Moc 10222a-Ptb Parte02 PDF

P R O D U T O S M I C R O S O F T O F F I C I A L L E A R N I N G
10222A
Configurao e soluo de
problemas dos servios de domnio
do Windows Server
2008 Active
Directory

Volume 2
Lembre-se de acessar o contedo de aprendizado ampliado no CD
complementar do curso, includo na contracapa do livro.
ii Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory

As informaes includas neste documento, inclusive URLs e referncias a outros sites da Internet,
esto sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas,
organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e
acontecimentos aqui mencionados so fictcios e nenhuma associao a empresas, organizaes,
produtos, nomes de domnio, endereos de email, logotipos, pessoas, lugares ou acontecimentos
reais intencional ou deve ser inferida. O cumprimento de todas as leis de direitos autorais
aplicveis de exclusiva responsabilidade do usurio. Sem limitar-se aos direitos autorais, nenhuma
parte deste documento pode ser reproduzida, armazenada ou apresentada em um sistema de
recuperao ou transmitida de qualquer forma ou por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou de outra forma), ou para qualquer fim, sem a permisso por escrito da
Microsoft Corporation.
A Microsoft pode ter patentes, solicitaes de patente, marcas registradas, direitos autorais ou
outros direitos de propriedade intelectual relativos ao assunto em questo neste documento. Exceto
se expressamente fornecido em qualquer contrato de licena por escrito da Microsoft, o
fornecimento deste documento no lhe concede licena para essas patentes, marcas registradas,
direitos autorais ou outra propriedade intelectual.
Os nomes de fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos, e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais, referentes a
esses fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um
fabricante ou produto no implica endosso da Microsoft em relao ao fabricante ou produto.
Podem ser fornecidos links para sites de terceiros. Esses sites no so controlados pela Microsoft, e a
Microsoft no se responsabiliza pelo contedo de qualquer site vinculado ou qualquer link existente
em um site vinculado, ou qualquer mudana ou atualizao em tais sites. A Microsoft no se
responsabiliza pela divulgao por webcast ou qualquer outra forma de transmisso recebida de
qualquer site vinculado. A Microsoft fornece esses links para sua convenincia, e a incluso de
qualquer link no implica endosso da Microsoft em relao ao site ou a produtos nele contidos.
2010 Microsoft Corporation. Todos os direitos reservados.
Microsoft, Access, Active Directory, ActiveX, Excel, Forefront, Hyper-V, Internet Explorer, MS, MSDN,
Outlook, PowerPoint, Segoe, SharePoint, SQL Server, Visual Studio, Windows, Windows Live,
Windows Mobile, Windows NT, Windows Server e Windows Vista so marcas registradas ou marcas
comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases.
Todas as outras marcas comerciais pertencem a seus respectivos proprietrios.

Nmero do produto: 10222A
Pea nmero: X16-99408
Lanamento: 09/2010

TERMOS DE LICENA DA MICROSOFT
OFFICIAL MICROSOFT LEARNING PRODUCTS EDIO DO
INSTRUTOR Verses de Pr-lanamento e final
Estes termos de licena so um acordo entre a Microsoft Corporation e voc. Por favor, leia-os. Eles se
aplicam ao Contedo Licenciado supracitado, que inclui a mdia na qual ele est contido, caso haja uma. Os
termos tambm se aplicam aos seguintes itens da Microsoft:
atualizaes,
suplementos,
servios via Internet e
servios de suporte
referentes a este Contedo Licenciado, a menos que outros termos acompanhem esses itens. Nesse caso,
tais termos se aplicam.
Ao usar o Contedo Licenciado, voc estar aceitando estes termos. Se voc no os aceitar,
no use o Contedo Licenciado.
Se cumprir estes termos de licena, voc ter os direitos a seguir.
1. DEFINIES.
a. Materiais Acadmicos significa a documentao impressa ou eletrnica, como manuais, livros
didticos, white papers, press-releases, folhas de dados e perguntas freqentes, que esteja
includa no Contedo Licenciado.
b. Centro(s) de Aprendizagem Autorizado(s) significa um local de Microsoft Certified Partner
for Learning Solutions, um local do IT Academy ou outra entidade semelhante designada
ocasionalmente pela Microsoft.
c. Sesso(es) de Treinamento Autorizada(s) significa aquelas sesses de treinamento
autorizadas pela Microsoft e conduzidas por um Instrutor em Centros de Aprendizagem
Autorizados ou por meio deles, fornecendo treinamento a Alunos somente em Produtos Microsoft
Official Learning (anteriormente conhecidos como MOC [Microsoft Official Curriculum]) e
Produtos Microsoft Dynamics Learning (anteriormente conhecidos como cursos do Microsoft
Business Solutions). Cada Sesso de Treinamento Autorizada fornecer treinamento sobre a
matria de um (1) Curso.
d. Curso significa um dos cursos que utilizam Contedo Licenciado oferecidos por um Centro de
Aprendizagem Autorizado durante uma Sesso de Treinamento Autorizada, cada um dos quais
fornecendo treinamento sobre uma matria tecnolgica especfica da Microsoft.
e. Dispositivo(s) significa um nico computador, dispositivo, estao de trabalho, terminal ou
outro dispositivo analgico ou eletrnico digital.
f. Contedo Licenciado significa o material que acompanha estes termos de licena. O
Contedo Licenciado pode incluir os seguintes elementos, sem se limitar a eles: (i) Contedo do
Instrutor, (ii) Contedo do Aluno, (iii) guia de configurao da sala de aula e (iv) Software. H
componentes diferentes e separados do Contedo Licenciado para cada Curso.

g. Software significa as Mquinas Virtuais e os Discos Rgidos Virtuais ou outros aplicativos de
software que estejam includos no Contedo Licenciado.
h. Aluno(s) significa um aluno devidamente inscrito em uma Sesso de Treinamento Autorizada
em seu local.
i. Contedo do Aluno significa o material de aprendizagem que acompanha estes termos de
licena e que se destina ao uso por Alunos e Instrutores durante uma Sesso de Treinamento
Autorizada. O Contedo do Aluno pode incluir laboratrios, simulaes e arquivos de curso para
um Curso.
j. Instrutor(es) significa a) uma pessoa devidamente certificada pela Microsoft como um
Microsoft Certified Trainer e b) outro indivduo que esteja autorizado, por escrito, pela Microsoft e
esteja vinculado a um Centro de Aprendizagem Autorizado para ministrar uma Sesso de
Treinamento Autorizada a Alunos em nome do Centro de Aprendizagem Autorizado.
k. Contedo do Instrutor significa o material que acompanha estes termos de licena e que se
destina ao uso por Alunos e Instrutores, conforme aplicvel, unicamente durante uma Sesso de
Treinamento Autorizada. O Contedo do Instrutor pode incluir Mquinas Virtuais, Discos Rgidos
Virtuais, arquivos do Microsoft PowerPoint e anotaes do instrutor, bem como guias de
demonstrao e arquivos de script para um Curso.
l. Discos Rgidos Virtuais significa o Software Microsoft composto por discos rgidos
virtualizados (como um disco rgido virtual bsico ou discos associados) para uma Mquina Virtual
que pode ser carregado em um nico computador ou outro dispositivo para permitir que os
usurios finais executem vrios sistemas operacionais simultaneamente. Para os fins destes
termos de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor.
m. Mquina Virtual significa uma experincia de computao virtualizada, criada e acessada com o
uso de software Microsoft Virtual PC ou Microsoft Virtual Server, que consiste em um ambiente
de hardware virtualizado, um ou mais Discos Rgidos Virtuais e um arquivo de configurao que
define os parmetros do ambiente de hardware virtualizado (p. ex., RAM). Para os fins destes termos
de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor.
n. voc significa o Centro de Aprendizagem Autorizado ou o Instrutor, conforme aplicvel, que
concordou com estes termos de licena.
2. VISO GERAL.
Contedo Licenciado. O Contedo Licenciado inclui Software, Materiais Acadmicos (online e
eletrnicos), Contedo do Instrutor, Contedo do Aluno, guia de configurao da sala de aula e
qualquer mdia associada.
Modelo de Licena. O Contedo Licenciado licenciado por cpia por local de Centro de
Aprendizagem Autorizado ou por Instrutor.
3. DIREITOS DE INSTALAO E USO.
a. Centros de Aprendizagem Autorizados e Instrutores: para cada Sesso de Treinamento
Autorizada, voc pode:
i. instalar cpias individuais do Contedo Licenciado relevante em Dispositivos de sala de aula
somente para uso pelos Alunos inscritos e pelo Instrutor que ministrar a Sesso de
Treinamento Autorizada, desde que o nmero de cpias em uso no exceda o nmero de
Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada, OU

ii. instalar uma cpia do Contedo Licenciado relevante em um servidor de rede somente para
acesso por Dispositivos de sala de aula e somente para uso pelos Alunos inscritos e pelo
Instrutor que ministrar a Sesso de Treinamento Autorizada, desde que o nmero de
Dispositivos que acessem o Contedo Licenciado no dito servidor no exceda o nmero de
Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada;
iii. e permitir que os Alunos inscritos e o Instrutor que ministrar a Sesso de Treinamento
Autorizada utilizem o Contedo Licenciado instalado por voc de acordo com (i) ou (ii) acima
durante a dita Sesso de Treinamento Autorizada de acordo com estes termos de licena.
iv. Separao de Componentes. Os componentes do Contedo Licenciado so licenciados como
uma nica unidade. Voc no poder separar os componentes e instal-los em Dispositivos
diferentes.
v. Programas de Terceiros. O Contedo Licenciado poder conter programas de terceiros. Estes
termos de licena se aplicaro ao uso desses programas de terceiros, a menos que outros
termos acompanhem esses programas.
b. Instrutores:
i. Os Instrutores podem usar o Contedo Licenciado instalado por voc ou por um Centro de
Aprendizagem Autorizado em um Dispositivo de sala de aula para ministrar uma Sesso de
Treinamento Autorizada.
ii. Os Instrutores tambm podem usar uma cpia do Contedo Licenciado conforme se segue:
A. Dispositivo Licenciado. O Dispositivo licenciado o Dispositivo no qual voc usa o
Contedo Licenciado. Voc pode instalar e usar uma cpia do Contedo Licenciado no
Dispositivo licenciado somente para seu uso em treinamento pessoal e para a preparao
de uma Sesso de Treinamento Autorizada.
B. Dispositivo Porttil. Voc pode instalar outra cpia em um dispositivo porttil somente
para seu uso em treinamento pessoal e para a preparao de uma Sesso de Treinamento
Autorizada.
4. VERSES DE PR-LANAMENTO. Se esta for uma verso de pr-lanamento (beta), as seguintes
clusulas sero aplicveis alm de outros termos neste contrato:
a. Contedo Licenciado de Pr-Lanamento. Este Contedo Licenciado uma verso de pr-
lanamento. Ele no pode conter as mesmas informaes e/ou funcionar da mesma maneira que
uma verso definitiva do Contedo Licenciado. Poderemos alter-lo na verso comercial definitiva.
Alm disso, no podemos lanar uma verso comercial. Voc dever informar o disposto acima de
maneira clara e visvel a todos os Alunos participantes de cada Sesso de Treinamento Autorizado.
Alm disso, informe que voc ou a Microsoft no tem qualquer obrigao de fornecer nenhum
outro contedo, incluindo, mas sem limitao, a verso lanada em carter definitivo do Contedo
Licenciado do Curso.
b. Comentrios. Se voc concordar em enviar Microsoft comentrios sobre o Contedo
Licenciado, estar dando Microsoft, a ttulo gratuito, o direito de usar, compartilhar e
comercializar seus comentrios de qualquer maneira e para qualquer finalidade. Alm disso, voc
concede a terceiros, sem custos, todos os direitos de patente necessrios para que seus produtos,
suas tecnologias e seus servios usem, ou estabeleam conexo com, qualquer parte especfica de
um software, Contedo Licenciado ou servio da Microsoft que inclua os comentrios. Voc no

dever enviar comentrios sujeitos a uma licena que exija da Microsoft o licenciamento do seu
software ou da sua documentao a terceiros em virtude da incluso dos seus comentrios nesses
elementos. Esses direitos permanecero em vigor aps o trmino deste contrato.
c. Informaes Confidenciais. O Contedo Licenciado, incluindo qualquer visualizador, interface
de usurio, recursos e documentao que porventura estejam presentes no Contedo Licenciado,
confidencial e de propriedade da Microsoft e de seus fornecedores.
i. Uso. Durante cinco anos aps a instalao do Contedo Licenciado ou do seu lanamento
comercial, o que ocorrer primeiro, voc no poder divulgar informaes confidenciais a
terceiros. Voc poder divulgar informaes confidenciais apenas aos seus funcionrios e
consultores que tenham a necessidade de conhecer essas informaes. Voc dever
firmar contratos por escrito com eles para proteger essas informaes confidenciais, pelo
menos, de maneira idntica a este contrato.
ii. Continuidade da obrigao. Seu dever de proteger as informaes confidenciais
permanecer aps o trmino deste contrato.
iii. Excluses. Voc poder divulgar informaes confidenciais para atender ordens judiciais
ou do Poder Pblico. Voc dever enviar Microsoft uma notificao prvia por escrito
permitindo que ela busque uma medida cautelar ou de outra forma proteja as
informaes. Entre as informaes confidenciais no esto informaes que
passem a ser de conhecimento pblico atravs de atos lcitos;
voc tenha recebido de terceiros que no violaram obrigaes de sigilo para com a
Microsoft ou seus fornecedores; ou
voc tenha desenvolvido de forma independente.
d. Prazo. O prazo deste contrato de verses de pr-lanamento (i) a data que a Microsoft informar
a voc como data final de uso da verso beta, ou (ii) o lanamento comercial da verso definitiva
do Contedo Licenciado, o que for anterior (prazo do beta).
e. Uso. Voc dever deixar de usar todas as cpias da verso beta na resciso ou trmino dessa
verso, bem como destruir todas as cpias dela em seu poder ou sob seu controle e/ou em poder
ou sob controle de qualquer Instrutor que tenha recebido cpias da verso pr-lanada.
f. Cpias. A Microsoft informar os Centros de Treinamento Autorizados se eles podem produzir
cpias da verso beta (seja na verso impressa e/ou em CD) e distribuir essas cpias aos Alunos
e/ou Instrutores. Caso a Microsoft permita essa distribuio, voc dever cumprir todos os outros
termos que a Microsoft apresentar em relao a essas cpias e distribuio.
5. DIREITOS DE USO E/OU REQUISITOS DE LICENCIAMENTO ADICIONAIS.
a. Centros de Aprendizagem Autorizados e Instrutores:
i. Software.
Discos Rgidos Virtuais. O Contedo Licenciado pode conter verses do Microsoft XP,
Microsoft Windows Vista, Windows Server 2003, Windows Server 2008 e Windows 2000
Advanced Server e/ou de outros produtos Microsoft que so fornecidos em Discos Rgidos
Virtuais.

A. Se os Discos Rgidos Virtuais e os laboratrios forem inicializados por meio do
Microsoft Learning Lab Launcher, estes termos sero aplicveis:
Software com limite de tempo. Caso o Software no seja redefinido, deixar de funcionar
dentro do prazo indicado na instalao das Mquinas Virtuais (entre 30 e 500 dias aps a
instalao). Voc no ser avisado antes que o Software deixe de funcionar. possvel
que voc no consiga acessar os dados usados ou as informaes salvas nas Mquinas
Virtuais quando o Software parar de funcionar e poder ser obrigado a redefinir essas
Mquinas Virtuais para o estado original. Voc dever remover o Software dos
Dispositivos no final de cada Sesso de Treinamento Autorizado e reinstal-lo e inici-lo
antes do incio da Sesso de Treinamento Autorizado seguinte.
B. Se os Discos Rgidos Virtuais exigirem uma chave de produto para serem
inicializados, estes termos sero aplicveis:
A Microsoft desativar o sistema operacional associado com cada Disco Rgido Virtual.
Antes de instalar Discos Rgidos Virtuais em Dispositivos de sala de aula para uso durante
uma Sesso de Treinamento Autorizada, voc obter da Microsoft uma chave de produto
para o software de sistema operacional referente aos Discos Rgidos Virtuais e ativar o
dito Software com a Microsoft usando a dita chave de produto.
C. Estes termos sero aplicveis a todas as Mquinas Virtuais e Discos Rgidos
Virtuais:
Voc s poder usar as Mquinas Virtuais e os Discos Rgidos Virtuais se
cumprir os termos e as condies deste contrato e os seguintes requisitos de
segurana:
o Voc no poder instalar Mquinas Virtuais e Discos Rgidos Virtuais em Dispositivos
portteis ou Dispositivos que possam ser acessados por outras redes.
o Voc dever remover as Mquinas Virtuais e os Discos Rgidos Virtuais de todos os
Dispositivos de sala de aula ao final de cada Sesso de Treinamento Autorizada,
exceto os mantidos em locais de Microsoft Certified Partners for Learning Solutions.
o Voc dever remover as partes de unidades associadas dos Discos Rgidos Virtuais de
todos os Dispositivos de sala de aula ao final de cada Sesso de Treinamento
Autorizada em locais de Microsoft Certified Partners for Learning Solutions.
o Voc dever garantir que as Mquinas Virtuais e os Discos Rgidos Virtuais no sejam
copiados ou baixados dos Dispositivos em que foram instalados por voc.
o Voc dever cumprir rigorosamente todas as instrues da Microsoft referentes
instalao, ao uso, ativao e desativao e segurana das Mquinas Virtuais e
dos Discos Rgidos Virtuais.
o Voc no poder modificar as Mquinas Virtuais e os Discos Rgidos Virtuais ou
qualquer contedo dos mesmos.
o Voc no poder reproduzir ou redistribuir as Mquinas Virtuais ou os Discos Rgidos
Virtuais.

ii. Guia de Configurao da Sala de Aula. Voc dever garantir que qualquer Contedo
Licenciado instalado para uso durante uma Sesso de Treinamento Autorizada seja realizado
de acordo com o guia de configurao da sala de aula correspondente ao Curso.
iii. Elementos de Mdia e Modelos. Voc poder permitir que os Instrutores e Alunos utilizem
imagens, clip-arts, animaes, sons, msicas, formas, videoclipes e modelos fornecidos com o
Contedo Licenciado somente em uma Sesso de Treinamento Autorizada. Caso os Instrutores
tenham uma cpia prpria do Contedo Licenciado, eles podero usar Elementos de Mdia
para seu uso em treinamento pessoal.
iv Software de Avaliao. Qualquer Software includo no Contedo do Aluno designado como
Software de Avaliao poder ser usado por Alunos somente para seu treinamento pessoal
fora da Sesso de Treinamento Autorizada.
b. Somente para Instrutores:
i. Uso de Modelos de Slide Deck do PowerPoint. O Contedo do Instrutor pode incluir slide
decks do Microsoft PowerPoint. Os Instrutores podem usar, copiar e modificar os slide decks
do PowerPoint somente para ministrar uma Sesso de Treinamento Autorizada. Caso opte por
exercer os direitos mencionados acima, voc estar concordando ou assegurando que o
Instrutor concorde: (a) que a modificao dos slide decks no constituir a criao de
trabalhos obscenos ou escandalosos, conforme definidos pela legislao federal no momento
em que o trabalho for elaborado; e (b) em cumprir todos os outros termos e condies deste
contrato.
ii. Uso de Componentes Didticos no Contedo do Instrutor. Para cada Sesso de
Treinamento Autorizada, os Instrutores podero personalizar e reproduzir, de acordo com o
Contrato do MCT, as partes do Contedo Licenciado que estejam logicamente associadas
instruo da Sesso de Treinamento Autorizada. Caso opte por exercer os direitos
mencionados acima, voc estar concordando ou assegurando que o Instrutor concorde: (a)
que qualquer uma dessas personalizaes ou reprodues ser usada somente para ministrar
uma Sesso de Treinamento Autorizada; e (b) em cumprir todos os outros termos e condies
deste contrato.
iii. Materiais Acadmicos. Caso o Contedo Licenciado inclua Materiais Acadmicos, voc
poder copiar e usar esses Materiais. No permitido fazer modificaes nos Materiais
Acadmicos nem imprimir livros (eletrnicos ou em verso impressa) integralmente. No caso
da reproduo de Materiais Acadmicos, voc concorda que:
o uso dos Materiais Acadmicos ser exclusivamente para sua referncia ou treinamento
pessoal;
voc no republicar nem postar os Materiais Acadmicos em nenhum computador de
rede, nem os transmitir em nenhuma mdia;
voc incluir o aviso de direitos autorais original dos Materiais Acadmicos, ou um aviso
de direitos autorais em benefcio da Microsoft no formato indicado abaixo:
Formato do Aviso:
2010 Reimpresso para uso como referncia pessoal apenas com a
permisso da Microsoft Corporation. Todos os direitos reservados.

Microsoft, Windows e Windows Server so marcas registradas ou comerciais
da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Outros
nomes de empresas e produtos aqui mencionados so marcas comerciais de
seus respectivos proprietrios.
6. SERVIOS VIA INTERNET. A Microsoft poder fornecer servios via Internet com o Contedo
Licenciado. Ela poder alter-los ou cancel-los a qualquer momento. Voc no poder usar esses
servios de maneira que possa danific-los ou prejudicar seu uso por outros. Em nenhuma hiptese
voc poder usar os servios para tentar obter acesso no autorizado a qualquer servio, dado, conta
ou rede.
7. ESCOPO DA LICENA. O Contedo Licenciado licenciado, no vendido. Este contrato apenas
outorga a voc alguns direitos de uso do Contedo Licenciado. A Microsoft se reserva todos os outros
direitos. Salvo quando a legislao aplicvel lhe conceder mais direitos do que esta limitao, voc s
poder usar o Contedo Licenciado conforme expressamente permitido neste contrato. Ao fazer isso,
voc dever cumprir quaisquer limitaes tcnicas no Contedo Licenciado que permitam o seu uso
apenas de determinadas maneiras. vedado(a):
a instalao de mais cpias do Contedo Licenciado em Dispositivos de sala de aula do que o
nmero de Alunos mais o Instrutor na Sesso de Treinamento Autorizada;
a concesso de permisso de acesso ao servidor para mais Dispositivos de sala de aula do que o
nmero de Alunos inscritos mais o Instrutor que ministrar a Sesso de Treinamento Autorizada,
caso o Contedo Licenciado esteja instalado em um servidor de rede;
a cpia ou reproduo do Contedo Licenciado em qualquer servidor ou local para posterior
reproduo ou distribuio;
a divulgao dos resultados de qualquer teste de desempenho do Contedo Licenciado a terceiros
sem o prvio consentimento, por escrito, da Microsoft;
a resoluo de limitaes tcnicas no Contedo Licenciado;
a realizao de engenharia reversa, descompilao ou desmontagem do Contedo Licenciado,
exceto e somente na medida em que esta atividade seja expressamente permitida pela legislao
aplicvel, no obstante esta limitao;
a produo de mais cpias do Contedo Licenciado do que aquelas especificadas neste contrato
ou permitidas pela legislao aplicvel, no obstante esta limitao;
a publicao do Contedo Licenciado para a cpia por outras pessoas;
a transferncia do Contedo Licenciado, no todo ou em parte, para um terceiro;
o acesso a ou uso de qualquer Contedo Licenciado para o qual voc (i) no esteja ministrando
um Curso e/ou (ii) no tenha sido autorizado pela Microsoft a acessar e usar;
o aluguel, arrendamento ou emprstimo do Contedo Licenciado; ou
o uso do Contedo Licenciado para servios de hospedagem comercial ou fins comerciais gerais.
Os direitos de acesso ao software para servidor que possa estar includo com o Contedo
Licenciado, inclusive os Discos Rgidos Virtuais, no concedem a voc nenhum direito para
implementar patentes da Microsoft ou outras propriedades intelectuais da Microsoft em softwares
ou dispositivos que acessem o servidor.

8. RESTRIES EXPORTAO. O Contedo Licenciado est sujeito s leis e normas de exportao
dos Estados Unidos. Voc dever cumprir todas as leis e normas nacionais e internacionais de
exportao que se aplicam ao Contedo Licenciado. Essas leis incluem restries a destinos, usurios
finais e uso final. Para obter informaes adicionais, visite a pgina www.microsoft.com/exporting.
9. SOFTWARE/CONTEDO LICENCIADO NO COMERCIALIZVEL (NFR ou Not For
Resale). vedada a venda de software ou Contedo Licenciado identificado como NFR ou Not for
Resale (No Comercializvel).
10. EDIO ACADMICA. Voc dever ser um Usurio Educacional Qualificado para usar Contedo
Licenciado identificado como Academic Edition ou AE. Caso voc no saiba se ou no um Usurio
Educacional Qualificado, visite a pgina www.microsoft.com/education ou contate a afiliada da
Microsoft em seu pas.
11. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir este contrato caso
voc no cumpra os termos e condies destes termos de licena. No caso de seu status como Centro
de Aprendizagem Autorizado ou Instrutor a) expirar, b) ser rescindido voluntariamente por voc e/ou
c) ser rescindido pela Microsoft, este contrato ser rescindido automaticamente. Em caso de resciso
deste contrato, voc dever destruir todas as cpias do Contedo Licenciado e de todos os seus
componentes.
12. CONTRATO INTEGRAL. Este contrato, e os termos dos suplementos, das atualizaes, dos
servios via Internet e dos servios de suporte usados por voc, constituem o contrato
integral para o Contedo Licenciado e os servios de suporte.
13. LEGISLAO APLICVEL.
a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados Unidos, as leis
do Estado de Washington regero a interpretao deste contrato e sero aplicveis s reclamaes
de violao do mesmo, independentemente dos princpios de conflito de leis. As leis do Estado
onde voc vive regero todas as outras reclamaes, incluindo leis de defesa do consumidor,
concorrncia desleal e obrigaes extracontratuais.
b. Fora dos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado em qualquer outro
pas, as leis desse pas sero aplicveis.
14. EFEITO LEGAL. Este contrato descreve alguns direitos legais. Voc poder ter outros direitos de
acordo com as leis do seu pas. Voc tambm poder ter direitos em relao ao terceiro de quem o
Contedo Licenciado foi adquirido. Este contrato no alterar os seus direitos de acordo com as leis do
seu pas, caso as leis do seu pas no o permitam.
15. ISENO DE RESPONSABILIDADE. O Contedo Licenciado licenciado no estado em que
se encontra. O risco de us-lo responsabilidade sua. A Microsoft no oferece garantias
ou condies expressas. Voc poder ter direitos de consumidor adicionais de acordo com
suas leis locais, os quais este contrato no poder alterar. Na extenso permitida pelas leis
locais, a Microsoft exclui as garantias implcitas de comercializao, adequao a uma
finalidade especfica e no-violao.

16. LIMITAO E EXCLUSO DE RECURSOS E DANOS. VOC PODE RECUPERAR DA
MICROSOFT E DE SEUS FORNECEDORES APENAS DANOS DIRETOS LIMITADOS A US$ 5,00
(CINCO DLARES AMERICANOS). NO POSSVEL RECUPERAR OUTROS DANOS,
INCLUINDO CONSEQENCIAIS, LUCROS CESSANTES, ESPECIAIS, INDIRETOS OU
INCIDENTAIS.
Esta limitao aplica-se a:
qualquer assunto relacionado ao Contedo Licenciado, ao software, aos servios, ao contedo
(incluindo cdigo) em sites de Internet de terceiros ou a programas de terceiros; e
reclamaes por violao contratual, quebra de garantia ou condio, responsabilidade objetiva,
negligncia ou outra responsabilidade extracontratual, na extenso permitida pela legislao
aplicvel.
Tambm ser aplicada ainda que a Microsoft saiba ou tivesse que saber sobre a possibilidade dos
danos. A limitao ou excluso acima poder no se aplicar a voc pelo fato de o seu pas no permitir
a excluso ou limitao de danos incidentais, conseqenciais ou outros.

Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory xiii

Reconhecimento
O Microsoft
Learning gostaria de prestar reconhecimento e agradecer

contribuio dos profissionais a seguir para a elaborao deste curso. O esforo
deles nas diversas etapas do desenvolvimento garantiu aos alunos uma boa
experincia em sala de aula.
Dan Holme Especialista no assunto
Graduado na Universidade de Yale e na Thunderbird, Dan passou 15 anos como
consultor e instrutor, fornecendo solues a milhares de profissionais de TI das
organizaes e corporaes mais prestigiadas do mundo inteiro. A empresa de
Dan, Intelliem, uma firma de treinamento e consultoria pequena e exclusiva, com
clientela citada na revista Fortune e bastante experincia e conhecimento em
Windows
, Active Directory
e Microsoft Office SharePoint
. De sua base na linda

ilha Maui, Dan viaja pelo mundo todo dando suporte a clientes e fornecendo
treinamento sobre tecnologias da Microsoft. Dan tambm editor colaborador da
revista Windows IT Pro, alm de Microsoft MVP (servios de diretrio do Windows
Server
, 2007, e Office SharePoint Server, 2008-2009) e lder da comunidade

SharePointProConnections.com. No ltimo ano, Dan publicou dois livros pela
Microsoft Press: o Windows Administration Resource Kit (em ingls) e o kit de
treinamento para o exame MCTS 70-640, ambos na lista de livros mais vendidos
sobre o Windows. Atualmente, ele est desenvolvendo solues do SharePoint
para dar suporte transmisso dos Jogos Olmpicos de Inverno 2010, em
Vancouver, como Consultor de tecnologias da Microsoft para a NBC Olympics,
funo que j desempenhou no ano passado em Pequim e, anteriormente, em
Turim.
Claudia Woods Revisora tcnica
Claudia foi administradora de rede local, engenheira de sistemas e instrutora
tecnolgica por mais de dez anos. E como tal, projetou, implementou e
documentou as solues tecnolgicas de diversos clientes. Claudia escreveu,
editou e apresentou cursos de tecnologia personalizados para vrias organizaes
dos EUA. Ela participa regularmente de eventos de TI, como TechEd, MCT Summit
e FOSE.
Natural da regio sudeste dos EUA, Claudia reside atualmente no Reino Unido. Ela
instrutora de equipe de uma firma internacional de treinamento tecnolgico. Sua
especialidade em solues Microsoft inclui Windows Server, Active Directory e
Exchange Messaging.
xiv Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory

Ryan Boswell Revisor tcnico
Ryan trabalhou como engenheiro de sistemas, consultor de TI e instrutor
tecnolgico por mais de dez anos. Ele possui vrias certificaes da Microsoft,
como diversos nveis de MCSE, MCTS, MCITP e MCT. Sua especialidade inclui
tecnologias do Windows Server, Active Directory, System Center Configuration
Manager, System Center Operations Manager e Microsoft Hyper-V. Atualmente,
Ryan reside em Denver, Colorado.
Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory xv

Contedo
Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
Lio 1: Reviso de conceitos, componentes e processos do DNS 10-4
Lio 2: Instalao e configurao do servidor DNS em um domnio do
AD DS 10-25
Laboratrio A: Instalao do servio DNS 10-38
Lio 3: AD DS, DNS e Windows 10-43
Lio 4: Configurao e administrao avanadas do DNS 10-69
Laboratrio B: Configurao avanada do DNS 10-83
Mdulo 11: Administrao dos controladores de domnio do AD DS (Servios
de domnio Active Directory)
Lio 1: Opes de instalao do controlador de domnio 11-4
Laboratrio A: Instalao dos controladores de domnio 11-32
Lio 2: Instalao de um controlador de domnio Server Core 11-40
Laboratrio B: Instalao de um controlador de domnio Server Core 11-49
Lio 3: Gerenciamento de mestres de operaes 11-54
Laboratrio C: Transferncia de funes de mestre de operaes 11-74
Lio 4: Configurao da replicao DFS-R de SYSVOL 11-79
Laboratrio D: Configurao da replicao DFS-R de SYSVOL 11-87
Mdulo 12: Gerenciamento da replicao do Active Directory e de sites
Lio 1: Configurao de sites e sub-redes 12-4
Laboratrio A: Configurao de sites e sub-redes 12-23
Lio 2: Configurao do Catlogo Global e de parties de aplicativos 12-27
Laboratrio B: Configurao do Catlogo Global e de parties de
aplicativos 12-42
Lio 3: Configurao da replicao 12-48
Laboratrio C: Configurao da replicao 12-75
xvi Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory

Mdulo 13: Continuidade do servio de diretrio
Lio 1: Monitoramento do Active Directory 13-4
Laboratrio A: Monitoramento de desempenho e eventos do
Active Directory 13-30
Lio 2: Gerenciamento do banco de dados do Active Directory 13-47
Laboratrio B: Gerenciamento do banco de dados do Active Directory 13-68
Lio 3: Backup e restaurao do AD DS e de controladores de domnio 13-76
Laboratrio C: Backup e restaurao do Active Directory 13-90
Mdulo 14: Gerenciamento de vrios domnios e florestas
Lio 1: Configurao dos nveis funcionais de domnio e de floresta 14-4
Laboratrio A: Elevao de nveis funcionais de domnio e de floresta 14-16
Lio 2: Gerenciamento de vrios domnios e relaes de confiana 14-23
Laboratrio B: Administrao de uma relao de confiana 14-71
Respostas do laboratrio
Laboratrio do mdulo 1: Instalao de um controlador de domnio
do AD DS para criar uma floresta de domnio nico L1-1
Laboratrio A do mdulo 2: Criao e e execuo de um console
administrativo personalizado L2-11
Laboratrio B do mdulo 2: Localizao de objetos no Active Directory L2-22
Laboratrio C do mdulo 2: Uso de comandos do DS para administrar
o Active Directory L2-30
Laboratrio A do mdulo 3: Criao e administrao de contas de
usurio L3-35
Laboratrio B do mdulo 3: Configurao de atributos de objeto de
usurio L3-42
Laboratrio C do mdulo 3: Automatizao da criao de conta de
usurio L3-52
Laboratrio A do mdulo 4: Administrao de grupos L4-57
Laboratrio B do mdulo 4: Prticas recomendadas para gerenciamento
de grupos L4-66
Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory xvii

Laboratrio A do mdulo 5: Criao de computadores e ingresso no
domnio L5-71
Laboratrio B do mdulo 5: Administrao de contas e objetos de
computador L5-84
Laboratrio A do mdulo 6: Implementao da Diretiva de Grupo L6-91
Laboratrio B do mdulo 6: Gerenciamento de configuraes e GPOs L6-96
Laboratrio C do mdulo 6: Gerenciamento do escopo da Diretiva
de Grupo L6-106
Laboratrio D do mdulo 6: Soluo de problemas de aplicao
de diretiva L6-115
Laboratrio A do mdulo 7: Delegao do suporte de computadores L7-125
Laboratrio B do mdulo 7: Gerenciamento de configuraes de
segurana L7-132
Laboratrio C do mdulo 7: Gerenciamento de software com GPSI L7-148
Laboratrio D do mdulo 7: Auditoria do acesso ao sistema de
arquivos L7-160
Laboratrio A do mdulo 8: Delegao de administrao L8-169
Laboratrio B do mdulo 8: Auditoria de alteraes do
Active Directory L8-182
Laboratrio A do mdulo 9: Configurao de diretivas de bloqueio
de conta e senha L9-189
Laboratrio B do mdulo 9: Auditoria de autenticao L9-198
Laboratrio C do mdulo 9: Configurao de controladores de
domnio somente leitura L9-205
Laboratrio A do mdulo 10: Instalao do servio DNS L10-217
Laboratrio B do mdulo 10: Configurao avanada do DNS L10-225
Laboratrio A do mdulo 11: Instalao dos controladores de
domnio L11-235
Laboratrio B do mdulo 11: Instalao de um controlador de
domnio Server Core L11-247
Laboratrio C do mdulo 11: Transferncia de funes de mestre
de operaes L11-251
xviii Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory

Laboratrio D do mdulo 11: Configurao da replicao DFS-R
de SYSVOL L11-257
Laboratrio A do mdulo 12: Configurao de sites e sub-redes L12-269
Laboratrio B do mdulo 12: Configurao do Catlogo Global e
de parties de aplicativos L12-277
Laboratrio C do mdulo 12: Configurao da replicao L12-283
Laboratrio A do mdulo 13: Monitoramento do desempenho e
dos eventos do Active Directory L13-293
Laboratrio B do mdulo 13: Gerenciamento do banco de dados
do Active Directory L13-319
Laboratrio C do mdulo 13: Backup e restaurao do
Active Directory L13-329
Laboratrio A do mdulo 14: Elevao de nveis funcionais de
domnio e de floresta L14-339
Laboratrio B do mdulo 14: Administrao de uma relao de
confiana L14-348

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configurao do DNS (Sistema de Nomes de Domnio) 10-1

Mdulo 10
Configurao do DNS (Sistema de Nomes de
Domnio)
Sumrio:
Lio 1: Reviso de conceitos, componentes e processos do DNS 10-4
Lio 2: Instalao e configurao de servidor DNS em um domnio
do AD DS 10-25
Laboratrio A: Instalao do servio DNS 10-38
Lio 3: AD DS, DNS e Windows 10-43
Lio 4: Configurao e administrao avanadas do DNS 10-69
Laboratrio B: Configurao avanada do DNS 10-83
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
10-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory

Viso geral do mdulo

Os servios Windows e Active Directory dependem em grande parte do DNS
(Sistema de Nomes de Domnio). Como usurio do DNS e profissional de TI que
d suporte a usurios, aplicativos, servios e sistemas que o utilizam, voc j deve
estar familiarizado com ele. Neste mdulo, voc aprender a implementar o DNS
para dar suporte resoluo de nomes dentro do domnio do AD DS (Servios de
Domnio Active Directory) e fora do seu domnio e da sua intranet.
Objetivos
Aps concluir este mdulo, voc ser capaz de:
Entender a funo da estrutura, a estrutura e a funcionalidade do DNS.
Descrever os processos de resoluo de nomes de servidor e de cliente.
Instalar o DNS.
Gerenciar registros DNS.
Definir configuraes do servidor DNS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Compreender a integrao entre o AD DS e o DNS.
Escolher um domnio DNS para um domnio do Active Directory.
Criar uma delegao de zona para um novo domnio do Active Directory.
Configurar a replicao para zonas integradas ao Active Directory.
Descrever a finalidade dos registros SRV no processo de localizao de
controlador de domnio.
Compreender os servidores DNS somente leitura.
Compreender e configurar a resoluo de nomes de rtulo nico.
Definir configuraes avanadas do servidor DNS.
Auditar, fazer a manuteno e solucionar problemas da funo de servidor
DNS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 1
Reviso de conceitos, componentes e processos
do DNS

O DNS um componente essencial de uma empresa com Windows. Nesta lio,
voc revisar a funo, a estrutura e a funcionalidade do DNS. Tambm explorar
em detalhes os processos usados para resolver consultas DNS. Embora voc deva
estar familiarizado com algumas ou muitas das informaes, a lio servir para
garantir que voc tem pleno conhecimento dos conceitos e da terminologia
relativos ao DNS.
Objetivos
Aps concluir esta lio, voc ser capaz de:
Entender a funo da estrutura, a estrutura e a funcionalidade do DNS.
Descrever os processos de resoluo de nomes de servidor e de cliente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Por que DNS?

