o Controlador de Rede, a Contoso Corp e a Fabrikam Corp criam sua rede
virtual e sub-redes que são apoiadas pela rede lógica de provedor (PA) especificada
pelo provedor de serviços de hospedagem. A Contoso Corp e Fabrikam Corp migram
seus respectivos SQL Servers e servidores Web para o serviço IaaS compartilhado do
mesmo provedor de hospedagem onde, coincidentemente, executam as máquinas
virtuais SQL no Host Hyper-V 1 e as máquinas virtuais Web (IIS7) no Host Hyper-V 2.
Todas as máquinas virtuais mantêm seus endereços IP de intranet originais (seus CAs).
Ambas as empresas recebem a seguinte VSID (ID de Sub-rede Virtual) pelo Controlador
de Rede, conforme indicado abaixo. O Agente host em cada um dos hosts Hyper-V
recebe os endereços IP de PA alocados do Controlador de Rede e cria dois vNICs de
host de PA em um compartimento de rede não padrão. Um adaptador de rede é
atribuído a cada um desses vNICs de host em que o endereço IP de PA é atribuído,
conforme mostrado abaixo:
VSID e PAs das máquinas virtuais da Contoso Corp: VSID é 5001, SQL PA é
192.168.1.10, a PA Web é 192.168.2.20
VSID e PAs das máquinas virtuais da Fabrikam Corp: VSID é 6001, SQL PA é
192.168.1.10, a PA Web é 192.168.2.20
Quando a máquina virtual Da Web da Contoso Corp (10.1.1.12) no Host Hyper-V 2 cria
uma conexão TCP com o SQL Server em 10.1.1.11, o seguinte acontece:
A extensão VFP no vSwitch intercepta esse pacote e o envia para o Agente de Host
do SDN
Se um MAC for encontrado, o Agente host injetará uma resposta ARP de volta à
VM
Se um MAC não for encontrado, nenhuma resposta será enviada e a entrada ARP
na VM para 10.1.1.11 será marcada como inacessível.
O VFP processa o pacote por meio de suas camadas VFP e cria uma nova entrada
de fluxo na tabela de fluxo unificada VFP.
vSwitch
Porta
Camada VFP
tabela Flow
Grupo
Regra
As regras podem referenciar espaços
No VFP, uma camada é criada por tipo de política (por exemplo, Rede Virtual) e é um
conjunto genérico de tabelas de regra/fluxo. Ele não tem nenhuma funcionalidade
intrínseca até que regras específicas sejam atribuídas a essa camada para implementar
essa funcionalidade. Cada camada recebe uma prioridade e as camadas são atribuídas a
uma porta por prioridade crescente. As regras são organizadas em grupos com base
principalmente na direção e na família de endereços IP. Os grupos também recebem
uma prioridade e, no máximo, uma regra de um grupo pode corresponder a um
determinado fluxo.
Encaminhando
A política HNV é programada pelo agente host. Cada adaptador de rede de máquina
virtual é configurado com um endereço IPv4. Esses são os CAs que serão usados pelas
máquinas virtuais para se comunicarem entre si e eles são transportados nos pacotes IP
das máquinas virtuais. O HNV encapsula o quadro de AC em um quadro de PA com
base nas políticas de virtualização de rede armazenadas no banco de dados do agente
host.
Figura 9: Arquitetura de HNV
Resumo
Os datacenters baseados em nuvem podem oferecer diversos benefícios, como
escalabilidade aprimorada e melhor utilização de recursos. Para aproveitar esses
possíveis benefícios, é necessária uma tecnologia que basicamente trate dos problemas
de escalabilidade multilocatário em um ambiente dinâmico. A HNV foi projetada para
lidar com essas questões e também para aprimorar a eficiência operacional do
datacenter, separando a topologia da rede virtual para a topologia da rede física. Com
base em um padrão existente, o HNV é executado no datacenter atual e opera com sua
infraestrutura VXLAN existente. Os clientes com HNV agora podem consolidar seus
datacenters em uma nuvem privada ou estender perfeitamente seus datacenters para o
ambiente de um provedor de servidor de hospedagem com uma nuvem híbrida.
Confira também
Para saber mais sobre o HNVv2, confira os seguintes links:
Tipo de Referências
conteúdo
Tecnologias - Para obter Virtualização de Rede Hyper-V detalhes técnicos no Windows Server
relacionadas 2012 R2, consulte Virtualização de Rede Hyper-V detalhes técnicos
- Controlador de Rede
Novidades na Virtualização de Rede
Hyper-V no Windows Server
Artigo • 21/12/2022 • 3 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Atualizações no HNV
O HNV oferece suporte aprimorado nas seguintes áreas:
O novo Controlador de Rede da Microsoft envia políticas de HNV por push para um
Agente host em execução em cada host usando o Open vSwitch Database Management
Protocol (OVSDB) como a Interface southbound (SBI). O Agente host armazena essa
política usando uma personalização do esquema VTEP e programa regras de fluxo
complexas em um mecanismo de fluxo performante no comutador Hyper-V.
7 Observação
A opção Hyper-V dá suporte a regras de fluxo sem estado e com estado com base na
simples "ação de correspondência" no mecanismo de fluxo da Microsoft.
Referências adicionais
Visão Geral da Virtualização de Rede Hyper-V
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI, versões
21H2 e 20H2
Se você trabalha para um CSP (Provedor de Serviços de Nuvem) ou Enterprise que planeja implantar o SDN
(Software Defined Networking) em Windows Server, você pode fornecer serviços DNS para suas cargas de
trabalho de locatário hospedado usando o DNS interno (iDNS), que é integrado ao SDN.
VMs (máquinas virtuais) hospedadas e aplicativos exigem que o DNS se comunique em suas próprias redes e
com recursos externos na Internet. Com o iDNS, você pode fornecer aos locatários serviços de resolução de
nomes DNS para seu espaço de nome local isolado e para recursos da Internet.
Como o serviço iDNS não está acessível por meio de redes virtuais de locatário, exceto por meio do proxy iDNS,
o servidor não está vulnerável a atividades mal-intencionadas em redes de locatário.
Principais recursos
Fornece serviços de resolução de nomes DNS compartilhados para cargas de trabalho de locatário
Serviço DNS autoritativo para resolução de nomes e registro DNS no espaço de nome do locatário
Serviço DNS recursivo para resolução de nomes de Internet de VMs de locatário.
Se desejado, você pode configurar a hospedagem simultânea de nomes de malha e locatário
Uma solução DNS econômica – os locatários não precisam implantar sua própria infraestrutura DNS
Alta disponibilidade com a integração do Active Directory, que é necessária.
Além desses recursos, se você estiver preocupado em manter seus servidores DNS integrados do AD abertos na
Internet, você poderá implantar servidores iDNS atrás de outro resolvedor recursivo na rede de perímetro.
Como o iDNS é um servidor centralizado para todas as consultas DNS, um CSP ou Enterprise também pode
implementar firewalls DNS de locatário, aplicar filtros, detectar atividades mal-intencionadas e auditar
transações em um local central
Infraestrutura iDNS
A infraestrutura iDNS inclui servidores iDNS e proxy iDNS.
Servidores iDNS
O iDNS inclui um conjunto de servidores DNS que hospedam dados específicos do locatário, como registros de
recursos DNS da VM.
Os servidores iDNS são os servidores autoritativos para suas zonas DNS internas e também atuam como um
resolvedor para nomes públicos quando as VMs de locatário tentam se conectar a recursos externos.
Todos os nomes de host para VMs em Redes Virtuais são armazenados como Registros de Recursos DNS na
mesma zona. Por exemplo, se você implantar iDNS para uma zona chamada contoso.local, os Registros de
Recursos DNS para as VMs nessa rede serão armazenados na zona contoso.local.
Os FQDNs (Nomes de Domínio Totalmente Qualificados) da VM do locatário consistem no nome do
computador e na cadeia de caracteres de sufixo DNS para o Rede Virtual, no formato GUID. Por exemplo, se
você tiver uma VM de locatário chamada TENANT1 que esteja no Rede Virtual contoso, local, o FQDN da VM
será TENANT1. vn-guid.contoso.local, onde vn-guid é a cadeia de caracteres de sufixo DNS para o Rede Virtual.
7 Observação
Se você for um administrador de malha, poderá usar sua infraestrutura CSP ou Enterprise DNS como
servidores iDNS em vez de implantar novos servidores DNS especificamente para uso como servidores
iDNS. Se você implantar novos servidores para iDNS ou usar sua infraestrutura existente, o iDNS depende
do Active Directory para fornecer alta disponibilidade. Portanto, os servidores iDNS devem ser integrados
ao Active Directory.
Proxy iDNS
O proxy iDNS é um serviço de Windows que é executado em cada host e que encaminha o locatário Rede
Virtual tráfego DNS para o servidor iDNS.
A ilustração a seguir mostra caminhos de tráfego DNS de redes virtuais de locatário por meio do proxy iDNS
para o servidor iDNS e a Internet.
Como implantar iDNS
Quando você implanta o SDN em Windows Server 2016 usando scripts, o iDNS é incluído automaticamente em
sua implantação.
7 Observação
Se você implantou o SDN usando scripts, não precisará executar nenhuma dessas etapas. As etapas são
fornecidas somente para fins de solução de problemas e informações.
PowerShell
Url: https://<url>/networking/v1/iDnsServer/configuration
Method: PUT
"properties": {
"connections": [
"managementAddresses": [
"10.0.0.9"
],
"credential": {
"resourceRef": "/credentials/iDnsServer-Credentials"
},
"credentialType": "usernamePassword"
],
"zone": "contoso.local"
7 Observação
Este é um trecho da seção Configuração ConfigureIDns no SDNExpress.ps1. Para obter mais informações,
consulte Implantar uma infraestrutura de rede definida pelo software usando scripts.
Chave do Registro =
HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
ValueName = "Port"
ValueData = 53
ValueType = "Dword"
Chave do Registro =
HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
ValueName = "ProxyPort"
ValueData = 53
ValueType = "Dword"
IP DNS: Endereço IP fixo configurado na interface de rede, caso o locatário opte por usar o serviço iDNS
Chave do Registro =
HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
ValueName = "IP"
ValueData = "169.254.169.254"
ValueType = "String"
Chave do Registro =
HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService
ValueName = "MAC"
ValueData = "aa-bb-cc-aa-bb-cc"
ValueType = "String"
Endereço do servidor IDNS: Uma lista separada por vírgulas de servidores iDNS.
7 Observação
Este é um trecho da seção Configuração ConfigureIDnsProxy no SDNExpress.ps1. Para obter mais
informações, consulte Implantar uma infraestrutura de rede definida pelo software usando scripts.
PowerShell
PowerShell
Para obter mais informações, consulte Criar uma VM e Conexão para um locatário Rede Virtual ou VLAN.
Se quiser que a VM de locatário use o serviço iDNS, você deve deixar a configuração do servidor DNS de
interfaces de rede da VM em branco e permitir que as interfaces usem DHCP.
Depois que a VM com essa interface de rede é iniciada, ela recebe automaticamente uma configuração que
permite que a VM use iDNS e a VM inicia imediatamente a execução da resolução de nomes usando o serviço
iDNS.
Se você configurar a VM de locatário para usar o serviço iDNS deixando o servidor DNS da interface de rede e as
informações alternativas do servidor DNS em branco, o Controlador de Rede fornecerá à VM um endereço IP e
executará um registro de nome DNS em nome da VM com o servidor iDNS.
O Controlador de Rede também informa o proxy iDNS sobre a VM e os detalhes necessários para executar a
resolução de nomes para a VM.
Quando a VM inicia uma consulta DNS, o proxy atua como um encaminhador da consulta do Rede Virtual para o
serviço iDNS.
O proxy DNS também garante que as consultas de VM de locatário estejam isoladas. Se o servidor iDNS for
autoritativo para a consulta, o servidor iDNS responderá com uma resposta autoritativa. Se o servidor iDNS não
for autoritativo para a consulta, ele executará uma recursão DNS para resolver nomes da Internet.
7 Observação
Essas informações estão incluídas na seção Configuration AttachToVirtualNetwork no
SDNExpressTenant.ps1. Para obter mais informações, consulte Implantar uma infraestrutura de rede
definida pelo software usando scripts.
O que é o Controlador de Rede?
Artigo • 23/01/2023 • 5 minutos para o fim da leitura
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
Gerenciamento do firewall
Esse recurso controlador de rede permite que você configure e gerencie regras de
Controle de Acesso de firewall de permissão/negação para suas VMs de carga de
trabalho para tráfego de rede interno (Leste/Oeste) e externo (Norte/Sul) em seu
datacenter. As regras de firewall são inseridas na porta vSwitch das VMs de carga de
trabalho e, portanto, são distribuídas entre suas cargas de trabalho no datacenter e se
movem junto com suas cargas de trabalho.
Usando a API Northbound, você pode definir as regras de firewall para o tráfego de
entrada e saída das VMs de carga de trabalho. Você também pode configurar cada
regra de firewall para registrar o tráfego que é permitido ou negado pela regra.
Gerenciamento de gateway
O Gateway ras (Serviço de Acesso Remoto) permite que você implante, configure e
gerencie VMs que são membros de um pool de gateway, fornecendo conectividade de
rede externa às cargas de trabalho do cliente. Com os gateways, há suporte para os
seguintes tipos de conectividade entre suas redes virtuais e remotas:
Conectividade de gateway de VPN (rede virtual privada) site a site usando IPsec
Conectividade de gateway de VPN site a site usando GRE (Encapsulamento de
Roteamento Genérico)
Funcionalidade de encaminhamento da Camada 3
Para saber mais sobre rotas definidas pelo usuário, consulte Usar soluções de
virtualização de rede em um Rede Virtual.
Próximas etapas
Para obter informações relacionadas, consulte também:
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar este tópico para saber mais sobre a configuração de alta disponibilidade
e escalabilidade do Controlador de Rede para SDN (Rede Definida pelo Software).
Ao implantar o SDN em seu datacenter, você pode usar o Controlador de Rede para
implantar, monitorar e gerenciar centralmente muitos elementos de rede, incluindo
Gateways RAS, Balanceadores de Carga de Software, políticas de rede virtual para
comunicação de locatário, políticas de Firewall do Datacenter, QoS (Qualidade de
Serviço) para políticas de SDN, políticas de rede híbrida e muito mais.
7 Observação
7 Observação
Para obter informações sobre Service Fabric no Azure, consulte Visão geral do
Azure Service Fabric.
O aplicativo Controlador de Rede é composto por vários serviços de Service Fabric com
estado. Cada serviço é responsável por uma função de rede, como gerenciamento de
rede física, gerenciamento de rede virtual, gerenciamento de firewall ou gerenciamento
de gateway.
Cada serviço Service Fabric tem uma réplica primária e duas réplicas secundárias. A
réplica de serviço primário processa solicitações, enquanto as duas réplicas de serviço
secundárias fornecem alta disponibilidade em circunstâncias em que a réplica primária
está desabilitada ou indisponível por algum motivo.
A ilustração a seguir mostra um controlador de rede Service Fabric cluster com cinco
computadores. Quatro serviços são distribuídos entre as cinco máquinas: Serviço de
Firewall, Serviço de Gateway, Serviço de Balanceamento de Carga de Software (SLB) e
serviço de Vnet (rede virtual). Cada um dos quatro serviços inclui uma réplica de serviço
primário e duas réplicas de serviço secundárias.
Vantagens de usar Service Fabric
A seguir estão as principais vantagens para usar Service Fabric para clusters do
Controlador de Rede.
Armazenamento persistente
O aplicativo Controlador de Rede tem requisitos de armazenamento grandes para sua
configuração e estado. O aplicativo também deve ser utilizável em interrupções
planejadas e não planejadas. Para essa finalidade, Service Fabric fornece um Key-Value
Store (KVS) que é um repositório replicado, transacional e persistente.
Modularidade
O Controlador de Rede foi projetado com uma arquitetura modular, com cada um dos
serviços de rede, como o serviço de redes virtuais e o serviço de firewall, integrados
como serviços individuais.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Este tópico fornece instruções sobre como instalar a função de servidor controlador de
rede usando Gerenciador do Servidor.
) Importante
12. Depois que o computador for reiniciado, faça logon no computador e verifique a
instalação do Controlador de Rede exibindo Gerenciador do Servidor.
Consulte Também
Controlador de rede
Etapas de pós-implantação para
Controlador de Rede
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Esse certificado deve ser confiável para todos os clientes REST. O certificado
também deve ser confiável pelo MUX (Multiplexador de Balanceamento de
Carga de Software) (SLB) e pelos computadores host de southbound
gerenciados pelo Controlador de Rede.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar este tópico para saber mais sobre a Virtualização de Funções de Rede,
que permite implantar dispositivos de rede virtual, como o Firewall do Datacenter, o
Gateway RAS multilocatário e o MUX (Balanceamento de Carga de Software).
7 Observação
Nos datacenters definidos pelo software de hoje, as funções de rede que estão sendo
executadas por dispositivos de hardware (como balanceadores de carga, firewalls,
roteadores, comutadores e assim por diante) estão cada vez mais virtualizadas como
dispositivos virtuais. Essa "virtualização da função de rede" é uma progressão natural de
virtualização do servidor e de virtualização de rede. Os dispositivos virtuais estão
surgindo rapidamente e criando um novo mercado. Eles continuam gerando interesse e
ganhando força nas plataformas de virtualização e nos serviços de nuvem.
Para obter mais informações sobre o SDN da Microsoft, consulte Rede Definida pelo
Software.
Segurança
Firewall
Antivírus
Otimizadores de aplicativo/WAN
Edge
Gateways L3
Roteadores
Comutadores
NAT
Proxy HTTP
A plataforma da Microsoft foi projetada para ser uma ótima plataforma para criar e
implantar dispositivos virtuais. Eis o motivo:
Gateway de encaminhamento
O Gateway ras roteia o tráfego entre redes virtuais e a rede física do provedor de
hospedagem. Por exemplo, se os locatários criarem uma ou mais redes virtuais e
precisarem de acesso a recursos compartilhados na rede física no provedor de
hospedagem, o gateway de encaminhamento poderá rotear o tráfego entre a rede
virtual e a rede física para fornecer aos usuários que trabalham na rede virtual os
serviços necessários. Para obter mais informações, consulte a Alta Disponibilidade
do Gateway ras e o gateway RAS.
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
Liberdade para mover VMs de locatário para hosts de computação diferentes sem
interromper políticas de firewall de locatário
Próximas etapas
Para obter informações relacionadas, consulte também:
Usar o Firewall do Datacenter para configurar ACLs com o Windows Admin Center
Usar o Firewall do Datacenter para configurar ACLs com o PowerShell
SDN no Azure Stack HCI e no Windows Server
Módulo do Learn: Implementar Load Balancer de Software e Firewall do Datacenter
no Azure Stack HCI
O que é o Gateway ras (Serviço de
Acesso Remoto) para rede definida pelo
software?
Artigo • 23/01/2023 • 4 minutos para o fim da leitura
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
7 Observação
Recursos
O Gateway ras oferece uma série de recursos para VPN (rede virtual privada), túnel,
encaminhamento e roteamento dinâmico.
Para CSPs que hospedam muitos locatários em seu datacenter, o Gateway ras fornece
uma solução de gateway multilocatário que permite que os locatários acessem e
gerenciem seus recursos por meio de conexões VPN site a site de sites remotos. O
Gateway ras permite o fluxo de tráfego de rede entre os recursos virtuais em seu
datacenter e sua rede física.
Encaminhamento de camada 3
O encaminhamento L3 (Camada 3) permite a conectividade entre a infraestrutura física
no datacenter e a infraestrutura virtualizada na nuvem de virtualização de Rede Hyper-
V. Usando a conexão de encaminhamento L3, as VMs de rede de locatário podem se
conectar a uma rede física por meio do gateway SDN, que já está configurado em um
ambiente de SDN (rede definida por software). Nesse caso, o gateway SDN atua como
um roteador entre a rede virtual e a rede física.
O Refletor de Rota BGP incluído no Gateway ras fornece uma alternativa à topologia de
malha completa do BGP necessária para a sincronização de rotas entre roteadores. Para
obter mais informações, consulte O que é o refletor de rota?
Você pode implantar o Gateway ras em pools de alta disponibilidade que usam vários
recursos ao mesmo tempo. Os pools de gateway contêm várias instâncias do Gateway
ras para alta disponibilidade e failover.
Cada pool de gateways fornece redundância M+N. Isso significa que o número 'M' de
VMs de gateway ativas é suportado pelo número 'N' de VMs de gateway em espera. A
redundância M+N oferece mais flexibilidade para determinar o nível de confiabilidade
necessário ao implantar o Gateway de RAS.
Próximas etapas
Para obter informações relacionadas, consulte também:
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar este tópico para saber mais sobre a implantação do CSP (Provedor de
Serviços de Nuvem) do Gateway ras, incluindo pools de Gateway ras, refletores de rota e
implantação de vários gateways para locatários individuais.
As seções a seguir fornecem breves visões gerais de alguns dos novos recursos do
Gateway ras para que você possa entender como usar esses recursos no design da
implantação do gateway.
Implantação de exemplo
Gateway Pools
Em Windows Server 2016, você pode criar muitos pools de gateway de tipos diferentes.
Os pools de gateway contêm muitas instâncias do Gateway ras e roteiam o tráfego de
rede entre redes físicas e virtuais.
Para obter mais informações, consulte o que há de novo no Gateway ras e alta
disponibilidade do gateway RAS.
Para obter mais informações, consulte o que há de novo no Gateway ras e alta
disponibilidade do gateway RAS.
Para obter mais informações, consulte o que há de novo no Gateway ras e alta
disponibilidade do gateway RAS.
Implantação de exemplo
A ilustração a seguir fornece um exemplo com o emparelhamento eBGP sobre conexões
VPN site a site configuradas entre dois locatários, Contoso e Woodgrove, e o datacenter
CSP da Fabrikam.
Ambos os gateways, GW2 e GW3, foram os primeiros Gateways RAS configurados pelo
Controlador de Rede quando o CSP adicionou os locatários da Contoso e woodgrove à
sua infraestrutura. Por isso, esses dois gateways são configurados como Refletores de
Rota para esses clientes correspondentes (ou locatários). GW2 é o Refletor de Rota
contoso, e GW3 é o Refletor de Rota woodgrove - além de ser o ponto de encerramento
do Gateway ras CSP para a conexão VPN com o site da Contoso Los Angeles HQ.
7 Observação
Um Gateway ras pode rotear o tráfego de rede virtual e física para até cem
locatários diferentes, dependendo dos requisitos de largura de banda de cada
locatário.
Como Refletores de Rota, GW2 envia rotas de espaço da Contoso CA para o Controlador
de Rede, e GW3 envia rotas de espaço de AC do Woodgrove para o Controlador de
Rede.
1. Provisione uma nova rede virtual e cargas de trabalho de acordo com os requisitos
do locatário.
7 Observação
Para obter mais informações sobre SLB, VIPs e DIPs, consulte SLB
(Balanceamento de Carga de Software) para SDN.
5. Depois que o túnel VPN site a site entre o site Enterprise e o gateway RAS do
datacenter CSP for estabelecido para o novo locatário, as rotas estáticas associadas
aos túneis serão provisionadas automaticamente nos lados Enterprise e CSP do
túnel.
Para roteamento do Plano de Dados, os pacotes que chegam às VMs do Gateway ras
são roteados diretamente para a rede virtual do locatário, pois as rotas necessárias
agora estão disponíveis com todas as VMs do Gateway RAS participantes.
Além disso. retornar o tráfego da rede virtual do locatário para o locatário remoto
Enterprise site ignora os SLBs, um processo chamado Retorno do Servidor Direto (DSR).
7 Observação
O Refletor de Rota imediatamente se torna ativo. O túnel VPN site a site para o
Enterprise é estabelecido e o Refletor de Rota usa o emparelhamento eBGP e troca
rotas com os roteadores do site Enterprise.
Após a seleção de rotas BGP, o Refletor de Rota BGP do Gateway de RAS atualiza
os clientes do Refletor de Rota de Locatário no datacenter e sincroniza rotas com o
Controlador de Rede, disponibilizando o Caminho de Dados de Ponta a Ponta para
tráfego de locatário.
Vantagens de usar novos recursos do gateway
RAS
A seguir estão algumas das vantagens de usar esses novos recursos do Gateway ras ao
projetar sua implantação do Gateway ras.
Como você pode adicionar quantas VMs de Gateway RAS precisar para pools de
Gateway ras, você pode dimensionar facilmente sua implantação do Gateway ras para
otimizar o desempenho e a capacidade. Ao adicionar VMs a um pool, você pode
configurar esses Gateways RAS com conexões VPN site a site de qualquer tipo (IKEv2,
L3, GRE), eliminando gargalos de capacidade sem tempo de inatividade.
Quando seu locatário tem vários sites de Enterprise, o locatário pode configurar todos
os sites com um endereço IP VPN site a site remoto e um único endereço IP de vizinho
remoto – seu VIP do Refletor de Rota BGP do Datacenter RAS do CSP para esse
locatário. Isso simplifica o gerenciamento de gateway para seus locatários.
Para garantir uma resposta de failover rápida, você pode configurar o tempo do
parâmetro Keepalive BGP entre as rotas de borda e o roteador de controle para um
intervalo de tempo curto, como menor ou igual a dez segundos. Com esse curto
intervalo de manter vivo, se um roteador de borda BGP do Gateway RAS falhar, a falha
será detectada rapidamente e o Controlador de Rede seguirá as etapas fornecidas nas
seções anteriores. Essa vantagem pode reduzir a necessidade de um protocolo de
detecção de falha separado, como o protocolo BFD (Detecção de Encaminhamento
Bidirecional).
Alta disponibilidade do Gateway de RAS
Artigo • 21/12/2022 • 13 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar este tópico para saber mais sobre configurações de alta disponibilidade
para o SDN (Gateway Multilocatário de RAS para Rede Definida por Software).
