Escolar Documentos
Profissional Documentos
Cultura Documentos
janelas
Servidor® 2022 e
PowerShell®
TUDO EM UM
Copyright © 2022 por John Wiley & Sons, Inc., Hoboken, Nova Jersey
Nenhuma parte desta publicação pode ser reproduzida, armazenada em um sistema de recuperação ou transmitida de qualquer forma
ou por qualquer meio, eletrônico, mecânico, fotocópia, gravação, digitalização ou outro, exceto conforme permitido nas Seções 107 ou 108
do 1976 United States Copyright Agir, sem a prévia autorização por escrito da Editora. Solicitações de permissão à Editora devem ser
endereçadas ao Departamento de Permissões, John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, (201) 748-6011, fax (201)
748-6008 ou online em http ://www.wiley.com/go/permissions.
Marcas comerciais: Wiley, For Dummies, o logotipo do Dummies Man, Dummies.com, Making Everything Easier e marcas comerciais
relacionadas são marcas comerciais ou marcas registradas da John Wiley & Sons, Inc. e não podem ser usadas sem permissão por
escrito. Todas as outras marcas comerciais são de propriedade de seus respectivos proprietários. A John Wiley & Sons, Inc. não está
associada a nenhum produto ou fornecedor mencionado neste livro.
LIMITE DE RESPONSABILIDADE/ISENÇÃO DE GARANTIA: EMBORA A EDITORA E OS AUTORES TENHAEM USADO SEUS MELHORES
ESFORÇOS NA PREPARAÇÃO DESTE TRABALHO, ELES NÃO FAZEM REPRESENTAÇÕES OU GARANTIAS COM RELAÇÃO À PRECISÃO OU
INTEGRALIDADE DO CONTEÚDO DESTE TRABALHO E REJEITAM ESPECIFICAMENTE TODAS AS GARANTIAS, INCLUINDO SEM LIMITAÇÃO
QUAISQUER GARANTIAS IMPLÍCITAS DE COMERCIABILIDADE OU ADEQUAÇÃO PARA UM FIM ESPECÍFICO. NENHUMA GARANTIA PODE SER
CRIADA OU ESTENDIDA POR REPRESENTANTES DE VENDAS, MATERIAIS DE VENDAS ESCRITOS OU DECLARAÇÕES PROMOCIONAIS PARA
ESTE TRABALHO. O FATO DE UMA ORGANIZAÇÃO, SITE OU PRODUTO SER REFERIDO NESTE TRABALHO COMO CITAÇÃO E/OU FONTE
POTENCIAL DE INFORMAÇÕES ADICIONAIS NÃO SIGNIFICA QUE O EDITOR E OS AUTORES APROVAM AS INFORMAÇÕES OU SERVIÇOS
QUE A ORGANIZAÇÃO, SITE OU PRODUTO POSSA FORNECER OU RECOMENDAÇÕES QUE POSSA FAZER. ESTA OBRA É VENDIDA COM O
ENTENDIMENTO DE QUE A EDITORA NÃO ESTÁ ENVOLVIDA NA PRESTAÇÃO DE SERVIÇOS PROFISSIONAIS. OS CONSELHOS E AS
ESTRATÉGIAS AQUI CONTIDOS PODEM NÃO SER ADEQUADOS À SUA SITUAÇÃO. VOCÊ DEVE CONSULTAR UM ESPECIALISTA QUANDO
APROPRIADO.
ALÉM DISSO, OS LEITORES DEVEM ESTAR CIENTES DE QUE OS WEBSITES LISTADOS NESTE TRABALHO PODEM TER MUDADO OU
DESAPARECIDO ENTRE QUANDO ESTA OBRA FOI ESCRITA E QUANDO É LIDA. NEM A EDITORA NEM OS AUTORES SERÃO RESPONSÁVEIS
POR QUALQUER PERDA DE LUCROS OU QUAISQUER OUTROS DANOS COMERCIAIS, INCLUINDO, SEM LIMITAÇÃO, AOS ESPECIAIS,
INCIDENTAIS, CONSEQUENCIAIS OU OUTROS.
Para obter informações gerais sobre nossos outros produtos e serviços, entre em contato com nosso Departamento de Atendimento ao
Cliente nos EUA pelo telefone 877-762-2974, fora dos EUA pelo telefone 317-572-3993 ou fax 317-572-4002. Para obter suporte técnico, visite
www.wiley.com/techsupport.
Wiley publica em uma variedade de formatos impressos e eletrônicos e por impressão sob demanda. Alguns materiais incluídos nas versões
impressas padrão deste livro podem não estar incluídos nos e-books ou na impressão sob demanda. Se este livro se referir a uma mídia
como um CD ou DVD que não está incluída na versão que você comprou, você pode baixar este material em http://booksupport.wiley.com.
Para obter mais informações sobre os produtos Wiley, visite www.wiley.com.
Índice
INTRODUÇÃO ................................................... 1
Sobre este livro .............................................. 1
Suposições tolas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Ícones usados neste livro ....................................... 2
Além do livro Para ............................................. 3
onde ir a partir daqui ....................................... 3
CAPÍTULO 1: Uma visão geral do Windows Server 2022 Extra! Extra! Li ................ 7
Automanage: Hotpatch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Índice iii
Machine Translated by Google
de acesso aleatório . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Armazenar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Adaptador de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Unidade de . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
DVD Firmware baseado em . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
UEFI Trusted Platform Module .................................. 37
Monitor ................................................. 37
Diagnósticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Tarefas de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Índice v
Machine Translated by Google
.....................................
.............................................
..............................................
Teclado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
................................................. 140
Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
................................................ 147
Dispositivos Aplicativos ...................................... 147
de personalização ......................................... 149
Índice vii
Machine Translated by Google
Índice ix
Machine Translated by Google
............................
CAPÍTULO 7: Trabalhando com o PowerShell 325
Índice xi
Machine Translated by Google
2022 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
CAPÍTULO 3: Executando tarefas avançadas de rede Trabalhando com serviços de ......... 371
Índice xiii
Machine Translated by Google
Computador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Índice xv
Machine Translated by Google
Update-Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
Apresentando as várias versões do .NET Framework com foco nos ............ 547
Noções básicas sobre .NET Standard e .NET Core .NET ................... 553
Core .NET .............................................. 553
Standard Unindo .......................................... 554
.................
CAPÍTULO 3: Trabalhando com scripts e cmdlets 555
PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
Índice xvii
Machine Translated by Google
Dinâmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
Diferenciando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Atravessar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Alterando os locais de salvamento padrão dos arquivos do disco virtual ....... 641
Índice xix
Machine Translated by Google
ÍNDICE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
Introdução
lançamento do Windows Server 2022. Embora o Windows Server 2022 não
A Microsoft continua
introduz a melhorar
grandes seu radicais,
mudanças sistema oferece
operacional denovos
alguns servidor com excelentes,
recursos seu
incluindo avanços na segurança, serviços e administração do sistema.
À medida que mais e mais clientes mudaram para a nuvem do Azure, a Microsoft adicionou
novos recursos para oferecer melhor suporte à administração do Windows Server 2022 na
nuvem do Azure, bem como no local para ambientes híbridos. Um dos novos recursos é a
capacidade de corrigir sem reinicializações (sim, é uma coisa!).
Eu tento cobrir o máximo de tópicos cotidianos que você precisa saber como
administrador de sistema e explicar coisas que estão fora do seu trabalho diário.
Meu objetivo com este livro é ajudá-lo a entender não apenas o quê e o como,
mas também o porquê.
Este não é o tipo de livro que você pega e lê do começo ao fim, e provavelmente
não é o tipo de livro que você lerá na praia. Em vez disso, este livro é uma
referência - o tipo de livro que você pode pegar, virar em qualquer página e
começar a ler. Está dividido em oito minibooks, cada um cobrindo um aspecto
específico do trabalho com Windows Server 2022 ou PowerShell.
Introdução 1
Machine Translated by Google
Você não precisa memorizar nada neste livro. Pegá-lo quando você precisa saber alguma coisa.
Depois de encontrar o que procura, largue-o e siga sua vida.
Neste livro, você pode observar que alguns endereços da Web se dividem em duas linhas de
texto. Se você estiver lendo este livro impresso e quiser visitar uma dessas páginas da web,
simplesmente digite o endereço da web exatamente como está anotado no texto, fingindo que a
quebra de linha não existe. Se você está lendo isso como um e-book, é fácil — basta clicar no
endereço da web para ser direcionado diretamente para a página da web.
suposições tolas
Tive que fazer algumas suposições sobre você enquanto escrevia este livro:
» Presumo que você queira saber mais sobre o Windows Server 2022 e o
PowerShell e que já trabalhou com alguma versão do Windows Server
no passado.
Ao ler o livro, você verá ícones na margem. Eu uso esses ícones para chamar sua atenção. Veja
o que cada um desses ícones significa:
Qualquer coisa marcada com o ícone Dica economizará seu tempo ou frustração ou
simplesmente tornará sua vida mais fácil - pelo menos sua vida de administrador do sistema
(não posso fazer nada sobre seu relacionamento com seus pais).
Se você vir um ícone de Aviso, preste atenção! Qualquer coisa marcada com este ícone pode
ser destrutiva ou, pelo menos, causar uma grande dor de cabeça.
Quando você vê o ícone de Coisas Técnicas, geralmente é onde eu fico totalmente nerd e
adiciono algumas informações técnicas mais aprofundadas. Se você quiser deixar sua bandeira
nerd interna voar, leia-os com gosto! Mas se você estiver com pressa e quiser apenas obter as
informações de que realmente precisa, pode passar por elas.
além do livro
Além do que você está lendo agora, este produto também vem com uma folha de dicas de
acesso gratuito em qualquer lugar que inclui dicas e truques úteis para navegar e administrar
o Windows Server 2022. Para obter essa folha de dicas, basta acessar www.dummies . com
e digite Windows Server 2022 & PowerShell All-in-One For Dummies Cheat Sheet na
caixa Pesquisar.
Uma última observação: recomendo fortemente que você crie um ambiente de teste ao ler
este livro e experimentar diferentes componentes do sistema operacional Windows Server.
Tento chamar a atenção para procedimentos potencialmente destrutivos, mas é sua
responsabilidade garantir que você esteja praticando em um ambiente seguro, de preferência
fora do seu ambiente de produção.
Introdução 3
Machine Translated by Google
Machine Translated by Google
1 Instalando
e configuração
Janelas para cima
Servidor 2022
Machine Translated by Google
Resumo do conteúdo
CAPÍTULO 1: Uma visão geral do Windows Server 2022 .............7
. . . . . . . . . . . 45
CAPÍTULO 4: Executando tarefas iniciais de configuração
Machine Translated by Google
NESTE CAPÍTULO
Capítulo 1
» Melhorias na segurança do Domain Name System (DNS): as solicitações de DNS agora podem
ser feitas via Hypertext Transfer Protocol Secure (HTTPS), usando um canal
criptografado. Esse novo recurso é conhecido como DNS sobre HTTPS, abreviado para DoH.
Se você é como eu, provavelmente imaginou Homer Simpson gritando “D'oh!”
» Transport Layer Security (TLS): No Windows Server 2022, HTTPS e TLS 1.3 são ativados
por padrão para proteger melhor sua rede e atividade na Internet. Para obter mais
informações sobre esse recurso, consulte o Livro 5, Capítulo 3.
» Segurança Server Message Block (SMB): o Windows Server 2022 traz diversos
melhorias para a segurança SMB. O SMB agora pode ser usado sobre o protocolo QUIC em
vez do Protocolo de Controle de Transmissão (TCP). Isso permite que você aproveite a
criptografia TLS 1.3. O SMB Direct agora oferece suporte à criptografia com pouco ou nenhum
impacto no desempenho. Anteriormente, se você habilitava a criptografia SMB, a colocação
direta de dados era desabilitada devido ao impacto no desempenho. Além disso, o
tráfego entre clusters de armazenamento no Storage Spaces Direct agora pode ser criptografado.
» Recursos híbridos do Azure: no Windows Server 2022, você tem o Azure Arc,
que fornece gerenciamento centralizado de servidores e Azure Automanage: Hotpatch, que
permite atualizações sem reinicialização. Eu discuto esses recursos um pouco mais no final
deste capítulo.
» Desempenho de rede: o desempenho de TCP e UDP (User Datagram Protocol) foi aprimorado no
Windows Server 2022.
Essenciais
A edição Essentials é ideal para pequenas organizações (geralmente não mais que 25 a
50 usuários). Ele fornece funcionalidade básica suficiente para fazer a maioria dos
trabalhos e é uma solução econômica para pequenas organizações. Os recursos da
edição Essentials incluem o seguinte:
Padrão
A edição Standard é ideal para ambientes com pouca ou nenhuma virtualização ou quando
usado como um sistema operacional convidado. Os recursos da edição Standard incluem
o seguinte:
Centro de dados
A edição Datacenter possui os mesmos recursos da edição Standard e alguns recursos
adicionais que a tornam a edição ideal para organizações com muitas necessidades de
virtualização, desejo de rede definida por software ou que precisam de opções avançadas de
armazenamento. Alguns desses recursos incluem o seguinte:
» Hotpatching
» Suporte a VM blindada
Observação: você não verá Datacenter: Azure Edition mencionado especificamente neste livro.
No entanto, muitos dos tópicos que abordo neste livro podem ser aplicados ao Datacenter:
Azure Edition.
O Windows Server 2022 tem duas experiências de usuário para escolher. O que você usa
dependerá da carga de trabalho que deseja oferecer suporte, bem como dos requisitos
organizacionais. Nesta seção, explico a experiência Desktop e a experiência Server Core, bem
como alguns prós e contras de cada uma.
Experiência de área de trabalho é o que você consideraria ser a interface gráfica do usuário
(GUI) padrão que você pode ter usado em versões anteriores dos sistemas operacionais
Windows Server. Ele permite que você interaja com o sistema com botões e menus, em vez de Visão
Geral
Uma
de Windows
Servidor
2022
por meio da linha de comando. O servidor com experiência de área de trabalho pode ser
gerenciado por meio da política de grupo se anexado a um domínio do Active Directory, e os
servidores de grupo de trabalho (sem domínio) podem ser gerenciados por meio da política de grupo local.
FIGURA 1-1:
Servidor com
Experiência Desktop.
Núcleo do servidor
O Server Core (mostrado na Figura 1-2) fornece uma interface muito mais simples se você se
conectar ao console. Você é recebido por uma janela de comando de aparência familiar que
solicita seu nome de usuário e senha. Depois de fazer login, por padrão, você verá a janela
sconfig. Quando você escolhe
sair para a linha de comando do sconfig, você terá uma janela do PowerShell para interagir. A
configuração inicial é feita com o utilitário sconfig, embora possa ser feita por meio de um script
do PowerShell ou do PowerShell Desired State Configuration (DSC). Essa experiência pode ser
gerenciada por meio da Diretiva de Grupo, se estiver anexada a um domínio do Active
Directory, ou por meio da Diretiva de Grupo local, se forem servidores de estação de trabalho.
FIGURA 1-2:
O utilitário
sconfig do
Server Core é
onde você
executa a configuração inicial.
nano
O Nano oferece uma interface ainda mais simples e um console muito mais limitado, conhecido
como Console de Recuperação. Ele não está disponível por meio do instalador regular no disco;
em vez disso, você deve baixar a imagem do contêiner da Microsoft. O Nano ocupa muito
menos espaço, tanto em termos de necessidades de disco quanto de computação, do que o
Desktop Experience ou o Server Core. Por ter uma pegada geral menor, a superfície de ataque
também é reduzida. O Windows Server Nano 2022 está disponível apenas como uma imagem
de sistema operacional de base de contêiner e só pode ser executado como um contêiner em
um host de contêiner.
O Nano não pode ser gerenciado por meio da Diretiva de Grupo. Você precisa usar o PowerShell
DSC se quiser gerenciar o Nano em escala. Você pode estar se perguntando por que usaria o
Nano quando é uma versão tão limitada do sistema operacional. Se você precisar executar
cargas de trabalho de contêiner que usam .NET, o Nano é um excelente candidato porque foi
otimizado para executar aplicativos .NET Core.
Se você quiser conferir, pode baixar as imagens do servidor Nano do registro de contêiner da
Micro soft no DockerHub com este comando:
Se quiser saber mais sobre contêineres e como usar os comandos do Docker, confira o Livro 8. Visão
Geral
Uma
de Windows
Servidor
2022
Observação: você realmente não verá o Nano discutido em profundidade em nenhum lugar deste
livro porque é muito mais provável que você encontre a experiência de desktop ou as instalações
do Server Core do Windows Server 2022.
FIGURA 1-3:
Gerenciador do
servidor é a página
inicial que você obtém
quando faz login no Windows
Servidor 2022.
O Server Manager permitirá que você gerencie servidores remotos, não apenas o servidor local.
Os servidores remotos precisam ser adicionados ao Gerenciador do Servidor antes de poderem ser
gerenciados, e algumas portas do firewall podem precisar ser abertas para permitir a funcionalidade completa.
Depois que os servidores remotos são adicionados, você pode executar o PowerShell neles e executar
tarefas básicas de gerenciamento, como desligar, conectar via Remote Desktop Protocol (RDP) e assim
por diante. Você pode gerenciar até 100 servidores remotos com o Server Manager. Esse número pode
ser menor dependendo do que você está executando nos servidores de gerenciamento. Se você estiver
executando grandes cargas de trabalho, talvez não consiga gerenciar tantas.
O Server Manager pode ser usado para gerenciar o mesmo sistema operacional em que está instalado,
bem como sistemas operacionais mais antigos do que o instalado. Ele não pode gerenciar o sistema
operacional em um servidor que está executando uma versão mais recente do sistema operacional. Por
exemplo, um servidor executando o Server Manager no Server 2019 não pode gerenciar um servidor
executando o Windows Server 2022.
A Figura 1-4 mostra algumas das opções disponíveis no menu Gerenciador do servidor.
Você pode perceber que a Conexão de Área de Trabalho Remota está esmaecida. Isso ocorre porque eu
estava logado no servidor que está na janela.
FIGURA 1-4:
Gerenciando
servidores com
Gerenciador do Servidor.
Aqui está uma lista de alguns dos recursos mais usados do Server Manager:
recursos, o sistema de destino deve estar executando pelo menos o Server 2012)
O Windows Admin Center é uma ferramenta de gerenciamento de servidor mais recente da Microsoft.
A Microsoft tem investido pesadamente no Windows Admin Center, e isso mostra.
Você pode usá-lo para gerenciar seus sistemas locais, bem como seus sistemas no Azure. O Windows
Admin Center pode ser acessado por meio de seu navegador e permite que você execute quase
todas as suas tarefas administrativas por meio da mesma interface. O melhor de tudo, é grátis! Você
só precisa pagar pela licença do sistema operacional em que está sendo executado.
O Admin Center pode ser usado para administrar o Windows Server 2022, 2019, 2016, 2012R2 e
2012 com suporte total para todas as funcionalidades.
Por padrão, o Windows Admin Center usa a porta TCP 6516, portanto, você precisa permitir isso por
meio dos firewalls do servidor, dependendo de como sua rede é arquitetada. Para acessar o painel
do Windows Admin Center, você precisa do nome do host do sistema no qual o Admin Center está
instalado. Na Figura 1-5, observe que o endereço é localhost:6516. Isso porque eu o instalei em um
cliente Windows 10 no modo Desktop. O modo de área de trabalho é normalmente usado por um
único administrador do sistema, ao contrário do modo Gateway, que está disponível para um número
maior de funcionários.
Se você clicar em um dos dispositivos da lista, obterá uma exibição de gerenciamento específica
para esse dispositivo. Para a Figura 1-6, cliquei em server2022-dc. Você vê uma visão geral do
sistema, bem como algumas opções de gerenciamento. No lado esquerdo da tela, há muito mais
opções com as quais você pode trabalhar.
FIGURA 1-5:
Você pode ver todos
os seus dispositivos
conectados no
Todas as conexões
página.
FIGURA 1-6:
A página Visão
geral mostra, bem,
uma visão geral
do dispositivo em
que você clicou.
A instalação do Windows Admin Center é simples. Baixe o pacote Microsoft Installer (MSI) do
site Microsoft Windows Admin Center (www.microsoft.com/en-us/cloud-platform/windows-
admin-center). Antes de instalá-lo, você precisa decidir se vai simplesmente instalá-lo em seu
cliente de desktop ou se deseja instalá-lo em um servidor. Minha recomendação seria usar
sua área de trabalho se você estiver apenas experimentando ou se gerenciar apenas alguns Visão
Geral
Uma
de Windows
Servidor
2022
servidores. Se você for usar o Windows Admin Center em toda a sua glória, instale-o em um
servidor para que todos os seus administradores possam acessá-lo. Você será o herói deles!
Você pode instalar o Windows Admin Center em uma versão com suporte do Windows 10 ou
no Windows Server 2016 e mais recente. Para gerenciar servidores mais antigos — incluindo
2012 e 2012 R2 — você precisa instalar o Windows Management Framework 5.1 em cada um
desses servidores.
Quando você instala o Windows Admin Center no Windows 10, ele é instalado no modo
Desktop, o que significa que você o acessa usando https://localhost:6516. Quando o Windows
Admin Center é instalado em um servidor, ele é instalado no modo de gateway, que pode ser
acessado com o nome do servidor na URL (por exemplo, https://nome do servidor). Nenhum
número de porta necessário!
Localhost refere-se ao endereço de loopback local em um sistema que também pode ser
acessado no endereço IP 127.0.0.1.
Alguns dos recursos mais interessantes do Windows Admin Center incluem o seguinte:
» Integração com o Azure para que você possa gerenciar recursos locais e na nuvem a partir do mesmo
console
» Showscript, que permite ver os scripts do PowerShell que estão sendo executados para fazer seu
trabalho administrativo
Arco Azure
O Azure Arc é um serviço mais recente que permite gerenciar o Azure e os ativos locais
com o conjunto de ferramentas do Azure. O Windows Server 2022 é um dos vários sistemas
operacionais que podem ser gerenciados pelo Azure Arc. Você só precisa instalar o agente
Azure Connected Machine.
NESTE CAPÍTULO
servidor
Capítulo 2
servidor que simplesmente não inicia. Talvez o servidor esteja em um loop de inicialização contínuo.
Como administrador do sistema,
Talvez o servidor você receberá
simplesmente uma
trave. ligação
Sua inevitável
missão, um dia aceitá-la,
caso decida sobre um é
descobrir por que o sistema está tendo problemas para iniciar e, em seguida, corrigir o problema.
Este capítulo discute ferramentas e técnicas básicas para solucionar problemas que estão
fazendo com que seu sistema não consiga inicializar corretamente.
A primeira etapa para descobrir o que há de errado com seu sistema é acessar os utilitários de
diagnóstico de inicialização fornecidos com os sistemas operacionais Windows Server.
Do DVD
Se o servidor que está tendo problemas de inicialização for um servidor físico, você pode usar um DVD ou
uma unidade flash USB para acessar o menu de diagnóstico de inicialização. É muito raro ter problemas físicos
mídia em mãos, portanto, é provável que você precise baixar o arquivo ISO para Windows Server
2022 no site da Microsoft e gravar a imagem no DVD ou na unidade flash USB.
Depois de ter o disco pronto, você precisa inserir o disco ou a unidade flash USB no servidor e
inicializar a partir dele. Pode ser necessário alterar a ordem de inicialização no servidor para que
ela comece com a unidade de DVD ou a unidade flash USB antes da unidade de disco rígido. Você
pode fazer essa alteração acessando o sistema básico de entrada/saída (BIOS). Em sistemas de
servidor, esta opção está disponível quando o sistema está inicializando. A tecla que você deve
pressionar para acessar o BIOS dependerá do fabricante do firmware que criou o BIOS ou Unified
Extensible Firmware Interface (UEFI). Alguns sistemas simplesmente oferecem um menu de
inicialização quando você pressiona F12, o que permite selecionar a unidade de DVD ou a unidade
flash USB para uma inicialização única.
Quando você descobrir como inicializar a partir do DVD ou unidade flash USB, siga estas etapas:
2. Ao ver a mensagem Pressione qualquer tecla para inicializar a partir do CD ou DVD, pressione
qualquer tecla.
Esta tela solicita apenas o idioma, o formato da hora e da moeda e o teclado ou método de
entrada. Você pode aceitar com segurança os padrões.
4. Na próxima tela, você verá o grande botão Instalar agora. Não clique nisso!
Em vez disso, procure no canto inferior esquerdo o link Reparar seu computador (consulte
a Figura 2-1) e clique nele.
• Prompt de comando: permite que você faça uma solução de problemas avançada e é
especialmente útil se você precisar reparar arquivos de inicialização. Você pode usar o utilitário
diskpart para trabalhar com a unidade e o comando bootrec para reconstruir ou reparar
os arquivos de inicialização.
FIGURA 2-1:
Procure o
Repare o link do
seu computador
no canto inferior esquerdo. inicialização
diagnóstico
Usando
de
o
FIGURA 2-2:
A tela Opções
avançadas.
O menu Advanced Boot Options fornece a você, o administrador do sistema, uma série de utilitários para
solucionar vários problemas do sistema.
Opções avançadas de inicialização é um menu que existe nos sistemas operacionais Windows há muito tempo.
Existem duas maneiras de chegar até ele:
7. Clique em Reiniciar.
Quando o menu Advanced Boot Options estiver ativo, você verá várias opções, mostradas na Figura 2-4.
Descrevo essas opções nas seções a seguir.
Modo de segurança
O modo de segurança é quase sempre a minha escolha quando há problemas de inicialização com um sistema.
Sempre que um novo hardware ou software foi instalado, ou se eu suspeitar que um sistema pode estar com
problemas devido a uma infecção por malware, eu mudo para o Modo de segurança.
FIGURA 2-3:
Sua jornada no inicialização
diagnóstico
Usando
de
o
menu Advanced
Boot Options
começa com o
botão Restart Now.
FIGURA 2-4:
No Avançado
Menu Opções
de inicialização,
você pode escolher
o que deseja Windows
Servidor para fazer.
Você pode estar se perguntando: “O que é o modo de segurança e por que é tão importante?” O modo
de segurança inicia o Windows com os serviços e drivers mínimos necessários para
correr. O modo de segurança é crucial para solucionar problemas em que um driver ruim está causando
um loop de inicialização. Entrando no modo de segurança, você pode solucionar o que há de errado com o
driver e desinstale-o ou substitua-o. O Modo de segurança também é extremamente útil com possíveis
infecções por malware, porque o malware pode ter dependências necessárias para executar que não
são carregadas, o que permite executar ferramentas de remoção de malware e destruir os últimos bits
e partes do código malicioso do sistema operacional.
O tipo de modo de segurança que uso depende do que preciso realizar. Por exemplo, se estou apenas
solucionando um problema que suspeito estar relacionado a drivers, na maioria das vezes eu uso o
modo de segurança antigo normal. Nas seções a seguir, oriento você pelas diferentes formas de
Modo de segurança e por que você pode querer usar cada uma delas.
Modo de segurança
Este é apenas o antigo modo de segurança normal. Ele carrega apenas os serviços e drivers básicos
necessários para o funcionamento do Windows e para você interagir com ele. Nada mais nada menos.
Na maioria dos casos, essa forma regular de modo de segurança é tudo o que você precisa para
solucionar problemas e resolver o problema em questão. Possui uma interface gráfica como você
está acostumado a ver no Windows Server, mas não tem acesso à Internet ou outros recursos de rede.
Em essência, é uma máquina autônoma.
O Modo de segurança com rede é mais útil quando você está tentando resolver um problema de
software ou driver. Ele permite que você baixe um software de substituição ou drivers de substituição
enquanto ainda estiver no modo de segurança. Em seguida, você pode substituir o driver com
comportamento inadequado ou o software incompatível por uma versão boa conhecida e inicializar com êxito.
Se você gosta do Server Core, vai gostar desta versão do Safe Mode. Se você não se sentir tão à
vontade com a janela de comando quanto gostaria, ter uma folha de dicas disponível pode ajudá-lo.
Eu recomendo o Modo de Segurança com Prompt de Comando quando o problema que precisa
ser corrigido tem algo a ver com gráficos. O problema pode ser devido a um driver, renderização
de gráficos ou remoção de uma infecção por malware que dependia de componentes gráficos,
como papéis de parede e protetores de tela.
Se você precisar ver quais drivers foram instalados durante a inicialização do sistema, escolha
Ativar registro de inicialização. Isso criará um arquivo chamado ntbtlog. txt, que lista todos os
drivers que foram instalados quando o sistema operacional foi iniciado. O arquivo é armazenado
no diretório do sistema Windows; normalmente, será C:\WINDOWS. Aliás, esta é a mesma lista
que você vê piscar na tela quando você inicializa no modo de segurança.
inicialização
diagnóstico
Usando
de
o
Essa configuração é muito útil se você estiver tendo problemas de exibição, geralmente após
alterar as configurações de exibição para algo que seu monitor não suporta. Ele usa o driver de
vídeo atualmente instalado, mas começa com resolução mais baixa (normalmente 640 x 480) e
atualiza as configurações.
Sempre que você usar algo que modifique o Registro de alguma forma, seja extremamente
cauteloso. Não há como desfazer usando a última configuração válida. Se isso não resolver o
problema ou piorar as coisas, você precisará restaurar a partir de um backup.
Para usar este utilitário, você precisa saber a senha do DSRM que foi definida quando o
controlador de domínio foi inicialmente criado. Se você não souber a senha, poderá usar a
ferramenta ntdsutil para alterá-la. Você precisa ter acesso ao prompt de comando do sistema
em questão para executá-lo.