Pontos principais
O DNS usado para resolver consultas de clientes referentes a informaes sobre
servios e sistemas remotos. O DNS usado com frequncia para resolver uma
consulta do cliente sobre o endereo de um determinado nome DNS.
A tendncia dos usurios e, portanto, dos aplicativos preferir usar nomes para
fazer referncia a sistemas. Entretanto, os computadores localizam uns aos outros
por meio de seus respectivos endereos IP. O DNS serve para resolver nomes
como endereos. Por exemplo, se um usurio estiver navegando para
http://technet.microsoft.com/pt-br/default.aspx, o nome technet.microsoft.com
dever ser resolvido como o endereo IP do servidor Web apropriado. O servidor
DNS ser consultado pelo cliente e, atravs de vrios processos que sero
explicados no decorrer desta lio, retornar o endereo IP do servidor Web:
207.46.16.252.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

A hierarquia do DNS

Pontos principais
Os nomes usados no DNS criam uma hierarquia, que vai desde uma raiz at um
registro individual de um servio ou sistema (host), passando por uma srie de
namespaces chamados domnios. Um nome como technet.microsoft.com lido pelos
humanos da esquerda para a direita, da parte mais especfica o nome de host
individual, technet at a parte mais genrica dele, com. O nome pode ser resolvido
comeando na raiz do namespace DNS, passando pelo domnio de primeiro nvel
mais genrico (com) e pelo domnio mais especfico (microsoft), at o nome de host
mais especfico (technet).
Os domnios de primeiro nvel como .com so altamente regulados pelas
autoridades da Internet, e apenas um nmero limitado deles est disponvel (por
exemplo, .com, .net, .org, .gov, .mil e .edu). Cada pas tem seu domnio de primeiro
nvel baseado na ISO, como .us, .ca, .uk, .au e .za.
Acima de cada um desses domnios est a raiz do namespace DNS, representada
por um ponto ("."). O ponto raiz geralmente omitido nos nomes DNS, mas
interessante observar que technet.microsoft.com seria representado de forma mais
precisa como technet.microsoft.com., com o ponto direita.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Zonas

Pontos principais
Para que um servidor DNS consiga resolver consultas de clientes (por exemplo,
retornar uma consulta do cliente sobre o endereo IP de outro computador), ele
precisa ter um banco de dados chamado zona. Uma zona um banco de dados que
d suporte resoluo de uma parte distinta do namespace DNS, comeando por
um domnio especfico, como contoso.com.
Um servidor que hospeda uma zona de um domnio autoritativo para esse
domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Registros de recurso (RRs)

Pontos principais
Dentro de uma zona (o banco de dados DNS) esto registros chamados RRs
(registros de recurso).
Existem vrios tipos de registros de recurso, como, por exemplo:
Registros de endereo (A ou AAAA), tambm conhecidos como "registros
de host". Resolvem um nome como um endereo IP e so usados na "consulta
DNS" padro associada ao DNS. Os registros A resolvem um nome como um
endereo IPv4, enquanto os registros AAAA resolvem um nome como um
endereo IPv6.
Registros de nome cannico (CNAME), tambm conhecidos como
"registros de alias". Mapeiam um alias para outro nome totalmente
qualificado. Os registros de alias permitem associar vrios nomes a um nico
servidor e impedem que voc precise atualizar manualmente cada registro
quando o endereo IP do servidor for alterado. Basta alterar o registro A do
servidor para que todos os registros CNAME (que fazem referncia ao servidor
por nome, e no por endereo) continuem a funcionar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Registros MX. Contm o nome do servidor de email de um domnio. Imagine
o MX como um tipo de alias, exceto pelo fato de que o alias sempre chamado
de "MX". Dessa forma, seja qual for o padro de nomeao ou de linguagem
usado por um domnio, seu servidor de email sempre poder ser localizado
com uma consulta sobre o domnio .MX.
Registros NS. Apontam para os servidores DNS autoritativos de um domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Gerenciamento de registros de recurso

Pontos principais
Os registros de recurso em uma zona podem ser criados e mantidos manualmente
por um administrador.
Como alternativa, podem ser habilitadas atualizaes dinmicas, por meio das quais
os sistemas conseguem registrar seus prprios registros DNS.
Se uma zona estiver aberta para atualizaes dinmicas, haver possibilidade de ser
criado um registro no autorizado. Por exemplo, algum poderia criar um registro
chamado www que apontasse para um servidor diferente do servidor Web correto
de um domnio. Isso se chama falsificao.
A fim de reduzir a possibilidade de falsificao, o DNS do Windows Server d
suporte a atualizaes dinmicas seguras. Dessa forma, os clientes devero ser
autenticados no domnio para fazer uma atualizao na zona DNS e s podero
atualizar seus prprios registros DNS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Replicao de zona

Pontos principais
O banco de dados DNS (a zona) um componente importante de uma
infraestrutura de rede. Assim como ocorre com qualquer outro servio crtico, as
organizaes devem tentar ter dois servidores DNS disponveis para os clientes, a
fim de fornecer redundncia.
O banco de dados DNS pode ser armazenado e replicado em mais de um servidor
DNS de uma destas duas maneiras:
Como qualquer implementao de DNS tradicional, os servidores DNS do
Windows podem armazenar uma zona em um arquivo. Apenas um servidor
DNS pode gravar na zona: aquele que hospeda a zona primria. Os outros
servidores DNS copiam a zona e criam uma cpia somente leitura chamada
zona secundria. O processo de cpia da zona chamado de transferncia de
zona. Um servidor DNS que hospede uma zona secundria requer permisses
no servidor do qual ele copia a zona.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Quando as zonas DNS esto hospedadas em controladores de domnio, voc
tem a opo de armazenar dados de zona no prprio Active Directory, criando
uma zona integrada ao Active Directory. Os dados de zona so replicados da
mesma maneira que outros dados do Active Directory: por meio da replicao
multimestre. Isso ser particularmente importante se as atualizaes dinmicas
estiverem habilitadas, pois os clientes registraro seus registros no respectivo
servidor DNS primrio, que estar nas instalaes deles. A zona tambm ser
replicada de forma incremental: somente registros que tenham sido alterados
sero replicados. Isso muito mais eficiente que a tradicional transferncia de
zona de arquivo inteiro.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Subdomnios

Pontos principais
Conforme mencionado anteriormente, uma zona d suporte resoluo de uma
parte especfica do namespace DNS, comeando por um domnio especfico como
contoso.com. Voc pode criar subdomnios dentro de uma parte do namespace
DNS para a qual tenha autoridade. Por exemplo, se voc gerencia o namespace
contoso.com, pode criar um subdomnio chamado europe.contoso.com.
H trs opes para criar um subdomnio como europe.contoso.com:
Subdomnio. Uma zona comea em um domnio e pode conter um ou mais
subdomnios. Se uma zona contiver um subdomnio, ela incluir todos os
registros necessrios para dar suporte resoluo do subdomnio e o servidor DNS
ser autoritativo para o subdomnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Delegao. um "link" para um subdomnio, criado por um ou mais registros
NS que apontam para um ou mais servidores autoritativos de nomes referentes
ao subdomnio. Um registro NS aponta para um nome ou um endereo IP do
servidor de nomes de um subdomnio. Se o registro NS apontar para um
nome, dever haver tambm um registro de host (A) para o servidor no
domnio pai. Os registros NS so gerados durante a criao da delegao, mas,
se for preciso alterar os nomes ou os endereos IP dos servidores de
namespaces, voc ter de atualizar os registros NS manualmente.
Zona de stub. muito semelhante a uma delegao, exceto pelo fato de que
os registros NS que apontam para o servidor de nomes so atualizados
automaticamente na zona pai. Alm de uma excelente maneira de gerenciar
subdomnios hospedados em servidores DNS separados, as zonas de stub so
ideais em vrios ambientes. Entretanto, a atualizao automtica de registros
NS exige que a porta TCP 53 esteja aberta entre os servidores de nomes (pai) do
host e todos os servidores de nomes no domnio filho. Se voc no puder mant-la
aberta para atender a esse requisito, use uma delegao padro.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Posicionamento de zonas e servidores DNS

Pontos principais
Em um ambiente que contenha mais de um domnio, voc pode optar por
posicionar zonas e servidores DNS de uma forma que otimize a resoluo de
nomes para clientes, o trfego de replicao e a sobrecarga administrativa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

esquerda da ilustrao, a zona pai tem uma delegao ou um domnio de stub
que aponta para os servidores de nomes do domnio filho. As consultas sobre
registros no domnio filho so resolvidas pelo servidor DNS que autoritativo para
o domnio filho. Os servidores de nomes podem estar localizados na Europa para
dar suporte a consultas feitas por clientes para servidores e servios na Europa.
direita da figura, os servidores DNS hospedam uma nica zona que inclui um
subdomnio do domnio filho. Essa estrutura aumenta o trfego de replicao entre
os dois servidores DNS, mas os clientes em qualquer um dos locais podero
resolver nomes a partir de qualquer um dos domnios do servidor DNS
autoritativo no local deles.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Cliente DNS (Resolvedor)

Pontos principais
Agora que voc aprendeu como o namespace DNS hospedado em zonas nos
servidores DNS e como oferecido suporte aos domnios filhos com o uso de
delegaes, subdomnios ou zonas de stub, est pronto para explorar em detalhes
de que forma um nome resolvido como um endereo IP.
Para se conectar a um host como technet.microsoft.com, um aplicativo cliente
(como o Microsoft Internet Explorer) faz uma chamada para a API
GetAddrInfo(), que passa o nome do host para o servio do cliente DNS.
O servio do cliente DNS primeiro verifica o cache do resolvedor DNS (um banco
de dados local mantido dinamicamente no cliente) para determinar se o nome foi
resolvido anteriormente. O cache do resolvedor DNS ser pr-carregado com o
contedo do arquivo HOSTS (%systemroot%\system32\drivers\etc\hosts)
quando o cache for iniciado durante a inicializao do cliente DNS e quando o
arquivo HOSTS for modificado. Quando um nome resolvido com xito, ele
adicionado ao cache do resolvedor DNS. Assim, com o tempo, a capacidade do
cliente DNS de resolver nomes localmente aumenta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Cada RR (registro de recurso) contm um valor TTL (vida til), que determina o
tempo de permanncia do registro no cache. Quando o TTL atingido, o registro
removido do cache.
Voc pode usar o comando ipconfig /displaydns para examinar o contedo do
cache do resolvedor DNS local, e o comando ipconfig /flushdns para liberar o
cache e recarreg-lo como contedo do arquivo HOSTS.
importante observar que, se um servidor DNS referente a um registro de host for
consultado por um cliente e retornar uma resposta negativa, o que indica que no
possvel localizar o registro, essa resposta negativa tambm ser armazenada em
cache. Caso voc crie um registro de host no servidor RNS e tente a consulta
novamente, o cliente falhar porque continuar recuperando a resposta negativa
do cache at que ela seja removida dele. Nesse caso, o comando ipconfig /flushdns
poder ser usado para forar o cliente a consultar de novo o servidor DNS.
Voc pode usar o comando nslookup.exe para consultar um servidor DNS
diretamente, ignorando o cache do resolvedor DNS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Consulta a servidor DNS

Pontos principais
Se o servio do cliente DNS no conseguir resolver a consulta usando o cache do
resolvedor DNS, ele consultar o servidor DNS primrio. A consulta especifica o
tipo de registro que est sendo solicitado (por exemplo, o endereo, o host ou o
registro "A") e o nome do registro requisitado (por exemplo,
technet.microsoft.com).
A consulta enviada ao servidor DNS tambm especifica se o cliente est solicitando
uma consulta iterativa ou recursiva. A recursiva o tipo mais comum de consulta
enviada de um cliente Windows para seu respectivo servidor DNS. Ela instrui o
servidor DNS a retornar uma resposta que seja definitiva. Quando o servidor DNS
recebe uma consulta recursiva, ele sai e consulta outros servidores DNS, usando
um processo que ser descrito na prxima seo, at que o servidor DNS seja
capaz de resolver a consulta do cliente. Caso o servidor DNS no consiga resolver a
consulta de cliente, ele retornar uma resposta negativa, indicando que o sistema de
nomes de domnio no tem um registro que corresponda consulta do cliente.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Se o servidor DNS primrio retornar uma resposta negativa, indicando que no
possvel resolver o nome, o cliente DNS no consultar o servidor DNS secundrio. S
sero consultados servidores DNS adicionais se o servidor DNS primrio no
estiver disponvel. Por esse motivo, importante garantir que cada servidor DNS
possa resolver todas as consultas de todos os clientes que direcionam consultas para esse
servidor.
Os clientes tm a opo de solicitar uma consulta iterativa. Usando processos que
sero descritos na prxima seo, o servidor DNS tentar resolver a consulta
localmente e retornar uma resoluo (se disponvel) ou as informaes mais teis
que puder fornecer.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Resoluo de servidor DNS

Pontos principais
O servidor DNS, ao receber uma consulta de cliente, primeiro verifica as zonas
hospedadas localmente. Se for possvel encontrar uma resoluo, ela ser retornada
ao cliente como uma resposta autoritativa.
Caso no seja encontrada nenhuma resposta, o servidor verificar as Pesquisas em
Cache. Assim como o cliente DNS, o servidor DNS cria um cache de registros de
recurso resolvidos. Esse cache ser inicializado quando o servidor for iniciado e
ser populado com os RRs que forem sendo resolvidos por outros servidores DNS.
Um registro ser removido quando o TTL for atingido.
Se for possvel encontrar uma resoluo no cache, ela ser retornada como uma
resposta positiva.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Caso nenhuma resoluo seja encontrada e o cliente tenha solicitado uma consulta
iterativa, o servidor DNS retornar sua melhor alternativa: as informaes mais
teis que puder fornecer. Por exemplo, o servidor DNS pode no ter um RR
armazenado em cache para o host solicitado pelo cliente, mas pode ter um para o
servidor de nomes do domnio pai do host. Na pior das hipteses, o servidor DNS
pode fazer referncia ao cliente em uma lista de servidores de nomes raiz
(servidores DNS que hospedam a raiz (".") do namespace DNS). O cliente utiliza as
informaes retornadas pelo servidor DNS em uma consulta iterativa para
continuar tentando resolver o nome.
Se o cliente tiver solicitado uma consulta recursiva, o servidor continuar com os
processos descritos na prxima seo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Recurso

Pontos principais
Se o cliente tiver solicitado uma consulta recursiva, o servidor continuar a
processar a consulta tentando resolv-la. De fato, o servidor DNS "usa um proxy"
na consulta e a executa em nome do cliente. Esse processo se chama recurso.
No exemplo mais extremo de recurso, o servidor DNS acabou de ser iniciado e
seu cache est vazio. Ele no tem nenhum registro NS armazenado em cache
referente a servidores de nomes microsoft.com ou at .com.
Nesse caso, o servidor DNS comea consultando os servidores DNS raiz. O
servidor DNS tem uma lista desses servidores raiz em suas dicas de raiz. Ele
envia ao servidor DNS raiz uma consulta iterativa sobre technet.microsoft.com.
Os servidores DNS raiz no podem resolver technet.microsoft.com, mas tm seus
registros NS de zona referentes a servidores de nomes no domnio .com. Eles
retornam essas informaes como referncia. Este um bom exemplo de consulta
iterativa: o servidor DNS raiz retorna sua melhor alternativa, e o cliente (nesse
caso, ele mesmo como servidor DNS) continua o processo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Em seguida, o servidor DNS envia outra consulta iterativa ao servidor de nomes
.com. Mais uma vez, o servidor no consegue resolver technet.microsoft.com, mas
pode fornecer registros NS relativos a microsoft.com como referncia.
Com essa referncia, o servidor DNS consulta o servidor de nomes sobre
microsoft.com. Esse servidor DNS autoritativo (hospeda uma zona) ou
microsoft.com e capaz de retornar uma correspondncia exata para o registro de
host referente a technet.microsoft.com.
O servidor DNS armazena essa resoluo em cache e a retorna para o cliente como
uma resposta positiva.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 2
Instalao e configurao de servidor DNS em
um domnio do AD DS

Agora que voc revisou os conceitos, a terminologia e os processos relativos ao
DNS e resoluo de nomes, est pronto para instalar e configurar a funo de
servidor DNS em um domnio do AD DS.
Objetivos
Instalar o DNS.
Adicionar zonas DNS.
Gerenciar registros DNS.
Definir configuraes do servidor DNS.
Definir configuraes do cliente DNS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Instalao e gerenciamento da funo de servidor DNS

Pontos principais
A funo de servidor DNS no vem instalada no Windows Server 2008 por padro.
Como em qualquer outra funcionalidade, ela adicionada com base em funo
quando um servidor configurado para executar a funo.
Voc pode instalar a funo de servidor DNS usando o link Adicionar Funo no
Gerenciador de Servidores.
A funo de servidor DNS tambm pode ser adicionada automaticamente pelo
Assistente de Instalao dos Servios de Domnio Active Directory (dcpromo.exe),
na pgina de opes do controlador de domnio.
Quando a funo de servidor DNS estiver instalada, o snap-in Gerenciador DNS
ficar disponvel para ser adicionado aos consoles administrativos. Esse snap-in
tambm adicionado automaticamente ao console do Gerenciador de Servidores e
do Gerenciador DNS (dnsmgmt.msc). Para administrar um servidor DNS remoto,
adicione as Ferramentas de Administrao de Servidor Remoto estao de
trabalho que execute o Windows Vista SP1 ou sistemas operacionais posteriores.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tambm ser adicionada uma ferramenta administrativa de linha de comando,
DNSCmd (dnscmd.exe), que pode ser usada para criar o script da configurao
DNS e automatiz-la. Digite dnscmd.exe /? no prompt de comando para obter
ajuda.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Criao de uma zona

Pontos principais
Depois de instalar um servidor DNS, voc pode comear a adicionar zonas a ele.
Para criar uma zona, clique com o boto direito do mouse no n Zonas de Pesquisa
Direta na rvore de console e escolha Nova Zona. O Assistente de Nova Zona
conduzir voc pelo processo de criao de uma zona.
Voc poder selecionar um destes trs tipos de zona:
Zona primria. O servidor DNS ser capaz de gravar na zona.
Zona secundria. O servidor DNS manter uma cpia de uma zona
hospedada em outro servidor DNS. A zona secundria somente leitura.
Zona de stub. O servidor DNS manter uma lista de servidores de nomes
referentes a outro domnio. As zonas de stub sero discutidas em detalhes
mais adiante neste mdulo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Voc tambm poder optar por armazenar os dados de zona no Active Directory
caso o servidor DNS seja um controlador de domnio. Isso cria uma zona integrada
ao Active Directory, que ser abordada posteriormente neste mdulo. Se voc
desmarcar essa opo, os dados de zona sero armazenados em um arquivo, e no
no Active Directory.
Depois de escolher o tipo de zona, voc precisar digitar o nome de zona, ou seja,
o nome de domnio totalmente qualificado da zona.
Se a zona for primria, voc poder escolher como as atualizaes sero
gerenciadas, conforme descrito na prxima seo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Criao de uma zona: atualizao dinmica

Pontos principais
Quando voc cria uma zona, tambm precisa especificar se haver suporte a
atualizaes dinmicas. Elas reduzem a sobrecarga de gerenciamento de uma zona,
pois permitem que os clientes adicionem, excluam e atualizem seus prprios
registros de recurso.
As atualizaes dinmicas deixam em aberto a possibilidade de um RR ser
falsificado. Por exemplo, um computador poderia registrar um registro chamado
www e, na verdade, redirecionar o trfego do seu servidor Web para o endereo
incorreto.
A fim de eliminar a possibilidade de falsificao, o servio do servidor DNS do
Windows Server 2008 d suporte a atualizaes dinmicas seguras. Como um
cliente deve ser autenticado antes de atualizar seus RRs, o servidor DNS sabe se o
cliente o mesmo computador que tem a permisso para modificar o registro de
recurso.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Criao de registros de recurso

Pontos principais
Na maioria dos ambientes, mesmo aqueles com as atualizaes dinmicas
habilitadas, haver necessidade de adicionar registros de recurso a uma zona.
Para criar um registro de recurso, clique com o boto direito do mouse na zona e
escolha o tipo de registro a ser criado. Uma caixa de dilogo ser exibida com os
controles de entrada apropriados para o tipo de registro que est sendo
adicionado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Configurao de servidores DNS redundantes

Pontos principais
Uma empresa deve se empenhar para garantir que uma zona possa ser resolvida de
forma autoritativa por pelo menos dois servidores DNS.
Se a zona for integrada ao Active Directory, basta adicionar a funo de servidor DNS
a outro controlador de domnio no mesmo domnio que o primeiro servidor DNS. As
zonas integradas ao Active Directory e a replicao da zona DNS pelo AD DS
esto descritas na prxima lio.
Se a zona no for integrada ao Active Directory, ser preciso adicionar outro
servidor DNS e configur-lo para hospedar uma zona secundria. Lembre-se de
que uma zona secundria uma cpia somente leitura da zona primria.
A primeira etapa nesse processo configurar a prpria zona para fazer referncia
aos servidores secundrios como servidores de nomes da zona. Adicione zona pai
os registros NS referentes aos servidores secundrios.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Um servidor secundrio copiar a zona de outro servidor DNS, chamado servidor
mestre. O servidor mestre no precisa ser o servidor primrio, mas h vantagens
bvias de usar a zona primria como mestre. Por exemplo, para reduzir a latncia
com a qual as atualizaes de registro so replicadas em servidores secundrios.
O servidor mestre deve permitir que os servidores secundrios se conectem a uma
transferncia de zona e a iniciem. Isso configurado na guia Transferncias de
Zona das propriedades da zona no servidor mestre, conforme mostrado abaixo:

Em seguida, voc pode adicionar a zona secundria s zonas de pesquisa direta do
servidor secundrio. O servidor secundrio ser configurado para replicar a zona a
partir do servidor mestre.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Configurao de encaminhadores

Pontos principais
Na Lio 1, voc aprendeu que um servidor DNS tentar resolver uma consulta do
cliente usando suas zonas locais e o cache. Se ele no conseguir fazer isso e a
consulta for enviada como recursiva, o servidor DNS executar a consulta em
nome do cliente.
O primeiro mtodo usado para configurar um servidor DNS para executar com
eficincia uma consulta recursiva adicionar encaminhadores ao servidor DNS. Os
encaminhadores so ponteiros para outros servidores DNS. Normalmente, esses
servidores so hospedados pelo seu ISP (provedor de servios de Internet) ou so
servidores DNS upstream na infraestrutura DNS da sua empresa. Por exemplo, seu
domnio do Active Directory poder usar o servio do servidor DNS do Windows
para resolver nomes dentro do domnio e depois encaminhar consultas aos
servidores DNS corporativos, que hospedam zonas de outros domnios da
empresa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Os encaminhadores so semelhantes aos servidores DNS que voc configura nas
propriedades de IP de uma conexo de rede. Essa lista de servidores DNS usada
pelo servio do cliente DNS e no compartilhada com o servio do servidor DNS.
Os encaminhadores tm a mesma finalidade no servio do servidor DNS.
Se os encaminhadores no estiverem configurados, o servidor tentar consultar um
servidor de nomes da raiz do namespace DNS ("."). Esses servidores raiz so
mantidos como dicas de raiz. Embora os servidores de nomes DNS raiz no sejam
alterados com frequncia, eles podem sofrer alteraes de vez em quando. O
Windows Update incluir atualizaes nas dicas de raiz.
H vrios mecanismos com os quais uma consulta recursiva pode ficar mais
eficiente, como, por exemplo, encaminhadores condicionais e zonas de stub. Essas
opes sero abordadas na Lio 4.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Configurao do cliente

Pontos principais
Um servidor DNS s serve se os clientes estiverem configurados para consult-lo.
Como o cliente DNS diferente de todos os componentes relativos ao Active
Directory do sistema operacional Windows, um cliente no pressupe que seu
controlador de domnio seja um servidor DNS; ele deve ter pelo menos dois
servidores DNS configurados.
A configurao pode ser fixa na configurao de IP do cliente, como mostrado nesta
captura de tela:
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O comando netsh.exe tambm pode ser usado para configurar tanto os primeiros
servidores DNS como os adicionais de uma conexo de rede, conforme mostra o
exemplo abaixo:
netsh interface ipv4 set dns "Local Area Connection"
static 10.0.0.11 primary
netsh interface ipv4 add dns "Local Area Connection" 10.0.0.12
Como alternativa, os servidores DNS podem ser passados para os clientes por
protocolo DHCP, usando DHCP scope option 6: DNS server.
Lembre-se de que os servidores DNS secundrios e adicionais no sero
consultados caso o servidor DNS primrio retorne uma resposta negativa. S sero
consultados servidores DNS adicionais se o servidor DNS primrio no responder
e estiver offline.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio A: Instalao do servio DNS

Cenrio
Voc administrador da Contoso, Ltd. Recentemente, adicionou um segundo
controlador de domnio empresa e deseja adicionar redundncia ao servidor
DNS que hospeda a zona do domnio. Atualmente, o nico servidor DNS da zona
contoso.com HQDC01. Voc precisa garantir que os clientes que sejam
resolvidos no novo servidor DNS, HQDC02, consigam acessar sites na Internet.
Alm disso, foi solicitado que voc configure um subdomnio para dar suporte
resoluo de nomes necessria para o teste de um aplicativo pela equipe de
desenvolvimento.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Adicionar a funo de servidor DNS
Neste exerccio, voc adicionar a funo de servidor DNS ao HQDC02, examinar
a zona de domnio que automaticamente populada no servidor DNS e depois
configurar o HQDC02 para usar a si prprio como servidor DNS primrio.
As principais tarefas desse exerccio so:
1. Preparar-se para o laboratrio.
2. Adicionar a funo de servidor DNS.
3. Alterar a configurao do servidor DNS do cliente DNS.
4. Examinar a zona de pesquisa direta do domnio.
5. Configurar encaminhadores para a resoluo de nomes na Internet.

Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-B.
2. Espere at que a inicializao seja concluda.
4. Faa logon em HQDC02 como Pat.Coleman com a senha Pa$$w0rd.

Tarefa 2: Adicionar a funo de servidor DNS
1. Em HQDC02, execute o Gerenciador de Servidores como administrador, com
o nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Adicione a funo de servidor DNS a HQDC02.
3. Feche o Gerenciador de Servidores.
4. Reinicie HQDC02. Em seguida, faa logon como Pat.Coleman com a senha
Pa$$w0rd.
Isso no necessrio em um ambiente de produo, mas acelera o processo de
reincio dos servios e de replicao dos registros DNS no HQDC02 para os
objetivos deste exerccio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Alterar a configurao do servidor DNS do cliente DNS
1. Execute o prompt de comando como administrador, com o nome de usurio
Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Digite netsh interface ipv4 set dnsserver "Local Area Connection" static
10.0.0.12 primary e pressione ENTER.
3. Digite netsh interface ipv4 add dnsserver "Local Area Connection"
10.0.0.11 e pressione ENTER.

Tarefa 4: Examinar a zona de pesquisa direta do domnio
1. Execute o Gerenciador DNS como administrador, com o nome de usurio
2. Examine os registros SOA, NS e A na zona de pesquisa direta contoso.com.

Tarefa 5: Configurar encaminhadores para a resoluo de nomes na
Internet
Configure dois encaminhadores para HQDC02: 192.168.200.12 e
192.168.200.13. Como esses servidores DNS no existem realmente, o FQDN
do Servidor exibir <Tentando resolver> ou <No foi possvel resolver>. Em
um ambiente de produo, voc configuraria encaminhadores para servidores
DNS upstream na Internet, normalmente os fornecidos pelo seu ISP (provedor
de servios de Internet).

Resultados: aps esse exerccio, voc ter adicionado a funo de servidor DNS ao
HQDC02 e simulado a configurao de encaminhadores para resolver nomes DNS na
Internet.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Configurar zonas de pesquisa direta e registros
de recurso
Neste exerccio, voc adicionar uma zona de pesquisa direta referente ao domnio
de desenvolvimento na Contoso. Em seguida, adicionar um registro CNAME e de
host zona e confirmar se a resoluo de nomes da nova zona est funcionando.
1. Criar uma zona de pesquisa direta.
2. Criar registros CNAME e de host.
3. Testar a resoluo de nomes.

Tarefa 1: Criar uma zona de pesquisa direta
Crie uma nova zona de pesquisa direta chamada development.contoso.com.
A zona deve ser primria, armazenada no Active Directory e replicada em
todos os controladores de domnio no domnio contoso.com. Configure-a
zona de forma a no permitir atualizaes automticas.

Observao: em um ambiente de produo, muito provvel que voc simplesmente
replicasse em todos os servidores DNS. Entretanto, neste laboratrio, replicaremos em
todos os controladores de domnio para assegurar uma replicao rpida e garantida.
Tarefa 2: Criar registros CNAME e de host
1. Na zona development.contoso.com, crie um registro de host (A) para
APPDEV01 com o endereo IP 10.0.0.24.
2. Crie um registro CNAME www.development.contoso.com que seja resolvido
como appdev01.development.contoso.com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Testar a resoluo de nomes
No prompt de comando, digite nslookup www.development.contoso.com e
pressione ENTER.
Examine a sada do comando. O que ela informa?

Resultados: aps esse exerccio, voc ter criado uma nova zona de pesquisa direta
(development.contoso.com) com registros CNAME e de host e verificado se os nomes
na zona podem ser resolvidos.

Observao: no desligue as mquinas virtuais ao concluir este laboratrio, pois as
configuraes definidas aqui sero usadas no prximo laboratrio.
Perguntas de reviso do laboratrio
Pergunta: se voc no tivesse configurado encaminhadores no HQDC02, qual
seria o resultado para clientes que usam o HQDC02 como servidor DNS primrio?
Pergunta: o que aconteceria com a capacidade dos clientes de resolver nomes no
domnio development.contoso.com se voc tivesse escolhido uma zona DNS
autnoma em vez de uma zona integrada ao Active Directory? Por que isso
aconteceria? O que voc faria para solucionar esse problema?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 3
AD DS, DNS e Windows

Voc aprendeu a configurar o DNS em um ambiente simples, usando muitas das
configuraes padro que do suporte a domnios do Active Directory prontos
para uso. Nesta lio, voc aprender mais sobre os componentes e os processos
que do suporte ao AD DS (Servios de Domnio Active Directory) e a interrelao
entre o AD DS e o DNS.
Objetivos
Compreender a integrao entre o AD DS e o DNS.
Escolher um domnio DNS para um domnio do Active Directory.
Criar uma delegao de zona para um novo domnio do Active Directory.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Configurar a replicao para zonas integradas ao Active Directory.
Descrever a finalidade dos registros SRV no processo de localizao de
Compreender os servidores DNS somente leitura.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

AD DS, DNS e Windows

Pontos principais
Os Servios de Domnio Active Directory, o DNS e o sistema operacional Windows
so integrados e interdependentes de muitas maneiras. Nesta lio, voc explorar
mais detalhadamente cada um deles.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Integrao do AD DS e do namespace DNS

Pontos principais
O Active Directory requer o DNS, e um domnio do AD DS deve ter um nome de
domnio DNS. Como o DNS tambm usado como um namespace globalmente
disponvel baseado em padres, voc deve dedicar ateno especial ao local no
namespace onde voc definir seu domnio do AD DS.
Suponha que voc administrador da Contoso, Ltd., que mantm o nome de
domnio registrado contoso.com e tem o site www.contoso.com. Se voc estivesse
planejando o namespace do seu domnio do AD DS, poderia escolher uma destas
opes:
O mesmo nome de domnio que o seu nome de domnio DNS externo:
contoso.com. Se voc usa o mesmo namespace, deve implementar o DNS de
redes separadas ("split-brain"), descrito na prxima seo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Um subdomnio do seu nome de domnio externo: ad.contoso.com. Se voc
usa um subdomnio de um nome de domnio registrado, no deve ter
problemas porque o proprietrio dessa parte do namespace DNS. Entretanto,
deve ter cuidado ao se aprofundar no namespace DNS. Tanto usurios como
administradores digitaro nomes de domnio totalmente qualificados com
muito mais frequncia do que voc imagina, e um sufixo de domnio muito
longo tornar a insero de cada FQDN mais penosa. Alm disso, URLS e
UNCs tm limites de tamanho, que so mais fceis de alcanar com sufixos
DNS muito longos.
Um nome de domnio separado: contoso.net. Se voc usa um nome de
domnio separado para o seu domnio do Active Directory, convm registr-lo
para que no seja usurpado por outra organizao. Voc deve garantir a
manuteno da propriedade dessa parte do namespace DNS.

No mundo atual cada vez mais conectado, as linhas entre rede, intranet, extranet e
a Internet esto ficando indistintas, quase invisveis. Est se tornando cada vez
menos possvel manter a separao entre namespaces e cada vez vale menos a
pena. Por esse motivo, muitas organizaes esto optando por usar o nome de
domnio mais familiar, o nome de domnio que mais claramente associado
empresa, o nome de domnio que mais fcil de digitar: o pblico. Conforme
mencionado rapidamente acima e abordado no prximo tpico, existem etapas
que possibilitam o suporte a essa configurao, mas o custo delas normalmente
muito menor que os benefcios. Com qualquer uma dessas opes de namespace,
preciso gerenciar a resoluo de nomes, a proteo do permetro e a segurana, por
isso h nveis equivalentes de esforo administrativo para dar suporte a elas.
Consequentemente, faz sentido usar um nome DNS que fique fcil para os
usurios do seu namespace.
Nos primrdios do Active Directory, era comum sugerir ou at recomendar o uso
de um domnio de primeiro nvel personalizado, como .msft ou at .local. Por
causa das alteraes no mundo ligado em rede (como IPv6 e maior
interconectividade), essas opes devem ser exploradas somente aps uma
avaliao muito cuidadosa da capacidade de atenderem aos seus requisitos
comerciais, dos benefcios que elas podem trazer e do custo em termos de
administrao e suporte ao usurio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

DNS de redes separadas ("split-brain")

Pontos principais
Sempre que voc usa um nome de domnio para um domnio do AD DS que
tambm utilizado para conexes rede a partir do mundo exterior, precisa
garantir que haja uma separao de zonas DNS capaz de fornecer informaes
diferentes para clientes internos e pblicos. Isso se chama DNS de redes separadas.
A zona DNS interna deve dar suporte ao domnio do AD DS com total fidelidade,
mantendo todos os registros de recurso para servidores, clientes e servios no
domnio. O ideal que ela permita atualizaes dinmicas seguras e armazene seus
dados de zona no prprio Active Directory.
A zona DNS acessvel externamente deve fornecer aos clientes externos somente os
registros de recurso necessrios (por exemplo, www e ftp). Normalmente, essa
zona ser muito menor que aquela que d suporte ao domnio internamente. Em
geral, a zona externa ser atualizada de forma manual, e no dinamicamente. O
servidor DNS que hospeda a zona externa ser sempre colocado atrs do firewall
externo, tendo apenas a porta 53 aberta para ele.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Talvez haja necessidade de registros duplicados nas duas zonas. Se os usurios
internos precisarem ter acesso ao site pblico (como www.contoso.com), esse
registro de recurso dever existir na zona interna consultada pelos clientes.
Lembre-se de que, como o servidor DNS interno considerado autoritativo para a
zona (j que o servidor externo), ele retornar uma resoluo para a consulta ou
uma resposta negativa, indicando que o registro simplesmente no existe. No ser
feita nenhuma "segunda consulta" ou consulta na zona externa.
Consequentemente, voc criar registros que so necessrios tanto interna como
externamente (www, por exemplo) em ambas as zonas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Criao de uma delegao para um domnio do Active
Directory

Pontos principais
No Mdulo 1, voc criou uma floresta e um domnio do AD DS do Windows
Server 2008 novos. Quando promoveu o controlador de domnio, voc recebeu
uma mensagem indicando que no havia nenhuma delegao para o domnio
contoso.com . Voc ignorou a mensagem e o domnio foi estabelecido, com o DNS
no controlador de domnio. Os clientes configurados com o endereo IP do
controlador de domnio como servidor DNS consultaro o controlador de domnio
e podero resolver nomes no domnio contoso.com. Entretanto, nenhum cliente
externo ser capaz de resolver nomes de contoso.com porque no h nenhuma
delegao (ou seja, nenhum registro NS) no domnio .com que aponte para o
servidor DNS autoritativo.
Isso no problema para o curso, j que o seu domnio uma "ilha" (ou seja, est
separado do restante da Internet) e no h necessidade de uma delegao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Entretanto, dentro de uma floresta, importante que haja delegaes de um
domnio pai para um domnio filho caso a zona do domnio filho esteja hospedada em
servidores DNS separados. Se o domnio filho for um subdomnio da zona existente,
no ser necessrio ter nenhuma delegao.
Por exemplo, se voc quiser adicionar um domnio (europe.contoso.com) rvore
de domnio, os clientes em contoso.com devero ser capazes de resolver
servidores, servios e outros registros no domnio europe.contoso.com para dar
suporte replicao e autenticao na floresta.
Antes de adicionar um domnio filho a uma rvore ou uma nova rvore a uma
floresta, voc deve criar uma delegao no domnio pai ou no domnio raiz da
floresta.
Para criar uma delegao, clique com o boto direito do mouse na zona referente
ao domnio pai e escolha Nova Delegao. Ser solicitado que voc insira os
servidores de nomes do novo domnio. Faa referncia ao servidor que ou ser o
servidor DNS do domnio filho.
Para criar uma delegao para uma nova rvore de domnio ou para o prprio
domnio raiz da floresta, primeiro crie uma nova zona na zona DNS raiz existente.
Na nova zona, adicione um registro de endereo que use o nome DNS completo do
servidor DNS do novo domnio. Em seguida, adicione um registro NS para o novo
domnio que faa referncia ao nome DNS completo do controlador de domnio.
Depois de criar a delegao, voc est pronto para configurar o servidor que ser o
primeiro controlador de domnio do domnio filho. Antes de mais nada, configure
o servidor DNS dele para apontar para o servidor DNS no qual voc criou a
delegao.
Instale a funo DNS usando o Gerenciador de Servidores e depois crie a zona
primria do domnio filho. Como alternativa, use o Assistente de Instalao dos
Servios de Domnio Active Directory (dcpromo.exe), que poder instalar o DNS
como parte da instalao do AD DS.
Depois de criar o domnio filho, reconfigure o servidor DNS filho para fazer
referncia a si mesmo como servidor DNS primrio. Normalmente, voc adicionar
o servidor DNS pai ao servidor DNS filho como encaminhador, encaminhador
condicional ou zona de stub. Voc deve garantir que, de uma forma ou de outra, os
sistemas no domnio filho possam resolver nomes no domnio pai. Na maioria dos
cenrios, recomendvel usar uma zona integrada ao Active Directory que d
suporte a atualizaes dinmicas seguras para o domnio filho.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Zonas integradas ao Active Directory

Pontos principais
Na Lio 1, voc aprendeu que o servidor DNS do Windows capaz de armazenar
dados de zona no banco de dados do AD DS quando o servidor DNS um
controlador de domnio do AD DS. Isso cria uma zona integrada ao Active Directory.
Os benefcios das zonas integradas ao Active Directory so significativos:
Atualizaes multimestre. Ao contrrio das zonas primrias padro, que
podem ser modificadas por um nico servidor primrio, as zonas integradas
ao Active Directory podem ser gravadas em qualquer controlador de domnio
no qual a zona seja replicada. Isso remove um ponto de falha nico na
infraestrutura DNS. particularmente importante em ambientes distribudos
geograficamente que usem zonas de atualizao dinmica, pois permite que os
clientes atualizem seus registros DNS sem precisarem se conectar a um
servidor primrio potencialmente distante.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Replicao de dados de zona DNS usando a replicao do AD DS. No
Mdulo 12, voc aprender sobre os mecanismos de replicao e gerao de
topologia eficiente da replicao do AD DS. Uma das caractersticas dela a
replicao no nvel de atributo, na qual apenas atributos alterados so
replicados. Uma zona integrada ao Active Directory pode aproveitar esses
benefcios da replicao do Active Directory em vez de replicar todo o arquivo
de zona, como ocorre nos modelos de transferncia de zona DNS tradicionais.
Atualizaes dinmicas seguras. Uma zona integrada ao Active Directory
pode impor atualizaes dinmicas seguras.
Segurana granular. Assim como ocorre com outros objetos do Active
Directory, uma zona integrada ao Active Directory permite que voc delegue a
administrao de zonas, domnios e registros de recurso modificando a ACL
(lista de controle de acesso) no objeto.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Parties de aplicativos para zonas DNS

Pontos principais
Uma zona integrada ao Active Directory armazena seus registros no banco de
dados do AD DS. Os registros podem ser armazenados em uma destas opes:
A partio DomainDNSZone. replicada em todos os controladores de
domnio que so servidores DNS dentro do domnio.
A partio ForestDNSZones. replicada em todos os controladores de
domnio que so servidores DNS na floresta.
Essas parties padro so criadas quando o DNS instalado e configurado
durante a instalao do AD DS. Voc pode usar a ferramenta de gerenciamento
do DNS ou o comando dnscmd.exe para criar as parties depois que o AD DS
estiver instalado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O Domain. O Domain, que tambm contm registros referentes a objetos,
como usurios e computadores, replicado em todos os controladores de
domnio, sejam eles servidores DNS ou no. No Windows 2000, as zonas DNS
eram armazenadas no controlador de domnio Domain. Se voc tiver
controladores de domnio com Windows 2000 que sejam servidores DNS, use
esta opo de replicao para dar suporte a esses sistemas.
A escolha da partio basicamente uma questo de selecionar a topologia de
replicao desejada para as zonas DNS. Obviamente, a zona deve ser replicada
em um servidor DNS a fim de que ele seja autoritativo para a zona. Se o
servidor DNS no tiver uma rplica da zona, dever ter um encaminhador ou
uma zona de stub para executar consultas recursivas sobre nomes na zona.
Uma partio de aplicativos personalizada. Se as parties de aplicativos
padro no fornecerem o modelo de replicao de que voc precisa para dar
suporte sua infraestrutura DNS, crie uma partio de aplicativos
personalizada, para a qual voc possa especificar quais servidores replicaro a
partio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Parties de aplicativos DNS

Pontos principais
possvel criar uma partio de aplicativos usando o comando dnscmd.exe, como
neste exemplo:
dnscmd hqdc01.contoso.com /createdirectorypartition MyZone.contoso.com
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O escopo de replicao de uma zona pode ser alterado a partir das propriedades
dela. Clique no boto Alterar ao lado de Replicao, como mostra a figura abaixo:

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Atualizaes dinmicas

Pontos principais
Por padro, os sistemas do Windows tentam registrar os registros no respectivo
servidor DNS. Esse comportamento pode ser modificado na configurao de IP do
cliente ou por meio da Diretiva de Grupo.
o servio do cliente DHCP que executa o registro, quer seja o endereo IP do
cliente fixo ou obtido de um servido DHCP. O registro ocorre:
Quando o cliente inicializado e o servio do cliente DHCP iniciado.
Quando um endereo IP configurado, adicionado ou alterado em qualquer
conexo de rede.
Quando um administrador executa ipconfig /registerdns.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O cliente tenta identificar o servidor DNS que o servidor DNS primrio da zona.
Se a zona no for integrada ao Active Directory, podem ser necessrias vrias
iteraes em que o cliente identifique um servidor de nomes, envie uma
atualizao e seja recusado pelo fato de o servidor de nomes hospedar somente
uma zona secundria. Se a zona der suporte a atualizaes dinmicas, o cliente
acabar alcanando o servidor DNS capaz de gravar na zona. Esse o servidor
primrio para uma zona padro baseada em arquivo ou para qualquer controlador
de domnio que seja um servidor de nomes de uma zona integrada ao Active
Directory.
Caso a zona esteja configurada para atualizaes dinmicas seguras, o servidor DNS
recusar a alterao. O cliente ser autenticado e reenviar a atualizao.
Em algumas configuraes, pode no ser conveniente que os clientes atualizem
seus registros mesmo em uma zona de atualizao dinmica. Como alternativa,
voc pode configurar o servidor DHCP para registrar os registros em nome do
cliente. Por padro, um cliente registra seu registro A (host/endereo), e o servidor
DHCP registra seu registro PTR (ponteiro/pesquisa inversa). Os registros PTR
sero abordados na Lio 4.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Carregamento de zona em segundo plano

Pontos principais
Uma zona que d suporte a um domnio do AD DS pode ser muito grande,
principalmente se os registros A dos clientes forem mantidos em um domnio
grande. Nas verses anteriores do Windows, a inicializao do servio do servidor
DNS demorava quando era preciso carregar uma zona grande.
O Windows Server 2008 carrega zonas em segundo plano, o que permite que o
servidor DNS seja iniciado respondendo s consultas com rapidez. Se uma
consulta for enviada a uma zona que ainda no esteja carregada, o servidor agir
para carregar essa zona.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Registros SRV

Pontos principais
Um registro de recurso SRV resolve uma consulta sobre um servio de rede,
permitindo que um cliente localize um host que fornea um servio especfico.
Os registros SRV so usados nestes e em muitos outros cenrios:
Quando um controlador de domnio precisa replicar alteraes de seus
parceiros
Quando um computador cliente precisa ser autenticado no AD DS
Quando um usurio altera a prpria senha
Quando um servidor Microsoft Exchange executa uma pesquisa de diretrio
Quando um administrador abre Usurios e Computadores do Active Directory

Um registro SRV segue a sintaxe mostrada abaixo:
protocol.service.name TTL class type priority weight port target
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Veja a seguir um exemplo de registro SRV:
_ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com
Os componentes do registro so:
O nome do servio de protocolo (por exemplo, o servio LDAP oferecido por
um controlador de domnio)
O valor de vida til, em segundos
A classe (todos os registros em um servidor DNS do Windows sero IN ou
INternet)
O tipo: SRV
A prioridade e o peso, o que ajuda os clientes a determinarem qual host deve
ser preferido
A porta na qual o servio oferecido pelo servidor (a porta 389 o padro
para LDAP em um controlador de domnio do Windows)
O destino (ou o host do servio), que, nesse caso, o controlador de domnio
chamado hqdc01.contoso.com

Quando um processo do cliente est procurando um controlador de domnio,
pode consultar o DNS sobre um servio LDAP. A consulta retornar tanto o
registro SRV como o registro A referentes ao(s) servidor(es) que fornece(m) o
servio solicitado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Demonstrao: Registros de recurso SRV registrados por
controladores de domnio do AD DS

Pontos principais
Nesta demonstrao, o instrutor mostrar os registros SRV registrados por um
controlador de domnio na floresta contoso.com. Voc:
Usar o Gerenciador DNS para ver os registros SRV registrados em:
_tcp.contoso.com, que lista todos os controladores de domnio no
domnio
_tcp.siteName._sites.contoso.com, que lista controladores de domnio que
esto cobrindo um site especfico
_msdcs.contoso.com, que monitora os controladores de domnio em uma
floresta e usado por eles para se localizarem
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Simular uma consulta de cliente sobre um controlador de domnio.
nslookup
set type=srv
_ldap._tcp.contoso.com
Aprender como os controladores de domnio registram seus registros de
recurso em uma zona de atualizao dinmica. Excluir um registro SRV e
depois interromper e reiniciar o servio NetLogon. O servio NetLogon
registra registros de controlador de domnio na inicializao.
Exibir o arquivo %systemroot%\system32\config\netlogon.dns, que contm
os registros a serem registrados manualmente caso a zona no d suporte a
atualizaes dinmicas.

