Você está na página 1de 8

Resumo Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

Sobre o exame 70-640

O exame 70-640 lhe d crditos para as seguintes certificaes:


Servios de Diretrio Active Directory Certificate Services (AD CS) oferece soluo para emisso e administrao de certificados usados em sistemas de segurana que utilizam a tecnologia de chave pblicas e privadas. Active Directory Domain Services (ADDS) O AD DS permite um gerenciamento centralizado e seguro de toda uma rede. Armazena as informaes sobre objetos na rede e gerencia a comunicao entre os usurios e os domnios, incluindo processos de logon do usurio, autenticao e pesquisas de diretrio. O Active Directory Domain Services era anteriormente chamado de Active Directory Active Directory Federation Services (ADFS) permite estabelecer confiana entre diferentes entidades organizacionais dando aos usurios finais um logon nico (SSO) entre empresas Active Directory Lightweight Directory Services (ADLDS) um servio de diretrio LDAP. O ADLDS era anteriormente chamado de Active Directory Application Mode (ADAM) Active Directory Rights Management Services (ADRMS) permite proteger e controlar o acesso a informaes confidenciais como em documentos e e-mails. Instalao do ADDS Para instalar o Active Directory Directory Services (ADDS) voc deve ser membro do grupo Administradores do servidor que ir instalar o ADDS. O Active Directory pode ser instalado de 3 maneiras:

O que so domnios ? Os domnios, principais unidades funcionais da estrutura lgica do Active Directory. Os domnios tm trs principais funes: 1. Fornecer um limite administrativo para objetos 2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicao para objetos

Objetos do domnio.

Usurios

Grupos

Computadores

Impressoras

Pastas Compartilhadas

Unidades Organizacionais

Banco de dados do Active Directory No banco de dados do AD ficam armazenados objetos do domnio. O computador que possui o banco de dados do Active Directory o Controlador de Domnio. O nome do banco de dados do Active Directory NTDS.DIT e ficam armazenado por padro na pasta %SYSTEMROOT%\NTDS

Arquivos do banco de dados do AD


NTDS.DIT Arquivo de banco de dados fsico que guarda o contedo do Active Directory. EDB.CHK Arquivo de ponto de verificao que rastreia at onde as transaes no arquivo de log foram confirmadas. EDB.LOG Arquivo de log primrio TMP.EDB Banco de dados temporrio para as transaes.

1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services.(em seguida execute o comando DCPROMO) 2 - Atravs do comando Servermanagercmd.exe I ADDS-Domain-Controller. (em seguida execute o comando DCPROMO).
3 - Atravs do comando: DCPROMO. (uma nica vez)

Resumo Exame 70-640


TS: Windows Server 2008 Active Directory, Configuring

A estrutura lgica do Active Directory

rvore de domnios. Os domnios so agrupados em estruturas hierrquicas so chamados rvores de domnios. Floresta. Uma floresta uma instncia completa do Active Directory Domain Services, que consiste em uma ou mais rvores.

Read Only Domain Controller


Prepare (stage) um RODC criando uma conta de computador no Active Directory Users and Computers Em Domain Controllers usando o assistente: Pre-Create Read-only Domain Controller Account wizard. Voc Pode escolher qualquer usurio do domnio para anexar (attach) um RODC no domnio. Somente servidores em WorkGroup podem ser prcriados para ser um RODC.

Floresta

rvore

Nveis funcionais Operaes em nveis funcionais so irreversveis. Existem 3 nveis funcionais de domnio: Windows 2000 native Windows Server 2003 Windows Server 2008 E 3 nveis funcionais de floresta Windows 2000 Windows Server 2003 Windows Server 2008 Aumentar nvel funcional do domnio: Active Directory Users And Computers Aumentar nvel funcional da floresta Active Directory Domains and trusts Nvel funcional Windows Server 2003 aceita DC com Windows Server 2003 ou superior e assim por diante. Read Only Domain Controller Read Only Domain Controller (RODC) um Controlador de domnio adicional somente leitura. Para instalar um RODC necessrio o nvel funcional da floresta Windows Server 2003 ou superior. Por padro o RODC no armazena senhas de contas de usurio. Voc deve popular a cache manualmente. Password Replication Policy (PRP) permite definir quais usurios tero sua senha armazenada em cache.

O usurio que voc escolheu deve usar o comando dcpromo /useexistingaccount:attach .