Se tudo isso é grego para você, não se preocupe! Abordo o Active Directory em detalhes no
Livro 2, Capítulo 5. Por enquanto, pense no Active Directory como um banco de dados especial
que armazena informações sobre usuários, computadores, sites e outros objetos em sua rede.
Esse banco de dados pode ser crucial para sua organização, portanto, saber como restaurá-lo
se for danificado é uma habilidade muito útil.
Modo de depuração
Se você é um administrador de sistema hard-core e quer começar a usar um depurador de
kernel, esta opção é para você!
O kernel é um programa que é um dos primeiros a rodar quando o servidor inicializa (o kernel
carrega logo após o bootloader); ele tem controle total sobre tudo em seu sistema.
O modo de depuração ativa a depuração do kernel, que permite que você trabalhe com o
depurador do kernel para examinar estados e processos que estão sendo executados no nível
do kernel. Isso pode ser muito útil para solucionar problemas com drivers de dispositivo que
causam a infame tela azul da morte e problemas com a unidade de processamento central
(CPU). Você pode ver o despejo de memória do kernel no sistema que está apresentando o
problema ou pode ver o despejo de memória do kernel remotamente em outro sistema por
meio de uma conexão serial. As informações do modo de depuração são normalmente
disponibilizadas pela porta COM1 (supondo que você tenha uma porta serial e esteja atribuída
a COM1). Em sistemas mais novos que não possuem porta serial, você também pode acessar
essas informações por USB.
A depuração do kernel não é para os fracos de coração. Para obter mais informações sobre
como configurar seu sistema para depuração de kernel com conectividade serial ou USB,
consulte os seguintes artigos:
As portas COM eram normalmente apresentadas como portas seriais com conectores RS-232 em sistemas
mais antigos. Em sistemas mais novos, eles foram substituídos por portas USB. USB significa Universal
Serial Bus — ainda é uma conexão serial.
Desativar a reinicialização automática pode ser muito útil se o sistema estiver recebendo a tela azul da inicialização
diagnóstico
Usando
de
o
morte e você precisar obter as informações exibidas. Quando o sistema parar em sua próxima tela azul,
você terá todo o tempo necessário para copiar as informações.
As assinaturas digitais usam um certificado de assinatura de código para criptografar o hash de um arquivo.
(Hashes são impressões digitais únicas — qualquer alteração no arquivo alterará o hash.)
Esse hash criptografado é então empacotado com o certificado e o executável do driver. Quando o usuário
final instala o driver, o hash do arquivo é descriptografado com a chave pública do certificado. O arquivo
recebe o hash novamente no sistema do usuário final e o novo hash é comparado ao hash descriptografado.
Se forem iguais, o driver não foi adulterado.
Se você optar por desabilitar a imposição de assinatura de driver, poderá carregar drivers não assinados.
Escolha esta opção por sua conta e risco: você pode acabar instalando um malware que se apresenta como
um driver não assinado.
A Microsoft faz o possível para evoluir e responder às ameaças e evitá-las sempre que possível.
Nesse caso, ele criou o driver antimalware de inicialização antecipada (ELAM). Os fornecedores de
antivírus certificados cujos produtos suportam o lançamento antecipado podem fazer com que os
drivers de seus produtos sejam iniciados antes dos drivers de inicialização do Windows, o que permite
que eles verifiquem processos maliciosos na inicialização. Muito legal, certo?
Mas o que acontece se um driver de inicialização legítimo do Windows for sinalizado como
malicioso? Seu servidor não inicializa. Portanto, a Microsoft oferece a capacidade de desativar esse
recurso, escolhendo Desativar driver anti-malware de inicialização antecipada, para permitir que o
driver de inicialização seja iniciado normalmente.
Esse recurso é ótimo para se ter. Desative-o apenas se for absolutamente necessário e somente até
que o problema seja resolvido.
» Test Mix: O test mix é o conjunto de testes que você deseja que a ferramenta execute:
• Padrão: executa os mesmos testes em sua memória que o Básico e adiciona cinco
testes adicionais. Leva mais tempo para ser concluído do que o Básico.
Este teste é o mais detalhado e leva mais tempo para ser concluído.
Se você não sabe o que cada um desses testes está procurando, Standard é um bom ponto
de partida para seus testes. Estendido leva mais tempo, portanto, se você não precisar dos
testes extras, poderá não obter nenhuma informação valiosa ao executá-los.
Dito isso, não fará mal ao seu servidor executar qualquer um dos três testes.
» Cache: Cache define a configuração de cache (cache é usado para melhorar a velocidade de
acesso à memória para coisas que são acessadas com frequência pela CPU) para cada teste
que você vai executar. O cache deve ser desativado se você estiver executando testes que
exijam acesso direto à memória. Suas opções são as seguintes:
» Pass Count (0–15): A contagem de passes controla quantas vezes toda a mistura de teste
selecionada será executada. Se for definido como 5, a mixagem de teste selecionada
executará seus testes cinco vezes. O padrão para esta configuração é fazer duas passagens.
Depois de fazer suas seleções, pressione F10 para aplicar as configurações e a verificação
será reiniciada.
FIGURA 2-5:
Opções da ferramenta de
diagnóstico de memória
do Windows.
Na Tabela 2-1, listo algumas das ferramentas mais úteis que usei ao longo dos anos.
A maioria desses comandos precisa que o prompt de comando seja executado com credenciais
de administrador. Para executar o Prompt de Comando como administrador, escolha Iniciarÿ
Sistema Windows, clique com o botão direito do mouse em Prompt de Comando, clique em
Mais e selecione Executar como Administrador ou, se puder abrir o Gerenciador de Tarefas,
escolha Arquivoÿ Executar Nova Tarefa e digite cmd.exe.
Sistema sfc /scannow Este utilitário verifica os arquivos do sistema para ver se eles
Verificador de arquivos
correspondem ao esperado, comparando a assinatura do
arquivo do sistema no servidor com a assinatura de uma
cópia em cache do mesmo arquivo. Os arquivos em
cache são armazenados em uma pasta compactada
localizada em C:\Windows\System32\dllcache. Se um arquivo
de sistema corrompido for encontrado, ele será substituído.
Verifique o disco
chkdsk /f /r Este utilitário repara erros do sistema de arquivos e marca setores
defeituosos para que o sistema operacional não os use
mais. O /f dirá ao utilitário para corrigir quaisquer problemas
que encontrar e o /r localizará as áreas defeituosas (setores)
no disco. Isso pode demorar um pouco. Dê o pontapé inicial e
pegue uma xícara de café.
Driverquery driverquery Este utilitário consulta o sistema em busca de todos os drivers de hardware
instalados no Windows. Isso pode ser muito útil se você estiver
enfrentando problemas com sistemas que possuem hardware
semelhante e quiser saber se eles têm um driver em comum.
Este capítulo não estaria completo sem uma breve olhada nos utilitários de terceiros projetados
para ajudar a diagnosticar e resolver problemas de inicialização ou, pelo menos, auxiliar na
recuperação. A Tabela 2-2 lista dois dos meus favoritos, juntamente com seus custos e uma
breve descrição.
Ultimate Boot CD grátis Este é um dos meus utilitários favoritos de todos os tempos. Inclui
várias ferramentas de diagnóstico e recuperação. Para
usá-lo, você inicializa no disco. É tão fácil! Acesse www.
ultimatebootcd.com para mais informações.
inicialização
diagnóstico
Usando
de
o
Kit de resgate gratuito Trinity Trinity Rescue Kit está cheio de ótimos recursos, este também é
um utilitário muito útil. Acesse https://trinityhome.org para obter mais
informações.
NESTE CAPÍTULO
Capítulo 3
Executando o básico
Instalação
Você pode estar se perguntando o que vem a seguir. Uma das coisas mais importantes
Você tomou a decisão:
que você deseja
pode fazer para instalar o Windows
garantir uma Server
instalação 2022. Ótimo!
bem-sucedida é certificar-se de atender
Cumprindo todos os pré-requisitos para o Windows Server 2022. Ao garantir que você tenha o
hardware apropriado para atender às necessidades do sistema operacional, você pode
definitivamente evitar algumas dores de cabeça mais tarde.
Quando tiver tudo o que é necessário para instalar o Windows Server 2022, você estará pronto
para começar. Neste capítulo, oriento você sobre como executar uma instalação limpa, bem como
uma instalação de atualização. Também explico como fazer uma instalação de rede com os
Serviços de Implantação do Windows.
Você deve saber que não pode mais mudar entre o Server Core e o Server with
Desktop Experience. Esse recurso foi removido no Windows Server 2016 para dar
suporte à experiência de área de trabalho mais recente do Windows 10 no servidor,
em vez da experiência de área de trabalho herdada mais antiga que você tinha com
o Windows Server 2012 R2. Se você instalar o Server Core e, em seguida, mudar de
ideia e decidir que realmente deseja o Server with Desktop Experience, será
necessário reinstalá-lo. Se você tentar usar a mídia de instalação do Windows
Server para alternar entre a experiência Core e Desktop, não terá a opção de manter nada.
O Windows Server 2022 está disponível apenas como um sistema operacional de 64 bits; não
há versão de 32 bits disponível. Ao executar o instalador, são apresentadas opções para a
edição Standard ou Datacenter. Ao mesmo tempo, você escolhe se deseja instalar o Server
Core ou o Server with Desktop Experience.
Onde discuto os requisitos mínimos nesta seção, é importante entender que esses são os
mínimos necessários para instalar o Windows Server 2022 com êxito. Você não deve esperar
que seu servidor tenha um bom desempenho se fornecer as especificações listadas aqui. Para
qualquer carga de trabalho real, seu servidor deve ter processadores mais rápidos, mais núcleos
de processador e mais memória.
Então, quais são os mínimos absolutos que você precisa atender para instalar o Windows
Server 2022? Leia.
Na maioria das vezes, não há muitas diferenças entre os requisitos mínimos do Server
Core e os do Server with Desktop Experience. A única exceção muito importante a
isso é a quantidade de memória de acesso aleatório (RAM). O requisito mínimo para
instalar o Server Core é de 512 MB de RAM; O servidor com experiência de área de
trabalho precisa de no mínimo 2 GB de RAM.
Se estiver instalando o Windows Server 2022 Standard, você deve basear as especificações
de hardware nos requisitos da carga de trabalho que pretende executar. Se você optar por
executar o Windows Server 2022 Datacenter, talvez queira instalar um hardware melhor.
Um ótimo exemplo de caso de uso para a edição Datacenter é como um host Hyper-V. A
edição Datacenter não limita você em termos de quantas máquinas virtuais (VMs) você
pode executar. Seu hardware será realmente o fator limitante. Nesse caso de uso, você
deseja vários núcleos e muita memória.
» Processador de 1,4 GHz 64 bits: Considerando que o sistema operacional é um sistema x64, faz
sentido que o processador também seja um processador x64.
Mesmo um servidor barato com um processador inferior deve ser capaz de atender ao requisito
de 1,4 GHz com louvor.
A Intel pode se referir a essa tecnologia como XD (abreviação de Execute Disable), enquanto os
processadores AMD se referem a ela como Enhanced Virus Protection (EVP).
» Oferece suporte à conversão de endereço de segundo nível (tabela de página estendida [EPT] ou
tabela de página aninhada [NPT]): esse recurso é especialmente importante se você
planeja executar o Hyper-V. Ele melhora o desempenho das VMs no sistema e tira um pouco da
pressão do hipervisor, o que pode, por sua vez, melhorar o desempenho do hipervisor.
Você pode estar curioso para saber se sua CPU suporta esses requisitos.
A Microsoft oferece uma ferramenta que faz parte da suíte Sysinternals chamada Coreinfo;
esta ferramenta informa o que seu processador é capaz de suportar. Você pode baixar o
Coreinfo gratuitamente no site da Microsoft (https://docs.microsoft.com/en-us/sysinternals/
downloads/coreinfo). O arquivo que você baixou é um arquivo zip compactado, então
você precisa extraí-lo primeiro. Em seguida, inicie um prompt de comando para executar o
utilitário. Para executar o Coreinfo, simplesmente digite coreinfo na janela de comando e
você obterá um relatório de todos os recursos disponíveis e indisponíveis. Os recursos
disponíveis são marcados com um asterisco (*) e os recursos indisponíveis são marcados
com um hífen (-), conforme mostrado na Figura 3-1.
FIGURA 3-1:
Executando o
Utilitário Coreinfo
em um Windows
sistema.
Armazenar
Não há nenhuma fórmula ou cálculo sofisticado aqui. Se você deseja instalar o Windows
Server 2022, precisa de no mínimo 32 GB de espaço no disco rígido. Lembre-se de que este
é o mínimo absoluto para instalar o sistema operacional. Se você tiver apenas 32 GB, não
terá espaço para instalar mais nada. Se você estiver limitado no espaço de armazenamento,
de acordo com a Microsoft, o Windows Server Core é aproximadamente 4 GB menor que o
Windows Server com experiência de área de trabalho.
Adaptador de rede
Um servidor não serve de nada se você não puder acessá-lo. O adaptador de rede, também
chamado de placa de interface de rede (NIC), fornece ao servidor uma maneira de se comunicar
na rede. Para o Windows Server 2022, seu adaptador de rede terá que suportar pelo menos gigabit
ethernet. Seus adaptadores de rede podem estar integrados, o que significa que fazem parte da
placa-mãe, ou podem estar em uma NIC, que se conecta a um slot PCI Express.
unidade de DVD
Nem todos os servidores vêm mais com unidades de DVD. Existem muito mais opções para
instalar sistemas operacionais, como inicializar a partir de unidades flash ou inicializar a partir da
rede, que muitos administradores de sistema não se importam com DVDs. Dito isso, se você
deseja instalar a partir de um DVD, precisa garantir que possui uma unidade de DVD. A unidade
pode ser interna ou externa.
de Entrada/Saída (BIOS) neste ponto. Eu recomendo fortemente que você escolha UEFI em vez
de BIOS. Será necessário se você quiser usar alguns dos recursos avançados, como inicialização
segura.
Monitor
Nem é preciso dizer que você precisa ser capaz de ver o que está acontecendo com seu servidor
quando estiver instalando seu sistema operacional. O Windows Server 2022 requer uma conexão
Super Video Graphics Array (SVGA) com resolução de tela mínima de 1024 x 768. Você pode
fazer isso conectando um monitor físico ao servidor ou visualizando o fluxo de vídeo por meio de
um KVM.
Os KVMs permitem que você use um teclado, monitor (vídeo, na sigla) e mouse para administrar
vários servidores. Os KVMs mais antigos exigiam que você estivesse fisicamente no local para
usar o teclado, o monitor e o mouse. Os KVMs modernos permitem que você administre seus
servidores remotamente por meio de um serviço da Web e fornecem funcionalidade semelhante
à que você obteria se conectasse fisicamente um teclado, monitor e mouse ao seu servidor.
teclado e mouse
Você pode conectar um teclado e um mouse diretamente ao servidor durante a geração de
imagens ou pode apresentá-los ao sistema por meio de um KVM. De qualquer forma, você
precisa de algum tipo de teclado e mouse para interagir com o sistema.
Nesta seção, suponho que você já inicializou em qualquer mídia que usará para a instalação
(DVD, unidade flash e assim por diante) e está na tela inicial de instalação do Windows Server
2022. Se Depois de fazer isso, você deverá ver uma tela parecida com a da Figura 3-2. A partir
desta tela, siga estas etapas:
FIGURA 3-2:
A primeira tela de
instalação do
Windows Server
2022.
FIGURA 3-3:
O botão Instalar
agora do
Windows
Server 2022.
Instalação Executando
básico
o
FIGURA 3-4:
Escolhendo a
edição desejada
e a experiência do
Windows
Servidor 2022.
O Windows Server 2022 inicia a instalação e reinicia após a conclusão. É aí que a verdadeira
diversão começa!
FIGURA 3-5:
Escolha onde
instalar o Windows.
Atualizando o Windows
Ao considerar uma instalação de atualização, você precisa garantir que a versão do sistema
operacional com a qual você está começando possa ser atualizada para o Windows Server
2022. A Tabela 3-1 informa de quais sistemas operacionais você pode atualizar e de qual
edição do Windows Server 2022 para o qual você pode atualizar.
Como regra geral, você pode atualizar diretamente para o sistema operacional Windows
Server mais recente, desde que esteja nas duas últimas versões principais.
Centro de dados do Windows Server 2016 Centro de dados do Windows Server 2022
Você também precisa verificar com seus fornecedores de aplicativos para garantir que os
aplicativos no servidor sejam compatíveis com o Windows Server 2022. Se não forem, talvez
seja necessário atualizar seus aplicativos antes de atualizar o sistema operacional do servidor.
Instalação Executando
básico
o
Depois de verificar se está em uma versão compatível, você pode iniciar a instalação da
atualização. Para este exemplo, começarei com uma instalação do Windows Server 2019
Standard e a atualizarei para o Windows Server 2022 Standard. Siga esses passos:
A próxima tela pergunta se você deseja fazer o download de atualizações e drivers com
antecedência (consulte a Figura 3-6).
FIGURA 3-6:
Escolha entre manter
seus arquivos e
configurações ou
começar do zero.
Todas as atualizações relevantes serão baixadas. Pode ser necessário reiniciar antes de poder
continuar.
Na tela Instalar o Windows Server, você verá um link Alterar como a instalação baixa as
atualizações. Clicar neste link permite que você não corrija o servidor no momento da instalação. Não
recomendo fazer isso, a menos que o servidor não tenha uma conexão com a Internet, porque ele estará
potencialmente vulnerável a ataques até que seja corrigido.
4. Selecione Windows Server 2022 Standard com experiência de área de trabalho (ou
qualquer versão desejada) e clique em Avançar.
Na próxima tela, você escolhe se deseja manter seus arquivos e aplicativos pessoais ou não manter
nada. Se você continuar com a mesma experiência (Core ou Desktop), verá as duas opções. Se você
está mudando a experiência, a única opção que você terá será não guardar nada.
6. Se você tiver a opção, selecione o botão de opção Keep Personal Files and
Apps e clique em Next.
Se você deseja começar limpo, pode selecionar Nothing. Esteja ciente de que você perderá dados
se escolher esta opção. No meu caso, como estou usando mídia de avaliação, só posso escolher
Nothing. Essa tela é mostrada na Figura 3-6.
O instalador inicia a instalação da atualização para o Windows Server 2022. Ele pode ser
reiniciado várias vezes durante esse processo.
A instalação do WDS é bastante simples. Você pode optar por instalá-lo como um
Instalação Executando
básico
o
A partir daí, você precisa criar os arquivos de instalação. A maneira mais simples de
começar é copiar install.wim da mídia de instalação do Windows Server 2022
(novamente no diretório Sources) para o sistema que servirá como seu servidor WDS.
Você terá as mesmas opções de edição e experiência que teria com o assistente de
instalação no disco. Depois que o WDS estiver totalmente configurado, ele servirá as
imagens pela rede. Tudo o que você precisa fazer é dizer ao seu novo servidor para
inicializar a partir da rede.
Se você estiver fazendo uma instalação de rede e o servidor não estiver na mesma sub-rede do
servidor WDS, será necessário definir as opções 66 e 67 do protocolo DHCP (Dynamic Host
Configuration Protocol). A opção 66 especifica o nome do host ou endereço IP do servidor WDS
e Opção 67 é o nome do arquivo de inicialização. Você também pode precisar criar uma regra de
firewall para permitir as portas UDP 67 e 68 se houver um firewall entre as duas redes.
NESTE CAPÍTULO
Capítulo 4
Executando Inicial
Tarefas de configuração
começar! Como administrador, sua próxima tarefa depois de instalar o sistema
Agora que você instalou
operacional o Windows
do servidor Server para
é configurá-lo 2022, é hora
fazer devocê
o que se divertir
deseja.
Se estiver trabalhando em um sistema Server Core, você não usará o Server Manager
no console. Em vez disso, você usará o utilitário sconfig para fazer sua configuração
inicial, supondo que não esteja implantando imagens Server Core que já estão configuradas
para seu ambiente. Claro, você pode usar o Server Manager para administrar seus sistemas
Server Core remotamente, com uma pequena configuração inicialmente para fazer as coisas
funcionarem. Abordo esse assunto em minha visão geral do processo de configuração.
Endereço de IP Atribuído por DHCP Por padrão, seu novo servidor está usando DHCP
para receber automaticamente um endereço IP. Se
sua organização usa DHCP para gerenciar
endereços IP, você está pronto para ir. Caso
contrário, pode ser necessário definir um endereço IP
estático.
Microsoft Perfis públicos e privados: Em seu estado padrão, o Microsoft Defender Firewall
Firewall de defesa ativado tem um perfil público e privado. A funcionalidade
principal necessária para o funcionamento do sistema
Core OS
operacional é permitida automaticamente. O perfil
Funcionalidade: Permitido
do domínio aparecerá se o servidor ingressar no
domínio.
Funções e recursos Algumas funções/recursos estão Algumas funções e recursos são ativados
instalados imediatamente para permitir a funcionalidade básica do
Área de trabalho remota Desabilitado Permite que os usuários se conectem à área de trabalho
do servidor remotamente. Os usuários permitidos
podem ser configurados individualmente ou por
grupos de segurança.
muita coisa. Você precisará seguir algumas etapas básicas de configuração. Algumas dessas
etapas são básicas, como definir o dia e a hora; outras são tarefas que permitirão que você
gerencie seus sistemas remotamente.
» Configurar a rede.
Você pode encontrar os detalhes sobre como realizar cada uma dessas tarefas na seção a seguir.
Ao implantar novos servidores, você precisa executar determinadas tarefas, como ativar o sistema
operacional com uma chave de produto válida da Microsoft, definir o fuso horário, alterar o nome
e adicionar o servidor ao domínio. Nesta seção, explico como fornecer informações para o
servidor no Windows Server 2022 com Desktop Experience e no Server 2022 Core.
Ativação
Uma das primeiras coisas que você faz depois de instalar o sistema operacional Windows Server
é ativá-lo com uma chave de produto válida. Você pode fazer isso por meio da interface da área
de trabalho ou do PowerShell.
Nesta seção, abordo a ativação por meio da interface da área de trabalho. Abordei a ativação por
meio do PowerShell na seção posterior sobre ativação para Server Core.
5. Clique em Ativar.
6. Clique em Fechar.
Você é deixado na tela de ativação mostrada na Figura 4-1, onde vê que sua versão do Windows
agora está ativada.
FIGURA
4-1: A tela de
ativação
mostrando que
o Windows
Server 2022 está ativado.
Executando
Inicial configuração
Tarefas
de
Fuso horário
Definir o fuso horário é uma tarefa comum no processo de provisionamento do servidor. Você
pode querer definir o servidor para o fuso horário em que você está ou para o mesmo fuso
horário de um escritório corporativo localizado em outro lugar. Isso é comum se seus servidores
estiverem em um mesmo local e você desejar que eles estejam no mesmo fuso horário de seus
sistemas locais.
Isso pode já estar definido para o fuso horário correto para sua área.
5. Se você estiver em uma área que usa horário de verão, clique na caixa de seleção
ao lado de Ajustar automaticamente o relógio para o horário de verão. Se você não usar o
horário de verão, deixe a caixa desmarcada.
Este será o nome padrão que começa com WIN- e será seguido por uma sequência aleatória
de letras e números.
Uma caixa de diálogo aparece informando que você precisa reiniciar o servidor.
5. Clique em OK.
Uma caixa de diálogo aparece informando que você precisa reiniciar o servidor.
Configurar rede
Seu servidor usará um endereço IP atribuído dinamicamente por padrão. Se isso não
for desejável, convém definir um endereço IP estático para que o servidor continue a
usar o mesmo endereço.
2. Ao lado de Ethernet, clique no hiperlink que diz Endereço IPv4 atribuído por
DHCP, IPv6 ativado.
3. Clique com o botão direito do mouse em seu adaptador de rede (deve ser chamado de Ethernet) e clique em
Propriedades.
FIGURA 4-2:
A Internet
Protocolo Versão 4
Caixa de
diálogo Propriedades.
Ativação
O Windows Server Core oferece algumas opções diferentes para ativar sua cópia do Windows
Server 2022. Nesta seção, abordo a ativação via sconfig, bem como a ativação via PowerShell.
Após a instalação da chave, você verá uma mensagem informando que a chave foi instalada
com sucesso.
Uma janela do prompt de comando é iniciada novamente com o script slmgr.vbs para
executar a ativação. Supondo que não haja erros, isso será concluído sem nenhuma mensagem.
Depois de fazer login no Windows Server Core, você verá o utilitário sconfig. A partir daí, você pode
ativar sua cópia do Windows. Para definir a licença e fazer a ativação a partir da linha de comando,
você precisará selecionar a opção 15 do menu, “Sair para a linha de comando (PowerShell)”. Para
ativar, você deve definir a chave. Você faz isso com o script do Windows Server License Manager,
slmgr.vbs.
O script slmgr.vbs permite que você trabalhe com as chaves de produto do Windows Server de
maneiras diferentes, dependendo do parâmetro que você usa junto com ele. No exemplo deste livro,
utilizo -ipk e -ato. O parâmetro -ipk é usado ao instalar as chaves do produto e o parâmetro -ato é
usado para especificar a ativação online.
Para instalar a chave do produto necessária para sua versão do Windows Server 2022, use o seguinte
comando com o parâmetro -ipk. Basta substituir <pro ductkey> pela sua chave de licença de 25
caracteres, incluindo os hífens.
Você obtém uma caixa de diálogo que informa a chave do produto instalada com sucesso. Clique OK.
Após a instalação da chave de licença, use o mesmo script com o parâmetro -ato para fazer uma
ativação online de sua cópia do Windows. Você faz isso com o seguinte comando:
Executando
Inicial configuração
Tarefas
de
slmgr.vbs -ato
Se a ativação for bem-sucedida, você verá uma caixa de diálogo informando que o produto foi ativado
com sucesso (consulte a Figura 4-3).
FIGURA 4-3:
Usando slmgr.
vbs para ativar
o Windows Server.
Fuso horário
Assim como a ativação no Windows Server Core, você pode definir o fuso horário via sconfig ou
PowerShell. Nesta seção, abordo os dois métodos. O melhor da versão do PowerShell é que
ela também funcionará no Windows Server com experiência de área de trabalho.
Sconfig é o utilitário de configuração integrado no Windows Server Core. Por ser um menu
simples baseado em texto, ele fornece uma maneira simples para os administradores configurarem
o fuso horário sem a necessidade de conhecimento de script para fazer isso.
4. Se você estiver em uma área que usa horário de verão, clique na caixa de seleção
ao lado de Ajustar automaticamente o relógio para o horário de verão. Se
você não usar o horário de verão, deixe a caixa desmarcada.
5. Clique em OK para sair da caixa de diálogo Configurações de fuso horário e
clique em OK mais uma vez para sair da caixa de diálogo Data e hora.
Se você preferir trabalhar no PowerShell, também poderá definir o fuso horário a partir dele. Isso
utiliza o comando de controle para chamar a tela de Data e Hora do Painel de Controle.
Se não tiver certeza de qual é o ID do seu fuso horário, você pode executar Get-TimeZone
-ListAvailable para ver todos os fusos horários que você pode escolher.
O utilitário sconfig no Windows Server Core simplifica a alteração do nome do seu servidor
com seus menus baseados em texto. Siga esses passos:
3. Digite sim para reinicializar agora ou não para reinicializar mais tarde.
6. Clique em sim para reiniciar agora ou não para reiniciar mais tarde.
Embora o sconfig seja um bom utilitário, você pode querer criar um script para as alterações
que deseja fazer. Sempre que for esse o caso, o PowerShell pode ser muito útil. Desde a
execução de scripts em lote no prompt de comando até a execução do PowerShell
3. Você recebe uma mensagem informando que o nome NetBIOS será truncado se seu
nome tiver mais de 15 caracteres.
A capacidade de criar um script para ingressar no domínio é uma habilidade útil se você for
implantar qualquer quantidade de servidores. A adição de um domínio por meio do PowerShell
não apenas simplifica a tarefa, mas também ajuda a garantir que não haja erros no processo
de ingresso no domínio.
4. Clique em OK.
O servidor é reiniciado.
Configurar rede
Antes de definir o endereço IP do adaptador com o PowerShell, você precisa descobrir qual
é o índice da sua interface. Você pode fazer isso digitando o seguinte:
Get-NetAdapter
A saída lista todos os adaptadores de rede. Neste caso, você quer aquele que diz
Ethernet. Depois de obter o número de índice, você pode definir o endereço IP e os
servidores DNS. No meu servidor, o índice é 4.
Não discuti muito o PowerShell neste ponto, e este é um pouco mais complexo do
PowerShell. O New-NetIPAddress é um cmdlet que permite trabalhar com endereços
IP em sistemas Windows Server. Os parâmetros que vêm depois, como -InterfaceIndex,
ajudam a identificar o objeto com o qual você deseja trabalhar (o adaptador de rede,
neste caso) ou a fazer alterações nas configurações, como o parâmetro -IPAddress
onde você especifica o endereço IP que deseja deseja definir no adaptador de rede.
Executando
Inicial configuração
Tarefas
de
FIGURA 4-4:
Configurando o
endereço IP
com o PowerShell.
Para definir o servidor DNS depois disso, o comando usa o mesmo número de índice
para minha placa de rede. ServerAddresses é usado para identificar os servidores DNS
que o sistema deve usar (consulte a Figura 4-5). Se você tiver mais de um, pode
separá-los com uma vírgula.
FIGURA 4-5:
Configurando os
servidores DNS
com o PowerShell.
Atualizações automáticas
A maioria das organizações usa atualizações automáticas. As instruções a seguir orientam você
na configuração do seu servidor para acessar os servidores de atualização da Microsoft (o
comportamento padrão).