Etapas da demonstrao
1. Execute o Gerenciamento de DNS com credenciais administrativas usando a
conta Pat.Coleman_Admin com a senha Pa$$w0rd. Em seguida, na rvore de
console, expanda HQDC01, Zonas de Pesquisa Direta e contoso.com e
clique no n _tcp. Examine os registros SRV.
2. Na rvore de console, expanda HQDC01, Zonas de Pesquisa Direta,
contoso.com, _sites, BRANCHA e clique no n _tcp. Examine os registros
SRV.
3. Execute o Prompt de Comando com as credenciais administrativas usadas
anteriormente.
4. Digite nslookup e pressione ENTER.
5. Digite set type=srv, e pressione ENTER.
6. Digite _ldap._tcp.contoso.com, e pressione ENTER.
7. Alterne para o Gerenciador DNS.
8. Expanda HQDC01, Zonas de Pesquisa Direta e contoso.com e clique no n
_tcp.
9. Clique com o boto direito do mouse no registro SRV referente a
hqdc01.contoso.com e depois clique em Excluir.
10. Alterne para o Prompt de Comando.
11. Digite net stop netlogon e pressione ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

12. Digite net start netlogon e pressione ENTER.
14. Na rvore de console, clique com o boto direito do mouse no n _tcp e
depois clique em Atualizar. Examine o registro SRV referente a
hqdc01.contoso.com.
15. Abra notepad.exe.
16. Clique em Arquivo e depois em Abrir. Digite %systemroot%\system32
\config\netlogon.dns na caixa Nome do Arquivo e pressione ENTER.
17. Examine os registros SRV padro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Localizao de controlador de domnio

Pontos principais
Quando um cliente faz a autenticao, ele tenta localizar um controlador de
domnio no site. Caso o cliente no tenha sido autenticado antes, ele consultar
_ldap._tcp.domainName e recuperar uma lista de todos os controladores de
domnio no domnio. O cliente tenta uma associao LDAP com cada um deles e o
primeiro a responder selecionado para a prxima etapa. Observe que, nesse
ponto, possvel que um controlador de domnio em outro site responda primeiro.
O cliente ento tenta fazer a autenticao com o controlador de domnio. O
controlador de domnio examina o endereo IP do cliente e o compara com as
informaes sobre sites e sub-redes. Caso o controlador de domnio no esteja no
site do cliente, ele informar ao cliente em qual site ele est.
Em seguida, o cliente consulta o DNS para _ldap._tcp.siteName. domainName, que
retorna uma lista de controladores de domnio que esto cobrindo esse site. Mais
uma vez, o cliente tenta uma associao LDAP com cada um deles e o primeiro a
responder selecionado. O cliente ento continua fazendo a autenticao nesse
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O cliente armazena sua associao do site no registro e forma uma afinidade com o
controlador de domnio com o qual foi autenticado. Na prxima vez que o cliente
precisar contatar um controlador de domnio, ele comear pelo controlador de
domnio de afinidade. Caso no haja nenhum disponvel, o cliente recuperar suas
informaes de site do registro e consultar _ldap._tcp.siteName.domainName.
O processo est resumido no slide abaixo:

A localizao de controlador de domnio ser revista no Mdulo 12, no qual voc
aprender como os registros SRV e o processo de localizao de controlador de
domnio servem para localizar a autenticao em um controlador de domnio
eficiente.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Zonas DNS somente leitura

Pontos principais
Um servidor DNS em um RODC (controlador de domnio somente leitura) pode
ser autoritativo para zonas replicadas no RODC e pode resolver consultas sobre
clientes que o utilizam como servidor DNS.
Obviamente, uma caracterstica principal dos RODCs que eles no podem fazer
alteraes no Active Directory. Por esse motivo, os registros de recurso no podem
ser adicionados manualmente zona em um RODC e no so aceitas atualizaes
dinmicas de clientes.
As atualizaes dinmicas so atendidas por meio da referncia a clientes em um
controlador de domnio gravvel quando elas tentam enviar uma atualizao a um
RODC. recomendvel que o RODC inclua o registro de recurso atualizado do
cliente na zona o mais rpido possvel. Dessa forma, ele mantm o controle do
cliente que tentou a atualizao e do controlador de domnio gravvel ao qual foi
feita a referncia do cliente. Aps uma breve espera, o RODC executa uma
operao RSO (replicar objeto nico), na qual ele recupera o registro DNS
atualizado referente ao cliente do controlador de domnio gravvel, ignorando os
mecanismos de replicao padro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 4
Configurao e administrao avanadas do
DNS

Voc aprendeu como configurar uma implementao de DNS simples e de que
forma o DNS d suporte ao AD DS. Neste mdulo, voc explorar tpicos
selecionados de configurao e administrao avanadas do DNS.
Objetivos
Compreender e configurar a resoluo de nomes de rtulo nico.
Definir configuraes avanadas do servidor DNS.
Auditar, fazer a manuteno e solucionar problemas da funo de servidor
DNS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Resoluo de nomes de rtulo nico

Pontos principais
Durante o curso normal das operaes, possvel que um usurio ou um aplicativo
queira ou precise fazer referncia a um host por um nome de rtulo nico. Por
exemplo, um usurio pode abrir o Internet Explorer e navegar para
http://legalapp.
importante que voc entenda como o servio do cliente DNS funciona para
resolver um nome de rtulo nico.
Primeiro, o cliente tenta resolv-lo como um nome totalmente qualificado
acrescentando a ele um sufixo de domnio DNS. O sufixo determinado por meio
de uma das duas opes a seguir, sendo a primeira configurada nas Configuraes
TCP/IP Avanadas de uma conexo, e a segunda, com o uso da Diretiva de Grupo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O sufixo DNS da conexo de rede do cliente. O cliente acrescenta o sufixo da
respectiva conexo DNS (por exemplo, ad.contoso.com). Se estiver usando o
sufixo baseado em conexo, voc poder configurar um cliente para usar a
devoluo de nome de domnio. Isso significa que, se o sufixo da conexo falhar,
o cliente tentar novamente o nome de domnio pai, que seria contoso.com
neste exemplo. A devoluo interrompida nesse ponto; ela no consulta
usando um nome de domnio de primeiro nvel.

Ordem de pesquisa de sufixo DNS. possvel especificar os sufixos DNS que
um cliente deve tentar. O meio mais fcil de gerenciar isso usando a Diretiva
de Grupo. Se a ordem de pesquisa de sufixo DNS for usada, no haver
devoluo. preciso especificar exatamente os nomes de domnio que devero
ser tentados pelo cliente.

Caso o sufixo DNS no resulte em uma resoluo, o cliente DNS "desistir" e
consultar o DNS com um nome de rtulo nico. Se isso no funcionar, ser
tentada a resoluo de nomes NetBIOS, que comea com uma consulta a um
servidor do servio WINS e, em caso de falha, recorre a uma difuso NetBIOS no
segmento local.
O cliente DNS no tem muito tempo para resolver o nome. Na verdade, a
resoluo falha aps 12 segundos e, a partir da, as etapas a serem tomadas so
determinadas pelo aplicativo cliente. Isso significa que possvel que o tempo
limite do cliente se esgote antes que todas as combinaes de nomes sejam
consultadas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O servidor DNS do Windows Server 2008 oferece uma nova opo de suporte
resoluo de nomes de rtulo nico: a zona GlobalNames. Trata-se de uma zona
especializada que voc cria nos servidores DNS. Normalmente, seria recomendvel
que ela fosse replicada na partio ForestDNSZones de modo a ficar disponvel
para todos os servidores DNS na floresta. A zona contm registros CNAME com
um nome de rtulo nico e a resoluo deles como nomes de domnio totalmente
qualificados.
Quando um cliente envia uma consulta de rtulo nico, o servidor DNS pode
resolv-la recuperando o registro CNAME da zona GlobalNames e procurando o
registro A apropriado do FQDN.
Para usar GlobalNames, voc deve criar a zona GlobalNames e depois habilitar o
uso dela na resoluo por meio do comando dnscmd.exe. Voc pode encontrar
mais detalhes no artigo listado em "Leitura adicional".
Leitura adicional
Fornecendo resoluo de nome DNS com rtulo nico
http://technet.microsoft.com/pt-br/library/cc816610(WS.10).aspx
Implantando uma zona GlobalNames (em ingls)
http://go.microsoft.com/fwlink/?LinkId=168532

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Resoluo de nomes fora do domnio

Pontos principais
H vrias formas de fornecer resoluo para registros DNS fora do seu domnio
(registros para os quais os servidores DNS no so autoritativos).
Zona secundria. A primeira opo tornar os servidores autoritativos
hospedando uma zona secundria do domnio externo. Como isso requer
permisso para executar uma transferncia de zona a partir de um servidor de
nomes na zona, no costuma ser uma opo muito usada para domnios fora
da empresa.
Encaminhadores. Os encaminhadores, conforme detalhado na Lio 2, so
ponteiros para servidores DNS upstream, servidores DNS fornecidos pelo seu
ISP ou servidores DNS da Internet. O servidor DNS pode executar consultas
em servidores listados como encaminhadores.
Se voc optar por apontar para um servidor DNS diferente do mantido por
voc ou pelo seu ISP, convm pedir permisso antes de executar consultas
recursivas em um servidor DNS de terceiros.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Dicas de raiz. Apontam para servidores de nomes da raiz do namespace DNS
("."). O servidor DNS tem uma lista de servidores raiz que atualizada pelo
Windows Update, embora a lista no seja alterada com frequncia.
Encaminhadores condicionais. Apontam para servidores de nomes que
devem ser consultados sobre nomes de domnio especficos. Um
encaminhador condicional cria um "atalho direto" para um servidor a ser
consultado sobre um domnio e ignora a necessidade de consultar
recursivamente um encaminhador (no condicional) ou ir para a raiz do
namespace DNS com uma dica de raiz.
Zona de stub. Voc aprendeu sobre domnios de stub anteriormente neste
mdulo e viu que eles podem ser usados como uma forma de delegao para
um domnio filho. Os domnios de stub tambm podem ser muito teis para
resolver nomes fora da empresa. Lembre-se de que a principal vantagem de
um domnio de stub que o servidor DNS mantm dinamicamente a lista de
servidores de nomes do domnio. Imagine uma zona de stub como um
encaminhador condicional dinmico. O "custo que a porta TCP 53 precisa
estar aberta para todos os servidores de nomes do domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Zona de pesquisa inversa

Pontos principais
Enquanto uma consulta DNS tpica solicita um endereo IP referente a um nome
de host, uma pesquisa inversa solicita um nome de host referente a um
determinado endereo IP.
Um nome totalmente qualificado processado da direita para a esquerda, do mais
genrico (como .com) para o mais especfico (como technet). Mas um endereo IP
mais genrico esquerda (o primeiro octeto o mais genrico, enquanto o
ltimo octeto o mais especfico). Portanto, para enviar uma consulta DNS com
um endereo IP, o cliente inverte a ordem dos octetos e acrescenta um nome de
domnio reservado, in-addr.arpa.
Dessa forma, se um cliente quiser saber o nome de host do computador com o
endereo IP 10.0.1.34, ele consultar 34.1.0.10.in-addr.arpa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Se voc recordar a hierarquia do sistema de nomes de domnio, lembrar que a raiz
indicada por um "." e, abaixo dela, esto os domnios mais "genricos" (os
domnios de primeiro nvel). Quanto mais voc se aprofunda na hierarquia, mais
especfica ela fica. O in-addr.arpa o domnio de primeiro nvel para pesquisas
inversas. Abaixo dele esto os domnios para cada octeto de endereos IP. Isso
sugere que o DNS d suporte apenas a mscaras de sub-rede padro, em que a
mscara de sub-rede para um octeto 0 ou 255. Embora isso se aplique Internet
como um todo, o servidor DNS do Windows Server 2008 permite criar zonas de
pesquisa inversa com sub-redes, se for necessrio.
As zonas de pesquisa inversa tm registros de recurso exatamente como as zonas
de pesquisa direta. O RR mais tpico em uma zona de pesquisa inversa o registro
PTR, com o nome definido como o valor do ltimo octeto do endereo IP de um
host e os dados do registro como o nome de domnio totalmente qualificado do
host.
Tambm como as zonas de pesquisa direta, as zonas de pesquisa inversa do
suporte a atualizaes dinmicas. Por padro, quando o servidor DHCP do
Windows atribui um endereo IP a um cliente, o servidor DHCP registra o registro
PTR do cliente.
As zonas de pesquisa inversa no so necessrias, mas so recomendadas. Alguns
aplicativos e servios usam pesquisas inversas como uma verificao de segurana,
para validar a identidade de uma solicitao de um cliente. O aplicativo pode usar
o endereo IP do cliente para procurar seu respectivo registro PTR e depois validar
se o registro A do host coincide. Supondo que as atualizaes seguras tenham sido
adotadas, isso garante que a solicitao do cliente correto.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Manuteno de zonas e do servidor DNS

Pontos principais
A funo do servidor DNS razoavelmente automanutenvel; entretanto, um
recurso importante que seja configurado em uma zona com suporte a
atualizaes dinmicas: eliminao. A eliminao o processo de excluir registros
antigos. Ela importante no apenas para registros A de servidor e de cliente, mas
principalmente para registros SRV registrados por controladores de domnio. Em
certos cenrios, possvel ter registros SRV que fazem referncia a controladores
de domnio incorretos, movidos ou removidos. A eliminao garante que eles
finalmente sejam removidos.
possvel implementar a eliminao no nvel de zona ou de servidor para zonas
integradas ao Active Directory. A caixa de dilogo Propriedades do servidor
permite definir propriedades de eliminao e de durao, agindo como padro
para zonas integradas ao Active Directory, que herdam as propriedades do
servidor. Voc pode substituir os padres do servidor por zona usando a caixa de
dilogo Propriedades da zona.
Para zonas primrias padro, preciso definir a eliminao no nvel de zona.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Depois de especificar os limites de tempo aps os quais a eliminao de registros
ser permitida, voc deve executar realmente a eliminao. Isso gerenciado com
mais facilidade por meio da configurao do servidor para eliminao automtica,
o que pode ser feito na guia Avanado da caixa de dilogo Propriedades do
servidor. Tambm possvel iniciar manualmente a eliminao clicando com o
boto direito do mouse no servidor do snap-in Gerenciador DNS.
Outra tarefa de manuteno de servidor cuja execuo pode ser necessria a
exibio ou a liberao do cache. Isso til quando voc descobre que os clientes
esto obtendo resolues incorretas de um servidor para zonas para as quais ele
no autoritativo. Voc pode exibir as Pesquisas em Cache de um servidor
clicando no menu Exibir do snap-in Gerenciador DNS e selecionando Recursos
Avanados. Em seguida, limpe o cache do servidor, se necessrio, clicando com o
boto direito do mouse no n do servidor ou no n Pesquisas em Cache na rvore
de console.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Teste e soluo de problemas do servidor DNS

Pontos principais
Os eventos DNS so registrados no log do DNS, que exposto no Gerenciador
DNS, no Gerenciador de Servidores e no Gerenciador de Eventos. Assim como
ocorre com outros logs de eventos no Windows Server 2008, voc pode centralizar
a coleta de eventos usando inscries, conforme detalhado no Mdulo 13. Essa
uma prtica recomendada, pois permite que voc fique de olho em um local
central para observar sinais de problemas na infraestrutura DNS.
De vez em quando, pode ser til executar o log de depurao, que registra em log
os detalhes de transaes DNS. Ele pode ser habilitado na caixa de dilogo
Propriedades do servidor.
Nessa caixa tambm possvel executar consultas iterativas e recursivas de teste,
para verificar se zonas de stub, encaminhadores condicionais, encaminhadores e
dicas de raiz esto funcionando conforme o esperado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

A integrao entre o DNS e o AD DS foi abordada em detalhes na Lio 3. O
comando dcdiag.exe /test:DNS executa uma exaustiva srie de testes para conferir
o funcionamento correto dessa integrao. Voc pode executar um teste mais
granular caso suspeite de um problema especfico. Digite dcdiag.exe /? para obter
mais detalhes.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Teste e soluo de problemas do cliente DNS

Pontos principais
No final das contas, o DNS e a funo de servidor DNS esto relacionados
resoluo de consultas de cliente. De vez em quando, preciso solucionar
problemas na experincia do lado do cliente e em componentes do DNS.
Voc pode usar os comandos a seguir para solucionar problemas do lado do
cliente do DNS.
ipconfig /all. Exibe a configurao de IP do cliente, incluindo os servidores
DNS. Verifique se o cliente est usando os servidores corretos e se eles esto
acessveis.
NSLookup. Executa consultas DNS diretamente. Um teste tpico com
NSLookup inclui:
set server=IP address
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Isso especifica o servidor DNS a ser consultado. O padro o servidor DNS
primrio do cliente. Quando uma resposta recebida, NSLookup identifica o
servidor que retornou a resposta. Se uma zona de pesquisa inversa no estiver
disponvel com um registro PTR que contenha o endereo IP do servidor DNS,
o nome desse servidor ser exibido como Desconhecido, mas seu endereo IP
ser identificado. A prxima linha :
set type=record type
Essa linha define o tipo de registro a ser consultado (por exemplo, SRV). O
padro um registro de endereo/host (A). A ltima linha :
record
Isso especifica o registro a ser consultado, que normalmente um nome de
domnio totalmente qualificado quando a resoluo de um registro A est
sendo testada.
ipconfig /displaydns. Mostra o contedo do cache do resolvedor DNS no
cliente.
ipconfig /flushdns. Limpa o cache do resolvedor DNS do cliente.
ipconfig /registerdns. Dispara uma atualizao dinmica na qual o cliente
registra seus registros A.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio B: Configurao avanada do DNS

Cenrio
Voc o administrador de DNS da Contoso, Ltd. e deseja melhorar a integridade e
a eficincia da infraestrutura DNS habilitando a eliminao e criando uma zona de
pesquisa inversa para o domnio. Tambm quer examinar os registros que
permitem que os clientes localizem controladores de domnio. Por ltimo, foi
solicitado que voc configure a resoluo de nomes entre contoso.com e o domnio
de uma empresa parceira, tailspintoys.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Habilitar a eliminao de zonas DNS
Neste exerccio, voc habilitar a eliminao de zonas DNS, a fim de remover
registros de recurso obsoletos.
2. Habilitar a eliminao de uma zona DNS.
3. Definir as configuraes de eliminao padro.

Algumas das mquinas virtuais j devem estar iniciadas e disponveis aps a
concluso do Laboratrio A. Entretanto, se no estiverem, voc deve executar os
Exerccios 1 e 2 no Laboratrio A antes de continuar porque h dependncias
entre os dois laboratrios.
3. Abra D:\Labfiles\Lab10b.
4. Execute Lab10b_Setup.bat com credenciais administrativas. Use a conta
Administrador com a senha Pa$$w0rd.
5. O script de configurao do laboratrio executado. Quando estiver
concludo, pressione qualquer tecla para continuar.
6. Feche a janela do Windows Explorer, Lab10b.
9. Inicie 10222A-TSTDC01-A.
10. Faa logon em TSTDC01 como Sara.Davis com a senha Pa$$w0rd.
11. Inicie 10222A-BRANCHDC01-B.
12. Espere at que a inicializao de BRANCHDC01 esteja concluda para
continuar.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 2: Habilitar a eliminao de uma zona DNS
1. Em HQDC02, execute o Gerenciador DNS como administrador, com o nome
de usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Habilite a eliminao para a zona contoso.com. Aceite os padres para
intervalos relacionados eliminao.

Tarefa 3: Definir as configuraes de eliminao padro
Configure HQDC02 para que, por padro, a eliminao seja habilitada para
todas as zonas. Aceite os padres para intervalos relacionados eliminao.

Resultados: aps esse exerccio, voc ter configurado a eliminao do domnio
contoso.com e a habilitado como padro para todas as zonas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Criar zonas de pesquisa inversa
Neste exerccio, voc criar uma zona de pesquisa inversa para o domnio
contoso.com.
1. Criar uma zona de pesquisa inversa.
2. Explorar e verificar a funcionalidade de uma zona de pesquisa inversa.

Tarefa 1: Criar uma zona de pesquisa inversa
Crie uma zona de pesquisa inversa para a rede IPv4 10. Permita somente
atualizaes dinmicas seguras e replique a zona em todos os controladores de
domnio no domnio contoso.com.

Observao: em um ambiente de produo, muito provvel que voc simplesmente
replicasse em todos os servidores DNS. Entretanto, neste laboratrio, replicaremos em
todos os controladores de domnio para assegurar uma replicao rpida e garantida
Tarefa 2: Explorar e verificar a funcionalidade de uma zona de
pesquisa inversa
2. Digite nslookup www.development.contoso.com, e pressione ENTER.
Observe que a primeira seo da sada de comando (que identifica o servidor
DNS que foi consultado) indica o endereo IP do servidor, mas, ao lado de
Servidor, informa que o servidor Desconhecido. Isso ocorre porque o
comando nslookup.exe no pode resolver o endereo IP como um nome.
4. Na rvore de console, clique na zona 10.in-addr.arpa em Zonas de Pesquisa
Inversa.
5. Examine os registros na zona.
6. Alterne para o prompt de comando.
7. Digite ipconfig /registerdns e pressione ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

9. Clique com o boto direito do mouse na zona 10.in-addr.arpa e depois clique
em Atualizar.
10. Examine os registros de recurso exibidos.
12. Digite nslookup www.development.contoso.com, e pressione ENTER.
Observe que o servidor DNS que foi consultado em 10.0.0.12 agora est
resolvido como seu respectivo nome.

Resultados: aps esse exerccio, voc ter criado e experimentado a funcionalidade de
uma zona de pesquisa inversa.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 3: Explorar a localizao de controlador de
domnio
Neste exerccio, voc examinar os registros de recurso que permitem que os
clientes localizem controladores de domnio.
1. Explorar _tcp.
2. Explorar _tcp.brancha._sites.contoso.com.

Tarefa 1: Explorar _tcp
Examine os registros em _tcp.contoso.com. O que eles representam?

Tarefa 2: Explorar _tcp.brancha._sites.contoso.com
Examine os registros em _tcp.brancha._sites.contoso.com. O que eles
representam?

Resultados: aps esse exerccio, voc ter examinado os registros SRV no domnio
contoso.com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 4: Configurar a resoluo de nomes para domnios
externos
Neste exerccio, voc configurar a resoluo de nomes entre dois domnios
completamente separados.
1. Configurar uma zona de stub.
2. Configurar um encaminhador condicional.
3. Validar a resoluo de nomes para domnios externos.

Tarefa 1: Configurar uma zona de stub
Em HQDC02, crie uma zona de stub para tailspintoys.com que faa referncia
ao endereo IPv4 10.0.0.31 como servidor mestre.

Tarefa 2: Configurar um encaminhador condicional
1. Em TSTDC01, execute o Gerenciamento de DNS como administrador, com o
nome de usurio Sara.Davis_Admin e a senha Pa$$w0rd.
2. Crie um encaminhador condicional para contoso.com que encaminhe para o
endereo IPv4 10.0.0.11.

Tarefa 3: Validar a resoluo de nomes para domnios externos
1. Em TSTDC01, abra um prompt de comando, digite nslookup
www.development.contoso.com e pressione ENTER. O comando dever
retornar o endereo 10.0.0.24.
2. Alterne para o Gerenciador DNS e crie um registro de host (A) para
www.tailspintoys.com que seja resolvido como 10.0.0.143.
3. Em HQDC02, abra um prompt de comando, digite nslookup
www.tailspintoys.com e pressione ENTER. O comando dever retornar o
endereo 10.0.0.143.

Resultados: aps esse exerccio, voc ter configurado a resoluo de nomes DNS
entre os domnios contoso.com e tailspintoys.com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Observao: depois de concluir esse exerccio, desligue todas as mquinas virtuais e
descarte os discos de desfazer.
Pergunta: Neste laboratrio, voc usou uma zona de stub e um encaminhador
condicional para fornecer resoluo de nomes entre dois domnios distintos. Que
outras opes voc poderia ter usado?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory) 11-1

Mdulo 11
Administrao dos controladores de domnio do
AD DS (Servios de Domnio Active Directory)
Sumrio:
Lio 1: Opes de instalao do controlador de domnio 11-4
Laboratrio A: Instalao de controladores de domnio 11-32
Lio 2: Instalao de controlador de domnio do Server Core 11-40
Laboratrio B: Instalao de controlador de domnio do Server Core 11-49
Lio 3: Gerenciamento de mestres de operaes 11-54
Laboratrio C: Transferncia de funes de mestre de operaes 11-74
Lio 4: Configurao da DFS-R para replicao do SYSVOL 11-79
Laboratrio D: Configurao da DFS-R para replicao do SYSVOL 11-87

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Viso geral do mdulo

Os DCs (controladores de domnio) hospedam o servio de diretrio e executam
os servios que oferecem suporte ao gerenciamento de identidades e acessos em
um Windows Enterprise. At este ponto do curso, voc aprendeu a dar suporte a
componentes lgicos e de gerenciamento de uma infraestrutura de servio de
diretrio Active Directory: usurios, grupos, computadores e Diretiva de Grupo.
Cada um desses componentes est contido no banco de dados de diretrio e no
SYSVOL dos controladores de domnio. Este mdulo apresentar os componentes
no nvel de servio do Active Directory, comeando com os prprios controladores
de domnio. Voc aprender a adicionar controladores de domnio do Windows
Server 2008 a uma floresta ou domnio, a preparar uma floresta ou domnio do
Windows Server 2003 para o primeiro controlador de domnio do Windows
Server 2008, a gerenciar as funes executadas pelos controladores de domnio e a
migrar a replicao do SYSVOL do FRS (Servio de Replicao de Arquivos), usado
nas verses anteriores do Windows, para o mecanismo DFS-R (Replicao do
Sistema de Arquivos Distribudo), que fornece uma replicao mais robusta e
gerencivel.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Objetivos
Instalar um controlador de domnio padro ou somente leitura em rvores ou
domnios novos ou existentes.
Adicionar e remover controladores de domnio usando vrios mtodos de
linha de comando ou GUI.
Configurar um controlador de domnio no Server Core.
Compreender e identificar funes de mestre de operaes.
Gerenciar o posicionamento, a transferncia e a captura de funes de mestre
de operaes.
Migrar a replicao de SYSVOL do FRS para DFS-R.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 1
Opes de instalao do controlador de
domnio

No Mdulo 1, "Introduo ao AD DS (Servios de Domnio Active Directory)", voc
usou o Assistente para Adicionar Funes do Gerenciador de Servidores para
instalar o AD DS. Em seguida, usou o Assistente de Instalao dos Servios de
Domnio Active Directory para criar o primeiro controlador de domnio na floresta
contoso.com. Como os controladores de domnio so essenciais para a
autenticao, altamente recomendvel manter pelo menos dois controladores de
domnio em cada domnio da floresta para fornecer o nvel de tolerncia a falhas,
caso um deles venha a falhar. Alm disso, pode ser necessrio adicionar
controladores de domnio a sites remotos ou criar novos domnios ou rvores na
floresta do Active Directory. Nesta lio, voc conhecer mtodos de interface do
usurio, de linha de comando e no assistidos de instalao de controladores de
domnio em vrios cenrios.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Objetivos
Instalar um controlador de domnio usando a interface do Windows, os
parmetros de linha de comando dcpromo.exe ou um arquivo de resposta
para instalao autnoma.
Adicionar controladores de domnio do Windows Server 2008 a um domnio
ou floresta com controladores de domnio do Windows Server 2003 e do
Windows 2000 Server.
Criar novos domnios e rvores.
Executar uma instalao em etapas de um controlador de domnio somente
leitura.
Instalar um controlador de domnio da mdia de instalao para reduzir
replicao na rede.
Remover um controlador de domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Instalao de um controlador de domnio com a interface
do Windows

Pontos principais
Se voc deseja usar a interface do Windows para instalar um controlador de
domnio, siga duas etapas principais. Primeiramente, instale a funo do AD DS
que, de acordo com o Mdulo 1, "Introduo ao AD DS (Servios de Domnio
Active Directory)", pode ser feito com o Assistente para Adicionar Funes do
Gerenciador de Servidores. Depois que a instalao da funo do AD DS tiver
copiado os binrios necessrios funo no servidor, instale e configure o AD DS
iniciando o Assistente de Instalao dos Servios de Domnio Active Directory,
usando um destes mtodos:
Clique em Iniciar e digite dcpromo na caixa Iniciar Pesquisa. Em seguida,
clique em OK. Ao concluir o Assistente para Adicionar Funes, clique no link
para iniciar o Assistente de Instalao dos Servios de Domnio Active Directory.
Depois que a funo do AD DS for adicionada, sero exibidos links no
Gerenciador de Servidores para lembr-lo de executar o Assistente de
Instalao dos Servios de Domnio Active Directory. Clique em qualquer um
desses links.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Observao: assistente multifuncional. A documentao da Microsoft para o Windows
Server 2008 enfatiza o modelo baseado em funo, por isso, recomendvel adicionar a
funo do AD DS e executar o Dcpromo.exe (o Assistente de Instalao dos Servios de
Domnio Active Directory). No entanto, voc pode simplesmente executar o
Dcpromo.exe e, como uma primeira etapa, o assistente detecta que os binrios do AD DS
no esto instalados e adiciona automaticamente a funo do AD DS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Opes de instalao autnoma e arquivos de resposta

Pontos principais
Voc pode tambm incluir ou remover um controlador de domnio na linha de
comando, usando uma instalao autnoma suportada na verso de dcpromo.exe
do Windows Server 2008. As opes de instalao autnoma fornecem valores ao
Assistente de Instalao dos Servios de Domnio Active Directory. Por exemplo, a
opo NewDomainDNSName especifica um FQDN (nome de domnio totalmente
qualificado) para um novo domnio.
Essas opes podem ser fornecidas na linha de comando digitando dcpromo
/unattendOption:value, por exemplo, dcpromo /newdomaindnsname:contoso.com.
Como alternativa, fornea as opes em um arquivo de resposta da instalao
autnoma. O arquivo de resposta um arquivo de texto que contm um cabealho
de seo, [DCINSTALL], seguido de opes e seus respectivos valores na forma
opo=valor. Por exemplo, o seguinte arquivo fornece a opo
NewDomainDNSName:
[DCINSTALL]
NewDomainDNSName=contoso.com
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O arquivo de resposta chamado quando seu caminho adicionado ao parmetro
unattend, por exemplo:
dcpromo /unattend:"caminho do arquivo de resposta"
As opes do arquivo de resposta podem ser substitudas pelos parmetros na
linha de comando. Por exemplo, se a opo NewDomainDNSName for
especificado no arquivo de resposta e o parmetro /NewDomainDNSName for
usado na linha de comando, o valor na linha de comando ter precedncia. Se os
valores necessrios no estiverem no arquivo de resposta nem na linha de
comando, o Assistente de Instalao dos Servios de Domnio Active Directory
solicitar as respostas de forma que voc possa usar o arquivo de resposta para
automatizar parcialmente uma instalao, fornecendo um subconjunto de valores
de configurao a ser usado durante uma instalao interativa.
O assistente no est disponvel na execuo de dcpromo.exe da linha de comando
no Server Core. Nesse caso, o comando dcpromo.exe retornar um cdigo de erro.
Para obter uma lista completa de parmetros que podem ser especificados como
parte de uma instalao autnoma do AD DS, abra um prompt de comandos com
privilgios elevados e digite o seguinte comando:
dcpromo /?[:operation]
em que operation um destes:
Promotion retorna todos os parmetros que podem ser usados na criao de
um controlador de domnio.
CreateDCAccount retorna todos os parmetros que podem ser usados na
criao de uma conta de pr-teste para um RODC (controlador de domnio
somente leitura).
UseExistingAccount retorna todos os parmetros que podem ser usados para
anexar um novo controlador de domnio a uma conta de pr-teste de RODC.
Demotion retorna todos os parmetros que podem ser usados na remoo de
um controlador de domnio.

Observao: gerar um arquivo de resposta. Quando voc usa a interface do Windows
para criar um controlador de domnio, o Assistente de Instalao dos Servios de
Domnio Active Directory fornece a opo, na pgina Resumo, de exportar as
configuraes para um arquivo de resposta. Se for necessrio criar um arquivo de
resposta para uso na linha de comando, por exemplo, em uma instalao Server Core,
use esse atalho para criar o arquivo com as opes e valores corretos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Leitura adicional
Para obter uma referncia completa de parmetros dcpromo e opes de
instalao autnoma, consulte:

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Instalao de uma nova floresta do Windows Server 2008

Pontos principais
O Mdulo 1, "Introduo ao AD DS (Servios de Domnio Active Directory)"
descreveu a instalao do primeiro controlador de domnio do Windows Server
2008 em uma nova floresta usando a interface do Windows. Nesse mdulo, voc
aprendeu as etapas detalhadas para adicionar a funo do AD DS a um servidor
usando o Gerenciador de Servidores e executando o Dcpromo.exe para promover
o servidor a controlador de domnio. Ao criar um novo domnio raiz da floresta,
especifique o nome DNS (sistema de nomes de domnio) da raiz da floresta, o
nome do NetBIOS e os nveis funcionais da floresta e do domnio. O primeiro
controlador de domnio no pode ser somente leitura e precisa ser um servidor GC
(catlogo global). Se o Assistente de Instalao dos Servios de Domnio Active
Directory detectar que necessrio instalar ou configurar o DNS, ele o far
automaticamente.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Voc pode tambm usar um arquivo de resposta digitando dcpromo
/unattend:"caminho do arquivo de resposta" quando o arquivo de resposta contm
opes e valores de instalao autnoma. O seguinte exemplo contm os
parmetros mnimos para uma instalao autnoma de um novo controlador de
domnio do Windows Server 2008 em uma nova floresta:
[DCINSTALL]
ReplicaOrNewDomain=domain
NewDomain=forest
NewDomainDNSName=nome DNS totalmente qualificado
DomainNetBiosName=nome NetBIOS do domnio
ForestLevel={0=Windows 2000 Server Native;
2=Windows Server 2003 Native;
3=Windows Server 2008}
DomainLevel={0=Windows Server 2000 Native;
2=Windows Server 2003 Native;
3=Windows Server 2008}
InstallDNS=yes
DatabasePath="caminho da pasta em um volume local"
LogPath="caminho da pasta em um volume local"
SYSVOLPath="caminho da pasta em um volume local"
SafeModeAdminPassword=password
RebootOnCompletion=yes
Alm disso, pode especificar um ou mais parmetros e valores da instalao
autnoma na linha de comando. Por exemplo, caso no queira a senha do Modo
de Restaurao dos Servios de Diretrio no arquivo de resposta, deixe a entrada
em branco e especifique o parmetro /SafeModeAdminPassword:password
quando executar dcpromo.exe.
Tambm possvel incluir todas as opes na prpria linha de comando. O
seguinte exemplo cria o primeiro controlador de domnio em uma nova floresta, na
qual voc pretende instalar controladores de domnio do Windows Server 2003:
dcpromo /unattend /installDNS:yes /dnsOnNetwork:yes
/replicaOrNewDomain:domain /newDomain:forest
/newDomainDnsName:contoso.com /DomainNetbiosName:contoso
/databasePath:"e:\ntds" /logPath:"f:\ntdslogs"
/sysvolpath:"g:\sysvol"
/safeModeAdminPassword:password /forestLevel:3 /domainLevel:3
/rebootOnCompletion:yes
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Preparao de um domnio existente para controladores de
domnio do Windows Server 2008

Pontos principais
Se houver uma floresta com controladores de domnio executando o Windows
Server 2003 ou o Windows 2000 Server, ser necessrio prepar-los antes de criar
o primeiro controlador de domnio do Windows Server 2008.
O comando ADPrep usado para preparar o Active Directory para um controlador
de domnio que executa o Windows Server com verso mais recente que a dos
controladores de domnio existentes na floresta ou domnio. Adprep.exe uma
ferramenta de linha de comando que est includa no disco de instalao de cada
verso do Windows Server. A Adprep.exe executa operaes que precisam ser
concludas em um ambiente do Active Directory existente para que voc possa
adicionar um controlador de domnio que executa essa verso do Windows Server.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

A Adprep.exe tem parmetros que executam vrias operaes que ajudam a
preparar um ambiente do Active Directory existente para um controlador de
domnio que executa uma verso posterior do Windows Server. Nem todas as
verses de Adprep.exe executam as mesmas operaes, mas geralmente os tipos
diferentes de operao que a Adprep.exe pode executar so:
Atualizao do esquema do Active Directory
Atualizao dos descritores de segurana
Modificao das ACLs (listas de controle de acesso) nos objetos do Active
Directory e nos arquivos da pasta compartilhada do SYSVOL.
Criao de novos objetos, conforme necessrio
Criao de novos contineres, conforme necessrio

Para preparar a floresta para o primeiro controlador de domnio que executa o
Windows Server 2008, siga estas etapas:
1. Faa logon no mestre de esquema como membro dos grupos
Administradores de empresa, Administradores de esquemas e
Administradores do domnio.
A Lio 3 trata dos mestres de operaes e fornece etapas para identificar o
controlador de domnio que o mestre de esquema.
2. Copie o contedo da pasta \sources\adprep do DVD do Windows Server
2008 em uma pasta do mestre de esquema.
3. Abra um prompt de comandos com privilgios elevados e mude os diretrios
para a pasta adprep.
4. Digite adprep /forestprep e pressione ENTER.

Espere a operao ser concluda. Depois que as alteraes forem replicadas em
toda a floresta, voc poder continuar preparando os domnios para o Windows
Server 2008.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Para preparar o domnio para o primeiro controlador de domnio que executa o
Windows Server 2008, siga estas etapas:
1. Faa logon no mestre de operaes da infraestrutura do domnio como
membro de Administradores do domnio.
A Lio 3 fornece etapas para identificar o controlador de domnio que o
mestre de operaes da infraestrutura.
2008 em uma pasta do mestre da infraestrutura.
3. Abra um prompt de comando e mude os diretrios para a pasta adprep.
4. Digite adprep /domainprep /gpprep e pressione ENTER.

No Windows Server 2003, pode ser exibida uma mensagem de erro informando
que as atualizaes so desnecessrias. Voc pode ignorar essa mensagem.
Depois que a alterao for replicada em toda a floresta, voc poder instalar um
controlador de domnio que executa o Windows Server 2008.
Para preparar o AD DS para o primeiro RODC, siga estas etapas:
1. Faa logon em qualquer computador como membro do grupo
Administradores de empresa.
2008 em uma pasta do computador.
3. Abra um prompt de comandos com privilgios elevados e mude os diretrios
para a pasta adprep.
4. Digite adprep /rodcprep e pressione ENTER.

RODCPREP, a qualquer momento. Voc pode tambm executar adprep /rodcprep
a qualquer momento em uma floresta do Windows 2000 Server ou do Windows
Server 2003. Ele no precisa ser executado junto com /forestprep; no entanto,
preciso execut-lo e as alteraes precisam ser replicadas em toda a floresta antes
de instalar o primeiro RODC.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Leitura adicional
Executando a Adprep.exe:
http://technet.microsoft.com/pt-br/library/dd464018(WS.10).aspx
ADPrep (em ingls):
Apndice de alteraes em Adprep.exe para fornecer suporte ao AD DS no
Windows Server 2008:
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Instalao de um controlador de domnio adicional em um
domnio

Pontos principais
possvel adicionar mais controladores de domnio instalando o AD DS e
iniciando o Assistente de Instalao dos Servios de Domnio Active Directory. Ser
solicitada a escolha da configurao de implantao, a entrada de credenciais de
rede, a seleo de um domnio e site para o novo controlador de domnio e a
configurao do controlador de domnio com opes adicionais, como Servidor
DNS, GC (Catlogo Global) ou Controlador de Domnio Somente Leitura. As
etapas restantes so as mesmas do primeiro controlador de domnio: configurao
dos locais de arquivo e da senha do administrador do Modo de Restaurao dos
Servios de Diretrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Se houver um controlador de domnio no domnio e voc marcar a caixa de
seleo Usar a instalao em modo avanado na pgina de boas-vindas do
Assistente de Instalao dos Servios de Domnio Active Directory, poder
configurar opes avanadas, que so:
Instalar da Mdia. Por padro, um novo controlador de domnio replica todos
os dados para todas as parties de diretrio que ele hospedar de outros
controladores de domnio durante a execuo do Assistente de Instalao dos
Servios de Domnio Active Directory. Para melhorar o desempenho de
instalao, especialmente em conexes lentas, use a mdia de instalao criada
pelos controladores de domnio. A mdia de instalao uma forma de
backup. O novo controlador de domnio pode ler dados diretamente da mdia
de instalao e replicar somente as atualizaes de outros controladores de
domnio. O IFM (Instalar da Mdia) est apresentado na seo Instalao do
AD DS a partir da mdia.
Controlador de Domnio de Origem. Para especificar o controlador de
domnio cujos dados sero replicados pelo novo controlador de domnio,
clique em Usar este controlador de domnio especfico.