Ferramentas de Gerenciamento
Active Directory Domains and Trusts - Usado para gerenciar relaes de confiana de florestas e domnios, acrescentar sufixos ao nome principal do usurio e alterar os nveis funcionais de florestas e domnios

Active Directory Sites and Services Utilizado para criar e gerenciar os servios ,sites e a replicao de dados do diretrio. Active Directory Users and Computers - Um MMC (Microsoft Management Console) usado para gerenciar e publicar informaes no Active Directory. Voc pode gerenciar contas de usurio, grupos, contas de computadores, acrescentar computadores a um domnio.
ADSI Edit (Active Directory Service Interfaces Editor) Um editor LDAP (Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory. LDP Permite a conexo com o banco de dados do AD ou uma instancia LDS a fim de consultar, editar ou pesquisas dados do diretrio.

Resumo Exame 70-640


TS: Windows Server 2008 Active Directory, Configuring

Nomes distintos Nomes distintos identificam o domnio de um objeto e o caminho para encontr-lo. CN=Felipe Donda,OU=Diretoria,DC=mcpbrasil,DC=com

Ferramentas de linha de comando


Dsadd Adiciona objetos no Diretrio Exemplo adicionar conta de usurio: Dsadd cn=Donda, ou=TI, dc=mcpbrasil, dc=com Dsmod Modifica objetos no Diretrio Exemplo definir uma senha: dsmod user cn=Donda,ou=TI,dc=mcpbrasil,dc=com" Dsmove Move objetos no Diretrio Exemplo mover para outra OU dsmove cn=Donda, ou=TI, dc=mcpbrasil, dc=com -newparent ou=Suporte, dc=mcpbrasil ,dc=com" DSrm Remove objetos do Diretrio Exemplo: excluir conta de usurio dsrm "cn=Donda, ou=Suporte, dc=mcpbrasil, dc=com" Dsquery Busca objetos no Diretrio Exemplo: Ler toda informao de um objeto na ou=test dsquery * ou=test,dc=mcpbrasil,dc=com -scope base attr *

Nome principal do usurio (UPN) O nome principal de usurio (UPN) identifica o usurio de determinado domnio: donda@mcpbrasil.com

Sites (Estrutura Fsica)


Em sua rede fsica, um site representa um conjunto de computadores conectados por uma rede de alta velocidade, como uma rede local (LAN).

Sub-rede IP
Sub-rede IP

Site SP

Site RJ No AD DS, um objeto de site representa os aspectos do site fsico a fim de gerenciar a replicao dos dados do diretrio entre os controladores de domnio Replicao consiste no processo de atualizar informaes no Active Directory de um controlador de domnio para outros controladores de domnio em uma rede Os objetos de sites e os objetos associados a eles so replicados em todos os controladores de domnio na floresta. possvel gerenciar os objetos utilizando a ferramenta Active Directory Sites and Services. KCC (knowledge consistency checker) O KCC knowledge consistency checker um processo interno executado em cada controlador de domnio que gera a topologia de replicao para todas as parties de diretrio contidas no controlador de domnio. IFM (Install from Media) O recurso IFM permite instalar um controlador de domnio adicional a partir da media de backup. A utilizao de IFM reduz a quantidade de dados replicados. O ADDS deve estar iniciado para executar esta operao.

Dsget Exibe informaes sobre objetos no Diretrio Exemplo: Trazer nome de todos usurios da ou=TI dsquery "ou=TI,dc=mcpbrasil,dc=com" | get user -fn
Ferramentas de Importao e exportao CSVDE Importa e Exporta objetos do diretrio utilizando arquivos .CSV (Separado por virgula) Exemplo para importar: csvde i f usuarios.csv Exemplo para exportar usurios da ou TI csvde -d "ou=TI,DC=mcpbrasil,dc=com f usuarios.csv -r objectClass=user LDIFDE - Importa e Exporta objetos do diretrio utilizando arquivos .LDF Exemplo para importar: ldifde i f usuarios.ldf Exemplo para exportar computadores ldifde f usuarios.ldf -r (objectclass=computer)"