Muitas organizações têm soluções de patch que lidam com o agendamento de atualizações e
ainda podem ser consideradas uma atualização automática porque a ferramenta agendará a
implantação de patches aprovados.
4. Selecione Ativado.
Em Configurar atualização automática, você pode ver que está definido como Baixar
automaticamente e notificar para instalar. Esta é a configuração padrão.
5. Clique na caixa suspensa e selecione a configuração que funciona melhor para o seu
ambiente.
No meu caso, escolhi Baixar automaticamente e agendar a instalação. Consulte a Figura 4-6
para obter um exemplo.
Executando
Inicial
FIGURA 4-6:
Usando o Editor de
Diretiva de
Grupo Local para
alterar a
configuração de
atualizações
automáticas no Windows Server 2022.
Atualizações automáticas
Há duas maneiras de habilitar atualizações automáticas no Server Core: usando o utilitário sconfig e
usando o PowerShell.
O menu baseado em texto fornecido pelo utilitário sconfig torna a habilitação de atualizações
automáticas muito simples. Você pode configurar atualizações automáticas em apenas quatro etapas rápidas:
Você tem a opção de selecionar A para download e instalação automáticos, D apenas para download (que
é o padrão) ou M para atualizações manuais.
Para definir as atualizações como automáticas por meio do PowerShell, você precisa navegar até C:
\Windows\system32 e parar o serviço Windows Update. Já pode estar parado. Em seguida, você pode
usar o programa de script para executar scregedit.wsf. Adicionar a opção /AU 4 ativa as atualizações
automáticas, /AU 1 desabilita as atualizações automáticas. O exemplo a seguir habilita as atualizações
do Windows:
Se você quiser ver um exemplo de como isso se parece e quais devem ser as respostas, consulte a
Figura 4-7.
FIGURA 4-7:
Configurando
atualizações
automáticas no PowerShell.
wuauclt /detectnow
Para esta demonstração, escolhi File Server em File and Storage Services (consulte a
Figura 4-8).
FIGURA 4-8:
O servidor selecionado
Tela de funções
Executando
Inicial configuração
Tarefas
de
selecionado.
8. Se desejar que o servidor reinicie automaticamente se necessário para a função instalada, você
pode marcar a caixa de seleção Reiniciar o servidor de destino automaticamente se
necessário. Se uma reinicialização não for necessária ou se você não quiser que ela seja
reiniciada, deixe a caixa de seleção desmarcada.
O Gerenciamento Remoto é ativado por padrão e permite a administração remota por meio do PowerShell.
A área de trabalho remota é uma configuração separada que permite conectar-se ao servidor e trabalhar
diretamente com ele.
3. Na caixa de diálogo que aparece, selecione Permitir conexões remotas para este
Computador.
Uma caixa de diálogo aparece informando que uma exceção de firewall será feita para a Área
de Trabalho Remota.
4. Clique em OK.
5. Se você deseja definir o acesso remoto para pessoas ou grupos específicos, clique no botão
Selecione o botão Usuários.
8. Clique em OK mais uma vez na tela Propriedades do sistema para ativar a Área de
trabalho remota.
FIGURA 4-9:
Permitindo um
aplicativo por meio
do Micro soft Defender
Firewall.
enquanto estiver conectado ao console ou por meio do PowerShell remoto, você pode fazer
grande parte do trabalho de configuração com apenas alguns comandos do PowerShell.
trabalhar realmente bem com o Server Core, metade da batalha que você enfrenta é aprender
como encontrar as coisas que deseja. No Server with Desktop Experience, você tem a GUI
para guiá-lo. Não é assim com o Server Core.
Vejamos o exemplo que usei com o servidor Desktop Experience. Você deseja instalar a
função de servidor de arquivos. Antes de instalar a função, você precisa descobrir como
chamá-la. Usando Get-WindowsFeature, você pode encontrar os nomes das funções e
recursos nos quais está interessado. Se você tiver uma ideia de qual é o nome, poderá
fazer uma pesquisa curinga. No exemplo a seguir, usei *arquivo* para indicar que desejo
que o cmdlet Get-WindowsFeature retorne resultados que contenham a palavra arquivo .
Get-WindowsFeature *arquivo*
Ao digitar o comando anterior, você obtém três resultados de itens que possuem arquivo
em seus nomes. Você pode ver Servidor de arquivos em Nome de exibição. Para o
comando de instalação, você precisa do nome na coluna Nome. Neste caso, é o FS
FileServer. Agora você está pronto para instalá-lo! Use o seguinte comando para instalar
o servidor de arquivos (consulte a Figura 4-10):
Install-WindowsFeature FS-FileServer
FIGURA 4-10:
Usando o PowerShell
para instalar
funções e recursos.
Você vê uma barra de progresso conforme o recurso é instalado. Depois de instalado, se você
executar o primeiro comando novamente, verá que todos os três resultados estão instalados. O
File and iSCSI Services foi instalado porque o File Server depende dele.
Configurar-SMRemoting -Ativar
Para poder administrar o servidor remotamente com o PowerShell, você precisa de dois
comandos adicionais. Enable-PSRemoting configura o PowerShell para receber comandos
remotos que são enviados ao seu sistema. Winrm quickconfig irá analisar e configurar
automaticamente o serviço WinRM para você. Isso é muito útil quando você deseja apenas que
funcione e não precisa personalizá-lo. O comando inicia o serviço WinRM, caso ainda não tenha
sido iniciado, e garante que o WinRM seja definido para iniciar automaticamente. Ele também
configura ouvintes para HTTP e HTTPS e garante que o firewall do Windows esteja permitindo
a entrada de tráfego HTTP e HTTPS.
Enable-PSRemoting -force
A execução do winrm quickconfig é um pouco diferente. Depois de fazer sua análise, ele informa
o que precisa ser alterado e pede um sim ou não para fazer as alterações necessárias. Selecione
Y e pressione Enter. Se tudo parecia bem durante a análise, você será informado de que o
WinRM já está em execução e já está configurado para gerenciamento remoto em vez da
pergunta sim/não.
com o Microsoft Defender Firewall no Server Core é bastante simples. Você precisa encontrar o
nome da regra com a qual deseja trabalhar primeiro. Você pode fazer isso com o comando Get-
NetFirewallRule (consulte a Figura 4-11). Usar o comando Format-table no final torna a saída
mais legível. Experimente o comando sem ele — você entenderá o que quero dizer!
FIGURA 4-11:
Usando Obter
NetFirewall
Regra para encontrar
regras.
O comando anterior procura quaisquer regras que tenham remote no nome. Você pode ver cada
regra e se ela está habilitada.
Vamos habilitar as regras de gerenciamento remoto de firewall. Isso permitiria que você
administrasse o firewall desse servidor a partir de outro sistema. As regras nas quais você está
interessado são RemoteFwAdmin-In-TCP e RemoteFWAdmin-RPCSS-In-TCP.
Aqui estão os comandos que você usará para ativá-los (consulte a Figura 4-12):
Se os comandos forem concluídos com sucesso, você não receberá nenhuma resposta. Você
retornará ao prompt do PowerShell. Se você executar sua pesquisa novamente, verá que essas
regras agora estão habilitadas.
FIGURA 4-12:
Usando o PowerShell
para definir
regras de
firewall e
validar se estão habilitadas.
Erros cometidos usando o utilitário BCDEdit podem deixar seu sistema incapaz de inicializar. Executando
Inicial configuração
Tarefas
de
Certifique-se sempre de ter um bom backup do sistema ou, se não tiver um bom backup,
exporte as configurações atuais do BCDEdit para poder restaurá-las, se necessário. Você
pode exportar o banco de dados de configuração de inicialização atual digitando BCDEdit /
Export <export_path>. Se você precisar restaurar a partir dessa exportação, o comando será
muito semelhante. Você só precisa digitar BCDEdit /Import <path_to_export>.
A Tabela 4-2 lista algumas das opções mais comuns disponíveis para o BCDEdit.
/deletevalue Exclui ou remove uma opção de entrada de inicialização — use com cuidado!
/Ordem de exibição Define a ordem usada pelo gerenciador de inicialização ao exibir o menu de inicialização
múltipla.
/exportar Exporta o conteúdo do BCD; pode ser usado como um backup para restaurar o BCD.
/importar Importa o conteúdo de um arquivo exportado; pode ser usado como uma opção
de restauração, se necessário.
Na maioria das vezes, você usará bcdedit /set para fazer alterações em seu armazenamento de
dados de configuração de inicialização. Antes de fazer qualquer alteração, você precisa saber
como está o seu BCD atualmente. Você pode usar a opção /enum para fazer isso. Na Figura
4-13, você pode ver as configurações atuais do Windows Boot Manager e do Windows Boot Loader.
Você pode perceber que a descrição no Windows Boot Loader diz apenas Windows Server.
Talvez você queira que seja mais descritivo do que isso. Você pode alterá-lo com bcdedit /set.
Você precisa do ID do objeto no qual deseja trabalhar. Nesse caso, você deseja editar o
carregador de inicialização do Windows; o identificador que você pode ver na Figura 4-13 é
{current}. O comando completo que você digitar será mais ou menos assim:
Este comando funcionará perfeitamente em um prompt de comando, mas se você tentar executá-
lo no PowerShell, precisará colocar o identificador entre aspas. Por exemplo, se eu fosse
executar o comando no PowerShell, digitaria assim:
Quando você receber a mensagem A operação foi concluída com êxito, use bcde dit /enum
novamente. Você verá sua nova descrição. Veja a Figura 4-14 para meu exemplo.
FIGURA 4-13:
Usando bcdedit /enum
para ver as
configurações atuais
do armazenamento de
dados de
configuração de inicialização.
Executando
Inicial configuração
Tarefas
de
FIGURA 4-14:
Usando bcdedit /set
para alterar a descrição
da entrada do Windows
Boot Loader.
Por que você deseja alterar o nome no carregador de inicialização do Windows? Considere
o exemplo de um sistema de inicialização múltipla que possui o mesmo sistema operacional
em ambos os discos. Os discos são usados para finalidades muito diferentes, portanto, você
deve garantir que se lembra qual é qual. Ser capaz de alterar as descrições simplificará a
escolha do disco apropriado no menu de inicialização. O BCDEdit também pode ser usado
para alterar a ordem do menu de inicialização. Isso é útil se você deseja definir um de seus
discos para ser o primeiro na lista e o disco padrão para inicializar após um determinado
período de tempo.
2 Configurando
janelas
Servidor 2022
Machine Translated by Google
Resumo do conteúdo
CAPÍTULO 1: Configurando funções e recursos do servidor . . . . . . . . . . . 75
. . . . . . . . . . . . . . . . . . . . . . . . . . 145
CAPÍTULO 3: Usando o Menu de Configurações
NESTE CAPÍTULO
Capítulo 1
Configurando funções e
recursos do servidor
tornará sua vida como administrador de sistema muito mais simples. de saber
Estar familiarizado
como acessar com
asoinformações
Server Manager e como
básicas encontrar
sobre as ferramentas
seu servidor (como seunecessárias
nome de
host, endereço IP e status de ativação) para instalar novas funções e recursos, o Server
Manager oferece a você um ponto de administração central para começar.
Este capítulo começa com uma introdução ao Server Manager e discute onde estão
localizadas as ferramentas que permitirão que você execute seu trabalho. Em
seguida, explico as funções e os recursos disponíveis no Windows Server 2022.
O Server Manager é onde você passará muito tempo com um novo servidor. Ele é
iniciado logo após o login e é uma área de gerenciamento central para o servidor
no qual você está conectado.
Quando você fizer logon pela primeira vez, o Gerenciador do Servidor será iniciado com o Painel selecionado.
O Dashboard tem um bloco grande na parte superior, chamado de bloco Quick Start, que contém
tarefas típicas de configuração inicial do servidor disponíveis como hiperlinks, mostrados na Figura
1-1. Se você deseja que esse bloco grande desapareça, clique em Ocultar no canto inferior direito.
FIGURA 1-1:
Painel do
Gerenciador do
servidor com o
bloco Início rápido
na parte superior.
Abaixo do bloco Quick Start estão os blocos para todas as funções instaladas no servidor.
Com uma nova instalação do Windows Server 2022 sem personalizações feitas, você terá
blocos para Serviços de Arquivo e Armazenamento e Servidor Local. Esses blocos são muito
úteis porque podem informar rapidamente se o servidor está funcionando bem. Se o ladrilho
estiver verde e tiver uma pequena seta para cima, isso significa que o serviço está funcionando
corretamente. Se o ladrilho estiver vermelho e tiver uma pequena seta para baixo, isso
significa que o serviço teve problemas ou não está funcionando. Você pode clicar nos blocos
individuais para obter mais informações sobre as funções individuais. Por exemplo, se eu clicar
no bloco de função File and Storage Services, posso ver os eventos relacionados aos serviços
em execução que oferecem suporte a essa função, mostrados na Figura 1-2. No lado esquerdo
estão as opções de configuração do armazenamento do servidor local, incluindo volumes, discos e pools.
Funções e recursos
Funções e recursos permitem que você adicione funcionalidade ao seu servidor. Uma função
é algo para o qual você deseja usar seu servidor. Por exemplo, você pode instalar a função
Active Directory Domain Services para tornar esse servidor um controlador de domínio. Um
recurso é normalmente usado para dar suporte a uma função. Nesse caso, você também
instalaria as ferramentas de gerenciamento para Active Directory Domain Services (você será
solicitado a instalar esse recurso ao selecionar a função). As ferramentas de gerenciamento são um recurso.
Configurando
Servidor
o recursos
Funções
e
FIGURA 1-2:
A janela de
gerenciamento de
Serviços de
Arquivo e Armazenamento.
Diagnóstico
O Server Manager oferece acesso rápido e fácil a muitas das ferramentas de diagnóstico de que
você pode precisar ao longo de sua carreira. Para acessá-los, basta clicar em Ferramentas no
menu superior, mostrado na Figura 1-3.
Aqui estão alguns dos itens no menu Ferramentas que me ajudaram ao longo dos anos:
» Visualizador de eventos: quando estou solucionando um problema, minha primeira parada é quase
sempre o Visualizador de Eventos. Começo com os logs de sistema, aplicativo e segurança e, em
seguida, entro nos logs específicos de funções e/ou componentes, se necessário.
» Monitor de Desempenho: O Monitor de Desempenho é uma ferramenta muito útil quando você
precisa medir métricas muito específicas em relação ao desempenho, como tempo ocioso da
unidade central de processamento (CPU), tempo de interrupção, tempo do usuário e assim por
diante. Ele fornece centenas de contadores prontos para uso e pode ser configurado para iniciar
quando um determinado critério ou limite for atendido. Esta ferramenta é mais útil para
» Monitor de Recursos: Se você quiser apenas dar uma olhada rápida em como seu sistema está se
saindo, o Monitor de Recursos é ótimo para isso. Possui uma tela de resumo simples que fornece
informações sobre o uso de CPU, disco, rede e memória. Essa ferramenta se concentra na
utilização de recursos e pode ajudar a solucionar problemas como pouco espaço em disco, disco
superutilizado ou largura de banda de rede insuficiente.
FIGURA 1-3:
O menu
Ferramentas no Servidor
Gerente.
» Informações do sistema: quando você precisa saber quais são suas especificações de hardware
ou quais são algumas de suas configurações, este deve ser seu utilitário preferido. Ele pode até
dizer qual versão do BIOS você está executando e em que modo está sendo executado.
Tarefas de configuração
A maioria de suas tarefas de configuração será feita na seção Servidor Local no
Gerenciador do Servidor. Ao clicar em Servidor local, você é apresentado a um Propriedades
página que exibe as informações atuais do servidor, mostradas na Figura 1-4. A grande coisa
sobre esta página é que cada configuração é um hiperlink clicável. Se você clicar nele, será
direcionado para onde poderá definir essa configuração individual. Muito legal, certo? Quando
você tem um servidor recém-construído, simplifica o processo de configuração porque você
pode alterar o nome do host e o endereço IP a partir daqui, bem como atualizar o servidor, Configurando
Servidor
o recursos
Funções
e
FIGURA 1-4:
O servidor
local do gerente
Propriedades do servidor
tela.
FIGURA 1-5:
Trabalhando com
discos no Arquivo e
Armazenamento
área de serviços de
Gerenciador do Servidor.
Como mencionei anteriormente, uma função é algo que queremos que o servidor faça. Ao
instalar funções, você torna os servidores úteis. Talvez você esteja construindo uma infraestrutura
do Active Directory ou talvez esteja criando uma plataforma de virtualização robusta.
Independentemente do que você está tentando realizar, provavelmente começará instalando uma função.
Vamos dar uma olhada nas funções que fazem parte do Windows Server 2022.
O AD CS tem muitas peças móveis. Se estiver interessado em aprender mais sobre o AD CS,
incluindo como instalá-lo e configurá-lo, consulte o Livro 5, Capítulo 6.
O Active Directory contém um catálogo global, que contém informações sobre cada objeto
único no diretório e é necessário para o logon bem-sucedido no domínio.
Com o Active Directory, é simples procurar e localizar objetos específicos se você souber
algumas informações sobre eles.
Se estiver interessado no AD DS, você pode aprender mais sobre como instalar e configurar
o AD DS no Livro 2, Capítulo 5.
Ele pode ser usado como um provedor de identidade com AD FS para autenticação e geração
de declarações para aplicativos Web configurados para entender a federação.
Os Serviços de Gerenciamento de Direitos do Active Directory (AD RMS) permitem que as empresas
criem e imponham políticas para proteger seus dados. As regras são criadas no servidor AD RMS, mas
continuam protegendo os documentos mesmo que eles saiam do local.
Por exemplo, você pode definir a política para permitir que os documentos fiquem acessíveis apenas por
um breve período de tempo, após o qual o destinatário não poderá mais abri-los. Você pode tirar a
capacidade de imprimir o documento ou copiar o texto dele com copiar/colar.
AD RMS não é perfeito. Isso não impedirá que alguém faça uma captura de tela dos dados em um
documento confidencial (não há muitos produtos de gerenciamento de direitos que possam impedir essa
atividade). Além disso, os aplicativos do lado do cliente devem oferecer suporte ao RMS. A funcionalidade
existe no conjunto de aplicativos do Microsoft Office, Share Point e Exchange Server. Você também
pode tornar o Internet Explorer compatível com um complemento.
A função Atestado de Integridade do Dispositivo foi adicionada ao Windows Server 2016. Ela fornece aos
administradores uma maneira de verificar se um dispositivo está íntegro durante a inicialização. Ele pode
medir várias configurações diferentes e é configurado com as configurações que o administrador do
sistema ou o administrador da rede deseja rastrear. Essa função geralmente é usada para que os
sistemas validem sua segurança antes de poderem se conectar por meio de serviços de acesso remoto,
como DirectAccess ou outros serviços de rede privada virtual (VPN).
solicitar que o endereço IP seja renovado. Se um sistema precisar manter o mesmo endereço IP,
você poderá definir uma reserva para esse endereço IP. Enquanto o sistema em questão tiver a
mesma placa de interface de rede, ele obterá o mesmo endereço IP.
Como um bônus adicional, você pode definir opções de DHCP para cada escopo definido.
Essas opções podem informar aos sistemas no escopo onde eles podem encontrar seu servidor de Configurando
Servidor
o recursos
Funções
e
gateway, seus servidores DNS, onde um servidor de imagens pode residir e assim por diante.
Se estiver interessado em saber mais sobre o DHCP, consulte o Livro 2, Capítulo 5, onde abordo a
instalação do DNS e do DHCP. Certifique-se de verificar também o Livro 2, Capítulo 6.
O DNS pode resolver nomes de host para endereços IP e também pode fazer pesquisas inversas,
que mapeiam endereços IP para nomes de host. Ao lidar com dispositivos de rede que lidam apenas
com endereços IP, isso pode ser extremamente útil.
Se estiver interessado em saber mais sobre o DNS, consulte o Livro 2, Capítulo 5, onde abordo a
instalação do DNS e do DHCP. Certifique-se de verificar também o Livro 2, Capítulo 6. Além disso,
há uma seção inteira sobre como proteger sua infraestrutura de DNS no Livro 5, Capítulo 7.
servidor de fax
A função de servidor de fax pode fornecer a um servidor a capacidade de atuar como uma máquina
de fax. O servidor permite que os usuários da rede enviem e recebam mensagens de fax. O servidor
está lidando com a transmissão real da mensagem e requer um fax modem com conexão a uma
linha telefônica, bem como uma conexão de rede para que possa se comunicar com seus usuários
na rede.
Esse tipo de configuração é muito mais eficiente do que ter várias máquinas físicas de fax
espalhadas pelo escritório. O mais legal dessa função é que ela pode ser configurada para enviar
faxes para seus usuários por e-mail, e eles podem enviar um e-mail ou documento do Word para o
servidor e enviá-lo por fax.
» Servidor de arquivos: gerencia compartilhamentos de pastas e permite que os usuários acessem esses compartilhamentos de
a rede.
» BranchCache para arquivos de rede: uma tecnologia de otimização de largura de banda que
armazena em cache o conteúdo dos servidores em seu site principal com os servidores nas filiais.
» DFS Namespaces: permite que você use um namespace lógico para acessar grupos de pastas
compartilhadas em diferentes servidores, mas parece ser uma única pasta com várias
subpastas para os usuários finais.
» File Server Resource Manager: permite gerenciar e classificar dados em seus servidores de
arquivos.
» File Server VSS Agent Service: permite habilitar cópias de sombra de volume
em seu sistema, que fará cópias de backup (instantâneos) de seus arquivos e/ou volumes,
mesmo que algo os esteja usando.
» iSCSI Target Server: Serviços e ferramentas de gerenciamento para alvos iSCSI. O iSCSI
permite que você envie comandos SCSI para armazenamento em redes TCP/IP regulares e
permite que as organizações tenham uma rede de área de armazenamento (SAN) que não
tem custo proibitivo.
» Servidor para NFS: Permite que o servidor sirva arquivos para sistemas Unix e Linux que utilizam
o protocolo NFS.
Essa função foi introduzida pela primeira vez no Windows Server 2016. Ela gerencia e libera
chaves para hosts Hyper-V considerados confiáveis (conhecidos como hosts protegidos). Isso
permite que os hosts protegidos liguem máquinas virtuais blindadas (VMs) e executem migrações
ao vivo. Ele usa dois serviços para fazer seu trabalho:
Hyper-V
A instalação da função Hyper-V instala um hypervisor no sistema operacional Windows Server. Na
edição Server Standard, você está limitado a duas VMs; você pode executar um número ilimitado de VMs
na edição Server Datacenter. A edição Datacenter também inclui a capacidade de trabalhar com VMs
blindadas.
Controlador de rede
O controlador de rede é uma função mais recente que foi introduzida no Windows Server 2016.
Está disponível apenas na edição Datacenter, não na edição Standard. O controlador de rede permite
configurar, monitorar, programar e solucionar problemas de sua infraestrutura de rede física e virtual.
Para fazer esse trabalho, ele pode aproveitar o Windows PowerShell ou a interface de programação de
aplicativos (API) Representational State Transfer (REST) para se comunicar com os dispositivos. Se
sua organização deseja começar a explorar a rede definida por software (SDN), esta é uma ótima maneira
de começar. Ser capaz de usar o PowerShell para trabalhar com o controlador de rede pode ser muito
poderoso, mas a API REST permitirá que você crie integrações com outros produtos, incluindo aqueles
que não entenderiam o PowerShell. A comunicação é feita por meio de HTTP/HTTPS, portanto, você
também não precisa se preocupar em abrir portas de rede incomuns para oferecer suporte a APIs REST.
Observe que você só pode instalar esta função no servidor com experiência de área de trabalho.
Se isso despertou sua curiosidade, confira o Livro 4, Capítulo 3, onde abordo a instalação e configuração
do NPS como um servidor RADIUS.
Acesso remoto
A função de acesso remoto permite que você faça algumas coisas diferentes. Ele pode fornecer
conectividade à sua rede com DirectAccess e VPNs e também oferece um proxy de aplicativo
da web. Em sua essência, o Remote Access foi projetado para ser uma solução VPN.
O serviço de roteamento e acesso remoto fornece um serviço VPN tradicional para oferecer
suporte à conectividade com sua rede interna, enquanto o DirectAccess oferece aos usuários
finais uma experiência mais integrada com funcionalidade semelhante a VPN. Seus usuários
não terão que parar ou iniciar suas conexões VPN; com o DirectAccess, eles se conectam à
sua organização quando têm uma boa conexão com a Internet. Se você instalar o proxy de
aplicativo da web, poderá publicar aplicativos da web baseados em HTTP e HTTPS em
dispositivos dentro e fora de sua rede. A funcionalidade de roteamento fornece funcionalidade
muito semelhante a um roteador tradicional, incluindo conversão de endereço de rede (NAT) e
outros métodos necessários para executar o roteamento em uma rede IP.
Serviços web
Servidor Web instala o servidor Web baseado em Windows conhecido como Internet
Information Services (IIS). O IIS pode ser usado para hospedar vários sites e oferece suporte
a muitas das linguagens do lado do servidor que você conhece e adora, como PHP e ASP. Configurando
Servidor
o recursos
Funções
e
Ele também fornece suporte para serviços de FTP. Com o instalador da Microsoft Web
Platform, é muito simples configurar aplicativos como ASP.NET, Microsoft SQL Server e
aplicativos não pertencentes à Microsoft, como WordPress ou Joomla.
Se você não estiver vendo um recurso que deseja usar, verifique se está usando Standard ou
Datacenter. Vários recursos estão disponíveis apenas na edição Datacenter do Windows
Server 2022.
.NET 3.5
Fornece suporte para .NET 3.5 e suporte herdado para APIs .NET 2.0 e .NET 3.0. As APIs
permitem que os aplicativos interajam com o sistema operacional ou serviços.
Isso pode ser necessário para o aplicativo que você está tentando instalar; a documentação do
fornecedor geralmente será muito explícita ao informar o que precisa ser instalado como pré-
requisito para o aplicativo.
.NET 4.8
O Windows Server 2022 vem com o .NET 4.8 mais recente, que é instalado por padrão.
Esse recurso também pode adicionar suporte para ASP.NET 4.8 e adiciona suporte para serviços
WCF. Muitos aplicativos mais novos estão aproveitando esses recursos. Verifique com o
fornecedor do seu aplicativo se ele suporta .NET 4.8.
O legal do BITS é que se por algum motivo a conexão for perdida, o BITS suspenderá a
transferência. Quando a conexão for restabelecida, o BITS retomará a transferência como se algo
tivesse acontecido.
Há um serviço instalado por padrão com o sistema operacional Windows Server 2022, portanto,
você não precisa instalar esse recurso, a menos que um aplicativo exija o recurso para atender a
sua finalidade.
Sistemas com chips TPM mais antigos ainda podem usar o BitLocker, mas não é tão fácil de usar.
Os chips TPM mais antigos (pré-1.2) não verificam a integridade do sistema como os chips TPM
mais recentes.
TPM significa Trusted Platform Module. É um chip na placa-mãe do seu computador e é o que
gera as chaves que o BitLocker usa para fornecer a criptografia completa do disco. Ele mantém
metade da chave e a outra metade da chave é armazenada em disco.
Isso evita que um ladrão roube um disco rígido criptografado pelo BitLocker e o inicialize em outro
sistema. Configurando
Servidor
o recursos
Funções
e
O BitLocker pode bloquear o processo de inicialização até que o usuário insira um PIN. Isso garante
que o usuário seja o usuário autorizado e evitará a perda de dados de uma unidade não
criptografada se o sistema for roubado enquanto estiver off-line.
BranchCache
Você deve se lembrar da função de serviço de arquivo e armazenamento que o BranchCache é
uma tecnologia de otimização de largura de banda que copia arquivos dos servidores de arquivos
do escritório principal e armazena o conteúdo localmente em locais remotos (filiais). Para usuários
em locais remotos, isso significa que eles podem acessar arquivos com latência reduzida. Isso
também significa que o tráfego de rede não está cruzando a rede para o escritório principal para
recuperar arquivos, o que pode melhorar significativamente a utilização da largura de banda.
Ativar o recurso BranchCache em um servidor permite que você transforme seu servidor em um
servidor de cache hospedado ou um servidor de conteúdo habilitado para BranchCache.
Containers
Se você deseja executar contêineres do Hyper-V ou contêineres do Windows Server, é necessário
habilitar esse recurso. Se você deseja um grau mais alto de isolamento e deseja usar contêineres
Hyper-V, precisa habilitar a função Hyper-V além do recurso Contêineres.
Quando o recurso de contêineres é instalado, você tem mais etapas para obter um host de contêiner
funcional, como instalar o Docker e extrair imagens de base. Na edição Standard, você pode ter
contêineres Windows ilimitados, mas só pode ter dois contêineres Hyper-V. Na edição Datacenter, os
contêineres Windows e Hyper-V são ilimitados.
Os contêineres são uma nova tecnologia empolgante que foi introduzida pela primeira vez no Windows
Server 2016. Para saber mais sobre contêineres, consulte o Livro 8.
Reprodução Direta
O Direct Play faz parte da API DirectX e foi preterido. Você deve ter o Desktop Experience ativado
para poder ativar o recurso Direct Play. Você ainda pode encontrar aplicativos que requerem a API
Direct Play, embora seja improvável que isso seja encontrado em um servidor porque era
tradicionalmente usado para jogos.
Armazenamento Aprimorado
O armazenamento aprimorado permite o suporte para funções adicionais que estão disponíveis
quando você usa dispositivos compatíveis com armazenamento aprimorado. Esses dispositivos têm
recursos de segurança integrados que podem exigir autenticação antes de acessar os dados na
unidade. Isso é muito comumente usado em unidades flash USB.
Cluster de Failover
Clustering de Failover é um recurso usado para fornecer alta disponibilidade para funções de servidor.