Observao: continua havendo suporte para Dcpromo /adv. No Windows Server 2003, o
dcpromo /adv era usado para especificar opes avanadas de instalao. O parmetro
adv continua sendo aceito; ele simplesmente pr-seleciona a caixa de seleo Usar a
instalao em modo avanado na pgina de boas-vindas.
Para usar o Dcpromo.exe com parmetros de linha de comando a fim de
especificar opes de instalao autnoma, use os parmetros mnimos mostrados
neste exemplo:
dcpromo /unattend /replicaOrNewDomain:replica
/replicaDomainDNSName:contoso.com /installDNS:yes /confirmGC:yes
/safeModeAdminPassword:password /rebootOnCompletion:yes
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Se voc no estiver conectado ao servidor com credenciais de domnio, especifique
tambm os parmetros userdomain e username. O arquivo de resposta mnimo de
um controlador de domnio adicional em um domnio existente ser como este:
[DCINSTALL]
ReplicaOrNewDomain=replica
ReplicaDomainDNSName=FQDN de domnio para ingressar
UserDomain=FQDN de domnio da conta de usurio
UserName=DOMAIN\nome de usurio (no grupo Administradores do domnio)
Password=senha do usurio especificado por UserName (* para prompt)
InstallDNS=yes
ConfirmGC=yes
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Instalao de um novo domnio filho do Windows Server 2008

Pontos principais
Se j existir um domnio, voc poder criar um novo domnio filho criando um
controlador de domnio do Windows Server 2008. Antes disso, preciso executar
adprep /forestprep conforme descrito na seo anterior, Preparar um domnio
existente para controladores de domnio do Windows Server 2008.
Em seguida, instale o AD DS e inicie o Assistente de Instalao dos Servios de
Domnio Active Directory. Na pgina Escolher uma Configurao de Implantao,
clique em Floresta existente e Criar um novo domnio em uma floresta existente.
Ser solicitada a seleo do nvel funcional do domnio. Por ser o primeiro
controlador de domnio no domnio, no pode ser um RODC e no pode ser
instalado da mdia. Se voc marcar a caixa de seleo Usar a instalao em modo
avanado na pgina de boas-vindas, o assistente apresentar a pgina Controlador
de Domnio de Origem, que permite especificar um controlador de domnio cujas
parties de configurao e de esquema sero replicadas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Use dcpromo.exe para criar um domnio filho com as opes mnimas mostradas
no seguinte comando:
dcpromo /unattend /installDNS:yes
/replicaOrNewDomain:domain /newDomain:child
/ParentDomainDNSName:contoso.com
/newDomainDnsName:subsidiary.contoso.com /childName:subsidiary
/DomainNetbiosName:subsidiary
/safeModeAdminPassword:password /forestLevel:3 /domainLevel:3
O seguinte arquivo de resposta reflete os mesmos parmetros mnimos:
[DCINSTALL]
NewDomain=child
ParentDomainDNSName=FQDN de domnio pai
UserDomain=FQDN de usurio especificado por UserName
UserName= DOMAIN\nome de usurio (tem permisses para adicionar um
domnio filho)
Password=senha do usurio especificado por UserName ou * para prompt
ChildName=prefixo de rtulo nico do domnio
(O FQDN do domnio filho ser ChildName.ParentDomainDNSName)
DomainNetBiosName=nome NetBIOS do domnio
DomainLevel=nvel funcional do domnio (no inferior ao nvel da
floresta atual)
InstallDNS=yes
CreateDNSDelegation=yes
DNSDelegationUserName=DOMAIN\nome de usurio com permisses para criar
delegao de DNS, se for diferente de UserName,
acima
DNSDelegationPassword=senha de DNSDelegationUserName ou * para prompt
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Instalao de uma nova rvore de domnio em uma floresta

Pontos principais
Voc aprendeu no Mdulo 1, "Introduo ao AD DS (Servios de Domnio Active
Directory", que em uma floresta do Active Directory, uma rvore composta de um
ou mais domnios que compartilham o namespace DNS contguo. Por exemplo, os
domnios contoso.com e subsidiary.contoso.com ficariam em uma nica rvore.
As rvores adicionais so simplesmente domnios adicionais da mesma floresta que
no esto no mesmo namespace. Por exemplo, se a Contoso, Ltd. comprasse a
Tailspin Toys, o domnio tailspintoys.com ficaria em uma rvore separada no
domnio. H uma ligeira diferena funcional entre um domnio filho e um domnio
de outra rvore e, portanto, o processo de criao de uma nova rvore bastante
semelhante criao de um domnio filho.
Primeiramente, preciso executar adprep /forestprep conforme descrito na seo
anterior, Preparar um domnio existente para controladores de domnio do
Windows Server 2008. Em seguida, instale o AD DS e execute o Assistente de
Instalao dos Servios de Domnio Active Directory.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Selecione a opo Usar a instalao em modo avanado na pgina de boas-vindas
do assistente. Na pgina Escolher uma Configurao de Implantao, clique em
Floresta existente e selecione Criar um novo domnio em uma floresta existente e
Criar uma nova raiz da rvore de domnio em vez de um novo domnio filho. O
restante do processo idntico criao de um novo domnio filho.
As seguintes opes, fornecidas como parmetros para dcpromo.exe, criam uma
nova rvore para o domnio tailspintoys.com na floresta contoso.com:
dcpromo /unattend /installDNS:yes
/replicaOrNewDomain:domain /newDomain:tree
/newDomainDnsName:tailspintoys.com /DomainNetbiosName:tailspintoys
/safeModeAdminPassword:password /domainLevel:2
O nvel funcional do domnio configurado em 2 Windows Server 2003
Native com isso, o domnio poderia incluir controladores de domnio do
Windows Server 2003.
Um arquivo de resposta da instalao autnoma que cria a mesma rvore nova
seria semelhante a este:
[DCINSTALL]
NewDomain=tree
NewDomainDNSName=FQDN do novo domnio
DomainNetBiosName=nome NetBIOS do novo domnio
UserName= DOMAIN\nome de usurio (com permisses para criar um novo
domnio)
Password=senha do usurio especificado por UserName ou * para prompt
DomainLevel=nvel funcional do domnio (no inferior ao nvel da
floresta atual)
InstallDNS=yes
ConfirmGC=yes
CreateDNSDNSDelegation=yes
DNSDelegationUserName=conta com permisses para criar delegao de DNS
necessrio somente se for diferente de UserName,
acima
DNSDelegationPassword=senha de DNSDelegationUserName ou * para prompt
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Preparao da instalao de um RODC

Pontos principais
Conforme foi apresentado no Mdulo 9, "Aperfeioamento da segurana de
autenticao em um domnio do AD DS (Servios de Domnio Active Directory)",
os RODCs so criados para oferecer suporte a cenrios de filiais, fornecendo local
de autenticao ao site e, ao mesmo tempo, amenizando os riscos segurana e
integridade de dados associados ao posicionamento de um controlador de
domnio em um ambiente com menor grau de controle. Muitas vezes, h pouco ou
nenhum pessoal de suporte de TI em uma filial. Sendo assim, como um
controlador de domnio deveria ser criado em uma filial?
Para responder a essa pergunta, o Windows Server 2008 permite criar uma
instalao em etapas ou delegada de um RODC. O processo inclui dois estgios:
Criar a conta do RODC. Um membro de Administradores do domnio cria
uma conta para o RODC no Active Directory. Os parmetros relacionados ao
RODC so especificados nesse momento: o nome, o site do Active Directory no
qual o RODC ser criado e, opcionalmente, o usurio ou o grupo que pode
concluir o prximo estgio da instalao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Anexar o servidor conta do RODC. Depois que a conta for criada, o AD DS
for instalado e o servidor que precisa ser um membro de um grupo de
trabalho e no do domnio ingressar no domnio e como um RODC anexado
conta em pr-teste. Essas etapas podem ser especificadas por usurios ou
grupos quando a conta do RODC estiver includa em pr-teste; esses usurios
no precisam de associao ao grupo privilegiado. Um servidor pode tambm
ser anexado por um membro de Administradores do domnio ou
Administradores de empresa, mas a capacidade de delegar esse estgio a um
usurio sem privilgios torna muito mais fcil implantar RODCs em filiais sem
suporte de TI. O controlador de domnio replicar seus dados de um outro
controlador de domnio gravvel no domnio, ou voc pode usar o mtodo
IFM apresentado na seo Instalao do AD DS a partir da mdia.

Criao da conta de pr-teste do RODC
Para criar a conta do RODC, usando o snap-in Usurios e Computadores do Active
Directory, clique com o boto direito do mouse em UO Domain Controllers e
escolha Pr-criar conta do Controlador de Domnio Somente Leitura. Ser exibido
um assistente muito semelhante ao Assistente de Instalao dos Servios de
Domnio Active Directory. Ser solicitada a especificao do nome e site do RODC.
Voc poder tambm configurar a diretiva de replicao de senha, conforme
detalhado no Mdulo 9, "Aperfeioamento da segurana de autenticao em um
domnio do AD DS (Servios de Domnio Active Directory)."
Na pgina Instalao e Administrao de Delegao de RODC, especifique uma
entidade de segurana usurio ou grupo que possa anexar o servidor conta
do RODC que voc criar. O usurio ou grupo tambm tero direitos
administrativos locais no RODC aps a instalao. recomendvel delegar a um
grupo e no a um usurio. Se voc no especificar um usurio ou grupo, somente
os membros do grupo Administradores do domnio ou Administradores de
empresa podero anexar o servidor conta.
possvel criar contas do RODC includas em pr-teste usando dcpromo.exe com
vrios parmetros ou criando um arquivo de resposta para dcpromo.exe. As etapas
esto detalhadas em: http://technet.microsoft.com/pt-br/library
/cc755258(WS.10).aspx.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Anexao de um servidor a uma conta do RODC includa no
pr-teste

Pontos principais
Depois de a conta ser includa no pr-teste, o servidor poder ser anexado a ela.
Para anexar um servidor a uma conta do RODC includa no pr-teste:
1. Verifique se o servidor um membro de um grupo de trabalho, no um
membro do domnio.
Promova de um grupo de trabalho. Quando voc cria um RODC usando a
abordagem de etapas ao anexar um RODC a uma conta em pr-teste o
servidor precisa ser um membro de um grupo de trabalho, no do domnio, ao
iniciar o dcpromo.exe ou o Assistente de Instalao dos Servios de Domnio
Active Directory. O assistente procurar no domnio a conta existente com seu
nome e anexar a essa conta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

2. Execute dcpromo.exe /UseExistingAccount:attach.
O assistente solicita as credenciais de rede e localiza a conta do RODC no
domnio indicado pelas credenciais. As etapas restantes so semelhantes s
outras operaes de promoo de controlador de domnio.
Para usar um arquivo de resposta, fornea as seguintes opes e valores:
[DCINSTALL]
ReplicaDomainDNSName=FQDN de domnio para ingressar
Password=senha do usurio especificado por UserName
InstallDNS=yes
ConfirmGC=yes
Execute dcpromo com as opes /unattend:"caminho do arquivo de resposta e
/UseExistingAccount:Attach, como neste exemplo:
dcpromo /useexistingaccount:attach /unattend:"c:\rodcanswer.txt"
Todas as opes mostradas no arquivo de resposta podem tambm ser
especificadas ou substitudas diretamente na linha de comando. Basta digitar um
comando semelhante a este:
dcpromo /unattend /UseExistingAccount:Attach
/ReplicaDomainDNSName:contoso.com
/UserDomain:contoso.com /UserName:contoso\dan /password:*
/safeModeAdminPassword:password /rebootOnCompletion:yes
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Instalao do AD DS a partir da mdia

Pontos principais
Quando voc adiciona controladores de domnio a uma floresta, os dados das
parties de diretrio existentes so replicados para o novo controlador de
domnio. Em um ambiente com um diretrio grande ou largura de banda restrita
entre um novo controlador de domnio e um controlador de domnio gravvel do
qual a replicao feita, a instalao do AD DS poder ser mais eficiente se for
usada a opo IFM (instalar da mdia).
A instalao a partir da mdia envolve a criao da mdia de instalao um
backup especializado do Active Directory que pode ser usado pelo Assistente de
Instalao dos Servios de Domnio Active Directory como uma fonte de dados
para o preenchimento do diretrio em um novo controlador de domnio. Assim, o
novo controlador de domnio replicar somente atualizaes de um outro
controlador de domnio gravvel. Se a mdia de instalao for recente, voc poder
minimizar o impacto da replicao para um novo controlador de domnio.
Lembre-se de que, alm do diretrio, o SYSVOL tambm precisa ser replicado para
um novo controlador de domnio. Ao criar a mdia de instalao, voc pode
especificar se incluir o SYSVOL nessa mdia.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O IFM permite tambm controlar a durao do impacto na largura de banda da
rede. Por exemplo, crie a mdia de instalao e transfira-a para um site remoto fora
do horrio de expediente e crie o controlador de domnio durante as horas
normais de trabalho. Como a mdia de instalao do site local, o impacto na rede
reduzido e somente as atualizaes sero replicadas por conexo para o site
remoto.
Para criar a mdia de instalao:
1. Abra um prompt de comando com privilgios elevados em um controlador de
domnio gravvel executando o Windows Server 2008.
A mdia de instalao pode ser usada para criar controladores de domnio
gravveis e somente leitura.
2. Execute ntdsutil.exe.
3. No prompt ntdsutil, digite activate instance ntds e pressione ENTER.
4. Digite ifm e pressione ENTER.
5. No prompt ifm:, digite um dos seguintes comandos, com base no tipo de
mdia de instalao que deseja criar:
create sysvol full caminho. Cria a mdia de instalao com SYSVOL para
um controlador de domnio gravvel na pasta especificada por caminho.
create full caminho. Cria a mdia de instalao sem SYSVOL para um
controlador de domnio gravvel ou uma instncia do AD LDS (Active
Directory Lightweight Directory Services) na pasta especificada por
caminho.
create sysvol rodc caminho. Cria a mdia de instalao com SYSVOL para
um controlador de domnio somente leitura na pasta especificada por
caminho.
create rodc caminho. Cria a mdia de instalao sem SYSVOL para um
controlador de domnio somente leitura na pasta especificada por
caminho.

Ao executar o Assistente de Instalao dos Servios de Domnio Active Directory,
marque a caixa de seleo Usar a instalao em modo avanado. Ser exibida a
pgina Instalar da Mdia posteriormente no assistente. Escolha Replicar dados de
mdia no seguinte local. Voc pode usar a opo de instalao
ReplicationSourcePath em um arquivo de resposta ou na linha de comando
dcpromo.exe.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Remoo de um controlador de domnio

Pontos principais
Voc pode remover um controlador de domnio usando Dcpromo.exe para iniciar
o Assistente de Instalao dos Servios de Domnio Active Directory, ou em um
prompt de comando, especificando opes na linha de comando ou em um
arquivo de resposta. Quando um controlador de domnio removido enquanto
tem conectividade com o domnio, os metadados da floresta sobre o controlador
de domnio so atualizados para transmitir essa remoo ao diretrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Para usar um arquivo de resposta, fornea as seguintes opes e valores:
[DCINSTALL]
Password=senha do usurio especificado por UserName
AdministratorPassword=a senha ser atribuda ao administrador local
RemoveApplicationPartitions=yes
RemoveDNSDelegation=yes
DNSDelegationUserName=DOMAIN\nome de usurio com permisses para
remover
delegao de DNS
DNSDelegationPassword=senha da conta
Execute dcpromo com as opes /unattend:"caminho do arquivo de resposta e
/UninstallBinaries, como neste exemplo:
dcpromo /uninstallbinaries /unattend:"c:\rodcanswer.txt"
Todas as opes mostradas no arquivo de resposta podem tambm ser
especificadas ou substitudas diretamente na linha de comando. Basta digitar um
comando semelhante a este:
dcpromo /unattend /uninstallbinaries
/UserName:contoso\dan
/password:*
/administratorpassword:Pa$$w0rd
Se um controlador de domnio precisa ser rebaixado e ele no pode conectar-se ao
domnio, use a opo forceremoval do dcpromo.exe. Digite dcpromo
/forceremoval e o Assistente de Instalao dos Servios de Domnio Active
Directory o conduzir nas etapas do processo. Sero exibidos avisos relacionados
s funes hospedadas no controlador de domnio. Leia cada aviso e, depois de
mitigar ou aceitar o impacto do aviso, clique em Sim. possvel suprimir avisos
usando a opo demotefsmo:yes do dcpromo.exe. Depois que o controlador de
domnio for removido, limpe manualmente os metadados da floresta.
Leitura adicional
Para obter as etapas detalhadas de remoo de controlador de domnio,
consulte http://technet.microsoft.com/pt-br/library/cc731177(WS.10).aspx
Consulte o artigo 216498 na Base de Dados de Conhecimento Microsoft para
obter informaes sobre como realizar a limpeza de metadados. O artigo est
localizado em http://support.microsoft.com/kb/216498

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio A: Instalao de controladores de
domnio

Cenrio
Voc foi contratado para substituir o administrador anterior na Contoso, Ltd. e a
primeira coisa que descobre que o domnio tem apenas um controlador de
domnio. Voc decide adicionar um segundo controlador de domnio para fornecer
tolerncia a falhas do servio de diretrio. Voc j instalou um novo servidor
chamado HQDC02.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Criar um controlador de domnio adicional com
o Assistente de Instalao dos Servios de Domnio Active
Directory
Neste exerccio, voc usar o Assistente de Instalao dos Servios de Domnio
Active Directory (DCPromo.exe) para criar um controlador de domnio adicional
no domnio contoso.com. No entanto, a instalao no ser concluda. Em vez
disso, voc salvar as configuraes como um arquivo de resposta, que ser usado
no prximo exerccio.
2. Promover um controlador de domnio usando o Assistente de Instalao dos
Servios de Domnio Active Directory.

Inicie 10222A-HQDC01-A e faa logon como Pat.Coleman com a senha
Pa$$w0rd.
Inicie 10222A-HQDC02-A, um servidor de grupo de trabalho, e faa logon
como o Administrador local com a senha Pa$$w0rd.

Tarefa 2: Promover um controlador de domnio usando o Assistente
de Instalao dos Servios de Domnio Active Directory
Em HQDC02, execute DCPromo.exe. Aceite todos os padres fornecidos pelo
Assistente de Administrao do Active Directory, exceto os que esto listados
abaixo:
Controlador de domnio adicional de uma floresta existente
Domnio: contoso.com
Credenciais alternativas: Pat.Coleman_Admin com a senha Pa$$w0rd.
Selecione o domnio: contoso.com.
Quando for exibido um aviso informando que o HQDC01 tem um
endereo IP atribudo dinamicamente, clique em Sim, o computador
usar um endereo IP atribudo dinamicamente.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Quando for exibido um aviso informando que no foi possvel localizar
uma delegao de DNS, clique em Sim.
Senha do administrador do modo de restaurao dos servios de diretrio:
Pa$$w0rd
Na pgina Resumo, examine suas selees. Se alguma configurao estiver
incorreta, clique em Voltar para fazer modificaes.
Exporte as configuraes para um arquivo na rea de trabalho chamado
DCAdicional.
Cancele a instalao do controlador de domnio na pgina Resumo. No
continue com o Assistente de Instalao dos Servios de Domnio Active
Directory.

Resultados: aps esse exerccio, voc dever ter simulado a promoo de HQDC02 a

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Adicionar um controlador de domnio da linha
de comando
Neste exerccio, voc examinar o arquivo de resposta criado no Exerccio 1 e
usar as opes de instalao desse arquivo de resposta para criar uma linha de
comando dcpromo.exe e instalar o controlador de domnio adicional.
1. Criar o comando DCPromo.
2. Executar o comando DCPromo.

Tarefa 1: Criar o comando DCPromo
Abra o arquivo DCAdicional.txt criado no Exerccio 1. Examine as respostas
contidas no arquivo. Voc consegue identificar o que significam algumas das
opes?
Dica: as linhas de comeam com ponto e vrgula so comentrios ou linhas
inativas que foram comentadas.
Abra uma segunda instncia de Bloco de Notas, como um novo arquivo de
texto. Ative a quebra automtica de linha. Posicione as janelas de forma que
voc possa ver o arquivo de texto em branco e o arquivo DCAdicional.txt,
como uma referncia.
No Bloco de Notas, digite a linha de comando dcpromo.exe exatamente como
faria em um prompt de comando. Determine a linha de comando para instalar
o controlador de domnio com as mesmas opes listadas no arquivo de
resposta. Os parmetros da linha de comando assumem a forma /opo:valor,
enquanto no arquivo de resposta eles tm a forma opo=valor. Configure os
valores de Password e SafeModeAdminPassword como Pa$$w0rd. Instrua o
DCPromo a reinicializar aps a concluso.
Como voc aprender no Laboratrio B, possvel definir o valor de Password
como um asterisco (*) e ser solicitada a entrada da senha quando o comando
for executado.
Depois de criar o comando, abra o arquivo Exercise2.txt, localizado na pasta
\\HQDC01\d$\Labfiles\Lab11a. Compare o comando correto do
Exercise2.txt com o comando que voc criou na etapa anterior. Faa as
correes necessrias no comando.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 2: Executar o comando DCPromo
Abra a janela de prompt de comando.
Alterne para o arquivo do Bloco de Notas com o comando dcpromo.exe criado
na Tarefa 1. Desative a quebra automtica de linha, copie a linha de comando
criada e cole-a na janela de prompt de comando, em seguida, pressione
ENTER para executar o comando.
O HQDC02 ser promovido a controlador de domnio. Isso leva alguns
minutos.

Resultados: aps esse exerccio, voc dever ter promovido o HQDC02 a controlador
de domnio adicional no domnio e floresta contoso.com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 3: Remover um controlador de domnio
Neste exerccio, voc remover um controlador de domnio do domnio
contoso.com.
Remover um controlador de domnio.

Tarefa 1: Remover um controlador de domnio
Depois que HQDC02 for reiniciado, faa logon como Pat.Coleman com a
senha Pa$$w0rd.
Execute o DCPromo como administrador, com o nome de usurio
Pat.Coleman_Admin e a senha Pa$$w0rd. Aceite todos os padres
apresentados pelo assistente e configure a nova senha de administrador como
Pa$$w0rd. Reinicie o servidor quando o processo for concludo.

Resultados: aps esse exerccio, voc dever ter rebaixado o HQDC02 a servidor
membro.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 4: Criar um controlador de domnio a partir da
mdia de instalao
Voc pode reduzir a quantidade de replicao necessria para criar um controlador
de domnio, promovendo o controlador de domnio com a opo IFM. A opo
IFM requer a entrada de mdia de instalao, que um backup do Active Directory.
Neste exerccio, voc vai criar a mdia de instalao no HQDC01, transferi-la para o
HQDC02 e simular a promoo de HQDC02 a controlador de domnio usando a
mdia de instalao.
1. Criar a mdia de instalao.
2. Promover um controlador de domnio usando a mdia de instalao.

Tarefa 1: Criar a mdia de instalao
1. Em HQDC01, execute o prompt de comando como administrador com o
nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Use ntdsutil.exe para criar a mdia de instalao em uma pasta chamada
C:\IFM.

Tarefa 2: Promover um controlador de domnio usando a mdia de
instalao
1. Alterne para HQDC02 e faa logon como Pat.Coleman com a senha
Pa$$w0rd.
2. Copie a pasta IFM da unidade C do HQDC01 no HQDC02.
3. Em HQDC02, execute o DCPromo.exe. Aceite todos os padres fornecidos
pelo Assistente de Instalao dos Servios de Domnio de Administrao do
Active Directory, exceto os seguintes:
Controlador de domnio adicional de uma floresta existente.
Domnio: contoso.com.
Usurio: Pat.Coleman_Admin com a senha Pa$$w0rd.
Selecione o domnio: contoso.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Quando for exibido um aviso informando que o HQDC01 tem um
endereo IP atribudo dinamicamente, clique em Sim, o computador
usar um endereo IP atribudo dinamicamente.
Quando for exibido um aviso informando que no foi possvel localizar
uma delegao de DNS, clique em Sim.
Instalar da Mdia: Replique os dados da mdia armazenada em C:\IFM.
Aps a pgina Controlador de Domnio de Origem, cancele o assistente
sem concluir a promoo.

Resultados: aps esse exerccio, voc dever ter criado a mdia de instalao no
HQDC01 e simulada a promoo de HQDC02 a controlador de domnio usando a
mdia de instalao.

Observao: desligue o HQDC02, mas no desligue o HQDC01, pois este ser usado no
Laboratrio B.
Pergunta: Por que voc optaria por usar um arquivo de resposta ou uma linha de
comando dcpromo.exe para instalar um controlador de domnio, em vez de usar o
Assistente de Instalao dos Servios de Domnio Active Directory?
Pergunta: Em que situaes convm criar um controlador de domnio usando a
mdia de instalao?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 2
Instalao de controlador de domnio do
Server Core

Muitas organizaes desejam implementar a segurana mxima disponvel nos
servidores que atuam como controladores de domnio, em virtude da natureza
confidencial das informaes armazenadas no diretrio principalmente senhas
de usurio. Embora a configurao baseada em funo do Windows Server 2008
reduza a superfcie de segurana de um servidor, instalando somente os
componentes e servios necessrios s funes, possvel reduzir ainda mais a
superfcie de servidores e segurana instalando o Server Core. A instalao do
Server Core uma instalao mnima do Windows que exclui at a GUI do
Windows Explorer e o Microsoft .NET Framework. Voc pode administrar
remotamente uma instalao Server Core usando ferramentas da GUI. No entanto,
para configurar e gerenciar localmente um servidor, necessrio usar ferramentas
de linha de comando. Nesta lio, voc aprender a criar um controlador de
domnio da linha de comando em uma instalao do Server Core. Aprender
tambm a remover controladores de domnio de um domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Objetivos
Identificar os benefcios e a funcionalidade da instalao Server Core.
Instalar e configurar o Server Core.
Adicionar e remover o AD DS usando ferramentas de linha de comando.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Compreenso do Server Core

Pontos principais
O Windows Server 2008 (Instalao Server Core), mais conhecido como Server
Core, uma instalao mnima do Windows que consome aproximadamente 3
gigabytes (GB) de espao em disco e menos de 256 megabytes (MB) de memria.
A instalao Server Core limita as funes e recursos do servidor que podem ser
adicionados, mas pode aprimorar a segurana e a gerenciabilidade do servidor
reduzindo sua superfcie de ataque. O nmero de servios e componentes
executados simultaneamente limitado, por isso, as chances de um invasor
comprometer o servidor so menores. O Server Core reduz tambm a carga de
gerenciamento do servidor, o que requer menos atualizaes e menos manuteno.
O Server Core oferece suporte a nove funes de servidor:
AD DS (Servios de Domnio Active Directory)
Servios AD LDS (Active Directory Lightweight Directory Services)
Servidor de protocolo DHCP
Servidor DNS
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Servios de Arquivo
Servidor de Impresso
Servios de Mdia de Streaming
Servidor Web (IIS) (como um servidor Web esttico ASP.NET no pode ser
instalado)
Hyper-V (Virtualizao do Windows Server)

O Server Core oferece suporte tambm a estes 11 recursos opcionais:
Cluster de Failover da Microsoft
Balanceamento de Carga de Rede
Subsistema para aplicativos baseados em UNIX
Backup do Windows
Multipath I/O
Gerenciamento de Armazenamento Removvel
Criptografia de Unidade do Windows Bitlocker
Protocolo SNMP
Servio WINS (Servio de Cadastramento na Internet do Windows)
Cliente Telnet
QoS (Qualidade de Servio)

Leitura adicional
Opo de instalao Ncleo do Servidor:

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Instalao Server Core

Pontos principais
Voc pode instalar o Server Core usando o mesmo procedimento de uma
instalao completa. A diferena entre uma instalao completa e uma instalao
do Server Core que voc seleciona a Instalao Server Core no Assistente de
Instalao do Windows mostrada na pgina seguinte e, quando a instalao
concluda e voc faz logon, exibido um prompt de comando e no a interface do
Windows Explorer.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Quando o Windows Server 2008 instalado usando o DVD de instalao, a senha
inicial da conta Administrador est em branco. Quando voc faz logon no servidor
pela primeira vez, usa uma senha em branco. Ser solicitada a alterao da senha
no primeiro logon.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Comandos de configurao do Server Core

Pontos principais
Em uma instalao completa do Windows Server 2008, exibida a janela Tarefa de
Configurao Inicial para orient-lo na configurao aps a instalao do servidor.
O Server Core no fornece a GUI, por isso, voc dever concluir as tarefas usando
ferramentas de linha de comando. A tabela a seguir lista as tarefas de configurao
e os comandos comuns que podem ser usados. Para saber mais sobre qualquer
comando, abra um prompt de comando e digite o nome do comando, seguido de /?.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Comandos de configurao do Server Core
Tarefa Comando
Alterar a senha de
Administrador
Quando voc fizer logon com CTRL+ALT+DELETE,
ser solicitada a alterao da senha.
Voc pode tambm digitar este comando:
net user administrator *
Definir uma configurao de
IPv4 esttico
netsh interface ipv4
Ativar o Windows Server cscript c:\windows\system32\slmgr.vbs ato
Ingressar em um domnio netdom
Adicionar funes,
componentes ou recursos do
Server Core
ocsetup.exe pacote ou recurso
Observe que os nomes de pacote ou de recurso
diferenciam maisculas de minsculas.
Exibir funes, componentes e
recursos instalados
oclist.exe
Habilitar a rea de trabalho
remota
cscript c:\windows\system32\scregedit.wsf /AR 0
Promover um controlador de
domnio
dcpromo.exe
Configurar o DNS dnscmd.exe
Configurar o DFS dfscmd.exe

O comando Ocsetup.exe usado para adicionar funes e recursos suportados do
Server Core ao servidor. A exceo a essa regra o AD DS. No use Ocsetup.exe
para adicionar ou remover o AD DS. Em vez disso, use o Dcpromo.exe.
Como no h nenhum Assistente de Instalao dos Servios de Domnio Active
Directory no Server Core, preciso usar a linha de comando para executar o
Dcpromo.exe com parmetros que configuram o AD DS. Para obter informaes
sobre os parmetros de dcpromo.exe, abra a linha de comando e digite
dcpromo.exe /?. Cada cenrio de configurao tem informaes adicionais de uso.
Por exemplo, digite dcpromo.exe /?:Promotion para obter instrues detalhadas de
uso para promover um controlador de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Leitura adicional
Apndice de parmetros de instalao autnoma:
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio B: Instalao de controlador de
domnio do Server Core

Cenrio
Voc um administrador de domnio da Contoso, Ltd. e quer adicionar um
controlador de domnio ao ambiente do AD DS. Para melhorar a segurana do
novo controlador de domnio, voc pretende usar o Server Core. O Server Core j
foi instalado em um novo computador e voc est pronto para configurar o
servidor como um controlador de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Realizar a configurao de ps-instalao no
Server Core
Neste exerccio, voc realizar a configurao de ps-instalao do servidor para
prepar-lo com as configuraes de nome e TCP/IP necessrias ao restante dos
exerccios deste laboratrio.
2. Realizar a configurao de ps-instalao Server Core.

A mquina virtual 10222A-HQDC01-A j dever estar disponvel aps a concluso
do Laboratrio A.
Inicie 10222A-HQDC01-A, mas no faa logon.
Inicie 10222A-HQDC03-A, mas no faa logon.

Tarefa 2: Realizar a configurao de ps-instalao Server Core
Faa logon no HQDC03 como Administrador com a senha Pa$$w0rd.
Configure o endereo IPv4 e o servidor DNS digitando cada um dos seguintes
comandos:
netsh interface ipv4 set address name="Conexo local"
source=static address=10.0.0.13 mask=255.255.255.0
gateway=10.0.0.1

netsh interface ipv4 set dns name="Conexo local"
source=static address=10.0.0.11 primary
Confirme a configurao de IP inserida anteriormente com o comando
ipconfig /all.
Renomeie o servidor digitando netdom renamecomputer %computername%
/newname:HQDC03. Quando solicitado, pressione Y para confirmar a
operao.
Reinicie digitando shutdown -r -t 0.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Faa logon como Administrador com a senha Pa$$w0rd.
Ingresse no domnio usando o seguinte comando:
netdom join %computername% /domain:contoso.com
/UserD:CONTOSO\Pat.Coleman_Admin /PasswordD:Pa$$w0rd
/OU:"ou=servers,dc=contoso,dc=com"
Reinicie digitando shutdown -r -t 0.

Resultados: aps esse exerccio, voc dever ter configurado a instalao Server Core
como um membro do domnio contoso.com chamado HQDC03.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Criar um controlador de domnio com Server
Core
Neste exerccio, voc adicionar as funes de DNS e AD DS instalao Server
Core.
1. Adicionar a funo de Servidor DNS ao Server Core.
2. Criar um controlador de domnio no Server Core com o comando
dcpromo.exe.

Tarefa 1: Adicionar a funo de Servidor DNS ao Server Core
Faa logon no HQDC03 como Pat.Coleman_Admin com a senha Pa$$w0rd.
Exiba as funes de servidor disponveis digitando oclist. Qual o
identificador de pacote da funo de servidor DNS? Qual o status?
Digite ocsetup e pressione ENTER. Surpresa! H uma pequena parte da GUI
no Server Core. Clique em OK para fechar a janela.
Digite ocsetup DNS-Server-Core-Role. Observe que os identificadores de
pacote diferenciam maisculas de minsculas.
Digite oclist e confirme se a funo de servidor DNS est instalado.

Tarefa 2: Criar um controlador de domnio no Server Core com o
comando dcpromo.exe
Verifique se voc ainda est conectado ao HQDC03 como
Pat.Coleman_Admin com a senha Pa$$w0rd
Digite dcpromo.exe /? e pressione ENTER. Examine as informaes de uso.
Digite dcpromo.exe /?:Promotion e pressione ENTER. Examine as
informaes de uso.
Digite o seguinte comando para adicionar e configurar a funo de AD DS, em
seguida, pressione ENTER:
dcpromo /unattend /ReplicaOrNewDomain:replica
/ReplicaDomainDNSName:contoso.com /ConfirmGC:Yes
/UserName:CONTOSO\Pat.Coleman_Admin /Password:*
/safeModeAdminPassword:Pa$$w0rd
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Quando for solicitada a entrada de credenciais de rede, digite Pa$$w0rd e
clique em OK. A funo de AD DS ser instalada e configurada e o servidor
ser reiniciado.

Resultados: aps esse exerccio, voc dever ter promovido o servidor de Server Core,
HQDC03, a controlador de domnio no domnio contoso.com.

Observao: voc pode desligar as duas mquinas virtuais, pois sero usadas outras no
prximo laboratrio.
Pergunta: Voc achou a configurao do Server Core particularmente difcil?
Pergunta: Quais so as vantagens de usar o Server Core para os controladores de
domnio?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 3
Gerenciamento de mestres de operaes

Todos os controladores de domnio so equivalentes no domnio do Active
Directory. Todos eles so capazes de gravar no banco de dados e de replicar
alteraes para outros controladores de domnio. No entanto, em qualquer
topologia de replicao multimestre, determinadas operaes precisam ser
executadas por um s sistema. Em um domnio do Active Directory, os mestres de
operaes so controladores de domnio que desempenham uma funo
especfica. Outros controladores de domnio so capazes de desempenhar a
funo, mas no o fazem. Esta lio apresentar cinco mestres de operaes
localizados nas florestas e domnios do Active Directory. Voc conhecer suas
finalidades, aprender a identificar os mestres de operaes em sua empresa e as
nuanas da administrao e transferncia de funes.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Objetivos
Definir a finalidade das cinco operaes de mestre nico nas florestas do
Active Directory.
Identificar os controladores de domnio que executam funes de mestre de
operaes.
Planejar o posicionamento das funes de mestre de operaes.
Transferir e capturar funes de mestre de operaes.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Compreenso das operaes de mestre nico

Pontos principais
Em qualquer banco de dados replicado, algumas alteraes precisam ser feitas por
uma nica rplica, porque impraticvel faz-lo de forma multimestre. O Active
Directory no exceo. Um nmero limitado de operaes no pode ocorrer em
locais diferentes ao mesmo tempo e precisa ser responsabilidade de apenas um
controlador de domnio de um domnio ou floresta. So vrios os termos usados
para fazer referncia a essas operaes e aos controladores de domnio que as
executam:
Mestres de operaes
Funes de mestre de operaes
Funes de mestre nico
Tokens de operaes
FSMOs (operaes de mestre nico flexveis)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

A ideia a mesma, independentemente do termo usado. Enquanto um controlador
de domnio executa uma funo, nenhum outro controlador de domnio executa
essa funo.
Todos os controladores de domnio do Active Directory so capazes de executar
operaes de mestre nico. O controlador de domnio que realmente executa uma
operao aquele que detm o token da operao no momento.
Um token de operao e, consequentemente a funo, podem ser transferidos
facilmente para outro controlador de domnio sem a reinicializao.
Para reduzir o risco de pontos de falha nicos, os tokens de operaes podem ser
distribudos entre vrios controladores de domnio.
O AD DS contm cinco funes de mestre de operaes. Duas funes so
executadas para a floresta inteira:
Nomeao de domnios
Esquema

Trs funes so executadas em cada domnio:
RID (identificador relativo)
Infraestrutura
Emulador PDC

Cada uma dessas funes est detalhada nas prximas sees. Em uma floresta
com um nico domnio, h cinco mestres de operaes. Em uma floresta com dois
domnios, existem oito mestres de operaes, porque as trs funes de mestre de
domnio so implementadas separadamente em cada um dos dois domnios.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Funes de mestre de operaes

Pontos principais
Funes de mestre de operaes de toda a floresta
O mestre de esquema e o mestre de nomeao de domnios precisam ser
exclusivos na floresta. Cada funo executada por apenas um controlador de
domnio na floresta inteira.
Funo de mestre de nomeao de domnios
O mestre de nomeao de domnios usado quando so adicionados ou
removidos domnios da floresta. Quando voc adiciona ou remove um domnio, o
mestre de nomeao de domnios precisa estar acessvel, caso contrrio, a operao
falhar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Funo de mestre de esquema
O controlador de domnio que detm a funo de mestre de esquema
responsvel pela execuo de alteraes no esquema da floresta. Todos os outros
controladores de domnio detm rplicas somente leitura do esquema. Para
modificar o esquema ou instalar um aplicativo que modifica o esquema,
recomendvel faz-lo no controlador de domnio que detm a funo de mestre de
esquema. Caso contrrio, as alteraes que voc solicita precisaro ser enviadas ao
mestre de esquema para serem gravadas no esquema.
Funes de mestre de operaes de todo o domnio
Cada domnio mantm trs operaes de mestre nico: RID, Infraestrutura e
Emulador PDC. Cada funo executada por apenas um controlador de domnio
no domnio.
Funo de mestre RID
O mestre RID parte integrante da gerao de SIDs (identificadores de segurana)
para entidades de segurana, como usurios, grupos e computadores. O SID de
uma entidade de segurana precisa ser exclusivo. Como qualquer controlador de
domnio pode criar contas e, portanto, SIDs, necessrio um mecanismo para
assegurar que os SIDs gerados por um controlador de domnio sejam exclusivos.
Os controladores de domnio do Active Directory geram SIDs atribuindo um RID
exclusivo ao SID do domnio. O mestre RID do domnio aloca pools de RIDs
exclusivos para cada controlador de domnio no domnio. Assim, possvel ter
certeza de que os SIDs que cada controlador de domnio gera so exclusivos.

Observao: a funo de mestre RID semelhante ao DHCP para SIDs. Se voc est
familiarizado com o conceito de alocar um escopo de endereos IP para o servidor DHCP
(Dynamic Host Configuration Protocol) atribuir a clientes, pode traar um paralelo com o
mestre RID, que aloca pools de RIDs para os controladores de domnio criarem SIDs.
Funo de mestre de infraestrutura
Em um ambiente de diversos domnios, comum um objeto fazer referncia a
objetos de outros domnios. Por exemplo, um grupo pode incluir membros de
outro domnio. Seu atributo de membro multivalorado contm os nomes
diferenciados de cada membro. Se o membro de outro domnio for movido ou
renomeado, o mestre de infraestrutura do domnio do grupo atualizar
devidamente o atributo de membro do grupo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Observao: O mestre de infraestrutura. Voc pode considerar o mestre de
infraestrutura como um dispositivo de rastreamento de membros de grupo de outros
domnios. Quando esses membros so renomeados ou movidos em outro domnio, o
mestre de infraestrutura identifica a mudana e faz as alteraes necessrias nas
associaes de grupo para manter as associaes atualizadas.
Funo de emulador PDC
A funo de emulador PDC executa vrias funes essenciais de um domnio:
Emula um PDC (controlador de domnio primrio) para compatibilidade
com verses anteriores
Nos tempos do Windows NT 4.0, somente o PDC podia fazer alteraes no
diretrio. As ferramentas, os utilitrios e os clientes anteriores criados para
oferecer suporte ao Windows NT 4.0 ignoram o fato de que todos os
controladores de domnio do Active Directory podem gravar no diretrio, por
isso, essas ferramentas solicitam uma conexo com o PDC. O controlador de
domnio com a funo de emulador PDC registra-se como um PDC para que
os aplicativos de nvel inferior possam localizar um controlador de domnio
gravvel. Esses aplicativos so menos comuns agora que o Active Directory
tem quase 10 anos de existncia e, se sua empresa usa esses aplicativos,
trabalhe para atualiz-los a fim de obter compatibilidade total com o Active
Directory.
Participa da administrao de atualizao de senha especial do domnio
Quando a senha de usurio redefinida ou alterada, o controlador de domnio
que faz a alterao replica-a imediatamente para o emulador PDC. Essa
replicao especial garante que os controladores de domnio conheam a nova
senha o mais rpido possvel. Se um usurio tentar fazer logon imediatamente
aps a alterao de senhas, o controlador de domnio que responde
solicitao de logon do usurio poder no conhecer a nova senha. Antes de
rejeitar a tentativa de logon, esse controlador de domnio encaminha a
solicitao de autenticao para um emulador PDC, que verifica se a nova
senha est correta e instrui o controlador de domnio a aceitar a solicitao de
logon. Essa funo consiste em encaminhar a autenticao ao emulador PDC
sempre que um usurio inserir uma senha incorreta, para obter uma segunda
opinio. O emulador PDC, portanto, dever ser altamente acessvel a todos os
clientes do domnio. Ele dever ser um controlador de domnio de alto
desempenho e boa conexo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Gerencia as atualizaes da Diretiva de Grupo de um domnio
Se o GPO (Objeto de Diretiva de Grupo) for modificado em dois controladores
de domnio quase ao mesmo tempo, pode haver conflitos entre as duas
verses que no possam ser reconciliadas quando o GPO for replicado. Para
evitar essa situao, o emulador PDC atua como o ponto focal de todas as
alteraes da Diretiva de Grupo. Quando voc abre um GPO no GPME (Editor
de Gerenciamento da Diretiva de Grupo), o GPME se associa ao controlador
de domnio que est executando a funo de emulador PDC. Portanto, todas
as alteraes de GPOs so feitas no emulador PDC, por padro.
Fornece uma fonte de data/hora mestre ao domnio
Active Directory, Kerberos, FRS (Servio de Replicao de Arquivos) e DFS-R
contam com carimbos de data/hora, j que a sincronizao de data/hora em
todos os sistemas de um domnio fundamental. O emulador PDC do
domnio raiz da floresta o mestre de tempo de toda a floresta, por padro. O
emulador PDC de cada domnio sincroniza a data/hora com o emulador PDC
da raiz da floresta. Outros controladores de domnio do domnio sincronizam
seus relgios com o emulador PDC desse domnio. Todos os outros membros
do domnio sincronizam a data/hora com o controlador de domnio
preferencial. Essa estrutura hierrquica de sincronizao de data/hora, tudo
implementado atravs do servio Win32Time, garante a conformidade de
data/hora. O UTC (Horrio Coordenado Universal ) sincronizado e o
horrio exibido para os usurios ajustado de acordo com a configurao de
fuso horrio do computador.