Resumo Exame 70-640


TS: Windows Server 2008 Active Directory, Configuring

IFM (Install from Media) Para criar uma media para criao de um domain controller adicional escolha entre as opes: create full %s Cria uma mdia IFM completa para o ADDC ou AD/LDS. create rodc %s Cria uma mdia IFM para um ReadOnly DC create Sysvol full %s Cria uma mdia IFM com o SYSVOL para um ADDC. create Sysvol RODC %s Cria uma mdia IFM com o SYSVOL para um RODC. Exemplo: No prompt de comando digite:

Parties do AD
Para editar o schema necessrio registrar a dll schmmgmt.dll e ser pelo menos do grupo schema admins Iniciar -> executar -> Regsvr32 schmmgmt.dll Use o Snap-In Active Directory Schema para editar o schema. Catalogo Global Localiza objetos - Uma solicitao de pesquisa ser encaminhada porta 3268 do catlogo global . Fornece a autenticao do nome principal do usurio. Um servidor de catlogo global resolve o nome principal do usurio (UPN) quando o controlador de domnio da autenticao desconhece a conta de usurio.

ntdsutil Activate Instance NTDS IFM create full e:\mediaifm


Aps criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional, execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recm criados. Parties do AD O banco de dados do Active Directory dividido logicamente em parties. Cada partio uma unidade de replicao e cada uma delas tem sua prpria topologia de replicao.

Valida as referncias de objeto em uma floresta. Os controladores de domnio usam o catlogo global para validar as referncias a objetos de outros domnios na floresta.
Fornece informaes sobre a associao ao grupo universal em um ambiente de vrios domnios. O controlador de domnio tambm pode descobrir associaes de um usurio ao grupo local do domnio e ao grupo global e a associao a esses grupos no ser replicada no catlogo global. Se um servidor de catlogo global no estiver disponvel quando um usurio efetuar logon em um domnio em que os grupos universais esto disponveis, o computador cliente do usurio poder usar as credenciais armazenadas em cache para fazer logon . O administrador do domnio (conta Administradores internos) pode sempre efetuar logon no domnio, mesmo quando um servidor de catlogo global no estiver disponvel.

Schema Esquema (Schema). Possui dois tipos de definies: classes e atributos de objetos. As classes de objetos so modelos ou plantas dos objetos que podem ser criados no Active Directory. Atributos definem os possveis valores a serem associados a uma classe de objeto.

Resumo Exame 70-640


TS: Windows Server 2008 Active Directory, Configuring

Objetos de Sites Sites - Os objetos de sites so localizados no continer de sites. Em todos os sites, h um objeto de Configuraes de Site NTDS. Esse objeto identifica o Intersite Topology Generator (ISTG). Sub-redes - Os objetos da sub-rede identificam os intervalos dos endereos IP em um site. Servidores - Os objetos de servidor so criados automaticamente quando voc adiciona a funo de servidor Active Directory Domain Services Configuraes NTDS - Todo objeto de servidor contm um objeto de Configuraes NTDS, que representa o controlador de domnio no sistema de replicao. Tambm possvel Habilitar ou desabilitar o catlogo global em um servidor atravs do NTDS Settings. Conexes - Os parceiros da replicao dos servidores de um site so identificados pelos objetos de conexo. A replicao ocorre em uma direo. Links de sites - Os links de site representam o fluxo da replicao entre os sites. Representa a conexo fsica de longa distncia (WAN) entre dois ou mais sites Transportes IP e SMTP entre sites - A replicao usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP Trusts Relaes de confiana podem ser unidirecionais ou bidirecionais.

Trusts Domnios filhos possuem uma relao de confiana automtica transitiva e bidirecional com o domnio pai. Tipos de relaes de confiana: Forest trust Permite Autenticao seletiva ou domain Wide Shortcut trusts Acelera o processo de autenticao. Realm trust No para rede Windows. External trust No transitivo

Forest Trust Na autenticao seletiva necessrio definir a permisso Allowed to Authenticate ao grupo ou ao usurio confivel para o mesmo possa ser autenticado no domnio confiante.
FSMO (Flexible Single Masters Operations) Existem 5 funes masters: Duas nicas na floresta; Schema Master Domain Naming Masters Trs nicas em um domnio; PDC Emulator RID Master Infrastructure Master Schema Master Necessrio para updates do Schema. Domain Naming Masters Necessrios para incluso/ Alterao e Excluso de novos domnios RID Master Emite uma lista de tickets com SID + GUID para criao de objetos de segurana. Infrastructure rastreia participao em grupos de outros domnios. PDC Emulator Controla o tempo, o servio Master Browse, Conflitos de GPO.