Você pode implantar o Gateway ras no modo multilocatário como um gateway de borda
para rotear o tráfego de rede do cliente locatário para redes virtuais e recursos de
locatário.
Esse problema é resolvido em Windows Server 2016, que fornece vários Pools de
Gateway – que podem ser de diferentes tipos para separação lógica. O novo modo de
redundância M+N permite uma configuração de failover mais eficiente.
Para obter mais informações de visão geral sobre o Gateway de RAS, consulte o
Gateway de RAS.
Cada pool é redundante em M+N. Isso significa que um número 'M' de VMs de
gateway ativas é apoiado por um número 'N' de VMs de gateway em espera. O
valor de N (gateways em espera) é sempre menor ou igual a M (gateways ativos).
Você pode dimensionar facilmente um pool de gateway para cima ou para baixo
adicionando ou removendo VMs de gateway no pool. A remoção ou adição de
gateways não interrompe os serviços fornecidos por um pool. Você também pode
adicionar e remover pools inteiros de gateways.
As conexões de um único locatário podem ser encerradas em vários pools e vários
gateways em um pool. No entanto, se um locatário tiver conexões terminadas em
um pool de gateway de tipo All , ele não poderá assinar outros pools de gateway
de tipo individual ou tipo All .
Pools de locatário único – você pode criar um pool para uso por um locatário.
Com esse tipo de implantação, os pools de gateway são implantados por trás de um
SLB (Software Load Balancer), que permite que o CSP atribua um único endereço IP
público para toda a implantação. Várias conexões de gateway de um locatário podem
ser encerradas em vários pools de gateway e também em vários gateways dentro de um
pool. Isso é ilustrado por meio de conexões IKEv2 S2S no diagrama acima, mas o
mesmo é aplicável a outras funções de gateway também, como gateways L3 e GRE.
7 Observação
Ao contrário das conexões de rede IPsec ou GRE, a opção TOR não aprenderá a rede
marcada dinamicamente pela VLAN do locatário. O roteamento para a rede marcada
por VLAN do locatário precisa ser configurado na opção TOR e em todos os
comutadores e roteadores intermediários entre a infraestrutura física e o gateway para
garantir a conectividade de ponta a ponta. Veja a seguir um exemplo de configuração
de Rede Virtual CSP, conforme descrito na ilustração abaixo.
7 Observação
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
7 Observação
Usando o software Load Balancer, você pode escalar horizontalmente seus recursos de
balanceamento de carga usando VMs (máquinas virtuais) SLB nos mesmos servidores de
computação do Hyper-V que você usa para suas outras cargas de trabalho de VM. Por
isso, o Software Load Balancer dá suporte à criação rápida e à exclusão de pontos de
extremidade de balanceamento de carga, conforme necessário para operações CSP.
Além disso, o Software Load Balancer dá suporte a dezenas de gigabytes por cluster,
fornece um modelo de provisionamento simples e é fácil de escalar horizontalmente.
Para saber como gerenciar políticas de software Load Balancer usando Windows Admin
Center, consulte Gerenciar Load Balancer de software para SDN.
Para obter mais informações, consulte Recursos de software Load Balancer neste artigo.
OS VIPs são endereços IP únicos que fornecem acesso público a um pool de VMs com
balanceamento de carga. Por exemplo, VIPs são endereços IP expostos na Internet para
que locatários e clientes locatários possam se conectar aos recursos de locatário no
datacenter de nuvem.
DIPs são os endereços IP das VMs membro de um pool com balanceamento de carga
atrás do VIP. Os DIPs são atribuídos dentro da infraestrutura de nuvem aos recursos de
locatário.
Os VIPs estão localizados no MUX (Multiplexer SLB). O MUX consiste em uma ou mais
VMs. O Controlador de Rede fornece a cada MUX cada VIP, e cada MUX, por sua vez,
usa o BGP (Border Gateway Protocol) para anunciar cada VIP para roteadores na rede
física como uma rota /32. O BGP permite que os roteadores de rede física:
Saiba que um VIP está disponível em cada MUX, mesmo que os MUXes estejam
em sub-redes diferentes em uma rede de Camada 3.
O MUX sabe como mapear VIPs para os DIPs corretos devido às políticas de
balanceamento de carga que você define usando o Controlador de Rede. Essas regras
incluem protocolo, porta de front-end, porta de back-end e algoritmo de distribuição (5,
3 ou 2 tuplas).
3. A rede física tem vários caminhos disponíveis para acessar o VIP localizado em
qualquer MUX. Cada roteador ao longo do caminho usa o ECMP para escolher o
próximo segmento do caminho até que a solicitação chegue a um MUX.
5. O MUX seleciona DIP 10.10.10.5 e encapsula os pacotes usando VXLAN para que
ele possa enviá-lo para o host que contém o DIP usando o endereço de rede física
do host.
8. O host intercepta o pacote de saída na opção virtual que lembra que o cliente,
agora o destino, fez a solicitação original para o VIP. O host reescreve a origem do
pacote para ser o VIP para que o cliente não veja o endereço DIP.
9. O host encaminha o pacote diretamente para o gateway padrão para a rede física
que usa sua tabela de roteamento padrão para encaminhar o pacote para o
cliente, que eventualmente recebe a resposta.
Além disso, você deve configurar os hosts do Azure Stack HCI com o comutador virtual
Hyper-V habilitado para SDN e garantir que o Agente host SLB esteja em execução. Os
roteadores que atendem aos hosts devem dar suporte ao roteamento ECMP e ao BGP
(Border Gateway Protocol) e devem ser configurados para aceitar solicitações de
emparelhamento BGP dos MUXes SLB.
Controlador de rede
O Controlador de Rede hospeda o Gerenciador de SLB e executa as seguintes ações
para Software Load Balancer:
Processa comandos SLB que vêm por meio da API northbound de Windows Admin
Center, System Center, Windows PowerShell ou outro aplicativo de gerenciamento
de rede.
Calcula a política de distribuição para hosts do Azure Stack HCI e MUXes SLB.
Você pode usar Windows Admin Center ou Windows PowerShell para instalar e
configurar o Controlador de Rede e outras infraestruturas SLB.
SLB MUX
O SLB MUX processa o tráfego de rede de entrada e mapeia VIPs para DIPs e encaminha
o tráfego para o DIP correto. Cada MUX também usa BGP para publicar rotas VIP em
roteadores de borda. O BGP Keep Alive notifica os MUXes quando um MUX falha, o que
permite que MUXes ativos redistribuam a carga em caso de falha do MUX. Isso
essencialmente fornece balanceamento de carga para os balanceadores de carga.
O Agente host SLB escuta atualizações de política SLB do Controlador de Rede. Além
disso, as regras de programas do agente host para SLB nos comutadores virtuais do
Hyper-V habilitados para SDN configurados no computador local.
Para obter informações sobre como habilitar o VFP em comutadores virtuais, consulte
os comandos Windows PowerShell Get-VMSystemSwitchExtension e Enable-
VMSwitchExtension.
O comutador virtual Hyper-V habilitado para SDN executa as seguintes ações para SLB:
Ignora o MUX para tráfego de rede de saída, enviando-o para o roteador usando
DSR.
Roteador BGP
O roteador BGP executa as seguintes ações para Software Load Balancer:
Funcionalidade principal
O SLB fornece serviços de balanceamento de carga de Camada 4 para tráfego
TCP/UDP norte/sul e leste/oeste.
Você pode usar o SLB em uma rede baseada em Virtualização de Rede Hyper-V.
Você pode usar o SLB com uma rede baseada em VLAN para VMs DIP conectadas
a um comutador virtual Hyper-V habilitado para SDN.
O SLB funciona quando você também está usando o SET (Switch Embedded
Teaming) ou o SR-IOV (Virtualização de Entrada/Saída Raiz Única).
O SLB inclui o IPv6 (Protocolo de Internet versão 6) e o suporte à versão 4 (IPv4).
Para cenários de gateway site a site, o SLB fornece a funcionalidade NAT para
habilitar todas as conexões site a site a utilizar um único IP público.
Escala e desempenho
Pronto para escala de nuvem, incluindo a capacidade de expansão e expansão
para MUXes e agentes de host.
Alta disponibilidade
Você pode implantar o SLB em mais de dois nós em uma configuração ativa/ativa.
Próximas etapas
Para obter informações relacionadas, consulte também:
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Neste tópico, apresentamos uma visão geral da pilha de rede para contêineres Windows
e incluímos links para diretrizes adicionais sobre como criar, configurar e gerenciar redes
de contêiner.
) Importante
Com Windows contêineres, você pode implantar um host Hyper-V, em que você cria
uma ou mais máquinas virtuais nos hosts de VM. Dentro dos hosts de VM, os
contêineres são criados e o acesso à rede é feito por meio de um com switch virtual em
execução dentro da máquina virtual. Você pode usar imagens reutilizáveis armazenadas
em um repositório para implantar o sistema operacional e os serviços em contêineres.
Cada contêiner tem um adaptador de rede virtual que se conecta a um com switch
virtual, encaminhando o tráfego de entrada e saída. Você pode anexar pontos de
extremidade de contêiner a uma rede de host local (como NAT), à rede física ou à rede
virtual de sobreposição criada por meio da pilha SDN.
Tópicos relacionados
Windows Rede de Contêineres: saiba como criar e gerenciar redes de contêiner
para implantações de não sobreposição/SDN.
Conexão de contêiner para uma rede virtual de locatário: saiba como criar e
gerenciar redes de contêiner para sobrepor redes virtuais com SDN.
Planejar uma infraestrutura de Rede
definida pelo software
Artigo • 23/01/2023 • 13 minutos para o fim da leitura
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
Saiba mais sobre o planejamento de implantação para uma infraestrutura de SDN (Rede
Definida por Software), incluindo pré-requisitos de hardware e software. Este tópico
inclui requisitos de planejamento para configuração de rede física e lógica, roteamento,
gateways, hardware de rede e muito mais. Ele também inclui considerações sobre como
estender uma infraestrutura de SDN e usar uma implantação em fases.
7 Observação
Pré-requisitos
Há vários pré-requisitos de hardware e software para uma infraestrutura de SDN,
incluindo:
Para saber mais sobre a implantação do Controlador de Rede para seu datacenter,
consulte Requisitos para implantar o controlador de rede.
Rede física. Você precisa de acesso aos seus dispositivos de rede física para
configurar VLANs (redes de área local virtual), roteamento e BGP (Border Gateway
Protocol). Este tópico fornece instruções para configuração de comutador manual,
bem como opções para usar o emparelhamento BGP em comutadores/roteadores
de Camada 3 ou uma VM RRAS (Servidor de Roteamento e Acesso Remoto).
Comutadores e roteadores
As implementações devem dar suporte às instruções MUST nos seguintes padrões IETF:
Dica
) Importante
Logical networks
Esta seção aborda os requisitos de planejamento de infraestrutura de SDN para a rede
lógica de gerenciamento e a rede lógica do Provedor de Virtualização de Rede do
Hyper-V (HNV). Ele inclui detalhes sobre como provisionar redes lógicas adicionais para
usar gateways e o SLB (Software Load Balancer) e uma topologia de rede de exemplo.
A rede provedor HNV serve como a rede física subjacente para o tráfego de locatário
leste/oeste (interno-interno), tráfego de locatário Norte/Sul (externo-interno) e para
trocar informações de emparelhamento BGP com a rede física.
Um servidor DHCP pode atribuir automaticamente endereços IP para a rede de
gerenciamento ou você pode atribuir manualmente endereços IP estáticos. A pilha SDN
atribui automaticamente endereços IP para a rede lógica do Provedor HNV para os
hosts Hyper-V individuais de um pool de endereços IP. O Controlador de Rede
especifica e gerencia o pool de endereços IP.
7 Observação
Se... Então...
As redes lógicas usam o host de computação física deve se conectar a uma porta de
VLANs, comutador com tronco que tenha acesso aos VLANs. É importante
observar que os adaptadores de rede física no host do computador não
devem ter nenhuma filtragem de VLAN ativada.
Você está usando você deve conectar todos os membros da equipe nic para esse host
Switched-Embedded específico ao mesmo domínio de transmissão de Camada 2.
agrupamento (SET) e
tem vários membros
da equipe nic (placa
de interface de rede),
como adaptadores de
rede,
Para obter informações sobre a HNV (Virtualização de Rede do Hyper-V) que você pode
usar para virtualizar redes em uma implantação do SDN da Microsoft, consulte
Virtualização de rede do Hyper-V.
Você precisa criar e provisionar redes lógicas adicionais para usar gateways e o SLB.
Certifique-se de obter os prefixos de IP corretos, IDs de VLAN e endereços IP de
gateway para essas redes.
Rede Descrição
lógica
Rede A rede lógica VIP (IP virtual público) deve usar prefixos de sub-rede IP roteáveis fora do
lógica ambiente de nuvem (normalmente roteáveis pela Internet). Esses são os endereços IP
VIP de front-end que os clientes externos usam para acessar recursos nas redes virtuais,
pública incluindo o VIP de front-end para o gateway site a site. Você não precisa atribuir uma
VLAN a essa rede.
Rede A rede lógica VIP privada não é necessária para ser roteável fora da nuvem. Isso ocorre
lógica porque apenas VIPs que podem ser acessados de clientes de nuvem internos o usam,
VIP como serviços privados. Você não precisa atribuir uma VLAN a essa rede.
privada
Rede A rede VIP GRE (Encapsulamento de Roteamento Genérico) é uma sub-rede que existe
lógica apenas para definir VIPs. Os VIPs são atribuídos a VMs de gateway em execução na
DO malha SDN para um tipo de conexão GRE site a site (S2S). Você não precisa pré-
GRE configurar essa rede em seus comutadores físicos ou roteador ou atribuir uma VLAN a
VIP ela.
10.184.108.4 –
Controlador de Rede
10.184.108.10 – Host
de computação 1
10.184.108.11 – Host
de computação 2
10.184.108.X – Host de
computação X
10.10.56.2 –
SLB/MUX1
10.10.56.5 – Gateway1
Infraestrutura de roteamento
As informações de roteamento (como o próximo salto) para as sub-redes VIP são
anunciadas pelos gateways SLB/MUX e RAS (Servidor de Acesso Remoto) na rede física
usando o emparelhamento BGP interno. As redes lógicas VIP não têm uma VLAN
atribuída e não são pré-configuradas na opção Camada 2 (como o comutador Top-of-
Rack).
Você precisa criar um par BGP no roteador que sua infraestrutura de SDN usa para
receber rotas para as redes lógicas VIP anunciadas pelos Gateways SLB/MUXes e RAS. O
emparelhamento BGP só precisa ocorrer de uma maneira (do Gateway SLB/MUX ou RAS
para o par BGP externo). Acima da primeira camada de roteamento, você pode usar
rotas estáticas ou outro protocolo de roteamento dinâmico, como OSPF (Open Shortest
Path First). No entanto, como mencionado anteriormente, o prefixo de sub-rede IP para
as redes lógicas VIP precisa ser roteável da rede física para o par BGP externo.
ASN do roteador
Endereço IP do roteador
7 Observação
As ASNs de quatro bytes não têm suporte do SLB/MUX. Você deve alocar ASNs de
dois bytes para o SLB/MUX e o roteador ao qual ele se conecta. Você pode usar
ASNs de quatro bytes em outro lugar em seu ambiente.
Você ou o administrador de rede devem configurar o par do roteador BGP para aceitar
conexões do endereço ASN e IP ou do endereço de sub-rede da rede lógica do
Provedor de HNV que seu Gateway RAS e MUXes SLB estão usando.
Gateways padrão
Os computadores configurados para se conectar a várias redes, como hosts físicos,
SLB/MUX e VMs de gateway, devem ter apenas um gateway padrão configurado. Use os
seguintes gateways padrão para os hosts e as VMs de infraestrutura:
Comutadores e roteadores
Para ajudar a configurar seu comutador físico ou roteador, um conjunto de arquivos de
configuração de exemplo para uma variedade de modelos de comutador e
fornecedores está disponível no repositório GitHub do SDN da Microsoft . Um arquivo
leiame e comandos de CLI (interface de linha de comando) testados para comutadores
específicos são fornecidos.
Computação
Todos os hosts Hyper-V devem ter o sistema operacional apropriado instalado, estar
habilitado para Hyper-V e usar um comutador virtual Hyper-V externo com pelo menos
um adaptador físico conectado à rede lógica de gerenciamento. O host deve estar
acessível por meio de um endereço IP de gerenciamento atribuído à vNIC do host de
gerenciamento.
Você pode usar qualquer tipo de armazenamento compatível com o Hyper-V,
compartilhado ou local.
Dica
É conveniente usar o mesmo nome para todos os seus comutadores virtuais, mas
não é obrigatório. Se você planeja usar scripts para implantar, consulte o
comentário associado vSwitchName à variável no arquivo config.psd1.
Gateway de RAS
8 vCPUs 8 GB 75 GB para unidade do sistema
(pool único de três nós recomendados operacional
gateways, dois ativos, um
passivo)
Função Requisitos de Requisitos de Requisitos de disco
vCPU memória
Se você usar o System Center – VMM (Virtual Machine Manager) para implantação,
recursos adicionais de VM de infraestrutura serão necessários para o VMM e outras
infraestruturas não SDN. Para saber mais, confira Requisitos do sistema para System
Center Virtual Machine Manager.
Implantação em fases
Com base em seus requisitos, talvez seja necessário implantar um subconjunto da
infraestrutura do SDN. Por exemplo, se você quiser hospedar apenas cargas de trabalho
do cliente em seu datacenter e a comunicação externa não for necessária, você poderá
implantar o Controlador de Rede e ignorar a implantação de SLB/MUX e VMs de
gateway. A seguir, descreve os requisitos de infraestrutura de recursos de rede para uma
implantação em fases da infraestrutura do SDN.
Recurso Requisitos para Requisitos de rede
implantação
Rede Virtual
Controlador de rede HNV PA VLAN, Sub-rede,
Roteamento Definido pelo Usuário
Roteador
ACLs (para rede virtual)
Sub-redes criptografadas
NAT de entrada/saída
Controlador de rede
BGP na rede pa HNV
SLB/MUX
Sub-redes VIP pública e
Gateway privada
SLB/MUX
Sub-redes VIP pública e
Gateway privada
SLB/MUX
Sub-redes VIP pública e
Gateway privada
Próximas etapas
Para obter informações relacionadas, consulte também:
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
7 Observação
Um VHD (disco rígido virtual) para o sistema operacional do Azure Stack HCI criar
VMs do Controlador de Rede.
Uma configuração de rede física que corresponde a uma das opções de topologia
nesta seção.
7 Observação
Próximas etapas
Agora você está pronto para implantar o Controlador de Rede em VMs.
Confira também
Criar um cluster do Azure Stack HCI
Implantar uma infraestrutura de SDN usando o SDN Express
Visão geral do controlador de rede
Alta disponibilidade do controlador de rede
Implantar uma infraestrutura de rede
definida por software
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Use esse método se quiser incorporar o VMM (System Center Virtual Machine
Manger) para gerenciar sua infraestrutura de SDN.
Use esse método se você não quiser usar o VMM para gerenciar sua infraestrutura
do SDN ou se tiver outro método de gerenciamento.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Neste tópico, você implantará uma infraestrutura SDN (Microsoft Software Defined
Network) usando scripts. A infraestrutura inclui um controlador de rede (HA) altamente
disponível, um SLB (Load Balancer de Software de HA)/MUX, redes virtuais e ACLs (Listas
de Controle de Acesso) associadas. Além disso, outro script implanta uma carga de
trabalho de locatário para validar sua infraestrutura de SDN.
Se você quiser que suas cargas de trabalho de locatário se comuniquem fora de suas
redes virtuais, você pode configurar regras de NAT SLB, túneis de Gateway site a site ou
Encaminhamento de Camada 3 para rotear entre cargas de trabalho virtuais e físicas.
Você também pode implantar uma infraestrutura de SDN usando Virtual Machine
Manager (VMM). Para obter mais informações, consulte Configurar uma infraestrutura
de SDN (Rede Definida por Software) na malha do VMM.
Pré-implantação
) Importante
Todos os hosts Hyper-V devem ter Windows Server 2019 ou 2016 instalados.
Etapas de implantação.
Comece configurando o comutador virtual Hyper-V (servidores físicos) do host Hyper-V
e a atribuição de endereço IP. Qualquer tipo de armazenamento compatível com Hyper-
V, compartilhado ou local pode ser usado.
2. Instale a função Hyper-V em todos os hosts (Para obter mais informações, consulte
Introdução com o Hyper-V no Windows Server 2016.
PowerShell
Use o mesmo nome de comutador para todos os hosts, por exemplo, sdnSwitch.
Configure pelo menos um adaptador de rede ou, se estiver usando SET, configure
pelo menos dois adaptadores de rede. A distribuição máxima de entrada ocorre ao
usar duas NICs.
PowerShell
Dica
PowerShell
6. [Opcional] Implante uma máquina virtual para hospedar Active Directory Domain
Services (Instalar Active Directory Domain Services (Nível 100) e um Servidor DNS.
PowerShell
7 Observação
PowerShell
Validação
Use as etapas a seguir para validar se a rede de host está configurada corretamente.
1. Verifique se o Comutador de VM foi criado com êxito:
PowerShell
7 Observação
PowerShell
Get-VMNetworkAdapterIsolation -ManagementOS
7 Observação
Nome da Descrição
Pasta
AgentConf Contém novas cópias de esquemas OVSDB usados pelo Agente de Host do
SDN em cada host Windows Server 2016 Hyper-V para programar a política
de rede.
Imagens Vazio, coloque sua imagem vhdx Windows Server 2016 aqui
- FabricConfig.psd1
- SDNExpressTenant.ps1
Também provisiona uma ou mais conexões de rede (IPSec S2S VPN, GRE, L3)
nos gateways de borda do provedor de serviços conectados à carga de
trabalho de locatário criada anteriormente. Os gateways IPSec e GRE estão
disponíveis para conectividade pelo endereço IP VIP correspondente e o
gateway de encaminhamento L3 pelo pool de endereços correspondente.
- TenantConfig.psd1
- SDNExpressUndo.ps1
- SDNExpressEnterpriseExample.ps1
- EnterpriseConfig.psd1
SDNExpress\scripts\SDNExpress.ps1 -ConfigurationDataFile
FabricConfig.psd1 -Verbose
SDNExpress\scripts\SDNExpressUndo.ps1 -ConfigurationDataFile
FabricConfig.psd1 -Verbose
Validação
Supondo que o script SDN Express tenha sido executado até a conclusão sem relatar
erros, você pode executar a etapa a seguir para garantir que os recursos de malha
tenham sido implantados corretamente e estejam disponíveis para implantação de
locatário.
Use as Ferramentas de Diagnóstico para garantir que não haja erros em nenhum
recurso de malha no controlador de rede.
SDNExpress\scripts\SDNExpressTenant.ps1 -ConfigurationDataFile
TenantConfig.psd1 -Verbose
Validação
onde <VIP IP address> está o endereço IP VIP da camada da Web que você
configurou no arquivo TenantConfig.psd1.
Dica
Execute isso várias vezes para ver a opção de balanceador de carga entre os DIPs
disponíveis. Você também pode observar esse comportamento usando um
navegador da Web. Navegue até <VIP IP address>/unique.htm . Feche o navegador
e abra uma nova instância e navegue novamente. Você verá a página azul e a
página verde como alternativa, exceto quando o navegador armazenar a página
em cache antes do cache atingir o tempo limite.
Implantar tecnologias de rede definidas
pelo software usando o Windows
PowerShell
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
aplica-se a: Windows server 2022, Windows server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar os tópicos desta seção para implantar tecnologias de SDN individuais
usando o Windows PowerShell.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Este tópico fornece instruções sobre como usar Windows PowerShell para implantar o
Controlador de Rede em uma ou mais VMs (máquinas virtuais) que estão executando
Windows Server 2019 ou 2016.
) Importante
) Importante
7 Observação
A instalação do Controlador de Rede requer que você reinicie o computador. Para fazer
isso, digite o comando a seguir e pressione ENTER.
Restart-Computer
Criar um objeto de nó
Você precisa criar um objeto de nó para cada VM que seja membro do cluster
controlador de rede.
Para criar um objeto de nó, digite o comando a seguir no prompt de comando Windows
PowerShell e pressione ENTER. Adicione valores para cada parâmetro apropriado para
sua implantação.
Parâmetro Descrição
Nome O parâmetro Name especifica o nome amigável do servidor que você deseja
adicionar ao cluster
Configurar o cluster
Para configurar o cluster, digite o comando a seguir no prompt de comando Windows
PowerShell e pressione ENTER. Adicione valores para cada parâmetro apropriado para
sua implantação.
Parâmetro Descrição
Parâmetro Descrição
RestName Você não precisa especificar um valor para RestName com uma
implantação de nó único do Controlador de Rede. A única vez que
você deve especificar um valor para RestName é quando
implantações de vários nós têm nós que estão em sub-redes
diferentes. Para implantações de vários nós, o parâmetro RestName
especifica o FQDN para o cluster do Controlador de Rede.
Procedimento:
$cred=New-Object
Microsoft.Windows.Networkcontroller.credentialproperties
$cred.type="usernamepassword"
$cred.username="admin"
$cred.value="abcd"
New-NetworkControllerCredential -ConnectionUri
https://networkcontroller -Properties $cred -ResourceId cred1
Get-NetworkControllerCredential -ConnectionUri
https://networkcontroller -ResourceId cred1
ResourceRef : /credentials/cred1
InstanceId : e16ffe62-a701-4d31-915e-7234d4bc5a18
Etag : W/"1ec59631-607f-4d3e-ac78-94b0822f3a9d"
ResourceMetadata :
ResourceId : cred1
Properties :
Microsoft.Windows.NetworkController.CredentialProperties
7 Observação
A tabela a seguir fornece a sintaxe para Windows PowerShell comandos que você pode
usar para realizar essas tarefas.