Observao: altere o servio de tempo somente uma vez. altamente recomendvel
permitir que o Windows mantenha seus mecanismos nativos de sincronizao de
data/hora padro. A nica alterao que voc dever fazer configurar o emulador PDC
do domnio raiz da floresta para sincronizar com uma fonte de data/hora extra. Se no
for especificada uma fonte de data/hora para o emulador PDC, o log de eventos do
Sistema conter erros indicando que essa especificao deve ser feita. Consulte a pgina
http://technet.microsoft.com/pt-br/library/cc786897(WS.10).aspx e os artigos
relacionados para obter mais informaes.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Atua como localizador de domnio mestre
Quando voc abre Rede no Windows, exibida uma lista de grupos de
trabalho e domnios e, ao abrir um grupo de trabalho ou domnio, exibida
uma lista de computadores. Essas duas listas chamadas listas de pesquisa so
criadas pelo servio Pesquisador. Em cada segmento de rede, um localizador
mestre cria a lista de pesquisa: as listas de grupos de trabalho, domnios e
servidores desse segmento. O localizador de domnio mestre serve para
mesclar as listas de cada localizador mestre, de forma que os clientes de
pesquisa possam recuperar uma lista abrangente de pesquisa.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Otimizao do posicionamento de mestres de operaes

Pontos principais
Quando voc cria o domnio raiz da floresta com o primeiro controlador de
domnio, todas as cinco funes de mestre de operaes so executadas pelo
controlador de domnio. medida que forem adicionados controladores de
domnio ao domnio, possvel transferir as atribuies de funo de mestre de
operaes para outros controladores de domnio, a fim de balancear a carga entre
controladores de domnio ou de otimizar o posicionamento de uma operao de
mestre nico. As prticas recomendadas para o posicionamento de funes de
mestre de operaes so:
Colocar o mestre de esquema e o mestre de nomeao de domnios no
mesmo local
As funes de mestre de esquema e mestre de nomeao de domnios devero
ser colocadas em um nico controlador de domnio que seja um servidor GC.
Essas funes so raramente usadas e o controlador de domnio que as
hospeda dever estar altamente protegido. O mestre de nomeao de
domnios precisa estar hospedado em um servidor GC, porque quando um
novo domnio adicionado, o mestre precisa garantir que no haja nenhum
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

objeto de qualquer tipo com o mesmo nome do novo domnio. A rplica
parcial de GC contm o nome de todos os objetos da floresta. A carga dessas
funes de mestre de operaes bem leve, a menos que estejam sendo feitas
modificaes de esquema.
Colocar as funes de mestre RID e emulador PDC no mesmo local
Coloque as funes de RID e emulador PDC em um nico controlador de
domnio. Se a carga exigir que as funes sejam colocadas em dois
controladores de domnio separados, esses dois sistemas devero estar
fisicamente conectados e ter objetos de conexo explcitos criados no Active
Directory, de forma que sejam parceiros de replicao direta. Alm disso,
devero ser parceiros de replicao direta dos controladores de domnio que
voc selecionar como mestres de operaes de reserva.
Colocar o mestre de infraestrutura em um controlador de domnio que no
seja um GC
O mestre de infraestrutura dever ser colocado em um controlador de domnio
que no seja um servidor GC, mas que esteja fisicamente conectado a um
servidor GC. Alm disso, ele dever ter objetos de conexo explcitos no Active
Directory para esse servidor GC, de forma que eles sejam parceiros de
replicao direta. O mestre de infraestrutura pode ser colocado no mesmo
controlador de domnio que atua como o mestre RID e emulador PDC.

Observao: no importa se todos eles so GCs. Se todos os controladores de domnio
de um domnio forem servidores GC alis uma prtica recomendada que ser tratada
no Mdulo 12, "Gerenciamento de sites e replicao do Active Directory" voc no
precisar se preocupar em determinar qual controlador de domnio ser o mestre de
infraestrutura. Quando todos os controladores de domnio so GCs, todos os
controladores de domnio tm informaes atualizadas sobre todos os objetos da
floresta, o que elimina a necessidade da funo de mestre de infraestrutura.
Ter um plano de failover
Nas prximas sees, voc aprender a transferir funes de mestre de
operaes nico entre controladores de domnio, o que ser necessrio se
houver longo tempo de inatividade planejado ou no planejado de um mestre
de operaes. Estabelea antecipadamente um plano de transferncia de
funes de operaes para outros controladores de domnio em caso de um
mestre de operaes ficar offine.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Identificao de mestres de operaes

Pontos principais
Para implementar o plano de posicionamento de funo, necessrio saber quais
controladores de domnio esto no momento executando funes de operaes de
mestre nico. Cada funo exposta em uma ferramenta administrativa do Active
Directory, assim como em outras ferramentas de interface do usurio e de linha de
comando.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Para identificar o mestre atual de cada funo, use as seguintes ferramentas:
Emulador PDC: O snap-in Usurios e Computadores do Active Directory
Clique com o boto direito do mouse no domnio e escolha Mestres de
operaes. Clique na guia PDC. A prxima pgina mostra um exemplo que
indica SERVER01.contoso.com como o mestre de operaes PDC atual.

Mestre RID: O snap-in Usurios e Computadores do Active Directory
operaes. Clique na guia RID.
Mestre de infraestrutura: O snap-in Usurios e Computadores do Active
Directory
operaes. Clique na guia Infraestrutura.
Nomeao de domnios: O snap-in Domnios e Relaes de Confiana do
Active Directory
Clique com o boto direito do mouse no n raiz do snap-in (Domnios e
Relaes de Confiana do Active Directory) e escolha Mestre de operaes.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Mestre de esquema: O snap-in Esquema do Active Directory
Clique com o boto direito do mouse no n raiz do snap-in (Esquema do
Active Directory) e escolha Mestre de operaes.

Observao: registro do snap-in Esquema do Active Directory. preciso registrar o
snap-in Esquema do Active Directory antes de criar um MMC (Console de
Gerenciamento Microsoft) personalizado com o snap-in. Em um prompt de comando,
digite regsvr32 schmmgmt.dll.
Voc pode usar tambm vrias outras ferramentas para identificar mestres de
operaes, inclusive estes comandos:
NTDSUtil
ntdsutil
roles
connections
connect to server DomainControllerFQDN:portnumber
quit
select operation target
list roles for connected server
quit
quit
quit
dcdiag /test:knowsofroleholders /v
netdom query fsmo

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Transferncia de funes de mestre de operaes

Pontos principais
Voc pode transferir facilmente um mestre de operaes nico. Transfira funes
nos seguintes cenrios:
Quando voc estabelece a floresta, todas as cinco funes so executadas pelo
primeiro controlador de domnio instalado e, quando adiciona um domnio
floresta, todas as trs funes de domnio so executadas pelo primeiro
controlador de domnio desse domnio. medida que voc adiciona
controladores de domnio, pode distribuir as funes para reduzir pontos de
falha nicos e melhorar o desempenho.
Se voc pretende usar offline um controlador de domnio que detm no
momento uma funo de mestre de operaes, antes de us-lo, transfira essa
funo para outro controlador de domnio.
Se voc estiver encerrando um controlador de domnio que detm no momento
uma funo de mestre de operaes, antes de encerr-lo, transfira essa funo
para outro controlador de domnio. O Assistente de Instalao dos Servios de
Domnio Active Directory tentar fazer isso automaticamente, mas voc dever
preparar-se para rebaixar um controlador de domnio transferindo suas funes.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Para transferir uma funo de mestre de operaes, siga estas etapas:
1. Antes de transferir a funo, recomendvel verificar se o novo detentor da
funo est atualizado com a replicao do detentor anterior. Voc pode usar
as tcnicas apresentadas no Mdulo 12 para forar a replicao entre os dois
sistemas.
2. Abra a ferramenta administrativa que exibe o mestre atual.
Por exemplo, abra o snap-in Usurios e Computadores do Active Directory
para transferir qualquer uma das trs funes de mestre do domnio.
3. Conecte-se ao controlador de domnio para o qual deseja transferir a funo.
Para fazer isso, clique com o boto direito do mouse no n raiz do snap-in e
escolha Alterar controlador de domnio ou Alterar Controlador de Domnio do
Active Directory. (O comando difere de acordo com o snap-in.)
4. Abra a caixa de dilogo Mestre de operaes, que exibe o controlador de
domnio que detm no momento o token de funo da operao. Clique no
boto Alterar para transferir a funo para o controlador de domnio ao qual
voc est conectado.

Quando voc transfere uma funo de mestre de operaes, o mestre atual e o
novo ficam online. O token transferido, o novo mestre comea a executar
imediatamente a funo e o mestre anterior cessa na hora a execuo dessa funo.
Esse o mtodo preferencial de transferncia de funes de mestre de operaes.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Captura de funes de mestre de operaes

Pontos principais
Reconhecer falhas de mestre de operaes
Vrias funes de mestre de operaes podem estar indisponveis por algum
tempo at sua ausncia se tornar um problema. Outras funes de mestre exercem
um papel fundamental na operao diria da sua empresa. Voc pode identificar
problemas nos mestres de operaes examinando o log de eventos do Servio de
Diretrio.
No entanto, muitas vezes um mestre de operaes falha quando voc tenta
executar uma funo gerenciada pelo mestre, ocorrendo falha da funo. Por
exemplo, se o mestre RID falhar, voc ser impedido de criar novas entidades de
segurana.
Responder a uma falha do mestre de operaes
Se um controlador de domnio que executa uma operao de mestre nico falhar e
voc no conseguir fazer o sistema voltar a funcionar, poder capturar o token de
operaes. Ao capturar uma funo, voc designa um novo mestre sem remover a
funo do mestre que falhou.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

A captura de funo uma ao drstica, por isso, antes de faz-lo, analise
cuidadosamente essa necessidade. Determine a causa e a durao estimada do
mestre de operaes offline. Se for possvel o mestre de operaes ficar online no
tempo suficiente, aguarde. O que tempo suficiente? Isso depende do impacto da
funo que falhou.
Falha do emulador PDC
O emulador PDC o mestre de operaes que ter o impacto mais imediato em
operaes normais e em usurios, caso fique indisponvel. Felizmente, a funo de
emulador PDC poder ser capturada para outro controlador de domnio e, em
seguida, ser transferida de volta ao detentor original da funo quando o sistema
voltar a ficar online.
Falha do mestre de infraestrutura
Uma falha do mestre de infraestrutura ser notada por administradores, mas no
por usurios. Como o mestre responsvel pela atualizao dos nomes de
membros de grupo de outros domnios, parecer que a associao ao grupo est
incorreta, embora, como foi mencionado no incio desta lio, a associao no seja
realmente afetada. Voc pode capturar a funo de mestre de infraestrutura para
outro controlador de domnio e transferi-la de volta ao detentor anterior da funo
quando o sistema voltar a ficar online.
Falha do mestre RID
Um mestre RID com falha impedir os controladores de domnio de criar novos
SIDs e, consequentemente, impedir voc de criar novas contas de usurios,
grupos ou computadores. No entanto, os controladores de domnio recebem um
pool capturvel de RIDs do mestre RID, dessa forma, a menos que voc esteja
gerando vrias novas contas, poder passar algum tempo sem o mestre RID online,
enquanto o problema est sendo corrigido. A captura dessa funo para outro
controlador de domnio uma ao significativa. Depois que a funo de mestre
RID for capturada, o controlador de domnio que executava a funo no poder
voltar a ficar online.
Falha do mestre de esquema
A funo de mestre de esquema necessria somente quando so feitas
modificaes de esquema, diretamente por um administrador ou pela instalao de
um aplicativo integrado ao Active Directory que altera o esquema. Em outros
momentos, a funo no necessria. Ela pode permanecer offline
indefinidamente at as alteraes de esquema serem necessrias. A captura dessa
funo para outro controlador de domnio uma ao significativa. Depois que a
funo de mestre de esquema for capturada, o controlador de domnio que
executava a funo no poder voltar a ficar online.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Falha do mestre de nomeao de domnios
A funo de mestre de nomeao de domnios necessria somente quando voc
adiciona ou remove um domnio da floresta. At que essas alteraes sejam
necessrias na infraestrutura do domnio, a funo de mestre de nomeao de
domnios poder permanecer offline por um perodo indefinido. A captura dessa
funo para outro controlador de domnio uma ao significativa. Depois que a
funo de mestre de nomeao de domnios for capturada, o controlador de
domnio que executava a funo no poder voltar a ficar online.
Capturar uma funo de mestre de operaes
Embora voc possa transferir funes usando as ferramentas administrativas, use
Ntdsutil.exe para capturar uma funo. Para capturar a funo de mestre de
operaes, execute estas etapas:
1. No prompt de comando, digite ntdsutil e pressione ENTER.
2. No prompt ntdsutil, digite roles e pressione ENTER.
As prximas etapas estabelecem uma conexo com o controlador de domnio
que dever executar a funo de operao de mestre nico.
3. No prompt fsmo maintenance, digite connections e pressione ENTER.
4. No prompt server connections, digite connect to server
DomainControllerFQDN e pressione ENTER.
DomainControllerFQDN o FQDN do controlador de domnio que dever
executar a funo.
O Ntdsutil responder que foi estabelecida a conexo com o servidor.
5. No prompt server connections, digite quit e pressione ENTER.
6. No prompt fsmo maintenance, digite seize role e pressione ENTER.
Role um destes valores:
mestre de esquema
mestre de nomeao de domnios
Mestre RID
PDC
mestre de infraestrutura
7. No prompt fsmo maintenance, digite quit e pressione ENTER.
8. No prompt ntdsutil, digite quit e pressione ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Devolver uma funo ao detentor original
Na preparao para o tempo de inatividade planejado de um controlador de
domnio, se uma funo tiver sido transferida e no capturada, ela poder ser
transferida de volta para o controlador de domnio original.
Se, no entanto, uma funo tiver sido capturada e for possvel colocar o mestre
anterior online novamente, voc dever ter muito cuidado. O emulador PDC e o
mestre de infraestrutura so as nicas funes de mestre de operaes que podem
ser transferidas de volta para o mestre original depois de terem sido capturadas.

Observao: no retorne ao servio os mestres de esquema, de nomeao de domnios
ou RID capturados. Depois de capturar as funes de mestre de esquema, de nomeao
de domnios ou RID, voc dever encerrar completamente o controlador de domnio
original.
Se voc tiver capturado as funes de mestre de esquema, de nomeao de
domnios ou RID para outro controlador de domnio, no dever colocar o
controlador de domnio original online novamente sem antes encerr-lo
completamente. Isso significa que ser necessrio manter o detentor original da
funo fisicamente desconectado da rede e remover o AD DS usando o comando
dcpromo /forceremoval. Alm disso, ser necessrio limpar os metadados desse
controlador de domnio, como descreve a pgina
http://support.microsoft.com/kb/216498.
Se, depois que o controlador de domnio tiver sido completamente removido do
Active Directory, voc desejar que o servidor ingresse novamente no domnio,
poder conect-lo rede e ingressar no domnio. Se desejar que ele seja um
controlador de domnio, poder promov-lo. Para que ele retome a execuo da
funo de mestre de operaes, transfira a funo de volta para o controlador de
domnio.

Observao: convm recompilar. Em virtude da natureza crtica dos controladores de
domnio, recomendvel reinstalar completamente o controlador de domnio anterior
neste cenrio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio C: Transferncia de funes de
mestre de operaes

Cenrio
Voc administrador de domnio na Contoso, Ltd. Um dos sistemas de
alimentao redundantes falhou em HQDC01 e voc precisa colocar o servidor
offline para manuteno. Entretanto, deseja assegurar que as operaes do AD DS
no sejam interrompidas enquanto o servidor estiver offline.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Identificar mestres de operaes
Neste exerccio, voc usar as ferramentas de interface do usurio e de linha de
comando para identificar mestres de operaes no domnio contoso.com.
2. Identificar mestres de operaes usando os snap-ins administrativos do Active
Directory.
3. Identificar mestres de operaes usando o NetDom.

Inicie 10222A-HQDC01-B e faa logon como Pat.Coleman com a senha
Pa$$w0rd.
Abra o arquivo D:\Labfiles\Lab11c.
Execute Lab11c_Setup.bat com credenciais administrativos. Use a conta
Pat.Coleman_Admin com a senha Pa$$w0rd.
O script de configurao do laboratrio executado. Quando estiver
Feche a janela do Windows Explorer, Lab11c.
Inicie 10222A-HQDC02-B, mas no faa logon.

Tarefa 2: Identificar mestres de operaes usando os snap-ins
administrativos do Active Directory
Execute Usurios e Computadores do Active Directory como administrador,
com o nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
Use Usurios e Computadores do Active Directory para identificar os
detentores do token de funo de mestre de operaes para RID, PDC e
infraestrutura. Qual controlador de domnio detm essas funes?
Feche Usurios e Computadores do Active Directory.
Execute Domnios e Relaes de Confiana do Active Directory como
administrador, com o nome de usurio Pat.Coleman_Admin e a senha
Pa$$w0rd.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Use Domnios e Relaes de Confiana do Active Directory para identificar
os detentores do token de funo de mestre de operaes para nomeao de
domnios. Qual controlador de domnio detm essa funo?
Feche Domnios e Relaes de Confiana do Active Directory.
Execute o Prompt de Comando como administrador, com o nome de usurio
Digite regsvr32 schmmgmt.dll e pressione ENTER.
Execute mmc.exe como administrador, com o nome de usurio
Adicione o snap-in Esquema do Active Directory ao console.
Use Esquema do Active Directory para identificar os detentores do token de
funo de mestre de operaes para esquema. Qual controlador de domnio
detm essa funo?
Feche o console. No necessrio salvar as alteraes.

Tarefa 3: Identificar mestres de operaes usando o NetDom
Digite o comando netdom query fsmo e pressione ENTER.

Resultados: aps esse exerccio, voc dever ter usado os snap-ins administrativos e o
NetDom para identificar mestres de operaes.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Transferir funes de mestre de operaes
Neste exerccio, voc se preparar para colocar o mestre de operaes offline,
transferindo sua funo para outro controlador de domnio. Em seguida, far uma
simulao de coloc-lo offline, de recoloc-lo online e de devolver a funo de
mestre de operaes.
1. Transferir a funo de PDC usando o snap-in Usurios e Computadores do
Active Directory.
2. Considerar outras funes antes de colocar um controlador de domnio
offline.
3. Transferir a funo de PDC usando o NTDSUtil.

Tarefa 1: Transferir a funo de PDC usando o snap-in Usurios e
Computadores do Active Directory
Execute Usurios e Computadores do Active Directory como administrador,
Conecte-se ao HQDC02.
Antes de transferir um mestre de operaes, preciso conectar-se ao
controlador de domnio para o qual a funo ser transferida.
O n raiz do snap-in indica o controlador de domnio ao qual voc est
conectado: Usurios e Computadores do Active Directory
[hqdc02.contoso.com].
Transfira a funo de mestre de operaes PDC ao HQDC02.

Tarefa 2: Considerar outras funes antes de colocar um controlador
de domnio offline
Voc est se preparando para colocar HQDC01 offline. A funo de mestre de
operaes PDC acabou de ser transferida para o HQDC02.
Listar outras funes de mestre de operaes que precisam ser transferidas
antes de colocar o HQDC01 offline?
Listar outras funes de servidor que precisam ser transferidas antes de
colocar o HQDC01 offline?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Transferir a funo de PDC usando o NTDSUtil
Voc executou a manuteno em HQDC01 e vai coloc-lo online novamente.
Lembre-se de que no ser possvel colocar um controlador de domnio online
novamente se as funes de RID, esquema ou nomeao de domnios tiverem sido
capturadas. No entanto, voc poder coloc-lo online novamente se uma funo
tiver sido transferida.
Use NTDSUtil para conectar-se ao HQDC01 e transferir a funo de PDC de
volta para ele.

Resultados: aps esse exerccio, voc dever ter transferido a funo de PDC para o
HQDC02 usando o snap-in Usurios e Computadores do Active Directory e transferido
a funo de volta para o HQDC01 usando o NTDSUtil.

Observao: desligue essas mquinas virtuais quando tiver concludo, j que elas
precisaro ser reiniciadas para o prximo laboratrio.
Pergunta: Se voc transferir todas as funes antes de colocar um controlador de
domnio offline, poder coloc-lo online novamente?
Pergunta: Se um controlador de domnio falhar e voc capturar funes para outro
controlador de domnio, poder colocar online novamente o controlador de
domnio que falhou?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 4
Configurao da DFS-R para replicao do
SYSVOL

O SYSVOL, uma pasta localizada em %SystemRoot%\SYSVOL, por padro,
contm scripts de logon, GPTs (modelos de diretiva de grupo) e outros recursos
essenciais integridade e ao gerenciamento de um domnio do Active Directory. O
ideal que o SYSVOL seja consistente em cada controlador de domnio. No
entanto, as alteraes nos objetos de Diretiva de Grupo e nos scripts de logon so
feitas de tempo em tempo, por isso, voc precisa assegurar que essas alteraes
sejam replicadas de forma eficaz e eficiente para todos os controladores de
domnio. Nas verses anteriores do Windows, o FRS era usado para replicar o
contedo do SYSVOL entre controladores de domnio. O FRS tem limitaes na
capacidade e desempenho que algumas vezes causam sua parada. Infelizmente, a
soluo de problemas e a configurao do FRS so muito difceis. Nos domnios do
Windows Server 2008, voc tem a opo de usar a DFS-R para replicar o contedo
do SYSVOL. Nesta lio, voc aprender a migrar o SYSVOL do FRS para DFS-R.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Objetivos
Aumentar o nvel funcional do domnio.
Migrar a replicao de SYSVOL do FRS para DFS-R.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Aumento do nvel funcional do domnio

Pontos principais
O Mdulo 1, "Introduo ao AD DS (Servios de Domnio Active Directory)",
apresentou o conceito de nveis funcionais de domnio e floresta. No Mdulo 14,
"Gerenciamento de vrios domnios e florestas", voc aprender sobre os nveis
funcionais da floresta e do domnio em detalhes. O nvel funcional de um domnio
uma configurao que restringe os sistemas operacionais suportados como
controladores de domnio em um domnio e tambm habilita a funcionalidade
adicional no Active Directory. Um domnio com um controlador de domnio do
Windows Server 2008 pode estar em um dos trs nveis funcionais: Windows
2000 Nativo, Windows Server 2003 Nativo e Windows Server 2008. No nvel
funcional de domnio do Windows 2000 Nativo, os controladores de domnio
podem executar o Windows 2000 Server ou o Windows Server 2003. No nvel
funcional de domnio do Windows Server 2003 Nativo, os controladores de
domnio podem executar o Windows Server 2003. No nvel funcional de domnio
do Windows Server 2008, todos os controladores de domnio precisam executar o
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

medida que voc aumenta os nveis funcionais, novos recursos do Active
Directory so habilitados. No nvel funcional de domnio do Windows Server
2008, por exemplo, voc pode usar a DFS-R para replicar o SYSVOL. A simples
atualizao de todos os controladores de domnio para Windows Server 2008 no
suficiente: voc precisa aumentar especificamente o nvel funcional do domnio.
Faa isso usando o snap-in Domnios e Relaes de Confiana do Active Directory.
Para aumentar o nvel funcional do domnio:
1. Execute o snap-in Domnios e Relaes de Confiana do Active Directory.
2. Clique com o boto direito do mouse no domnio e escolha Aumentar nvel
funcional do domnio.
3. Selecione Windows Server 2008 como o nvel funcional desejado e clique em
Aumentar.

Depois de definir o nvel funcional do domnio como Windows Server 2008, voc
no poder adicionar controladores de domnio que executem o Windows Server
2003 ou o Windows 2000 Server. O nvel funcional associado somente aos
sistemas operacionais do controlador de domnio; servidores e estaes de
trabalho membros podem executar o Windows Server 2003, o Windows 2000
Server, o Windows Vista, o Windows XP ou o Windows 2000 para estao de
trabalho.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Compreenso dos estgios de migrao

Pontos principais
Como o SYSVOL essencial integridade e funcionalidade do domnio, o
Windows no fornece um mecanismo para converter instantaneamente de FRS
para DFS-R a replicao do SYSVOL. Na verdade, a migrao para DFS-R envolve a
criao de uma estrutura paralela do SYSVOL. Quando a estrutura paralela
implementada com xito, os clientes so redirecionados para a nova estrutura
como o volume do sistema do domnio. Quando o xito da operao for
comprovada, voc poder eliminar o FRS.
A migrao para DFS-R consiste em quatro estgios ou estados:
0 (incio). O estado padro de um controlador de domnio. Somente o FRS
usado para replicar o SYSVOL.
1 (preparado). criada uma cpia do SYSVOL em uma pasta chamada
SYSVOL_DFSR e ela adicionada a um conjunto de replicao. A DFS-R
comea a replicar o contedo das pastas SYSVOL_DFSR em todos os
controladores de domnio. No entanto, o FRS continua replicando as pastas
SYSVOL originais e os clientes continuam usando o SYSVOL.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

2 (redirecionado). O compartilhamento de SYSVOL, que originalmente
refere-se a SYSVOL\domain\sysvol, alterado para referir-se a
SYSVOL_DFSR\domain\sysvol. Agora os clientes usam a pasta
SYSVOL_DFSR para obter scripts de logon e modelos de Diretiva de Grupo.
3 (eliminado). A replicao da antiga pasta SYSVOL executada por FRS
cessada. A pasta SYSVOL original no ser excluda, por isso, se desejar
remov-la totalmente, dever faz-lo manualmente.

Faa a migrao dos controladores de domnio atravs desses estgios, usando o
comando DFSMig. Voc usar trs opes com dfsrmig.exe:
setglobalstate state
A opo setglobalstate configura o estado atual da migrao global da DFSR,
que se aplica a todos os controladores de domnio. O estado especificado
pelo parmetro state, que de 0 a 3. Cada controlador de domnio ser
notificado do novo estado de migrao da DFSR e migrar para esse estado
automaticamente.
getglobalstate
A opo getglobalstate relata o estado atual da migrao global da DFSR.
getmigrationstate
A opo getmigrationstate relata o estado atual da migrao de cada
controlador de domnio. Como pode demorar para os controladores de
domnio serem notificados do novo estado da migrao global da DFSR e
demorar ainda mais para um controlador de domnio fazer as alteraes
exigidas por esse estado, os controladores de domnio no sero sincronizados
instantaneamente com o estado global. A opo getmigrationstate permite
monitorar o progresso de controladores de domnio para o estado atual da
migrao global da DFSR.

Se houver algum problema na mudana de um estado para o prximo mais alto,
reverta para estados anteriores, usando a opo setglobalstate. No entanto, depois
que voc usar a opo setglobalstate para especificar o estado 3 (eliminado), no
poder reverter para estados anteriores.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Migrao da replicao do SYSVOL para DFS-R

Pontos principais
Para migrar a replicao de SYSVOL do FRS para DFS-R, execute as seguintes
etapas:
1. Abra o snap-in Domnios e Relaes de Confiana do Active Directory.
2. Clique com o boto direito do mouse no domnio e escolha Aumentar nvel
funcional do domnio.
3. Na caixa Nvel funcional atual do domnio, no indique o Windows Server
2008, escolha Windows Server 2008 na lista Selecione um nvel funcional
de domnio disponvel.
4. Clique em Aumentar. Clique em OK duas vezes como resposta s caixas de
dilogo exibidas.
5. Faa logon em um controlador de domnio e abra um prompt de comando.
6. Digite dfsrmig /setglobalstate 1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

7. Digite dfsrmig /getmigrationstate para consultar o progresso de
controladores de domnio para o estado global Preparado. Repita esta etapa at
que todos os controladores de domnio tenham alcanado o estado.
Isso pode levar de 15 minutos a uma hora, ou mais.
controladores de domnio para o estado global Redirecionado. Repita esta
etapa at que todos os controladores de domnio tenham alcanado o estado.
Depois de iniciar a migrao do estado 2 (preparado) para o estado 3
(replicado), as alteraes feitas na pasta SYSVOL precisaro ser replicadas
manualmente para a pasta SYSVOL_DFSR.
controladores de domnio para o estado global Eliminado. Repita esta etapa
at que todos os controladores de domnio tenham alcanado o estado.
12. Para obter mais informaes sobre o comando dfsrmig.exe, digite dfsrmig.exe /?.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio D: Configurao da DFS-R para
replicao do SYSVOL

Cenrio
Voc um administrador na Contoso. Recentemente, voc atualizou o ltimo
controlador de domnio remanescente do Windows Server 2003 para Windows
Server 2008 e deseja aproveitar as vantagens da replicao aprimorada de SYSVOL
usando a DFS-R.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Observar a replicao de SYSVOL
Neste exerccio, voc observar a replicao de SYSVOL com FRS (Servio de
Replicao de Arquivos), adicionando um script de logon ao compartilhamento
NETLOGON e observando sua replicao para outro controlador de domnio.
2. Observar a replicao de SYSVOL.

Desligue todas as mquinas virtuais.
Pa$$w0rd.
Abra o arquivo D:\Labfiles\Lab11d.
Execute Lab11d_Setup.bat com credenciais administrativos. Use a conta
Feche a janela do Windows Explorer, Lab11d.
Inicie 10222A-HQDC02-B e faa logon como Pat.Coleman_Admin com a
senha Pa$$w0rd.

Tarefa 2: Observar a replicao de SYSVOL
Em HQDC01, abra %SystemRoot%\ Sysvol\sysvol\contoso.com\Scripts.
Execute Notepad como administrador, com o nome de usurio
Salve um arquivo de teste como %SystemRoot%\ Sysvol\sysvol
\contoso.com\Scripts\TestFRS.txt.
Em HQDC02, abra %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts
\Scripts.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Confirme se TestFRS.txt foi replicado para a pasta Scripts do HQDC02.
Se o arquivo no for exibido imediatamente, espere um pouco. A replicao
pode levar at 15 minutos para ser concluda. Se desejar, continue com o
Exerccio 2. Antes de passar para o Exerccio 3, faa uma verificao para ter
certeza de que o arquivo foi replicado.
Depois de observar a replicao, feche a janela do Windows Explorer que
exibe a pasta Scripts em HQDC01 e HQDC02.

Resultados: aps esse exerccio, voc dever ter observado a replicao de um
arquivo de teste entre as pastas SYSVOL\Scripts de dois controladores de domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Preparar-se para migrar para DFS-R
Para migrar para a DFS-R de SYSVOL, o domnio precisa conter somente
controladores de domnio do Windows Server 2008 e o nvel funcional de domnio
precisa ser aumentado para Windows Server 2008. Neste exerccio, voc
confirmar o fato de que a migrao de DFS-R no tem suporte em outros nveis
funcionais de domnio. Em seguida, aumentar o nvel funcional de domnio para
1. Confirmar se o nvel funcional de domnio atual inferior ao Windows Server
2008.
2. Confirmar se a replicao DFS-R no est disponvel nos nveis funcionais de
domnio inferiores ao Windows Server 2008.
3. Aumentar o nvel funcional do domnio.
4. Confirmar se a replicao DFS-R est disponvel no nvel funcional de domnio
do Windows Server 2008.

Tarefa 1: Confirmar se o nvel funcional de domnio atual inferior ao
Windows Server 2008
Em HQDC01, execute Usurios e Computadores do Active Directory como
Pa$$w0rd.
Confirme se o nvel funcional de domnio atual Windows Server 2003, mas
no aumente o nvel funcional. Em vez disso, cancele para fechar a caixa de
dilogo.

Tarefa 2: Confirmar se a replicao DFS-R no est disponvel nos
nveis funcionais de domnio inferiores ao Windows Server 2008
Digite dfsrmig /getglobalstate e pressione ENTER. Ser exibida uma
mensagem informando que somente domnios de nvel funcional Windows
Server 2008 oferecem suporte ao dfsrmig.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Aumentar o nvel funcional do domnio
Em Usurios e Computadores do Active Directory, aumente o nvel
funcional de domnio para Windows Server 2008.
Feche Usurios e Computadores do Active Directory.

Tarefa 4: Confirmar se a replicao DFS-R est disponvel no nvel
funcional de domnio do Windows Server 2008
Alterne para o prompt de comando. Digite dfsrmig /getglobalstate e
pressione ENTER. Ser exibida uma mensagem informando que a migrao de
DFS-R ainda no foi inicializada.

Resultados: aps esse exerccio, voc dever ter aumentado o nvel funcional de
domnio para Windows Server 2008 e confirmado que, ao fazer isso, possibilitou a
migrao da replicao de SYSVOL para DFS-R.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 3: Migrar a replicao de SYSVOL para DFS-R
Neste exerccio, voc migrar o mecanismo de replicao do FRS para DFS-R.
A principal tarefa deste exerccio :
1. Migrar a replicao de SYSVOL para DFS-R

Tarefa 1: Migrar a replicao de SYSVOL para DFS-R
2. Digite dfsrmig /setglobalstate 0 e pressione ENTER.
A seguinte mensagem ser exibida:
Estado global atual de DFSR: 'Incio'
Novo estado global de DFSR: 'Incio'
Alterao de estado invlida solicitada.
O estado global padro j 0, Incio, por isso, o comando no vlido. No
entanto, isso serve para inicializar a migrao de DFSR.
3. Digite dfsrmig /getglobalstate e pressione ENTER.
xito.
4. Digite dfsrmig /getmigrationstate e pressione ENTER.
Todos os controladores de domnio migraram com xito para o estado
global ('Incio').
A migrao alcanou um estado compatvel em todos os controladores
de domnio.
xito.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Novo estado global de DFSR: 'Preparado'

A migrao seguir para o estado 'Preparado'. O servio DFSR
copiar o contedo de SYSVOL na pasta SYSVOL_DFSR.

Se algum controlador de domnio no tiver conseguido iniciar a
migrao, tente a sondagem manual.
OU execute com a opo /CreateGlobalObjects.
A migrao pode iniciar a qualquer momento, de 15 minutos a 1
hora.
xito.
Ser exibida uma mensagem informando o estado da migrao de cada
controlador de domnio. A migrao pode levar at 15 minutos.
7. Repita esta etapa at ser exibida a seguinte mensagem indicando que a
migrao progrediu para o estado Preparado e obteve xito:
global ('Preparado').
de domnio.
xito.
Quando receber essa mensagem, v para a prxima etapa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Durante a migrao para o estado Preparado, pode ser exibida uma destas
mensagens:
Os seguintes controladores de domnio no esto sincronizados com
o estado global ('Preparado'):

Controlador de domnio (estado de migrao local) - Tipo de
controlador de domnio
===================================================

HQDC01 ('Incio') - controlador de domnio primrio
HQDC02 ('Incio') - controlador de domnio gravvel

A migrao ainda no alcanou um estado compatvel em todos os
controladores de domnio.
As informaes de estado podem ser obsoletas devido latncia do
AD.
ou

===================================================

HQDC01 ('Incio') - controlador de domnio primrio
HQDC02 ('Aguardando a Sincronizao Inicial') - controlador de
domnio gravvel

AD.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

ou

===================================================

HQDC02 ('Aguardando a Sincronizao Inicial') - controlador de
domnio gravvel

AD.
8. Clique em Iniciar, aponte para Ferramentas Administrativas, clique com o
boto direito do mouse em Visualizar Eventos e escolha Executar como
administrador.
9. Clique em Usar outra conta.
10. Na caixa Nome de usurio, digite Pat.Coleman_Admin.
11. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O Visualizar Eventos ser aberto.
12. Na rvore de console, expanda Logs de Aplicativos e Servios e selecione
Replicao DFS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

13. Localize o evento com ID de Evento 8014 e abra suas propriedades.
Verifique os detalhes mostrados na captura de tela a seguir.

14. Feche o Visualizar Eventos.
Estado global atual de DFSR: 'Preparado'
Novo estado global de DFSR: 'Redirecionado'

A migrao seguir para o estado 'Redirecionado'. O
compartilhamento SYSVOL ser alterado para a pasta SYSVOL_DFSR.

Caso tenham sido feitas alteraes no compartilhamento de SYSVOL
durante a transio de estado de 'Preparado' para 'Redirecionado',
execute robocopy das alteraes de SYSVOL para SYSVOL_DFSR em
qualquer RWDC replicado.
xito.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

18. Repita a etapa 17 at ser exibida a seguinte mensagem indicando que a
global ('Redirecionado').
de domnio.
xito.
Quando receber essa mensagem, v para a prxima tarefa.
Durante a migrao, podem ser exibidas mensagens como esta:
o estado global ('Redirecionado'):

===================================================

HQDC02 ('Preparado') - controlador de domnio gravvel

AD.

Resultados: aps esse exerccio, voc dever ter migrado a replicao de SYSVOL para
DFS-R no domnio contoso.com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 4: Verificar a replicao do SYSVOL por DFS-R
Neste exerccio, voc verificar se o SYSVOL est sendo replicado por DFS-R.
1. Confirmar o novo local de SYSVOL.
2. Observar a replicao de SYSVOL.

Tarefa 1: Confirmar o novo local de SYSVOL
No Prompt de Comando, digite net share e pressione ENTER. Confirme se o
compartilhamento NETLOGON refere-se pasta %SystemRoot%
\SYSVOL_DFSR\Sysvol\contoso.com\Scripts e se o compartilhamento de
SYSVOL refere-se pasta %SystemRoot%\SYSVOL_DFSR\Sysvol.

Em HQDC01, abra %SystemRoot%\SYSVOL_DFSR\Sysvol
\contoso.com\Scripts.
Observe que o arquivo TestFRS.txt criado anteriormente j est na pasta
Scripts. Enquanto os controladores de domnio estavam no estado Preparado,
os arquivos foram replicados entre a pasta SYSVOL herdada de FRS e a nova
pasta SYSVOL de DFS-R.
Execute Notepad como administrador, com o nome de usurio
Salve um arquivo de teste como %SystemRoot%\SYSVOL_DFSR\Sysvol
\contoso.com\Scripts \TestDFSR.txt.
Em HQDC02, abra %SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com
\Scripts.
Confirme se o arquivo TestDFSR.txt foi replicado para a pasta Scripts do
HQDC02.
Se o arquivo no for exibido imediatamente, espere um pouco.

Resultados: aps esse exerccio, voc dever ter observado a replicao de um arquivo
de teste entre as pastas SYSVOL_DFSR Scripts de dois controladores de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Pergunta: Que diferena voc acha que h entre uma empresa que criou seu
domnio inicialmente com controladores de domnio do Windows 2008 e a outra
que migrou de Windows Server 2003 para Windows Server 2008?
Pergunta: De que voc precisa estar ciente durante a migrao do estado
Preparado para Redirecionado?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Gerenciamento da replicao do Active Directory e de sites 12-1
Mdulo 12
Gerenciamento da replicao do Active
Directory e de sites
Sumrio:
Lio 1: Configurao de sites e sub-redes 12-4
Laboratrio A: Configurao de sites e sub-redes 12-23
Lio 2: Configurao do catlogo global e das parties de aplicativos 12-27
Laboratrio B: Configurao do catlogo global e das parties de
aplicativos 12-42
Lio 3: Configurao da replicao 12-48
Laboratrio C: Configurao da replicao 12-75
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Viso geral do mdulo

Voc aprendeu nos mdulos anteriores que os DCs (controladores de domnios)
em um domnio do Windows Server 2008 so pontos. Cada ponto mantm uma
cpia do diretrio e realiza servios semelhantes para dar suporte autenticao
dos objetos de segurana. As alteraes feitas em qualquer controlador de domnio
sero replicadas para todos os outros controladores de domnio. Como
administrador de um Windows enterprise, uma das suas tarefas garantir que a
autenticao seja fornecida da forma mais eficiente possvel e que a replicao
entre os controladores de domnio seja otimizada. Os sites do Active Directory
so o componente principal do servio de diretrio que d suporte aos objetivos de
localizao e replicao do servio. Neste mdulo, voc aprender como criar um
servio de diretrio distribudo que oferece suporte a controladores de domnios
em partes da rede separadas por links caros, lentos ou no confiveis. Voc saber
onde os controladores de domnio devem ser colocados e como gerenciar a
replicao e a utilizao do servio. Voc tambm aprender como controlar quais
dados so replicados para cada controlador de domnio, configurando GCs
(catlogos globais) e parties de aplicativos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Objetivos
Configurar sites e sub-redes.
Compreender a localizao do controlador de domnio e gerenciar os
controladores de domnio em sites.
Configurar a replicao do conjunto de atributos parcial para servidores de
catlogo global.
Implementar o cache de associao de grupo universal.
Compreender a funo das parties de diretrio de aplicativos.
Configurar a topologia de replicao com objetos de conexo, servidores
bridgehead, links de sites e pontes de links de sites.
Relatar, analisar e solucionar problemas de replicao com repadmin.exe e
dcdiag.exe.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 1
Configurao de sites e sub-redes

O Active Directory representa seres humanos como objetos de usurio no servio
de diretrio. Ele representa mquinas como objetos de computador. Ele representa
a topologia da rede com objetos chamados sites e sub-redes. Os objetos de site do
Active Directory so usados para replicao e localizao de servio e, felizmente,
em muitos ambientes, a configurao de sites e sub-redes pode ser bem direta.
Nesta lio, voc aprender os conceitos e tcnicas fundamentais necessrios para
configurar e gerenciar sites e sub-redes.
Objetivos
Identificar a funo de sites e sub-redes.
Descrever o processo atravs do qual um cliente localiza um controlador de
domnio.
Configurar sites e sub-redes.
Gerenciar objetos do servidor do controlador de domnio em sites.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Compreenso de sites

Pontos principais
Quando os administradores descrevem a infraestrutura da rede, eles
frequentemente mencionam quantos sites existem na empresa. Para a maioria dos
administradores, um site uma localizao fsica, um escritrio ou cidade, por
exemplo. Os sites so conectados por links vnculos de rede que podem ser to
bsicos como conexes discadas ou to sofisticados quanto links de fibra. Juntos,
as localizaes fsicas e os links formam a infraestrutura da rede.
O Active Directory representa a infraestrutura da rede com objetos chamados sites
e links de sites e, embora as palavras sejam semelhantes, esses objetos no so
idnticos aos sites e links descritos pelos administradores. Esta lio focaliza os
sites e a Lio 3 aborda os links de sites.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
importante compreender as propriedades e as funes dos sites no Active
Directory para compreender a sutil distino entre os sites do Active Directory e os
sites de rede. Os sites do Active Directory so objetos no diretrio, especificamente
no continer de configurao (CN=Configuration,DC=domnio raiz da floresta).
Esses objetos so usados para realizar duas tarefas de gerenciamento de servio:
Gerenciar o trfego de replicao
Facilitar a localizao do servio

Trfego de replicao
A replicao a transferncia de alteraes entre controladores de domnio.
Quando voc adiciona um usurio ou altera a senha de um usurio, por exemplo, a
alterao feita confirmada por um controlador de domnio. Essa alterao deve
ser comunicada para todos os outros controladores de domnio no domnio.
O Active Directory presume que haja dois tipos de rede em sua empresa: altamente
conectadas e menos altamente conectada. Conceitualmente, uma alterao feita no
Active Directory deve ser replicada imediatamente para outros controladores de
domnio na rede altamente conectada na qual a alterao foi feita. Entretanto,
talvez voc no queira replicar a alterao imediatamente atravs de um link mais
lento, mais caro ou menos confivel com outro site. Em vez disso, talvez voc
queira gerenciar a replicao atravs de segmentos menos altamente conectados da
sua empresa para otimizar o desempenho, reduzir os custos e gerenciar a largura
de banda.
Um site do Active Directory representa uma parte altamente conectada da sua
empresa. Quando voc define um site, os controladores de domnio do site
replicam as alteraes praticamente de forma instantnea. A replicao entre sites
pode ser programada e gerenciada.
Localizao de servio
O Active Directory um servio distribudo. Ou seja, presumindo-se que voc
possua pelo menos dois controladores de domnio, h vrios servidores
(controladores de domnio) fornecendo os mesmos servios de autenticao e
acesso a diretrio. Caso possua mais de um site de rede e coloca um controlador
de domnio em cada um, voc deseja encorajar os clientes a se autenticarem no
controlador de domnio no site deles. Este um exemplo de localizao de servio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Os sites do Active Directory ajudam voc a localizar servios, incluindo aqueles
fornecidos por controladores de domnio. Durante o logon, os clientes do
Windows so direcionados automaticamente para um controlador de domnio no
site deles. Se um controlador de domnio no estiver disponvel no site deles, eles
sero direcionados para um controlador de domnio em outro site que poder
autenticar o cliente de forma eficaz.
Outros servios tambm podem ser localizados. O Namespaces DFS (Namespaces
de sistema de arquivo distribudo), por exemplo, um servio localizado. Os
clientes do DFS obtero recursos replicados do servidor mais eficiente, com base
no site do Active Directory deles. Na verdade, como os clientes sabem em qual site
esto, qualquer servio distribudo poderia ser criado para tirar vantagem da
estrutura de sites do Active Directory para fornecer localizao inteligente da
utilizao do servio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Planejamento de sites

Pontos principais
Como os sites so usados para otimizar a replicao e permitir a localizao do
servio, voc deve gastar algum tempo para criar a estrutura de sites do Active
Directory. Os sites do Active Directory no devem ser mapeados um a um para os
sites da sua rede. Considere dois cenrios:
Voc possui escritrios em dois locais distantes. Voc coloca um controlador
de domnio em cada local. Os locais so altamente conectados e para
aprimorar o desempenho, voc decide configurar um nico site do Active
Directory que inclua ambos os locais.
Voc possui uma empresa em um campus grande e altamente conectado. Da
perspectiva de uma replicao, a empresa poderia ser considerada um nico
site. Entretanto, voc deseja encorajar os clientes a usarem servios
distribudos em seu local, por isso, configura vrios sites para oferecer suporte
localizao de servio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Portanto, um site do Active Directory pode incluir mais de um site de rede ou ser
um subconjunto de um nico site de rede. A chave lembrar que os sites servem
para as funes de gerenciamento de replicao e de localizao de servio. Vrias
caractersticas de sua empresa podem ser usadas para ajud-lo a determinar quais
sites so necessrios:
Velocidade de conexo
Um site do Active Directory representa uma unidade da rede que seja caracterizada
por ter conectividade rpida, confivel, barata. Muita documentao sugere que a
velocidade de link mais baixa em um site no deve ser menor que 512 kbps
(kilobits por segundo). Entretanto, essa orientao no imutvel. Algumas
organizaes possuem links to lentos quanto 56 ou at mesmo 28 kbps em um
site.
Posicionamento de servio
Como os sites do Active Directory gerenciam a replicao e a localizao de servio
do Active Directory, no til criar um site para um local de rede que no hospede
um controlador de domnio ou outro servio com reconhecimento do Active
Directory, tal como um recurso DFS replicado.