Geralmente é usado para servidores de arquivos, hosts Hyper-V e aplicativos de banco de dados
como o Microsoft SQL Server. Se um servidor em um cluster de failover falhar, os serviços podem ser
movidos quase sem problemas para outro servidor no cluster. Sistemas em um cluster de failover
são chamados de nós. Os clusters de failover aproveitam o armazenamento compartilhado para que
todos os nós tenham acesso aos mesmos dados. Se ocorrer um evento de failover, a transição de nó
para nó pode ser o mais perfeita possível, porque cada nó tem acesso ao mesmo armazenamento.
Configurando
Servidor
o recursos
Funções
e
Para obter mais informações sobre alta disponibilidade com o recurso Failover Clustering, consulte o
Livro 7, Capítulo 5. Lá, discuto o Failover Clustering em relação ao Hyper-V, mas a maneira como ele
funciona é bastante semelhante, independentemente de qual aplicativo o está usando.
O recurso IIS Hostable Web Core permite que você escreva seus próprios aplicativos personalizados
que podem hospedar a funcionalidade principal do IIS por conta própria. Seu aplicativo será capaz de
atender a solicitações HTTP e usar seus próprios arquivos de configuração (aplicativo Host.config e
web.config) em vez dos arquivos de configuração usados pela instalação tradicional da função Full
Web Server (IIS). Após a instalação do IIS Hostable Web Core, você pode abrir um navegador e
digitar http://localhost. Isso carregará a tela inicial do IIS tradicional, mesmo que a função de servidor
Web não esteja instalada.
Fundação de mídia
Media Foundation permite que você trabalhe com arquivos de mídia. Você pode transcodificar. Você
pode analisar arquivos de mídia. Você pode até gerar imagens em miniatura para arquivos de mídia.
Ele também oferece aceleração de vídeo DirectX e um renderizador de vídeo aprimorado (EVR).
Media Foundation suporta muitos dos codecs, fontes e coletores que você esperaria, incluindo AVI,
DV, H.264, MP3 e MP4.
Enfileiramento de Mensagens
O serviço de enfileiramento de mensagens geralmente é usado por aplicativos para entregar
mensagens a outros aplicativos. Ele garante a entrega de mensagens e fornece roteamento,
segurança e envio de mensagens com base na prioridade entre os aplicativos. Os aplicativos podem
enviar e receber mensagens das filas. Isso é muito útil quando você precisa ter a garantia de que
a mensagem chegará ao seu destino final ou quando um aplicativo pode não conseguir receber a
mensagem imediatamente porque está ocupado ou offline. Se o seu aplicativo exigir enfileiramento
de mensagens, seu fornecedor o listará como um de seus requisitos.
Multipath I/O
O que acontece se o servidor estiver conectado ao armazenamento por meio de um comutador de rede
e esse comutador cair? Seu servidor não pode mais se comunicar com seu armazenamento. Com o
Multipath I/O, você pode permitir que seu servidor use vários caminhos para sua SAN — você pode ter
conexões por meio de dois switches separados, por exemplo.
Se você tiver conexões com dois comutadores separados, seu servidor ainda estará ativo e poderá
acessar seu armazenamento mesmo se um dos comutadores ficar offline. Isso permite que você crie
uma rede de armazenamento verdadeiramente tolerante a falhas.
Conector multiponto
Se você estiver usando Serviços Multiponto, o Conector Multiponto permite que o sistema seja
gerenciado pelo Gerenciador Multiponto e pelo Painel Multiponto.
Virtualização de rede
A virtualização de rede permite criar sobreposições de rede virtual na mesma rede física. Se você
deseja começar a trabalhar com rede definida por software (SDN), esse é um recurso importante a ser
examinado. Aproveitando a virtualização de rede, você pode automatizar o provisionamento de recursos
de rede, além de outros projetos de automação de servidores nos quais você esteja trabalhando.
O Peer Name Resolution Protocol permite que aplicativos registrem e resolvam nomes em seu
computador para que outros computadores na rede também possam se comunicar com esses
aplicativos. Isso é especialmente útil para sistemas que estão em grupos de trabalho, em vez de
ingressados no domínio.
Assistência remota
O recurso de Assistência Remota permite que você, como pessoa de suporte, ofereça assistência
remota aos seus usuários finais. Você pode visualizar e controlar a área de trabalho do usuário a
partir do servidor. A Assistência Remota requer Experiência Desktop.
Para instalar o RSAT em seu dispositivo cliente, você pode baixar o pacote de instalação do RSAT
no site da Microsoft. Para sistemas cliente Windows 10 que não estão na atualização de outubro de
2018, você pode baixar o RSAT em www.microsoft.com/en-us/download/details.aspx?id=45520. Se
você estiver usando o Windows 10 e tiver a atualização de outubro de 2018, não precisará baixar o
instalador do RSAT. Ele está incluído como um recurso sob demanda, que você pode instalar Configurando
Servidor
o recursos
Funções
e
Se você instalar a função ou o recurso por meio do PowerShell, deverá especificar as ferramentas
de gerenciamento para instalar o RSAT — por exemplo, Install-WindowsFeature -Name Web-Server
-IncludeManagementTools.
Esse recurso geralmente é usado para oferecer suporte a clientes VPN que precisam se comunicar
por HTTP. Ele retransmite o tráfego RPC por HTTP, como o nome sugere.
Este recurso é fornecido para compatibilidade com versões anteriores e não deve ser instalado a
menos que seja necessário. É uma coleção de utilitários usados na linha de comando. Os utilitários
respondem a solicitações de telnet em portas específicas. Quote of the Day, por exemplo,
fornecerá uma cotação aleatória quando você fizer telnet para a porta 17.
Se você habilitar esse recurso, estará habilitando o suporte para clientes CIFS (Common Internet
File System) e/ou servidores CIFS para conexão via SMB v1.0, que é um protocolo inseguro neste
ponto. Use esse recurso apenas se for absolutamente necessário. Neste ponto, é uma enorme
vulnerabilidade de segurança e nunca deve ser habilitada. Se você tiver dispositivos ou aplicativos
que requerem SMB v1.0, precisará trabalhar com sua organização para substituir esses dispositivos
e/ou aplicativos.
Servidor SMTP
O servidor SMTP no Windows Server 2022 é um servidor de email básico. Ele pode ser usado
como servidor de e-mail principal de uma organização, desde que a organização seja pequena.
Lembre-se de que não é nem de longe tão robusto quanto o Exchange Server.
Para configurar o SNMP após a instalação, inicie o console MMC do Service Control Manager
(services.msc) e localize o serviço SNMP. Nas Propriedades do serviço, você pode definir a
cadeia de comunidade e de quais hosts deseja receber pacotes SNMP.
Este é um ótimo novo recurso! Pense naquele antigo sistema Windows Server 2008 que ainda
está por aí porque todo mundo tem medo de tocá-lo. O Storage Migration Service é a sua
resposta para aquele servidor antigo. Você pode migrar dados de sistemas tão antigos quanto o
Windows Server 2003, mas o servidor de destino deve ser o Windows Server 2012 R2 ou mais
recente. Configurando
Servidor
o recursos
Funções
e
Usar um sistema Windows Server 2022 como destino é recomendado porque você pode instalar
o Storage Migration Service Proxy, que pode dobrar o desempenho de transferência em versões
mais antigas do Windows Server.
Réplica de armazenamento
Quando a réplica de armazenamento foi introduzida pela primeira vez, ela era suportada apenas
na edição Datacenter. Com o Windows Server 2022, a réplica de armazenamento também foi
disponibilizada na edição Standard, embora tenha algumas limitações quando instalada na
Standard: ela pode replicar apenas um único volume, os volumes podem ter apenas um parceiro
e os volumes podem ser apenas um tamanho máximo de 2 TB.
Esse recurso é instalado por padrão no Windows Server 2022 e também é uma novidade no
Windows Server 2022. Sua função é bem simples: é responsável por coletar e arquivar os dados
do sistema do servidor.
Informações do sistema
Um dos desafios de ser um administrador de sistema é prever quais são suas necessidades de
computação e armazenamento. Uma novidade no Windows Server 2022 é o System Insights.
Esse novo recurso interessante inclui análise e aprendizado de máquina para prever com base
no uso quais podem ser suas necessidades. É uma ferramenta muito útil ao fazer previsão de
capacidade e pode cobrir necessidades de computação, armazenamento e rede. Não há mais
adivinhação!
Cliente Telnet
O cliente Telnet permite que você se conecte a um servidor Telnet usando o protocolo Telnet.
Use isso com cuidado! Pode ser muito útil para solucionar problemas, mas como envia
informações em texto simples, você não deseja enviar nomes de usuário ou senhas por meio
dele.
Cliente TFTP
O recurso TFTP Client permite que você interaja com um servidor TFTP. Com esse recurso
instalado, você pode ler e gravar em um servidor TFTP remoto. Isso pode ser benéfico para
os administradores de rede, em particular para extrair/enviar imagens em equipamentos de
rede.
Esse recurso deve ser instalado no Fabric Management Server. Inclui utilitários que podem
ser usados por soluções que gerenciam a malha.
Redirecionador WebDAV
O Redirecionador WebDAV permite conectar-se a sites WebDAV e acessar arquivos nos
sites por meio de uma unidade mapeada. Isso é ótimo do ponto de vista da compatibilidade
porque alguns aplicativos não oferecem suporte ao WebDav, mas eles podem entender
como acessar arquivos em uma unidade mapeada.
você precisa codificar em .NET 3.5 ou .NET 4.0. O Windows Identity Foundation está incluído
no .NET 4.5 e não é mais um recurso separado que precisa ser instalado.
Windows PowerShell
O Windows Server 2022 inclui o PowerShell 5.1 e o PowerShell ISE instalado por padrão. Na maioria
dos casos, isso é tudo que você precisa para trabalhar com o servidor PowerShell. Você também
pode instalar o mecanismo PowerShell 2.0 mais antigo, o PowerShell Web Access e o PowerShell
Desired State Configuration (DSC).
Os backups podem ser salvos em uma unidade local ou em um compartilhamento de servidor remoto e podem ser executados
uma vez ou agendados para serem executados sempre que necessário.
Servidor WINS
O servidor WINS mapeia nomes NetBIOS para endereços IP. Um sistema Windows pode
se registrar no WINS e outros sistemas no grupo de trabalho podem consultar o servidor
WINS para obter o endereço IP desse sistema. Isso foi, em sua maior parte, substituído
pelo DNS na maioria das organizações.
Suporte WoW64
O suporte WoW64 é instalado por padrão no Windows Server 2022 e permite executar
aplicativos de 32 bits em um sistema de 64 bits.
Visualizador XPS
O XPS Viewer é instalado por padrão no Windows Server 2022 com Desktop Experience.
Ele permite que você leia documentos XPS e atribua permissões ou assine documentos
XPS digitalmente também.
NESTE CAPÍTULO
Capítulo 2
Configurando o Servidor
hardware
você está trabalhando com um mais antigo, você terá tarefas de configuração que você
Sempre queprecisa
você estiver trabalhando
realizar. com um
Algumas dessas servidor
tarefas totalmente
estão novoaoe,sistema
relacionadas às vezes, quando
operacional
e aos aplicativos que você deseja instalar; outros estão relacionados ao hardware do servidor.
Ao instalar um novo servidor pela primeira vez, uma das primeiras coisas que você
deseja fazer é verificar se todo o hardware está funcionando. Isso significa verificar
se há um driver presente para cada peça de hardware e se nenhum dos dispositivos
está com problemas.
Com um servidor mais antigo que está tendo problemas, você precisa ser capaz
de solucionar se o hardware é o problema. Isso é especialmente importante se o
software não foi alterado, mas o servidor de repente começou a congelar, travar
ou executar lentamente.
O Gerenciador de Dispositivos tem sido o centro das atenções para trabalhar com hardware em
sistemas operacionais Windows por muito tempo. Na verdade, foi introduzido pela primeira vez
no sistema operacional Windows Server com o Windows Server 2000. Sua força vem de sua
interface simples que torna muito fácil detectar dispositivos de hardware com dificuldades. Os
ícones ao lado de cada seção e driver informam rapidamente se há um problema com um
dispositivo nessa seção e qual dispositivo está apresentando o problema. Aqui estão os ícones
que você pode encontrar:
» Um triângulo laranja com um ponto de exclamação no meio: indica que o dispositivo está com problemas.
Pode ainda estar funcionando, mas deve ser verificado.
» Um círculo branco com uma seta preta apontando para baixo: O dispositivo está desativado.
Você pode ativar o dispositivo clicando com o botão direito do mouse no dispositivo e escolhendo Ativar
dispositivo.
» Um círculo branco com um i minúsculo em azul: isso não significa que haja um
qualquer tipo de problema. Em vez disso, indica que o dispositivo foi configurado manualmente e
não está usando Usar configurações automáticas.
» Um círculo branco com um ponto de interrogação azul: Isso significa que foi instalado um driver que
deveria ser compatível com o dispositivo, mas não é o driver pretendido do dispositivo, porque esse
driver não foi localizado.
FIGURA 2-1:
O Gerenciador de
Dispositivos no
Windows Server
2022 parecerá
familiar
para aqueles que já Configurando
Servidor
o hardware
trabalharam com o
Windows no passado.
» Dispositivos por conexão: Os dispositivos em seu servidor são capazes de realizar seus trabalhos
porque estão todos conectados uns aos outros de alguma forma. Essa exibição os classifica de
acordo com a forma como estão conectados. Muitos de seus dispositivos de
armazenamento e adaptadores de rede aparecerão sob o barramento PCI porque é normalmente
como eles são conectados.
» Dispositivos por contêiner: esta exibição agrupa dispositivos por IDs de contêiner. Esses IDs
de contêiner podem ser atribuídos ao dispositivo ou o dispositivo pode herdar um ID de
contêiner de um objeto pai. Por exemplo, um dos contêineres pai é seu servidor. Alguns dos itens
agrupados nesse contêiner podem ser portas de comunicação, canais ATA, núcleos de
processador e assim por diante.
» Recursos por Tipo: Esta visualização classificará todos os dispositivos do seu servidor em tipos de
recursos. Os tipos são acesso direto à memória, entrada/saída, solicitação de interrupção e
memória. Eu os discuto com mais detalhes neste capítulo, na seção “Entendendo
os recursos”.
» Recursos por Conexão: Esta visualização classifica os recursos do seu sistema pela
forma como eles estão se conectando e interagindo uns com os outros. Essa visão
foi muito útil quando era comum ter que pesquisar conflitos de solicitação de interrupção
(IRQ), mas pode não ser tão amplamente usada agora.
Você também pode personalizar quais informações são exibidas no Gerenciador de dispositivos.
Escolha Exibirÿ Personalizar e a caixa de diálogo Personalizar exibição será exibida (consulte a Figura 2-2).
A partir daqui, você pode alterar quais itens são exibidos para você. Nunca tive um bom motivo para
mudar da visualização padrão.
FIGURA 2-2:
Personalizar a
exibição do
Gerenciador de dispositivos.
» Se o dispositivo estiver com problemas, mas ainda estiver um pouco funcional, ele terá um
triângulo laranja com um ponto de exclamação no meio.
» Se o dispositivo não estiver funcionando e tiver um círculo branco com uma seta preta voltada
para baixo, isso significa que o dispositivo está desativado.
Quando você tiver um dispositivo com problemas, ele será expandido automaticamente no Gerenciador
de dispositivos quando você o abrir. Isso torna muito mais simples para você, como administrador do
sistema, localizar o dispositivo com problemas. Na Figura 2-3, você pode ver que tenho um dispositivo
com problema. A unidade de DVD/CD-ROM está desativada, o que é evidente porque você pode ver
a seta voltada para baixo ao lado de seu nome.
FIGURA 2-3:
O Gerenciador de Configurando
Servidor
o hardware
Dispositivos simplifica
a identificação de
dispositivos com problemas.
O DVD/CD-ROM pode ser reativado para verificar se está apresentando problemas. Posso simplesmente
clicar com o botão direito do mouse e escolher Ativar dispositivo. No meu caso, funcionará corretamente
porque eu o desativei para fazer a captura de tela.
Quando vejo a tela Propriedades de um dispositivo quebrado, posso descobrir mais sobre qual é o
problema. No caso de um driver ausente, posso fazer com que o Windows pesquise automaticamente
para ver se consegue encontrar um dispositivo compatível. Na maioria das vezes, isso resolverá o
problema. Caso contrário, sua melhor aposta é acessar o site do fornecedor para baixar os drivers
manualmente.
Entendendo os recursos
Compreender os recursos representados no Gerenciador de Dispositivos pode ser muito útil ao
solucionar problemas técnicos no sistema. Em alguns casos, como entrada/saída (IO) e IRQ, ter
endereços duplicados pode causar problemas com os dispositivos. Os dispositivos podem parar de
funcionar ou podem fazer com que seu sistema congele ou trave.
Se você leu o conteúdo da certificação A+, esta seção provavelmente será uma notícia antiga e você
pode ignorá-la. Se você ainda não trabalhou em sua certificação A+ ou é novo em servidores e
computação, continue lendo!
entrada/saída
E/S, em sua forma mais simples, é definida como qualquer dispositivo que pode transferir dados de ou para
seu servidor. Isso pode incluir dispositivos de entrada como teclados e mouses, dispositivos de saída como
impressoras e monitores e outros dispositivos capazes de entrada e saída (como unidades de disco). No
contexto do Gerenciador de dispositivos, na guia Recursos, você pode ver quais endereços de E/S foram
atribuídos a dispositivos específicos observando o Intervalo de E/S.
Solicitação de interrupção
Um IRQ é essencialmente um sinal enviado para sua CPU que “interrompe” o que está fazendo para que o
dispositivo ou software que enviou a interrupção possa chamar a atenção. Isso é usado para dar suporte à
multitarefa, pois o processador é informado quando é necessário, em vez de a CPU solicitar (pesquisa)
enquanto está ociosa. As interrupções são atribuídas a dispositivos específicos e não são compartilhadas.
Se dois dispositivos tiverem o mesmo IRQ, você terá um conflito de IRQ. Isso costumava ser um problema
do qual os administradores de sistema precisavam estar cientes, mas como a maioria dos dispositivos hoje
é plug and play, não é realmente um problema que a maioria dos administradores de sistema precisa
resolver.
Memória
A memória de acesso aleatório (RAM) é ótima para carregar coisas rapidamente porque é uma tecnologia
de estado sólido. No Gerenciador de dispositivos, você pode visualizar os intervalos de memória atribuídos
aos dispositivos individuais na guia Recursos de cada dispositivo.
Para dispositivos que não são plug and play, escolha Viewÿ Show Hidden Devices. Isso faz com que os
dispositivos não plug-and-play apareçam.
Para ver os dispositivos que já foram instalados, mas não estão mais conectados ao servidor, você
precisa abrir um prompt de comando ou uma janela do PowerShell como administrador e inserir o seguinte
comando:
SET DEVMGR_SHOW_NONPRESENT_DEVICES=1
Se você instalou um novo dispositivo, mas ele não está aparecendo no Gerenciador de dispositivos, você
Configurando
Servidor
o hardware
pode iniciar uma verificação de novo hardware escolhendo Açãoÿ Verificar alterações de hardware.
Isso procurará por novo hardware e, se o localizar, tentará localizar e instalar um driver para o hardware.
Como administrador do sistema, você pode ser solicitado a instalar um dispositivo mais antigo e não
reconhecido pelo computador quando conectado. Para esses dispositivos não plug-and-play, sua melhor
opção é usar a opção Add Legacy Hardware em Device Gerente. Você pode acessá-lo escolhendo
Actionÿ Add Legacy Hardware de dentro da janela do Gerenciador de Dispositivos.
Uma das minhas partes favoritas desta guia é a caixa Status do dispositivo na parte inferior. Se você
estiver solucionando um problema, a caixa Status do dispositivo pode ser muito útil.
Quando seu dispositivo estiver funcionando corretamente, ele se parecerá com o que você vê
na Figura 2-4.
FIGURA 2-4:
A guia Geral para
uma unidade de CD-
ROM do VirtualBox.
» Driver: A guia Driver fornece informações sobre o driver instalado e permite executar várias tarefas
de gerenciamento relacionadas ao driver. Ele começa com o nome do driver e, em seguida, lista
o provedor do driver, a data em que o driver foi disponibilizado, a versão do driver e, se o driver
for assinado, inclui a identidade da organização que o assinou.
Os botões a seguir permitem que você gerencie os drivers em seu sistema a partir desta guia:
• Atualizar Driver: Você pode clicar neste botão para atualizar seus drivers. Você é
dadas duas opções. Você pode procurar automaticamente drivers atualizados, que pesquisam
atualizações em seu sistema e na Internet, ou pode navegar até o software do driver se
souber onde os drivers atualizados estão localizados em seu sistema.
• Reverter driver: Digamos que você atualizou seu driver e agora seu dispositivo não está
funcionando corretamente. Você pode clicar em Reverter driver para voltar ao driver
instalado anteriormente.
» Detalhes: a guia Detalhes não parece muito quando você clica nela pela primeira vez,
mas na verdade contém muitas informações sobre o seu dispositivo. Por padrão, a
caixa suspensa terá Descrição do dispositivo selecionada, mas você pode escolher entre
muitas outras propriedades para obter mais informações sobre as especificidades do
seu dispositivo.
Alguns dispositivos têm guias adicionais que adicionam mais recursos de gerenciamento, como gerenciamento
de energia e recursos. O Gerenciamento de energia oferece a capacidade de permitir que o computador
desligue um dispositivo para economizar energia ou permitir que o dispositivo acorde o computador se estiver
no modo de suspensão. A guia Recursos, quando disponível, informa quais intervalos de memória um
dispositivo está usando, qual IRQ está usando e se há algum dispositivo conflitante.
Atualizando drivers
A atualização de drivers do Gerenciador de dispositivos é bastante simples. Você tem duas opções: Você
pode clicar com o botão direito do mouse no dispositivo e escolher Atualizar driver ou clicar com o botão
direito do mouse no dispositivo, escolher Propriedades e clicar na guia Drivers.
Depois de selecionar Atualizar driver por meio de qualquer um dos métodos, você verá a caixa de diálogo
mostrada na Figura 2-5. Aqui, você tem a opção de procurar automaticamente o driver ou procurar o software
no computador. A pesquisa automática geralmente é o método mais fácil; ele procura no computador local e,
em seguida, procura na Internet por drivers atualizados. Se, por algum motivo, não for possível localizar os
drivers e você souber onde eles estão localizados, optar por procurar o software do driver em seu computador
pode ser a melhor opção.
FIGURA 2-5:
Você tem duas
opções ao
atualizar drivers no
Windows
Server 2022
por meio do
Gerenciador de dispositivos.
» Permitir que o computador desligue este dispositivo para economizar energia: esta opção é
mais útil em dispositivos que funcionarão sem bateria, como laptops. Você provavelmente não
deseja que os componentes do seu servidor sejam desligados, então você pode querer
desmarcar esta caixa.
» Permitir que este dispositivo desperte o computador: Um dispositivo com esta caixa de seleção
selecionado é capaz de ativar o servidor se ele estiver suspenso. Esse recurso é usado por
placas de rede que precisam ativar um servidor para correção e por dispositivos de entrada,
como mouses e teclados, para que possam ativar o sistema conectado.
» Permitir apenas que um pacote mágico desperte o computador: esta configuração está
disponível em adaptadores de rede e só estará disponível se Permitir que este dispositivo
desperte o computador estiver ativado. O pacote mágico também é conhecido como pacote
Wake-on-LAN e é um pacote de transmissão especial projetado para ativar o sistema.
Com a maioria dos dispositivos sendo plug and play, você nunca precisará usar o
Add Hardware Wizard. Na verdade, ele foi removido do Painel de Controle no
Windows 7, porque a instalação do driver é feita automaticamente. Se, por algum
motivo, o driver do dispositivo não estiver sendo instalado, talvez porque o dispositivo
seja muito antigo ou muito novo, você pode iniciar manualmente o Assistente para
adicionar hardware. Baixe os drivers do site do fabricante primeiro e siga estas instruções:
1. Clique com o botão direito do mouse no menu Iniciar e escolha Windows PowerShell (Admin).
Configurando
Servidor
o hardware
FIGURA 2-6:
O assistente
para adicionar hardware.
3. Clique em Avançar.
6. Se o assistente não encontrar um novo hardware, ele solicitará que você escolha uma
categoria de hardware. Escolha um e clique em Avançar.
Vale a pena observar que existem várias maneiras de acessar o Assistente para adicionar hardware que não
estão documentadas nas etapas que acabei de descrever. Encontre a maneira que funciona melhor para você
acessar esses itens — não tenha medo de experimentar.
» Unidades de disco rígido (HDDs): Por alguns anos, o armazenamento magnético (conhecido como
unidades de disco rígido) era a única opção. Essas unidades estavam disponíveis em velocidades e
capacidades variadas; unidades de maior velocidade e maior capacidade eram mais caras. Como
eram drives mecânicos, eles estavam propensos a se desgastar e, conforme a tecnologia melhorava,
o armazenamento magnético não era mais capaz de acompanhar algumas das cargas de
trabalho com uso intensivo de armazenamento por causa de suas restrições físicas. O armazenamento
magnético não desapareceu - ainda está por aí.
Devido ao seu custo mais baixo, os HDDs ainda são uma excelente opção para armazenamento
de dados quando alta velocidade e alto desempenho não são tão importantes quanto manter
o custo baixo.
» Unidades de estado sólido (SSD): as unidades de estado sólido não possuem partes móveis; eles
armazenam dados em chips de memória flash não voláteis. À medida que a tecnologia
melhora, sua vida útil aumenta, suas capacidades continuam a crescer e seus preços caem. Para
a maioria dos administradores de sistema, as unidades SSD são o elemento básico das unidades do
sistema operacional porque são muito rápidas. Se você tiver um aplicativo que precise de
desempenho estável constante e operações de alta entrada/saída por segundo (IOPs), os SSDs
atenderão a essa necessidade.
» Simples: Um disco dinâmico simples é muito semelhante a um disco básico. Quando você converter
pela primeira vez um disco básico em um disco dinâmico, será um volume simples.
» Distribuição: os dados são gravados em várias unidades (ou distribuídos). Isso pode melhorar o
desempenho de gravação, mas não é uma solução tolerante a falhas. Você precisa de no mínimo
dois discos para aproveitar essa funcionalidade e, se perder um disco, perderá todo o conjunto
distribuído. Às vezes, o striping é chamado de RAID 0.
» Espelhamento: os dados são gravados de forma idêntica em duas ou mais unidades. Isso fornece
tolerância a falhas porque não há perda de dados se uma das unidades ficar inoperante. Às vezes,
o espelhamento é chamado de RAID 1. Configurando
Servidor
o hardware
Imagine-se no datacenter trabalhando na instalação de um novo servidor. Você está trabalhando para conectá-
lo, resmungando sobre o inevitável ninho de cabos
Antes de continuar no excitante mundo do armazenamento, aqui está um rápido resumo de alguns
termos que uso neste capítulo:
• Disco: O dispositivo de armazenamento físico ou virtual que é apresentado ao servidor para permitir
o armazenamento de dados.
• Partição: Um disco pode ser dividido em várias partições. Essas partições são pedaços
menores do disco que podem ou não conter um sistema de arquivos.
• Volume: os volumes têm nomes e são o que você apresenta aos seus usuários. Eles têm um sistema
de arquivos e podem armazenar dados de todos os tipos. Você pode ter vários volumes em
discos e em partições.
MPIO é uma tecnologia que permite que um servidor reconheça mais de um caminho para seu
armazenamento de rede de área de armazenamento (SAN). Isso é normalmente configurado
para redes de armazenamento Fibre Channel e iSCSI para fornecer tolerância a falhas para a
rede de armazenamento. Além disso, dependendo de como for configurado, pode ajudar a
aumentar o desempenho, pois você pode usar as duas conexões ao mesmo tempo.
A instalação do MPIO é bastante simples, mas a configuração pode ser um pouco mais
complexa. O MPIO é oferecido como um recurso no Windows Server 2022. Veja como instalar
o MPIO:
1. Com o Server Manager aberto, escolha Manageÿ Add Roles and Features
(conforme mostrado na Figura 2-7).
FIGURA 2-7:
Instalando o
Recurso MPIO em
Windows Server
2022.
6. Na tela Select Features, role para baixo e selecione Multipath I/O (como
mostrado na Figura 2-8) e clique em Avançar.
Configurando
Servidor
o hardware
FIGURA
2-8: Marque a
caixa de seleção
Multipath I/O na
tela Select Features.
Com o MPIO instalado, você pode configurá-lo para funcionar com seu armazenamento iSCSI ou até mesmo
armazenamento Serial Attached SCSI (SAS).
(a menos que você usasse RAID, com exceção do RAID 0), não era facilmente escalável e a
capacidade era limitada a quantos discos cabessem no servidor.
Alguém teve a ideia de criar matrizes de unidades para aliviar esses problemas.
As matrizes de unidades podem ter bandejas de discos expansíveis. Essas bandejas podem ser
usadas para espelhar outras bandejas ou para usar RAID se a tolerância a falhas for o objetivo
principal. Essas grandes matrizes de unidades precisavam de uma rede que pudesse suportar a
crescente quantidade de dados sendo enviadas para elas. E assim nasceu o SAN.
Existem muitos protocolos diferentes em uso em SANs, mas aqui estão os dois mais usados em
ambientes corporativos atualmente:
» Fibre Channel: Fibre Channel ainda é o mais popular dos dois protocolos,
principalmente devido à velocidade e confiabilidade. Requer a compra de placas de rede
especiais e switches especiais para suportar o protocolo Fibre Channel. Embora o Fibre
Channel ofereça transferências de dados rápidas, ele é limitado pela distância, muito
mais do que o iSCSI. Fibre Channel usa cabo de fibra ótica para transmitir dados. Os
dados são transmitidos como flashes de luz por uma fibra de vidro.