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar os tópicos nesta seção para gerenciar a Rede Definida pelo Software,
incluindo cargas de trabalho de locatário e redes virtuais.
7 Observação
Para documentação adicional de Rede Definida pelo Software, você pode usar as
seções de biblioteca a seguir.
Tecnologias SDN
Planejar O SDN
Implantar SDN
Segurança para SDN
Solucionar problemas de SDN
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Você pode usar os tópicos desta seção para gerenciar redes virtuais de virtualização de
rede Hyper-V de locatário depois de ter implantado a rede definida pelo software
usando o tópico implantar uma infraestrutura de rede definida pelo software usando
scripts.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Neste tópico, você aprenderá sobre redes virtuais de virtualização de rede Hyper-V e
como elas diferem das VLANs (redes locais virtuais). Com a virtualização de rede hyper-
V, você cria redes virtuais de sobreposição, também chamadas de redes virtuais.
A SDN (Rede Definida pelo Software) no Windows Server 2016 é baseada na política de
programação para sobreposição de redes virtuais em um Comutamento Virtual do
Hyper-V. Você pode criar redes virtuais de sobreposição, também chamadas de Redes
Virtuais, com a Virtualização de Rede Hyper-V.
Você pode criar redes lógicas e sub-redes adicionais para fins de infraestrutura para
transportar o tráfego de gerenciamento, o tráfego de armazenamento, o tráfego de
migração ao vivo etc.
O Microsoft SDN não dá suporte ao isolamento de redes de locatário usando VLANs. O
isolamento de locatário é realizado exclusivamente usando o encapsulamento e redes
virtuais de sobreposição de Virtualização de Rede Hyper-V.
Configurar grupos de segurança de rede
com o PowerShell
Artigo • 23/01/2023 • 9 minutos para o fim da leitura
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
Este tópico fornece instruções para configurar NSGs (grupos de segurança de rede) para
gerenciar o fluxo de tráfego de dados usando o SDN (Firewall do Datacenter para Rede
Definida por Software) no Azure Stack HCI usando Windows PowerShell. Habilite e
configure o Firewall do Datacenter criando grupos de segurança de rede que são
aplicados a uma sub-rede ou a um adaptador de rede. Os scripts de exemplo neste
tópico usam comandos Windows PowerShell exportados do módulo
NetworkController. Você também pode usar Windows Admin Center para configurar e
gerenciar grupos de segurança de rede.
Use as entradas na tabela a seguir para criar um conjunto de regras que permitem todo
o tráfego de rede de entrada e saída.
Neste exemplo, você cria um grupo de segurança de rede com duas regras:
PowerShell
Enter-PSSession <server-name>
PowerShell
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule1.Properties = $ruleproperties
$aclrule1.ResourceId = "AllowAll_Inbound"
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "110"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule2.Properties = $ruleproperties
$aclrule2.ResourceId = "AllowAll_Outbound"
$acllistproperties = new-object
Microsoft.Windows.NetworkController.AccessControlListProperties
7 Observação
O grupo de segurança de rede criado pelo script de exemplo abaixo, identificado pela
sub-rede de ID do recurso sub-rede-192-168-0-0, agora pode ser aplicado a uma sub-
rede de rede virtual que usa o endereço de sub-rede "192.168.0.0/24". Qualquer
adaptador de rede anexado a essa sub-rede de rede virtual obtém automaticamente as
regras de grupo de segurança de rede acima aplicadas.
Veja a seguir um exemplo de script para criar esse grupo de segurança de rede usando
a API REST do Controlador de Rede:
PowerShell
import-module networkcontroller
$ncURI = "https://mync.contoso.local"
$aclrules = @()
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "192.168.0.1"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.1"
$ruleproperties.Priority = "101"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Outbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "192.168.0.0/24"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "102"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.0/24"
$ruleproperties.Priority = "103"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Outbound"
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "104"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "105"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Outbound"
$aclrules += $aclrule
$acllistproperties = new-object
Microsoft.Windows.NetworkController.AccessControlListProperties
$acllistproperties.AclRules = $aclrules
Dica
PowerShell
PowerShell
PowerShell
$nic.properties.ipconfigurations[0].properties.AccessControlList =
$acl
PowerShell
new-networkcontrollernetworkinterface -ConnectionUri $uri -Properties
$nic.properties -ResourceId $nic.resourceid
PowerShell
PowerShell
$nic.properties.ipconfigurations[0].properties.AccessControlList =
$null
PowerShell
Auditoria de firewall
Introduzida no Windows Server 2019, a auditoria de firewall é uma nova funcionalidade
para o Firewall do Datacenter que registra qualquer fluxo processado pelas regras de
firewall do SDN. Todos os grupos de segurança de rede que têm o registro em log
habilitado são registrados. Os arquivos de log devem estar em uma sintaxe consistente
com os logs de fluxo do Azure Observador de Rede. Esses logs podem ser usados para
diagnóstico ou arquivados para análise posterior.
Aqui está um script de exemplo para habilitar a auditoria de firewall nos servidores host.
Atualize as variáveis no início e execute-as em um cluster do Azure Stack HCI com o
Controlador de Rede implantado:
PowerShell
$logpath = "C:\test\log1"
$uri = "https://sa18n22sdn.sa18.nttest.microsoft.com"
param(
$Path
} -argumentlist $LogPath
$AuditProperties = new-object
Microsoft.Windows.NetworkController.AuditingSettingsProperties
$AuditProperties.OutputDirectory = $logpath
$s.properties.AuditingEnabled = @("Firewall")
Uma vez habilitado, um novo arquivo aparece no diretório especificado em cada host
cerca de uma vez por hora. Você deve processar periodicamente esses arquivos e
removê-los dos hosts. O arquivo atual tem comprimento zero e fica bloqueado até ser
liberado na marca da próxima hora:
syntax
PS C:\test\log1> dir
Directory: C:\test\log1
syntax
"records": [
"properties":{
"Version":"1.0",
"flows":[
"flows":[
{
"flowTuples":
["1531963580,192.122.0.22,192.122.255.255,138,138,U,I,A"],
"portId":"9",
"portName":"7290436D-0422-498A-8EB8-
C6CF5115DACE"
],
"rule":"Allow_Inbound"
},
"operationName":"NetworkSecurityGroupFlowEvents",
"resourceId":"394f647d-2ed0-4c31-87c5-389b8c0c8132",
"time":"20180719:L012620622",
"category":"NetworkSecurityGroupFlowEvent",
"systemId":"d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a"
},
Observe que o registro em log ocorre apenas para regras que têm o registro em log
definido como Habilitado, por exemplo:
syntax
{
"Tags": null,
"ResourceRef": "/accessControlLists/AllowAll",
"InstanceId": "4a63e1a5-3264-4986-9a59-4e77a8b107fa",
"Etag": "W/\"1535a780-0fc8-4bba-a15a-093ecac9b88b\"",
"ResourceMetadata": null,
"ResourceId": "AllowAll",
"Properties": {
"ConfigurationState": null,
"ProvisioningState": "Succeeded",
"AclRules": [
"ResourceMetadata": null,
"ResourceRef":
"/accessControlLists/AllowAll/aclRules/AllowAll_Inbound",
"InstanceId": "ba8710a8-0f01-
422b-9038-d1f2390645d7",
"Etag": "W/\"1535a780-0fc8-
4bba-a15a-093ecac9b88b\"",
"ResourceId":
"AllowAll_Inbound",
"Properties": {
"Protocol":
"All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action":
"Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority":
"101",
"Description": null,
"Type":
"Inbound",
"Logging":
"Enabled",
"ProvisioningState": "Succeeded"
}
},
"ResourceMetadata": null,
"ResourceRef":
"/accessControlLists/AllowAll/aclRules/AllowAll_Outbound",
"InstanceId": "068264c6-2186-
4dbc-bbe7-f504c6f47fa8",
"Etag": "W/\"1535a780-0fc8-
4bba-a15a-093ecac9b88b\"",
"ResourceId":
"AllowAll_Outbound",
"Properties": {
"Protocol":
"All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action":
"Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority":
"110",
"Description": null,
"Type":
"Outbound",
"Logging":
"Enabled",
"ProvisioningState": "Succeeded"
}
],
"IpConfigurations": [
],
"Subnets": [
"ResourceMetadata": null,
"ResourceRef":
"/virtualNetworks/10_0_1_0/subnets/Subnet1",
"InstanceId": "00000000-0000-
0000-0000-000000000000",
"Etag": null,
"ResourceId": null,
"Properties": null
Próximas etapas
Para obter informações relacionadas, consulte também:
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Neste tópico, você aprenderá a criar, excluir e atualizar Redes Virtuais de Virtualização
de Rede Hyper-V depois de implantar a SDN (Rede Definida pelo Software). A
Virtualização de Rede Hyper-V ajuda a isolar redes de locatário para que cada rede de
locatário seja uma entidade separada. Cada entidade não tem nenhuma possibilidade
de conexão cruzada, a menos que você configure cargas de trabalho de acesso público.
A tabela a seguir inclui exemplos de IDs de sub-rede e prefixos para dois locatários
fictícios. O locatário Fabrikam tem duas sub-redes virtuais, enquanto o locatário da
Contoso tem três sub-redes virtuais.
Powershell
import-module networkcontroller
$URI = "https://ncrest.contoso.local"
$HNVProviderLogicalNetwork = $ln
$vsubnet.ResourceId = "Contoso_WebTier"
$vsubnet.Properties = new-object
Microsoft.Windows.NetworkController.VirtualSubnetProperties
$vsubnet.Properties.AccessControlList = $acllist
$vsubnet.Properties.AddressPrefix = "24.30.1.0/24"
$vnetproperties = new-object
Microsoft.Windows.NetworkController.VirtualNetworkProperties
$vnetproperties.AddressSpace = new-object
Microsoft.Windows.NetworkController.AddressSpace
$vnetproperties.AddressSpace.AddressPrefixes = @("24.30.1.0/24")
$vnetproperties.LogicalNetwork = $HNVProviderLogicalNetwork
$vnetproperties.Subnets = @($vsubnet)
PowerShell
$vnet.properties.AddressSpace.AddressPrefixes += "24.30.2.0/24"
$vsubnet.ResourceId = "Contoso_DBTier"
$vsubnet.Properties = new-object
Microsoft.Windows.NetworkController.VirtualSubnetProperties
$vsubnet.Properties.AccessControlList = $acllist
$vsubnet.Properties.AddressPrefix = "24.30.2.0/24"
$vnet.properties.Subnets += $vsubnet
O exemplo Windows PowerShell a seguir exclui uma Rede Virtual de locatário emindo
uma exclusão HTTP para o URI da ID do Recurso.
PowerShell
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Saiba como usar Windows PowerShell cmdlets e scripts para fornecer conectividade site
a site para as redes virtuais do locatário. Neste tópico, você adiciona gateways virtuais
de locatário a instâncias do gateway RAS que são membros de pools de gateways,
usando o Controlador de Rede. O gateway RAS dá suporte a até cem locatários,
dependendo da largura de banda usada por cada locatário. O Controlador de Rede
determina automaticamente o melhor Gateway de RAS a ser usado quando você
implanta um novo gateway virtual para seus locatários.
VPN (rede virtual privada) ipsec site a site Configuração do roteador BGP
GRE (Encapsulamento de Roteamento Configuração de par BGP
Genérico) Configuração de políticas de
Encaminhamento de camada 3 roteamento BGP
) Importante
PowerShell
$uri = "https://ncrest.contoso.com"
PowerShell
$uri = "https://ncrest.contoso.com"
PowerShell
$VirtualGWProperties = New-Object
Microsoft.Windows.NetworkController.VirtualGatewayProperties
$VirtualGWProperties.GatewayPools = @()
$VirtualGWProperties.GatewayPools += $gwPool
# Specify the Virtual Subnet that is to be used for routing between the
gateway and Virtual Network
$VirtualGWProperties.GatewaySubnets = @()
$VirtualGWProperties.GatewaySubnets += $RoutingSubnet
$VirtualGWProperties.RoutingType = "Dynamic"
$VirtualGWProperties.NetworkConnections = @()
$VirtualGWProperties.BgpRouters = @()
4. Crie uma conexão VPN site a site com encaminhamento IPsec, GRE ou Camada 3
(L3).
Dica
PowerShell
$nwConnectionProperties = New-Object
Microsoft.Windows.NetworkController.NetworkConnectionProperties
$nwConnectionProperties.ConnectionType = "IPSec"
$nwConnectionProperties.OutboundKiloBitsPerSecond = 10000
$nwConnectionProperties.InboundKiloBitsPerSecond = 10000
$nwConnectionProperties.IpSecConfiguration = New-Object
Microsoft.Windows.NetworkController.IpSecConfiguration
$nwConnectionProperties.IpSecConfiguration.AuthenticationMethod = "PSK"
$nwConnectionProperties.IpSecConfiguration.SharedSecret = "P@ssw0rd"
$nwConnectionProperties.IpSecConfiguration.QuickMode = New-Object
Microsoft.Windows.NetworkController.QuickMode
$nwConnectionProperties.IpSecConfiguration.QuickMode.PerfectForwardSecr
ecy = "PFS2048"
$nwConnectionProperties.IpSecConfiguration.QuickMode.AuthenticationTran
sformationConstant = "SHA256128"
$nwConnectionProperties.IpSecConfiguration.QuickMode.CipherTransformati
onConstant = "DES3"
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeSeconds
= 1233
$nwConnectionProperties.IpSecConfiguration.QuickMode.IdleDisconnectSeco
nds = 500
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeKiloByte
s = 2000
$nwConnectionProperties.IpSecConfiguration.MainMode = New-Object
Microsoft.Windows.NetworkController.MainMode
$nwConnectionProperties.IpSecConfiguration.MainMode.DiffieHellmanGroup
= "Group2"
$nwConnectionProperties.IpSecConfiguration.MainMode.IntegrityAlgorithm
= "SHA256"
$nwConnectionProperties.IpSecConfiguration.MainMode.EncryptionAlgorithm
= "AES256"
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeSeconds =
1234
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeKiloBytes
= 2000
$nwConnectionProperties.IPAddresses = @()
$nwConnectionProperties.PeerIPAddresses = @()
# Update the IPv4 Routes that are reachable over the site-to-site VPN
Tunnel
$nwConnectionProperties.Routes = @()
$ipv4Route.DestinationPrefix = "14.1.10.1/32"
$ipv4Route.metric = 10
$nwConnectionProperties.Routes += $ipv4Route
$nwConnectionProperties.DestinationIPAddress = "10.127.134.121"
New-NetworkControllerVirtualGatewayNetworkConnection -ConnectionUri
$uri -VirtualGatewayId $virtualGW.ResourceId -ResourceId
"Contoso_IPSecGW" -Properties $nwConnectionProperties -Force
PowerShell
$nwConnectionProperties = New-Object
Microsoft.Windows.NetworkController.NetworkConnectionProperties
$nwConnectionProperties.ConnectionType = "GRE"
$nwConnectionProperties.OutboundKiloBitsPerSecond = 10000
$nwConnectionProperties.InboundKiloBitsPerSecond = 10000
$nwConnectionProperties.GreConfiguration = New-Object
Microsoft.Windows.NetworkController.GreConfiguration
$nwConnectionProperties.GreConfiguration.GreKey = 1234
# Update the IPv4 Routes that are reachable over the site-to-site VPN
Tunnel
$nwConnectionProperties.Routes = @()
$ipv4Route.DestinationPrefix = "14.2.20.1/32"
$ipv4Route.metric = 10
$nwConnectionProperties.Routes += $ipv4Route
$nwConnectionProperties.DestinationIPAddress = "10.127.134.122"
$nwConnectionProperties.L3Configuration = New-Object
Microsoft.Windows.NetworkController.L3Configuration
$nwConnectionProperties.IPAddresses = @()
$nwConnectionProperties.PeerIPAddresses = @()
New-NetworkControllerVirtualGatewayNetworkConnection -ConnectionUri
$uri -VirtualGatewayId $virtualGW.ResourceId -ResourceId
"Contoso_GreGW" -Properties $nwConnectionProperties -Force
PowerShell
$lnProperties = New-Object
Microsoft.Windows.NetworkController.LogicalNetworkProperties
$lnProperties.NetworkVirtualizationEnabled = $false
$lnProperties.Subnets = @()
$logicalsubnet = New-Object
Microsoft.Windows.NetworkController.LogicalSubnet
$logicalsubnet.ResourceId = "Contoso_L3_Subnet"
$logicalsubnet.Properties = New-Object
Microsoft.Windows.NetworkController.LogicalSubnetProperties
$logicalsubnet.Properties.VlanID = 1001
$logicalsubnet.Properties.AddressPrefix = "10.127.134.0/25"
$logicalsubnet.Properties.DefaultGateways = "10.127.134.1"
$lnProperties.Subnets += $logicalsubnet
PowerShell
$nwConnectionProperties = New-Object
Microsoft.Windows.NetworkController.NetworkConnectionProperties
$nwConnectionProperties.ConnectionType = "L3"
$nwConnectionProperties.OutboundKiloBitsPerSecond = 10000
$nwConnectionProperties.InboundKiloBitsPerSecond = 10000
$nwConnectionProperties.GreConfiguration = New-Object
Microsoft.Windows.NetworkController.GreConfiguration
$nwConnectionProperties.L3Configuration = New-Object
Microsoft.Windows.NetworkController.L3Configuration
$nwConnectionProperties.L3Configuration.VlanSubnet =
$vlanNetwork.properties.Subnets[0]
$nwConnectionProperties.IPAddresses = @()
$localIPAddress = New-Object
Microsoft.Windows.NetworkController.CidrIPAddress
$localIPAddress.IPAddress = "10.127.134.55"
$localIPAddress.PrefixLength = 25
$nwConnectionProperties.IPAddresses += $localIPAddress
$nwConnectionProperties.PeerIPAddresses = @("10.127.134.65")
# Update the IPv4 Routes that are reachable over the site-to-site VPN
Tunnel
$nwConnectionProperties.Routes = @()
$ipv4Route.DestinationPrefix = "14.2.20.1/32"
$ipv4Route.metric = 10
$nwConnectionProperties.Routes += $ipv4Route
New-NetworkControllerVirtualGatewayNetworkConnection -ConnectionUri
$uri -VirtualGatewayId $virtualGW.ResourceId -ResourceId
"Contoso_L3GW" -Properties $nwConnectionProperties -Force
PowerShell
$bgpRouterproperties = New-Object
Microsoft.Windows.NetworkController.VGwBgpRouterProperties
$bgpRouterproperties.ExtAsNumber = "0.64512"
$bgpRouterproperties.RouterId = "192.168.0.2"
$bgpRouterproperties.RouterIP = @("192.168.0.2")
$bgpRouter = New-NetworkControllerVirtualGatewayBgpRouter -
ConnectionUri $uri -VirtualGatewayId $virtualGW.ResourceId -
ResourceId "Contoso_BgpRouter1" -Properties $bgpRouterProperties -
Force
PowerShell
$bgpPeerProperties = New-Object
Microsoft.Windows.NetworkController.VGwBgpPeerProperties
$bgpPeerProperties.PeerIpAddress = "14.1.10.1"
$bgpPeerProperties.AsNumber = 64521
$bgpPeerProperties.ExtAsNumber = "0.64521"
PowerShell
$VirtualGWProperties = New-Object
Microsoft.Windows.NetworkController.VirtualGatewayProperties
$VirtualGWProperties.GatewayPools = @()
$VirtualGWProperties.GatewayPools += $gwPool
# Specify the Virtual Subnet that is to be used for routing between GW and
VNET
$VirtualGWProperties.GatewaySubnets = @()
$VirtualGWProperties.GatewaySubnets += $RoutingSubnet
$VirtualGWProperties.RoutingType = "Dynamic"
$VirtualGWProperties.NetworkConnections = @()
$ipSecConnection = New-Object
Microsoft.Windows.NetworkController.NetworkConnection
$ipSecConnection.ResourceId = "Contoso_IPSecGW"
$ipSecConnection.Properties = New-Object
Microsoft.Windows.NetworkController.NetworkConnectionProperties
$ipSecConnection.Properties.ConnectionType = "IPSec"
$ipSecConnection.Properties.OutboundKiloBitsPerSecond = 10000
$ipSecConnection.Properties.InboundKiloBitsPerSecond = 10000
$ipSecConnection.Properties.IpSecConfiguration = New-Object
Microsoft.Windows.NetworkController.IpSecConfiguration
$ipSecConnection.Properties.IpSecConfiguration.AuthenticationMethod = "PSK"
$ipSecConnection.Properties.IpSecConfiguration.SharedSecret = "P@ssw0rd"
$ipSecConnection.Properties.IpSecConfiguration.QuickMode = New-Object
Microsoft.Windows.NetworkController.QuickMode
$ipSecConnection.Properties.IpSecConfiguration.QuickMode.PerfectForwardSecre
cy = "PFS2048"
$ipSecConnection.Properties.IpSecConfiguration.QuickMode.AuthenticationTrans
formationConstant = "SHA256128"
$ipSecConnection.Properties.IpSecConfiguration.QuickMode.CipherTransformatio
nConstant = "DES3"
$ipSecConnection.Properties.IpSecConfiguration.QuickMode.SALifeTimeSeconds =
1233
$ipSecConnection.Properties.IpSecConfiguration.QuickMode.IdleDisconnectSecon
ds = 500
$ipSecConnection.Properties.IpSecConfiguration.QuickMode.SALifeTimeKiloBytes
= 2000
$ipSecConnection.Properties.IpSecConfiguration.MainMode = New-Object
Microsoft.Windows.NetworkController.MainMode
$ipSecConnection.Properties.IpSecConfiguration.MainMode.DiffieHellmanGroup =
"Group2"
$ipSecConnection.Properties.IpSecConfiguration.MainMode.IntegrityAlgorithm =
"SHA256"
$ipSecConnection.Properties.IpSecConfiguration.MainMode.EncryptionAlgorithm
= "AES256"
$ipSecConnection.Properties.IpSecConfiguration.MainMode.SALifeTimeSeconds =
1234
$ipSecConnection.Properties.IpSecConfiguration.MainMode.SALifeTimeKiloBytes
= 2000
$ipSecConnection.Properties.IPAddresses = @()
$ipSecConnection.Properties.PeerIPAddresses = @()
$ipSecConnection.Properties.Routes = @()
$ipv4Route.DestinationPrefix = "14.1.10.1/32"
$ipv4Route.metric = 10
$ipSecConnection.Properties.Routes += $ipv4Route
$ipSecConnection.Properties.DestinationIPAddress = "10.127.134.121"
$greConnection = New-Object
Microsoft.Windows.NetworkController.NetworkConnection
$greConnection.ResourceId = "Contoso_GreGW"
$greConnection.Properties = New-Object
Microsoft.Windows.NetworkController.NetworkConnectionProperties
$greConnection.Properties.ConnectionType = "GRE"
$greConnection.Properties.OutboundKiloBitsPerSecond = 10000
$greConnection.Properties.InboundKiloBitsPerSecond = 10000
$greConnection.Properties.GreConfiguration = New-Object
Microsoft.Windows.NetworkController.GreConfiguration
$greConnection.Properties.GreConfiguration.GreKey = 1234
$greConnection.Properties.IPAddresses = @()
$greConnection.Properties.PeerIPAddresses = @()
$greConnection.Properties.Routes = @()
$ipv4Route.DestinationPrefix = "14.2.20.1/32"
$ipv4Route.metric = 10
$greConnection.Properties.Routes += $ipv4Route
$greConnection.Properties.DestinationIPAddress = "10.127.134.122"
$greConnection.Properties.L3Configuration = New-Object
Microsoft.Windows.NetworkController.L3Configuration
$l3Connection = New-Object
Microsoft.Windows.NetworkController.NetworkConnection
$l3Connection.ResourceId = "Contoso_L3GW"
$l3Connection.Properties = New-Object
Microsoft.Windows.NetworkController.NetworkConnectionProperties
$l3Connection.Properties.ConnectionType = "L3"
$l3Connection.Properties.OutboundKiloBitsPerSecond = 10000
$l3Connection.Properties.InboundKiloBitsPerSecond = 10000
$l3Connection.Properties.GreConfiguration = New-Object
Microsoft.Windows.NetworkController.GreConfiguration
$l3Connection.Properties.L3Configuration = New-Object
Microsoft.Windows.NetworkController.L3Configuration
$l3Connection.Properties.L3Configuration.VlanSubnet =
$vlanNetwork.properties.Subnets[0]
$l3Connection.Properties.IPAddresses = @()
$localIPAddress = New-Object
Microsoft.Windows.NetworkController.CidrIPAddress
$localIPAddress.IPAddress = "10.127.134.55"
$localIPAddress.PrefixLength = 25
$l3Connection.Properties.IPAddresses += $localIPAddress
$l3Connection.Properties.PeerIPAddresses = @("10.127.134.65")
$l3Connection.Properties.Routes = @()
$ipv4Route.DestinationPrefix = "14.2.20.1/32"
$ipv4Route.metric = 10
$l3Connection.Properties.Routes += $ipv4Route
$VirtualGWProperties.BgpRouters = @()
$bgpRouter.ResourceId = "Contoso_BgpRouter1"
$bgpRouter.Properties = New-Object
Microsoft.Windows.NetworkController.VGwBgpRouterProperties
$bgpRouter.Properties.ExtAsNumber = "0.64512"
$bgpRouter.Properties.RouterId = "192.168.0.2"
$bgpRouter.Properties.RouterIP = @("192.168.0.2")
$bgpRouter.Properties.BgpPeers = @()
$bgpPeer_IPSec.ResourceId = "Contoso_IPSec_Peer"
$bgpPeer_IPSec.Properties = New-Object
Microsoft.Windows.NetworkController.VGwBgpPeerProperties
$bgpPeer_IPSec.Properties.PeerIpAddress = "14.1.10.1"
$bgpPeer_IPSec.Properties.AsNumber = 64521
$bgpPeer_IPSec.Properties.ExtAsNumber = "0.64521"
$bgpRouter.Properties.BgpPeers += $bgpPeer_IPSec
$bgpPeer_Gre.ResourceId = "Contoso_Gre_Peer"
$bgpPeer_Gre.Properties = New-Object
Microsoft.Windows.NetworkController.VGwBgpPeerProperties
$bgpPeer_Gre.Properties.PeerIpAddress = "14.2.20.1"
$bgpPeer_Gre.Properties.AsNumber = 64522
$bgpPeer_Gre.Properties.ExtAsNumber = "0.64522"
$bgpRouter.Properties.BgpPeers += $bgpPeer_Gre
$bgpPeer_L3.ResourceId = "Contoso_L3_Peer"
$bgpPeer_L3.Properties = New-Object
Microsoft.Windows.NetworkController.VGwBgpPeerProperties
$bgpPeer_L3.Properties.PeerIpAddress = "14.3.30.1"
$bgpPeer_L3.Properties.AsNumber = 64523
$bgpPeer_L3.Properties.ExtAsNumber = "0.64523"
$bgpRouter.Properties.BgpPeers += $bgpPeer_L3
$VirtualGWProperties.BgpRouters += $bgpRouter
PowerShell
$nwConnection = Get-NetworkControllerVirtualGatewayNetworkConnection -
ConnectionUri $uri -VirtualGatewayId "Contoso_VirtualGW" -ResourceId
"Contoso_IPSecGW"
PowerShell
$nwConnection.properties.IpSecConfiguration.SharedSecret = "C0mplexP@ssW0rd"
PowerShell
PowerShell
PowerShell
PowerShell
Remover um gateway
PowerShell
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
No tópico Drivers de rede de contêiner, abordamos que vários drivers de rede estão
disponíveis por meio do Docker Windows. Para SDN, use os drivers l2bridge e l2tunnel .