Transitivas ou no-transitivas. Transitiva = Se a Confia em B e B confia em C ento:

A C

Use o MMC para transferir roles e use NTDSUtil para apoderar-se (seize) de um funo.

C confia em A

Resumo Exame 70-640


TS: Windows Server 2008 Active Directory, Configuring

Restartable AD DS possvel parar e iniciar o servio do Active Directory tanto pela ferramenta services parando o servio Active Directory Domain Services como pelo comando net. Net stop NTDS Backup do AD DS Para fazer o Backup do Active Directory, instale o feature Windows Server Backup e regularmente efetue backup do System State utilizando a ferramenta grfica ou digite a seguinte linha de comando: wbadmin start systemstatebackup backuptarget:d: Restaurao do AD Restaurao no-autoritativa do AD DS Uma restaurao no-autoritativa retorna o servio de diretrio ao estado que tinha no momento da criao do backup. Depois de concluda a operao de restaurao, a replicao do AD DS atualiza o controlador de domnio, aplicando as alteraes feitas desde o momento da criao do backup.

Group Policy Object

GPOs podem ser aplicados ao computador local, sites, domnios e unidades organizacionais. Nesta ordem, tendo precedncia a ultima a ser aplicada caso exista conflito. Do contrario as polticas so acumulativas.
Block Inheritance Opo que pode ser aplicado a um domnio ou OU e faz com que as polticas no sejam herdadas. (Bloqueio de herana). Enforced - Opo que fora a aplicao da poltica. (Mesmo quando a opo Block inheritance esteja marcada. Starter GPOs Starter GPOs so modelos de objetos de polticas de grupo que podem ser criados, armazenados e utilizados. Ao criar uma nova poltica possvel tomar por base um modelo existente em Starter GPOs. Item-Level targeting possvel definir um alvo especifico utilizando mais de 29 combinaes de colees com lgica boolena (And, Or, Not). Alm de muitos itens intuitivos de modo que a poltica s se aplica a usurios e computadores especficos. Como utilizar o Item-Level targeting 1) Edite a poltica desejada. 2) Em preferences selecione o item desejado. 3) Defina a poltica conforme sua necessidade. 4) Clique e Common e selecione Item-Level targeting para criar o seu filtro.

Restaurao autoritativa fornece um mtodo de recuperao de objetos e contineres que tenham sido excludos do AD DS. 1.Restaure o backup desejado que, geralmente, o mais recente. wbadmin start systemstaterecovery verso backuptarget:d:
2.Inicie o controlador de domnio no DSRM (Directory Services Restore Mode). 3.Use Ntdsutil.exe para marcar os objetos desejados, contineres ou parties como autoritativos. Exemplo: ntdsutil Activate Instance NTDS Authoritative Restore Restore Object cn=nomedouser, dc=mcsesolution, dc=lab 4.Reinicie no modo normal para propagar as alteraes

The Security Configuration Wizard


O SCW, permite criar, gerenciar e aplicar politicas de segurana que so salvos no formato .xml . Use o comando scwcmd.exe para criar uma GPO. scwcmd.exe /p:arquivo.xml /g: nomedagpo.

Resumo Exame 70-640


TS: Windows Server 2008 Active Directory, Configuring

Active Directory replication


Se o nvel funcional do domnio estiver Windows 2008 possvel alterar a replicao de FRS (File Replication Service) para DFS-R (Distributed File System Replication) para replicao do SYSVOL. A migrao feita com o comando dfsrmig.exe Fine-Grained Passwords Fine-Grained Passwords um recurso que permite estabelecer uma poltica de senha para grupos distintos. Para implementar o Fine-Grained Password necessrio que nvel funcional do domnio esteja definido como Windows 2008. Voc pode utilizar o ADSI Edit ou o LDIFDE para criar Password Settings objects (PSOs): . Utilizando o ADSI 1) Expanda DC=<domain_name> 2) Expanda CN=System. 3) Clique em CN=Password Settings Container 4) Crie um novo objeto msDS-PasswordSettings. Defina as opes: msDS-PasswordSettingsPrecedence Prioridade ( maior que 0) msDS-PasswordReversibleEncryptionEnabled Criptografia reversvel (True/False) msDS-PasswordHistoryLength Histrico de senhas (0 at 1024) msDS-PasswordComplexityEnabled Complexidade da senha (True/False) msDS-MinimumPasswordLength Tamanho minimo da senha (0 at 255) msDS-MinimumPasswordAge Idade mnima da senha (00:00:00:00 at idade maxima) msDS-MaximumPasswordAge Idade mxima da senha (Never at 00:00:00:00) msDS-LockoutThreshold Bloqueio da conta (0 at 65535) msDS-LockoutObservationWindow De 00:00:00:01 at msDS-LockoutDuration msDS-LockoutDuration Durao do bloqueio (never at msDSLockoutObservationWindow ) msDS-PSOAppliesTo Usurios/Grupos a que se aplica esta poltica.