O que acontece se você quiser o melhor dos dois mundos? Algumas empresas vendem o que é
conhecido como armazenamento unificado. Esses dispositivos de armazenamento são capazes de
suportar iSCSI e Fibre Channel.
Para usar Espaços de Armazenamento Diretos em vários servidores, você precisa instalar as funções
Clustering de Failover e Hyper-V em cada servidor. Você precisa de no mínimo 10 Gb de rede Ether
entre os sistemas em cluster, e o acesso remoto direto à memória (RDMA) é recomendado.
cardápio.
Se você tiver unidades de disco disponíveis, elas aparecerão em Discos físicos no canto
inferior direito. Observe em Storage Pools que há uma entrada chamada Primordial.
Configurando
Servidor
o hardware
Isso é criado por padrão com os discos disponíveis (consulte a Figura 2-9).
FIGURA 2-9:
A tela Storage
Pools mostrando
os discos físicos
disponíveis.
3. Clique com o botão direito onde diz Primordial e escolha New Storage Pool.
Estou nomeando nosso pool de “Pool1”. Observe na Figura 2-10 que o pool primordial é
selecionado por padrão.
FIGURA 2-10:
Escolha um nome
para seu pool de
armazenamento e
escolha o pool
primordial para
selecionar os
discos físicos.
Na tela Select Physical Disks for the Storage Pool, você vê todos os discos que estavam
no pool primordial. Você pode escolher alguns dos discos ou todos os discos.
7. Altere a caixa suspensa Alocação na última unidade para Hot Spare, como
mostrado na Figura 2-11 e clique em Avançar.
9. Clique em Fechar.
FIGURA 2-11:
Configuração
dos discos físicos
Configurando
Servidor
o hardware
no
pool de armazenamento.
1. Clique com o botão direito do mouse em Pool1 e escolha New Virtual Disk ou clique no
hiperlink To Create a Virtual Disk, Start the New Virtual Disk Wizard na caixa Virtual Disks.
Você será solicitado a selecionar o pool de armazenamento com o qual deseja trabalhar. Você deve
ver apenas o pool que criamos até agora, Pool1.
4. Na tela Especifique o nome do disco virtual, nomeie o disco Disk1, conforme mostrado na
Figura 2-12.
5. Clique em Avançar.
A próxima tela é a tela Selecionar o layout de armazenamento. Você tem três opções: Simples,
Espelho e Paridade. Eles são muito semelhantes aos níveis de RAID no que diz respeito ao que fazem.
Simples é um disco não RAID, Mirror é semelhante ao RAID 1 e Parity é semelhante ao RAID 5.
FIGURA 2-12:
Você precisa nomear
FIGURA 2-13:
A seleção do layout de
armazenamento pode
ser muito importante se
você precisar que ele
seja tolerante a falhas.
Criando um volume
Agora que você criou um pool de armazenamento e um disco virtual, está pronto para criar
um volume. Siga esses passos:
1. Clique com o botão direito do mouse em Disk1 e escolha New Volume, conforme mostrado na Figura 2-14.
Configurando
Servidor
o hardware
FIGURA
2-14:
Criar um volume
que o sistema
operacional
possa usar é
simples após
a criação do disco virtual.
3. Na tela Select the Server and Disk (Selecionar o servidor e o disco), você deve ter apenas
um servidor e um disco neste ponto, então você pode simplesmente clicar em Next.
Eu entrei em 3GB.
5. Na tela Atribuir a uma letra ou pasta de driver, selecione uma letra de unidade ou especifique
uma pasta e clique em Avançar.
FIGURA 2-15:
Escolhendo uma letra
de unidade para meu
novo volume.
e clique em Avançar.
Ficarei com o NTFS padrão e o tamanho da unidade de alocação padrão e nomearei o volume como
Volume1.
8. Se tudo na tela Conclusão indicar Concluído, você está pronto para prosseguir,
então clique em Fechar.
A réplica de armazenamento foi lançada inicialmente na edição Windows Server 2016 Datacenter.
A partir do Windows Server 2019, você também pode aproveitar a réplica de armazenamento se
estiver usando a edição Standard. Isso ainda é verdade no Windows Server 2022, embora tenha
algumas limitações:
» Um volume pode ter apenas uma parceria de replicação, ao contrário do Datacenter onde
um volume pode ter um número ilimitado de parceiros.
» A réplica de armazenamento suporta apenas tamanhos de até 2 TB, enquanto o Datacenter não tem limite
em tamanho.
» Ele usa políticas para determinar I/O mínimo e máximo para VMs.
Uma das maneiras mais simples de experimentar o Storage QoS é configurar um cluster de failover e criar
um volume compartilhado de cluster. Se você fizer isso, o Storage QoS será configurado automaticamente.
Você pode visualizá-lo em Cluster Core Resources.
Nas seções a seguir, explico o que é um TPM e oriento você na instalação do BitLocker, bem como na
configuração do BitLocker To Go e do BitLocker.
Instalando o BitLocker
Para instalar o BitLocker no Windows Server 2022, você precisa instalar o recurso
BitLocker. Siga esses passos:
1. Com o Server Manager aberto, escolha Manageÿ Add Roles and Features.
FIGURA 2-16:
Adicionando
recursos
necessários para o BitLocker
Drive Encryption
para fazer sua mágica.
Sempre que você olhar para criptografar seus dados, certifique-se de ter um bom backup para recuperar caso
algo dê errado. Se você não tiver um bom backup e o processo de criptografia tiver problemas, será
necessário restaurar a partir do backup.
Configurando o BitLocker To Go
Para configurar o BitLocker To Go, você precisa navegar até onde os utilitários de gerenciamento estão
ocultos e começar a jogar. Siga esses passos:
1. Clique em Iniciar, role para baixo até Sistema Windows e escolha Painel de controle.
2-17).
FIGURA 2-17:
Chegando ao
Homem do BitLocker
tela de
gerenciamento do
Painel de controle.
4. No meu sistema, o BitLocker está desativado no momento, então clicarei em Ativar BitLocker
para Volume1 (consulte a Figura 2-18).
Como o Volume1 é considerado um disco removível, o TPM não é usado e você precisa
definir uma senha ou dizer a ele para usar um cartão inteligente. Isso é para dar suporte
ao BitLocker To Go.
6. Clique em Avançar.
Você será perguntado como deseja fazer backup de sua chave de recuperação. Você pode salvar em um arquivo
FIGURA 2-18:
Ativando o
BitLocker para
Volume1.
FIGURA 2-19:
Definindo
uma senha
para o BitLocker To Go.
Após a conclusão da criptografia, você verá o status do BitLocker na unidade BitLocker To Go.
Deve dizer BitLocker ativado.
Para configurar o BitLocker, você precisa navegar até onde estão os utilitários de
gerenciamento. Essas etapas são as mesmas das Etapas 1 a 3 em “Configurando o
BitLocker To Go”, então começarei as instruções após a Etapa 3. Se você precisar se
atualizar sobre como acessar a tela Gerenciamento do BitLocker, revise as etapas 1 a 3
em “Configurando o BitLocker To Go” antes de continuar.
Na tela Como você deseja fazer backup de sua chave de recuperação, você pode optar por salvar
em um arquivo ou imprimir a chave de recuperação.
Você será solicitado a escolher como deseja criptografar sua unidade. Você pode criptografar a
unidade inteira ou apenas o espaço usado. Você deve escolher o que sua organização exige.
4. Clique em Avançar.
Isso garante que o BitLocker possa ler as chaves antes de criptografar a unidade.
7. Clique em Continuar.
Depois que o sistema voltar, o BitLocker iniciará a criptografia da unidade. Depois que a criptografia
for concluída, ele dirá BitLocker On.
2. Digite gpedit.msc.
FIGURA 2-20:
A configuração
do BitLocker para
funcionar sem um
módulo TPM envolve
a edição da política
de segurança local.
4. Clique duas vezes em Configurar uso de criptografia baseada em hardware para dados fixos
Dirige.
Configurando
Servidor
o hardware
FIGURA 2-21:
Ativando
a criptografia
baseada em
software para BitLocker.
6. Clique em OK.
9. Escolha Ativado.
10. Certifique-se de que a caixa de seleção Permitir BitLocker sem um TPM compatível esteja
selecionada, conforme mostrado na Figura 2-23.
FIGURA 2-22:
Permitindo métodos
alternativos de
autenticação para a
unidade do sistema.
FIGURA 2-23:
Permitir que
a unidade do sistema
operacional criptografe
ou descriptografe sem
um TPM requer essa
configuração.
Existem algumas maneiras diferentes de instalar um servidor. Uma impressora conectada localmente, por
exemplo, provavelmente será conectada por meio de um cabo USB. Essa impressora pode ser usada por um
Configurando
Servidor
o hardware
usuário ou, em um pequeno escritório, pode ser compartilhada a partir dessa estação de trabalho para que
vários usuários possam imprimir nela. A impressão conectada à rede também é muito comum, desde
residências com uma impressora sem fio até grandes organizações que possuem impressoras em suas redes
locais (LANs). Algumas organizações podem usar um servidor de impressão para gerenciar suas filas de
impressão centralmente. Você imprime na fila de impressão do servidor e ele envia o trabalho para a
impressora pela rede.
Se a sua impressora for encontrada, o assistente é um tipo de instalação fácil e agradável. Se sua impressora
não for encontrada, você terá um pouco mais de trabalho a fazer. Veja como adicionar uma impressora que
simplesmente não quer cooperar:
2. No meu caso, minha impressora está na minha rede, então escolho Adicionar uma impressora usando um
Endereço IP ou nome do host, conforme mostrado na Figura 2-24.
3. Clique em Avançar.
Seu endereço IP será diferente do meu, portanto, você precisará verificar sua impressora para ver
qual endereço IP ela está usando. Certifique-se de escolher o Dispositivo TCP/IP na lista suspensa
Tipo de dispositivo.
FIGURA 2-24:
Selecionando como
você encontrará sua
impressora.
FIGURA 2-25:
Configurando o
endereço IP da
sua impressora.
5. Clique em Avançar.
Se tudo correr bem, o sistema poderá entrar em contato com a impressora e descobrir
qual driver ela precisa.
6. Clique em Avançar.
8. Clique em Avançar.
A última página oferece a opção de definir a nova impressora como a impressora padrão.
» Preferências de impressão: As preferências de impressão permitem que você defina quais serão as
configurações de impressão padrão para sua impressora. A partir daqui, você pode definir a
orientação da impressão. Se você clicar no botão Avançado, mais configurações estarão
disponíveis — essas configurações dependem do driver instalado para sua impressora. As
configurações da minha impressora são mostradas na Figura 2-26.
FIGURA 2-26:
Opções
avançadas oferecem
mais configurações
para trabalhar.
FIGURA 2-27:
A impressora
A tela de propriedades
permite alterar a
configuração
itens de ção.
1. Com o Server Manager aberto, escolha Manageÿ Add Roles and Features.
Document
7. Clique em Avançar.
10. Na tela Role Services, selecione Print Server, conforme mostrado na Figura 2-29,
e, em seguida, clique em Avançar.
Agora que você instalou a função Servidor de impressão, pode configurá-la. Veja como
adicionar sua primeira impressora:
2. Expanda Servidores de impressão, clique com o botão direito do mouse no servidor de impressão e escolha Adicionar
FIGURA 2-29:
Selecione
Servidor de
impressão para
a função que deseja instalar.
FIGURA 2-30:
Adicionando uma
impressora ao
servidor de impressão.
3. Selecione Adicionar uma impressora IPP, TCP/IP ou Web Services por endereço IP ou
nome do host e clique em Avançar.
Na próxima tela, você pode nomear sua impressora. Em uma empresa, recomendo fazer isso.
5. Chamarei minha impressora de Main Office Printer #1, conforme mostrado na Figura 2-31.
Configurando
Servidor
o hardware
FIGURA 2-31:
Nomear a
impressora e
adicionar um
local facilita a
localização da
impressora pelos usuários.
6. Clique em Avançar.
Se o assistente localizar a impressora, a próxima tela informa que a impressora foi encontrada
e mostra um resumo das informações da impressora.
7. Clique em Avançar.
Usar o caminho UNC para um objeto, como um compartilhamento em um servidor de arquivos ou uma
impressora, é uma maneira conveniente de acessar recursos sem saber onde eles estão localizados.
No exemplo de um servidor de arquivos, por exemplo, o caminho local para um arquivo pode ser E:
\AlgumaPasta\AlgumCompartilhamento\AlgumArquivo.txt. O caminho UNC seria \\Server
Name\SomeShare\SomeFile.txt. Se o compartilhamento fosse movido para um disco diferente, o
caminho UNC permaneceria o mesmo.
Teclado
No menu Configurações, vá para Dispositivos e, em seguida, Digitação. Clique com o botão direito do
mouse no teclado que deseja gerenciar e selecione Configurações do teclado. A tela Digitação
(mostrada na Figura 2-32) é exibida. A partir daqui, você pode configurar seu teclado para corresponder
ao que você precisa fazer.
Rato
No menu Configurações, vá para Dispositivos e, em seguida, Digitação. A tela Mouse (mostrada na
Figura 2-33) é exibida. A partir daqui, você pode ajustar a configuração dos botões, cursores e o
comportamento da roda de rolagem.
FIGURA 2-33:
Você pode ajustar
as configurações
do mouse
para personalizar sua
experiência.
Gerenciamento de energia
No menu Configurações, vá para Sistema e, em seguida, Energia e Suspensão. Você será presenteado
com algumas configurações básicas. No entanto, você pode ficar muito granular clicando em Configurações
adicionais de energia (consulte a Figura 2-34). Isso permitirá que você escolha planos de energia para
personalizar como seu sistema equilibrará energia e desempenho.
FIGURA 2-34:
Potência Avançada
Configurações permite
que você crie um granular
esquema de
gerenciamento de energia.
Som
No menu Configurações, clique em Sistema e, em seguida, clique em Som. Com esta tela, você pode
personalizar seus dispositivos de som padrão e dispositivos de gravação. Você também pode ter
problemas para fotografar seus dispositivos de som a partir daqui.
Linguagem
No menu Configurações, clique em Hora e idioma e, em seguida, clique em Idioma. Nessa tela, você
pode adicionar novos idiomas, definir novos idiomas padrão e alterar os layouts do teclado, se desejar. A
tela Idioma em seu servidor deve ser semelhante à Figura 2-35.
A tela Idioma
permite ajustar
as configurações
de idioma e
layouts de teclado.
Fontes
Pode ser necessário instalar novas fontes no servidor. Isso pode acontecer porque o
padrão da empresa exige uma fonte diferente do normal. Eu até tive que instalar fontes
de código de barras antes. Para trabalhar com Fontes, abra o menu Configurações.
Clique em Personalização e, em seguida, clique em Fontes. O que mais gosto na nova
interface é que ela oferece amostras visuais de cada uma das fontes e a capacidade de
obter mais fontes da Microsoft Store. A Figura 2-36 mostra a tela Fontes.
FIGURA 2-36:
Amostras das fontes
instaladas
disponíveis no
servidor.
NESTE CAPÍTULO
Capítulo 3
A Microsoft fez um esforço ativo para substituir o antigo Painel de Controle pelo menu Configurações mais
recente. O menu Configurações divide as configurações em categorias, semelhante ao que foi feito no
Painel de Controle. No entanto, a maioria dos novos recursos são colocados em Configurações, mas não
necessariamente no Painel de Controle. Neste capítulo, explico como acessar o menu Configurações e
onde configurar itens no menu Configurações.
FIGURA 3-1:
O menu
Configurações em
Os itens no menu Configurações são usados para configurar a funcionalidade em seu servidor.
Nas seções a seguir, oriento você pelos itens que estão disponíveis em uma nova instalação
do Windows Server 2022.
Sistema
O menu System (veja a Figura 3-2) mostra muitas das coisas que você pode querer configurar
em seu sistema, incluindo o seguinte:
FIGURA 3-2:
O menu Sistema
contém muitas Usando
o configurações
Menu
de
opções de
configuração.
Dispositivos
O menu Devices (veja a Figura 3-3) é exatamente o que você esperaria. Este menu permite
trabalhar com dispositivos Bluetooth, impressoras e scanners, bem como configurações de
teclado e mouse. Você também pode alterar o comportamento de reprodução automática e
ajustar como o sistema comunica problemas de USB.
Rede e Internet
O menu Rede e Internet (consulte a Figura 3-4) fornece um status em sua conexão de rede,
bem como a capacidade de configurar ethernet, dial-up, rede virtual privada (VPN) e conexões
de proxy.
FIGURA 3-3:
O menu
Dispositivos
permite
instalar e
configurar periféricos.
FIGURA 3-4:
O menu Rede e
Internet fornece
opções para
configurar as
conexões de
rede do servidor.
Personalização
O menu Personalização (consulte a Figura 3-5) permite que você personalize seu servidor. É aqui
que você pode ajustar imagens e cores de fundo, configurar a imagem na tela de bloqueio, definir
temas e gerenciar fontes, além de personalizar as configurações do Iniciar e da Barra de Tarefas.
FIGURA 3-5:
O
Personalização
O menu oferece
muitas opções
para personalizar Usando
o configurações
Menu
de
seu servidor.
Posso ouvir você dizendo: “Por que eu ajustaria essas coisas no meu servidor. Não preciso de
planos de fundo ou cores personalizadas no meu servidor. Isso é conversa fiada!” Já vi
organizações usarem papéis de parede ou esquemas de cores para fornecer um indicador visual
de que você está em um sistema de produção (vermelho) versus um sistema de teste (verde). Eles
podem ser úteis quando você tem várias janelas da Área de Trabalho Remota abertas.
aplicativos
O menu Aplicativos (consulte a Figura 3-6) permite especificar de onde você pode instalar
programas, desinstalar aplicativos que não são mais necessários e escolher quais aplicativos serão
iniciados automaticamente. Além disso, se você tiver um site que pode ser aberto em um aplicativo
ou navegador, poderá ajustar esse comportamento com aplicativos para sites.
FIGURA 3-6:
O menu
Aplicativos
permite que
você trabalhe
com aplicativos instalados.
contas
O menu Contas (consulte a Figura 3-7) permite que você trabalhe com contas de
usuários locais e métodos de autenticação. O sistema operacional (SO) oferece
suporte a várias opções, incluindo Windows Hello, chaves de segurança físicas e, é
claro, o cenário de senha tradicional.
Hora e Idioma
O menu Time & Language (consulte a Figura 3-8) é onde você pode ajustar a data e
a hora. Você também pode ajustar a região, que altera várias configurações, incluindo
tipos de calendário e formato de data/hora. Você pode instalar novos idiomas e definir
o idioma padrão a ser usado em vários serviços. Você também pode escolher qual
voz gostaria que o sistema usasse se interagir com ele dessa maneira.
FIGURA 3-7:
O menu
Contas permite
configurar
vários métodos
de autenticação.
Usando
o configurações
Menu
de
FIGURA 3-8:
O menu Hora e
idioma permite
determinar
como a data
e a hora devem
ser formatadas.
Facilidade de acesso
O menu Facilidade de acesso (consulte a Figura 3-9) contém todas as ferramentas de
acessibilidade incluídas no sistema operacional Windows. Você pode fazer muitas coisas
diferentes aqui, como as seguintes:
FIGURA 3-9:
A facilidade de
Acessar menu
permite configurar
opções de
acessibilidade.
Procurar
O menu Pesquisar é relativamente pequeno. Ele permite que você altere as configurações do
Safe Search, que o protege de imagens indesejadas na Internet, bem como a forma como o
conteúdo é pesquisado em seu sistema e qualquer armazenamento de conta em nuvem vinculado.
Privacidade
O menu Privacidade (consulte a Figura 3-10) é onde você pode ajustar as permissões concedidas
ao sistema operacional e aos aplicativos instalados. É bastante simples e há uma tonelada de
configurações que você pode ajustar. Certifique-se de passar algum tempo olhando através dos
submenus.
Usando
o configurações
Menu
de
FIGURA 3-10:
O menu
Privacidade
permite
configurar
rastreamento
e anúncios no
Windows e
nos aplicativos instalados.
Atualização e segurança
O menu Atualização e segurança (consulte a Figura 3-11) é onde você pode configurar as
atualizações do Windows e gerenciar as configurações de segurança do Windows, como antivírus,
firewall, controle de aplicativo e navegador e segurança do dispositivo. Este menu também fornece
acesso a utilitários de solução de problemas e opções de recuperação. Você pode ativar sua cópia
do Windows e entrar no modo de desenvolvimento, se esse for o seu lugar feliz.
FIGURA 3-11:
A atualização &
O menu Segurança
é onde você
pode gerenciar os
aspectos
relacionados à segurança do seu
servidor.
NESTE CAPÍTULO
Capítulo 4
Trabalhando com
grupos de trabalho
ParaActive
algumas
Directoryredes, não Nessas
em execução. faz sentido
redes, noter um ainda
entanto, controlador de domínio com
é considerado
desejável poder compartilhar coisas de um sistema para outro. é aqui
grupos de trabalho entram em jogo.
Neste capítulo, explico o que são grupos de trabalho e como criá-los. Também o informo sobre o Peer
Name Resolution Protocol, o que ele faz e por que é importante para grupos de trabalho.
Para que um grupo de trabalho funcione corretamente, todos os sistemas devem compartilhar o mesmo
nome de grupo de trabalho. Por padrão, no Windows, um sistema não ingressado no domínio pertencerá a
um grupo de trabalho chamado WORKGROUP.
A maior diferença a ter em mente entre os relacionamentos ponto a ponto e cliente-servidor, como os feitos
no Active Directory, é que ponto a ponto é descentralizado em todos os sentidos. Você precisa configurar
explicitamente o acesso para usuários e recursos em cada servidor ao qual eles desejam se conectar. Os
sistemas em uma relação cliente-servidor, como o Active Directory, possuem um banco de dados
centralizado que lida com a autenticação e a autorização de acesso aos recursos.
Uma das principais vantagens dos grupos de trabalho é que eles podem ser muito simples de gerenciar,
desde que sejam pequenos. Você simplesmente configura um recurso para compartilhamento e define com
quem deseja compartilhar esse recurso. Você não precisa se preocupar com políticas de grupo complexas,
porque tudo é definido localmente. Grupos de trabalho também podem ser uma opção econômica porque
você não precisa de vários servidores para dar suporte a um grupo de trabalho; na verdade, você não
precisa tecnicamente de servidores, você pode criar um grupo de trabalho apenas com sistemas clientes.
Este capítulo se concentra em grupos de trabalho em um sistema Windows Server 2022.
No entanto, como as contas de usuário são gerenciadas em cada sistema individual, a segurança é uma
preocupação dos grupos de trabalho. As senhas não podem ser alteradas com muita frequência. Se eles
forem alterados, um usuário pode atualizar sua senha em alguns sistemas, mas não em todos, e acabar
ficando fora de sincronia. Além disso, alguns aplicativos podem exigir o Active Directory; você não poderá
usar esses aplicativos se estiver usando grupos de trabalho.
tiver 200 sistemas, um grupo de trabalho provavelmente não será uma boa escolha porque resultaria em
uma quantidade muito grande de sobrecarga administrativa.
Em um grupo de trabalho, você pode compartilhar arquivos, bancos de dados e impressoras. Se isso for
tudo o que você precisa fazer e tiver um pequeno grupo de sistemas (idealmente 15 ou menos), um grupo
de trabalho é uma boa opção. Isso economiza as despesas de configuração de controladores de domínio,
que consumirão outra licença de sistema operacional de servidor, bem como o custo de contratação de
um administrador de sistema que saiba como cuidar do Active Directory.
No entanto, você não tem autenticação centralizada — todo usuário deve ter uma conta no sistema no
qual deseja acessar os recursos. Você não pode gerenciar sistemas com a Diretiva de Grupo — você
deve usar apenas as diretivas de segurança locais. Por fim, você não pode executar aplicativos que
exijam o Active Directory.
Se você decidiu que um grupo de trabalho é ideal para você, a próxima coisa que você precisa decidir é
se deseja usar um modelo de compartilhamento centralizado ou um modelo de compartilhamento de grupo.
Ao configurar um servidor para ser um servidor de grupo de trabalho, você precisa adicionar grupos, Trabalhando
com trabalho
grupos
de
usuários e quaisquer recursos que deseja compartilhar. Antes de fazer qualquer uma dessas coisas,
porém, você precisa alterar o nome do seu grupo de trabalho.
FIGURA 4-1:
A configuração do
grupo de trabalho
começa na
tela Servidor Local
no Gerenciador do Servidor.
4. Altere o nome do grupo de trabalho para o nome que desejar e clique em OK.
5. Clique em OK.
6. Clique em OK.
FIGURA 4-2:
A caixa de
diálogo Propriedades
do sistema
permite definir o
nome do grupo de trabalho.
Trabalhando
com trabalho
grupos
de
FIGURA 4-3:
Definindo o
nome do grupo de trabalho.
Adicionando grupos
Você concede permissões para os recursos compartilhados ao grupo em vez de diretamente
às contas de usuário. Isso garante que os usuários tenham acesso a tudo o que precisam
— e é muito mais fácil de gerenciar do que as permissões de usuários individuais. Por esse
motivo, você deve criar grupos antes de criar usuários.
O Windows Server 2022 inclui vários grupos prontos para uso. Neste exemplo, criarei um grupo
simples chamado Workgroup Users.
FIGURA 4-4:
Criando um grupo para
permitir o acesso à
estação de trabalho
recursos.
Criando usuários e
adicionando usuários ao grupo
Para que um usuário acesse um grupo de trabalho, ele deve ter uma conta local no
sistema ao qual está tentando se conectar. Ao criar a conta de usuário, você pode
conceder permissões diretamente, mas adicionar o usuário a um grupo com as missões
corretas é muito mais simples. Imagine se você tiver que criar cinco usuários: você pode
definir permissões para cada um deles ou simplesmente adicioná-los ao grupo.
O Windows Server 2022 inclui algumas contas de usuário prontas para uso. Neste exemplo,
5. Preencha os campos Nome do usuário, Nome completo e Senha (consulte a Figura 4-5).
Em um ambiente de produção, você deve deixar a caixa de seleção O usuário deve alterar a
senha no próximo logon marcada.
Trabalhando
com trabalho
grupos
de
FIGURA 4-5:
Criando uma conta
de usuário para permitir
acesso ao trabalho
recursos da estação.
6. Clique em Criar.
A caixa de diálogo Propriedades de nome de usuário é exibida (onde Nome de usuário é o nome do usuário
cujas propriedades você está visualizando).
10. No campo Enter the Object Names to Select, digite o nome do grupo
Se o grupo for encontrado, ele será sublinhado e começará com o nome do servidor, conforme mostrado
na Figura 4-6.
FIGURA 4-6:
Selecionando o
grupo para o seu
conta de usuário.
FIGURA 4-7:
Selecionando a
pasta que deseja
compartilhar no
Assistente para Criar
uma Pasta Compartilhada.
9. Clique em Avançar.
A próxima tela permite alterar o nome do compartilhamento e definir as configurações offline. Isso
permite que os usuários que estão offline acessem os arquivos compartilhados.
13. Digite o nome do grupo que você criou anteriormente e clique em Verificar
Names para garantir que ele resolva. Trabalhando
com trabalho
grupos
de
15. Na seção Permissões para usuários da estação de trabalho, defina as permissões desejadas
sões para a ação.
FIGURA 4-8:
Personalizando as
permissões da
pasta compartilhada.
Depois que o compartilhamento for adicionado, ele aparecerá em Shares em Shared Folders,
conforme mostrado na Figura 4-9.
Se você já configurou grupos de trabalho em uma versão mais antiga do Windows, sabe que sua
próxima etapa também foi adicionar o grupo criado às permissões de compartilhamento na pasta no
sistema de arquivos. Este foi um monte de trabalho duplo. Para nossa sorte, a Microsoft corrigiu isso.
Quando você compartilha a pasta na área Pastas Compartilhadas no Gerenciamento do Computador,
ela também define as permissões de compartilhamento. Se você quiser ver as configurações, siga
estas etapas:
Nesta tela, você pode alterar o número de usuários que podem se conectar ao mesmo tempo, alterar as
permissões e alterar o cache.
Nesse contexto, o cache refere-se ao acesso off-line.
FIGURA 4-9:
O novo compartilhamento
de pasta está visível
na seção
Compartilhamentos de
Pastas Compartilhadas.
5. Clique em OK.
6. Clique em OK novamente.
7. Clique em Fechar.
A caixa de diálogo
Compartilhamento
Avançado
permite configurar o
compartilhamento.
Como administrador de um grupo de trabalho, você pode precisar cuidar de algumas tarefas de
gerenciamento em andamento. Algumas das mais comuns são a redefinição de senhas, embora
você também possa alterar a função do usuário. Nesta seção, apresentarei alguns métodos
diferentes para gerenciar contas de usuário.
Se tudo o que você deseja fazer é redefinir a senha, clique com o botão direito do mouse na
conta do usuário e escolha Definir senha. Clique em Continuar na caixa de diálogo, digite a nova
senha e clique em OK.
4. Clique com o botão direito do mouse na conta que você criou anteriormente e escolha Propriedades.
A caixa de diálogo Propriedades é exibida. Aqui está o que você pode fazer em cada guia desta
caixa de diálogo:
• Geral: Defina a conta como desativada ou exija que o usuário altere sua senha na próxima
vez que fizer login.
• Ambiente: defina um programa para iniciar quando o usuário fizer login e defina o
comportamento desejado dos dispositivos clientes.