Para ambos os drivers, cada ponto de extremidade de contêiner está na mesma sub-
rede virtual que a máquina virtual do host do contêiner (locatário).
O HNS (Serviço de Rede de Host), por meio do plug-in de nuvem privada, atribui
dinamicamente os endereços IP para pontos de extremidade de contêiner. Os pontos de
extremidade de contêiner têm endereços IP exclusivos, mas compartilham o mesmo
endereço MAC da máquina virtual do host do contêiner (locatário) devido à conversão
de endereços de Camada 2.
l2bridge l2tunnel
l2bridge l2tunnel
Pontos de extremidade de contêiner que TODO o tráfego de rede entre dois pontos de
residem em: extremidade de contêiner é encaminhado para
A mesma máquina virtual do host de o host físico do Hyper-V, independentemente
contêiner e na mesma sub-rede têm do host ou da sub-rede. A política de rede se
todo o tráfego de rede ponte dentro do aplica ao tráfego de rede entre sub-redes e
comutando virtual hyper-V. entre host.
VMs de host de contêiner diferentes ou
em sub-redes diferentes têm seu tráfego
encaminhado para o host físico do
Hyper-V.
7 Observação
Pré-requisitos
Uma infraestrutura SDN implantada com o Controlador de Rede.
PowerShell
7 Observação
7 Observação
PowerShell
Import-Module NetworkController
$vnetResourceId = "VNet1"
$vsubnetResourceId = "Subnet1"
# For this demo, we will assume an ACL has already been defined; any ACL can
be applied here
$newipconfig = new-object
Microsoft.Windows.NetworkController.NetworkInterfaceIpConfiguration
$props = new-object
Microsoft.Windows.NetworkController.NetworkInterfaceIpConfigurationPropertie
s
$resourceid = "IP_192_168_1_1"
$resourceid += "10"
$ipstr = "192.168.1.110"
else
$resourceid += "0$i"
$ipstr = "192.168.1.10$i"
$newipconfig.ResourceId = $resourceid
$props.PrivateIPAddress = $ipstr
$props.PrivateIPAllocationMethod = "Static"
$props.Subnet.ResourceRef = $vmsubnet.ResourceRef
$props.AccessControlList = new-object
Microsoft.Windows.NetworkController.AccessControlList
$props.AccessControlList.ResourceRef = $allowallacl.ResourceRef
$newipconfig.Properties = $props
$vmnic.Properties.IpConfigurations += $newipconfig
PowerShell
PS C:\> ConfigureMCNP.ps1
PowerShell
PS C:\> InstallPrivateCloudPlugin.ps1
PowerShell
7 Observação
Mais informações
Para obter mais detalhes sobre como implantar uma infraestrutura de SDN, consulte
Implantar uma infraestrutura de rede definida pelo software.
Configurar criptografia para uma sub-
rede virtual
Artigo • 21/12/2022 • 5 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
A criptografia de rede virtual permite a criptografia do tráfego de rede virtual entre VMs
que se comunicam entre si dentro de sub-redes marcadas como "Criptografia
Habilitada". Ela também utiliza o DTLS (Datagrama do protocolo TLS) na sub-rede virtual
para criptografar os pacotes. O DTLS protege contra interceptações, falsificação e
adulteração por qualquer pessoa com acesso à rede física.
7 Observação
Dica
1. Gerar o certificado
$subjectName = "EncryptedVirtualNetworks"
$sslServerOidString = "1.3.6.1.5.5.7.3.1";
$sslClientOidString = "1.3.6.1.5.5.7.3.2";
[int] $validityPeriodInYear = 5;
$name.Encode("CN=" + $SubjectName, 0)
#Generate Key
$key.ProviderName = $cryptographicProviderName
$key.KeySpec = 1 #X509KeySpec.XCN_AT_KEYEXCHANGE
$key.Length = $privateKeyLength
$key.MachineContext = 1
$key.ExportPolicy = 0x2
#X509PrivateKeyExportFlags.XCN_NCRYPT_ALLOW_EXPORT_FLAG
$key.Create()
#Configure Eku
$serverauthoid.InitializeFromValue($sslServerOidString)
$clientauthoid.InitializeFromValue($sslClientOidString)
$ekuoids.add($serverauthoid)
$ekuoids.add($clientauthoid)
$ekuext.InitializeEncode($ekuoids)
$hashAlgorithmObject.InitializeFromAlgorithmName(
$ObjectIdGroupId.XCN_CRYPT_HASH_ALG_OID_GROUP_ID,
$ObjectIdPublicKeyFlags.XCN_CRYPT_OID_INFO_PUBKEY_ANY,
$AlgorithmFlags.AlgorithmFlagsNone, "SHA512")
#Request Certificate
$cert.Subject = $name
$cert.Issuer = $cert.Subject
$cert.NotBefore = (get-date).ToUniversalTime()
$cert.NotAfter = $cert.NotBefore.AddYears($validityPeriodInYear);
$cert.X509Extensions.Add($ekuext)
$cert.HashAlgorithm = $hashAlgorithmObject
$cert.Encode()
$enrollment.InitializeFromRequest($cert)
$certdata = $enrollment.CreateRequest(0)
PSParentPath:
Microsoft.PowerShell.Security\Certificate::localmachine\my
Thumbprint Subject
---------- -------
84857CBBE7A1C851A80AE22391EB2C39BF820CE7 CN=MyNetwork
5EFF2CE51EACA82408572A56AE1A9BCC7E0843C6 CN=EncryptedVirtualNetworks
Você precisa de duas cópias do certificado, uma com a chave privada e outra sem.
$subjectName = "EncryptedVirtualNetworks"
[System.io.file]::WriteAllBytes("c:\$subjectName.pfx",
$cert.Export("PFX", "secret"))
Directory: C:\
$server = "Server01"
$subjectname = "EncryptedVirtualNetworks"
param (
[string] $SubjectName,
[string] $Secret
$certFullPath = "c:\$SubjectName.cer"
$certificate = new-object
System.Security.Cryptography.X509Certificates.X509Certificate2
$certificate.import($certFullPath)
$store = new-object
System.Security.Cryptography.X509Certificates.X509Store("Root",
"LocalMachine")
$store.open("MaxAllowed")
$store.add($certificate)
$store.close()
$certFullPath = "c:\$SubjectName.pfx"
$certificate = new-object
System.Security.Cryptography.X509Certificates.X509Certificate2
$certificate.import($certFullPath, $Secret,
"MachineKeySet,PersistKeySet")
$store = new-object
System.Security.Cryptography.X509Certificates.X509Store("My",
"LocalMachine")
$store.open("MaxAllowed")
$store.add($certificate)
$store.close()
remove-item C:\$SubjectName.cer
remove-item C:\$SubjectName.pfx
Depois de repetir para cada servidor, você deve ter um certificado instalado na raiz
e no meu repositório de cada host Hyper-V.
PSParentPath:
Microsoft.PowerShell.Security\Certificate::localmachine\my
Thumbprint Subject
---------- -------
5EFF2CE51EACA82408572A56AE1A9BCC7E0843C6 CN=EncryptedVirtualNetworks
PSParentPath:
Microsoft.PowerShell.Security\Certificate::localmachine\root
Thumbprint Subject
---------- -------
5EFF2CE51EACA82408572A56AE1A9BCC7E0843C6 CN=EncryptedVirtualNetworks
Você deve anotar a impressão digital porque precisa dela para criar o objeto de
credencial de certificado no controlador de rede.
$thumbprint = "5EFF2CE51EACA82408572A56AE1A9BCC7E0843C6"
$uri = "https://nc.contoso.com"
Import-module networkcontroller
$credproperties = new-object
Microsoft.Windows.NetworkController.CredentialProperties
$credproperties.Type = "X509Certificate"
$credproperties.Value = $thumbprint
Dica
Você pode reutilizar essa credencial para cada rede virtual criptografada ou
implantar e usar um certificado exclusivo para cada locatário.
7 Observação
$vnet.properties.EncryptionCredential = $certcred
# Replace the Subnets index with the value corresponding to the subnet
you want encrypted.
$vnet.properties.Subnets[0].properties.EncryptionEnabled = $true
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Egress medição para tráfego de rede SDN no Windows Server 2019 permite a
capacidade de oferecer medidores de uso para transferências de dados de saída. O
tráfego de rede que sai de cada rede virtual, mas permanece dentro do data center
pode ser rastreado separadamente para que possa ser excluído dos cálculos de
cobrança. Pacotes associados a endereços IP de destino que não estão incluídos em um
dos intervalos de endereços não cobrados são rastreados como transferências de dados
de saída cobradas.
PowerShell
import-module NetworkController
$uri = "https://sdn.contoso.com"
AddressSpace : Microsoft.Windows.NetworkController.AddressSpace
DhcpOptions :
UnbilledAddressRanges :
ConfigurationState :
ProvisioningState : Succeeded
29fe67b8-6f7b-486c-973b-8b9b987ec8b3}
VirtualNetworkPeerings :
EncryptionCredential :
LogicalNetwork : Microsoft.Windows.NetworkController.LogicalNetwork
PowerShell
$vnet.Properties.UnbilledAddressRanges = "10.10.2.0/24,10.10.3.0/24"
Dica
Se você adicionar várias sub-redes IP, use uma vírgula entre cada uma das
sub-redes IP. Não inclua espaços antes ou depois da vírgula.
PowerShell
'Microsoft.Windows.NetworkController.VirtualNetwork' via
'https://sdn.contoso.com/networking/v3/virtualNetworks/VNet1'. Are
you sure you want to continue?
Tags :
ResourceRef : /virtualNetworks/VNet1
InstanceId : 29654b0b-9091-4bed-ab01-e172225dc02d
Etag : W/"6970d0a3-3444-41d7-bbe4-36327968d853"
ResourceMetadata :
ResourceId : VNet1
Properties :
Microsoft.Windows.NetworkController.VirtualNetworkProperties
PowerShell
AddressSpace :
Microsoft.Windows.NetworkController.AddressSpace
DhcpOptions :
UnbilledAddressRanges : 10.10.2.0/24,192.168.2.0/24
ConfigurationState :
ProvisioningState : Succeeded
Subnets : {21e71701-9f59-4ee5-b798-2a9d8c2762f0,
5f4758ef-9f96-40ca-a389-35c414e996cc,
29fe67b8-6f7b-486c-973b-8b9b987ec8b3}
VirtualNetworkPeerings :
EncryptionCredential :
LogicalNetwork :
Microsoft.Windows.NetworkController.LogicalNetwork
PowerShell
10.0.255.8/29 16827067 0
10.0.2.0/24 781733019 0
10.0.4.0/24 0 0
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Este tópico contém links para a documentação que permite gerenciar cargas de
trabalho de locatário adicionando VMs (máquinas virtuais de locatário), usando soluções
de virtualização de rede, configurando o balanceamento de carga de software e muito
mais.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Neste tópico, você criará uma VM de locatário e a conectará a uma rede virtual criada
com a Virtualização de Rede Hyper-V ou a uma VLAN (Rede de Área Local Virtual). Você
pode usar Windows PowerShell cmdlets do Controlador de Rede para se conectar a uma
rede virtual ou NetworkControllerRESTWrappers para se conectar a uma VLAN.
Use os processos descritos neste tópico para implantar dispositivos virtuais. Com
algumas etapas adicionais, você pode configurar dispositivos para processar ou
inspecionar pacotes de dados que fluem de ou para outras VMs no Rede Virtual.
Pré-requisitos
1. Adaptadores de rede de VM criados com endereços MAC estáticos para o tempo
de vida da VM.
3. Se você precisar de ACLs personalizadas para essa interface de rede, crie a ACL
agora usando instruções no tópico Usar ACLs (Listas de Controle de Acesso) para
gerenciar o tráfego de rede do Datacenter Flow
Verifique se você já criou uma Rede Virtual antes de usar este comando de exemplo.
Para obter mais informações, consulte Criar, excluir ou atualizar redes virtuais de
locatário.
PowerShell
2. Obtenha a rede virtual que contém a sub-rede à qual você deseja conectar o
adaptador de rede.
Powershell
Dica
PowerShell
$vmnicproperties = New-Object
Microsoft.Windows.NetworkController.NetworkInterfaceProperties
$vmnicproperties.PrivateMacAddress = "001122334455"
$vmnicproperties.PrivateMacAllocationMethod = "Static"
$vmnicproperties.IsPrimary = $true
$vmnicproperties.DnsSettings = New-Object
Microsoft.Windows.NetworkController.NetworkInterfaceDnsSettings
$ipconfiguration = New-Object
Microsoft.Windows.NetworkController.NetworkInterfaceIpConfiguration
$ipconfiguration.resourceid = "MyVM_IP1"
$ipconfiguration.properties = New-Object
Microsoft.Windows.NetworkController.NetworkInterfaceIpConfigurationProp
erties
$ipconfiguration.properties.PrivateIPAddress = "24.30.1.101"
$ipconfiguration.properties.PrivateIPAllocationMethod = "Static"
$ipconfiguration.properties.Subnet = New-Object
Microsoft.Windows.NetworkController.Subnet
$ipconfiguration.properties.subnet.ResourceRef =
$vnet.Properties.Subnets[0].ResourceRef
$vmnicproperties.IpConfigurations = @($ipconfiguration)
PowerShell
7 Observação
PowerShell
#Do not change the hardcoded IDs in this section, because they are
fixed values and must not change.
$FeatureId = "9940cd46-8b06-43bb-b9d5-93d50381fd56"
$Feature.SettingData.ProfileId = "{$($nic.InstanceId)}"
$Feature.SettingData.NetCfgInstanceId = "{56785678-a0e5-4a26-bc9b-
c0cba27311a3}"
$Feature.SettingData.CdnLabelString = "TestCdn"
$Feature.SettingData.CdnLabelId = 1111
$Feature.SettingData.ProfileName = "Testprofile"
$Feature.SettingData.VendorId = "{1FA41B39-B444-4E43-B35A-
E1F7985FD548}"
$Feature.SettingData.VendorName = "NetworkController"
$Feature.SettingData.ProfileData = 1
Add-VMSwitchExtensionPortFeature -VMSwitchExtensionFeature
$Feature -VMNetworkAdapter $vmNics
} else {
$CurrentFeature.SettingData.ProfileId = "{$($nic.InstanceId)}"
$CurrentFeature.SettingData.ProfileData = 1
Set-VMSwitchExtensionPortFeature -VMSwitchExtensionFeature
$CurrentFeature -VMNetworkAdapter $vmNics
6. Inicie a VM.
PowerShell
Você criou uma VM com êxito, conectou a VM a um locatário Rede Virtual e iniciou a
VM para que ela possa processar cargas de trabalho de locatário.
PowerShell
PowerShell
PowerShell
$vmnicproperties = New-Object
Microsoft.Windows.NetworkController.NetworkInterfaceProperties
$vmnicproperties.PrivateMacAddress = "00-1D-C8-B7-01-02"
$vmnicproperties.PrivateMacAllocationMethod = "Static"
$vmnicproperties.IsPrimary = $true
$vmnicproperties.DnsSettings = New-Object
Microsoft.Windows.NetworkController.NetworkInterfaceDnsSettings
$vmnicproperties.DnsSettings.DnsServers =
$logicalnet.Properties.Subnets[0].DNSServers
$ipconfiguration = New-Object
Microsoft.Windows.NetworkController.NetworkInterfaceIpConfiguration
$ipconfiguration.resourceid = "MyVM_Ip1"
$ipconfiguration.properties = New-Object
Microsoft.Windows.NetworkController.NetworkInterfaceIpConfigurationProp
erties
$ipconfiguration.properties.PrivateIPAddress = "10.127.132.177"
$ipconfiguration.properties.PrivateIPAllocationMethod = "Static"
$ipconfiguration.properties.Subnet = New-Object
Microsoft.Windows.NetworkController.Subnet
$ipconfiguration.properties.subnet.ResourceRef =
$logicalnet.Properties.Subnets[0].ResourceRef
$vmnicproperties.IpConfigurations = @($ipconfiguration)
$vnic.InstanceId
PowerShell
#The hardcoded Ids in this section are fixed values and must not
change.
$FeatureId = "9940cd46-8b06-43bb-b9d5-93d50381fd56"
$Feature.SettingData.ProfileId = "{$InstanceId}"
$Feature.SettingData.NetCfgInstanceId = "{56785678-a0e5-4a26-bc9b-
c0cba27311a3}"
$Feature.SettingData.CdnLabelString = "TestCdn"
$Feature.SettingData.CdnLabelId = 1111
$Feature.SettingData.ProfileName = "Testprofile"
$Feature.SettingData.VendorId = "{1FA41B39-B444-4E43-B35A-
E1F7985FD548}"
$Feature.SettingData.VendorName = "NetworkController"
$Feature.SettingData.ProfileData = 1
} else {
$CurrentFeature.SettingData.ProfileId = "{$InstanceId}"
$CurrentFeature.SettingData.ProfileData = 1
Set-VMSwitchExtensionPortFeature -VMSwitchExtensionFeature
$CurrentFeature -VMNetworkAdapter $vmNics
5. Inicie a VM.
PowerShell
Você criou uma VM com êxito, conectou a VM a uma VLAN e iniciou a VM para que ela
possa processar cargas de trabalho de locatário.
Configurar a QoS (qualidade de serviço)
para um adaptador de rede de VM
Artigo • 21/12/2022 • 4 minutos para o fim da leitura
aplica-se a: Windows server 2022, Windows server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode configurar a qualidade de serviço (rede definida pelo software) (QoS) para
um adaptador de rede de máquina virtual (VM) para limitar a largura de banda em uma
interface virtual a fim de impedir que uma VM de tráfego intenso contenha outro
tráfego de rede VM. Você também pode configurar o QoS de SDN para reservar uma
quantidade específica de largura de banda para uma VM a fim de garantir que a VM
possa enviar tráfego independentemente de outro tráfego na rede. Isso pode ser
aplicado às VMs conectadas às redes de VLAN tradicionais, bem como às VMs
conectadas a redes de sobreposição de SDN.
Você também pode configurar o descarregamento de QoS para impor regras de QoS no
adaptador de rede física em vez de no comutador virtual, resultando em menor
utilização da CPU e imposição aprimorada. o descarregamento de QoS é um recurso
opcional encontrado em NICs certificadas do Windows server 2022 que alcançaram o
Windows servidor Software-Defined data Center (SDDC) Premium qualificação adicional
(AQ). Para obter mais informações, consulte selecionar um adaptador de rede.
As configurações que podem ser configuradas por meio de QoS de SDN são:
PowerShell
$vswitchConfig=
[Microsoft.Windows.NetworkController.VirtualSwitchManagerProperties]::new()
$qos=[Microsoft.Windows.NetworkController.VirtualSwitchQosSettings]::new()
$qos.EnableSoftwareReservations=$true
$vswitchConfig.QosSettings =$qos
PowerShell
$NwInterface.Properties.PortSettings.QosSettings=
[Microsoft.Windows.NetworkController.VirtualNetworkInterfaceQosSettings]::ne
w()
$NwInterface.Properties.PortSettings.QosSettings.InboundMaximumMbps ="1000"
7 Observação
) Importante
Você deve garantir que QosOffload o esteja habilitado em cada NIC física da
equipe em todos os hosts. Sem isso, a regra de QoS será imposta por meio do
comutador virtual e resultará em menor eficiência.
Use os seguintes cmdlets para verificar se os adaptadores dão suporte QosOffload e, em
seguida, modifique as propriedades do adaptador:
PowerShell
PowerShell
$vswitchConfig=
[Microsoft.Windows.NetworkController.VirtualSwitchManagerProperties]::new()
$qos=[Microsoft.Windows.NetworkController.VirtualSwitchQosSettings]::new()
$qos.EnableHardwareLimits=$true
$vswitchConfig.QosSettings =$qos
PowerShell
) Importante
PowerShell
$NwInterface.Properties.PortSettings.QosSettings=
[Microsoft.Windows.NetworkController.VirtualNetworkInterfaceQosSettings]::ne
w()
$NwInterface.Properties.PortSettings.QosSettings. EnableHardwareLimits=$true
$NwInterface.Properties.PortSettings.QosSettings.OutboundMaximumMbps ="1000"
7 Observação
Durante a migração ao vivo, é possível que uma VM passe para um host que não
dá suporte ao descarregamento de QoS. Nesse cenário, a migração ao vivo terá
sucesso, mas a QoS fará fallback para o QoS de SDN.
Configurar grupos de segurança de rede
com o PowerShell
Artigo • 23/01/2023 • 9 minutos para o fim da leitura
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
Este tópico fornece instruções para configurar NSGs (grupos de segurança de rede) para
gerenciar o fluxo de tráfego de dados usando o SDN (Firewall do Datacenter para Rede
Definida por Software) no Azure Stack HCI usando Windows PowerShell. Habilite e
configure o Firewall do Datacenter criando grupos de segurança de rede que são
aplicados a uma sub-rede ou a um adaptador de rede. Os scripts de exemplo neste
tópico usam comandos Windows PowerShell exportados do módulo
NetworkController. Você também pode usar Windows Admin Center para configurar e
gerenciar grupos de segurança de rede.
Use as entradas na tabela a seguir para criar um conjunto de regras que permitem todo
o tráfego de rede de entrada e saída.
Neste exemplo, você cria um grupo de segurança de rede com duas regras:
PowerShell
Enter-PSSession <server-name>
PowerShell
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule1.Properties = $ruleproperties
$aclrule1.ResourceId = "AllowAll_Inbound"
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "110"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule2.Properties = $ruleproperties
$aclrule2.ResourceId = "AllowAll_Outbound"
$acllistproperties = new-object
Microsoft.Windows.NetworkController.AccessControlListProperties
7 Observação
O grupo de segurança de rede criado pelo script de exemplo abaixo, identificado pela
sub-rede de ID do recurso sub-rede-192-168-0-0, agora pode ser aplicado a uma sub-
rede de rede virtual que usa o endereço de sub-rede "192.168.0.0/24". Qualquer
adaptador de rede anexado a essa sub-rede de rede virtual obtém automaticamente as
regras de grupo de segurança de rede acima aplicadas.
Veja a seguir um exemplo de script para criar esse grupo de segurança de rede usando
a API REST do Controlador de Rede:
PowerShell
import-module networkcontroller
$ncURI = "https://mync.contoso.local"
$aclrules = @()
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "192.168.0.1"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.1"
$ruleproperties.Priority = "101"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Outbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "192.168.0.0/24"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "102"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.0/24"
$ruleproperties.Priority = "103"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Outbound"
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "104"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "105"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Outbound"
$aclrules += $aclrule
$acllistproperties = new-object
Microsoft.Windows.NetworkController.AccessControlListProperties
$acllistproperties.AclRules = $aclrules
Dica
PowerShell
PowerShell
PowerShell
$nic.properties.ipconfigurations[0].properties.AccessControlList =
$acl
PowerShell
new-networkcontrollernetworkinterface -ConnectionUri $uri -Properties
$nic.properties -ResourceId $nic.resourceid
PowerShell
PowerShell
$nic.properties.ipconfigurations[0].properties.AccessControlList =
$null
PowerShell
Auditoria de firewall
Introduzida no Windows Server 2019, a auditoria de firewall é uma nova funcionalidade
para o Firewall do Datacenter que registra qualquer fluxo processado pelas regras de
firewall do SDN. Todos os grupos de segurança de rede que têm o registro em log
habilitado são registrados. Os arquivos de log devem estar em uma sintaxe consistente
com os logs de fluxo do Azure Observador de Rede. Esses logs podem ser usados para
diagnóstico ou arquivados para análise posterior.
Aqui está um script de exemplo para habilitar a auditoria de firewall nos servidores host.