PSO Utilizando o LDFIDE:


dn: CN=PSO1, CN=Password Settings Container,CN=System,DC=dc1,DC=mcsesolution,DC=la b changetype: add objectClass: msDSPasswordSettings msDS-MaximumPasswordAge:1728000000000 msDS-MinimumPasswordAge:864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDSPasswordComplexityEnabled:TRUE msDSPasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1, DC=mcsesolution,DC=lab Para importar ldifde i -f arquivo.ldf AD CS Active Directory Certificate Services: CA (Certificate Authority) um servidor que emite e gerencia servios de certificados digitais. Voc no ode mudar o nome do servidor aps instalar o AD CS. O AD CS suporta tanto CA Enterprise como Stand Alone. CA Stand Alone geralmente fornece servios para Internet. Pode ser instalado em DCs, Servidores Membros, Stand Alone Servers. CA Enterprise fornece servios para uma rede interna. Pode ser instalado em DCs, Servidores Membros Depois de instalado no possvel alterar de StandAlone para Enterprise e vice-versa.

Resumo Exame 70-640


TS: Windows Server 2008 Active Directory, Configuring

AD CS Root CA A primeira autoridade certificadora da infraestrutura de chave Publica (PKI)


Subordinate CA Obtm os certificados de uma autoridade de nvel superior (por exemplo Root CA). Em criptografia de chave Publica e Privada so usadas chaves diferentes mas complementares no processo de criptografia e descriptografia. Chave publica = Criptografia. Chave privada = Descriptografia DNS

Registros de recursos: Host(A), Host(AAAA), Alias (CNAME), Service Location (SRV)


DNS usa a porta 53 UDP e 53 TCP Primary Zone Pode ser integrada com o AD DS. Eles permitem leitura e gravao exceto quando for um RODC Zona Integrada ao AD replica junto com o AD. Secondary Zone Rplicas de dados de um servidor primrio no aceita atualizaes dinmicas pois somente leitura Stub Zones replica um nmero mnimo de registros para permitir que os servidores DNS possam enviar os pedidos diretamente aos servidores de nome de domnios sem a necessidade de resolver o nome de domnio usando os servidores raiz da internet. Service Location (SRV) Indica a localizao de um determinado servio TCP / IP RODC DNS Zone uma zona primaria somente leitura Para configurar as atualizaes dinmicas seguras use a zona integrada ao AD (AD-integrated).

O comando certutil automatiza as tarefas de gerenciamento do ADCS.

O comando certreq solicita certificados.


Para emitir certificados via web o caminho :http://[servername]/certsrv A lista de Trusted Root CA pode ser atualizada via GPO.

Pode ser usado o AutoEnroll (inscrio automatica) de certificados via GPO . Network Device Enrollment Services (NDES) podem emitir certificados para os switches de rede e roteadores
Microsoft Simple Certification Enrollment Protocol (MSCEP) usado para permitir que os roteadores e outros dispositivos de rede para obter certificados de uma CA Certificate Templates -Version 3 somente vista e Server 2008 -Version 2 Server 2003, Server 2008, XP, e Vista. DNS Forward Lookup Zone - Mapeamento de nome para IP Reverse Lookup Zone - Mapeamento de IP para nome. Zona de pesquisa - Armazena Registros de recursos da zona (nome de domnio).

Atualizaes dinmicas o processo de gravao automtica de registros de recursos em uma zona.


Conditional Forwarders - Encaminha solicitaes para servidores DNS baseado no nome de DNS consultado. Contedo tcnico: Helio Panissa Junior Daniel Donda O Clube MCP Brasil.com rene e disponibiliza o contedo de certificao Microsoft. Cadastre-se www.mcpbrasil.com