Observao: sites onde no h controladores de domnio. Os controladores de
domnio so o nico servio distribudo em um Windows enterprise. Outros servios, tais
como os recursos DFS replicados, tambm possuem reconhecimento de site. Voc deve
configurar os sites para localizar servios alm da autenticao, nesse caso, haver sites
sem controladores de domnio.
Populao de usurios
As concentraes de usurios tambm podem influenciar o design de seu site,
embora indiretamente. Se um local de rede possui um nmero suficiente de
usurios para os quais a inabilidade de se autenticar seria problemtica, coloque
um controlador de domnio para dar suporte autenticao nesse local. Depois
que um controlador de domnio ou outro servio distribudo colocado no local
para oferecer suporte a esses usurios, talvez voc queira gerenciar a replicao do
Active Directory para o local ou localizar o uso do servio, configurando um site do
Active Directory para representar o local.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Resumo dos critrios de planejamento de sites
Cada floresta do Active Directory inclui pelo menos um site. O site padro criado
quando voc cria uma instncia de floresta com o primeiro controlador de domnio
criativamente chamado de Primeiro-site-padro. Voc deve criar sites adicionais
quando:
Uma parte da rede separada por um link lento.
Uma parte da rede possui usurios suficientes para garantir a hospedagem de
controladores de domnio ou outros servios nesse local.
O trfego de consultas de diretrio garante um controlador de domnio local.
Voc deseja controlar a localizao do servio.
Voc deseja controlar a replicao entre controladores de domnio.

Uma observao sobre o posicionamento de servidor (controlador de
domnio)
Os administradores de rede frequentemente querem saber quando colocar um
controlador de domnio em um site remoto recomendado. A resposta
depende. Especificamente, depende dos recursos necessrios para os usurios no
site e da tolerncia ao tempo de inatividade. Se os usurios em um site remoto
realizam todas as tarefas de trabalho acessando recursos no data center, por
exemplo, ento, se o link do site remoto falhar, os usurios no podero acessar os
recursos necessrios e um controlador de domnio local no melhoraria a situao.
Entretanto, se os usurios acessarem os recursos no site remoto e o link falhar, um
controlador de domnio local poder continuar a fornecer autenticao para os
usurios, e eles podero continuar a trabalhar com seus recursos locais.
Em muitos cenrios de filiais, h recursos na filial de que os usurios precisam para
realizar suas tarefas de trabalho. Esses recursos, se no estiverem armazenados no
prprio computador do usurio, requerem autenticao de domnio do usurio.
Portanto, um controlador de domnio geralmente recomendado. A introduo de
RODCs (controladores de domnio somente leitura) no Windows Server 2008
reduz o risco e a sobrecarga do gerenciamento de controladores de domnios em
filiais, portanto, ser mais fcil para a maioria das organizaes implantar os
controladores de domnio em cada local de rede.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Criao de sites

Pontos principais
Os sites e a replicao so gerenciados com o snap-in Servios e Sites do Active
Directory. Para definir um site do Active Directory, voc criar um objeto de site de
classe. O objeto de site um continer que gerencia a replicao de controladores
de domnio no site. Voc tambm criar um ou mais objetos de sub-rede. Um
objeto de sub-rede define um intervalo de endereos IP e vinculado a um site. A
localizao de servio feita quando o endereo IP de um cliente pode ser
associado a um site atravs do relacionamento entre o objeto de sub-rede e o
objeto de site.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Para criar um site:
1. Clique com o boto direito do mouse no n Sites em Servios e Sites do
Active Directory e clique em Novo Site.
2. Na caixa de dilogo Novo objeto Site que ser exibida, insira um nome de
site e selecione um link de site.

O link de site padro, DEFAULTIPSITELINK, ser o nico link de site
disponvel at que voc crie links de sites adicionais, como discutido na Lio 3.

Depois de criar um site, voc pode clicar com o boto direito do mouse nele e
escolher Renomear para renome-lo. Recomendamos que voc renomeie o site
Primeiro-site-padro para refletir um nome de site que esteja alinhado com a
empresa e a topologia da rede.
Os sites so teis somente quando um cliente ou servidor sabe o site a que
pertence. Isso geralmente feito por meio da associao do endereo IP do sistema
a um site e os objetos de sub-rede realizam essa associao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Para criar um objeto de sub-rede:
1. Clique com o boto direito do mouse no n Sub-redes no snap-in Servios e
Sites do Active Directory e escolha Nova Sub-rede. A caixa de dilogo Novo
objeto Sub-rede ser exibida.
2. Insira o prefixo da rede e o tamanho da mscara de sub-rede.

O objeto da sub-rede definido como um intervalo de endereos com o uso da
notao de prefixo de rede. Por exemplo, para inserir uma sub-rede que
representa os endereos 10.1.1.1 a 10.1.1.254 com uma mscara de sub-rede
de 24 bits, o prefixo seria 10.1.1.0/24. Para obter mais informaes sobre
como inserir endereos, clique no link Mais informaes sobre como digitar
prefixos de endereo na caixa de dilogo Novo objeto Sub-rede.
3. Depois de inserir um prefixo de rede, selecione o objeto do site com o qual
sub-rede est associada.
Uma sub-rede pode ser associada a apenas um site. Entretanto, um site pode
ter mais de uma sub-rede vinculada a ele. A caixa de dilogo Propriedades de
um site, mostrada na captura de tela seguinte, mostra as sub-redes associadas
ao site. Entretanto, no possvel alterar as sub-redes nessa caixa de dilogo.
Em vez disso, voc deve abrir as propriedades da sub-rede, mostradas na
captura de tela a seguir, para alterar o site ao qual a sub-rede vinculada.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Observao: Definindo cada sub-rede IP. Em seu ambiente de produo, defina cada
sub-rede IP como um objeto de sub-rede do Active Directory. Se o endereo IP de um
cliente no estiver includo em um intervalo de sub-rede, o cliente no poder
determinar a qual site do Active Directory ele pertence, o que pode causar problemas de
desempenho e de funcionalidade. No esquea das sub-redes de backbone e das
sub-redes usadas para acesso remoto, tais como intervalos de endereo VPN (rede virtual
privada).

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Gerenciamento de controladores de domnio em sites

Pontos principais
H momentos em que voc precisa gerenciar controladores de domnio em sites do
Active Directory:
Voc cria um novo site e move um controlador de domnio existente para ele.
Voc rebaixa um controlador de domnio.
Voc promove um novo controlador de domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Quando voc cria sua floresta do Active Directory, o primeiro controlador de
domnio automaticamente colocado sob o objeto de site chamado Primeiro-site-
padro. Voc pode ver o controlador de domnio SERVER01.contoso.com na
seguinte captura de tela.

Controladores de domnio sero adicionados aos sites com base em seus
endereos IP. Por exemplo, se um servidor com endereo IP 10.1.1.17
promovido para um controlador de domnio, o servidor ser automaticamente
adicionado ao site BRANCHA porque a sub-rede 10.1.1.0/24 foi associada ao site
BRANCHA (consulte o slide anterior). A captura de tela anterior mostra SERVER02
no site BRANCHA.
Cada site possui um continer Servidores, que contm um objeto para cada
controlador de domnio no site. O continer Servidores em um site deve mostrar
somente controladores de domnio, no todos os servidores. Quando voc
promover um novo controlador de domnio, o controlador de domnio, por
padro, ser colocado no site associado a seu endereo IP. Entretanto, o Assistente
de Instalao dos Servios de Domnio Active Directory permitir que voc
especifique outro site. Voc tambm pode criar previamente o objeto de servidor
do controlador de domnio no site correto, clicando com o boto direito do mouse
no continer Servidores no site apropriado e escolhendo Servidor no menu Novo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Finalmente, voc pode mover o controlador de domnio para o site correto depois
da instalao, clicando com o boto direito do mouse no servidor e escolhendo
Mover. Na caixa de dilogo Mover servidor, selecione o novo site e clique em OK.
O controlador de domnio movido. Uma prtica recomendada colocar um
controlador de domnio no objeto do site associado ao endereo IP do controlador
de domnio. Se um controlador de domnio for de hospedagem mltipla, ele
poder pertencer a apenas um site. Se um site no tiver controladores de domnio,
os usurios ainda podero fazer logon no domnio. Suas solicitaes de logon
sero manipuladas por um controlador de domnio em um site adjacente ou em
outro controlador de domnio no domnio.
Para remover um objeto de controlador de domnio, clique com o boto direito do
mouse nele e escolha Excluir.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Localizao do controlador de domnio: Registros SRV

Pontos principais
Voc iniciou esta lio, examinando o AD DS (Servios de Domnio Active
Directory) como um servio distribudo, fornecendo autenticao e acesso a
diretrio em mais de um controlador de domnio. Voc aprendeu a identificar
onde, na topologia da sua rede, definir sites e colocar controladores de domnio.
Agora voc est pronto para examinar como, exatamente, a localizao de servio
funciona como os clientes do Active Directory se tornam reconhecedores de site
e localizam o controlador de domnio em seu site. Embora esse nvel de detalhe
seja improvvel de aparecer no exame de certificao, ele pode ser extremamente
til quando voc precisa solucionar problemas de autenticao de um computador
ou de um usurio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Registros do localizador de servios
Quando um controlador de domnio adicionado ao domnio, ele anuncia seu
servio, criando os registros SRV, tambm chamados de registros de localizador,
no DNS. Ao contrrio dos registros de host (registros A), que mapeiam nomes de
host para endereos IP, os registros SRV mapeiam servios para nomes de host. O
controlador de domnio anuncia sua habilidade para fornecer autenticao e acesso
a diretrio, registrando registros Kerberos e SRV LDAP. Esses registros SRV so
adicionados a vrias pastas nas zonas DNS da floresta. A primeira pasta est na
zona do domnio. Ela se chama _tcp e contm os registros SRV de todos os
controladores de domnio no domnio. A segunda pasta especfica deste site, no
qual o controlador de domnio se encontra, com o caminho
_sites\nome_do_site\_tcp, onde nome_do_site o nome do site.

Na captura de tela anterior, voc pode ver os registros Kerberos e SRV LDAP de
SERVER02.contoso.com neste site, _sites\BRANCHA\_tcp. Voc tambm pode
criar a pasta _tcp no primeiro nvel abaixo da zona.
Os mesmos registros so registrados em vrios locais na zona
_msdcs.nome_do_domnio, por exemplo, _msdcs.contoso.com na captura de tela
anterior. Esta zona contm registros de Microsoft Domain Controller Services. Os
caracteres sublinhados so uma exigncia da RFC 2052.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Os registros de localizador contm:
O nome e a porta do servio. Esta parte do registro SRV indica um servio
com uma porta fixa. Ela no precisa ser uma porta bem conhecida. Os
registros SRV no Windows Server 2008 incluem LDAP (porta 389), Kerberos
(porta 88), Kerberos Password protocol (KPASSWD, porta 464) e servios GC
(porta 3268).
Protocolo. TCP ou UDP ser includo como um protocolo de transporte para
o servio. O mesmo servio pode usar ambos os protocolos, em registros SRV
separados. Os registros Kerberos, por exemplo, so registrados para TCP e
UDP. Os clientes da Microsoft usam somente TCP, mas os clientes UNIX
podem usar TCP.
Nome do host. O nome corresponde ao registro A (Host) do servidor que
hospeda o servio. Quando um cliente consulta um servio, o servidor DNS
retorna o registro SRV e os registros A associados, de forma que o cliente no
precise enviar uma consulta separada para resolver o endereo IP de um
servio.

O nome do servio no registro SRV segue a hierarquia de DNS padro, com
componentes separados por pontos. Por exemplo, o servio Kerberos de um
controlador de domnio registrado como:
kerberos._tcp.nome_do_site._sites.nome_do_domnio
Lendo este nome de registro SRV da direita para a esquerda como outros registros
DNS, ele se traduz como:
nome_do_domnio: o domnio ou a zona, por exemplo, contoso.com
_sites: todos os sites registrados no DNS
nome_do_site: o site do controlador de domnio que registra o servio
_tcp: quaisquer servios baseados em TCP no site
kerberos: um KDC (Centro de distribuio de chaves Kerberos) usando TCP
como seu protocolo de transporte

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Localizao do controlador de domnio: Cliente

Pontos principais
Imagine que um cliente do Windows tenha acabado de ingressar no domnio. Ele
reinicia, recebe um endereo IP de um servidor DHCP e est pronto para se
autenticar no domnio. Como o cliente sabe onde encontrar um controlador de
domnio?
Ele no sabe. Portanto, o cliente consulta o domnio de um controlador de
domnio, consultando a pasta _tcp que, voc se lembrar, contm os registros SRV
de todos os controladores de domnio no domnio. O DNS retorna uma lista de
todos os controladores de domnio correspondentes, e o cliente tenta contat-los,
em sua primeira inicializao. O primeiro controlador de domnio que responde ao
cliente examina o endereo IP do cliente, faz referncia cruzada desse endereo
com os objetos de sub-rede, e informa ao cliente a que site ele pertence. O cliente
armazena o nome do site em seu registro, em seguida, consulta os controladores
de domnio na pasta _tcp especfica do site. O DNS retorna uma lista de todos os
controladores de domnio no site. O cliente tenta se vincular a todos e o
controlador de domnio que responde primeiro autentica o cliente.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O cliente forma uma afinidade com esse controlador de domnio e tentar se
autenticar com o mesmo controlador de domnio no futuro. Se o controlador de
domnio estiver indisponvel, o cliente consulta a pasta _tcp do site e tenta se
vincular a todos os controladores de domnio no site. No entanto, o que acontece
se o cliente for um computador mvel um laptop? Imagine que o computador
tenha se autenticado no site BRANCHA e o usurio traga o computador para o site
BRANCHB. Quando o computador se inicia, ele tenta realmente se autenticar com
seu controlador de domnio preferido no site BRANCHA. Esse controlador de
domnio observa que o endereo IP do cliente associado a BRANCHB e informa
ao cliente sobre seu novo site. O cliente consulta o DNS sobre os controladores de
domnio em BRANCHB.
Voc pode ver como, armazenando as informaes da sub-rede e do site no Active
Directory e registrando servios no DNS, um cliente encorajado a usar servios
em seu site a definio da localizao do servio.
Leitura adicional
Para obter mais informaes sobre a localizao do controlador de domnio,
visite (em ingls)
http://technet.microsoft.com/pt-br/library/cc978016(en-us).aspx

Incluso de site
O que acontece se um site no possui controlador de domnio? Os sites podem ser
usados para direcionar usurios para cpias locais de recursos replicados, tais
como pastas compartilhadas replicadas em um namespace DFS, de forma que
possa haver sites sem um controlador de domnio. Neste caso, um controlador de
domnio prximo registrar seus registros SRV no site em um processo chamado
incluso de site. Para ser preciso, um site sem um controlador de domnio
geralmente ser coberto por um controlador de domnio em um site com o custo
mais baixo para o site que requer incluso. Voc aprender mais sobre os custos
do link de site na Lio 3. Voc tambm pode configurar manualmente a incluso
de site e a prioridade do registro SRV, se quiser implementar um controle estrito
sobre a autenticao em sites sem controladores de domnio. A URL que acabou de
ser listada contm detalhes sobre o algoritmo que determina qual controlador de
domnio cobre automaticamente um site sem um controlador de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Configurao de sites e sub-
redes

Cenrio
Voc um administrador da Contoso, Ltd. e est se preparando para aprimorar a
localizao de servio e a replicao do Active Directory de sua empresa. O
administrador anterior no fez alteraes na configurao original de sites e sub-
redes. Voc deseja comear o processo, definindo a sua topologia fsica no Active
Directory.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar o site padro
Neste exerccio, voc renomear o site Primeiro-site-padro e associar suas sub-
redes ao site.
2. Renomear o Primeiro-site-padro.
3. Criar uma sub-rede e associ-la a um site.

Pa$$w0rd. Esta mquina virtual pode levar alguns minutos para iniciar.
Depois de fazer logon em HQDC01, inicie 10222A-HQDC02-B mas no faa
logon.
Depois que HQDC02 tiver sido iniciado, inicie 10222A-HQDC03-B mas no
faa logon.
Depois que HQDC03 tiver sido iniciado, inicie 10222A-BRANCHDC01-B mas
no faa logon.
Aguarde o fim da inicializao de BRANCHDC01 antes de continuar com a
prxima tarefa.

Tarefa 2: Renomear o Primeiro-site-padro
Execute Servios e Sites do Active Directory como administrador, com o
Renomeie o Primeiro-site-padro para HEADQUARTERS.

Tarefa 3: Criar uma sub-rede e associ-la a um site
Crie duas sub-redes: 10.0.0.0/24 e 10.0.1.0/24, e associe cada uma ao site
HEADQUARTERS.

Resultados: aps esse exerccio, voc dever ter um site chamado HEADQUARTERS e
duas sub-redes (10.0.0.0/24 e 10.0.1.0/24) associadas a ele.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Criar sites adicionais
Neste exerccio, voc criar um segundo site e o associar a uma sub-rede.
1. Criar sites adicionais.
2. Criar sub-redes e associ-las a sites.

Tarefa 1: Criar sites adicionais
Crie um site chamado HQ-BUILDING-2.
Crie um site chamado BRANCHA.

Tarefa 2: Criar sub-redes e associ-las a sites
Crie uma sub-rede, 10.1.0.0/24, e associe-a ao site HQ-BUILDING-2.
Crie uma sub-rede, 10.2.0.0/24, e associe-a ao site BRANCHA.

Resultados: aps esse exerccio, voc dever ter criado 2 novos sites, HQ-BUILDING-2
e BRANCHA, e associado os mesmos s sub-redes 10.1.0.0/24 e 10.2.0.0/24.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Mover controladores de domnio para sites
Tarefa 1: Mover controladores de domnio para novos sites
Mova HQDC03 para o site HQ-BUILDING-2.
Mova BRANCHDC01 para o site BRANCHA.

Importante: no desligue as mquinas virtuais ao concluir este laboratrio, pois as
configuraes feitas aqui sero usadas nos laboratrios subsequentes neste mdulo.
Pergunta: Voc possui um site com 50 sub-redes, cada uma com um endereo de
sub-rede 10.0.x.0/24, e no possui outras sub-redes 10.0.x.0, o que voc poderia
fazer para facilitar a identificao das 50 sub-redes e associ-las a um site?
Pergunta: Por que importante que todas as sub-redes sejam identificadas e
associadas a um site em uma empresa com vrios sites?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 2
Configurao do catlogo global e das
parties de aplicativos

Assim que voc tiver mais de um controlador de domnio em seu domnio, dever
considerar a replicao do banco de dados do diretrio entre os controladores de
domnio. Nesta lio, voc aprender quais parties de diretrio so replicadas
para cada controlador de domnio em uma floresta e como gerenciar a replicao
do GC e as parties de aplicativos.
Objetivos
Definir a finalidade do GC.
Configurar os controladores de domnio como servidores do GC.
Implementar o cache de associao de grupo universal.
Compreender a funo das parties de diretrio de aplicativos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Reviso das parties do Active Directory

Pontos principais
No Mdulo 1, voc aprendeu que o AD DS (Servios de Domnio Active Directory)
inclui um armazenamento de dados para identidade e gerenciamento,
especificamente o banco de dados de diretrio, Ntds.dit. Nesse nico arquivo esto
as parties de diretrio. Cada partio de diretrio, tambm chamada de contexto
de nomenclatura, contm objetos de um escopo e finalidade particulares. Os trs
principais contextos de nomenclatura foram discutidos neste curso:
Domnio. O NC (contexto de nomenclatura) Domnio contm todos os
objetos armazenados em um domnio, incluindo usurios, grupos,
computadores e GPCs (contineres de Diretiva de Grupo).
Configurao. A partio Configurao contm objetos que representam a
estrutura lgica da floresta, incluindo domnios, assim como a topologia fsica,
incluindo sites, sub-redes e servios.
Esquema. O Esquema define as classes de objeto e seus atributos para o
diretrio inteiro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Cada controlador de domnio mantm uma cpia, ou rplica, de vrios contextos
de nomenclatura. A Configurao replicada para cada controlador de domnio na
floresta, como o Esquema. O contexto de nomenclatura Domnio de um domnio
replicado para todos os controladores de domnio em um domnio mas no para
controladores de domnio em outros domnios, sendo assim, cada controlador de
domnio possui pelo menos trs rplicas: o NC Domnio do seu domnio,
Configurao e Esquema.
Tradicionalmente, as rplicas so completas, pois elas contm cada objeto de um
atributo, e so gravveis em todos os controladores de domnio. A partir do
Windows Server 2008, os RODCs mudam de figura ligeiramente. Um RODC
mantm uma rplica somente leitura de todos os objetos nos NCs Configurao,
Esquema e Domnio de seu domnio. Entretanto, certos atributos no so
replicados para um RODC especificamente, segredos como senhas de usurio
a menos que a diretiva de senha do RODC permita tal replicao. Existem tambm
atributos que so segredos de domnio e de floresta que nunca so replicados para
um RODC.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Compreenso do Catlogo Global

Pontos principais
Imagine uma floresta com dois domnios. Cada domnio possui dois controladores
de domnio. Todos os quatro controladores de domnio mantero uma rplica dos
NCs Esquema e Configurao da floresta. Os controladores de domnio no
Domnio A possuem rplicas do NC Domnio do Domnio A, e os controladores de
domnio no Domnio B possuem rplicas do NC Domnio do Domnio B.
O que acontece se um usurio no Domnio B estiver procurando por um usurio,
computador ou grupo no Domnio A? Os controladores de domnio do Domnio B
no mantm quaisquer informaes sobre objetos no Domnio A, portanto, um
controlador de domnio no Domnio B no poderia responder a uma consulta
sobre objetos no NC Domnio do Domnio A.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A que entra o catlogo global. O catlogo global (GC) uma partio que
armazena informaes sobre cada objeto na floresta. Quando um usurio no
Domnio B procura por um objeto no Domnio A, o GC fornece os resultados da
consulta. Para otimizar sua eficcia, o GC no contm cada atributo de cada objeto
na floresta. Em vez disso, ele contm uma sub-rede de atributos que so teis para
pesquisa entre domnios. Por isso, o GC tambm chamado de PAS (conjunto de
atributos parcial). Em termos de sua funo de suporte pesquisa, voc pode
pensar no GC como um tipo de ndice do armazenamento de dados do AD DS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Posicionamento de servidores de catlogo global

Pontos principais
O GC aprimora muito o servio de diretrio e ele necessrio para aplicativos
como o Microsoft Exchange Server e o Microsoft Office Outlook. Portanto, voc
deseja que um GC esteja disponvel para esses e outros aplicativos. O GC pode ser
servido apenas por um controlador de domnio e, em um ambiente ideal, cada
controlador de domnio seria um servidor de GC. Na verdade, muitas organizaes
agora esto configurando todos os seus controladores de domnio como servidores
do GC.
A desvantagem potencial dessa configurao se relaciona replicao. O GC
outra partio que deve ser replicada. Em uma floresta de um nico domnio,
muito pouca sobrecarga realmente adicionada pela configurao de todos os
controladores de domnio como servidores do GC, pois todos os controladores de
domnio j mantm um conjunto completo de todos os objetos de domnio e de
floresta. Em uma floresta grande de muitos domnios, haver sobrecarga
relacionada replicao de alteraes no conjunto de atributos parcial de objetos
em outros domnios. Entretanto, muitas organizaes esto descobrindo que a
replicao do Active Directory suficientemente eficaz para replicar o GC sem
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
impacto significativo em suas redes e que os benefcios compensam muito esse
impacto. Se voc optar por configurar todos os controladores de domnio como
servidores do GC, no precisar mais se preocupar com o posicionamento do
mestre de operaes da infraestrutura, pois sua funo no mais necessria em
um domnio onde todos os controladores de domnio so servidores do GC.
particularmente recomendado configurar um servidor de GC em um controlador
de domnio em um site onde uma ou mais das afirmaes abaixo verdadeira:
Um aplicativo usado comumente realiza consultas de diretrio, usando a porta
3268, o GC.
A conexo a um servidor de GC lenta ou no confivel.
O site contm um computador executando o Exchange Server.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configurao de um servidor de catlogo global

Pontos principais
Quando voc cria o primeiro domnio na floresta, o primeiro controlador de
domnio configurado como um GC.
Voc deve decidir para cada controlador de domnio adicional se ele deve ser um
servidor de GC. O Assistente de Instalao dos Servios de Domnio Active
Directory e o comando Dcpromo.exe permitem que voc configure um servidor de
GC ao promover um controlador de domnio.
Voc tambm pode adicionar ou remover o GC de um controlador de domnio,
usando Sites e Servios do Active Directory.
Para configurar um controlador de domnio como um GC:
1. Expanda o site, o continer Servidores no site, e objeto de servidor do
2. Clique com o boto direito do mouse no n Configuraes de NTDS e
escolha Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Na guia Geral, mostrada na captura de tela a seguir, marque a caixa de seleo
Catlogo global.

Para remover o GC de um controlador de domnio, realize as mesmas etapas,
desmarcando a caixa de seleo Catlogo global.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Cache de Associao de Grupo Universal

Pontos principais
No Mdulo 4, voc aprendeu que o Active Directory oferece suporte a grupos de
escopo universal. Grupos universais so criados para incluir usurios e grupos de
vrios domnios em uma floresta. A associao de grupos universal replicada no
GC. Quando um usurio faz logon, a associao de grupo universal do usurio
obtida de um servidor de GC. Se um GC no estiver disponvel, a associao de
grupo universal no estar disponvel. possvel que um grupo universal seja
usado para negar o acesso do usurio aos recursos, para que o Windows evite um
incidente de segurana, negando a autenticao de domnio para o usurio. Se o
usurio tiver feito logon em seu computador antes, ele poder fazer logon usando
credenciais armazenadas em cache, mas assim que ele tentar acessar os recursos da
rede, o acesso ser negado.
Para resumir: se um servidor de GC no estiver disponvel, os usurios conseguiro
efetivamente fazer logon e acessar os arquivos da rede.
Se cada controlador de domnio for um servidor de GC, esse problema no
acontecer.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Entretanto, se a replicao for um problema e se voc optou por no configurar um
controlador de domnio como um servidor de GC, ser possvel facilitar o logon
bem-sucedido, habilitando o UGMC (cache de associao de grupo universal).
Quando voc configura o cache de associao de grupo universal em um
controlador de domnio em uma filial, por exemplo, esse controlador de domnio
obter as informaes da associao de grupo universal de um GC de um usurio
quando ele fizer logon pela primeira vez no site, e o controlador de domnio
armazenar essa informao em cache indefinidamente, atualizando as
informaes dos membros de grupos universais a cada oito horas. Sendo assim, se
o usurio depois fizer logon e um servidor de GC no estiver acessvel, o
controlador de domnio poder usar essas informaes de grupos em cache para
permitir o logon do usurio.
Portanto, recomendamos que em sites com conectividade no confivel a um servidor
de GC, voc deve configurar o UGMC nos controladores de domnio do site.
Para configurar o UGMC:
1. Abra o snap-in Sites e Servios do Active Directory e selecione o site na
rvore de console.
2. No painel de detalhes, clique com o boto direito do mouse em
Configuraes de Site NTDS e escolha Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. A caixa de dilogo Propriedades das Configuraes de Site NTDS, mostrada
na captura de tela a seguir, expe a opo Ativar Cache de Associao de
Grupo Universal. Voc pode marcar a caixa de seleo e especificar o GC a
partir do qual o cache de associao ser atualizado.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Compreenso das parties de diretrio de aplicativos

Pontos principais
Enquanto as parties Domnio, Configurao e Esquema do diretrio so
replicadas para todos os controladores de domnio em um domnio e as parties
Configurao e Esquema so replicadas em todos os controladores de domnio nas
florestas, e o conjunto de atributos parcial replicado pelos servidores de catlogo
global, o Active Directory tambm oferece suporte a parties de diretrio de
aplicativos. Uma partio de diretrio de aplicativo uma parte do armazenamento
de dados que contm objetos necessrios para um aplicativo ou servio que esteja
fora do ncleo do servio do AD DS. Ao contrrio das outras parties, as parties
de aplicativos podem ser replicadas para controladores de domnio especficos. Por
padro, elas no so replicadas para todos os controladores de domnio.
As parties de diretrio de aplicativos so criadas para oferecer suporte a
aplicativos e servios habilitados para diretrio. Elas podem conter qualquer tipo
de objeto, exceto objetos de segurana como usurios, computadores ou grupos de
segurana. Como essas parties so replicadas somente quando necessrio, as
parties de diretrio de aplicativos oferecem o benefcio da tolerncia a falhas,
disponibilidade e desempenho, enquanto otimizam o trfego da replicao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A forma mais fcil de compreender as parties de diretrio de aplicativos
examinar as parties de diretrio de aplicativos mantidas pelo Servidor DNS da
Microsoft. Quando voc cria uma zona integrada do Active Directory, os registros
DNS so replicados entre os servidores DNS, usando uma partio de diretrio de
aplicativos. A partio e seus objetos de registro DNS no so replicados para cada
controlador de domnio, somente aqueles que agem como servidores DNS.
Para explorar as parties de diretrio de aplicativos em sua floresta:
1. Abra ADSI Editar.
2. Clique com o boto direito do mouse na raiz do snap-in, ADSI Editar e
escolha Conectar a.
3. Na lista suspensa Selecione um contexto de nomenclatura bem conhecido,
escolha Configurao e clique em OK.
4. Expanda Configurao e a pasta que representa a partio Configurao e
selecione a pasta Parties, CN=Partitions, na rvore de console.
No painel de detalhes, voc ver as parties em seu armazenamento de dados
do AD DS, como mostrado na captura de tela abaixo.

Observe as duas parties de aplicativos na figura, ForestDnsZones e
DomainDnsZones. A maioria das parties de aplicativos so criadas pelos
aplicativos que necessitam delas. DNS um exemplo e TAPI (API de telefonia)
outro. Os membros do grupo Administradores de empresa tambm podem criar
parties de diretrio de aplicativos manualmente, usando Ntdsutil.exe.
Uma partio de aplicativos pode aparecer em qualquer lugar no namespace da
floresta em que uma partio de domnio pode aparecer. Os nomes diferenciados
de parties DNS DC=DomainDnsZones,DC=contoso,DC=com, por exemplo
colocam as parties como filhas da partio de domnio DC=contoso,DC=com.
Uma partio de aplicativos tambm pode ser uma filha de outra partio de
aplicativos ou uma nova rvore na floresta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
De modo geral, voc usar ferramentas especficas do aplicativo para gerenciar a
partio de diretrio de aplicativo, seus dados e sua replicao. Por exemplo,
simplesmente adicionar uma zona integrada do Active Directory a um servidor
DNS configurar automaticamente o controlador de domnio para receber uma
rplica da partio DomainDns. Com ferramentas como Ntdsutil.exe e Ldp.exe,
voc pode gerenciar diretamente as parties de diretrio de aplicativos.
importante que voc considere as parties de aplicativos antes de rebaixar um
controlador de domnio. Se um controlador de domnio estiver hospedando uma
partio de diretrio de aplicativo, voc deve avaliar a finalidade da partio, se ela
necessria para quaisquer aplicativos e se o controlador de domnio mantm a
ltima rplica restante da partio, nesse caso, rebaixar o controlador de domnio
resultar na perda permanente de todas as informaes da partio. Embora o
Assistente de Instalao dos Servios de Domnio Active Directory v avis-lo para
remover as parties de diretrio de aplicativos, recomendamos que voc as
remova manualmente antes de rebaixar um controlador de domnio.
Leitura adicional
Para obter mais informaes sobre as parties de diretrio de aplicativos (em
ingls), visite
Para aprender como gerenciar parties de diretrio de aplicativos (em ingls),
consulte http://technet.microsoft.com/pt-br/library/cc706993(WS.10).aspx
Para obter mais informaes sobre as parties de diretrio de aplicativos e o
rebaixamento de controlador de domnio, visite

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Configurao do catlogo global
e das parties de aplicativos

Cenrio
Voc o administrador da Contoso, Ltd. Em seu esforo contnuo para aprimorar
a disponibilidade e a resilincia do servio de diretrio, voc decide configurar
servidores de catlogo global adicionais e cache de associao de grupo universal.
Voc tambm est curioso sobre a relao entre zonas DNS integradas ao Active
Directory e as parties de aplicativos DNS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar um catlogo global
O primeiro controlador de domnio em uma floresta age como um servidor de GC.
Talvez voc queira colocar servidores de GC em locais adicionais para que haja
suporte s consultas de diretrio, logon e aplicativos como o Exchange Server.
Neste exerccio, voc configurar o BRANCHDC01 para hospedar uma rplica do
conjunto de atributos parcial o catlogo global.
2. Configurar um servidor de catlogo global.

Tarefa 1: Iniciar e fazer logon nas mquinas virtuais
As mquinas virtuais j devem estar iniciadas e disponveis aps a concluso do
Laboratrio A. Entretanto, caso no estejam, voc deve concluir as etapas abaixo e
depois percorrer os Exerccios 1 a 3 no Laboratrio A antes de continuar.
1. Inicie 10222A-HQDC01-B e faa logon como Pat.Coleman com a senha
2. Depois de fazer logon em HQDC01, inicie 10222A-HQDC02-B, mas no faa
logon.
3. Depois que HQDC02 tiver sido iniciado, inicie 10222A-HQDC03-B, mas no
faa logon.
4. Depois que HQDC03 tiver sido iniciado, inicie 10222A-BRANCHDC01-B, mas
no faa logon.
5. Aguarde o fim da inicializao de BRANCHDC01 antes de continuar com a
prxima tarefa.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Configurar um servidor de catlogo global
1. Execute Servios e Sites do Active Directory como administrador, com o
2. Configure HQDC02 como um servidor de catlogo global.
3. Confirme que BRANCHDC01 um servidor de catlogo global.

Resultados: aps esse exerccio, voc dever ter configurado HQDC02 como um
servidor de catlogo global e confirmado que BRANCHDC01 j um servidor de
catlogo global.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Configurar o cache de associao de grupos
universal
Em sites sem servidores de GC, o logon do usurio pode ser impedido, se o
controlador de domnio do site no conseguir contatar um servidor de GC em
outro site. Para reduzir a probabilidade deste cenrio, voc pode configurar um site
para armazenar em cache a associao de grupos universal. Neste exerccio, voc
criar um site para refletir uma filial e configurar o site para armazenar em cache a
associao de grupo universal.
Configurar o cache de associao de grupo universal.

Tarefa 1: Configurar o cache de associao de grupo universal
Defina as Configuraes de Site NTDS de BRANCHA para que os
controladores de domnio armazenem em cache a associao de grupo
universal.

Resultados: aps esse exerccio, voc dever ter configurado os controladores de
domnio em BRANCHA para armazenar em cache a associao de grupo universal.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Examinar o DNS e as parties de diretrio de
aplicativos
Neste exerccio, voc explorar os registros DNS relacionados replicao e
partio de diretrio de aplicativo DomainDnsZone, usando ADSI Editar.
1. Examinar os registros DNS relacionados replicao.
2. Examinar a partio de diretrio de aplicativo DNS.

Tarefa 1: Examinar os registros DNS relacionados replicao
1. Execute o Gerenciador DNS como administrador, com o nome de usurio
2. Examine os registros de localizador de servio em
_tcp.HEADQUARTERS._sites.contoso.com
3. Examine os registros de localizador de servio em
_tcp.BRANCHA._sites.contoso.com.

Tarefa 2: Examinar a partio de diretrio de aplicativo DNS
1. Clique em Iniciar>Ferramentas Administrativas>ADSI Editar e insira as
credenciais administrativas quando solicitado. Use a conta
2. Na rvore de console, clique com o boto direito do mouse em ADSI Editar e
clique em Conectar a.
selecione Configurao.
4. Aceite todos os outros padres. Clique em OK.
5. Na rvore de console, clique em Configurao e expanda.
6. Na rvore de console, clique em CN=Configuration, DC=contoso, DC=com e
expanda.
7. Na rvore de console, clique em CN=Partitions.
8. Clique com o boto direito do mouse em ADSI Editar e clique em Conectar a.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
9. Clique em Selecione ou digite um nome distinto ou contexto de
nomenclatura.
10. Na caixa de combinao, digite DC=DomainDnsZones,DC=contoso,DC=com.
Clique em OK.
11. Na rvore de console, clique em Contexto de Nomenclatura Padro e
expanda.
12. Clique em DC=DomainDnsZones,DC=contoso,DC=com e expanda.
13. Clique em CN=MicrosoftDNS e expanda.
14. Clique em DC=contoso.com.
15. Examine os objetos neste continer. Compare os registros com os registros
DNS que voc examinou no exerccio anterior.

Resultados: aps esse exerccio, voc dever ter explorado os registros DNS e a
partio de diretrio de aplicativo de DNS no domnio contoso.com.

Importante: no desligue as mquinas virtuais ao concluir este laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes neste mdulo.
Pergunta: Descreva o relacionamento entre os registros que voc visualizou em
ADSI Editar e os registros que visualizou no Gerenciador DNS.
Pergunta: Quando voc examinou os registros DNS em
_tcp.BRANCHA._sites.contoso.com, qual controlador de domnio estava
registrando os registros de localizador de servio no site? Explique por que ele fez
isso.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 3
Configurao da replicao

Na Lio 1, voc aprendeu a criar objetos de site e de sub-rede que permitem que o
Active Directory e seus clientes localizem autenticao e acesso a diretrio e
decidiu onde os controladores de domnio devem ser colocados. Na Lio 2, voc
configurou servidores GC e parties de diretrio de aplicativos e gerenciou o que
ser replicado entre controladores de domnio. Nesta lio, voc aprender como e
quando a replicao ocorre. Voc descobrir por que a configurao padro do
Active Directory oferece suporte replicao efetiva e por que voc deve modificar
essa configurao para que a replicao seja igualmente efetiva, porm mais eficaz,
com base em sua topologia de rede.
Objetivos
Criar objetos de conexo para configurar a replicao entre dois controladores
de domnio.
Implementar links de sites e custos de link de sites para gerenciar a replicao
entre sites.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Designar servidores bridgehead preferidos.
Compreender notificao e sondagem.
Relatar e analisar a replicao com repadmin.exe.
Realizar as verificaes de integridade da replicao do Active Directory com
dcdiag.exe.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Compreenso da replicao do Active Directory

Pontos principais
Nas lies anteriores, voc aprendeu como colocar controladores de domnio em
locais de rede e como representar esses locais com objetos de site e de sub-rede.
Voc tambm aprendeu sobre a replicao de parties de diretrio (esquema,
configurao e domnio), o conjunto de atributos parcial (GC) e as parties de
aplicativos. A coisa mais importante de se lembrar quando voc aprende sobre a
replicao do Active Directory que ele projetado de forma que, no fim, cada
rplica em um controlador de domnio seja consistente com as rplicas dessa
partio hospedada em outros controladores de domnio. No provvel que
todos os controladores de domnio tenham exatamente as mesmas informaes
em suas rplicas em qualquer dado momento porque alteraes so feitas
constantemente no diretrio. Entretanto, a replicao do Active Directory garante
que todas as alteraes em uma partio sejam transferidas para todas as rplicas
da partio. A replicao do Active Directory equilibra preciso (ou integridade) e
consistncia (chamada de convergncia) com desempenho (manuteno do trfego
de replicao em um nvel razovel). Esse equilbrio descrito como acoplamento
flexvel.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
As caractersticas principais da replicao do Active Directory so:
Replicao de mestres mltiplos. Qualquer controlador de domnio pode
iniciar e confirmar uma alterao no Active Directory.
Replicao de recepo. Um controlador de domnio solicita, ou "puxa",
alteraes de outros controladores de domnio. Conforme voc aprende mais
sobre replicao, pode ficar fcil esquecer disso, pois um controlador de
domnio notifica seu parceiro de replicao que possui alteraes no diretrio,
ou um controlador de domnio pode consultar seus parceiros para ver se eles
possuem alteraes no diretrio. Mas as alteraes em si so, no fim,
solicitadas ou "puxadas" pelo controlador de domnio de destino.
Replicao armazenar e encaminhar. Um controlador de domnio pode
receber alteraes de um parceiro e disponibilizar essas alteraes para outro
parceiro. Por exemplo, o controlador de domnio B pode receber alteraes
iniciadas pelo controlador de domnio A. Em seguida, o controlador de
domnio C pode receber as alteraes do controlador de domnio B.
Particionamento do armazenamento de dados. Os controladores de
domnio em um domnio hospedam somente o contexto de nomenclatura
desse domnio, o que ajuda a manter a replicao no mnimo, particularmente
em florestas de vrios domnios. Outros dados, incluindo as parties de
diretrio de aplicativos e o conjunto de atributos parcial (GC), no so
replicados para cada controlador de domnio na floresta, por padro.
Gerao automtica de uma topologia de replicao eficaz e robusta. Por
padro, o Active Directory configurar uma topologia de replicao efetiva,
bidirecional, de forma que a perda de um controlador de domnio no impea
a replicao. Esta topologia atualizada automaticamente conforme os
controladores de domnio so adicionados, removidos ou movidos entre sites.
Replicao no nvel de atributo. Quando um atributo de um objeto
modificado, somente esse atributo, e metadados mnimos que descrevem esse
atributo, replicado. O objeto inteiro no replicado exceto quando o objeto
criado.
Controle distinto de replicao intrassite (em um nico site) e replicao
entre sites. A replicao pode ser distintamente controlada nestas situaes.
Deteco e gerenciamento de coliso. Embora seja raro, possvel que um
atributo tenha sido modificado em dois controladores de domnio diferentes
durante uma nica janela de replicao. Se isso ocorrer, as duas alteraes
tero que ser reconciliadas. O Active Directory possui algoritmos de resoluo
que satisfazem praticamente cada situao como essa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
mais fcil compreender a replicao do Active Directory, examinando cada um
dos seus componentes. As sees a seguir examinam os componentes da
replicao do Active Directory.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Replicao intrassite

Pontos principais
Esta seo inclui a discusso dos seguintes tpicos de pontos principais:
Objetos de conexo
O verificador de consistncia de conhecimento
Replicao intrassite
Notificao
Sondagem

Objetos de conexo
Um controlador de domnio replica alteraes de outro controlador de domnio
devido aos objetos de conexo do AD DS, tambm chamados simplesmente de
objetos de conexo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Os objetos de conexo aparecem nas ferramentas administrativas do snap-in Sites
e Servios do Active Directory como objetos contidos no continer Configuraes
de NTDS do objeto de servidor de um controlador de domnio.
A captura de tela a seguir mostra um exemplo: Um objeto de conexo no
SERVER02 configura a replicao de SERVER01 para SERVER02. Um objeto de
conexo representa um caminho de replicao de um controlador de domnio para
outro.