• Sessões: Defina como deseja que as sessões sejam tratadas para um determinado
conta de usuário.
• Controle remoto: permite que você assuma o controle remoto da sessão de um usuário.
Isso é muito útil ao solucionar um problema.
• Perfil de Serviços de Área de Trabalho Remota: Semelhante à guia Perfil, exceto por este
só se aplica a sessões de Área de Trabalho Remota.
A janela Conta
A janela Conta permite que você faça as mesmas funções de gerenciamento de usuários que o
console de gerenciamento do computador faz, apenas com uma interface de aparência mais agradável.
Veja como acessá-lo:
2. Clique em Contas.
FIGURA 4-11:
Clicando em outro
Os usuários permitem
sejam as suas.
A partir daqui, você pode alterar o tipo de conta ou excluir a conta (consulte a Figura 4-12).
Trabalhando
com trabalho
grupos
de
PowerShell
Você pode gerenciar suas contas de usuário com ferramentas gráficas, mas também pode usar o
PowerShell para fazer o truque. Na verdade, existem algumas tarefas administrativas que só podem
ser realizadas usando o PowerShell.
FIGURA 4-12:
Gerenciar a
conta de
outro usuário.
Para as tarefas que estou realizando, você precisa abrir o PowerShell como administrador.
Se você escolher PowerShell no menu Iniciar, ele será iniciado. A maioria das tarefas
que você deseja realizar exigirá que o PowerShell seja executado como administrador.
Se quiser saber mais sobre o PowerShell, consulte o Livro 6.
Aqui estão dois comandos úteis para trabalhar com contas locais.
» Get-LocalUser consulta o sistema para obter informações sobre a conta do usuário que
você especifica.
FIGURA 4-13:
Janela do
PowerShell com usuário
linha de código de
gerenciamento de conta.
Peer Name Resolution Protocol (PNRP) foi introduzido pela primeira vez no Windows XP.
Ele permite a resolução de nomes e registro em redes peer-to-peer.
sobre você, mas ter que lembrar uma lista de endereços IP seria muito difícil para mim,
especialmente se houvesse vários sistemas. Você pode estar pensando: “Por que não usar
a resolução DNS (Domain Name System)?” Não há mal nenhum em usar o DNS, mas você
precisaria de um servidor DNS para suportar isso. O PNRP não requer um servidor separado.
Você pode obter a resolução de nomes usando a infraestrutura já existente. Muito legal,
certo? Você pode proteger o tráfego PNRP com um firewall se precisar fornecer mais
segurança. O PNRP usa UDP 3540 para permitir a resolução de nomes.
Então, como funciona o PNRP? Digamos que você esteja no ServerA e queira falar com o
ServerB. Aqui está o que acontece: ServerA examina seu cache para ver se ele tem um ID
PNRP para ServerB. Existem duas possibilidades:
» Se uma correspondência for encontrada, ServerA enviará uma mensagem de solicitação PNRP para ServerB.
» Se uma correspondência não for encontrada, ServerA envia uma mensagem de solicitação PNRP para qualquer
sistema tem o ID PNRP mais próximo do ServerB.
A solicitação PNRP é recebida por qualquer nó para o qual foi enviada. A partir daqui,
existem três opções:
» Se a solicitação PNRP foi enviada para o ServidorB e o ServidorB está ativo e respondendo, o
ServidorB enviará uma resposta à solicitação de volta ao ServidorA.
» Se o nó que recebeu a solicitação PNRP não for o ServidorB, mas tiver o ID PNRP do ServidorB
ou conhecer um nó mais próximo do ID PNRP do ServidorB, ele responderá com essa
informação ao ServidorA. O ServidorA pode então alcançar o ServidorB ou alcançar o
próximo nó mais próximo e iniciar a pesquisa novamente.
NESTE CAPÍTULO
capítulo 5
Promovendo seu
servidor a controlador de domín
Nogrupos
últimofuncionam
capítulo, bem
explico
paracomo criarmenores
ambientes e usar grupos de trabalho.
com poucos sistemas embora trabalho
(menos de 15 sys
tems), eles não escalam bem em ambientes corporativos.
Na maioria dos ambientes corporativos, você usará um domínio. Um domínio fornece uma
fonte central de verdade para todos os eventos de autenticação. Você só precisa criar uma
conta de usuário uma vez, atribuí-la aos grupos de segurança apropriados e, em seguida,
poderá atribuir o grupo de segurança a quaisquer recursos que o usuário precise acessar
(supondo, é claro, que os recursos estejam no domínio ). Isso simplifica significativamente o
gerenciamento de usuários e melhora a situação de segurança de sua organização porque
você pode impor configurações em todo o domínio com a Diretiva de Grupo (consulte o Livro
3, Capítulo 2).
Compreendendo os domínios
Antes de me aprofundar em como criar um controlador de domínio, acho importante que você
entenda o que é um domínio do Active Directory, como ele é arquitetado e alguns dos grupos
padrão criados quando você cria um domínio do Active Directory pela primeira vez. Também
abordo funções de controlador de domínio. Se você já estiver familiarizado com esses tópicos,
sinta-se à vontade para avançar. Se não, continue lendo!
O que é um domínio?
Vamos começar com os conceitos básicos e depois desenvolvê-los. Um domínio em uma rede
leve Micro é normalmente referido como um domínio Active Directory Domain Services (AD DS).
Cada domínio do AD DS tem seu próprio banco de dados de objetos dentro dele. Um objeto pode
ser um usuário, um grupo, um computador ou até mesmo uma impressora.
Os domínios AD são organizados em uma estrutura hierárquica com a floresta sendo o nível mais
alto, seguida por domínios e unidades organizacionais (OUs). Cada floresta pode ter vários
domínios e cada domínio pode ter várias OUs.
» Árvores de domínio: Uma árvore de domínio é simplesmente uma coleção de domínios. Por
exemplo, você pode ter o namespace da árvore de domínio definido como sometestorg.com,
e os domínios sob essa árvore seriam algo como accounting.sometestorg.com ou
hr.sometestorg.com. Os domínios compartilham o namespace com a árvore de domínio.
» Florestas: uma floresta do Active Directory é o objeto de nível superior. Ele armazena a
totalidade do Active Directory, incluindo todas as árvores e domínios. O primeiro
domínio criado em uma floresta é chamado de domínio raiz da floresta. Ele normalmente
compartilhará o nome da floresta.
Promovendo
controlador
domínio
servidor
seu
de
a
Dependendo da organização em que você trabalha, você pode ter uma pequena instância
do Active Directory com apenas uma floresta e um domínio, ou pode trabalhar para uma
grande empresa com várias florestas e vários domínios.
Você pode estar se perguntando por que gostaria de ter mais de uma floresta. É mais
sobrecarga de gerenciamento, certo? Sim, é absolutamente. No entanto, se você trabalha
em um ambiente onde a separação de limites de segurança é crucial, então múltiplos for
ests são sua melhor aposta. Um exemplo comum é a separação da rede corporativa da
rede de produção. A floresta corporativa é usada para gerenciar as estações de trabalho
corporativas onde o e-mail e a Internet são acessados. A floresta de produção é usada
apenas para gerenciar o tráfego de autenticação para servidores ou dispositivos de rede.
Ao separar as florestas e, por extensão, os limites de segurança dessas duas redes, você
protege o ambiente de produção do ambiente corporativo potencialmente infestado de
malware.
A Tabela 5-1 cobre os vários grupos e quais permissões você obtém quando é colocado
neles.
Operação (FSMO). Ao usar as funções FSMO, os controladores de domínio não brigam por
quem pode fazer alterações, nem você precisa se preocupar com a queda do controlador de
domínio principal porque as funções que ele estava cuidando podem ser movidas para outro
controlador de domínio.
Administradores Corporativos Este grupo está localizado no domínio raiz da floresta. É um membro dos Administradores
integrados em todos os domínios da floresta. Os membros do grupo Enterprise Admins podem fazer
alterações na floresta, adicionar ou remover domínios, estabelecer relações de confiança na floresta e
aumentar os níveis funcionais da floresta.
Esse grupo só deve ser usado quando necessário porque é um grupo altamente privilegiado — por
exemplo, quando você está construindo uma floresta pela primeira vez ou quando está fazendo
alterações em toda a floresta, como estabelecer relações de confiança na floresta.
Administradores de domínio Os membros do grupo Admins. do domínio são membros do grupo Administradores integrados desse
domínio. Eles são adicionados automaticamente ao grupo de Administradores locais em todos os sistemas
que fazem parte de seu domínio.
Administradores Administradores de domínio são membros do grupo Administradores do domínio no qual sua conta
reside. Administradores corporativos são membros desse grupo em todos os domínios de suas
florestas. Este grupo é aquele que concede a eles acesso ao grupo do administrador local em todos
os sistemas ingressados no domínio.
Esse grupo tem a capacidade de gerenciar a maioria dos objetos do domínio com permissões
totais e pode se apropriar de quase todos os objetos do domínio.
Administradores de esquema Schema Admins é um grupo especial. Ele existe no domínio raiz da floresta semelhante ao grupo
Enterprise Admins. Os administradores de esquema têm permissão para gerenciar o esquema no Active
Directory, mas nada mais. Isso torna os Administradores de esquema um grupo menos privilegiado, mas
tenha muito cuidado com quem você designa para ser um Administrador de esquema. As alterações
no esquema que vão mal podem danificar o Active Directory. Este grupo só deve ser atribuído na
instância pouco frequente quando as alterações de esquema precisam ser feitas.
Adicional Grupos administrativos adicionais são criados à medida que você instala funções e aplicativos.
Administrativo DHCP, DNS e Exchange Server são apenas alguns exemplos de funções ou aplicativos que criarão
Grupos novos grupos administrativos no Active Directory.
Aqui estão as funções FSMO que você vê nos controladores de domínio de hoje e o que cada
um deles faz:
» Em toda a floresta:
• Mestre de nomeação de domínio: garante que você não crie domínios com o
mesmo nome de um domínio existente.
» Domínio amplo:
• RID Master: Cada entidade de segurança no Active Directory tem uma segurança
identificador (SID). Esse SID é composto pelo SID do domínio, que é o mesmo para
todos os sistemas no mesmo domínio, e o ID relativo (RID), que é exclusivo Promovendo
controlador
domínio
servidor
seu
de
a
para cada entidade de segurança nesse domínio. O mestre RID atribui blocos de
SIDs a controladores de domínio para que eles possam emiti-los.
Uma última conversa importante fora das funções é o Catálogo Global. Um servidor de
Catálogo Global armazena registros para todos os objetos em todos os domínios da floresta.
Um controlador de domínio mantém uma cópia totalmente gravável de seu próprio
Catálogo Global e uma cópia somente leitura de outros domínios na mesma floresta. Isso
permite que você pesquise objetos no Active Directory sem precisar ir a cada domínio
individual para fazer isso.
Uma das tarefas mais importantes, especialmente se for um servidor novo, é instalar
todas as atualizações de segurança disponíveis e garantir que você tenha um software
antivírus atualizado instalado. Afinal, este será o seu servidor de autenticação central,
então você quer ter certeza de que está protegido.
A tarefa que todo mundo teme e às vezes pula é a tarefa de planejamento. Acho que é ignorado
porque tende a ser menos divertido do que instalar a função de servidor e configurá-la. Mas o
problema é o seguinte: se você reservar um tempo para planejar a instalação e a configuração com
antecedência, o resultado será muito melhor.
Você poderá garantir que o servidor atenderá às suas necessidades e, melhor ainda, não precisará
reinstalá-lo quando descobrir que não atende às suas necessidades. Portanto, sente-se por um
momento e planeje como deseja que seu Active Directory seja. Terá vários domínios? Que tipo de
estrutura OU você vai usar?
Obviamente, mapear como você deseja que seu AD pareça tende a ser mais para novas instalações
em que o Active Directory não está implantado no momento. Mas se você estiver adicionando um
controlador de domínio a um ambiente existente do Active Directory, você ainda deve planejar as
coisas. Este controlador de domínio hospedará alguma das funções FSMO? Se sim, quais são?
Este é um controlador de domínio mais novo sendo criado para substituir os controladores de
domínio mais antigos? Em caso afirmativo, qual é o nível funcional atual da floresta e o nível
funcional do domínio?
Níveis funcionais
Os níveis funcionais são usados para informar aos controladores de domínio quais recursos podem
ser habilitados nos níveis de floresta ou domínio. Com cada nova versão do Active Directory, são
adicionados novos recursos que você pode querer aproveitar. Se você estiver criando uma nova
instalação do Active Directory, escolha os níveis funcionais mais altos disponíveis.
Os níveis funcionais podem impedir que um servidor se torne um controlador de domínio se seu
nível funcional for muito baixo. Os níveis funcionais podem ser definidos no nível da floresta ou no
nível do domínio. Os domínios podem ser executados com um nível funcional superior ao da floresta
em que estão, mas não podem ser executados com um nível funcional inferior ao da floresta.
Quando você aumenta o nível funcional, não pode adicionar controladores de domínio definidos para
um nível funcional inferior. Também é importante observar que o nível funcional do domínio pode
ser igual ou superior ao nível funcional da floresta, mas não pode ser inferior a ele.
Em sistemas operacionais de servidor mais antigos, aumentar o nível funcional era uma tarefa única.
Não havia uma maneira legal de reverter a mudança se ela causasse problemas. Isso não é mais o
caso. Você pode reverter para uma versão mais antiga com o PowerShell, desde que haja suporte
para a reversão e nenhum dos novos recursos que exigem o nível funcional mais recente tenha sido
habilitado. Se você os habilitou, será necessário desativá-los antes de poder reverter.
» Windows2016Floresta ou 7
» Windows2012R2Forest ou 6
» Windows2016Domínio ou 7
» Windows2012R2Domínio ou 6
Para verificar o nível funcional da floresta atual, abra o PowerShell e execute o comando
Get-ADForest.
Para verificar o nível funcional do seu domínio atual, abra o PowerShell e execute o
comando Get-ADDomain.
AD DS requer DNS e DHCP para funcionar corretamente. Se você já os tem em seu ambiente,
ótimo - está tudo pronto! Caso contrário, você pode instalá-los no mesmo sistema do AD DS
ou em sistemas separados.
Instalando e configurando
Sistema de nomes de domínio
O DNS é responsável por resolver nomes de host fáceis de lembrar para endereços IP não
tão fáceis de lembrar. É um requisito para que o Active Directory funcione corretamente. Se o
DNS não estiver instalado no sistema no qual você instalará o AD DS, mas estiver disponível
em seu ambiente, você estará pronto. Se o DNS não existir em seu ambiente, você precisará
instalá-lo.
Você pode instalar a função de servidor DNS sozinha ou pode instalá-la como parte das
tarefas de configuração ao instalar o AD DS. Vou mostrar a você como instalar o DNS por si
só.
Promovendo
controlador
domínio
servidor
seu
de
a
Antes de instalar a função DNS, certifique-se de que seu servidor tenha um endereço IP
estático. Caso contrário, você receberá um aviso durante a instalação da função. Você terá
permissão para continuar com a instalação, mas seus clientes podem perder a conexão com
o servidor DNS se o endereço IP mudar.
7. Clique em Avançar.
2. Clique na seta ao lado do nome do seu servidor para expandir suas opções.
3. Clique com o botão direito do mouse em Zonas de pesquisa direta e selecione Nova zona.
5. Na tela Zone Type, deixe a opção Primary Zone selecionada e clique em Next.
FIGURA 5-1:
O homem do DNS
FIGURA 5-2:
Nomear sua zona
indica para qual
zona o servidor DNS
tem autoridade.
7. Clique em Avançar.
8. Na tela Zone File, deixe a seleção em Create a New File with this
Nome do arquivo e clique em Avançar.
Promovendo
controlador
domínio
servidor
seu
de
a
11. Clique com o botão direito do mouse em Zonas de pesquisa inversa e selecione Nova zona.
13. Na tela Tipo de zona, deixe a Zona primária selecionada e clique em Avançar.
14. Na tela Reverse Lookup Zone Name, verifique se IPv4 Reverse Lookup
A zona é selecionada e clique em Avançar.
15. Na próxima tela Reverse Lookup Zone Name, digite o Network ID.
Esses serão os bits do host no endereço IP. O endereço IP do meu servidor DNS é 192.168.1.43.
Atribuir o ID de rede para isso seria 192.168.1, conforme mostrado na Figura 5-3.
17. Na tela Zone File, deixe a seleção em Create a New File with this
Nome do arquivo e clique em Avançar.
FIGURA 5-3:
Atribuindo o
ID de rede.
Isso é tudo. Agora você tem um servidor DNS funcional. Você pode estar se perguntando por
que eu disse para deixar as atualizações dinâmicas desativadas. Quando o Active Directory é
instalado, você pode habilitar atualizações dinâmicas seguras. Até então, você deve habilitar
todas as atualizações dinâmicas, o que pode ser uma péssima ideia porque qualquer sistema
seria registrado no DNS.
Características.
7. Clique em Avançar.
de DHCP.
ao lado de IPv4.
FIGURA 5-4:
O console DHCP
permite que
você configure os
serviços DHCP.
Um escopo DHCP define os endereços IP que estão disponíveis para concessão aos
sistemas que estão na sub-rede que foi definida. Para cada sub-rede em sua rede, você precisa
de um escopo DHCP separado definido antes de emitir endereços IP para sistemas que
estão nessa sub-rede.
Eu criei um escopo muito pequeno para este exemplo. Normalmente, seu escopo seria muito maior, potencialmente
FIGURA 5-5:
O endereço IP
A tela de intervalo
permite que você
especifique o
intervalo de endereços
para o escopo DHCP.
11. Na tela Adicionar Exclusões e Atraso, digite os endereços que você não
deseja que o escopo seja atribuído.
Você pode inserir um endereço de roteador ou outros endereços de dispositivo que existam neste escopo, mas
Na tela Lease Duration, você pode ver que o padrão é oito dias. Na maioria dos casos, isso ficará bem.
14. Na tela Configure DHCP Options, deixe-a definida como Yes, I Want to
15. Na tela Roteador (gateway padrão), adicione o endereço IP do gateway padrão e clique
em Avançar.
16. Na tela Domain Name and DNS Servers, insira o nome de domínio
FIGURA 5-6:
Definindo o
nome de domínio
e os servidores DNS
no DHCP
Opções de Escopo.
18. Na tela Servidores WINS, opcionalmente, você pode inserir o nome ou endereço IP de
um Servidor WINS em sua rede e clicar em Avançar.
A última tela pergunta se você deseja ativar seu escopo. A opção padrão é Sim.
Isso é tudo.
7. Clique em Avançar.
Você tem mais controladores de domínio para construir? Depois de instalar o AD DS, a tela
tem um link Exportar definições de configuração na parte inferior. Clique neste link e salve o
arquivo XML gerado. Quando você quiser usá-lo para criar outro controlador de domínio,
basta usar o PowerShell para apontar o instalador para o arquivo XML:
FIGURA 5-7:
Promovendo
o servidor a
um controlador
de domínio.
Deixe Domain Name System (DNS) e Global Catalog selecionados. Digite uma senha de
restauração e salve-a em algum lugar onde você possa acessá-la; se o AD precisar ser restaurado,
você precisará dessa senha para recuperá-lo.
Se estiver instalando vários controladores de domínio, você pode clicar no botão Exibir script e
ver o script do PowerShell para a mesma configuração.
Na tela de verificação de pré-requisitos, é comum haver alguns avisos. Contanto que você tenha uma
mensagem na parte superior que diz "Todas as verificações de pré-requisito foram aprovadas
com sucesso", você está pronto para ir. Consulte a Figura 5-8 para obter um exemplo.
9. Clique em Instalar.
Após a instalação do AD DS, o servidor será reiniciado automaticamente e você poderá fazer login
como a conta de administrador do domínio. Inicialmente, isso usará a mesma senha da conta de
administrador local no servidor. Certifique-se de alterá-lo.
FIGURA 5-8:
Verificar se as
verificações de
pré-requisito foram
aprovadas antes da instalação.
atualizações manuais em vez de dinâmicas. Agora que a zona DNS está associada ao
Active Directory, você pode voltar, integrar as zonas DNS ao Active Directory e selecionar
atualizações dinâmicas seguras.
Tornar sua zona DNS e zona integrada do Active Directory fornece um ambiente
multimestre onde qualquer controlador de domínio que esteja executando DNS pode
atualizar zonas, desde que seja um servidor autoritativo para essa zona. Os dados da
zona são replicados por meio do Active Directory em vez do método tradicional de
transferência de zona. Depois de escolher tornar sua zona e a zona integrada do Active
Directory, você também pode habilitar atualizações dinâmicas seguras. Isso permite que
você controle quais sistemas podem atualizar nomes de registro, bem como impedir que
sistemas não autorizados sobrescrevam nomes no DNS.
Siga estas etapas para converter sua zona em uma zona integrada ao Active Directory e
como habilitar atualizações dinâmicas seguras:
6. Quando você for perguntado se deseja que a zona seja integrada ao Active Directory
ralado, clique em Sim.
Consulte a Figura 5-9 para ver um exemplo de como sua tela deve ficar neste ponto.
FIGURA 5-9:
Configurando
as propriedades
de sua zona DNS
para AD integrado.
12. Com Primário ainda selecionado, marque Armazenar a zona no Active Directory
caixa de seleção e clique em OK.
13. Quando for perguntado se deseja que a zona seja integrada ao Active
Directory, clique em Sim.
Consulte a Figura 5-9 para ver um exemplo de como sua tela deve ficar neste ponto.
Lembre-se de que a Figura 5-9 é da Zona de pesquisa direta, mas as próprias configurações são idênticas.
17. Clique com o botão direito do mouse em seu nome de domínio em Zonas de pesquisa direta e selecione
Os registros de host são usados pelo servidor DNS para mapear nomes de host para endereços IP.
Os registros A correspondem a nomes de host com endereços IPv4, enquanto os registros AAAA
mapeiam nomes de host para endereços IPv6.
Agora está tudo pronto. O Active Directory está instalado e você está permitindo atualizações
dinâmicas no DNS de forma segura. Você criou um registro DNS para o seu servidor. Você pode
testar neste ponto para certificar-se de que a resolução de nomes está funcionando corretamente.
Aqui estão as etapas para testar a resolução de nomes:
1. Clique com o botão direito do mouse no menu Iniciar e escolha Windows PowerShell.
FIGURA 5-10:
Usando nslookup para
verificar se o DNS está
funcionando corretamente.
Como você pode ver, a integração do DNS após o fato pode consumir bastante tempo. Você pode
instalá-lo ao mesmo tempo que o Active Directory e economizar um pouco do trabalho de
configuração. No entanto, agora que você viu o caminho mais longo, o caminho mais curto será
muito mais simples.
A seta vermelha voltada para baixo que estava no IPv4 deve ser uma marca de seleção verde agora.
Agora seu DHCP está configurado para funcionar com seu domínio do Active Directory. Sempre
que você instalar novos servidores DHCP e desejar que eles funcionem com seu ambiente do
Active Directory, será necessário autorizá-los.
Directory.
4. Clique com o botão direito do mouse em Users e escolha New ÿ User, conforme mostrado na Figura 5-11.
Observe que o Nome Completo é preenchido automaticamente com o que você digitou.
No meu exemplo, para John Smith, estou criando um nome de usuário jsmith (veja a Figura 5-12).
Promovendo
controlador
domínio
servidor
seu
de
a
FIGURA 5-11:
Criando um novo
usuário no
Active Directory.
FIGURA 5-12:
Criando meu primeiro
usuário, John Smith.
7. Clique em Avançar.
10. Deixe a caixa O usuário deve alterar a senha no próximo logon marcada e
clique em Avançar.
Vamos criar um grupo chamado Usuários de compartilhamento de arquivos, adicionar John Smith a ele e, em seguida,
atribuir permissões em um compartilhamento de pasta. Siga esses passos:
3. Clique duas vezes no novo grupo (no meu caso, é File Share Users) e clique em
a guia Membros.
4. Clique em Adicionar.
8. Clique em Este PC e determine em qual volume você deseja criar esta pasta
compartilhar no.
10. Clique com o botão direito do mouse no espaço em branco e escolha Novo ÿ Pasta.
12. Clique com o botão direito do mouse na pasta Arquivos e escolha Conceder acesso a ÿ Pessoas específicas.
13. Na caixa, digite o nome do grupo que você criou anteriormente (no meu caso,
Usuários de compartilhamento de arquivos) e clique em Adicionar.
FIGURA 5-13:
Compartilhando uma
pasta com um
Quando um usuário do grupo de segurança deseja acessar o compartilhamento que você acabou de criar,
tudo o que ele precisa fazer é o seguinte:
2. Digite \\nomedoservidor\nomedocompartilhamento.
3. Pressione Entrar.
O melhor dessa abordagem é que os novos usuários só precisam ser adicionados ao grupo de
segurança Usuários de compartilhamento de arquivos e têm acesso de leitura/gravação ao
compartilhamento de pasta que você criou.
Por padrão, qualquer membro do grupo Usuários Autenticados pode adicionar uma estação de
trabalho a um domínio do Active Directory. Os membros do grupo Authenticated Users podem
adicionar até dez estações de trabalho. (Isso deve ser alterado dependendo das políticas da sua
organização.) Ele pode ser ajustado em todo o domínio na Política de controladores de domínio
padrão no Console de gerenciamento de política de grupo, localizado em Configuração do
computador, Políticas, Configurações do Windows, Configurações de segurança e Políticas locais e,
em seguida, Atribuição de direitos do usuário. Clique duas vezes em Adicionar estações de trabalho
ao domínio. Adicione o grupo de segurança que deseja usar para permitir que os sistemas sejam
adicionados ao domínio (frequentemente vi administradores de domínio usados aqui) e remova os
usuários autenticados.
2. Quando o Gerenciador do Servidor for iniciado, clique em Servidor Local no lado esquerdo do
cardápio.
Promovendo
controlador
domínio
servidor
seu
de
a
FIGURA 5-14:
A caixa
Propriedades
do sistema
permite
alterar o nome do
computador
ea
associação do grupo de trabalho/domínio.
FIGURA 5-15:
Alterar a
associação de
domínio do servidor.
8. Clique em OK.
9. Clique em OK.
Núcleo do servidor
O Server Core não possui os menus gráficos com os quais a maioria dos administradores está
acostumada, portanto, a experiência de ingressar em um domínio é diferente. Há duas maneiras de
ingressar em um domínio: você pode usar o utilitário sconfig ou pode usar o PowerShell.
Vamos entrar no domínio usando sconfig. Para fins de instrução, presumirei que você já digitou sconfig
e está no menu. Siga esses passos:
6. Digite não.
Promovendo
controlador
domínio
servidor
seu
de
a
FIGURA 5-16:
O menu sconfig no
Server Core é a
configuração principal
do sistema
área.
Veja como o PowerShell pode ser bom, curto e direto? Eu recomendo que você reserve um tempo
para aprender o PowerShell. O livro 6 é sobre PowerShell.
Aqui estão as etapas para ingressar no Active Directory com o comando PowerShell:
Encerrando as Coisas
Você pode estar se perguntando neste momento, como todas essas coisas se unem?
Se você trabalhou neste capítulo do começo ao fim, instalou DNS, DHCP e Active
Directory. Você voltou e converteu a zona DNS em uma zona integrada do Active
Directory e, em seguida, configurou atualizações dinâmicas seguras. Você também
voltou e autorizou seu servidor DHCP para o Active Directory. Em seguida, você juntou
alguns sistemas ao Active Directory.
Se você voltar ao seu DNS, todos os sistemas que você ingressou no domínio serão
registrados. Isso ocorreu quando você os juntou ao domínio. Você pode ver meu
exemplo na Figura 5-17.
FIGURA 5-17:
Ativo
As zonas
DNS integradas ao
diretório
oferecem
replicação aprimorada
em seus
controladores de
domínio e
atualizações
dinâmicas seguras
garantem
que os registros sejam adicionados por autenticados
Usuários.
É importante que os sistemas sejam registrados porque isso significa que seus usuários podem se lembrar
de nomes de sistema em vez de endereços IP. Com o DNS resolvendo nomes corretamente, você pode
usar o nome e o sistema saberá qual deve ser o endereço IP. Muito legal quando você pensa sobre isso!
Promovendo
controlador
domínio
servidor
seu
de
a
A resolução de nomes é ótima e tudo mais, mas à medida que você escala, não deseja acompanhar os
endereços IP manualmente. Vamos verificar o servidor DHCP. Como foi autorizado para o Active Directory,
quando você juntou seus sistemas ao Active Directory, ele emitiu endereços IP para eles, conforme mostrado
na Figura 5-18.
FIGURA 5-18:
Endereço DHCP
seus sistemas
ingressados no domínio.
Você pode definir reservas para garantir que o DHCP não emita um endereço IP para
outro sistema. Você pode fazer isso facilmente clicando com o botão direito do mouse em um sistema com
um aluguel regular e escolhendo Adicionar à reserva.
Agora vamos olhar para o Active Directory. Seus novos sistemas ingressados no domínio aparecerão no
Active Directory agora. Siga esses passos:
3. Clique na OU Computadores.
Agora que esses sistemas estão no Active Directory, você tem um local central
para gerenciá-los. Você pode ver qual sistema operacional eles estão
executando e também pode delegar permissão a eles.
NESTE CAPÍTULO
Capítulo 6
Gerenciando DNS e
DHCP com endereço IP
Gerenciamento
Servidores de sistema (DNS) e Dynamic Host Configuration Protocol (DHCP) não
Quando você
sãotrabalha
tão ruinspara uma
assim. organização
Você menor,
pode ter um gerenciar
servidor seu
ou apenas umnome de domínio
punhado de
servidores. À medida que sua organização cresce, no entanto, você pode começar a sentir a
dor de gerenciar vários servidores DNS e DHCP. Pode ficar mais difícil acompanhar todas as
zonas e escopos.