Atualize as variáveis no início e execute-as em um cluster do Azure Stack HCI com o
Controlador de Rede implantado:
PowerShell
$logpath = "C:\test\log1"
$uri = "https://sa18n22sdn.sa18.nttest.microsoft.com"
param(
$Path
} -argumentlist $LogPath
$AuditProperties = new-object
Microsoft.Windows.NetworkController.AuditingSettingsProperties
$AuditProperties.OutputDirectory = $logpath
$s.properties.AuditingEnabled = @("Firewall")
Uma vez habilitado, um novo arquivo aparece no diretório especificado em cada host
cerca de uma vez por hora. Você deve processar periodicamente esses arquivos e
removê-los dos hosts. O arquivo atual tem comprimento zero e fica bloqueado até ser
liberado na marca da próxima hora:
syntax
PS C:\test\log1> dir
Directory: C:\test\log1
syntax
"records": [
"properties":{
"Version":"1.0",
"flows":[
"flows":[
{
"flowTuples":
["1531963580,192.122.0.22,192.122.255.255,138,138,U,I,A"],
"portId":"9",
"portName":"7290436D-0422-498A-8EB8-
C6CF5115DACE"
],
"rule":"Allow_Inbound"
},
"operationName":"NetworkSecurityGroupFlowEvents",
"resourceId":"394f647d-2ed0-4c31-87c5-389b8c0c8132",
"time":"20180719:L012620622",
"category":"NetworkSecurityGroupFlowEvent",
"systemId":"d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a"
},
Observe que o registro em log ocorre apenas para regras que têm o registro em log
definido como Habilitado, por exemplo:
syntax
{
"Tags": null,
"ResourceRef": "/accessControlLists/AllowAll",
"InstanceId": "4a63e1a5-3264-4986-9a59-4e77a8b107fa",
"Etag": "W/\"1535a780-0fc8-4bba-a15a-093ecac9b88b\"",
"ResourceMetadata": null,
"ResourceId": "AllowAll",
"Properties": {
"ConfigurationState": null,
"ProvisioningState": "Succeeded",
"AclRules": [
"ResourceMetadata": null,
"ResourceRef":
"/accessControlLists/AllowAll/aclRules/AllowAll_Inbound",
"InstanceId": "ba8710a8-0f01-
422b-9038-d1f2390645d7",
"Etag": "W/\"1535a780-0fc8-
4bba-a15a-093ecac9b88b\"",
"ResourceId":
"AllowAll_Inbound",
"Properties": {
"Protocol":
"All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action":
"Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority":
"101",
"Description": null,
"Type":
"Inbound",
"Logging":
"Enabled",
"ProvisioningState": "Succeeded"
}
},
"ResourceMetadata": null,
"ResourceRef":
"/accessControlLists/AllowAll/aclRules/AllowAll_Outbound",
"InstanceId": "068264c6-2186-
4dbc-bbe7-f504c6f47fa8",
"Etag": "W/\"1535a780-0fc8-
4bba-a15a-093ecac9b88b\"",
"ResourceId":
"AllowAll_Outbound",
"Properties": {
"Protocol":
"All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action":
"Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority":
"110",
"Description": null,
"Type":
"Outbound",
"Logging":
"Enabled",
"ProvisioningState": "Succeeded"
}
],
"IpConfigurations": [
],
"Subnets": [
"ResourceMetadata": null,
"ResourceRef":
"/virtualNetworks/10_0_1_0/subnets/Subnet1",
"InstanceId": "00000000-0000-
0000-0000-000000000000",
"Etag": null,
"ResourceId": null,
"Properties": null
Próximas etapas
Para obter informações relacionadas, consulte também:
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Você pode usar este tópico para aprender a usar o SLB (balanceador de carga de
software) SDN (Software Defined Networking) para fornecer NAT (conversão de
endereço de rede de saída), NAT de entrada ou balanceamento de carga entre várias
instâncias de um aplicativo.
Balancear o tráfego de entrada de carga externo a uma rede virtual para VMs
(máquinas virtuais), também chamado de balanceamento de carga VIP público.
Balancear a carga do tráfego de entrada entre VMs em uma rede virtual, entre VMs
em serviços de nuvem ou entre computadores locais e VMs em uma rede virtual
entre locais.
Encaminhe o tráfego de rede de VM da rede virtual para destinos externos usando
a NAT (conversão de endereço de rede), também chamada NAT de saída.
Encaminhe o tráfego externo para uma VM específica, também chamada NAT de
entrada.
PowerShell
import-module NetworkController
$URI = "https://sdn.contoso.com"
$LBResourceId = "LB2"
$LoadBalancerProperties = new-object
Microsoft.Windows.NetworkController.LoadBalancerProperties
O VIP deve ser de um IP não utilizado em um dos pools de IP de rede lógica dados
ao gerenciador do balanceador de carga.
PowerShell
$VIPIP = "10.127.134.5"
$VIPLogicalNetwork = get-networkcontrollerlogicalnetwork -
ConnectionUri $uri -resourceid "PublicVIP" -PassInnerException
$FrontEndIPConfig = new-object
Microsoft.Windows.NetworkController.LoadBalancerFrontendIpConfiguration
$FrontEndIPConfig.ResourceId = "FE1"
$FrontEndIPConfig.ResourceRef =
"/loadBalancers/$LBResourceId/frontendIPConfigurations/$($FrontEndIPCon
fig.ResourceId)"
$FrontEndIPConfig.Properties = new-object
Microsoft.Windows.NetworkController.LoadBalancerFrontendIpConfiguration
Properties
$FrontEndIPConfig.Properties.Subnet = new-object
Microsoft.Windows.NetworkController.Subnet
$FrontEndIPConfig.Properties.Subnet.ResourceRef =
$VIPLogicalNetwork.Properties.Subnets[0].ResourceRef
$FrontEndIPConfig.Properties.PrivateIPAddress = $VIPIP
$FrontEndIPConfig.Properties.PrivateIPAllocationMethod = "Static"
$LoadBalancerProperties.FrontEndIPConfigurations += $FrontEndIPConfig
PowerShell
$BackEndAddressPool = new-object
Microsoft.Windows.NetworkController.LoadBalancerBackendAddressPool
$BackEndAddressPool.ResourceId = "BE1"
$BackEndAddressPool.ResourceRef =
"/loadBalancers/$LBResourceId/backendAddressPools/$($BackEndAddressPool
.ResourceId)"
$BackEndAddressPool.Properties = new-object
Microsoft.Windows.NetworkController.LoadBalancerBackendAddressPoolPrope
rties
$LoadBalancerProperties.backendAddressPools += $BackEndAddressPool
Neste exemplo, você define uma investigação HTTP que consulta o RequestPath
de "/health.htm". A consulta é executada a cada 5 segundos, conforme
especificado pela propriedade IntervalInSeconds.
) Importante
PowerShell
$Probe = new-object
Microsoft.Windows.NetworkController.LoadBalancerProbe
$Probe.ResourceId = "Probe1"
$Probe.ResourceRef =
"/loadBalancers/$LBResourceId/Probes/$($Probe.ResourceId)"
$Probe.properties = new-object
Microsoft.Windows.NetworkController.LoadBalancerProbeProperties
$Probe.properties.Protocol = "HTTP"
$Probe.properties.Port = "80"
$Probe.properties.RequestPath = "/health.htm"
$Probe.properties.IntervalInSeconds = 5
$Probe.properties.NumberOfProbes = 11
$LoadBalancerProperties.Probes += $Probe
5. Defina uma regra de balanceamento de carga para enviar o tráfego que chega ao
IP front-end para o IP de back-end. Neste exemplo, o pool de back-end recebe o
tráfego TCP para a porta 80.
PowerShell
$Rule = new-object
Microsoft.Windows.NetworkController.LoadBalancingRule
$Rule.ResourceId = "webserver1"
$Rule.Properties = new-object
Microsoft.Windows.NetworkController.LoadBalancingRuleProperties
$Rule.Properties.FrontEndIPConfigurations += $FrontEndIPConfig
$Rule.Properties.backendaddresspool = $BackEndAddressPool
$Rule.Properties.protocol = "TCP"
$Rule.Properties.FrontEndPort = 80
$Rule.Properties.BackEndPort = 80
$Rule.Properties.IdleTimeoutInMinutes = 4
$Rule.Properties.Probe = $Probe
$LoadBalancerProperties.loadbalancingRules += $Rule
PowerShell
$LoadBalancerResource = New-NetworkControllerLoadBalancer -
ConnectionUri $URI -ResourceId $LBResourceId -Properties
$LoadBalancerProperties -Force -PassInnerException
7. Siga o próximo exemplo para adicionar as interfaces de rede a esse pool de back-
end.
Exemplo: usar o SLB para NAT de saída
Neste exemplo, você configura o SLB com um pool de back-end para fornecer
funcionalidade nat de saída para uma VM no espaço de endereço privado de uma rede
virtual para acessar a saída para a Internet.
PowerShell
import-module NetworkController
$URI = "https://sdn.contoso.com"
$LBResourceId = "OutboundNATMMembers"
$VIPIP = "10.127.134.6"
$VIPLogicalNetwork = get-networkcontrollerlogicalnetwork -
ConnectionUri $uri -resourceid "PublicVIP" -PassInnerException
$LoadBalancerProperties = new-object
Microsoft.Windows.NetworkController.LoadBalancerProperties
$FrontEndIPConfig = new-object
Microsoft.Windows.NetworkController.LoadBalancerFrontendIpConfiguration
$FrontEndIPConfig.ResourceId = "FE1"
$FrontEndIPConfig.ResourceRef =
"/loadBalancers/$LBResourceId/frontendIPConfigurations/$($FrontEndIPCon
fig.ResourceId)"
$FrontEndIPConfig.Properties = new-object
Microsoft.Windows.NetworkController.LoadBalancerFrontendIpConfiguration
Properties
$FrontEndIPConfig.Properties.Subnet = new-object
Microsoft.Windows.NetworkController.Subnet
$FrontEndIPConfig.Properties.Subnet.ResourceRef =
$VIPLogicalNetwork.Properties.Subnets[0].ResourceRef
$FrontEndIPConfig.Properties.PrivateIPAddress = $VIPIP
$FrontEndIPConfig.Properties.PrivateIPAllocationMethod = "Static"
$LoadBalancerProperties.FrontEndIPConfigurations += $FrontEndIPConfig
$BackEndAddressPool = new-object
Microsoft.Windows.NetworkController.LoadBalancerBackendAddressPool
$BackEndAddressPool.ResourceId = "BE1"
$BackEndAddressPool.ResourceRef =
"/loadBalancers/$LBResourceId/backendAddressPools/$($BackEndAddressPool
.ResourceId)"
$BackEndAddressPool.Properties = new-object
Microsoft.Windows.NetworkController.LoadBalancerBackendAddressPoolPrope
rties
$LoadBalancerProperties.backendAddressPools += $BackEndAddressPool
PowerShell
$OutboundNAT = new-object
Microsoft.Windows.NetworkController.LoadBalancerOutboundNatRule
$OutboundNAT.ResourceId = "onat1"
$OutboundNAT.properties = new-object
Microsoft.Windows.NetworkController.LoadBalancerOutboundNatRuleProperti
es
$OutboundNAT.properties.frontendipconfigurations += $FrontEndIPConfig
$OutboundNAT.properties.backendaddresspool = $BackEndAddressPool
$OutboundNAT.properties.protocol = "ALL"
$LoadBalancerProperties.OutboundNatRules += $OutboundNAT
PowerShell
$LoadBalancerResource = New-NetworkControllerLoadBalancer -
ConnectionUri $URI -ResourceId $LBResourceId -Properties
$LoadBalancerProperties -Force -PassInnerException
4. Siga o próximo exemplo para adicionar as interfaces de rede às quais você deseja
fornecer acesso à Internet.
Você também pode repetir esse processo em um único adaptador de rede para
adicioná-lo a vários objetos do balanceador de carga. Por exemplo, se você tiver um
objeto de balanceador de carga para um VIP do servidor Web e um objeto de
balanceador de carga separado para fornecer NAT de saída.
$lbresourceid = "LB2"
PowerShell
$nic.properties.IpConfigurations[0].properties.LoadBalancerBackendAddre
ssPools += $lb.properties.backendaddresspools[0]
PowerShell
Se você definiu o VIP e o DIP como a mesma sub-rede, isso equivale a executar o
encaminhamento L3 sem NAT.
7 Observação
Esse processo não exige que você crie um objeto de balanceador de carga. Atribuir
o PublicIPAddress à interface de rede é informações suficientes para o software
Load Balancer executar sua configuração.
$publicIPProperties = new-object
Microsoft.Windows.NetworkController.PublicIpAddressProperties
$publicIPProperties.ipaddress = "10.127.134.7"
$publicIPProperties.PublicIPAllocationMethod = "static"
$publicIPProperties.IdleTimeoutInMinutes = 4
PowerShell
$nic.properties.IpConfigurations[0].Properties.PublicIPAddress =
$publicIP
PowerShell
$publicIPProperties = new-object
Microsoft.Windows.NetworkController.PublicIpAddressProperties
$publicIPProperties.PublicIPAllocationMethod = "dynamic"
$publicIPProperties.IdleTimeoutInMinutes = 4
PowerShell
(Get-NetworkControllerPublicIpAddress -ConnectionUri $uri -ResourceId
"MyPIP").properties
Counters : {}
ConfigurationState :
IpAddress : 10.127.134.2
PublicIPAddressVersion : IPv4
PublicIPAllocationMethod : Dynamic
IdleTimeoutInMinutes : 4
DnsSettings :
ProvisioningState : Succeeded
IpConfiguration :
PreviousIpConfiguration :
PowerShell
$nic.properties.IpConfigurations[0].Properties.PublicIPAddress =
$publicIP
4. Remover o PublicIP
PowerShell
Remove-NetworkControllerPublicIPAddress -ConnectionURI $uri -ResourceId
"MyPIP"
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Neste tópico, você aprenderá a implantar dispositivos virtuais de rede em redes virtuais
de locatário. Você pode adicionar dispositivos virtuais de rede a redes que executam
funções de roteamento e espelhamento de porta definidas pelo usuário.
Depois de implantar o dispositivo virtual de rede, você pode usar o dispositivo para
roteamento definido, espelhamento de portabilidade ou ambos.
Exemplo: roteamento definido pelo usuário
Para a maioria dos ambientes, você só precisa das rotas do sistema já definidas pelo
roteador distribuído da rede virtual. No entanto, talvez seja necessário criar uma tabela
de roteamento e adicionar uma ou mais rotas em casos específicos, como:
Para esses cenários, você deve criar uma tabela de roteamento e adicionar rotas
definidas pelo usuário à tabela. Você pode ter várias tabelas de roteamento e associar a
mesma tabela de roteamento a uma ou mais sub-redes. Você só pode associar cada
sub-rede a uma única tabela de roteamento. Todas as VMs em uma sub-rede usam a
tabela de roteamento associada à sub-rede.
As sub-redes dependem de rotas do sistema até que uma tabela de roteamento seja
associada à sub-rede. Após a existência de uma associação, o roteamento é feito com
base na LPM (Correspondência de Prefixo Mais Longa) entre rotas definidas pelo
usuário e rotas do sistema. Se houver mais de uma rota com a mesma correspondência
LPM, a rota definida pelo usuário será selecionada primeiro antes da rota do sistema.
Procedimento:
1. Crie as propriedades da tabela de rotas, que contém todas as rotas definidas pelo
usuário.
PowerShell
$routetableproperties = new-object
Microsoft.Windows.NetworkController.RouteTableProperties
PowerShell
$route.ResourceID = "0_0_0_0_0"
$route.properties = new-object
Microsoft.Windows.NetworkController.RouteProperties
$route.properties.AddressPrefix = "0.0.0.0/0"
$route.properties.nextHopType = "VirtualAppliance"
$route.properties.nextHopIpAddress = "192.168.1.10"
$routetableproperties.routes += $route
Dica
Se você quiser adicionar mais rotas, repita esta etapa para cada rota que você
deseja definir.
PowerShell
Quando você aplica a tabela de rotas à sub-rede virtual, a primeira sub-rede virtual
na rede Tenant1_Vnet1 usa a tabela de rotas. Você pode atribuir a tabela de rotas a
quantas sub-redes quiser na rede virtual.
PowerShell
$vnet.properties.subnets[0].properties.RouteTable = $routetable
Assim que você aplicar a tabela de roteamento à rede virtual, o tráfego será
encaminhado para o dispositivo virtual. Você deve configurar a tabela de roteamento no
dispositivo virtual para encaminhar o tráfego, de maneira apropriada para seu ambiente.
O dispositivo deve ter uma segunda interface de rede para gerenciamento. Depois de
habilitar o espelhamento como um destino no Appliciance_Ethernet1, ele não receberá
mais o tráfego destinado à interface IP configurada lá.
Procedimento:
PowerShell
PowerShell
PowerShell
$portmirror =
[Microsoft.Windows.NetworkController.ServiceInsertionProperties]::new()
$portMirror.Priority = 1
PowerShell
$portmirror.ServiceInsertionRules =
[Microsoft.Windows.NetworkController.ServiceInsertionRule[]]::new(1)
$portmirror.ServiceInsertionRules[0] =
[Microsoft.Windows.NetworkController.ServiceInsertionRule]::new()
$portmirror.ServiceInsertionRules[0].ResourceId = "Rule1"
$portmirror.ServiceInsertionRules[0].Properties =
[Microsoft.Windows.NetworkController.ServiceInsertionRuleProperties]::n
ew()
$portmirror.ServiceInsertionRules[0].Properties.Description = "Port
Mirror Rule"
$portmirror.ServiceInsertionRules[0].Properties.Protocol = "All"
$portmirror.ServiceInsertionRules[0].Properties.SourcePortRangeStart =
"0"
$portmirror.ServiceInsertionRules[0].Properties.SourcePortRangeEnd =
"65535"
$portmirror.ServiceInsertionRules[0].Properties.DestinationPortRangeSta
rt = "0"
$portmirror.ServiceInsertionRules[0].Properties.DestinationPortRangeEnd
= "65535"
$portmirror.ServiceInsertionRules[0].Properties.SourceSubnets = "*"
$portmirror.ServiceInsertionRules[0].Properties.DestinationSubnets =
"*"
PowerShell
$portmirror.ServiceInsertionElements =
[Microsoft.Windows.NetworkController.ServiceInsertionElement[]]::new(1)
$portmirror.ServiceInsertionElements[0] =
[Microsoft.Windows.NetworkController.ServiceInsertionElement]::new()
$portmirror.ServiceInsertionElements[0].ResourceId = "Element1"
$portmirror.ServiceInsertionElements[0].Properties =
[Microsoft.Windows.NetworkController.ServiceInsertionElementProperties]
::new()
$portmirror.ServiceInsertionElements[0].Properties.Description = "Port
Mirror Element"
$portmirror.ServiceInsertionElements[0].Properties.NetworkInterface =
$dstNic
$portmirror.ServiceInsertionElements[0].Properties.Order = 1
Quando você emite esse comando, todo o tráfego para o adaptador de rede do
dispositivo especificado na etapa anterior é interrompido.
PowerShell
PowerShell
$srcNic.Properties.IpConfigurations[0].Properties.ServiceInsertion =
$portMirror
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Máquinas virtuais conectadas a uma rede virtual só têm permissão para usar os
endereços IP atribuídos pelo Controlador de Rede para se comunicarem na rede. As
tecnologias de clustering que exigem um endereço IP flutuante, como o Clustering de
Failover da Microsoft, exigem algumas etapas extras para funcionar corretamente.
1. Selecione o VIP.
Prepare atribuindo um endereço IP VIP, que pode ser qualquer endereço não
utilizado ou reservado na mesma sub-rede que os nós de cluster. O VIP deve
corresponder ao endereço flutuante do cluster.
PowerShell
$VIP = "192.168.2.100"
$subnet = "Subnet2"
$VirtualNetwork = "MyNetwork"
$ResourceId = "MyNetwork_InternalVIP"
PowerShell
$LoadBalancerProperties = new-object
Microsoft.Windows.NetworkController.LoadBalancerProperties
PowerShell
$FrontEnd.properties = new-object
Microsoft.Windows.NetworkController.LoadBalancerFrontendIpConfiguration
Properties
$FrontEnd.resourceId = "Frontend1"
$FrontEnd.resourceRef =
"/loadBalancers/$ResourceId/frontendIPConfigurations/$($FrontEnd.resour
ceId)"
$FrontEnd.properties.subnet = new-object
Microsoft.Windows.NetworkController.Subnet
$FrontEnd.properties.subnet.ResourceRef =
"/VirtualNetworks/MyNetwork/Subnets/Subnet2"
$FrontEnd.properties.privateIPAddress = $VIP
$FrontEnd.properties.privateIPAllocationMethod = "Static"
PowerShell
$BackEnd = new-object
Microsoft.Windows.NetworkController.LoadBalancerBackendAddressPool
$BackEnd.properties = new-object
Microsoft.Windows.NetworkController.LoadBalancerBackendAddressPoolPrope
rties
$BackEnd.resourceId = "Backend1"
$BackEnd.resourceRef =
"/loadBalancers/$ResourceId/backendAddressPools/$($BackEnd.resourceId)"
$LoadBalancerProperties.backendAddressPools += $BackEnd
7 Observação
A consulta de investigação no endereço permanente da VM na porta definida
abaixo. A porta só deve responder no nó ativo.
PowerShell
$lbprobe.properties = new-object
Microsoft.Windows.NetworkController.LoadBalancerProbeProperties
$lbprobe.ResourceId = "Probe1"
$lbprobe.resourceRef =
"/loadBalancers/$ResourceId/Probes/$($lbprobe.resourceId)"
$lbprobe.properties.protocol = "TCP"
$lbprobe.properties.port = "59999"
$lbprobe.properties.IntervalInSeconds = 5
$lbprobe.properties.NumberOfProbes = 11
PowerShell
$lbrule.properties = new-object
Microsoft.Windows.NetworkController.LoadBalancingRuleProperties
$lbrule.ResourceId = "Rules1"
$lbrule.properties.frontendipconfigurations += $FrontEnd
$lbrule.properties.backendaddresspool = $BackEnd
$lbrule.properties.protocol = "TCP"
$lbrule.properties.IdleTimeoutInMinutes = 4
$lbrule.properties.EnableFloatingIP = $true
$lbrule.properties.Probe = $lbprobe
PowerShell
Você pode adicionar tantos nós ao pool quanto necessário para o cluster.
PowerShell
# Cluster Node 1
$nic.properties.IpConfigurations[0].properties.LoadBalancerBackendAddre
ssPools += $lb.properties.backendaddresspools[0]
# Cluster Node 2
$nic.properties.IpConfigurations[0].properties.LoadBalancerBackendAddre
ssPools += $lb.properties.backendaddresspools[0]
PowerShell
Import-module failoverclusters
$ClusterName = "MyCluster"
$IPResourceName =
$ILBIP = "192.168.2.100"
PowerShell
New-Cluster -Name $ClusterName -NoStorage -Node $nodes[0]
PowerShell
Stop-ClusterResource "Cluster Name"
PowerShell
PowerShell
PowerShell
Add-ClusterNode $nodes[1]
Seu cluster está ativo. O tráfego que vai para o VIP na porta especificada é direcionado
para o nó ativo.
Atualizar, fazer backup e restaurar a
infraestrutura do SDN
Artigo • 21/12/2022 • 7 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Neste tópico, você aprenderá a atualizar, fazer backup e restaurar uma infraestrutura
SDN.
) Importante
Se você usar System Center Virtual Manager, deverá atualizá-lo com os pacotes
cumulativos de atualização mais recentes.
Ao atualizar cada componente, você pode usar qualquer um dos métodos padrão para
instalar Windows atualizações. No entanto, para garantir o tempo de inatividade mínimo
para cargas de trabalho e a integridade do banco de dados do Controlador de Rede,
siga estas etapas:
reiniciou.
Depois de reinicializar a VM, ela pode levar vários minutos até que ela volte ao
status Up . Para obter um exemplo da saída, consulte
5. Instale atualizações em cada VM do SLB Mux uma de cada vez para garantir a
disponibilidade contínua da infraestrutura do balanceador de carga.
6. Atualize hosts Hyper-V e gateways RAS, começando com os hosts que contêm os
gateways RAS que estão no modo de espera .
As VMs do gateway RAS não podem ser migradas ao vivo sem perder conexões de
locatário. Durante o ciclo de atualização, você deve ter cuidado para minimizar o
número de vezes que as conexões de locatário fazem failover para um novo
gateway RAS. Ao coordenar a atualização de hosts e gateways RAS, cada locatário
faz failover uma vez, no máximo.
Se nenhum gateway de espera permanecer, siga estas mesmas etapas para todos
os hosts restantes.
) Importante
Você deve esperar vários minutos até que o status do nó seja alterado para Cima
antes de atualizar quaisquer nós adicionais, um de cada vez.
Dica
PowerShell
PS C:\> get-networkcontrollernode
Name : NCNode1.contoso.com
Server : NCNode1.Contoso.com
FaultDomain : fd:/NCNode1.Contoso.com
RestInterface : Ethernet
NodeCertificate :
Status : Down
Name : NCNode2.Contoso.com
Server : NCNode2.contoso.com
RestInterface : Ethernet
NodeCertificate :
Status : Up
Name : NCNode3.Contoso.com
Server : NCNode3.Contoso.com
RestInterface : Ethernet
NodeCertificate :
Status : Up
) Importante
Execute este cmdlet quando você não tiver mais atualizações para instalar.
PowerShell
PS C:\> update-networkcontroller
NetworkControllerClusterVersion NetworkControllerVersion
------------------------------- ------------------------
10.1.1 10.1.15
Requisitos:
Procedimento:
1. Use o método de backup da VM de sua escolha ou use o Hyper-V para exportar
uma cópia de cada VM do Controlador de Rede.
O objetivo aqui é garantir que nenhuma atualização seja feita no SCVMM durante
esse tempo, o que pode criar uma inconsistência entre o backup do Controlador
de Rede e o SCVMM.
) Importante
Não reinicie o serviço SCVMM até que o backup do Controlador de Rede seja
concluído.