Os objetos de conexo so unidirecionais, representando somente a replicao de
entrada. A replicao no Active Directory sempre uma tecnologia "pull". No
domnio ilustrado acima, SERVER02 recebe alteraes de SERVER01. SERVER02
considerado, neste exemplo, um parceiro de replicao downstream de
SERVER01. SERVER01 o parceiro upstream. As alteraes de SERVER01 fluem
para SERVER02.

Observao: Forar replicao. Voc pode forar a replicao entre dois controladores
de domnio, clicando com o boto direito do mouse no objeto de conexo e escolhendo
Replicar Agora. Lembre-se de que a replicao somente de entrada, portanto, para
replicar ambos os controladores de domnio, voc precisar replicar o objeto de conexo
de entrada de cada controlador de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O verificador de consistncia de conhecimento
Os caminhos de replicao criados entre os controladores de domnio pelos
objetos de conexo criam a topologia de replicao da floresta. Por sorte, voc no
precisa criar manualmente a topologia de replicao. Por padro, o Active Directory
cria uma topologia que garante replicao efetiva. A topologia bidirecional de
forma que se qualquer um controlador de domnio falhar, a replicao continuar
sem ser interrompida. A topologia tambm garante que no haja mais de trs saltos
entre quaisquer dois controladores de domnio.
Voc perceber na captura de tela anterior que o objeto de conexo indica que foi
gerado automaticamente. Em cada controlador de domnio, um componente do
Active Directory chamado verificador de consistncia de conhecimento (KCC)
ajuda a gerar e otimizar a replicao automaticamente entre os controladores de
domnio em um site. O KCC avalia os controladores de domnio em um site e cria
objetos de conexo para construir a topologia bidirecional de trs saltos descrita
anteriormente. Se um controlador de domnio for adicionado ou removido do site,
ou se um controlador de domnio no estiver respondendo, o KCC reorganiza a
topologia dinamicamente, adicionando e excluindo objetos de conexo para
reconstruir uma topologia de replicao efetiva.
Voc pode criar manualmente os objetos de conexo para especificar os caminhos
de replicao que devem persistir. Os objetos de conexo criados manualmente
no so excludos pelo KCC.
Para criar um objeto de conexo:
1. Em Sites e Servios do Active Directory, localize o objeto de servidor do
parceiro de replicao downstream o controlador de domnio que receber
alteraes de um controlador de domnio de origem. Clique com o boto
direito do mouse no continer Configuraes de NTDS no objeto de servidor e
escolha Nova Conexo dos Servios de Domnio Active Directory.
2. Na caixa de dilogo Localizar Controladores de Domnio do Active
Directory, selecione o parceiro de replicao upstream e clique em OK.
3. D um nome ao novo objeto de conexo e clique em OK.
4. Abra as propriedades do objeto de conexo. Use o campo Descrio para
indicar a finalidade de qualquer objeto de conexo criado manualmente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Em um site, existem alguns cenrios que exigiriam a criao de um objeto de
conexo. Um desses cenrios so os mestres de operaes de reserva. Os mestres
de operaes so discutidos no Mdulo 11. Recomendamos que voc selecione os
controladores de domnio como mestres de operaes de reserva a serem usados
caso a funo de mestre de operaes tenha que ser transferida ou capturada. Um
mestre de operaes de reserva deve ser um parceiro de replicao direto com o
mestre de operaes atual. Portanto, se um controlador de domnio chamado
DC01 o mestre de RID, e DC02 o sistema que assumir a funo de mestre de
RID se DC01 ficar offline, ento deve ser criado um objeto de conexo em DC02
para que ele replique diretamente de DC01.
Replicao intrassite
Depois que os objetos de conexo entre os controladores de domnio em um site
tiverem sido estabelecidos automaticamente pelo KCC ou manualmente a
replicao pode acontecer. A replicao intrassite envolve a replicao de alteraes
em um nico site.
Notificao
Considere o site mostrado na captura de tela anterior. Quando SERVER01 faz uma
alterao em uma partio, ele enfileira a alterao de replicao para seus
parceiros. SERVER01 aguarda 15 segundos, por padro, para notificar seu
primeiro parceiro de replicao, SERVER02, da alterao. A notificao o
processo atravs do qual um parceiro upstream informa seus parceiros
downstream que uma alterao est disponvel. SERVER01 aguarda trs segundos,
por padro, entre as notificaes para parceiros adicionais. Esses atrasos,
chamados de atraso de notificao inicial e atraso de notificao subsequente, so
criados para deslocar o trfego de rede causado pela replicao intrassite.
Ao receber a notificao, o parceiro downstream, SERVER02, solicita as alteraes
de SERVER01, e o agente de replicao de diretrio (DRA) faz a transferncia do
atributo de SERVER01 para SERVER02. Neste exemplo, SERVER01 fez a alterao
inicial no Active Directory. Trata-se do controlador de domnio de origem e a
alterao que ele fez origina a alterao. Quando SERVER02 recebe a alterao de
SERVER01, ele faz a alterao em seu diretrio. A alterao no chamada de
alterao de replicao, mas mesmo assim uma alterao. SERVER02 enfileira a
alterao de replicao para seus prprios parceiros downstream.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
SERVER03 um parceiro de replicao downstream de SERVER02. Depois de 15
segundos, SERVER02 notifica SERVER03 de que possui uma alterao. SERVER03
faz a alterao replicada em seu diretrio e notifica seus parceiros downstream. A
alterao fez dois saltos, de SERVER01 para SERVER02 e de SERVER02 para
SERVER03. A topologia de replicao garantir que no haja mais de trs saltos
antes que todos os controladores de domnio no site tenham recebido a alterao.
Aproximadamente 15 segundos por salto significa que a alterao ter sido
replicada totalmente no site em um minuto.
Sondagem
possvel que SERVER01 no faa quaisquer alteraes em suas rplicas por um
longo tempo, particularmente durante as horas de inatividade. Neste caso,
SERVER02, seu parceiro de replicao downstream, no receber notificaes de
SERVER01. Tambm possvel que SERVER01 esteja offline, o que tambm o
impediria de enviar notificaes para SERVER02. Sendo assim, importante que
SERVER02 saiba que seu parceiro upstream est online e simplesmente no possui
quaisquer alteraes.
Isso feito atravs de um processo chamado sondagem. A sondagem envolve o
parceiro de replicao downstream contatando o parceiro de replicao upstream
para consultar se h quaisquer alteraes enfileiradas para replicao. Por padro,
o intervalo de sondagem para replicao intrassite uma vez por hora. possvel,
embora no recomendado, configurar a frequncia de sondagem das propriedades
de um objeto de conexo, clicando em Alterar Agendamento.
Se um parceiro upstream no responder a consultas de sondagem repetidas, o
parceiro downstream inicia o KCC para verificar a topologia de replicao. Se o
servidor upstream estiver realmente offline, a topologia de replicao do site ser
reconstruda para acomodar a alterao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Link de site

Pontos principais
O KCC presume que em um site todos os controladores de domnio podem
alcanar um ao outro. Ele constri uma topologia de replicao intrassite que
agnstica para a conectividade de rede subjacente. Entretanto, entre os sites, voc
pode representar os caminhos de rede atravs dos quais a replicao deve ocorrer,
criando objetos de link de site. Um link de site contm dois ou mais sites. O ISTG
(gerador de topologia entre sites), um componente do KCC, constri os objetos de
conexo entre servidores em cada um dos sites para habilitar a replicao entre sites.
Os links de sites so muito mal compreendidos e a coisa mais importante de se
lembrar sobre um link de site que ele representa um caminho disponvel para
replicao. Um nico link de site no controla as rotas de rede que so usadas.
Quando cria um link de site e adiciona sites a ele, voc est informando ao Active
Directory que ele pode replicar entre qualquer um dos sites associados ao link de
site. O ISTG criar os objetos de conexo e esses objetos determinaro o caminho
real de replicao. Embora a topologia de replicao construda pelo ISTG v
replicar efetivamente o Active Directory, talvez ela no seja eficaz, considerando-se
a sua topologia de rede.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Ilustraremos este conceito com um exemplo. Quando voc cria uma floresta, um
objeto de link de site criado: DEFAULTIPSITELINK. Por padro, cada novo site
que voc adicionada associado a DEFAULTIPSITELINK. Considere uma
organizao com um data center na matriz e trs filiais. As trs filiais so cada uma
conectada ao data center com um link dedicado. Voc cria sites para cada filial,
Seattle (SEA), Amsterd (AMS) e Pequim (PEK). A topologia de rede e de site
mostrada na imagem a seguir.

Como todos os quatro sites esto no mesmo link de site, voc est informando ao
Active Directory que todos os quatro sites podem se replicar um com o outro. Isso
significa que possvel que Seattle v replicar alteraes de Amsterd, Amsterd v
replicar alteraes de Pequim e Pequim v replicar alteraes da matriz, que por
sua vez replica as alteraes de Seattle. Em vrios desses caminhos de replicao, o
trfego de replicao na rede flui de uma filial para a matriz em seu caminho para
outra filial. Voc no criou uma topologia de replicao hub e spoke com um nico
link de site, embora a sua topologia de rede seja hub e spoke.
Portanto, recomendamos que voc crie manualmente os links de sites que reflitam
a sua topologia de rede fsica. Continuando o exemplo anterior, voc criaria trs
links de sites:
HQ-AMS, incluindo os sites Matriz e Amsterd
HQ-SEA, incluindo os sites Matriz e Seattle
HQ-PEK, incluindo os sites Matriz e Pequim

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Em seguida, voc excluiria DEFAULTIPSITELINK. A topologia resultante
mostrada na imagem a seguir.

Depois que voc criou os links de sites, o ISTG usar a topologia para construir
uma topologia de replicao entre sites conectando cada site. Os objetos de
conexo sero construdos para configurar os caminhos de replicao entre sites.
Esses objetos de conexo so criados automaticamente e, embora voc possa criar
objetos de conexo manualmente, existem alguns cenrios que requerem a criao
manual de objetos de conexo entre sites.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Protocolos de transporte de replicao

Pontos principais
No snap-in Sites e Servios do Active Directory, voc observar que os links de sites
esto contidos em um continer chamado IP que fica dentro do Continer de
Transportes Entre Sites. As alteraes so replicadas entre os controladores de
domnio por meio de um entre dois protocolos:
DS-RPC (Chamada de Procedimento Remoto do Servio de Diretrio)
O DS-RPC aparece no snap-in Sites e Servios do Active Directory como IP. IP
usado para a replicao intrassite e o protocolo padro e preferido para essa
replicao.
ISM-SMTP (Servio de Mensagens entre Sites-Protocolo SMTP)
Tambm conhecido simplesmente como SMTP, esse protocolo usado somente
quando as conexes entre os sites no so confiveis ou nem sempre esto
disponveis.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Em geral, voc pode presumir que usar IP para toda a replicao entre sites. Muito
poucas organizaes usam o SMTP para replicao devido sobrecarga
administrativa necessria para configurar e gerenciar uma CA (autoridade de
certificao) e porque a replicao do SMTP no tem suporte no contexto de
nomenclatura de domnio, o que significa que se um site usa SMTP para replicar
para o resto da empresa, esse site deve ser seu prprio domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Servidores bridgehead

Pontos principais
O ISTG cria uma topologia de replicao entre sites em um link de site. Para tornar
a replicao mais eficiente, um controlador de domnio selecionado para ser o
servidor bridgehead. O servidor bridgehead responsvel por toda a replicao
para e do site de uma partio. Por exemplo, se um site de data center contm
cinco controladores de domnio, um dos controladores de domnio ser o servidor
bridgehead do contexto de nomenclatura de domnio. Todas as alteraes feitas na
partio de domnio no data center sero replicadas para todos os controladores
de domnio no site. Quando as alteraes alcanarem o servidor bridgehead, elas
sero replicadas para os servidores bridgehead nas filiais, que replicam as
alteraes para os controladores de domnio em seus sites. Da mesma forma,
quaisquer alteraes do contexto de nomenclatura de domnio nas filiais sero
replicadas dos servidores bridgehead das filiais para o servidor bridgehead no data
center, que replica as alteraes para outros controladores de domnio no data
center. A imagem seguinte ilustra a replicao intrassite em dois sites e a replicao
intrassite usando objetos de conexo entre os servidores bridgehead nos sites.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Resumindo, o servidor bridgehead responsvel por replicar as alteraes para
uma partio dos outros servidores bridgehead em outros sites. Ele tambm
pesquisado por outros servidores bridgehead em outros sites para determinar
quando possui alteraes que devem ser replicadas.
Os servidores bridgehead so selecionados automaticamente, e o ISTG cria a
topologia de replicao entre sites para garantir que essas alteraes sejam
replicadas eficazmente entre os bridgeheads que compartilham um link de site. Os
bridgeheads so selecionados por partio, portanto, possvel que um
controlador de domnio em um site seja o servidor bridgehead do esquema e que
outro seja o da configurao. Entretanto, voc geralmente vai descobrir que um
controlador de domnio o servidor bridgehead de todas as parties em um site,
a menos que haja controladores de domnio de outros domnios ou parties de
diretrio de aplicativos, nesse caso, os bridgeheads sero escolhidos para essas
parties.
Servidores bridgehead preferenciais
Voc tambm pode designar um ou mais servidores bridgehead preferenciais.
Para designar um controlador de domnio como um servidor bridgehead
preferencial:
1. Abra as propriedades do objeto de servidor no snap-in Sites e Servios do
Active Directory.
2. Selecione o protocolo de transporte, que sempre ser o IP, e clique em
Adicionar.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Voc pode configurar mais de um servidor bridgehead preferencial para um site,
mas somente um ser selecionado e usado como o bridgehead. Se esse bridgehead
falhar, um dos outros servidores bridgehead preferenciais ser usado.
importante compreender que se voc especificou um ou mais servidores
bridgehead e nenhum dos bridgeheads estiver disponvel, nenhum outro servidor
ser selecionado automaticamente, e a replicao no ocorrer no site, mesmo que
haja servidores que poderiam atuar como bridgehead. Em um ambiente ideal, voc
no deve configurar servidores bridgehead preferenciais. Entretanto, por motivos
de desempenho, voc pode atribuir a funo de servidor bridgehead a
controladores de domnio com mais recursos de sistema. Devido a consideraes
de firewall, talvez seja necessrio que voc atribua um nico servidor para agir
como um bridgehead em vez de permitir que o Active Directory selecione e,
possivelmente, reatribua servidores bridgehead.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Transitividade e pontos de link de site

Pontos principais
Depois que voc tiver criado links de sites e o ISTG gerado objetos de conexo
para replicar parties entre servidores bridgehead que compartilham um link de
site, seu trabalho deve estar completo. Em muitos ambientes, particularmente
aqueles com topologias de rede diretas, os links de sites devem ser suficientes para
gerenciar a replicao entre sites. Entretanto, em muitas redes complexas, voc
pode configurar componentes e propriedades de replicao adicionais.
Transitividade de link de site
Por padro, os links de sites so transitivos. Isso significa que, continuando com o
exemplo anterior, se os sites Amsterd e Matriz estiverem vinculados, e os sites
Matriz e Seattle estiverem vinculados, ento Amsterd e Seattle esto vinculados
transitivamente. Teoricamente, isso quer dizer que o ISTG poderia criar um objeto
de conexo diretamente entre um bridgehead em Seattle e um bridgehead em
Amsterd, novamente utilizando a topologia de rede hub e spoke.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Voc pode desabilitar a transitividade de link, abrindo as propriedades do
transporte IP no continer de Transportes Entre Sites e desmarcando Ponte entre
Links de Sites. Antes de voc fazer isso em um ambiente de produo, invista um
tempo lendo os recursos tcnicos sobre a replicao nas bibliotecas tcnicas do
Windows Server no Microsoft TechNet em http://technet.microsoft.com/pt-br
/default.aspx.
Pontes de link de site
Uma ponte de links de sites conecta dois ou mais links de sites de forma a criar um
link transitivo. As pontes de links de sites so necessrias somente quando voc
desmarcou a opo Ponte entre Links de Sites do protocolo de transporte. Lembre-
se de que a transitividade de link de site habilitada por padro, nesse caso, as
pontes de link de site no tm efeito.
A imagem a seguir ilustra o uso de uma ponte de link de site em uma floresta cuja
transitividade de link de site foi desabilitada. Ao se criar uma ponte de links de
sites, AMS-HQ-SEA, que inclui os links de sites HQ-AMS e HQ-SEA, esses dois links
de sites se tornam transitivos, portanto, pode ser feita uma conexo de replicao
entre um controlador de domnio em Amsterd e um controlador de domnio em
Seattle.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Controle da replicao entre sites

Pontos principais
Os pontos principais desta seo incluem:
Custos dos links de sites
Frequncia de replicao
Agendamentos de replicao

Custos dos links de sites
Os custos dos links de sites so usados para gerenciar o fluxo do trfego de
replicao quando h mais de uma rota para o trfego de replicao. Voc pode
configurar o custo dos links de sites para indicar que um link mais rpido, mais
confivel ou preferencial. Custos mais altos so usados para links lentos e custos
mais baixos so usados para links rpidos. Os Active Directory replica usando a
conexo com o custo mais baixo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Por padro, todos os links de sites so configurados com um custo de 100. Para
alterar o custo dos links de sites, abra as propriedades de um link de site e altere o
valor na caixa de rotao Custo, mostrada na captura de tela seguinte.

Retornando ao exemplo usado anteriormente na lio, imagine se um link de site
foi criado entre os sites Amsterd e Pequim, como mostrado na imagem a seguir.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tal link de site poderia ser configurado para permitir a replicao entre
controladores de domnio nesses dois sites, caso os links para a matriz se
tornassem indisponveis. Talvez voc queira configurar essa topologia como parte
de um plano de recuperao de desastres, por exemplo.
Com o custo de link de site padro de 100 atribudo ao link de site AMS-PEK, o
Active Directory replicar as alteraes diretamente entre Amsterd e Pequim. Se
voc configurar o custo do link de site para 300, as alteraes sero replicadas
entre Amsterd e Matriz, em seguida, entre Matriz e Pequim a um custo de 200 em
vez de diretamente atravs do link de site AMS-PEK a um custo de 300.
Frequncia de replicao
A replicao entre sites baseada somente na sondagem. No h notificao. Por
padro, a cada trs horas, um servidor bridgehead consultar seus parceiros de
replicao upstream para determinar se h alteraes disponveis. Esse intervalo de
replicao muito longo para organizaes que desejam que as alteraes no
diretrio sejam replicadas mais rapidamente. Voc pode alterar o intervalo de
sondagem para cada link de site.
Para alterar o intervalo de sondagem de um link de site:
Abra as propriedades do link de site e altere o valor na caixa de rotao
Replicar a Cada, mostrada na captura de tela anterior.

O intervalo de sondagem mnimo 15 minutos. Isso significa que, usando a
configurao de replicao padro do Active Directory, uma alterao feita no
diretrio em um site levar alguns minutos antes de ser replicada para
controladores de domnio em outro site.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Agendamentos de replicao
Por padro, a replicao ocorre 24 horas por dia. Entretanto, voc pode restringir a
replicao entre sites a horrios especficos, alterando os atributos de agendamento
de um link de site. Abras as propriedades de um link de site e clique no boto
Alterar Agendamento. Usando a caixa de dilogo Agendar para, mostrada na
captura de tela a seguir, voc pode selecionar os horrios durante os quais o link
est disponvel para replicao. O link mostrado na imagem no replicado de 8h
s 18h. De segunda sexta.

Voc deve ser cuidadoso ao programar a disponibilidade do link de site. possvel
programar janelas de disponibilidade que no se sobreponham, situao na qual a
replicao no ocorrer. Geralmente, no recomendado configurar a
disponibilidade de link. Caso no seja necessrio o agendamento de link, voc
deve selecionar a opo Ignorar Agendamentos nas propriedades do protocolo de
transporte IP. Esta opo faz com que quaisquer agendamentos de disponibilidade
de link sejam ignorados, garantindo a replicao 24 horas por dia em todos os
links de sites.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Monitoramento e gerenciamento de replicao

Pontos principais
Depois de implementar a sua configurao de replicao, voc deve ser capaz de
monitorar a replicao de suporte, otimizao e soluo de problemas em
andamento. Duas ferramentas so particularmente teis para relatar e analisar a
replicao: a Ferramenta de Diagnsticos da Replicao (Repadmin.exe) e
Diagnstico do Servidor de Diretrio (Dcdiag.exe). Esta lio apresenta essas
ferramentas poderosas.
Repadmin.exe
A Ferramenta de Diagnsticos da Replicao, Repadmin.exe, uma ferramenta de
linha de comando que permite que voc relate o status de replicao em cada
controlador de domnio. As informaes produzidas por Repadmin.exe podem
ajud-lo a detectar um problema potencial antes que ele saia do controle e a
solucionar problemas de replicao na floresta. Voc pode ver os nveis de detalhe
nos metadados de replicao de objetos e atributos especficos, permitindo a
identificao de onde e quando uma alterao problemtica foi feita no Active
Directory. Voc pode inclusive usar Repadmin.exe para criar a topologia de
replicao e forar a replicao entre os controladores de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como outras ferramentas de linha de comando, voc pode digitar repadmin /?
para ver o uso da ferramenta. Sua sintaxe bsica a seguinte:
repadmin command arguments...
Repadmin.exe oferece suporte a inmeros comandos que realizam tarefas
especficas. Voc pode aprender sobre cada comando, digitando repadmin
/?:command. A maioria dos comandos requer argumentos. Muitos comandos
usam um parmetro DSA_LIST, que simplesmente um rtulo de rede (nome DNS
ou NetBIOS ou endereo IP) de um controlador de domnio. Algumas das tarefas
de monitoramento de replicao que podem ser realizadas com Repadmin so:
Exibir os parceiros de replicao de um controlador de domnio. Para
exibir as conexes de replicao de um controlador de domnio, digite
repadmin /showrepl DSA_LIST. Por padro, Repadmin.exe mostra somente
as conexes entre sites. Adicione o argumento /repsto para ver tambm as
conexes entre sites.
Exibir os objetos de conexo de um controlador de domnio. Digite
repadmin /showconn DSA_LIST para mostrar os objetos de conexo de um
Exibir os metadados sobre um objeto, seus atributos e replicao. Voc pode
aprender muito sobre replicao, examinando um objeto em dois controladores
de domnio diferentes para descobrir quais atributos foram ou no replicados.
Digite repadmin /showobjmeta DSA_LIST Objeto, onde DSA_LIST indica o(s)
controlador(es) de domnio a ser(em) consultado(s). (Voc pode usar um
asterisco [*] para indicar todos os controladores de domnio). Objeto um
identificador exclusivo do objeto, seu DN ou GUID, por exemplo.

Voc tambm pode fazer alteraes em sua infraestrutura de replicao usando
Repadmin. Entre as tarefas de gerenciamento que voc realizar esto:
Iniciar o KCC. Digite repadmin /kcc para forar o KCC a recalcular a
topologia de replicao de entrada do servidor.
Forar a replicao entre dois parceiros. Voc pode usar Repadmin para
forar a replicao de uma partio entre um controlador de domnio de
origem e um de destino. Digite repadmin /replicate Destino_DSA_LIST
Nome_DSA_Origem Contexto_Nomenclatura.
Sincronizar um controlador de domnio com todos os parceiros de
replicao. Digite repadmin /syncall DSA /A /e para sincronizar um
controlador de domnio com todos os seus parceiros, incluindo os que estejam
em outros sites.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Dcdiag.exe
A ferramenta Diagnstico do Servidor de Diretrio, Dcdiag.exe, realiza inmeros
testes e relatrios sobre a integridade geral da replicao e a segurana do Servios
de Domnio Active Directory. Executado por si, dcdiag.exe realiza testes de resumo
e relata os resultados. No outro extremo, dcdiag.exe /c realiza praticamente
qualquer teste. A sada dos testes pode ser redirecionada para arquivos de vrios
tipos, incluindo XML. Digite dcdiag /? para obter informaes de uso.
Voc tambm pode especificar um ou mais testes a serem realizados por meio do
parmetro /test:Nome_do_Teste. Entre os testes que esto diretamente relacionados
replicao esto:
FrsEvent. Relata quaisquer erros de operao no FRS (Sistema de Replicao
de Arquivos).
DFSREvent. Relata quaisquer erros de operao no sistema de replicao DFS
(DFS-R).
Interssite. Verifica a existncia de falhas que impediriam ou atrasariam a
replicao entre sites.
KccEvent. Identifica erros no verificador de consistncia de conhecimento.
Replications. Verifica se a replicao entre os controladores de domnio est
pontual.
Topology. Verifica se a topologia de replicao est totalmente conectada em
todos os DSAs.
VerifyReplicas. Verifica se todas as parties de diretrio de aplicativos esto
totalmente instanciadas em todos os controladores de domnio que hospedam
rplicas.

Consulte o Centro de Ajuda e Suporte para obter mais informaes sobre
Repadmin.exe e Dcdiag.exe.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Configurao da replicao

Cenrio
Voc o administrador da Contoso, Ltd. Voc deseja otimizar a replicao do AD
DS, alinhando a replicao com sua topologia de rede e as funes e
posicionamento do controlador de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Criar um objeto de conexo
Recomenda-se configurar a replicao direta entre um controlador de domnio que
ser um mestre de operaes de reserva e o controlador de domnio que
atualmente o mestre de operaes. Em seguida, se o mestre de operaes atual ficar
offline, o mestre de operaes de reserva estar o mais atualizado possvel em
relao ao mestre de operaes. Neste exerccio, voc criar um objeto de conexo
entre HQDC01 e HQDC02, onde HQDC02, o mestre de operaes de reserva,
replica a partir de HQDC01, o mestre de operaes atual.
2. Criar um objeto de conexo.

Tarefa 1: Iniciar e fazer logon nas mquinas virtuais
As mquinas virtuais j devem estar iniciadas e disponveis aps a concluso dos
Laboratrios A e B. Entretanto, caso no estejam, voc deve concluir as etapas
abaixo e depois percorrer os Exerccios 1 a 3 nos Laboratrios A e B antes de
continuar.
Depois de fazer logon em HQDC01, inicie 10222A-HQDC02-B, mas no faa
logon.
Depois que HQDC02 tiver sido iniciado, inicie 10222A-HQDC03-B, mas no
faa logon.
Depois que HQDC03 tiver sido iniciado, inicie BRANCHDC01-B, mas no faa
logon.
Aguarde o fim da inicializao de BRANCHDC01 antes de continuar com a
prxima tarefa.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Criar um objeto de conexo
Execute Sites e Servios do Active Directory com credenciais administrativas.
Use a conta Pat.Coleman_Admin com a senha Pa$$w0rd.
Na rvore de console, expanda MATRIZ, Servidores e HQDC02 e clique no
n Configuraes de NTDS abaixo de HQDC02.
Clique com o boto direito do mouse em Configuraes de NTDS e clique em
Nova Conexo dos Servios de Domnio Active Directory.
Na caixa de dilogo Localizar Controladores de Domnio do Active
Directory, selecione HQDC01 e clique em OK, e responda Sim mensagem
de aviso.
Na caixa de dilogo Novo objeto Conexo, digite o nome HQDC01 -
MESTRE DE OPERAES e clique em OK.

Resultados: aps esse exerccio, voc dever ter criado um objeto de conexo para
replicar alteraes de HQDC01 para HQDC02.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Criar links de sites
Neste exerccio, voc criar links de sites entre a matriz e os outros sites, criando
uma topologia de replicao hub e spoke.
Criar links de sites.

Tarefa 1: Criar links de sites
Renomeie DEFAULTIPSITELINK para HQ-HQB2 e modifique-o para que
inclua somente os sites HEADQUARTERS e HQ-BUILDING-2.
Crie um novo link de site IP chamado HQ-BRANCHA que inclui os sites
HEADQUARTERS e BRANCHA.

Resultados: aps esse exerccio, voc dever ter dois links de sites, um que vincula os
sites HEADQUARTERS e HQ-BUILDING-2 e um que vincula HEADQUARTERS e
BRANCHA.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Ao promover um controlador de domnio, voc pode selecionar o site do
controlador de domnio e, por padro, ele estar no site associado ao endereo IP
do controlador de domnio. Se voc modificar sites e sub-redes depois que os
controladores de domnio estejam no lugar, dever mover os controladores
existentes para os sites corretos. Neste exerccio, voc mover os controladores de
domnio para os sites criados nos Laboratrios deste mdulo.
Mover controladores de domnio para novos sites.

Mova BRANCHDC01 para o site BRANCHA.

Resultados: aps esse exerccio, voc dever ter movido BRANCHDC01 para o site
BRANCHA.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 4: Designar um servidor bridgehead preferido
Voc pode designar um servidor bridgehead preferido que manipular a replicao
para e de seu site. Isso til quando voc deseja atribuir a funo a um controlador
de domnio em um site com mais recursos do sistema ou quando questes de
firewall requerem que a funo seja atribuda a um sistema nico, fixo. Neste
exerccio, voc designar um servidor bridgehead preferido para o site.
Designar um servidor bridgehead preferido.

Tarefa 1: Designar um servidor bridgehead preferencial
Configure HQDC02 como o servidor bridgehead preferido. Quando voc faz
isso, uma mensagem de aviso grande ser exibida. Leia a mensagem. Voc ir
discuti-la no fim do Laboratrio. Em seguida, clique em OK.

Resultados: aps esse exerccio, voc dever ter designado HQDC02 como um
servidor bridgehead preferido.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 5: Configurar a replicao entre sites
Depois que voc tiver criado links de sites e, opcionalmente, designado servidores
bridgehead, voc pode continuar a refinar e controlar a replicao, configurando as
propriedades do links de sites. Neste exerccio, voc reduzir a frequncia de
sondagem da replicao entre sites, e aumentar o custo de um links de sites.
Configurar a replicao entre sites.

Tarefa 1: Configurar a replicao entre sites
Configure o intervalo de replicao do link de site HQ-HQB2 para 15 minutos.
Configure o intervalo de replicao do link de site HQ-BRANCHA para 15
minutos, e o custo para 200.
Examine o agendamento da replicao do link de site HQ-BRANCHA.
Experimente com a configurao do agendamento, mas clique Cancelar
quando tiver terminado.

Resultados: aps esse exerccio, voc dever ter configurado o intervalo de replicao
entre sites para 15 minutos para todos os links de sites.

Pergunta: Explique a mensagem de aviso exibida quando voc designou HQDC02
como um servidor bridgehead preferido.
Pergunta: Quais so as vantagens da reduo do intervalo de replicao entre
sites? Quais so as desvantagens?
Pergunta: O procedimento que voc realizou no Exerccio 2 suficiente para criar
uma topologia de replicao "hub e spoke", que garante que todas as alteraes das
filiais sejam replicadas para a matriz antes de serem replicadas para outras filiais?
Caso contrrio, o que ainda deve ser feito?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Continuidade do servio de diretrio 13-1

Mdulo 13
Continuidade do servio de diretrio
Sumrio:
Lio 1: Monitoramento do Active Directory 13-4
Laboratrio A: Monitoramento de desempenho e eventos do
Active Directory 13-30
Lio 2: Gerenciamento do banco de dados do Active Directory 13-47
Laboratrio B: Gerenciamento do banco de dados do Active Directory 13-68
Lio 3: Backup e restaurao do AD DS e dos controladores de domnio 13-76
Laboratrio C: Backup e restaurao do Active Directory 13-90

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Viso geral do mdulo

Como um profissional de TI que oferece suporte ao Windows Server 2008 e ao AD
DS, a integridade da sua carreira est fortemente relacionada integridade do seu
domnio. Se o domnio fica inativo, o seu trabalho tambm. Neste mdulo, voc
aprender sobre as tecnologias e as ferramentas que esto disponveis para ajudar a
garantir a integridade e a longevidade do servio de diretrio. Voc explorar
ferramentas que ajudam a monitorar o desempenho em tempo real e aprender a
registrar o desempenho ao longo do tempo e a observar as tendncias de
desempenho para detectar problemas potenciais. Voc tambm aprender como
otimizar e proteger seu servio de diretrio de forma que se um controlador de
domnio falhar, ele voltar a funcionar o mais rapidamente possvel.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Objetivos
Monitorar os eventos e o desempenho em tempo real com Gerenciador de
Tarefas, Visualizar Eventos, Monitor de Confiabilidade e Desempenho do
Windows.
Aproveitar os novos recursos do Visualizar Eventos no Windows Server 2008,
incluindo modos de exibio personalizados e inscries de evento.
Monitorar o desempenho registrado e em tempo real com o Monitor de
Desempenho, os conjuntos de coleta de dados e os relatrios.
Identificar fontes de informaes sobre desempenho e eventos para os
controladores de domnio do AD DS.
Criar alertas com base em eventos e mtricas de desempenho.
Manter e otimizar o banco de dados do Active Directory.
Fazer backup e restaurar o AD DS e os controladores de domnio.
Recuperar objetos e atributos excludos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 1
Monitoramento do Active Directory

Problemas de desempenho acontecem: esta a realidade. O que mais importa
como voc responde, avalia e soluciona esses problemas. Nesta lio, voc
aprender como usar as ferramentas de monitoramento de desempenho e de
eventos no Windows Server 2008 para controlar de forma proativa e efetiva a
integridade dos seus controladores de domnio e do AD DS.
Objetivos
Monitorar o desempenho em tempo real com Gerenciador de Tarefas, Monitor
de Recursos e Monitor de Desempenho.
Examinar eventos e alteraes com o Monitor de Confiabilidade e Visualizar
Eventos.
Aproveitar os novos recursos do Visualizar Eventos no Windows Server 2008,
incluindo modos de exibio personalizados e inscries de evento.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Monitorar o desempenho registrado e em tempo real com o Monitor de
Desempenho, os conjuntos de coleta de dados e os relatrios.
Identificar fontes de informaes sobre desempenho e eventos para os
controladores de domnio do AD DS.
Criar alertas com base em eventos e mtricas de desempenho.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Compreenso de desempenho e afunilamentos

Pontos principais
Um desempenho ruim do sistema geralmente pode ser atribudo a recursos
insuficientes. Os quatro recursos principais do sistema so o processador (CPU), o
subsistema de disco, a memria e a rede.
Identificar e remediar afunilamentos envolve um exame detalhado dos logs e dos
contadores de desempenho do sistema para determinar qual recurso est restrito
no momento. Quando esse recurso tiver aumentado, provvel que o desempenho
melhore, mas o desempenho alcanar um plateau quando atingir um
afunilamento devido a limitaes em outro recurso do sistema.
Nesta lio, voc examinar uma variedade de ferramentas que podem ser usadas
para monitorar o desempenho em tempo real, assim como observar as alteraes e
os eventos do sistema que podem, ao longo do tempo, levar degradao do
desempenho.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Gerenciador de Tarefas

Pontos principais
O Gerenciador de Tarefas do Windows deve ser uma ferramenta familiar para
qualquer profissional de TI. O Windows Server 2008 aumentou significativamente
os recursos do Gerenciador de Tarefas. Alm das familiares guias Aplicativos e
Processos, o Windows Server 2008 fornece detalhes sobre os servios e um modo
de exibio de alto nvel do desempenho de trs recursos do sistema: CPU, rede e
memria. O Gerenciador de Tarefas no expe os contadores de desempenho em
tempo real para medir o desempenho do disco. Finalmente, o Gerenciador de
Tarefas onde voc pode ver uma lista dos usurios conectados no momento sem
ter que abrir o snap-in de gerenciamento dos servios de terminal.
Para abrir o Gerenciador de Tarefas, siga um dos seguintes procedimentos:
Pressione CTRL+SHIFT+ESC.
Pressione CTRL+ALT+DEL e clique em Gerenciador de Tarefas.
Clique com o boto direito do mouse na barra de tarefas e, em seguida, clique
em Gerenciador de Tarefas.
Clique no boto Iniciar e na caixa Iniciar Pesquisa, digite taskmgr.exe.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Na guia Processos, voc pode clicar em Mostrar processos de todos os usurios
para obter informaes detalhadas sobre os processos executados no contexto do
sistema ou executados sob outros contextos do usurio.
Na guia Desempenho, clique em Monitor de Recursos para abrir o novo e muito
til modo de exibio de desempenho em tempo real.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Monitor de Recursos

Pontos principais
O Monitor de Recursos como o Gerenciador de Tarefas, mas muito mais
avanado. Ele fornece uma viso detalhada do desempenho de cada um dos
componentes principais do sistema (CPU, disco, rede e memria) em um formato
grfico e de relatrio detalhado. Se voc precisar solucionar problemas de
desempenho em tempo real ou identificar por que um sistema est sendo
executado lentamente, o Monitor de Recursos a primeira ferramenta a ser usada.
Para iniciar o Monitor de Recursos, siga um dos seguintes procedimentos:
Abra o Gerenciador de Tarefas, clique na guia Desempenho e, em seguida,
em Monitor de Recursos.
Clique no boto Iniciar e, em seguida, na caixa Iniciar Pesquisa, digite
perfmon /res e pressione a tecla ENTER.
Clique na raiz do snap-in Monitor de Confiabilidade e Desempenho do
Windows.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Visualizar Eventos

Pontos principais
Ao desenvolver o Windows Server 2008, a Microsoft reescreveu o Visualizar
Eventos do zero. Nos bastidores, os eventos so armazenados em um novo
formato de arquivo de log de eventos (.elf). Os eventos so expostos em logs
clssicos do Windows, tais como Aplicativo, Segurana e Sistema, assim como em
vrios novos blogs dedicados a monitorar eventos de componentes especficos do
sistema.
Para ajud-lo a entender o sentido de todos esses novos eventos e logs, o Visualizar
Eventos fornece modos de exibio de resumo que acumula os eventos de vrios
logs. Ele tambm permite que voc crie modos de exibio personalizados para
agregar eventos de vrios logs. Ao abrir o Gerenciador de Servios, voc tambm
ver eventos de funo especfica expostos no modo de exibio de pgina inicial
de cada funo.
E os prprios eventos foram aprimorados. Voc descobrir que os eventos
fornecem muito mais detalhes do que no passado, o que significa que haver
menos situaes em que um evento deixar voc pensando no que ele realmente
significa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Talvez o mais empolgante seja que o subsistema de eventos foi integrado a outros
componentes do Windows. Agora, graas integrao com o Agendador de
Tarefas, voc pode disparar uma ao baseada em um evento especfico. A ao
pode incluir o envio de uma mensagem de email. Correto: O Windows agora pode
enviar um email de alerta (e potencialmente uma mensagem de texto ou pgina)
quando alguma coisa d errada. Voc tambm pode disparar um script ou
executvel especfico em resposta a um evento por exemplo, um script que
reinicia um servio quando ele interrompido.
Outro componente importante que foi integrado ao subsistema de eventos o
Gerenciamento Remoto do Windows (WinRM), um conjunto de servios Web
usados para gerenciar os sistemas do Windows. Essa integrao permite que voc
agregue eventos de vrios computadores em um nico local, inscrevendo-se em
eventos de sistemas remotos. Quando um sistema remoto registra um evento que
corresponde a seus critrios especificados, esse evento encaminhado para um log
de eventos no computador do coletor.
Leitura adicional
Visualizador de Eventos

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Demonstrao: Visualizar Eventos

Pontos principais
Nesta demonstrao, seu instrutor mostrar alguns dos recursos do Visualizar
Eventos que foram descritos no slide anterior. Esta ser uma oportunidade de
fornecer algumas dicas extras e para garantir que voc esteja familiarizado com o
Visualizar Eventos.
Voc ter a oportunidade de realizar tarefas prticas semelhantes no Laboratrio
deste mdulo.
Seu instrutor tambm indicar quatro logs que so particularmente importantes
para o monitoramento dos controladores de domnio:
Servio de Diretrio
DNS
DFSR
Log operacional da Diretiva de Grupo
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

1. Abra o Visualizar Eventos e observe a nova aparncia do Console de
Gerenciamento Microsoft (MMC).
2. Observe o modo de exibio de resumo padro, em seguida, expanda os
modos de exibio personalizados e exiba os modos de exibio
personalizados padro.
3. Expanda Logs do Windows e exiba os logs tradicionais e os novos logs.
4. Abra qualquer um dos logs e observe as opes disponveis no painel Aes.
Observe que possvel anexar uma tarefa a um evento usando o Assistente
Criar uma Tarefa Bsica.
Tambm possvel copiar os detalhes de um evento como texto no Bloco de
Notas.
5. Clique duas vezes em qualquer evento para mostrar os detalhes.
6. Expanda a pasta Microsoft Windows para exibir os logs.
7. Tambm possvel conectar a outro computador.