A Microsoft optou por solucionar a expansão inevitável de servidores DNS e DHCP com
um recurso conhecido como IP Address Management (IPAM). O nome é super cativante,
você não acha? O IPAM combina o gerenciamento de seus serviços de rede, como DNS
e DHCP, em um aplicativo para que você possa gerenciar sua infraestrutura de DNS e
sua infraestrutura de DHCP, tudo a partir de um console de gerenciamento central.
Uma das coisas realmente boas sobre o IPAM é que ele pode dizer quando uma sub-rede
está sendo muito utilizada. Isso pode ajudá-lo a acompanhar quando pode ser necessário
adicionar sub-redes adicionais para que seus usuários ou sistemas não fiquem sem
endereços IP utilizáveis.
Neste capítulo, oriento você sobre como instalar, configurar e usar o IPAM.
» O IPAM não deve ser instalado em um servidor DHCP ou DNS porque pode causar problemas
com a descoberta.
» O IPAM é centrado na Microsoft. Você não pode gerenciar produtos de terceiros como BIND em
Linux.
Com esses requisitos simples resolvidos, você está pronto para instalar o IPAM. Siga esses
passos:
7. Clique em Avançar.
Observe as tarefas no bloco Quick Start. Tarefa 1: A conexão com o servidor IPAM já está concluída.
Gerenciando
DHCP
com
DNS
e Gerenciamento
endereço
de
IP
FIGURA 6-1:
O IPAM aparece no
Gerenciador do
Servidor depois de instalado.
5. Na tela Select Provisioning Method, selecione o botão de opção Group Policy Based e insira um
prefixo de nome do Group Policy Object (GPO) no campo GPO Name Prefix (consulte a
Figura 6-2).
Um GPO é uma coleção de configurações que descrevem como um sistema irá agir ou como
será visto pelos usuários. Pode ser direcionado a usuários e/ou computadores.
Eu gosto do prefixo IPAM óbvio. Isso me diz exatamente para que servem esses GPOs.
FIGURA 6-2:
Os métodos de
provisionamento
para IPAM incluem
6. Clique em Avançar.
Se tudo correr bem, você deverá ser saudado com a tela IPAM Provisioning Completed
Successfully.
8. Clique em Fechar.
Agora você precisa enviar as novas políticas de grupo para o domínio. Você precisa fazer isso
em todos os domínios que deseja que o IPAM gerencie. Neste caso, tenho apenas um domínio.
9. Clique com o botão direito do mouse no menu Iniciar no servidor IPAM e escolha Windows
PowerShell.
10. Execute o seguinte comando (você deve estar logado como administrador de domínio para esta etapa):
11. Confirme que deseja fazer isso três vezes, uma vez para cada política sendo
criada.
16. Depois que a tarefa for concluída, clique em Configurar descoberta de servidor novamente.
Isso agenda um trabalho de descoberta. Aguarde a conclusão. Ele avisará quando o trabalho
terminar.
21. Após a conclusão do trabalho, clique em Tarefa 5: Selecionar ou adicionar servidores para gerenciar e
22. Clique com o botão direito do mouse no servidor e escolha Editar servidor.
23. Altere a lista suspensa Status de capacidade de gerenciamento de Não especificado para Gerenciado,
FIGURA 6-3:
Configurando a
descoberta do servidor
no IPAM.
FIGURA 6-4:
Configurando
o status de
gerenciabilidade do
servidor para
Gerenciou.
Isso adiciona o servidor gerenciado aos GPOs que você criou anteriormente.
Você pode ver o status de acesso do IPAM bloqueado neste estágio. Normalmente, isso
significa que as políticas de grupo ainda não foram aplicadas no outro sistema (supondo que
você tenha usado a política de grupo para seu método de provisionamento). Para resolver isso,
faça login no outro sistema, abra uma janela do PowerShell e digite Invoke-GPUpdate -Force.
Em seguida, volte para o servidor IPAM, clique com o botão direito do mouse no sistema
em questão e escolha Atualizar status de acesso ao servidor. Se isso ainda não funcionar, talvez
seja necessário reinicializar o servidor que deseja gerenciar.
25. Clique com o botão direito do mouse no servidor gerenciado e escolha Recuperar todos os dados do servidor.
Visão geral
Agora que o IPAM está configurado, vá para a seção Visão geral. Lembra daquele bloco de
início rápido que você estava usando? Em vez disso, clique no segundo bloco laranja, aquele
que diz Ações. Você deve ver uma lista das coisas que pode fazer semelhante à Figura 6-5.
Inventário do servidor
A seção Server Inventory deve parecer familiar para você — pode ter sido a fonte de muita
frustração quando você estava configurando o IPAM. As principais coisas que esta tela oferece
são uma visão geral dos servidores que você está gerenciando, seu status de acesso IPAM e
a capacidade de obter dados atualizados dos servidores fora da tarefa de recuperação
agendada. Você pode filtrar por IPv4 e IPv6 e também pode filtrar por servidores gerenciados
(provisionados por GPO) e servidores não gerenciados (manuais). Verifique a Figura 6-6 para
ver a tela de inventário do servidor.
FIGURA 6-5:
Algumas das
ações que
você pode executar
nos servidores que
estão sendo
gerenciados no IPAM.
FIGURA 6-6:
A tela de
inventário do
servidor fornece
uma lista de seus
servidores e qual
é o status deles.
Espaço de endereço IP
Se você clicar na primeira seleção no Espaço de endereço IP, chamado Blocos de endereço
IP, verá o escopo DHCP que foi configurado anteriormente. Agora, para Utilização, diz Abaixo,
conforme mostrado na Figura 6-7. Isso significa que ele tem muitos endereços IP disponíveis.
Antes do IPAM, você tinha que rastrear essa utilização em uma planilha, o que poderia ser
difícil porque a planilha pode não estar atualizada e a planilha não tinha como avisar de forma
amigável que você estava superutilizando seu espaço.
Gerenciando
DHCP
com
DNS
e Gerenciamento
endereço
de
IP
FIGURA 6-7:
endereço de IP
Monitore e gerencie
Monitorar e gerenciar é onde você gastará uma quantidade significativa de seu tempo
no IPAM.
FIGURA
6-8: O status dos
servidores DNS
e DHCP que
estão sendo
monitorados
e gerenciados pelo IPAM.
Escopos DHCP
Os escopos DHCP contêm todos os escopos DHCP configurados em todos os servidores
DHCP que o IPAM conhece. Essa interface fornece a mesma métrica de utilização que você
tinha antes na seção Blocos de endereços IP. Ele informa quais são algumas das configurações
básicas de sub-rede, como a máscara de sub-rede e a duração da concessão. Se você clicar
com o botão direito do mouse no escopo existente, verá que são apresentadas várias opções
para gerenciar o escopo DHCP. Veja a Figura 6-9 para as opções de configuração disponíveis
para você.
Zonas DNS
Na seção Zonas DNS, você pode ver rapidamente se o status da Zona é bom ou ruim. Você
também pode obter informações realmente úteis rapidamente sobre o servidor DNS no qual a
zona está hospedada. Você pode selecionar se deseja
deseja examinar as zonas de pesquisa direta (nomes para IPs) ou se deseja examinar as zonas de
pesquisa reversa (IPs para nomes). E, claro, assim como na tela DHCP Scopes, você pode clicar
com o botão direito do mouse na zona e configurá-la diretamente do IPAM. Não há mais necessidade
de acessar vários servidores DNS! Consulte a Figura 6-10 para ver um exemplo da aparência da tela
DNS Zones.
Gerenciando
DHCP
com
DNS
e Gerenciamento
endereço
de
IP
FIGURA 6-9:
A configuração
do escopo DHCP
pode ser feita em
vários servidores
DHCP, tudo na
tela de escopos
DHCP do IPAM.
Grupos de servidores
Os grupos de servidores permitem separar os sistemas pelo tipo de serviço executado neles. Basta
clicar na lista suspensa Tipo de servidor e selecionar o serviço em que estiver interessado.
Catálogo de Eventos
O Catálogo de Eventos reúne todos os eventos no Visualizador de Eventos diretamente relacionados
ao IPAM. Isso pode ser muito útil se você estiver solucionando problemas por que algo não está
funcionando corretamente.
FIGURA 6-10:
A configuração de
zonas DNS
pode ser feita de
dentro do IPAM.
Controle de acesso
A última seção, Controle de acesso, permite visualizar as funções dentro do IPAM que permitem gerenciar
várias atividades. Existem várias funções integradas e você também pode criar sua própria função clicando
em Tarefas e, em seguida, clicando em Adicionar função de usuário.
Na maioria das vezes, acho que você descobrirá que as funções integradas atenderão às suas necessidades.
Se você precisar criar um, siga estas etapas:
1. Na seção Controle de acesso, clique em Tarefas e, em seguida, clique em Adicionar função de usuário.
No meu caso, estou criando uma função para um administrador de zona DNS. Consulte a Figura
6-11 para obter um exemplo de como isso se parece.
3. Clique em OK.
Depois que a função é criada, ela aparece na lista e você pode dizer que não é uma função interna
porque diz Não na coluna Função integrada. Veja a Figura 6-12 para a visão final.
FIGURA 6-11:
Criar um
administrador Gerenciando
DHCP
com
DNS
e Gerenciamento
endereço
de
IP
de zona DNS
é fácil devido
às permissões
granulares disponíveis.
FIGURA 6-12:
A nova função
é criada e
exibida com as
funções integradas.
3 Administrando
janelas
Servidor 2022
Machine Translated by Google
Resumo do conteúdo
CAPÍTULO 1: Uma Visão Geral do Menu Ferramentas no Gerenciador do
Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
NESTE CAPÍTULO
» Trabalhando com
ferramentas administrativas comuns no Windows
Servidor 2022
Capítulo 1
Uma visão geral das ferramentas
Menu no Gerenciador do Servidor
Existem algumas coisas no menu Ferramentas que estarão presentes em todos os servidores.
Utilitários de gerenciamento de disco, utilitários de solução de problemas e outros utilitários
úteis do sistema estão ao seu alcance. Desde que a ferramenta tenha sido escrita pela
Microsoft e esteja relacionada à administração do servidor, incluindo as funções e recursos
que você instalou no servidor, ela estará no menu Ferramentas.
FIGURA 1-1:
O menu Ferramentas
de dentro
Gerenciador do Servidor.
Observe que também existem ferramentas do Active Directory no menu. Isso se deve ao fato de
estarmos em um controlador de domínio, que possui as ferramentas de administração carregadas.
Você pode instalar essas ferramentas em seu PC local com Ferramentas de Administração de
Servidor Remoto (RSAT), que abordo mais adiante neste capítulo.
O segundo método para acessar o menu Ferramentas é clicar no menu Iniciar e rolar para baixo até
chegar às Ferramentas Administrativas do Windows. Este é o mesmo menu que aparece em
Ferramentas no Gerenciador do Servidor. Pode ser o seu método de acesso preferencial se você
desativou o Gerenciador do Servidor na inicialização. Veja a Figura 1-2 para a localização do menu
Iniciar do menu Ferramentas.
Se você desativou o Gerenciador do Servidor na inicialização, pode clicar no menu Iniciar e iniciá-lo
a partir do bloco do Gerenciador do Servidor ou simplesmente digitar servermanager no
PowerShell, no Prompt de Comando ou na caixa Executar.
A terceira maneira de acessar o menu Ferramentas é o método mais clássico: clique no menu Iniciar
e escolha o bloco Painel de controle. No Painel de Controle, escolha Sistema e Segurança, e você
terá uma opção para Ferramentas Administrativas. Este é o mesmo menu que você obtém com os
outros dois métodos. Veja a Figura 1-3 para sua localização.
FIGURA 1-2:
janelas
Administrativo
Ferramentas no início
Menu é o mesmo que
o menu
Ferramentas no Servidor
Gerente.
Gerenciador
Servidor
Menu
do
no
ferramentas
visão
geral
Uma
das
FIGURA 1-3:
Acessando o
menu
Ferramentas através
do Painel de Controle.
Gerenciamento do computador
O Gerenciamento do Computador é útil por vários motivos. Ele fornece acesso rápido às
Ferramentas do Sistema, que é uma coleção de ferramentas como Agendador de Tarefas,
Visualizador de Eventos, Pastas Compartilhadas, Desempenho e Gerenciamento de
Dispositivos. Permite gerir o Storage, e dá-lhe acesso para gerir os serviços e aplicações que
se encontram instaladas no sistema. Abordo cada uma dessas ferramentas em capítulos
posteriores, mas, por enquanto, saiba que o Gerenciamento do Computador oferece uma
maneira de acessá-las a partir do mesmo console, conforme mostrado na Figura 1-4.
FIGURA 1-4:
o computador
O console de
que tipo de drives você tem. Uma unidade de disco rígido tradicional (HDD), por exemplo, será
desfragmentada pelo processo de otimização. Uma unidade de estado sólido (SSD) com suporte
a TRIM (que permite ao sistema operacional informar ao SSD quais blocos não estão em uso e
podem ser apagados) será recortada. Você notará que isso está programado para ser executado
automaticamente uma vez por semana por padrão, conforme mostrado na Figura 1-5.
FIGURA 1-5:
A desfragmentação
do disco rígido é
uma tarefa
agendada, mas você
pode optar por
executá-la manualmente.
Gerenciador
Servidor
Menu
do
no
ferramentas
visão
geral
Uma
das
Esta foi uma vitória muito boa para os administradores, porque o processo de desfragmentação
de unidades costumava ser manual e você tinha que se lembrar de fazer. Normalmente, isso só
era feito quando um sistema começava a ter problemas de desempenho. Com a desfragmentação
sendo feita automaticamente, você não precisa mais se preocupar em fazer isso.
Limpeza de disco
A ferramenta de limpeza de disco está nos sistemas operacionais Windows há muito tempo.
Quando você o executa, ele pergunta em qual unidade você deseja executá-lo e, em seguida,
verifica as coisas das quais você pode se livrar com segurança. Normalmente, serão arquivos
temporários da Internet, conteúdo na Lixeira e assim por diante. A ferramenta fornece uma
estimativa de quanto espaço será capaz de liberar. Tudo o que você precisa fazer é clicar em OK
e ele removerá tudo o que você disse para remover. Observe as caixas de seleção marcadas na
Figura 1-6. Estes são os itens que serão removidos.
Há uma guia Mais opções que você pode selecionar que lhe dá a capacidade de remover
programas que você não usa, bem como cópias antigas de Restauração do sistema e Cópias
de sombra, se você as tiver ativado.
FIGURA 1-6:
O utilitário
Disk Cleanup em
toda a sua glória.
Visualizador de eventos
O Event Viewer é provavelmente um dos utilitários mais úteis quando se trata de solucionar problemas
com hardware, software e aplicativos.
A maioria das pessoas, se já passou algum tempo com sistemas operacionais Windows, está acostumada
com os três logs básicos no Visualizador de Eventos: Aplicativo, Segurança e Sistema. Existem tantos
outros logs que você pode aproveitar, no entanto. Em Exibições personalizadas, você pode ver os logs
específicos das funções instaladas. Se você clicar em Aplicativos e Serviços, em Microsoft e em
Windows, poderá exibir os logs específicos dos componentes do Windows. Um cenário comum, por
exemplo, é quando você acha que o Firewall do Windows pode estar bloqueando você. Os logs do
Firewall do Windows aparecem em Aplicativos e Serviços, depois Microsoft, Windows e Firewall do
Windows com Segurança Avançada.
Se estiver procurando por algo específico, você pode escolher o log que deseja pesquisar e criar um
filtro como o da Figura 1-7.
FIGURA 1-7:
Usando um filtro no
Visualizador de Eventos
Local é onde você define os requisitos de segurança no sistema. Isso pode incluir configurações
de contas, requisitos de auditoria e outras configurações relacionadas à segurança. Você
pode ver a política de senha local na Figura 1-8.
Editor do Registro
O Editor do Registro permitirá que você faça alterações no Registro do seu sistema. Use esta
ferramenta com extremo cuidado! Se você alterar algo que não deveria, poderá causar danos
ao seu sistema.
Abordo o Registro com mais detalhes no Livro 3, Capítulo 3. Não deixe de conferir!
Lá, discuto para que serve cada uma das colmeias, como interagir com elas e, ainda mais
importante, como fazer backup do Registro antes de fazer alterações.
Quase todas as configurações do seu sistema são armazenadas no Registro em algum lugar.
A Figura 1-9 mostra a área do Registro onde as cores do sistema são definidas. Estes são
armazenados como valores RGB. Por exemplo, 255 255 255 é branco e 0 0 0 é preto.
FIGURA 1-8:
A política
de senha local
definida na
Política de segurança local.
FIGURA 1-9:
As cores do
sistema são
armazenadas no Registro.
Serviços
Clicar em Serviços abre o console de gerenciamento de Serviços. Cada serviço no sistema aparece
no console. Você pode ver qual é o status do serviço, qual é o tipo de inicialização definido e qual
conta cada um dos serviços está usando para executar.
Um serviço é um aplicativo executado em segundo plano. Você normalmente não interage com
ele diretamente, embora possa parar e iniciar um serviço e definir opções de inicialização para ele.
Se você clicar duas vezes em um dos serviços, várias guias serão exibidas. A guia Geral permite
alterar o tipo de inicialização. Você tem a sua escolha do seguinte:
» Manual: Se um serviço for definido como manual, significa que algo deve ser iniciado. Isso pode ser uma
ação do usuário ou uma chamada de um aplicativo.
Gerenciador
Servidor
Menu
do
no
ferramentas
visão
geral
Uma
das
Você também pode parar e iniciar o serviço. Na guia Logon, você pode definir a conta com a qual o
serviço será executado. A guia Recuperação permite que você especifique qual ação tomar se o
serviço tiver um problema. Você pode configurá-lo para reiniciar o serviço, executar um programa
ou reiniciar o sistema. A guia Dependências informará se o serviço depende de qualquer outro
serviço e se algum serviço depende dele.
Você pode ver as Propriedades do serviço do Servidor na Figura 1-10.
Configuração do sistema
A configuração do sistema permite que você trabalhe com serviços de inicialização. Na guia Geral,
por exemplo, você pode escolher Inicialização normal (padrão), Inicialização de diagnóstico ou
Inicialização seletiva. Eles são úteis para diagnosticar problemas que ocorrem quando o sistema
operacional completo é inicializado. Consulte a Figura 1-11 para obter um exemplo da guia Geral na
Configuração do sistema.
A guia Inicialização permite especificar em qual unidade inicializar e algumas opções de inicialização, como
inicialização segura, inicialização sem GUI e assim por diante.
FIGURA 1-10:
O servidor
serviço
A página Propriedades
permite definir
o tipo de
inicialização e gerenciar
o serviço.
FIGURA 1-11:
A guia Geral
na Configuração
do sistema permite
definir o tipo
de inicialização
que você deseja.
A guia Serviços permite especificar quais serviços devem ser ativados ou desativados. Você pode optar por
ocultar todos os serviços da Microsoft para poder ver quais serviços de terceiros estão instalados.
A guia Inicialização ainda existe, mas os itens de inicialização não são habilitados por padrão, portanto, a guia
fica em branco, a menos que você os habilite.
Por último, mas não menos importante, a guia Ferramentas possui muitas ferramentas de sistema operacional
diferentes. Você pode selecionar a ferramenta e ela exibirá a localização da ferramenta. Além disso, você pode
clicar no botão Iniciar para iniciar a ferramenta.
Agendador de tarefas
O Agendador de Tarefas permite agendar várias tarefas administrativas para que sejam executadas
automaticamente. Muitos dos componentes do Windows têm suas próprias tarefas prontas para uso.
Você pode criar suas próprias tarefas para executar scripts personalizados ou executar outras ações por meio
do Agendador de Tarefas. Você escolhe o que deseja que seja o gatilho. Os gatilhos podem ser qualquer
coisa, desde um horário agendado até um logon, um evento e assim por diante. Consulte a Figura 1-12 para
obter uma visualização de uma tarefa personalizada no Agendador de Tarefas.
Gerenciador
Servidor
Menu
do
no
ferramentas
visão
geral
Uma
das
FIGURA 1-12:
Criando uma
tarefa personalizada
no Agendador de Tarefas.
Ao instalar os recursos de gerenciamento junto com funções e recursos, você está instalando componentes
do RSAT. O RSAT geralmente é instalado em um desktop para que você possa gerenciar seus servidores a
partir de sua estação de trabalho, em vez de fazer logon em cada servidor individual. Nesta seção, oriento
você na instalação do RSAT em um sistema Windows 10 e mostro como adicionar servidores para
gerenciamento.
A partir da versão 1809 do Windows 10, o RSAT é incluído como parte do sistema operacional
e você só precisa ativá-lo. Siga estas instruções para instalar o RSAT:
A atualização da versão de 1809 foi um belo toque. Economiza tempo dos administradores
porque você não precisa mais sair para baixar e instalar o pacote. Certifique-se de instalar o
Gerenciador do Servidor. Os exemplos que forneço assumem que você instalou esta parte do
RSAT.
A Microsoft fornece números de versão que identificam em qual versão do Windows 10 você
está. Por exemplo, a versão 1809 foi lançada em 13 de novembro de 2018. Em 2020, os
números de compilação foram revisados um pouco. O 20H2 foi lançado no segundo semestre
de 2020 e o 21H1 foi lançado no primeiro semestre de 2021.
3. Quando o Gerenciador de servidores for iniciado, clique em Adicionar outros servidores para gerenciar
link no bloco Início rápido.
A guia Active Directory permite pesquisar no Active Directory sistemas a serem adicionados,
conforme mostrado na Figura 1-13.
5. Clique em OK.
6. Depois que o sistema é adicionado, as funções e/ou recursos que estão instalados nesse servidor
podem agora ser gerenciados por meio do Gerenciador do Servidor em meu sistema
cliente Windows 10, conforme mostrado na Figura 1-14.
FIGURA 1-14:
Gerenciador do
servidor mostrando as
funções do sistema
que adicionei.
Gerenciador
Servidor
Menu
do
no
ferramentas
visão
geral
Uma
das
FIGURA 1-13:
Procurando no
Active Directory
por sistemas
para gerenciar.
Agora você pode adicionar funções e recursos como faria se estivesse nos servidores em questão. Vamos
tentar isso.
Características.
No Gerenciador do Servidor, na guia Todos os Servidores, clique com o botão direito do mouse em um
servidor que deseja gerenciar. Dependendo do que está instalado, você obtém uma lista ligeiramente
diferente. A lista na Figura 1.15, por exemplo, é do meu controlador de domínio, que acabei de adicionar.
Isso deve lhe dar uma ideia do que o Server Manager é capaz de fazer. Instale-o e facilite sua vida como
administrador de sistema!
FIGURA 1-15:
Gerenciando
um servidor
remoto com
o Server
Manager no Windows 10.
NESTE CAPÍTULO
Capítulo 2
você trabalha em uma empresa com 200 sistemas. Ou 2.000 sistemas. De repente
Fazer alterações nas configurações
fazer alterações em um ou dois
nas configurações emsistemas
máquinasnão é tão ruimtorna-se
individuais assim. Mas imagine
impossível
tarefa. É aqui que a Diretiva de Grupo entra em jogo.
A Política de Grupo permite que você crie uma política e, em seguida, direcione essa política para
usuários ou sistemas dentro de unidades organizacionais (OUs), grupos de segurança ou até mesmo
individualmente. A Diretiva de Grupo é uma maneira muito poderosa de impor os requisitos de sua
organização em todos os sistemas ingressados no domínio do Active Directory. Os itens comuns que
são configurados pela Diretiva de Grupo são
» Políticas de senha
» Configurações do BitLocker
A Diretiva de Grupo oferece centenas de itens de configuração que permitem que você gerencie centralmente a configuração
e a segurança de todos os seus sistemas ingressados no domínio.
Na inicialização, os GPOs com foco no computador são aplicados. Esses GPOs afetam as configurações do computador,
independentemente de quem fizer logon no sistema posteriormente. Os objetos de política do usuário são aplicados quando
um usuário efetua login em um sistema; eles são usados para fazer alterações que afetariam o usuário, como políticas de
senha, políticas de bloqueio e assim por diante. Os GPOs de usuário seguem o usuário independentemente do sistema em
que o usuário efetua login. Lembre-se da seguinte regra: O último aplicado vence. Se você tiver um problema com uma
política que não está fazendo o que você espera, um GPO posterior pode estar substituindo o comportamento de um GPO
anterior.
Por padrão, a Diretiva de Grupo é atualizada a cada 90 minutos, embora possa haver um atraso aleatório de até 30 minutos.
Portanto, se você aplicar uma alteração, pode levar até 120 minutos para que ela seja aplicada a todos os sistemas/usuários.
Algumas configurações não são atualizadas dessa maneira e exigem que o usuário efetue logout e login novamente ou que
reinicie o sistema. As alterações que se enquadram nessa categoria são coisas como redirecionamento de pastas,
mapeamentos de unidade e algumas preferências de arquivo.
2. Políticas do site
3. Políticas de domínio
4. Políticas de UO
Pense nisso como uma abordagem de processamento de cima para baixo: após a aplicação das políticas locais, os GPOs
de site são os mais amplos, seguidos pelos GPOs de domínio e, em seguida, os GPOs OU. A maioria dos administradores
Um problema comum que ocorre é quando um administrador de sistema faz uma alteração em uma política de nível de
domínio, mas a alteração não parece estar sendo aplicada. O culpado mais comum é uma política de nível OU que está
substituindo a configuração da política de domínio.
Na Política de Grupo, você define as configurações com políticas e preferências. A Tabela 2-1 é uma
comparação dos dois para ver quais são as diferenças entre eles.
Quando uma política de política de grupo não é Quando uma preferência de Diretiva de Grupo não é mais aplicável, a
mais aplicável, a configuração é removida e o valor configuração permanece no registro.
original é restaurado.
Quando uma diretiva de diretiva de grupo é definida com Quando uma preferência de Diretiva de Grupo é definida com um
um determinado valor para um aplicativo, o aplicativo usa o determinado valor para um aplicativo, ela substitui o valor padrão do
valor definido pela diretiva. Se a política for removida, o aplicativo. Se a preferência for removida, o valor para o aplicativo
aplicativo usará o valor original. permanecerá o mesmo.
Quando uma política de política de grupo é usada para Quando uma preferência de Diretiva de Grupo é usada para impor
impor configurações, os usuários veem opções configurações, os usuários podem alterar a configuração manualmente.
esmaecidas que informam que a configuração é gerenciada A Diretiva de Grupo não reaplicará o valor configurado após a
por seus administradores. primeira vez em que foi aplicada.
Uma última coisa antes de passar para a próxima seção: a Diretiva de Grupo existe há muito tempo,
desde o Windows Server 2000. Há uma maneira mais recente de configurar sistemas: PowerShell Desired
State Configuration (DSC). A Diretiva de Grupo e o Power Shell DSC não devem ser usados para fazer
definições de configuração nos mesmos sistemas ao mesmo tempo. Se uma configuração for diferente
entre as duas, você enfrentará uma batalha constante entre a aplicação da política GP e a substituição de
uma configuração, seguida pelo PowerShell DSC alterando a configuração de volta para o valor anterior.
Se você estiver em um ambiente corporativo que já usa a Diretiva de Grupo, minha sugestão é manter a
Diretiva de Grupo. Se você estiver criando seu ambiente do zero ou se estiver em um ambiente centrado
no DevOps, o PowerShell DSC é a melhor escolha daqui para frente. Você pode aprender mais sobre o
PowerShell DSC no Livro 6, Capítulo 5.
está disponível no próprio servidor, desde que você tenha instalado as ferramentas de gerenciamento. Ele
também está disponível por meio das Ferramentas de Administração de Servidor Remoto (RSAT) para
que você possa gerenciar a Diretiva de Grupo na área de trabalho do Windows 10.
Ao iniciar o snap-in Gerenciamento de Diretiva de Grupo pela primeira vez, você verá uma entrada para a
floresta do Active Directory em que está. Clique na seta ao lado dessa floresta para expandi-la. Clique na
seta ao lado de Domínios para expandi-lo e expanda seu nome de domínio clicando na seta ao lado dele.
Com um novo ambiente do Active Directory, você tem uma política de domínio padrão. Isso está vinculado no
nível do domínio. A Política de domínio padrão é normalmente onde você define as coisas que serão aplicadas
a todos os usuários, como senhas e outras configurações de segurança. Você pode ver na Figura 2-1 que a
Diretiva de Domínio Padrão é aplicada a qualquer um no grupo Usuários Autenticados, indicado pela presença
desse grupo na seção Filtragem de Segurança.
FIGURA 2-1:
O padrão
A política de domínio
é definida no domínio
nível.
Para abrir o Editor de Gerenciamento de Diretiva de Grupo, tudo o que você precisa fazer é clicar com o botão
direito do mouse em um GPO e escolher Editar. O Editor de Gerenciamento de Diretiva de Grupo é aberto e
você pode fazer suas alterações a partir dele.
Nas seções a seguir, mostro como fazer alterações na Diretiva de Grupo. Abordo primeiro o gerenciamento do
computador e depois a configuração do usuário. Também examino como você pode ver quais políticas estão
sendo aplicadas.
1. Com o Group Policy Management aberto e a árvore expandida, clique com o botão direito do
mouse em Group Policy Objects e escolha New, conforme mostrado na Figura 2-2.
FIGURA 2-2:
Criando um
novo GPO.
Se você deseja criar modelos de GPO para tarefas administrativas comuns, pode criá-los na pasta Starter
GPO em vez da pasta Objetos de Diretiva de Grupo. Isso permite que você os escolha como origem
ao criar um novo GPO e copiará automaticamente suas configurações para o novo GPO.