$URI = "https://NC.contoso.com"
$Credential = Get-Credential
$ShareUserResourceId = "BackupUser"
$CredentialProperties = New-Object
Microsoft.Windows.NetworkController.CredentialProperties
$CredentialProperties.Type = "usernamePassword"
$CredentialProperties.UserName = "contoso\alyoung"
$CredentialProperties.Value = "<Password>"
# Create backup
$BackupProperties = New-Object
Microsoft.Windows.NetworkController.NetworkControllerBackupProperties
$BackupProperties.BackupPath =
"\\fileshare\backups\NetworkController\$BackupTime"
$BackupProperties.Credential = $ShareCredential
| ConvertTo-JSON -Depth 10
"Tags": null,
"ResourceRef": "/networkControllerBackup/2017-04-25T16_53_13",
"InstanceId": "c3ea75ae-2892-4e10-b26c-a2243b755dc8",
"Etag": "W/\"0dafea6c-39db-401b-bda5-d2885ded470e\"",
"ResourceMetadata": null,
"ResourceId": "2017-04-25T16_53_13",
"Properties": {
"BackupPath":
"\\\\fileshare\backups\NetworkController\\2017-04-25T16_53_13",
"ErrorMessage": "",
"FailedResourcesList": [
],
"SuccessfulResourcesList": [
"/networking/v1/credentials/11ebfc10-438c-4a96-a1ee-8a048ce675be",
"/networking/v1/credentials/41229069-85d4-4352-be85-034d0c5f4658",
"/networking/v1/credentials/b2a82c93-2583-4a1f-91f8-232b801e11bb",
"/networking/v1/credentials/BackupUser",
"/networking/v1/credentials/fd5b1b96-b302-4395-b6cd-ed9703435dd1",
"/networking/v1/virtualNetworkManager/configuration",
"/networking/v1/virtualSwitchManager/configuration",
"/networking/v1/accessControlLists/f8b97a4c-4419-481d-b757-a58483512640",
"/networking/v1/logicalnetworks/24fa1af9-88d6-4cdc-aba0-66e38c1a7bb8",
"/networking/v1/logicalnetworks/48610528-f40b-4718-938e-99c2be76f1e0",
"/networking/v1/logicalnetworks/89035b49-1ee3-438a-8d7a-f93cbae40619",
"/networking/v1/logicalnetworks/a9c8eaa0-519c-4988-acd6-11723e9efae5",
"/networking/v1/logicalnetworks/d4ea002c-c926-4c57-a178-461d5768c31f",
"/networking/v1/macPools/11111111-1111-1111-1111-111111111111",
"/networking/v1/loadBalancerManager/config",
"/networking/v1/publicIPAddresses/2c502b2d-b39a-4be1-a85a-55ef6a3a9a1d",
"/networking/v1/GatewayPools/Default",
"/networking/v1/servers/4c4c4544-0058-5810-8056-b4c04f395931",
"/networking/v1/servers/4c4c4544-0058-5810-8057-b4c04f395931",
"/networking/v1/servers/4c4c4544-0058-5910-8056-b4c04f395931",
"/networking/v1/networkInterfaces/058430d3-af43-4328-a440-56540f41da50",
"/networking/v1/networkInterfaces/08756090-6d55-4dec-98d5-80c4c5a47db8",
"/networking/v1/networkInterfaces/2175d74a-aacd-44e2-80d3-03f39ea3bc5d",
"/networking/v1/networkInterfaces/2400c2c3-2291-4b0b-929c-9bb8da55851a",
"/networking/v1/networkInterfaces/4c695570-6faa-4e4d-a552-0b36ed3e0962",
"/networking/v1/networkInterfaces/7e317638-2914-42a8-a2dd-3a6d966028d6",
"/networking/v1/networkInterfaces/834e3937-f43b-4d3c-88be-d79b04e63bce",
"/networking/v1/networkInterfaces/9d668fe6-b1c6-48fc-b8b1-b3f98f47d508",
"/networking/v1/networkInterfaces/ac4650ac-c3ef-4366-96e7-d9488fb661ba",
"/networking/v1/networkInterfaces/b9f23e35-d79e-495f-a1c9-fa626b85ae13",
"/networking/v1/networkInterfaces/fdd929f1-f64f-4463-949a-77b67fe6d048",
"/networking/v1/virtualServers/15a891ee-7509-4e1d-878d-de0cb4fa35fd",
"/networking/v1/virtualServers/57416993-b410-44fd-9675-727cd4e98930",
"/networking/v1/virtualServers/5f8aebdc-ee5b-488f-ac44-dd6b57bd316a",
"/networking/v1/virtualServers/6c812217-5931-43dc-92a8-1da3238da893",
"/networking/v1/virtualServers/d78b7fa3-812d-4011-9997-aeb5ded2b431",
"/networking/v1/virtualServers/d90820a5-635b-4016-9d6f-bf3f1e18971d",
"/networking/v1/loadBalancerMuxes/5f8aebdc-ee5b-488f-ac44-
dd6b57bd316a_suffix",
"/networking/v1/loadBalancerMuxes/d78b7fa3-812d-4011-9997-
aeb5ded2b431_suffix",
"/networking/v1/loadBalancerMuxes/d90820a5-635b-4016-9d6f-
bf3f1e18971d_suffix",
"/networking/v1/Gateways/15a891ee-7509-4e1d-878d-de0cb4fa35fd_suffix",
"/networking/v1/Gateways/57416993-b410-44fd-9675-727cd4e98930_suffix",
"/networking/v1/Gateways/6c812217-5931-43dc-92a8-1da3238da893_suffix",
"/networking/v1/virtualNetworks/b3dbafb9-2655-433d-b47d-a0e0bbac867a",
"/networking/v1/virtualNetworks/d705968e-2dc2-48f2-a263-76c7892fb143",
"/networking/v1/loadBalancers/24fa1af9-88d6-4cdc-aba0-
66e38c1a7bb8_10.127.132.2",
"/networking/v1/loadBalancers/24fa1af9-88d6-4cdc-aba0-
66e38c1a7bb8_10.127.132.3",
"/networking/v1/loadBalancers/24fa1af9-88d6-4cdc-aba0-
66e38c1a7bb8_10.127.132.4"
],
"InProgressResourcesList": [
],
"ProvisioningState": "Succeeded",
"Credential": {
"Tags": null,
"ResourceRef":
"/credentials/BackupUser",
"InstanceId": "00000000-0000-0000-
0000-000000000000",
"Etag": null,
"ResourceMetadata": null,
"ResourceId": null,
"Properties": null
) Importante
stop-service slbhostagent
stop-service nchostagent
9. Se você quiser restaurar VMs de carga de trabalho do backup, faça isso agora.
PowerShell
$cred = Get-Credential
Debug-NetworkControllerConfigurationState -NetworkController
"https://NC.contoso.com" -Credential $cred
$URI = "https://NC.contoso.com"
$Credential = Get-Credential
$ShareUserResourceId = "BackupUser"
$RestoreProperties = New-Object
Microsoft.Windows.NetworkController.NetworkControllerRestoreProperties
$RestoreProperties.RestorePath =
"\\fileshare\backups\NetworkController\2017-04-25T16_53_13"
$RestoreProperties.Credential = $ShareCredential
"Tags": null,
"ResourceRef": "/networkControllerRestore/2017-04-26T15_04_44",
"InstanceId": "22edecc8-a613-48ce-a74f-0418789f04f6",
"Etag": "W/\"f14f6b84-80a7-4b73-93b5-59a9c4b5d98e\"",
"ResourceMetadata": null,
"ResourceId": "2017-04-26T15_04_44",
"Properties": {
"RestorePath":
"\\\\sa18fs\\sa18n22\\NetworkController\\2017-04-25T16_53_13",
"ErrorMessage": null,
"FailedResourcesList": null,
"SuccessfulResourcesList": null,
"ProvisioningState": "Succeeded",
"Credential": null
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
Neste tópico, você aprenderá a configurar a segurança para toda a comunicação entre o
Controlador de Rede e outros softwares e dispositivos.
Comunicação norte
O Controlador de Rede dá suporte à autenticação, autorização e criptografia para
comunicação northbound. As seções a seguir fornecem informações sobre como definir
essas configurações de segurança.
Autenticação
Ao configurar a autenticação para a comunicação northbound do controlador de rede,
você permite que os nós de cluster do Controlador de Rede e os clientes de
gerenciamento verifiquem a identidade do dispositivo com o qual eles estão se
comunicando.
7 Observação
3. None. Use None para fins de teste em um ambiente de teste e, portanto, não é
recomendado para uso em um ambiente de produção. Quando você escolhe esse
modo, não há autenticação executada entre nós e clientes de gerenciamento.
Autorização
Ao configurar a autorização para a comunicação northbound do controlador de rede,
você permite que os nós de cluster e os clientes de gerenciamento do Controlador de
Rede verifiquem se o dispositivo com o qual eles estão se comunicando é confiável e
tem permissão para participar da comunicação.
3. None. Quando você escolhe esse modo, não há autenticação executada entre nós
e clientes de gerenciamento. Use None para fins de teste em um ambiente de
teste e, portanto, não é recomendado para uso em um ambiente de produção.
Criptografia
A comunicação no sentido norte usa sSL (Secure Sockets Layer) para criar um canal
criptografado entre clientes de gerenciamento e nós do Controlador de Rede. A
criptografia SSL para comunicação northbound inclui os seguintes requisitos:
Todos os nós do Controlador de Rede devem ter um certificado idêntico que inclua
as finalidades de Autenticação de Servidor e Autenticação de Cliente em extensões
de EKU (Uso Avançado de Chave).
Depois que o certificado for registrado, você poderá configurar o Controlador de Rede
para usar o certificado com o parâmetro -ServerCertificate do comando Install-
NetworkController Windows PowerShell. Se você já instalou o Controlador de Rede,
poderá atualizar a configuração a qualquer momento usando o comando Set-
NetworkController .
7 Observação
Autenticação
Ao configurar a autenticação para a comunicação do Cluster do Controlador de Rede,
você permite que os nós de cluster do Controlador de Rede verifiquem a identidade dos
outros nós com os quais eles estão se comunicando.
O Controlador de Rede dá suporte aos três modos de autenticação a seguir entre nós
do Controlador de Rede.
7 Observação
Se você implantar o Controlador de Rede usando o SCVMM, somente o modo
Kerberos terá suporte.
1. Kerberos. Você pode usar a autenticação Kerberos quando todos os nós de cluster
do Controlador de Rede forem ingressados em um domínio do Active Directory,
com contas de domínio usadas para autenticação.
3. None. Quando você escolhe esse modo, não há nenhuma autenticação executada
entre nós do Controlador de Rede. Esse modo é fornecido apenas para fins de
teste e não é recomendado para uso em um ambiente de produção.
Autorização
Ao configurar a autorização para a comunicação do Cluster do Controlador de Rede,
você permite que os nós de cluster do Controlador de Rede verifiquem se os nós com
os quais eles estão se comunicando são confiáveis e têm permissão para participar da
comunicação.
3. None. Quando você escolhe esse modo, não há autorização executada entre nós
do Controlador de Rede. Esse modo é fornecido apenas para fins de teste e não é
recomendado para uso em um ambiente de produção.
Criptografia
A comunicação entre nós do Controlador de Rede é criptografada usando a criptografia
de nível de transporte do WCF. Essa forma de criptografia é usada quando os métodos
de autenticação e autorização são certificados Kerberos ou X509. Para obter mais
informações, consulte os tópicos a seguir.
Comunicação de southbound
O Controlador de Rede interage com diferentes tipos de dispositivos para comunicação
southbound. Essas interações usam protocolos diferentes. Por isso, há requisitos
diferentes para autenticação, autorização e criptografia, dependendo do tipo de
dispositivo e protocolo usado pelo Controlador de Rede para se comunicar com o
dispositivo.
Autenticação
Para comunicação southbound, os protocolos e métodos de autenticação a seguir são
usados.
Para autenticação no sentido sul, você pode usar o mesmo certificado SSL
configurado para criptografar a comunicação com os clientes northbound. Você
também deve configurar um certificado no SLB MUX e nos dispositivos host. O
nome da entidade do certificado deve ser o mesmo que o nome DNS do
dispositivo.
Autorização
Para comunicação southbound, os protocolos e métodos de autorização a seguir são
usados.
2. WinRM. Se o Kerberos estiver sendo usado, a conta do cliente WinRM deverá estar
presente em um grupo predefinido no Active Directory ou no grupo
Administradores Locais no servidor. Se os certificados estiverem sendo usados, o
cliente apresentará um certificado ao servidor que o servidor autoriza usando o
nome/emissor da entidade e o servidor usará uma conta de usuário mapeada para
executar a autenticação.
Criptografia
Para comunicação southbound, os métodos de criptografia a seguir são usados para
protocolos.
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
Você pode usar este tópico para saber como gerenciar certificados para comunicações
do Controlador de Rede norte e sul ao implantar o SDN (Software Defined Networking)
no Windows Server 2019 ou 2016 Datacenter e você estiver usando o System Center
Virtual Machine Manager (SCVMM) como seu cliente de gerenciamento do SDN.
7 Observação
1. Criptografar a comunicação northbound com SSL (Secure Sockets Layer) entre nós
do Controlador de Rede e clientes de gerenciamento, como System Center Virtual
Machine Manager.
2. Autenticação entre nós do Controlador de Rede e dispositivos e serviços de
direção sul, como hosts Hyper-V e SLBs (Balanceadores de Carga de Software).
7 Observação
Vários nós
Sintaxe
PowerShell
New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong
Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("
<NCRESTName>")
Uso de exemplo
PowerShell
Nó único
Você pode usar o comando New-SelfSignedCertificate Windows PowerShell para criar
um certificado autoassinado.
Sintaxe
PowerShell
Uso de exemplo
PowerShell
7 Observação
Você pode usar CAs ou ferramentas de terceiros, como openssl, para criar um
certificado para uso com o Controlador de Rede, no entanto, as instruções neste
tópico são específicas para o AD CS. Para saber como usar uma AC ou ferramenta
de terceiros, consulte a documentação do software que você está usando.
7 Observação
7 Observação
No MMC certificados, clique no repositório Pessoal para exibir o certificado que você
registrou da AC.
Quando terminar, atualize essas pastas na Biblioteca SCVMM e verifique se você tem
esses certificados copiados. Continue com a Configuração e a Implantação do Modelo
de Serviço do Controlador de Rede.
Esse é o motivo pelo qual o certificado SSL deve ter o EKU de Autenticação do Cliente
configurado. Esse certificado é configurado no recurso REST "Servidores" (os hosts
Hyper-V são representados no Controlador de Rede como um recurso de servidor) e
podem ser exibidos executando o comando Windows PowerShell Get-
NetworkControllerServer.
"resourceId": "host31.fabrikam.com",
"properties": {
"connections": [
"managementAddresses": [
"host31.fabrikam.com"
],
"credential": {
"resourceRef": "/credentials/a738762f-f727-43b5-9c50-
cf82a70221fa"
},
"credentialType": "X509Certificate"
],
Para autenticação mútua, o host Hyper-V também deve ter um certificado para se
comunicar com o Controlador de Rede.
"resourceId": "slbmux1.fabrikam.com",
"properties": {
"connections": [
"managementAddresses": [
"slbmux1.fabrikam.com"
],
"credential": {
"resourceRef": "/credentials/a738762f-f727-43b5-9c50-
cf82a70221fa"
},
"credentialType": "X509Certificate"
],
Para autenticação mútua, você também deve ter um certificado nos dispositivos MUX
SLB. Esse certificado é configurado automaticamente pelo SCVMM quando você
implanta o balanceador de carga de software usando o SCVMM.
) Importante
O Controlador de Rede e os certificados MUX SLB devem ser confiáveis uns com os
outros (o certificado raiz do certificado MUX do SLB deve estar presente no repositório
Autoridades de Certificação Raiz Confiáveis do computador controlador de rede e vice-
versa). Quando você estiver usando certificados autoassinados, o SCVMM garante que
os certificados necessários estejam presentes no repositório Autoridades de Certificação
Raiz Confiáveis para o Computador Local.
Renovar certificados do Controlador de
Rede antes que eles expirem
Artigo • 23/02/2023 • 6 minutos para o fim da leitura
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022 e
Windows Server 2019
) Importante
Em sua infraestrutura de SDN (Rede Definida por Software), o Controlador de Rede usa
a autenticação baseada em certificado para proteger canais de comunicação
northbound com clientes de gerenciamento e comunicações southbound com
dispositivos de rede, como o software Load Balancer. Os certificados do Controlador de
Rede vêm com um período de validade, após o qual eles se tornam inválidos e não
podem mais ser confiáveis para uso. Você deve renová-los antes que eles expirem.
Para obter informações de visão geral sobre o Controlador de Rede, consulte O que é o
Controlador de Rede?
7 Observação
Se você renovar certificados existentes com a mesma chave, você está pronto
e não precisa fazer nada.
Você deseja substituir um certificado autoassinado por um certificado assinado
pela AC (Autoridade de Certificação).
7 Observação
2 Aviso
Não deixe que esse certificado expire. Renove-os antes da expiração para evitar
problemas de autenticação. Além disso, não remova nenhum certificado expirado
existente antes de renová-los. Para descobrir a data de validade de um certificado,
consulte Exibir expiração do certificado, abaixo.
PowerShell
7 Observação
PowerShell
PowerShell
$targetCertPrivKey = $Cert.PrivateKey
"$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object
{$_.Name -eq
$targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
$accessRule = new-object
System.Security.AccessControl.FileSystemAccessRule $permission
$privKeyAcl.AddAccessRule($accessRule)
PowerShell
# Ensure that you copy the pfx file into the local machine before
importing the cert
Aqui está um comando de exemplo para importar a chave pública do certificado que já
foi exportada:
PowerShell
Para alterar o certificado que o Controlador de Rede usa para comunicação northbound,
execute o seguinte comando em qualquer uma das VMs do Controlador de Rede:
PowerShell
PowerShell
Para alterar o certificado que o Controlador de Rede usa para se comunicar com hosts e
Balanceadores de Carga de Software, execute o seguinte comando:
PowerShell
Renovar certificados de nó
Para renovar o certificado de nó do Controlador de Rede, execute as seguintes etapas
em cada VM do Controlador de Rede:
PowerShell
PowerShell
$targetCertPrivKey = $Cert.PrivateKey
"$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object
{$_.Name -eq
$targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
$accessRule = new-object
System.Security.AccessControl.FileSystemAccessRule $permission
$privKeyAcl.AddAccessRule($accessRule)
PowerShell
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019
Ler servicePrincipalName
Gravar servicePrincipalName
Para uma atualização do Windows Server 2016 para o Windows Server 2019 e você
escolheu Kerberos para autenticação de cliente REST, as operações REST não são
bloqueadas, garantindo transparência para implantações de produção existentes.
Se o SPN não estiver registrado, a autenticação do cliente REST usará NTLM, o que é
menos seguro. Você também obtém um evento crítico no canal Administração do canal
de eventos NetworkController-Framework solicitando que você forneça permissões aos
nós do Controlador de Rede para registrar o SPN. Depois de fornecer permissão, o
Controlador de Rede registrará o SPN automaticamente e todas as operações de cliente
usarão Kerberos.
Dica
Aplica-se a: Azure Stack HCI, versões 22H2, 21H2 e 20H2; Windows Server 2022,
Windows Server 2019 Windows Server 2016
Este tópico fornece instruções para configurar NSGs (grupos de segurança de rede) para
gerenciar o fluxo de tráfego de dados usando o SDN (Firewall do Datacenter para Rede
Definida por Software) no Azure Stack HCI usando Windows PowerShell. Habilite e
configure o Firewall do Datacenter criando grupos de segurança de rede que são
aplicados a uma sub-rede ou a um adaptador de rede. Os scripts de exemplo neste
tópico usam comandos Windows PowerShell exportados do módulo
NetworkController. Você também pode usar Windows Admin Center para configurar e
gerenciar grupos de segurança de rede.
Use as entradas na tabela a seguir para criar um conjunto de regras que permitem todo
o tráfego de rede de entrada e saída.
Neste exemplo, você cria um grupo de segurança de rede com duas regras:
PowerShell
Enter-PSSession <server-name>
PowerShell
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule1.Properties = $ruleproperties
$aclrule1.ResourceId = "AllowAll_Inbound"
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "110"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule2.Properties = $ruleproperties
$aclrule2.ResourceId = "AllowAll_Outbound"
$acllistproperties = new-object
Microsoft.Windows.NetworkController.AccessControlListProperties
7 Observação
O grupo de segurança de rede criado pelo script de exemplo abaixo, identificado pela
sub-rede de ID do recurso sub-rede-192-168-0-0, agora pode ser aplicado a uma sub-
rede de rede virtual que usa o endereço de sub-rede "192.168.0.0/24". Qualquer
adaptador de rede anexado a essa sub-rede de rede virtual obtém automaticamente as
regras de grupo de segurança de rede acima aplicadas.
Veja a seguir um exemplo de script para criar esse grupo de segurança de rede usando
a API REST do Controlador de Rede:
PowerShell
import-module networkcontroller
$ncURI = "https://mync.contoso.local"
$aclrules = @()
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "192.168.0.1"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.1"
$ruleproperties.Priority = "101"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Outbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "192.168.0.0/24"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "102"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.0/24"
$ruleproperties.Priority = "103"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Outbound"
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "104"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object
Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "105"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Outbound"
$aclrules += $aclrule
$acllistproperties = new-object
Microsoft.Windows.NetworkController.AccessControlListProperties
$acllistproperties.AclRules = $aclrules
Dica
PowerShell
PowerShell
PowerShell
$nic.properties.ipconfigurations[0].properties.AccessControlList =
$acl
PowerShell
new-networkcontrollernetworkinterface -ConnectionUri $uri -Properties
$nic.properties -ResourceId $nic.resourceid
PowerShell
PowerShell
$nic.properties.ipconfigurations[0].properties.AccessControlList =
$null
PowerShell
Auditoria de firewall
Introduzida no Windows Server 2019, a auditoria de firewall é uma nova funcionalidade
para o Firewall do Datacenter que registra qualquer fluxo processado pelas regras de
firewall do SDN. Todos os grupos de segurança de rede que têm o registro em log
habilitado são registrados. Os arquivos de log devem estar em uma sintaxe consistente
com os logs de fluxo do Azure Observador de Rede. Esses logs podem ser usados para
diagnóstico ou arquivados para análise posterior.
Aqui está um script de exemplo para habilitar a auditoria de firewall nos servidores host.
Atualize as variáveis no início e execute-as em um cluster do Azure Stack HCI com o
Controlador de Rede implantado:
PowerShell
$logpath = "C:\test\log1"
$uri = "https://sa18n22sdn.sa18.nttest.microsoft.com"
param(
$Path
} -argumentlist $LogPath
$AuditProperties = new-object
Microsoft.Windows.NetworkController.AuditingSettingsProperties
$AuditProperties.OutputDirectory = $logpath
$s.properties.AuditingEnabled = @("Firewall")
Uma vez habilitado, um novo arquivo aparece no diretório especificado em cada host
cerca de uma vez por hora. Você deve processar periodicamente esses arquivos e
removê-los dos hosts. O arquivo atual tem comprimento zero e fica bloqueado até ser
liberado na marca da próxima hora:
syntax
PS C:\test\log1> dir
Directory: C:\test\log1
syntax
"records": [
"properties":{
"Version":"1.0",
"flows":[
"flows":[
{
"flowTuples":
["1531963580,192.122.0.22,192.122.255.255,138,138,U,I,A"],
"portId":"9",
"portName":"7290436D-0422-498A-8EB8-
C6CF5115DACE"
],
"rule":"Allow_Inbound"
},
"operationName":"NetworkSecurityGroupFlowEvents",
"resourceId":"394f647d-2ed0-4c31-87c5-389b8c0c8132",
"time":"20180719:L012620622",
"category":"NetworkSecurityGroupFlowEvent",
"systemId":"d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a"
},
Observe que o registro em log ocorre apenas para regras que têm o registro em log
definido como Habilitado, por exemplo:
syntax
{
"Tags": null,
"ResourceRef": "/accessControlLists/AllowAll",
"InstanceId": "4a63e1a5-3264-4986-9a59-4e77a8b107fa",
"Etag": "W/\"1535a780-0fc8-4bba-a15a-093ecac9b88b\"",
"ResourceMetadata": null,
"ResourceId": "AllowAll",
"Properties": {
"ConfigurationState": null,
"ProvisioningState": "Succeeded",
"AclRules": [
"ResourceMetadata": null,
"ResourceRef":
"/accessControlLists/AllowAll/aclRules/AllowAll_Inbound",
"InstanceId": "ba8710a8-0f01-
422b-9038-d1f2390645d7",
"Etag": "W/\"1535a780-0fc8-
4bba-a15a-093ecac9b88b\"",
"ResourceId":
"AllowAll_Inbound",
"Properties": {
"Protocol":
"All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action":
"Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority":
"101",
"Description": null,
"Type":
"Inbound",
"Logging":
"Enabled",
"ProvisioningState": "Succeeded"
}
},
"ResourceMetadata": null,
"ResourceRef":
"/accessControlLists/AllowAll/aclRules/AllowAll_Outbound",
"InstanceId": "068264c6-2186-
4dbc-bbe7-f504c6f47fa8",
"Etag": "W/\"1535a780-0fc8-
4bba-a15a-093ecac9b88b\"",
"ResourceId":
"AllowAll_Outbound",
"Properties": {
"Protocol":
"All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action":
"Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority":
"110",
"Description": null,
"Type":
"Outbound",
"Logging":
"Enabled",
"ProvisioningState": "Succeeded"
}
],
"IpConfigurations": [
],
"Subnets": [
"ResourceMetadata": null,
"ResourceRef":
"/virtualNetworks/10_0_1_0/subnets/Subnet1",
"InstanceId": "00000000-0000-
0000-0000-000000000000",
"Etag": null,
"ResourceId": null,
"Properties": null
Próximas etapas
Para obter informações relacionadas, consulte também:
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
O peering de rede virtual permite que você conecte duas redes virtuais perfeitamente.
Uma vez pares, para fins de conectividade, as redes virtuais aparecem como uma.
O tráfego entre máquinas virtuais nas redes virtuais ponto a ponto é roteado por
meio da infraestrutura de backbone apenas por meio de endereços IP privados. A
comunicação entre as redes virtuais não exige a Internet ou gateways públicos.
Baixa latência, conexão com largura de banda alta entre os recursos em redes
virtuais diferentes.
Requisitos e restrições
O peering de rede virtual tem alguns requisitos e restrições:
Depois de fazer o par de uma rede virtual com outra rede virtual, você não poderá
adicionar ou excluir intervalos de endereços no espaço de endereço.
Dica
1. Remova o peering.
2. Adicione o espaço de endereço.
3. Adicione o peering novamente.
Como o peering de rede virtual está entre duas redes virtuais, não há nenhuma
relação transitiva derivada entre os pares. Por exemplo, se você fizer o par
virtualNetworkA com virtualNetworkB e virtualNetworkB com virtualNetworkC,
virtualNetworkA não será ponto a ponto com virtualNetworkC.
Conectividade
Depois que você faz o par de redes virtuais, os recursos em qualquer rede virtual podem
se conectar diretamente com recursos na rede virtual peered.
A latência de rede entre máquinas virtuais em redes virtuais peered é a mesma que
a latência em uma única rede virtual.
Você pode aplicar ACLs (listas de controle de acesso) em qualquer rede virtual para
bloquear o acesso a outras redes virtuais ou sub-redes, se desejado. Se você abrir a
conectividade completa entre redes virtuais ponto a ponto (que é a opção padrão),
poderá aplicar ACLs a sub-redes ou máquinas virtuais específicas para bloquear ou
negar acesso específico. Para saber mais sobre ACLs, consulte Usar ACLs (listas de
controle de acesso) para gerenciar o tráfego de rede do datacenter Flow.
Encadeamento de serviços
Você pode configurar rotas definidas pelo usuário que apontam para máquinas virtuais
em redes virtuais pares como o endereço IP do próximo salto, para habilitar o
encadeamento de serviço. O encadeamento de serviço permite direcionar o tráfego de
uma rede virtual para uma dispositivo virtual, em uma rede virtual em pares, por meio
de rotas definidas pelo usuário.
Você pode implantar redes hub-spoke, em que a rede virtual do hub pode hospedar
componentes de infraestrutura, como uma dispositivo de rede virtual. Todas as redes
virtuais do spoke são emparelhadas com a rede virtual do hub. O tráfego pode fluir por
meio de dispositivos de virtualização de rede na rede virtual do hub.
O peering de rede virtual permite que o próximo salto em uma rota definida pelo
usuário seja o endereço IP de uma máquina virtual na rede virtual peered. Para saber
mais sobre rotas definidas pelo usuário, consulte Usar dispositivos de virtualização de
rede em uma rede virtual.
Monitoramento
Ao fazer o par de duas redes virtuais, você deve configurar um peering para cada rede
virtual no peering.
Você pode monitorar o status da conexão de peering, que pode estar em um dos
seguintes estados:
Iniciado: Mostrado quando você cria o peering da primeira rede virtual para a
segunda rede virtual.
Próximas etapas
Configurar o peering de rede virtual: neste procedimento, você usa o Windows
PowerShell para encontrar a rede lógica do provedor de HNV para criar duas redes
virtuais, cada uma com uma sub-rede. Você também configura o peering entre as duas
redes virtuais.
Configure emparelhamento de rede
virtual
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Neste procedimento, você usa o Windows PowerShell para criar duas redes virtuais,
cada uma com uma sub-rede. Em seguida, configure o peering entre as duas redes
virtuais para habilitar a conectividade entre elas.
Etapa 3. Configurar o peering da primeira rede virtual para a segunda rede virtual
Etapa 4. Configurar o peering da segunda rede virtual para a primeira rede virtual
) Importante
PowerShell
$HNVProviderLogicalNetwork = $ln
$vsubnet.ResourceId = "Contoso"
$vsubnet.Properties = new-object
Microsoft.Windows.NetworkController.VirtualSubnetProperties
$vsubnet.Properties.AddressPrefix = "24.30.1.0/24"
$uri=”https://restserver”
$vnetproperties = new-object
Microsoft.Windows.NetworkController.VirtualNetworkProperties
$vnetproperties.AddressSpace = new-object
Microsoft.Windows.NetworkController.AddressSpace
$vnetproperties.AddressSpace.AddressPrefixes = @("24.30.1.0/24")
$vnetproperties.LogicalNetwork = $HNVProviderLogicalNetwork
$vnetproperties.Subnets = @($vsubnet)
PowerShell
$vsubnet.ResourceId = "Woodgrove"
$vsubnet.Properties = new-object
Microsoft.Windows.NetworkController.VirtualSubnetProperties
$vsubnet.Properties.AddressPrefix = "24.30.2.0/24"
$uri=”https://restserver”
$vnetproperties = new-object
Microsoft.Windows.NetworkController.VirtualNetworkProperties
$vnetproperties.AddressSpace = new-object
Microsoft.Windows.NetworkController.AddressSpace
$vnetproperties.AddressSpace.AddressPrefixes = @("24.30.2.0/24")
$vnetproperties.LogicalNetwork = $HNVProviderLogicalNetwork
$vnetproperties.Subnets = @($vsubnet)
PowerShell
$peeringProperties = New-Object
Microsoft.Windows.NetworkController.VirtualNetworkPeeringProperties
$peeringProperties.remoteVirtualNetwork = $vnet2
$peeringProperties.allowVirtualnetworkAccess = $true
$peeringProperties.allowForwardedTraffic = $true
#Indicates whether the peer virtual network can access this virtual networks
gateway
$peeringProperties.allowGatewayTransit = $false
#Indicates whether this virtual network uses peer virtual networks gateway
$peeringProperties.useRemoteGateways =$false
) Importante
PowerShell
$peeringProperties = New-Object
Microsoft.Windows.NetworkController.VirtualNetworkPeeringProperties
$peeringProperties.remoteVirtualNetwork = $vnet2
$peeringProperties.allowVirtualnetworkAccess = $true
$peeringProperties.allowForwardedTraffic = $true
# Indicates whether the peer virtual network can access this virtual
network's gateway
$peeringProperties.allowGatewayTransit = $false
# Indicates whether this virtual network will use peer virtual network's
gateway
$peeringProperties.useRemoteGateways =$false
Depois de criar esse peering, o status de peering vnet mostra Conectado para ambos os
pares. Agora, as máquinas virtuais em uma rede virtual podem se comunicar com
máquinas virtuais na rede virtual peered.
Desempenho do Gateway do Windows
Server 2019
Artigo • 18/01/2023 • 3 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Azure Stack HCI, versões
21H2 e 20H2
Para conexões IPsec, por padrão, ao criar a conexão para suas redes virtuais, você
obtém o caminho de dados Windows Server 2016 e os números de desempenho. Para
habilitar o caminho de dados do Windows Server 2019, faça o seguinte:
Dica
Para obter os melhores resultados de desempenho, verifique se
cipherTransformationConstant e authenticationTransformConstant nas
configurações quickMode da conexão IPsec usa o conjunto de criptografias
GCMAES256 .
Veja abaixo um exemplo rest de conexão IPsec com algoritmos de segurança ideais:
PowerShell
# NOTE: The virtual gateway must be created before creating the IPsec
connection. More details here.
$nwConnectionProperties = New-Object
Microsoft.Windows.NetworkController.NetworkConnectionProperties
$nwConnectionProperties.ConnectionType = "IPSec"
$nwConnectionProperties.OutboundKiloBitsPerSecond = 2000000
$nwConnectionProperties.InboundKiloBitsPerSecond = 2000000
$nwConnectionProperties.IpSecConfiguration = New-Object
Microsoft.Windows.NetworkController.IpSecConfiguration
$nwConnectionProperties.IpSecConfiguration.AuthenticationMethod = "PSK"
$nwConnectionProperties.IpSecConfiguration.SharedSecret = "111_aaa"
$nwConnectionProperties.IpSecConfiguration.QuickMode = New-Object
Microsoft.Windows.NetworkController.QuickMode
$nwConnectionProperties.IpSecConfiguration.QuickMode.PerfectForwardSecrecy =
"PFS2048"
$nwConnectionProperties.IpSecConfiguration.QuickMode.AuthenticationTransform
ationConstant = "GCMAES256"
$nwConnectionProperties.IpSecConfiguration.QuickMode.CipherTransformationCon
stant = "GCMAES256"
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeSeconds =
3600
$nwConnectionProperties.IpSecConfiguration.QuickMode.IdleDisconnectSeconds =
500
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeKiloBytes =
2000
$nwConnectionProperties.IpSecConfiguration.MainMode = New-Object
Microsoft.Windows.NetworkController.MainMode
$nwConnectionProperties.IpSecConfiguration.MainMode.DiffieHellmanGroup =
"Group2"
$nwConnectionProperties.IpSecConfiguration.MainMode.IntegrityAlgorithm =
"SHA256"
$nwConnectionProperties.IpSecConfiguration.MainMode.EncryptionAlgorithm =
"AES256"
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeSeconds =
28800
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeKiloBytes =
2000
$nwConnectionProperties.IPAddresses = @()
$nwConnectionProperties.PeerIPAddresses = @()
# Update the IPv4 Routes that are reachable over the site-to-site VPN Tunnel
$nwConnectionProperties.Routes = @()
$ipv4Route.metric = 10
$nwConnectionProperties.Routes += $ipv4Route
# Add the new Network Connection for the tenant. Note that the virtual
gateway must be created before creating the IPsec connection. $uri is the
REST URI of your deployment and must be in the form of “https://<REST URI>”
Resultados de teste
Fizemos testes de desempenho extensivos para os gateways de SDN em nossos
laboratórios de teste. Nos testes, comparamos o desempenho de rede do gateway com
o Windows Server 2019 em cenários de SDN e cenários não SDN. Você pode encontrar
os resultados e os detalhes da configuração de teste capturados no artigo do blog
aqui .
Alocação de largura de banda de
gateway
Artigo • 06/01/2023 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Azure Stack HCI, versões
22H2, 21H2 e 20H2
Em Windows Server 2016, a largura de banda de túnel individual para IPsec, GRE e L3 foi
uma proporção da capacidade total do gateway. Portanto, os clientes forneceriam a
capacidade do gateway com base na largura de banda TCP padrão que esperava isso
fora da VM do gateway.
Além disso, a largura de banda máxima do túnel IPsec no gateway foi limitada a
(3/20)*Capacidade de gateway fornecida pelo cliente. Portanto, por exemplo, se você
definir a capacidade do gateway como 1000 Mbps, a capacidade do túnel IPsec será de
150 Mbps. As taxas equivalentes para túneis GRE e L3 são 1/5 e 1/2, respectivamente.
Embora isso tenha funcionado para a maioria das implantações, o modelo de taxa fixa
não era apropriado para ambientes de alta taxa de transferência. Mesmo quando as
taxas de transferência de dados eram altas (digamos, mais de 40 Gbps), a taxa de
transferência máxima de túneis de gateway de SDN foi limitada devido a fatores
internos.
No Windows Server 2019, para um tipo de túnel, a taxa de transferência máxima é fixa.
Mesmo que o host/VM do gateway dê suporte a NICs com taxa de transferência muito
maior, a taxa de transferência máxima de túnel disponível é fixa. Outro problema que
isso cuida é o excesso de provisionamento arbitrário de gateways, o que acontece ao
fornecer um número muito alto para a capacidade do gateway.
IPsec = 5 Gbps
GRE = 15 Gbps
L3 = 5 Gbps
7 Observação
Por padrão, a alocação de largura de banda IPsec usa Windows Server 2016
comportamento descrito posteriormente neste artigo. Para obter a taxa de
transferência máxima (5 Gbps), siga estas etapas em cada VM de gateway:
PowerShell
2. Reinicie a VM do gateway.
Se estiver usando um gateway somente para conexões IPsec, a capacidade fixa máxima
disponível será de 5 Gbps. Portanto, por exemplo, se você provisionar conexões IPsec no
gateway, só poderá provisionar para uma largura de banda agregada (entrada + saída)
como 5 Gbps.
Se estiver usando o gateway para conectividade IPsec e GRE, você poderá provisionar
no máximo 5 Gbps de taxa de transferência IPsec ou no máximo 15 Gbps de taxa de
transferência GRE. Portanto, por exemplo, se você provisionar 2 Gbps de taxa de
transferência IPsec, terá 3 Gbps de taxa de transferência IPsec restantes para provisionar
no gateway ou 9 Gbps de taxa de transferência GRE restantes.
Por exemplo, se você alocar 2 Gbps de taxa de transferência IPsec para um cliente:
5-2 = 3 Gbps
Taxa de transferência GRE restante que você pode alocar no gateway = Capacidade
restante da taxa de transferência de gateway/GRE
15*3/5 = 9 Gbps
Além disso, se a capacidade do gateway for menor que a capacidade total de túnel
disponível, a capacidade total de túnel disponível será definida como a capacidade do
gateway. Por exemplo, se você definir a capacidade do gateway como 4 Gbps, a
capacidade total disponível para IPsec, L3 e GRE será definida como 4 Gbps, deixando a
taxa de taxa de transferência para cada túnel como 1 Gbps.
Se você estiver atualizando do Windows Server 2016 para o Windows Server 2019:
1. Túneis GRE e L3: A lógica de alocação do Windows Server 2019 entra em vigor
depois que os nós do Controlador de Rede são atualizados para o Windows Server
2019
7 Observação
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Os tópicos desta seção fornecem informações sobre como solucionar problemas das
tecnologias de SDN (Rede Definida por Software) incluídas no Azure Stack HCI,
Windows Server 2019 e Windows Server 2016.
7 Observação
Para documentação adicional de Rede Definida pelo Software, você pode usar as
seções de biblioteca a seguir.
Tecnologias SDN
Planejar O SDN
Implantar SDN
Gerenciar SDN
Segurança para SDN
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Azure Stack HCI, versões 21H2 e 20H2
Este guia examina os erros comuns de SDN (Rede Definida por Software) e cenários de
falha e descreve um fluxo de trabalho de solução de problemas que usa as ferramentas
de diagnóstico disponíveis.
Para obter mais informações sobre o SDN, consulte Rede Definida pelo Software.
Tipos de erro
A lista a seguir representa a classe de problemas mais frequentemente visto com
Virtualização de Rede Hyper-V (HNVv1) no Windows Server 2012 R2 de implantações de
produção no mercado e coincide de várias maneiras com os mesmos tipos de
problemas vistos em Windows Server 2016 HNVv2 com a nova pilha SDN (Rede
Definida por Software).
Este guia de solução de problemas examina cada uma dessas categorias de erro e
recomenda as melhores práticas e ferramentas de diagnóstico disponíveis para
identificar e corrigir o erro.
Ferramentas de diagnóstico
Antes de discutir os fluxos de trabalho de solução de problemas para cada um desses
tipos de erros, vamos examinar as ferramentas de diagnóstico disponíveis.
PowerShell
Import-Module NetworkControllerDiagnostics
PowerShell
Import-Module hnvdiagnostics
GitHub
O Microsoft/SDN GitHub Repo tem muitos scripts de exemplo e fluxos de trabalho
que se baseiam nesses cmdlets in-box. Em particular, scripts de diagnóstico podem ser
encontrados na pasta Diagnóstico . Ajude-nos a contribuir para esses scripts enviando
solicitações de pull.
7 Observação
$cred = Get-Credential
----------------------------------------------------------------------------
-----------------------------
ResourcePath: https://10.127.132.211/Networking/v1/servers/4c4c4544-
0056-4b10-8058-b8c04f395931
Status: Warning
Source: SoftwareLoadBalancerManager
Code: HostNotConnectedToController
----------------------------------------------------------------------------
------------------------------
7 Observação
CertificateNotTrusted
Falha ao se Verifique o código numérico
CertificateNotAuthorized conectar ao Mux fornecido no código da mensagem
devido a erros de de erro: isso corresponde ao
rede ou certificado código de erro winsock. Os erros
de certificado são granulares (por
exemplo, o certificado não pode
ser verificado, certificado não
autorizado etc.)
Código Mensagem Ação
7 Observação
# Successful output
Get-Service SlbHostAgent
Get-Service NcHostAgent
none
ControllerService
ApiService
SlbManagerService
ServiceInsertion
FirewallService
VSwitchService
GatewayManager
FnmService
HelperService
UpdateService
```powershell
Get-NetworkControllerReplica
ReplicaRole : Primary
NodeName : SA18N30NC3.sa18.nttest.microsoft.com
ReplicaStatus : Ready
PowerShell
Get-ItemProperty
"hklm:\system\currentcontrolset\services\nchostagent\parameters" -Name
HostId |fl HostId
HostId : **162cd2c8-08d4-4298-8cb4-10c2977e3cfe**
Tags :
ResourceRef : /servers/4c4c4544-0056-4a10-8059-b8c04f395931
InstanceId : **162cd2c8-08d4-4298-8cb4-10c2977e3cfe**
Etag : W/"50f89b08-215c-495d-8505-0776baab9cb3"
ResourceMetadata : Microsoft.Windows.NetworkController.ResourceMetadata
ResourceId : 4c4c4544-0056-4a10-8059-b8c04f395931
Properties : Microsoft.Windows.NetworkController.ServerProperties
Verifique se as impressões digitais dos certificados X.509 usados pelo host Hyper-V (o
nome do host será o Nome da Entidade do certificado) para comunicação (SouthBound)
entre o host hyper-v (serviço do Agente de Host NC) e os nós do Controlador de Rede
são iguais. Verifique também se o certificado REST do Controlador de Rede tem o nome
da entidade CN=<FQDN ou IP>.
# On Hyper-V Host
dir cert:\\localmachine\my
Thumbprint Subject
---------- -------
2A3A674D07D8D7AE11EBDAC25B86441D68D774F9 CN=SA18n30-
4.sa18.nttest.microsoft.com
...
dir cert:\\localmachine\root
Thumbprint Subject
---------- -------
dir cert:\\localmachine\root
Thumbprint Subject
---------- -------
2A3A674D07D8D7AE11EBDAC25B86441D68D774F9 CN=SA18n30-
4.sa18.nttest.microsoft.com
...
Você também pode verificar os parâmetros a seguir de cada certificado para verificar se
o nome da entidade é o esperado (nome do host ou NC REST FQDN ou IP), o certificado
ainda não expirou e se todas as autoridades de certificado na cadeia de certificados
estão incluídas na autoridade raiz confiável.
Nome do assunto
Data de Validade
Confiável por autoridade raiz
O Estado de Configuração do SLB pode ser determinado como parte da saída para o
cmdlet Debug-NetworkController. Esse cmdlet também produzirá o conjunto atual de
recursos do Controlador de Rede em arquivos JSON, todas as configurações de IP de
cada host do Hyper-V (servidor) e a política de rede local das tabelas de banco de
dados do Agente de Host.
Mais rastreamentos serão coletados por padrão. Para não coletar rastreamentos,
adicione o parâmetro -IncludeTraces:$false.
$cred = Get-Credential
7 Observação
Fabric
SlbmVips – Esta seção lista o endereço IP do endereço VIP do Gerenciador SLB,
que é usado pelo Controlador de Rede para coordenar a configuração e a
integridade entre os Muxes SLB e os Agentes de Host SLB.
MuxState – Esta seção listará um valor para cada SLB Mux implantado,
fornecendo o estado do mux
Configuração do roteador – Esta seção listará o NÚMERO do Sistema
Autônomo (ASN) do Roteador Upstream (Par BGP), o Endereço IP de Trânsito e
a ID. Ele também listará o ASN do SLB Muxes e o IP de trânsito.
Informações do Host Conectado – Esta seção listará o endereço IP de
Gerenciamento de todos os hosts Hyper-V disponíveis para executar cargas de
trabalho com balanceamento de carga.
Intervalos Vip – Esta seção listará os intervalos de pools de IP VIP públicos e
privados. O VIP do SLBM será incluído como um IP alocado de um desses
intervalos.
Rotas do Mux – esta seção listará um valor para cada SLB Mux implantado
contendo todos os anúncios de rota para esse mux específico.
Locatário
VipConsolidatedState - Esta seção listará o estado de conectividade para cada
VIP do Locatário, incluindo prefixo de rota anunciado, host Hyper-V e pontos de
extremidade DIP.
7 Observação
Validação de gateway
Do Controlador de Rede:
PowerShell
Get-NetworkControllerLogicalNetwork
Get-NetworkControllerPublicIPAddress
Get-NetworkControllerGatewayPool
Get-NetworkControllerGateway
Get-NetworkControllerVirtualGateway
Get-NetworkControllerNetworkInterface
Na VM do Gateway:
PowerShell
Get-NetBgpRouter
Get-NetBgpRouter | Get-BgpPeer
Get-NetBgpRouter | Get-BgpRouteInformation
PowerShell
Get-BgpRouter
Get-BgpPeer
Get-BgpRouteInformation
Além disso, dos problemas que vimos até agora (especialmente em implantações
baseadas em SDNExpress), o motivo mais comum para o Compartimento de Locatário
não ser configurado em VMs GW parece ser o fato de que a capacidade GW em
FabricConfig.psd1 é menos comparada com o que as pessoas tentam atribuir às
Conexões de Rede (Túneis S2S) em TenantConfig.psd1. Isso pode ser verificado
facilmente comparando as saídas dos seguintes comandos:
PowerShell
PowerShell
PS > Get-ProviderAddress
# Sample Output
ProviderAddress : 10.10.182.66
VLAN : VLAN11
ProviderAddress : 10.10.182.67
VLAN : VLAN11
Esses IPs (Endereços IP do Provedor de HNV) são atribuídos aos Adaptadores Ethernet
criados em um compartimento de rede TCPIP separado e têm um nome de adaptador
de VLANX em que X é a VLAN atribuída à rede lógica do Provedor HNV (transporte).
A conectividade entre dois hosts Hyper-V usando a rede lógica do Provedor de HNV
pode ser feita por um ping com um parâmetro de compartimento adicional (-c Y), em
que Y é o compartimento de rede TCPIP no qual os PAhostVNICs são criados. Esse
compartimento pode ser determinado executando:
<snip> ...
============================================================================
==
============================================================================
==
<snip> ...
DHCP Enabled. . . . . . . . . . . : No
DHCP Enabled. . . . . . . . . . . : No
<snip> ...
7 Observação
podemos executar ping entre os dois usando o comando a seguir para verificar a
conectividade de rede lógica do Provedor HNV.
PowerShell
PS C:\> Get-NetAdapter "Ethernet 4" |fl
Name : Ethernet 4
InterfaceIndex : 2
MacAddress : F4-52-14-55-BC-21
MediaType : 802.3
PhysicalMediaType : 802.3
InterfaceOperationalStatus : Up
AdminStatus : Up
LinkSpeed(Gbps) : 10
MediaConnectionState : Connected
ConnectorPresent : True
*VlanID : 0*
<snip> ...
Mgmt Access 7
<snip> ...
<snip> ...
IsolationMode : Vlan
AllowUntaggedTraffic : False
DefaultIsolationID : 7
MultiTenantStack : Off
IsTemplate : True
CimSession : CimSession: .
ComputerName : SA18N30-2
IsDeleted : False
<snip> ...
# Check whether or not your Ethernet card and driver support *EncapOverhead
Physical Nic <NIC> Ethernet Adapter can support SDN traffic. Encapoverhead
value set on the nic is 160
Para testar se a rede lógica do Provedor HNV dá suporte ou não ao tamanho maior de
MTU de ponta a ponta, use o cmdlet Test-LogicalNetworkSupportsJumboPacket :
PowerShell
# Get credentials for both source host and destination host (or use the same
credential if in the same domain)
$sourcehostcred = Get-Credential
$desthostcred = Get-Credential
# Use the Management IP Address or FQDN of the Source and Destination Hyper-
V hosts
# Failure Results
SourceCompartment : 3
Cannot send jumbo packets to the destination. Physical switch ports may not
be configured to support jumbo packets.
Cannot send jumbo packets to the destination. Physical switch ports may not
be configured to support jumbo packets.
Remediação
Ajuste o tamanho da MTU nas portas de comutador físico para ter pelo menos
1674B (incluindo cabeçalho e trailer de Ethernet de 14B)
Se o cartão NIC não oferecer suporte à palavra-chave EncapOverhead, ajuste a
palavra-chave JumboPacket para ter pelo menos 1674B
# Get all known PA-CA Mappings from this particular Hyper-V Host
PS > Get-PACAMapping
7 Observação
Com essas informações, um ping de VM de locatário agora pode ser iniciado pelo
Hoster do Controlador de Rede usando o cmdlet Test-VirtualNetworkConnection .
Cenários específicos de solução de problemas
As seções a seguir fornecem diretrizes para solucionar problemas de cenários
específicos.
7 Observação
Exemplo
PowerShell
Crie ca-ping entre "VM da Web verde 1" com IP SenderCA de 192.168.1.4 no Host
"sa18n30-2.sa18.nttest.microsoft.com" com IP Mgmt de 10.127.132.153 para IP de
ListenerCA de 192.168.1.5, ambos anexados à Sub-rede Virtual (VSID) 4114.
PowerShell
Rtt = 0 ms
CA Routing Information:
PA Routing Information:
<snip> ...
$uri = "https://sa18n30nc.sa18.nttest.microsoft.com"
Esses logs incluem logs de depuração para o cluster controlador de rede, o aplicativo
Controlador de Rede, logs de gateway, SLB, rede virtual e o firewall distribuído. Sempre
que um novo host/SLB/gateway é adicionado ao Controlador de Rede, o registro em log
é iniciado nesses computadores.