4. Com o novo GPO selecionado, clique no botão Adicionar abaixo do botão Segurança
7. Para vincular o GPO no nível do domínio, clique com o botão direito do mouse no nome do
domínio e escolha Vincular um GPO existente.
8. Selecione Computer GPO (ou o que você escolheu para chamar seu novo GPO) e
Clique OK.
Isso é tudo para começar a editar a Diretiva de Grupo. Agora vamos fazer algumas edições reais no
GPO Computador que você acabou de criar.
Observação: o software que você deseja implantar precisa estar em uma pasta compartilhada
que seja acessível aos sistemas nos quais você deseja implantá-lo. Os sistemas precisam ter
permissão para acessar a pasta compartilhada e seu conteúdo. Nesse caso, criei uma pasta
compartilhada chamada Software, e foi aí que escolhi o pacote.
1. A partir da tela Group Policy Management, clique com o botão direito do mouse no GPO
3. Clique com o botão direito do mouse no espaço em branco ao lado de Instalação de software e escolha
Novoÿ Pacote.
A caixa do navegador será aberta procurando por pacotes de instalação do Windows. Eles
normalmente terminam em .msi.
Você pode ver na Figura 2-3 que agora tenho meu pacote de software atribuído para ser instalado
por meio desse GPO e que a fonte do software é a pasta compartilhada que criei anteriormente.
FIGURA 2-3:
Configurar o
software a ser
implantado por
meio da Diretiva de Grupo.
Veja como definir algumas das configurações básicas de segurança para um computador:
1. A partir da tela Group Policy Management, clique com o botão direito do mouse no GPO
Quando isso for concluído, sua tela deve ser semelhante à Figura 2-4.
Configurando
Política
Grupo
de
Reserve um tempo para examinar o restante das configurações em Políticas locais. Você pode fazer
algumas coisas para personalizar como seus usuários irão interagir com seus sistemas.
Por exemplo, você pode bloquear contas da Microsoft para que os usuários façam login com uma conta
do Active Directory. Você pode alterar a tela de login para que não mostre quem foi o último usuário
conectado. Existem tantas configurações disponíveis para você que eu recomendo que você as examine e
experimente em um laboratório doméstico ou em um laboratório de teste, se tiver um.
FIGURA 2-4:
Definir a política
de auditoria
para rastrear
sucessos e falhas.
Não modifique a Diretiva de Grupo em um ambiente de produção até que você tenha testado totalmente
a alteração em um ambiente de teste. Devido ao atraso no processamento da Diretiva de Grupo, você
pode quebrar as coisas — gravemente e não pode reverter rapidamente. Pode levar alguns minutos
para que a Diretiva de Grupo seja reaplicada com as configurações de trabalho.
1. A partir da tela Group Policy Management, clique com o botão direito do mouse no GPO
que você criou anteriormente e escolha Editar.
Este é apenas um pequeno exemplo do que você pode fazer. Examine o restante das configurações
do Modelo Administrativo disponíveis para você. Você tem muitas opções de personalização.
Semelhante à configuração do computador, o software pode ser instalado com base nos usuários, se
configurado na configuração do usuário. Siga esses passos:
1. A partir da tela Group Policy Management, clique com o botão direito do mouse no GPO
Instalação de software.
3. Clique com o botão direito do mouse no espaço em branco ao lado de Instalação de software e escolha
Novoÿ Pacote.
A caixa do navegador será aberta procurando por pacotes de instalação do Windows. Eles
normalmente terminam em .msi.
Sua tela agora deve ser semelhante à Figura 2-5. Em caso afirmativo, você implantou o software com
sucesso para seus usuários. Observação: você normalmente não implantaria o mesmo software no
computador e no usuário. Você escolheria um ou outro.
que eles se aplicam quando o usuário faz login, e não quando o sistema é inicializado. As
configurações do Windows não têm nem de longe tantas opções quanto o equivalente da configuração
do computador.
FIGURA 2-5:
Software
implantado
por meio da
configuração do usuário.
1. A partir da tela Group Policy Management, clique com o botão direito do mouse no GPO
que você criou anteriormente e escolha Editar.
3. Clique com o botão direito do mouse na área em branco à direita de Documentos e escolha
Propriedades.
5. Em Local da pasta de destino, selecione Criar uma pasta para cada usuário em
o Caminho Raiz.
Sua tela deve ser semelhante à Figura 2-6. Normalmente o redirecionamento é feito para um
servidor de arquivos na rede com armazenamento suficiente para suportar todos os diretórios
de usuários.
FIGURA 2-6:
Configurando o
redirecionamento
de pasta para a
pasta Documentos.
7. Clique em OK.
Você recebe um aviso sobre sistemas operacionais mais antigos que não são capazes de
oferecer suporte ao redirecionamento de pastas.
Agora você configurou o redirecionamento de pasta para a pasta Documentos do usuário. Você não verá
nada no Editor de Gerenciamento de Diretiva de Grupo. No entanto, você pode verificar se o
redirecionamento está funcionando fazendo com que um dos usuários afetados efetue logout e logon
novamente. Ele deve ter sua pasta criada no servidor no local de compartilhamento que você especificou.
Muito legal!
1. A partir da tela Group Policy Management, clique com o botão direito do mouse no GPO Configurando
Política
Grupo
de
Se a sua organização tiver um papel de parede que deseja nos sistemas de todos, você também poderá
defini-lo aqui, em Papel de parede da área de trabalho. Basta apontá-lo para a pasta compartilhada
onde o papel de parede está armazenado e — voilà! — da próxima vez que o usuário fizer login, ele
receberá o novo papel de parede.
Eu recomendo que você vasculhe os menus e veja quais opções estão disponíveis para configurar.
Você pode personalizar com um grande nível de detalhes.
Você configurou seus GPOs e os aplicou, mas algo não está funcionando direito. Seu usuário não está
recebendo as configurações de Diretiva de Grupo que você esperava e você não tem certeza do motivo.
É aqui que você precisa examinar o conjunto de políticas resultante (RSoP). Vamos lançar o RSoP e
ver como são os resultados:
1. Clique com o botão direito do mouse no menu Iniciar e escolha Windows PowerShell.
3. Se o software que configurei no GPO não tivesse instalado, eu poderia clicar em Usuário
Se o software que configurei no GPO estiver lá, sei que a política aplicada e a instalação
devem ter falhado por outro motivo. Se o software que estou aplicando por meio
da política não estiver lá, sei que a política não se aplica. Se for uma política de usuário,
isso pode significar que preciso sair e entrar novamente. Se for uma política de
computador, pode ser necessário reiniciar.
RSoP é um utilitário muito útil. Ele mostra apenas as categorias que possuem configurações aplicadas.
Lembre-se de que a Configuração do usuário se aplica ao usuário conectado no momento. Na Figura
2-7, por exemplo, você pode ver que não tenho Modelos administrativos aparecendo em minha
Configuração do usuário, embora eu defina a configuração para Active Desktop. Esse é o comportamento
esperado neste caso, porque não saí e não entrei novamente desde que fiz essa alteração. Se eu
estivesse solucionando um problema para um usuário e visse isso, pediria ao usuário para sair e fazer
login novamente para que a nova configuração pudesse ser aplicada.
FIGURA 2-7:
RSoP mostra
quais GPOs
foram aplicados
com sucesso.
Configurando
Política
Grupo
de
NESTE CAPÍTULO
Capítulo 3
Configurando o Registro
com o Registro está definitivamente lá em cima. O Registro em um sistema Windows
Não háé muitas
como ocoisas que vão
esqueleto assustaroperacional.
do sistema um administrador de do
Os itens sistema,
painelmas bagunçar
de controle
são apenas front-ends gráficos para os valores que existem no registro. Cada coisa
que está instalada ou já foi conectada ao seu sistema é registrada em seu Registro.
Não é surpreendente, então, que pode ser uma perspectiva muito intimidante
mudar essa coisa que é tão central para o sistema operacional e como ele
funciona. Você exclui ou altera a chave errada e, de repente, seu sistema não funciona mais.
Quando você abrir o Registro pela primeira vez, todas as seções serão recolhidas. Se você já
esteve no Registro do sistema antes, ele normalmente abrirá onde você esteve por último.
FIGURA 3-1:
O Editor do
Registro permite
que você trabalhe
com as seções e
chaves do Registro.
Importando e Exportando
Elementos do Registro
Importar e exportar elementos do Registro oferece a capacidade de fazer backup e restaurar
seu Registro. O processo em si é muito simples e realmente não mudou muito ao longo dos
anos. Esse mesmo processo funcionará em sistemas mais antigos, bem como no Windows
Server 2022.
5. Clique em Salvar.
Observe que você também pode exportar chaves individuais. Você não precisa exportar toda
a colmeia.
» Você pode ter feito alterações no Registro que tornaram o sistema instável, então você
precisa restaurar a partir do arquivo .reg exportado que você fez antes de iniciar seu
trabalho.
Se uma alteração no Registro fez com que seu sistema não consiga inicializar e você não
consiga acessar o Editor do Registro, sua melhor aposta é restaurar a partir do backup do
sistema mais recente.
3. Navegue até o local onde seu arquivo de backup .reg está armazenado.
Em algum momento de sua carreira, você será encarregado de fazer uma atualização no Registro que
exigirá que você encontre uma chave específica em uma seção. Isso pode ser como encontrar a
proverbial agulha em um palheiro, dados os níveis de recursão na colmeia, além do conteúdo absoluto.
Felizmente, o Registro possui uma ferramenta de pesquisa que pode tornar muito mais fácil encontrar
o que você está procurando.
Digamos, por exemplo, que eu precise encontrar a chave SCHANNEL porque preciso editar alguns
dos protocolos de criptografia que meu servidor suporta, mas simplesmente não consigo lembrar onde
está SCHANNEL. Veja como a ferramenta de pesquisa pode me ajudar a encontrar minha chave:
3. Digite seu termo de pesquisa na caixa Localizar e selecione os tipos de elementos que deseja procurar,
conforme mostrado na Figura 3-2.
FIGURA 3-2:
Procurando uma
chave específica
no Registro.
5. Se o primeiro resultado não for o que você estava procurando, escolha Edit ÿ Find Next ou
simplesmente pressione F3 até encontrar o resultado desejado.
Dentro de cada seção estão as chaves, que se parecem com pastas no Registro e são usadas
para fins organizacionais. As chaves podem ter vários níveis de chaves aninhadas dentro
delas. Cada seção e cada chave podem conter dados alojados em algum tipo de dado.
É importante que você entenda cada tipo de dados e para que o tipo de dados pode ser
usado. Um DWORD e um QWORD podem soar muito parecidos, por exemplo, mas em geral
não são intercambiáveis.
Aqui estão os diferentes tipos de dados que você encontrará no Registro e para que cada
tipo de dados é usado:
A Figura 3-3 dá uma ideia de como podem ser os dados armazenados em cada um desses
tipos de dados. Estes são apenas exemplos, mas devem dar uma ideia geral do que procurar.
FIGURA 3-3:
Tipos de dados
no Registro com
valores de amostra.
Entendendo as colmeias
No contexto do Registro do Windows, uma seção é um agrupamento lógico de todas as chaves,
subchaves e valores no Registro. Eles são agrupados por configurações semelhantes. Por exemplo,
HKEY_USERS tem configurações que afetam todos os usuários, enquanto HKEY_CURRENT_USER
tem configurações que afetam apenas o usuário conectado no momento. Esses agrupamentos locais
também contêm arquivos de suporte, que menciono em cada seção da seção do Registro.
HKEY_CLASSES_ROOT
HKEY_CLASSES_ROOT é comumente abreviado para HKCR. É a área do Registro que controla
quais tipos de arquivo estão associados a quais programas, conforme mostrado na Figura 3-4. Ele
também contém dados de configuração para programas Visual Basic e objetos COM.
» HKEY_LOCAL_MACHINE\SOFTWARE\Classes
» HKEY_CURRENT_USER\SOFTWARE\Classes
Configurando
o Registro
FIGURA 3-4:
O HKCR
mantém
registros de
associações
entre tipos
de arquivos e programas.
Se houver uma subchave criada em qualquer local, ela também será criada no HKCR
automaticamente.
HKEY_CURRENT_USER
HKEY_CURRENT_USER geralmente é abreviado para HKCU. Esta área do Registro muda
dependendo de quem é o usuário conectado. Sempre que um usuário efetua login, ele é
recriado com base nas informações armazenadas no arquivo ntuser.dat do usuário .
Se o usuário nunca tiver feito login antes, isso será criado a partir do arquivo ntuser.dat do
usuário padrão . que está armazenado em C:\Users\Default\Ntuser.dat. Você pode ver o HKCU
na Figura 3-5.
Se você quiser ver o usuário padrão, precisará ativar os itens ocultos em sua exibição.
Simplesmente navegue até C:\Users, clique na guia Exibir e marque a caixa de seleção Itens
ocultos. Então você verá o perfil padrão.
Observação: o HKCU não armazena dados. Ele contém um ponteiro para os dados reais do
usuário, que estão alojados em HKEY_USERS. A cada usuário é atribuído um identificador de
segurança (SID), e cada usuário possui uma chave com seu SID onde seus dados são
armazenados em HKEY_USERS. Se você deseja alterar as configurações de um usuário, pode,
de fato, alterá-lo em HKCU ou HKEY_USERS porque são essencialmente o mesmo espaço.
FIGURA 3-5:
HKCU contém
ponteiros para as
configurações do
usuário conectado no momento.
HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE é comumente abreviado para HKLM. É um tesouro de informações
sobre o sistema, incluindo informações sobre hardware, sistema operacional, segurança,
drivers e parâmetros de inicialização. Aqui estão mais informações sobre HKLM:
» Segurança: Contém informações de segurança necessárias ao sistema e à rede. Nunca edite esta
chave diretamente. Fique com a Política de Grupo, a Política de Segurança Local e o Active
Directory.
» System: A chave System armazena subchaves relacionadas a conjuntos de controle. Isso inclui
o conjunto de controle atual e os conjuntos de controle que foram usados em algum momento.
Se você observar a subchave CurrentControlSet, poderá ver qual conjunto de controle está
realmente ativo em um determinado momento. Se a entrada no valor atual for 1, então
ControlSet001 é o conjunto de controle ativo.
Configurando
o Registro
HKEY_USERS
Você normalmente verá HKEY_USERS abreviado para apenas HKU. Ele contém
configurações específicas do usuário para cada usuário que se conectou ao sistema. Cada
usuário é representado por seu SID, que é exclusivo para cada usuário. Na Figura 3-6, você
pode ver uma imagem de vários SIDs. O SID do usuário padrão é apenas .DEFAULT,
enquanto os demais possuem representação numérica.
FIGURA 3-6:
SIDs para cada
conta no sistema
são armazenados
em HKU.
Os SIDs mais longos pertencerão às contas dos usuários que efetuaram login no sistema.
Um SID mais longo com 500 no final é a conta do administrador.
HKEY_CURRENT_CONFIG
HKEY_CURRENT_CONFIG geralmente é escrito como HKCC. É semelhante a HKEY_ CURRENT_USER,
pois não armazena dados; ele armazena ponteiros para os dados. HKCC tem os dados de configuração
extraídos do arquivo pro de hardware atual. O ponteiro que ele realmente armazena aponta para
HKLM\SYSTEM\CurrentControlSet\ Hardware Profiles\Current.
Você só pode usar os comandos Load Hive e Unload Hive quando tiver HKEY_LOCAL_MACHINE ou
HKEY_USERS selecionado. Com qualquer uma das outras seções selecionadas, as opções ficarão
esmaecidas.
Vamos carregar uma colméia e ver como isso funciona. Para lhe dar algumas informações, fiz login com
a conta de administrador. Vou iniciar o Editor do Registro e comparar as configurações desta conta com
a conta John Smith que criei anteriormente. Se você deseja criar uma conta para acompanhar, mas não
tem certeza de como criá-la, consulte o Livro 3, Capítulo 4.
Para ver o arquivo ntuser.dat , você precisa ativar os itens ocultos. A maneira mais simples de fazer isso
é abrir o File Explorer, clicar na guia Exibir e marcar a caixa de seleção Itens ocultos.
Você será solicitado a nomear a chave. Essa chave será criada em HKEY_USERS para
que você possa comparar as configurações de seu interesse.
Você pode ver na Figura 3-7 que a chave recém-carregada está presente. A partir daqui, você pode
expandi-lo e comparar suas configurações com as outras chaves do usuário.
Configurando
o Registro
FIGURA 3-7:
É simples assim. A chave é removida e você está de volta ao seu antigo Registro normal.
4. Clique em OK.
O Registro ao qual você deseja se conectar aparecerá na lista por nome. Observe que
você só pode trabalhar com HKEY_LOCAL_MACHINE e HKEY_USERS, e essas são
as únicas opções apresentadas a você. Você pode ver isso na Figura 3-8.
FIGURA
3-8: Registro
remoto é útil
para comparar
ou fazer
alterações
rápidas em sistemas remotos.
Dado que o Registro do Windows está no centro de tudo o que acontece no sistema operacional
Windows, faz sentido que você queira limitar o acesso a ele e protegê-lo adequadamente.
Configurando
o Registro
Configurando permissões no
Registro do Windows
Você pode definir permissões nas seções e chaves individuais na tentativa do Windows Regis. Tudo
o que você precisa fazer é clicar com o botão direito do mouse na seção ou chave que deseja proteger
e escolher Permissões. Isso abre uma caixa de diálogo com a qual a maioria das pessoas está
familiarizada, onde você pode adicionar ou remover usuários e grupos e definir o nível desejado de permissões.
Se você clicar no botão Avançado, poderá definir permissões muito mais granulares, assim como em
um sistema de arquivos. A caixa de diálogo Advanced Security Settings é mostrada na Figura 3-9.
FIGURA 3-9:
Configurando
permissões no Windows
O registro é muito
semelhante à configuração
de permissões em
servidores de arquivos.
não pode acessar o Registro remotamente; eles precisarão fazer login. Siga estas etapas para
desabilitar o acesso ao Registro Remoto:
2. Role para baixo até o serviço Remote Registry e clique duas vezes nele para abrir o
4. Clique em OK.
FIGURA 3-10:
Desativar o
serviço Registro
Remoto garante
que ninguém
possa se conectar
remotamente ao Registro.
3. Selecione o GPO que deseja editar, clique com o botão direito do mouse e escolha Editar.
Você pode colocar um asterisco (*) ali, mas isso permite conexões de qualquer
lugar e não é uma boa prática.
7. Clique em OK.
FIGURA 3-11:
Restringindo
administração remota
para sub-redes
específicas é uma
grande camada
de segurança adicional.
NESTE CAPÍTULO
Capítulo 4
Neste capítulo, explico o que é o Active Directory, o que ele faz e quais são os
diferentes componentes do Active Directory.
Uma floresta do Active Directory é o nível superior na hierarquia. Cada floresta serve
como um limite de segurança e é criada por padrão com um domínio raiz. Outros domínios
podem ser criados dentro da floresta, embora devam compartilhar o mesmo namespace
da floresta (esse namespace corresponde às zonas DNS subjacentes). Por exemplo, se o seu
o namespace da floresta é sometestorg.com, os domínios nessa floresta podem ser coisas como
hr.sometestorg.com ou accounting.sometestorg.com.
Os domínios são o próximo nível abaixo das florestas na hierarquia do Active Directory.
Os domínios do Active Directory são uma coleção de objetos que compartilham o mesmo banco de
dados no Active Directory. Esses objetos são coisas como usuários, grupos, estações de trabalho e
servidores.
Dentro dos domínios, as unidades organizacionais (OUs) são usadas para organizar sistemas ou
usuários que tenham algo em comum. Isso ajuda se você deseja aplicar uma Diretiva de Grupo
apenas para usuários de contabilidade, porque você pode colocá-los em sua própria UO e, em
seguida, vincular o Objeto de Diretiva de Grupo a essa UO. Critérios comuns para organizar
sistemas e usuários são coisas como localização geográfica, prédio ou departamento.
Os usuários no Active Directory são atribuídos a grupos de segurança para obter acesso aos
recursos. Os grupos de segurança recebem permissões para os recursos e, quando o usuário é
adicionado ao grupo de segurança, ele pode acessar qualquer um dos recursos concedidos a ela
pelo grupo de segurança. No Active Directory, os security groups vêm em três tipos, chamados de
escopos:
» Domínio local: um grupo de segurança local de domínio pode conceder permissões para
recursos, desde que estejam no mesmo domínio.
» Confiança transitiva: Uma confiança transitiva pode tirar vantagem das relações de confiança formadas
por outros domínios. Por exemplo, digamos que o Domínio 1 confia no Domínio 2 e o Domínio 2 confia
no Domínio 3; se a confiança for definida como uma confiança transitiva, o Domínio 1 também confiará no
Domínio 3.
» Confiança não transitiva: Uma confiança não transitiva significa que as relações de confiança
feitos com outros domínios não se aplicam automaticamente a todos os outros domínios. Por exemplo, o
Domínio 1 confia no Domínio 2 e o Domínio 2 confia no Domínio 3; no entanto, o Domínio 1 não confia no Trabalhando
Ativo
com Diretório
» Confiança unidirecional: Uma confiança unidirecional estabelece confiança em apenas uma direção.
Definido dessa forma, o Domínio 1 confia no Domínio 2, mas o Domínio 2 não confia no Domínio 1.
» Confiança de atalho: As confianças de atalho são usadas em domínios do Windows Server que residem
na mesma floresta, onde há necessidade de otimizar o processo de autenticação. Isso pode acontecer
quando um usuário no Domínio A precisa frequentemente se autenticar no Domínio B. Eles são transitivos
e podem ser criados como relações de confiança unidirecionais ou bidirecionais.
» Realm trust: Um realm trust permite que você crie uma relação de confiança entre um domínio do Windows
Server e um não-Windows (pense em Linux, Unix ou MacOS Server)
Reino de Kerberos. Os fundos fiduciários do reino têm muita flexibilidade; eles podem ser transitivos ou
não transitivos e criados como trusts unidirecionais ou bidirecionais.
» Confiança de floresta: as relações de confiança de floresta criam uma relação de confiança entre duas
florestas do Windows Server. Eles são transitivos e podem ser estabelecidos como trusts
unidirecionais ou bidirecionais.
Digamos que você tenha seu domínio em sua própria floresta e deseja se conectar a outro
domínio do Windows em outra floresta. Você sabe que precisa configurar um trust externo,
dados os tipos de trusts que você pode criar. Aqui estão as etapas para configurá-lo:
2. Clique com o botão direito do mouse em seu nome de domínio e selecione Propriedades.
6. Clique em Avançar.
FIGURA 4-1:
Definindo o
nome de confiança
para a nova confiança.
7. Na tela Trust Type, supondo que você esteja criando um trust entre os
domínios raiz de cada floresta, selecione External Trust (conforme
mostrado na Figura 4-2) e clique em Next.
Trabalhando
Ativo
com Diretório
FIGURA 4-2:
Configurando o tipo
de confiança.
8. Na tela Direção da confiança, você pode definir se deseja que a confiança seja
bidirecional ou unidirecional; neste caso, selecione Two-Way
(mostrado na Figura 4-3) e clique em Next.
FIGURA 4-3:
Definindo a
direção da
confiança.
FIGURA 4-4:
Definindo onde você
deseja definir o
confia em.
Você pode estar se perguntando por que precisaria especificar seu domínio local ou ambos os domínios
depois de dizer que deseja criar uma relação de confiança bidirecional. Se você tiver as credenciais para
ambos os domínios (por meio de grupos de segurança locais universais ou de domínio), poderá
optar por criar a confiança em ambos. Digamos que você adquiriu recentemente um parceiro de
negócios, mas não conhece as credenciais de um administrador de domínio ou conta de administrador
corporativo. Você teria que escolher Somente este domínio e, em seguida, um de seus administradores
precisaria repetir o processo para estabelecer uma relação de confiança bidirecional.
Se tudo correr bem, você verá a tela Completing the New Trust Wizard, mostrada na Figura 4-5.
FIGURA 4-5:
A conclusão bem-
sucedida do
Assistente de
Nova Confiança.
Os sites e serviços do Active Directory são muito úteis quando você precisa identificar
sites separados dentro do seu domínio do Active Directory. Isso geralmente é feito
quando um domínio é usado em vários locais físicos separados geograficamente.
Os sites são úteis com locais geograficamente distantes, pois podem informar aos
clientes que estão se conectando qual controlador de domínio é o mais próximo. Isso
minimiza a quantidade de tráfego que precisa fluir pela rede e também pode melhorar
o desempenho, pois a replicação do Active Directory pode ocorrer com o controlador de
domínio mais próximo.
Criando um site
Agora que você sabe o que é um site, provavelmente deseja criar o seu próprio. Veja
como criar um site no Active Directory Sites and Services:
4. Clique em OK.
FIGURA 4-6:
Criando um site
no Active Directory.
Claro, um site não é útil sem uma sub-rede atribuída a ele, então vamos fazer isso a seguir:
3. Selecione o site que você acabou de criar (no meu caso, Demo).
4. Clique em OK.
em vários recursos com a mesma conta. Isso contrasta fortemente com as contas locais,
onde o usuário precisaria de uma conta separada em cada sistema e/ou aplicativo. Nesta
seção, mostro alguns dos casos de uso mais comuns.
Trabalhando
Ativo
com Diretório
FIGURA 4-7:
Configurando
uma sub-
rede para o novo
site do Active Directory.
Criando usuários
A criação de usuários é sem dúvida a tarefa mais comum que um administrador de
sistema fará em relação ao Active Directory. Felizmente, a Microsoft tornou o processo
bastante indolor:
2. Clique com o botão direito do mouse na UO ou contêiner que você deseja criar o usuário
conta em.
5. Clique em Avançar.
FIGURA 4-8:
Criando um novo
usuário a partir de
Usuários e Grupos
do Active Directory.
7. Na maioria dos casos, você selecionará O usuário deve alterar a senha no próximo logon.
8. Clique em Avançar.
Agora, se você olhar no contêiner Usuários, verá sua nova conta de usuário. Você pode redefinir a
senha da conta clicando com o botão direito do mouse no nome do usuário e escolhendo Redefinir
senha. Você pode desativar a conta clicando com o botão direito do mouse no nome do usuário e
escolhendo Desativar conta. Por fim, você pode configurar as opções mais avançadas para a conta
do usuário clicando com o botão direito do mouse no nome do usuário e escolhendo Propriedades.
Isso oferece várias opções, como definir informações organizacionais, definir associações a grupos
e outras informações pertinentes (consulte a Figura 4-9).
Criando grupos
Ter uma conta de usuário de domínio é ótimo porque permite que seus usuários façam login em
vários sistemas ou aplicativos com a mesma conta. Dar a cada conta de usuário acesso direto aos
recursos rapidamente se torna um pesadelo, porque é muito difícil acompanhar. Quando um
usuário sai, por exemplo, é preciso removê-lo de todos os locais aos quais ele teve acesso. Se
você usar um grupo de domínio, ainda poderá garantir que eles obtenham o acesso de que
precisam, mas quando eles deixarem a organização, basta removê-los do grupo e desabilitar
suas contas.
FIGURA 4-9:
A tela
Propriedades do
conta de usuário
oferece mais Trabalhando
Ativo
com Diretório
opções
para configurar.
2. Clique com o botão direito do mouse na UO ou contêiner que você deseja criar o usuário
conta em.
• Domínio local: Grupos que só são visíveis dentro de seu próprio domínio.
• Distribuição: Usado para listas de e-mail; não pode ser usado para atribuir permissões a
objetos.
7. Clique em OK.
FIGURA 4-10:
Criando um novo
grupo em Usuários
e Grupos do Active
Directory.
Os grupos realmente não fazem muito sem usuários, então vamos atribuir a nova conta de
usuário que você criou ao novo grupo que você acabou de criar:
grupos; você também pode alterar os níveis funcionais e outras configurações. Nas seções a seguir,
oriento você por algumas dessas configurações.
O ntdsutil.exe é uma ferramenta de linha de comando que permite trabalhar com o Active Directory em
nível de banco de dados.
A Microsoft percebeu que esse era um ponto problemático para os administradores do Active Directory Diretório
Trabalhando
Ativo
com
em todos os lugares, então introduziu a Lixeira do Active Directory. Mas não é ativado por padrão, então
você deve planejar com antecedência e ativá-lo. Depois de ativado, você pode restaurar itens excluídos
no Active Directory sem tempo de inatividade. Os itens excluídos não são mantidos para sempre; por
padrão, eles são retidos por 180 dias. Um administrador do sistema pode ajustar esse valor, se desejar.
Você vê uma caixa de diálogo avisando que a Lixeira não pode ser desabilitada depois de
habilitada.
4. Clique em OK.
Você vê uma caixa de diálogo informando para atualizar o Centro Administrativo do Active
Directory.
5. Clique em OK.
6. Clique no círculo com as duas setas dentro dele na parte superior da tela para
atualizar.
FIGURA 4-11:
Habilitar o ativo
Reciclagem de Diretório
Bin através do
Active Directory
Administrativo
Centro.
Ser capaz de personalizar todas essas configurações ao criar um usuário é muito bom.
Antigamente, ao usar o Active Directory Administrative Center, por exemplo, você tinha que
criar o usuário. Quando o usuário foi criado, você pode ir para a tela Propriedades do usuário
e fazer as alterações nas guias organizacionais. O utilitário de criação de usuários do Active
Directory Admin istrative Center permite que você faça todas essas configurações de uma só vez.
FIGURA 4-12:
A criação de um Diretório
Trabalhando
Ativo
com
usuário no
Centro
Administrativo do
Active Directory
oferece mais opções no início.