Da mesma forma, quando um host/SLB/gateway é
removido do Controlador de Rede, o registro em log é interrompido nesses
computadores.
Se você quiser restringir o acesso a esse local, poderá fornecer as credenciais de acesso
com o parâmetro LogLocationCredential . Se você fornecer as credenciais para acessar
o local do log, também deverá fornecer o parâmetro CredentialEncryptionCertificate ,
que é usado para criptografar as credenciais armazenadas localmente nos nós do
Controlador de Rede.
Local de log centralizado. Você pode alterar o local para armazenar todos os logs,
com o DiagnosticLogLocation parâmetro.
Credenciais para acessar o local do log. Você pode alterar as credenciais para
acessar o local do log, com o LogLocationCredential parâmetro.
Mover para o log local. Se você tiver fornecido o local centralizado para
armazenar logs, poderá voltar ao registro em log localmente nos nós do
Controlador de Rede com o UseLocalLogLocation parâmetro (não recomendado
devido a grandes requisitos de espaço em disco).
Escopo do registro em log. Por padrão, todos os logs são coletados. Você pode
alterar o escopo para coletar somente logs de cluster do Controlador de Rede.
Nível de log. O nível de log padrão é Informativo. Você pode alterá-lo para Erro,
Aviso ou Detalhado.
Tempo de envelhecimento do log. Os logs são armazenados de forma circular.
Você tem três dias de registro em log por padrão, seja usando registro em log
local ou registro em log centralizado. Você pode alterar esse limite de tempo com
o parâmetro LogTimeLimitInDays .
Tamanho do Envelhecimento do Log. Por padrão, você terá um máximo de 75 GB
de dados de log se estiver usando log centralizado e 25 GB se estiver usando o
registro em log local. Você pode alterar esse limite com o parâmetro
LogSizeLimitInMBs .
Se um local de arquivo não tiver sido especificado, o log local será usado em cada nó
do Controlador de Rede com logs salvos em C:\Windows\tracing\SDNDiagnostics. Esses
logs são salvos usando a seguinte hierarquia:
CrashDumps
NCApplicationCrashDumps
NCApplicationLogs
PerfCounters
SDNDiagnostics
Rastreamentos
O Controlador de Rede usa Service Fabric (Azure). Service Fabric logs podem ser
necessários ao solucionar determinados problemas. Esses logs podem ser encontrados
em cada nó do Controlador de Rede em C:\ProgramData\Microsoft\Service Fabric.
Diagnóstico de SLB
Se qualquer uma das verificações acima falhar, o estado do SLB do locatário também
estará no modo de falha.
Informações do Software Load Balancer Muxes também podem ser determinadas por
meio de Visualizador de Eventos.
7 Observação
É recomendável que você tenha esse log habilitado apenas por um curto período
de tempo enquanto tenta reproduzir um problema
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016 e
Windows 10
7 Observação
Você também pode implantar o Gateway ras como um servidor VPN multilocatário
para uso com SDN (Rede Definida por Software) ou como um servidor
DirectAccess. Para obter mais informações, consulte Gateway ras, SDN (Rede
Definida por Software) e DirectAccess.
Tópicos relacionados
Always On recursos e funcionalidades de VPN: neste tópico, você aprenderá sobre
os recursos e a funcionalidade de Always On VPN.
Configurar túneis de dispositivo VPN em Windows 10: Always On VPN oferece a
capacidade de criar um perfil vpn dedicado para dispositivo ou computador.
Always On conexões VPN incluem dois tipos de túneis: túnel de dispositivo e túnel
de usuário. O túnel do dispositivo é usado para cenários de conectividade pré-
logon e para fins de gerenciamento de dispositivo. O túnel do usuário permite que
os usuários acessem recursos da organização por meio de servidores VPN.
Always On Implantação de VPN para Windows Server 2016 e Windows 10: fornece
instruções sobre como implantar o Acesso Remoto como um gateway DE VPN de
locatário único para conexões VPN ponto a site que permitem que seus
funcionários remotos se conectem à rede da sua organização com conexões VPN
Always On. É recomendável que você examine os guias de design e implantação
para cada uma das tecnologias usadas nesta implantação.
Windows 10 Guia Técnico de VPN: orienta você pelas decisões que tomará para
Windows 10 clientes em sua solução vpn corporativa e como configurar sua
implantação. Você pode encontrar referências ao CSP (Provedor de Serviços de
Configuração) VPNv2 e fornece instruções de configuração de MDM
(gerenciamento de dispositivo móvel) usando Microsoft Intune e o modelo de
perfil VPN para Windows 10.
Como criar perfis VPN no Configuration Manager: neste tópico, você aprenderá a
criar perfis VPN no Configuration Manager.
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Se você ainda não tiver o WINS implantado em sua rede, não implante WINS – em vez
disso, implante o DNS (Sistema de Nomes de Domínio). O DNS também fornece
serviços de registro e resolução de nome de computador e inclui muitos benefícios
adicionais sobre WINS, como a integração com o Active Directory Domain Services.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2, Windows Server 2012, Windows 10 ou posterior, Azure
Stack HCI, versões 21H2 e 20H2
Tópicos relacionados
Para obter mais informações sobre a hierarquia de domínio e o sistema de pontuação,
consulte a postagem no blog "O que é Windows Serviço de Horário?".
Um adendo referenciado pelo artigo Tempo Preciso do Windows 2016 pode ser baixado
aqui
Para obter uma visão geral rápida do Serviço de Horário do Windows, assista a este
vídeo de visão geral de alto nível .
Insider Preview
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Ao receber um pacote de tempo pela rede de um servidor de horário, ele deve ser
processado pela pilha de rede do sistema operacional antes de ser consumido no
serviço de horário. Cada componente na pilha de rede introduz uma quantidade variável
de latência que afeta a precisão da medição de tempo.
Para resolver esse problema, o carimbo de data/hora do software nos permite carimbar
pacotes com data/hora antes e depois dos "Componentes de Rede do Windows"
mostrados acima para considerar o atraso no sistema operacional.
aplica-se a: Windows server 2022, Windows server 2019, Windows Server 2016,
Windows Server 2012 R2, Windows Server 2012, Windows 10 ou posterior, Azure
Stack HCI, versões 21H2 e 20H2
7 Observação
Para obter uma visão geral rápida do Serviço de Horário do Windows, assista a este
vídeo de visão geral de alto nível .
Aprimoramentos
Medidas
Práticas recomendadas
) Importante
Um adendo referenciado pelo artigo Hora precisa do Windows 2016 pode ser
baixado aqui . Esse documento fornece mais detalhes sobre nossas metodologias
de teste e medição.
7 Observação
7 Observação
7 Observação
A camada é um conceito usado nos provedores NTP e Hyper-V; o valor delas indica
a localização dos relógios na hierarquia. A camada 1 é reservada para o relógio de
nível mais alto e a camada 0 é reservada para o hardware considerado preciso e
que tenha pouco ou nenhum atraso associado a ele. A camada 2 se comunica com
os servidores da camada 1, a camada 3 com a camada 2 e assim por diante.
Embora uma camada mais baixa geralmente indique um relógio mais preciso, é
possível encontrar discrepâncias. Além disso, o W32Time aceita apenas a hora da
camada 15 ou abaixo. Para ver a camada de um cliente, use w32tm /query /status.
Referências adicionais
Aprimoramentos de precisão de tempo para o Windows Server 2016
Limite de suporte para a hora de alta
precisão
Artigo • 21/12/2022 • 4 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016 e
Windows 10 versão 1607 ou posterior, Azure Stack HCI, versões 21H2 e 20H2
) Importante
Fontes de tempo altamente precisas
) Importante
Precisão do tempo
A latência de rede única cumulativa entre o destino e a origem não deve exceder
100 ms. O atraso de rede cumulativa é medido adicionando atrasos unidirecionais
individuais entre pares de nós cliente-servidor NTP na hierarquia começando com
o destino e terminando na origem. Para obter mais informações, leia o documento
de sincronização de tempo de alta precisão.
O sistema de destino não deve ser maior do que o estrato 5 com base em uma
fonte de horário altamente precisa
7 Observação
A utilização média de CPU de um dia em todos os estratos não deve exceder 90%
Para sistemas virtualizados, a utilização média de um dia da CPU do host não deve
exceder 90%
O computador de destino deve ter latência de rede melhor que 0,1 ms entre a
fonte de horário
O sistema de destino não deve ser maior do que o estrato 5 com base em uma
fonte de horário altamente precisa
7 Observação
A utilização média de CPU de um dia em cada estrato não deve exceder 80%
Para sistemas virtualizados, a utilização média de um dia da CPU do host não deve
exceder 80%
Configurar sistemas para oferecer alta
precisão
Artigo • 21/12/2022 • 5 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016 e
Windows 10 versão 1607 ou posterior, Azure Stack HCI, versões 21H2 e 20H2
As diretrizes a seguir ajudarão você a configurar seus sistemas para obter alta precisão.
Este artigo aborda os seguintes requisitos:
2 Aviso
O Windows Server 2012 R2 e versões inferiores não podem atender aos mesmos
objetivos de alta precisão. Esses sistemas operacionais não têm suporte para alta
precisão.
Assim, a configuração padrão destina-se a atender aos mesmos requisitos dos sistemas
operacionais anteriores que são:
) Importante
Na ilustração mostrada abaixo, as máquinas virtuais que exigem alta precisão estão
executando o Windows 10 ou o Windows Server 2016. Da mesma forma, o host Hyper-
V no qual as máquinas virtuais residem e o servidor de horário do Windows upstream
também devem executar o Windows Server 2016.
Dica
Configuração do sistema
Atingir destinos de alta precisão requer a configuração do sistema. Há várias maneiras
de executar essa configuração, incluindo diretamente no Registro ou por meio da
política de grupo. Mais informações para cada uma dessas configurações podem ser
encontradas na Referência Técnica do Serviço de Tempo Windows: Windows
Ferramentas de Serviço de Tempo.
Por exemplo: Considere uma hierarquia de sincronização de tempo com uma fonte
altamente precisa, dois servidores NTP intermediários A e B e o computador de destino
nessa ordem. Para obter a latência de rede cumulativa entre o destino e a origem, meça
os RTTs (tempos de ida e volta) médios NTP individuais entre:
Essa medida pode ser obtida usando a ferramenta w32tm.exe da caixa de entrada. Para
fazer isso:
c:\temp\Target_TsB.csv
Configurações do Registro
MinPollInterval
Configura o menor intervalo em log2 segundos permitido para sondagem do sistema.
Descrição Valor
Configuração 6
MaxPollInterval
Configura o maior intervalo em log2 segundos permitido para sondagem do sistema.
Descrição Valor
Configuração 6
UpdateInterval
O número de tiques de relógio entre os ajustes de correção de fase.
Descrição Valor
Localização HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config
principal
Configuração 100
SpecialPollInterval
Configura o intervalo de sondagem em segundos quando o sinalizador SpecialInterval
0x1 está habilitado.
Descrição Valor
Localização HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
principal
Descrição Valor
Configuração 64
FrequencyCorrectRate
Descrição Valor
Configuração 2
Horário do Windows para
rastreabilidade
Artigo • 21/12/2022 • 6 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016
versão 1709 ou posterior e Windows 10 versão 1703 ou posterior, Azure Stack HCI,
versões 21H2 e 20H2
Disponibilidade
Esses aprimoramentos estão incluídos no Windows 10 versão 1703 ou posterior e no
Windows Server 2016 versão 1709 ou posterior.
Configuração
Nenhuma configuração é necessária para usar este recurso. Esses logs de eventos são
habilitados por padrão e podem ser encontrados no visualizador de eventos no canal
Applications and Services Log\Microsoft\Windows\Time-Service\Operational.
Exemplo:
Comando:
Taxa do relógio
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2, Windows Server 2012, Windows 10 ou posterior, Azure
Stack HCI, versões 21H2 e 20H2
7 Observação
O Serviço de Horário do Windows usa o NTP para ajudar a sincronizar o tempo em uma
rede. O NTP é um protocolo de tempo da Internet que inclui os algoritmos de disciplina
necessários para sincronizar relógios. O NTP é um protocolo de tempo mais preciso que
o SNTP (protocolo NTP simples) usado em algumas versões do Windows; no entanto, o
W32Time continua dando suporte ao SNTP para habilitar a compatibilidade com
versões anteriores com computadores que executam serviços de tempo baseados em
SNTP, como o Windows 2000.
2 Aviso
) Importante
Antes do Windows Server 2016, o serviço W32Time não era criado para atender a
necessidades de aplicativos sensíveis ao tempo. Contudo, agora as atualizações do
Windows Server 2016 permitem que você implemente uma solução para ter
precisão de 1 ms em seu domínio. Para obter mais informações sobre, consulte
Windows limite de tempo e suporte precisos de 2016para configurar o serviço
Windows Time para ambientes de alta precisão para obter mais informações.
Tópicos relacionados
Hora precisa do Windows 2016
Aprimoramentos de precisão de tempo para o Windows Server 2016
Como o serviço de Horário do Windows funciona
Ferramentas e configurações do Serviço de Tempo do Windows
Limite de suporte para configurar o Serviço de Horário do Windows para
ambientes de alta precisão
Como funciona o serviço Horário do
Windows
Artigo • 21/12/2022 • 27 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2, Windows Server 2012, Windows 10 ou posterior, Azure
Stack HCI, versões 21H2 e 20H2
Nesta seção
7 Observação
7 Observação
) Importante
Antes do Windows Server 2016, o serviço W32Time não era criado para atender a
necessidades de aplicativos sensíveis ao tempo. Contudo, agora as atualizações do
Windows Server 2016 permitem que você implemente uma solução para ter
precisão de 1 ms em seu domínio. Exiba o limite de tempo e suporte precisos do
Windows 2016para configurar o serviço tempo do Windows para ambientes de
alta precisão para obter mais informações.
Os computadores que sincronizam o horário com menos frequência ou que não são
associados a um domínio, são configurados para sincronizar com o time.windows.com
por padrão. Portanto, é impossível garantir a precisão do tempo em computadores que
têm conexões de rede intermitentes ou que não têm conexão.
Disciplina do relógio
Provedores de tempo
Se um computador tiver sido designado como um servidor de horário, ele poderá enviar
a hora para qualquer computador solicitando a sincronização de horário a qualquer
momento nesse processo.
O Serviço de Horário do Windows usa o NTP (protocolo NTP) para ajudar a sincronizar o
tempo em uma rede. O NTP é um protocolo de tempo da Internet que inclui os
algoritmos de disciplina necessários para sincronizar relógios. O NTP é um protocolo de
tempo mais preciso que o SNTP (protocolo NTP simples) usado em algumas versões do
Windows; no entanto, o W32Time continua dando suporte ao SNTP para permitir a
compatibilidade com versões anteriores com computadores que executam serviços de
tempo baseados em SNTP, como o Windows 2000.
Protocolo NTP
O NTP (protocolo NTP) é o protocolo de sincronização de tempo padrão usado pelo
Serviço de Horário do Windows no sistema operacional. O NTP é um protocolo de
tempo altamente escalonável e tolerante a falhas e é o protocolo usado com mais
frequência para sincronizar os relógios dos computadores usando uma referência de
hora designada.
O NTP depende de um relógio de referência para definir o tempo mais preciso a ser
usado e sincroniza todos os relógios em uma rede de acordo com esse relógio de
referência. O NTP usa o UTC (Tempo Universal Coordenado) como o padrão universal
para a hora atual. O UTC não depende dos fusos horários e permite que o NTP seja
usado em qualquer lugar do mundo, independentemente das configurações de fuso
horário.
Algoritmos de NTP
Os algoritmos NTP são mais precisos em condições de cargas de servidor e rede leves a
moderadas. Assim como acontece com qualquer algoritmo que leva em conta o tempo
de trânsito na rede, os algoritmos NTP podem funcionar inadequadamente em
condições de congestionamento extremo da rede. Para obter mais informações sobre os
algoritmos NTP, confira RFC 1305 no banco de dados RFC da IETF.
O Serviço de Horário do Windows pode ser configurado para funcionar entre florestas,
mas é importante observar que essa configuração não é segura. Por exemplo, um
servidor NTP pode estar disponível em uma floresta diferente. No entanto, como esse
computador está em uma floresta diferente, não há nenhuma chave da sessão Kerberos
com a qual assinar e autenticar pacotes de NTP. Para obter uma sincronização de tempo
precisa de um computador em uma floresta diferente, o cliente precisa de acesso à rede
para esse computador e o serviço de horário deve ser configurado para usar uma fonte
de horário específica localizada na outra floresta. Se um cliente for configurado
manualmente para acessar o horário de um servidor NTP fora da própria hierarquia de
domínio, os pacotes de NTP enviados entre o cliente e o servidor de horário não serão
autenticados e, portanto, não serão protegidos. Mesmo com a implementação de
relações de confiança de floresta, o Serviço de Horário do Windows não é seguro entre
florestas. Embora o canal de segurança Logon de Rede seja o mecanismo de
autenticação do Serviço de Horário do Windows, não há suporte para autenticação
entre florestas.
O Windows NT 4.0 usa um mecanismo mais simples do que o usado pelo Serviço de
Horário do Windows para a sincronização de tempo. Portanto, para garantir uma
sincronização precisa de tempo em sua rede, é recomendável que você atualize todos
os controladores de domínio do Windows NT 4.0 para o Windows 2000 ou o Windows
Server 2003.
Depois de estabelecer uma rede do Windows Server 2003, você pode configurar o
Serviço de Horário do Windows para usar uma das seguintes opções de sincronização:
Nenhuma sincronização.
Um computador usa um dos seguintes métodos para identificar uma fonte de horário
com a qual sincronizar:
Se o computador é um controlador de domínio, ele faz até seis consultas para localizar
outro controlador de domínio com o qual sincronizar. Cada consulta é projetada para
identificar uma fonte de horário com determinados atributos, como um tipo de
controlador de domínio, uma localização específica e se é uma fonte de horário
confiável ou não. A fonte de horário também deve aderir às seguintes restrições:
A tabela a seguir lista as consultas que um controlador de domínio faz para localizar
uma fonte de horário e a ordem na qual as consultas são feitas.
Observação
Cada consulta retorna uma lista de controladores de domínio que podem ser usados
como uma fonte de horário. O Horário do Windows atribui a cada controlador de
domínio uma pontuação que é consultada com base na confiabilidade e na localização
do controlador de domínio. A tabela a seguir lista as pontuações atribuídas pelo Horário
do Windows a cada tipo de controlador de domínio.
Determinação da Pontuação
Se a raiz do serviço de horário não estiver configurada para sincronizar com uma fonte
externa, o relógio de hardware interno do computador controlará o tempo.
Você também pode desabilitar a sincronização para evitar a geração de erros no log de
eventos. Cada vez que um computador tenta sincronizar com uma fonte de horário que
não está disponível, ele gera um erro no Log de Eventos. Se uma fonte de horário for
retirada da rede para manutenção agendada e você não pretender reconfigurar o
cliente para sincronizar com outra fonte, você poderá desabilitar a sincronização no
cliente para impedi-lo de tentar a sincronização enquanto o servidor de horário não
estiver disponível.
Os únicos servidores de tempo que são confiáveis para os clientes, mesmo que não
tenham sido sincronizados com outra fonte de horário, são aqueles identificados pelo
cliente como servidores de horário confiáveis.
Desabilitando o Serviço de Horário do Windows
O Serviço de Horário do Windows (W32Time) pode ser completamente desabilitado. Se
você optar por implementar um produto de sincronização de tempo de terceiros que
usa o NTP, será necessário desabilitar o Serviço de Horário do Windows. Isso ocorre
porque todos os servidores NTP precisam de acesso à porta 123 do protocolo UDP e,
enquanto o Serviço de Horário do Windows estiver em execução no sistema operacional
Windows Server 2003, a porta 123 permanecerá reservada pelo Horário do Windows.
Consulte Também
Windows Time Service Technical ReferenceWindows Time Service Tools and
SettingsWindows Time Service (W32Time)
Ferramentas e configurações do Serviço
de Tempo do Windows
Artigo • 21/12/2022 • 33 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2, Windows Server 2012, Windows 10, Azure Stack HCI,
versões 21H2 e 20H2
Você pode alcançar uma precisão de hora de um milissegundo em seu domínio. Para
saber mais, confira Limite de suporte para hora de alta precisão e Hora precisa para o
Windows Server 2016.
U Cuidado
Não use o comando Net time para configurar nem definir a hora do relógio de um
computador quando o Serviço de Hora do Windows estiver em execução.
7 Observação
Usando W32tm.exe
Use a ferramenta de linha de comando W32tm.exe para definir as configurações do
Serviço de Hora do Windows e diagnosticar problemas com a hora do computador. O
W32tm.exe é a ferramenta de linha de comando preferencial para configurar, monitorar
e solucionar problemas do Serviço de Hora do Windows. O W32tm.exe é incluído no
Windows XP e posteriores e no Windows Server 2003 e posteriores.
Executar o W32tm.exe
1. Na barra de pesquisa do Windows, insira cmd.
2. Clique com o botão direito do mouse em Prompt de Comando e selecione
Executar como administrador.
3. No prompt de comando, digite w32tm seguido pelo parâmetro aplicável,
conforme descrito abaixo:
Parâmetro Descrição
/ntpte<Época de tempo NTP> Converte uma hora do NTP (medida em intervalos de 2-32
segundos começando à 0h de 1º de janeiro de 1900) em um
formato legível.
cmd
cmd
) Importante
cmd
Além disso, você pode executar o seguinte comando e ler o valor de NtpServer na
saída:
cmd
imediatamente.
PhaseCorrection SystemClockRate ≤ ÷ 2
7 Observação
ao descrito a seguir.
Os exemplos a seguir mostram como aplicar esses cálculos para o Windows Server 2012
R2 e versões anteriores.
PhaseCorrectRate = 1
É CurrentTimeOffset ≤ MaxAllowedPhaseOffset ?
7 Observação
Nesse caso, se você quiser atrasar o relógio lentamente, também precisará ajustar
os valores de PhaseCorrectRate ou UpdateInterval no Registro para garantir que o
resultado da equação seja TRUE.
PhaseCorrectRate = 1
7 Observação
que as políticas definem no Registro do Windows e usa essas entradas do Registro para
configurar as entradas do Registro específicas para o Serviço de Hora do Windows.
Como resultado, os valores definidos pela Política de Grupo substituem os valores pré-
existentes na seção do Serviço de Hora do Windows do Registro. Algumas das
configurações predefinidas do GPO são diferentes das entradas do Registro do Serviço
de Hora do Windows padrão correspondentes.
HKLM\Software\Policies\Microsoft\W32time\TimeProviders\NtpClient
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NTPClient\
A tabela a seguir lista as políticas que podem ser configuradas para o Serviço de Hora
do Windows e as subchaves do Registro que essas políticas afetam.
7 Observação
W32Time\Config
W32Time\Parameters
1
Category path: Computer Configuration\Administrative Templates\System\Windows Time
Service
2 Subchave: HKLM\SOFTWARE\Policies\Microsoft
3 Subchave: HKLM\SYSTEM\CurrentControlSet\Services
\Config
\Parameters
\TimeProviders\NtpClient
\TimeProviders\NtpServer
7 Observação
Alguns dos parâmetros do Registro são medidos em tiques do relógio e outros são
medidos em segundos. Para converter a hora de tiques do relógio em segundos,
use estes fatores de conversão:
1 minuto = 60 s
1 s = 1000 ms
1 ms = 10.000 tiques do relógio em um sistema Windows, conforme descrito
na Propriedade DateTime.Ticks.
Entradas de configuração
As entradas de subchave Config estão localizadas em
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config .
Entrada de registro Versões Descrição
Observação
Observação
Observação
Entradas de parâmetros
As entradas de subchave Parameters estão localizadas em
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters .
Entradas de NtpClient
As entradas de subchave NtpClient estão localizadas em
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Entradas de NtpServer
As entradas de subchave NtpServer estão localizadas em
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer .
Configurações Globais
Essas são as configurações de Política de Grupo globais e os valores padrão do serviço
de Hora do Windows. Essas configurações estão contidas no GPO de Definições de
Configuração Global no Editor de Políticas Local.
AnnounceFlags 10
EventLogFlags 2
FrequencyCorrectRate 4
HoldPeriod 5
LargePhaseOffset 1.280.000
LocalClockDispersion 10
MaxAllowedPhaseOffset 300
MaxPollInterval 15
Configuração da Política de Grupo Valor padrão
MinPollInterval 10
PhaseCorrectRate 7
PollAdjustFactor 5
SpikeWatchPeriod 90
UpdateInterval 100
CrossSiteSyncFlags 2
ResolvePeerBackoffMinutes 15
ResolvePeerBackoffMaxTimes 7
SpecialPollInterval 3.600
EventLogFlags 0
7 Observação
Se você usar Política de Grupo para definir o valor NtpServer como parte da
política Configurar Cliente NTP do Windows e aplicá-lo a um membro de domínio,
o Serviço de Horário do Windows não usará o valor NtpServer Registry. Para exibir
a configuração do NTP, abra um Prompt de Comando e execute w32tm /query
/configuration .
Informações relacionadas
Confira RFC 1305 – Protocolo NTP da IETF (Internet Engineering Task Force).
Configurar opções de protocolo seguro
para WinHTTP
Artigo • 21/12/2022 • 2 minutos para o fim da leitura
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows 10 Windows 11
Pré-requisitos
Calcule o valor de DefaultSecureProtocols com
WINHTTP_OPTION_SECURE_PROTOCOLS.
Configurar DefaultSecureProtocols
Para adicionar e definir a entrada do Registro DefaultSecureProtocols:
x86
PowerShell
Get-Item -Path
"HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\WinHttp" | New-ItemProperty -Name "DefaultSecureProtocols"
-Value "{value}"
Próximas etapas
Para configurar a entrada do DefaultSecureProtocols Registro para vários
computadores, consulte Configurar um item de serviço.