Lembrete: O gerenciamento remoto do log de eventos deve ser habilitado no firewall
do computador remoto. Trabalhar com firewall parte do futuro laboratrio desta lio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Modos de exibio personalizados

Pontos principais
Os modos de exibio personalizados so filtros que so nomeados e salvos.
Depois de criar e salvar um modo de exibio personalizado, voc poder reutiliz-
lo sem criar seu filtro adjacente. Para reutilizar um modo de exibio
personalizado, navegue para a categoria Modos de Exibio Personalizados na
rvore de console, e selecione o nome do modo de exibio personalizado. Ao
selecionar o modo de exibio personalizado, voc aplica o filtro subjacente e os
resultados so exibidos. Voc pode importar e exportar os modos de exibio
personalizados, permitindo que eles sejam compartilhados entre usurios e
computadores.
Leitura adicional
Criar e gerenciar modos de exibio personalizados

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Inscries

Pontos principais
Usando o snap-in Visualizar Eventos, voc pode se conectar a um nico
computador para examinar seus logs de evento. Entretanto, solucionar um
problema efetivamente pode requerer o exame de eventos armazenados em vrios
computadores.
No Windows Server 2008, o Visualizar Eventos permite que voc se inscreva em
eventos especficos em um ou mais computadores remotos para coletar esses
eventos e armazen-los localmente. Depois que voc cria uma inscrio de evento,
os eventos so encaminhados dos computadores de origem para o computador
coletor, onde os eventos podem ser visualizados e manipulados como se fossem
eventos locais.
Leitura adicional
Assinaturas em eventos

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Demonstrao: Configurao de modos de exibio
personalizados e inscries

Pontos principais
Nesta demonstrao, seu instrutor mostrar alguns dos recursos de Modos de
Exibio Personalizados e Inscries de Evento que foram descritos no slide
anterior. Esta ser uma oportunidade de receber algumas dicas extras e garantir
que voc esteja familiarizado com esses recursos.
Voc ter a oportunidade de realizar tarefas semelhantes no laboratrio deste
mdulo.
Criar um modo de exibio personalizado
1. Criaremos um novo modo de exibio personalizado que captura eventos de
erro de alguns logs relacionados do Active Directory;
2. Exportar o modo de exibio para um arquivo XML; e
3. Excluir o modo de exibio personalizado original e importar o arquivo XML.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Criar uma inscrio
1. Para isso, precisamos garantir que voc esteja conectado como administrador
nos computadores de origem e no coletor.
2. Em cada computador de origem, em um prompt de comando com privilgios
elevados, digite winrm quickconfig.
3. No computador coletor, em um prompt de comando com privilgios elevados,
digite Wecutil qc.
4. Adicione a conta do computador coletor ao grupo Administradores local em
cada um dos computadores de origem.
5. Crie a inscrio.
6. Filtre os eventos para mostrar somente os erros do log do sistema.

Leitura adicional
Criar um modo de exibio personalizado
http://technet.microsoft.com/pt-br/library/cc709635.aspx
Configurar computadores para encaminhar e coletar eventos

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Monitor de Confiabilidade e Desempenho do Windows
(WRPM)

Pontos principais
O Monitor de Confiabilidade e Desempenho do Windows (WRPM) um pacote
de snap-ins novos e aprimorados que melhoram significativamente a sua
habilidade de monitorar de forma proativa e efetiva a integridade e o desempenho
dos seus servidores Windows.
O Monitor de Confiabilidade controla as alteraes do sistema, incluindo a
instalao e a desinstalao de software. O Monitor de Desempenho gera modos
de exibio grficos ou baseados em relatrios do desempenho, usando dados de
desempenho registrados ou em tempo real. Alm disso, os Conjuntos de Coletores
de Dados e Relatrios permitem que voc gerencie a coleta e o exame dos dados de
desempenho.
Voc aprender sobre cada uma dessas ferramentas neste mdulo e ter a chance
de trabalhar com elas no laboratrio deste mdulo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Leitura adicional
Monitor de Desempenho do Windows

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Demonstrao: Monitor de Recursos e Desempenho do
Windows (WRPM)

Pontos principais
Nesta demonstrao, seu instrutor oferecer um tour rpido do WRPM, para que
voc seja exposto a vrios snap-ins e ns desse pacote poderoso de ferramentas
administrativas.
1. Abra o Monitor de Confiabilidade e Desempenho.
2. Observe a tela de viso geral do recurso. Expanda algumas sees para mostrar
os detalhes.
3. Abra o Monitor de Desempenho. Este recurso no mudou significativamente
em relao ao Windows Server 2003.
4. Abra o Monitor de Confiabilidade. Navegue e observe alguns detalhes.
5. Abra Relatrios e observe os relatrios do sistema que esto disponveis.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Monitor de Confiabilidade

Pontos principais
O Monitor de Confiabilidade fornece uma viso da estabilidade do sistema e os
eventos e alteraes que impactam a integridade geral de um sistema. Ele controla
a instalao e a desinstalao de software, as falhas do Windows, dos aplicativos e
do hardware.
O Monitor de Confiabilidade calcula o ndice de Estabilidade do Sistema que
reflete em grficos se problemas inesperados reduziram a confiabilidade do
sistema. O Relatrio de Estabilidade do Sistema associado fornece detalhes para
ajudar a identificar as alteraes especficas que reduziram a confiabilidade.
Leitura adicional
Utilizar o Monitor de Confiabilidade

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Monitor de Desempenho

Pontos principais
O Monitor de Desempenho permite que voc visualize exibies grficas e
baseadas em relatrio do desempenho do sistema. Enquanto o Monitor de
Recursos mostra o desempenho relacionado aos componentes do sistema (CPU,
disco, memria e rede), o Monitor de Desempenho permite que voc examine o
desempenho em um nvel mais profundo. Mesmo em relao aos componentes do
sistema, o Monitor de Desempenho revela mais detalhes: utilizao do disco por
volume fsico ou partio, utilizao da CPU por ncleo e tipos especficos de
pacotes enviados ou recebidos, por exemplo.
O Monitor de Desempenho tambm expe os contadores de desempenho de
vrios componentes, funes, servios e recursos mais granulares. Os
componentes do Windows podem registrar os contadores de desempenho com o
Monitor de Desempenho durante a instalao. Por exemplo, quando voc adiciona
a funo AD DS a um servidor, o objeto de desempenho do Servio de Diretrio do
NT (NTDS) registrado, o que por si expe vrios contadores relacionados ao
desempenho do servio de diretrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Com o Monitor de Desempenho, voc pode criar interativamente uma coleo de
contadores a serem monitorados em tempo real. Como alternativa, voc pode
salvar os contadores como parte do Conjunto de Coletores de Dados que podem
ser reutilizados a qualquer momento para a visualizao do desempenho em
tempo real, ou que podem ser iniciados em uma data posterior para registrar o
desempenho.
A maioria dos contadores teis de monitorar em qualquer servidor e que podem
revelar afunilamentos de desempenho nos componentes principais do sistema so
os seguintes:
Memria \ Pginas/s
PhysicalDisk \ Comprimento Comprimento da Fila do Disco
Processador \ % Tempo de Processador

Em um controlador de domnio, voc tambm deve monitorar pelo menos os
contadores de desempenho a seguir, expostos pelo objeto do Servio de Diretrio
do NT (NTDS):
NTDS\ Total de bytes de entrada DRA/s
NTDS\ Objeto de entrada DRA
NTDS\ Total de bytes de sada DRA/s
NTDS\ Sincronizaes de Replicao DRA Pendentes
NTDS \ Autenticaes Kerberos/s
NTDS\ Autenticaes NTLM

O Windows Server 2008 permite que o desempenho seja visto e registrado pelos
usurios sem que eles precisem ser membros do grupo Administradores local. Se
voc quiser habilitar um usurio no administrativo para usar o Monitor de
Desempenho, adicione o usurio ao grupo Usurios do Log de Desempenho. O
grupo Usurios do Log de Desempenho tambm deve ter Logon como um direito
de usurio do arquivo em lotes, que est atribudo ao grupo por padro.
Leitura adicional
Usando o Monitor de Desempenho

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Conjuntos de Coletores de Dados

Pontos principais
Embora seja possvel adicionar interativamente os contadores a um modo de
exibio do Monitor de Desempenho, fazer isso repetidamente poder ser
entediante e, a longo prazo entre vrios sistemas, impossvel. Alm disso, h outras
fontes de informaes alm dos contadores de desempenho, tais como as
configuraes do Registro e os rastreamentos de evento, que podem fornecer
insight sobre o desempenho e a integridade de um sistema.
Um Conjunto de Coletores de Dados o bloco de construo para monitorar e
relatar no WRPM. Um Conjunto de Coletores de Dados organiza os contadores de
desempenho e as configuraes do Registro, e apresenta esses dados a partir de
um componente nico que pode ser usado para visualizar o desempenho em
tempo real ou registrar o desempenho manualmente ou de forma programada. Um
Conjunto de Coletores de Dados e as informaes registradas por ele podem ser
visualizados como um relatrio ou podem ser carregados para o Monitor de
Desempenho ou um dos vrios aplicativos Microsoft ou no Microsoft. Os
Conjuntos de Coletores de Dados tambm podem ser configurados para gerar
alertas quando limites so atingidos, ou para disparar aes da WMI
(Instrumentao de Gerenciamento do Windows).
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Leitura adicional
Criando Conjuntos de Coletores de Dados

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Demonstrao: Monitor do AD DS

Pontos principais
Nesta demonstrao, seu instrutor configurar um Conjunto de Coletores de
Dados do AD DS, demonstrando alguns dos conceitos e ferramentas apresentados
no slide anterior.
Voc ter a oportunidade de revisar e praticar procedimentos semelhantes no
laboratrio desta lio.
Criar um novo Conjunto de Coletores de Dados chamado Active Directory
Personalizado.
1. Adicione os contadores de linha de base de servidor.
2. Adicione alguns dos contadores do Active Directory e inicie o Conjunto de
Coletores de Dados.
3. Execute alguma atividade para gerar estatsticas. Por exemplo, crie, modifique
e/ou exclua algumas contas de usurio ou de grupo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

4. Pare o Conjunto de Coletores de Dados e examine o relatrio definido pelo
usurio.
5. No continer do sistema, inicie o Conjunto de Coletores de Dados de
Diagnstico do Active Directory.
6. Execute alguma atividade para gerar estatsticas. Por exemplo, crie, modifique
e/ou exclua algumas contas de usurio ou de grupo.
7. Pare o Conjunto de Coletores de Dados e examine o relatrio definido pelo
sistema.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Monitoramento das prticas recomendadas

Pontos principais
Para estabelecer uma estrutura de monitoramento efetiva, siga estas diretrizes:
Monitorar com antecedncia para estabelecer bases
fundamental que voc monitore o desempenho enquanto um sistema est
funcionando normalmente. Isso permite que voc estabelea uma base, de forma
que os intervalos esperados dos contadores de desempenho estejam
documentados. Para criar uma base, monitore os contadores de desempenho
durante os perodos ocupados e inativos.
Monitorar com frequncia para identificar problemas potenciais
Estabelea uma rotina de monitoramento regular, usando Conjuntos de Coletores
de dados agendados, se desejar, e compare os logs e os relatrios com as suas
bases. Procure desvios incomuns dos valores esperados a fim de identificar
problemas potenciais antes que eles se manifestem em seu servio de diretrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Como monitorar e interpretar o desempenho antes de um incidente
Quando um problema real surge, voc talvez no queira gastar tempo para
aprender como capturar e interpretar os contadores e os eventos de desempenho.
Sendo assim, reserve um tempo para aprender como usar as ferramentas, e
determinar quais contadores fornecem o insight mais significativo sobre o
desempenho da sua empresa. Estabelea Conjuntos de Coletores de Dados que
tornaro mais fcil para voc capturar o desempenho durante uma crise, e garanta
a exportao desses Conjuntos de Coletores de Dados para backup, caso o sistema
que esteja inativo seja aquele usado normalmente para monitoramento.
Capturar apropriadamente
No exagere no monitoramento. Se tentar monitorar cada contador, cada
rastreamento de evento e cada entrada do Registro, voc criar um volume to
grande de informaes que ser difcil identificar problemas reais. Alm disso,
monitorar o desempenho diminui, ligeiramente, o desempenho do sistema. Alinhe
suas atividades de monitoramento com suas exigncias comerciais para
monitoramento.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio A: Monitoramento dos eventos e
do desempenho do Active Directory

Cenrio
No ms passado, o nico controlador de domnio da filial falhou fazendo com que
o call center da Contoso ficasse offline durante um dia inteiro e custando
empresa uma perda significativa de receita. Voc foi contratado para substituir o
administrador que configurou um local crtico sem monitoramento ou
autenticao redundante. Nesta semana, voc est trabalhando para configurar o
monitoramento de forma a garantir que o desempenho e a confiabilidade possam
ser monitorados constantemente em busca de quaisquer sinais de problemas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Monitorar o desempenho em tempo real
usando o Gerenciador de Tarefas e o Monitor de Recursos
Neste exerccio, voc usar o Gerenciador de Tarefas e o Monitor de Recursos para
examinar o desempenho em tempo real em um alto nvel, o que pode ajud-lo a
identificar afunilamentos de desempenho e processos ou servios que estejam
consumindo recursos demais do sistema.
2. Monitorar o desempenho em tempo real com o Gerenciador de Tarefas.
3. Monitorar o desempenho em tempo real com o Monitor de Recursos.

Pa$$w0rd.
Execute D:\Labfiles\Lab13a\Lab13a_Setup.bat com credenciais
administrativas. Use a conta Administrador com a senha Pa$$w0rd.
Feche a janela do Windows Explorer, Lab13a.
Inicie 10222A-HQDC02-B.
Faa logon em HQDC02 como Pat.Coleman com a senha Pa$$w0rd.

Tarefa 2: Monitorar o desempenho em tempo real com o Gerenciador
de Tarefas
1. Em HQDC01, pressione CTRL+SHIFT+ESC para iniciar o Gerenciador de
Tarefas.
2. Clique na guia Processos e examine os comandos disponveis quando voc
clica com o boto direito do mouse em taskmgr.exe. Examine as propriedades
de um processo, abrindo a caixa de dilogo Propriedades de taskmgr.exe.
3. Mostre os processos de todos os usurios, o que requer credenciais
administrativas. Autentique-se como Pat.Coleman_Admin com a senha
Pa$$w0rd.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

4. Na guia Servios, para e inicie o servio Dnscache.
5. Clique com o boto direito do mouse no servio Dnscache e clique em Ir para
Processo.
Pergunta: Qual processo est hospedando o servio Cliente DNS?
6. Clique com o boto direito do mouse no processo e escolha Ir para Servio(s).
Pergunta: A guia Servios expe um subconjunto da funcionalidade mais utilizada
de qual snap-in administrativo?
7. Clique no boto Servios. O console Servios ser exibido. Feche o console
Servios.
8. Clique na guia Usurios. Essa guia exibe os usurios que possuem conexes
locais (console) ou de rea de trabalho remota com o servidor.
9. Clique na guia Sistema de Rede.
Essa guia fornece uma viso geral do desempenho de cada adaptador de rede
disponvel.
10. Clique na guia Desempenho.
Essa guia fornece uma viso geral do desempenho de utilizao e memria da
CPU.
Pergunta: Qual componente principal do sistema no mostrado pelo gerenciador
de tarefas?

Tarefa 3: Monitorar o desempenho em tempo real com o Monitor de
Recursos
1. No Gerenciador de Tarefas, na guia Desempenho, clique no boto Monitor de
Recursos.
Se voc for solicitado a fornecer credenciais administrativas, use a conta
2. O Monitor de Recursos ser exibido. Maximize a janela Monitor de Recursos
e feche o Gerenciador de Tarefas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

3. Clique no grfico CPU. Quanta utilizao de CPU est sendo gerada pelo
prprio Monitor de Confiabilidade e Desempenho?
4. Clique novamente no grfico CPU. A seo CPU recolhida.
5. Clique no grfico Disco. Qual arquivo est com maior atividade de leitura?
Qual processo est causando a atividade de leitura desse arquivo? Qual
arquivo est com maior atividade de gravao? Qual processo est causando a
atividade de gravao desse arquivo?
Para visualizar a atividade do arquivo de paginao, clique no rtulo da coluna
Arquivo. Se C:\pagefile.sys no estiver listado, abra um aplicativo como o
Gerenciador de Servidores, que deve gerar alguma atividade de paginao.
Pergunta: Quantos processos esto lendo ou gravando em pagefile.sys?
Pergunta: Se a atividade de leitura e de gravao do arquivo de paginao for
constantemente alta, qual componente do sistema deve ser aumentado?
6. Feche o Gerenciador de Recursos. Clique no boto Iniciar e execute perfmon
como administrador com o nome de usurio Pat.Coleman_Admin e a senha
Pa$$w0rd.
Usurios, membros do grupo Usurios do Monitor de Desempenho, membros
do grupo Usurios do Log de Desempenho e membros do grupo
Administradores local, podem acessar nveis crescentes de funcionalidade do
WRPM.
O modo de exibio inicial do console Viso Geral do Recurso, equivalente
ao Monitor de Recursos. Observe que a rvore de console contm cada um dos
snap-ins do WRPM. Feche o Monitor de Confiabilidade e Desempenho.
7. Clique no boto Iniciar e execute perfmon /res como um Administrador,
com o nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd. Esta
uma forma alternativa de abrir o Monitor de Recursos, que voc abriu a partir
do Gerenciador de Tarefas, e que o modo de exibio inicial do console do
Monitor de Confiabilidade e Desempenho. Feche o Monitor de Recursos.

Resultados: aps esse exerccio, voc ter usado o Gerenciador de Tarefas e o Monitor
de Recursos para monitorar em tempo real o desempenho de processos, servios e
componentes do sistema, incluindo disco, memria, rede e CPU.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Usar o Monitor de Confiabilidade e o Visualizar
Eventos para identificar eventos relacionados ao
desempenho
Neste exerccio, voc usar o Monitor de Confiabilidade para examinar eventos
relacionados estabilidade. Em seguida, voc usar o Visualizar Eventos para
identificar eventos relacionados ao desempenho e confiabilidade, e aprender
como trabalhar com modos de exibio personalizados.
1. Monitorar os eventos relacionados estabilidade com o Monitor de
Confiabilidade.
2. Identificar eventos relacionados funo com o Gerenciador de Servidores.
3. Examinar os logs de evento.
4. Criar um modo de exibio personalizado.
5. Exportar um modo de exibio personalizado.
6. Importar um modo de exibio personalizado.

Tarefa 1: Monitorar os eventos relacionados estabilidade com o
1. Execute o Gerenciador de Servidores como administrador, com o nome de
usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Use o Monitor de Confiabilidade para examinar eventos relacionados
estabilidade ocorridos em 9 de setembro de 2009.

Tarefa 2: Identificar eventos relacionados funo com o Gerenciador
de Servidores
1. No n raiz do Gerenciador de Servidores, na seo Resumo de Funes,
observe quais cones aparecem ao lado das funes ADDS e Servidor DNS.
2. Clique no link para a funo ADDS na seo Resumo de Funes e examine
as informaes na seo Eventos.
3. Clique no link Filtrar Eventos na seo Eventos e remova eventos de
Informaes do modo de exibio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

4. Clique duas vezes em um evento para abrir seus detalhes, examine-o e feche-o.
5. Observe as informaes mostradas na seo Servios do Sistema.

Tarefa 3: Examinar os logs de evento
1. Na raiz do snap-in Visualizar Eventos do Gerenciador de Servidores, na seo
Resumo dos Eventos Administrativos, expanda o resumo dos eventos Erro.
Clique duas vezes em uma linha de resumo com ActiveDirectory como
origem.
2. Se voc no vir uma linha no resumo com ActiveDirectory como a origem,
clique duas vezes em outra linha no resumo de eventos de Erro.
O modo de exibio de eventos da pgina Resumo aberto no painel de
detalhes. Esse modo de exibio "faz uma busca detalhada" para mostrar os
eventos que foram resumidos na linha do resumo de eventos de Erro.
Examine os logs nos ns Logs do Windows e Logs de Aplicativos e Servios da
rvore de console.
Examine os eventos no modo de exibio Eventos Administrativos. Clique
com o boto direito em Eventos Administrativos e em Propriedades. Observe
que Descrio indica que o modo de exibio mostra os eventos Crtico, Erro e
Aviso de todos os logs administrativos. Clique no boto Editar Filtro e observe
que esse modo de exibio personalizado no pode ser modificado, pois ele
Somente Leitura. Observe tambm que difcil saber exatamente quais logs
esto sendo includos na lista Logs de Eventos . A informao truncada.
Clique na guia XML . Voc pode identificar quais logs esto includos usando
as informaes da guia XML? Em cada elemento Selecionar XML, voc acha
que Nvel se refere a qu? Clique em Cancelar duas vezes e feche as caixas de
dilogo abertas.

Tarefa 4: Criar um modo de exibio personalizado
Na pasta Modos de Exibio Personalizados, crie um modo de exibio
personalizado que exibe as mensagens Crtico, Aviso e Erro para os seguintes
logs: Replicao DFS, Servio de Diretrio e Servidor DNS. Chame o log de
Modo de Exibio Personalizado de Eventos do Servio de Diretrio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 5: Exportar um modo de exibio personalizado
Exporte o Modo de Exibio Personalizado de Eventos do Servio de
Diretrio como D:\Data\DSEventView.xml.

Tarefa 6: Importar um modo de exibio personalizado
1. Em HQDC02, importe o modo de exibio personalizado
\\HQDC01\Data\DSEventView.xml e chame-o de Modo de Exibio
Personalizado de Eventos do Servio de Diretrio.
2. Uma mensagem Erro de Consulta ser exibida, pois HQDC02 no um
Servidor DNS e, portanto, no possui log Servidor DNS. Clique em OK.

Resultados: aps esse exerccio, voc ter identificado vrios locais no Gerenciador de
Servidores que expem eventos relacionados s funes e ao desempenho do servidor.
Voc ter criado um modo de exibio personalizado e importado o mesmo para o
Visualizar Eventos em outro computador.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 3: Monitorar eventos em computadores remotos
com Inscries de Eventos
Neste exerccio, voc usar a nova funcionalidade de encaminhamento e inscrio
de eventos do Windows Server 2008 para coletar eventos de computadores
remotos para monitoramento centralizado.
1. Configurar computadores para encaminhar e coletar eventos.
2. Criar uma inscrio para coletar eventos.
3. Gerar eventos.
4. Exibir eventos encaminhados.

Tarefa 1: Configurar computadores para encaminhar e coletar eventos
1. Em HQDC01, execute o prompt de comando como administrador, com o
nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd. Digite wecutil
qc, pressione a tecla ENTER, pressione Y, em seguida, pressione a tecla ENTER
para configurar a coleo de eventos.
nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd. Digite winrm
quickconfig, pressione a tecla ENTER, pressione Y, em seguida, pressione a
tecla ENTER para configurar o Gerenciamento Remoto do Windows.

Tarefa 2: Criar uma inscrio para coletar eventos
1. Em HQDC01, no snap-in Visualizar Eventos do Gerenciador de Servidores,
crie uma nova inscrio chamada Servios DC que coleta eventos de
HQDC02. Configure a inscrio para coletar eventos do log do Sistema com ID
de Evento 7036. A inscrio deve usar o nome de usurio
CONTOSO\Pat.Coleman_Admin e a senha Pa$$w0rd. Ela deve ser
configurada para Minimizar Latncia. Se as mensagens do Visualizar Eventos
forem exibidas quando voc concluir a configurao, clique em Sim.
2. Confirme que na pasta Inscries, a nova inscrio Servios DC est com o
status Ativo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Gerar eventos
Em HQDC02, no prompt de comando, digite net stop dfsr e pressione a tecla
ENTER, em seguida, digite net start dfsr e pressione a tecla ENTER.

Tarefa 4: Exibir eventos encaminhados
1. Alterne para HQDC01.
2. Na rvore de console do Gerenciador de Servidores, em Visualizar
Eventos\Logs do Windows, clique em Eventos Encaminhados.
Os eventos encaminhados podem levar alguns minutos para serem exibidos.
Se os eventos no forem exibidos imediatamente, aguarde alguns minutos,
inicie e pare o servio DFSR (Replicao do Sistema de Arquivos Distribudos)
em HQDC02 novamente, e aguarde mais alguns minutos.

Resultados: aps esse exerccio, voc ter configurado as inscries de eventos de
forma que possa exibir eventos de HQDC02 em HQDC01.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 4: Anexar tarefas a eventos e logs de eventos
Neste exerccio, voc invocar tarefas quando um log de eventos for atualizado ou
quando um evento for gerado.
1. Anexar uma tarefa a um log de eventos e a um evento.
2. Preparar para exibir as mensagens de tarefa do visualizar eventos.
3. Confirmar que as tarefas do visualizar eventos esto funcionando.

Tarefa 1: Anexar uma tarefa a um log de eventos e a um evento
1. Em HQDC01, clique com o boto direito do mouse no log de eventos Eventos
Encaminhados e anexe uma tarefa ao log. A tarefa deve exibir uma mensagem
com o ttulo, Evento Encaminhado Recebido e com a mensagem, Um evento
encaminhado foi recebido.
2. No log de eventos Eventos Encaminhados, clique com o boto direito do
mouse em um dos eventos 7036 e anexe uma tarefa ao evento. A tarefa deve
exibir uma mensagem com o ttulo, Evento do Servio DC e com a mensagem,
Um servio foi iniciado ou parado.

Tarefa 2: Preparar para exibir as mensagens de tarefa do visualizar
eventos
Ao optar por exibir uma mensagem em uma tarefa, pois as mensagens so exibidas
na rea de trabalho do usurio cuja conta usada para criar a tarefa do visualizar
eventos (Pat.Coleman_Admin), voc precisar fazer logon interativamente como
Pat.Coleman_Admin para experimentar completamente essa simulao.
Faa logoff de HQDC01 e faa logon como Pat.Coleman_Admin com a senha
Pa$$w0rd.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Confirmar que as tarefas do visualizar eventos esto
funcionando
1. Em HQDC02, no prompt de comando, digite net stop dfsr e pressione a tecla
ENTER, em seguida, digite net start dfsr e pressione a tecla ENTER.
2. Em HQDC01, aguarde que as mensagens de tarefa do visualizar eventos sejam
exibidas.

Resultados: aps esse exerccio, voc ter configurado as tarefas a serem iniciadas
quando um evento recebido no log Eventos Encaminhados e quando um servio
iniciado ou parado em uma mquina remota.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 5: Monitorar o AD DS com o Monitor de
Desempenho
Neste exerccio, voc usar o Monitor de Desempenho para monitorar o
desempenho em tempo real do AD DS, para salvar contadores de desempenho e
visualizar um log de contadores de desempenho salvos.
1. Configurar o Monitor de Desempenho para monitorar o AD DS.
2. Criar um Conjunto de Coletores de Dados a partir de contadores do Monitor
de Desempenho.
3. Iniciar um Conjunto de Coletores de Dados.
4. Exibir um relatrio do Conjunto de Coletores de Dados.

Tarefa 1: Configurar o Monitor de Desempenho para monitorar o AD DS
1. Em HQDC02, no Gerenciador de Servidores, abra o snap-in Monitor de
Desempenho.
2. Adicione os seguintes contadores de desempenho de objeto:
Servios de Diretrio\Total de Bytes de Entrada DRA/s
Servios de Diretrio\Total de Bytes de Sada DRA/s
Servios de Diretrio\Threads DS em Uso
Servios de Diretrio\Leituras de Pastas DS/s
Servios de Diretrio\Gravaes em Pastas DS/s
Servios de Diretrio\Pesquisas de Pastas DS/s
Estatsticas Vastas do Sistema de Segurana\Autenticaes Kerberos
DNS\Consulta UDP Recebida/s
3. Observe o desempenho por algum tempo. Em seguida, na lista do contador
abaixo do grfico, selecione Consulta UDP recebida/s. Clique no boto
Realce na barra de ferramentas para realar esse contador no grfico. Em
seguida, clique novamente no boto Realce na barra de ferramentas para
desativar o realce.
4. Gaste algum tempo explorando a funcionalidade do Monitor de Desempenho.
Entretanto, no adicione ou remova contadores.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 2: Criar um Conjunto de Coletores de Dados a partir de
contadores do Monitor de Desempenho
Crie um novo Conjunto de Coletores de Dados a partir do modo de exibio
atual do Monitor de Desempenho. Nomeie o Conjunto de Coletores de Dados
de Contadores de Desempenho Personalizados do ADDS. Anote o diretrio
raiz padro no qual o Conjunto de Coletores de Dados ser salvo.

Tarefa 3: Iniciar um Conjunto de Coletores de Dados
1. Clique no n Conjuntos de Coletores de Dados\Definido pelo Usurio, em
seguida, clique no boto direito do mouse em Contadores de Desempenho
Personalizados do ADDS e clique em Iniciar.
2. O n Contadores de Desempenho Personalizados do ADDS
automaticamente selecionado. Voc pode identificar os coletores de dados
individuais no Conjunto de Coletores de Dados. Neste caso, s existe um
coletor de dados (os contadores de desempenho do Log do Monitor do
Sistema) no Conjunto de Coletores de Dados. Voc tambm pode identificar
onde a sada do coletor de dados est sendo salva.
3. Na rvore de console, clique com o boto direito do mouse no conjunto de
coletores de dados Contadores de Desempenho Personalizados do ADDS e
clique em Parar.

Tarefa 4: Exibir um relatrio do Conjunto de Coletores de Dados
Na rvore de console, expanda Contadores de Desempenho Personalizados
do ADDS e clique em Log do Monitor do Sistema.blg. O grfico dos
contadores de desempenho do log exibido.

Resultados: aps esse exerccio, voc ter criado um Conjunto de Coletores de Dados,
permitido a execuo dele e exibido os dados que ele contm.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 6: Trabalhar com Conjuntos de Coletores de
Dados
Neste exerccio, voc examinar e executar um Conjunto de Coletores de Dados
que predefinido quando voc adiciona a funo AD DS a um servidor. Em
seguida, voc ir criar um Conjunto de Coletores de Dados personalizado,
configurar seu agendamento e diretivas de gerenciamento de dados, execut-lo e
examinar seus dados.
1. Examinar um Conjunto de Coletores de Dados predefinido.
2. Criar um Conjunto de Coletores de Dados.
3. Configurar condies de incio de um Conjunto de Coletores de Dados.
4. Configurar condies de parada de um Conjunto de Coletores de Dados.
5. Configurar o gerenciamento de dados de um coletor de dados.
6. Exibir os resultados da coleo de dados.

Tarefa 1: Examinar um Conjunto de Coletores de Dados predefinido
1. Selecione o Conjunto de Coletores de Dados Diagnstico do Active Directory
em Desempenho e Confiana\Conjuntos de Coletores de Dados\Sistema.
Observe quais coletores de dados so parte do Conjunto de Coletores de
Dados.
2. Iniciar o Conjunto de Coletores de Dados.
3. Expanda Relatrios, Sistema e Diagnstico do Active Directory, em seguida,
clique no relatrio. O Status do Relatrio indica que os dados esto sendo
coletados por 300 segundos (cinco minutos). Aguarde cinco minutos ou
espere pelo menos um minuto e, em seguida, clique com o boto direito do
mouse em Diagnstico do Active Directory em Conjuntos de Coletores de
Dados\Sistema e escolha Parar.
4. Gaste alguns minutos examinando as sees do relatrio. Clique com o boto
direito do mouse no relatrio e, usando o menu Exibir, examine os modos de
exibio Monitor de Desempenho, Relatrio e Pasta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

5. No modo de exibio Pasta, clique duas vezes em Contador de Desempenho
no painel de detalhes. aberta uma nova instncia do WRPM para exibir o log.
A nova instncia pode ser minimizada, nesse caso, voc pode traz-la para
frente, clicando em seu boto na barra de tarefas. Examine a janela e feche o
WPRM.
6. Na rvore de console do Gerenciador de Servidores, selecione o n Monitor
de Desempenho. Clique no boto Exibir Dados de Logs, e configure a origem
do Monitor de Desempenho como C:\PerfLogs\ADDS\relatrio\Contador
de Desempenho, onde relatrio o mesmo nome do relatrio que voc acabou
de gerar.
Observe que os contadores no ficam visveis imediatamente. Clique no boto
do contador Adicionar, e adicione os seguintes contadores de objeto do
Servios de Diretrio tela: Leituras de Pastas DS/s, Pesquisas de Pastas
DS/s, e Gravaes em Pastas DS/s.

Tarefa 2: Criar um Conjunto de Coletores de Dados
1. Na rvore de console do Gerenciador de Servidores, selecione o n Definido
pelo Usurio em Conjuntos de Coletores de Dados.
2. Crie um novo Conjunto de Coletores de Dados chamado Diagnstico
Personalizado do ADDS usando o Conjunto de Coletores de Dados
Diagnstico do Active Directory como um modelo. Salve o novo Conjunto de
Coletores de Dados na pasta C:\Conjuntos de Coletores de Dados do ADDS.
Execute o conjunto de coletores de dados como
CONTOSO\Pat.Coleman_Admin com a senha Pa$$w0rd.
Em um ambiente de produo, a conta que voc usa deve ser uma conta de
domnio exclusiva. Ela deve ser um membro do grupo Usurios do Log de
Desempenho e deve ter direito de logon de usurio Logon como um trabalho
em lotes. Por padro, o grupo Usurios do Log de Desempenho tem esse
direito, portanto, voc pode simplesmente criar uma conta de domnio e torn-
la um membro do grupo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Configurar condies de incio de um Conjunto de Coletores
de Dados
Configure o agendamento do novo Conjunto de Coletores de Dados para
comear hoje, com uma data de validade de uma semana. Configure a hora de
incio para cinco minutos a partir de agora. Anote a hora de incio configurada.
Quando solicitado a fornecer as credenciais com as quais a tarefa agendada
ser executada, use o nome de usurio CONTOSO\Pat.Coleman_Admin e a
senha Pa$$w0rd.

Tarefa 4: Configurar condies de parada de um Conjunto de
Coletores de Dados
Configure a Condio de Parada da tarefa com uma durao total de dois
minutos. Em um ambiente de produo, voc provavelmente executaria um
coletor de dados por um perodo de tempo mais longo. Selecione a opo para
Interromper quando todos os coletores de dados tiverem terminado.

Tarefa 5: Configurar o gerenciamento de dados de um coletor de
dados
Configure a diretiva de recurso do gerenciador de dados para excluir itens
mais antigos e, todo dia, copiar arquivos cab para
\\hqdc01\ADDS_Diag_Reports. Verifique se Criar arquivo cab e Excluir
arquivo de dados esto selecionadas. Quando solicitado a fornecer as
credenciais com as quais a tarefa agendada ser executada, use o nome de
usurio CONTOSO\Pat.Coleman_Admin e a senha Pa$$w0rd.

Tarefa 6: Exibir os resultados da coleo de dados
1. Espere at a hora que voc configurou como a hora de incio do Conjunto de
Coletores de Dados. Selecione o relatrio em Relatrios\Definido pelo
Usurio\Diagnstico Personalizado do ADDS e observe que o Status do
Relatrio indica que os dados esto sendo coletados por 120 segundos (dois
minutos). Depois que a coleta de dados estiver concluda, Status do Relatrio
indica que o relatrio est sendo gerado.
Gaste alguns minutos examinando o relatrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

2. Clique com o boto direito do mouse na rvore de console, em seguida,
aponte para Exibir e selecione Pasta. Clique duas vezes em Contador de
Desempenho no painel de detalhes.
Uma nova instncia do Monitor de Confiabilidade e Desempenho aberta,
com o Monitor de Desempenho exibindo os dados registrados no log
Contador de Desempenho. Gaste alguns minutos examinando o grfico de
desempenho e, em seguida, feche a janela.

Resultados: aps esse exerccio, voc ter examinado um Conjunto de Coletores de
Dados predefinido, criado um Conjunto de Coletores de Dados personalizado,
executado o conjunto em um agendamento e exibido seus resultados.

Pergunta: No momento, em quais situaes voc usa, ou pretende usar, inscries
de eventos como uma ferramenta de monitoramento?
Pergunta: Para quais eventos ou contadores de desempenho voc anexaria
notificaes de email ou aes? No momento, voc usa notificaes ou aes no
monitoramento da sua empresa?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 2
Gerenciamento do banco de dados do Active
Directory

Voc aprendeu no Mdulo 1 que, no fim das contas, o Active Directory um banco
de dados que tem o suporte de inmeros servios. O banco de dados do Active
Directory razoavelmente automanutenvel. Entretanto, pode haver ocasies que
requeiram que voc faa manuteno nos prprios arquivos do banco de dados.
Nesta lio, voc aprender como manter o banco de dados do Active Directory e,
ao longo do caminho, como recuperar um objeto excludo acidentalmente.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Objetivos
Descrever os componentes e a funcionalidade dos arquivos de banco de dados
do Active Directory.
Usar o NTDSUtil para realizar tarefas de manuteno do banco de dados do
Active Directory, incluindo a desfragmentao offline.
Criar e montar instantneos do Active Directory.
Recuperar um usurio excludo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Arquivos do banco de dados do Active Directory

Pontos principais
O banco de dados do Active Directory armazenado como um arquivo chamado
NTDS.dit. Quando voc instala e configura o AD DS, pode especificar o local do
arquivo. O local padro %systemroot%\NTDS. No NTDS.dit esto todas as
parties hospedadas pelo controlador de domnio: o esquema e a configurao da
floresta, o contexto de nomenclatura de domnio e (dependendo da configurao
do servidor) o conjunto de atributos parcial e as parties de aplicativos.
Na pasta NTDS, existem outros arquivos que oferecem suporte ao banco de dados
do Active Directory. O arquivo Edb.log o log de transao do Active Directory.
Quando uma alterao precisa ser feita no diretrio, ela primeiro gravada no
arquivo de log. A alterao confirmada no diretrio como uma transao. Se a
transao falhar, ela poder ser revertida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

O slide aqui ilustra esse processo:

Em operaes normais, o log de transao finalmente circular, com novas
transaes sobrescrevendo transaes antigas que j foram confirmadas.
Entretanto, se um grande nmero de transaes for feito em um curto perodo de
tempo, o Active Directory criar arquivos de log de transao adicionais, portanto,
talvez voc veja vrios arquivos EDB*.log se olhar na pasta NTDS de um
controlador de domnio particularmente ocupado. Ao longo do tempo, esses
arquivos so removidos automaticamente.
O arquivo EDB.chk age como um indicador para arquivos de log, marcando a
localizao antes da qual as transaes foram confirmadas com xito no banco de
dados, e depois da qual as transaes ainda precisam ser confirmadas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

extremamente problemtico para o servidor se uma unidade de disco fica sem
espao. muito mais problemtico se esse disco estiver hospedando o banco de
dados do Active Directory, pois as transaes pendentes no podero ser gravadas
nos logs. Portanto, o Active Directory mantm dois arquivos de log adicionais,
edbres0001.jrs e edbres0002.jrs . Tratam-se de arquivos vazios de 10 MB cada.
Quando um disco ficar sem espao para logs de transao normais, o Active
Directory recrutar o espao usado por esses dois arquivos a fim de continuar a
gravar transaes. Obviamente, ser importante para um administrador remediar o
problema do pouco espao em disco o mais rapidamente possvel. O arquivo
fornece simplesmente uma soluo temporria para evitar que o servio de
diretrio recuse novas transaes.
Leitura adicional
Como o armazenamento de dados funciona (em ingls)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

NTDSUtil

Pontos principais
Nos mdulos anteriores, voc usou o comando NTDSUtil para realizar aes no
servio de diretrio. No Mdulo 11, o comando foi usado para executar funes de
mestre de operaes. Neste mdulo, voc usar o comando para realizar a
manuteno do banco de dados, incluindo a criao de instantneos,
desfragmentao offline e a realocao dos arquivos do banco de dados.
O NTDSUtil tambm usado para limpar os metadados do controlador de
domnio. Se um controlador de domnio for rebaixado (removido do domnio)
enquanto estiver offline, ele no poder remover informaes importantes do
servio de diretrio. Em seguida, voc pode usar o NTDSUtil para limpar os itens
restantes do controlador de domnio, e muito importante que isso seja feito.
Finalmente, o NTDSUtil pode redefinir a senha usada para fazer logon no DSRM
(Modo de Restaurao de Servios de Diretrio). Essa senha configurada
inicialmente durante a configurao de um controlador de domnio. Se voc
esquecer a senha, o dsrm do conjunto ntds poder reinici-la.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Leitura adicional
Ferramentas e configuraes do armazenamento de dados (em ingls)
Como remover dados do Active Directory aps o rebaixamento sem xito do
http://support.microsoft.com/kb/216498

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Realizao da manuteno do banco de dados

Pontos principais
O banco de dados do Active Directory razoavelmente automanutenvel. A cada 12
horas, por padro, cada controlador de domnio executa um processo chamado
coleta de lixo. A coleta de lixo faz duas coisas. Primeiro, ela remove os objetos
excludos que sobreviveram ao tempo de vida da marca de excluso. Quando um
objeto excludo, ele movido para o continer Objetos Excludos e quase todos
os seus atributos so eliminados. O objeto permanece no servio de diretrio pelo
tempo definido no ciclo de vida da marca de excluso, 180 dias por padro no
Windows Server 2008. Isso permite que uma empresa reative, ou restaure, o objeto
usando procedimentos que voc aprender mais adiante nesta lio. Quando o
ciclo de vida da marca de excluso alcanado, a coleta de lixo zera a linha do
objeto no banco de dados.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Conforme os objetos so excludos, as linhas zeradas criam um tipo de
fragmentao que pode causar impacto no desempenho. O processo de coleta de
lixo reorganiza as linhas do banco de dados de forma que as linhas em branco
fiquem contguas, muito parecido com a maneira em que a fragmentao de disco
reorganiza os setores de um disco de forma que o espao livre fique contguo.
Entretanto, esse processo, chamado desfragmentao online, no reduz o tamanho
do arquivo do banco de dados. Ele simplesmente otimiza a ordem interna do
banco de dados.
Em muitos ambientes, isso suficiente. Entretanto, pode ser necessrio reduzir o
tamanho do arquivo NTDS.dit em organizaes que excluem nmeros
significativos de objetos do diretrio. Para fazer isso, voc deve realizar a
desfragmentao offline usando NTDSUtil. Os procedimentos para fazer isso so
discutidos mais adiante nesta lio.
Em verses anteriores do Windows, os controladores de domnio mantinham um
bloqueio no banco de dados do Active Directory. Para realizar a manuteno do
banco de dados, voc tinha que reiniciar o servidor no DSRM. No Windows Server
2008, o AD DS foi arquitetado como um servio e, como qualquer outro servio,
ele pode ser parado ou iniciado por demanda a partir do snap-in Servios. Agora,
se voc quiser realizar a desfragmentao offline, basta parar o servio do AD DS,
realizar a manuteno e reiniciar o servio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Demonstrao: Manuteno do banco de dados do AD DS

Pontos principais
Nesta demonstrao, seu instrutor mostrar como parar e iniciar o servio do AD
DS, como compactar o banco de dados e como mover arquivos do banco de dados
para outro volume.
Os procedimentos para essas etapas podem ser encontrados nas Respostas do
laboratrio deste mdulo. Voc ter a oportunidade de praticar muitos desses
procedimentos no laboratrio.
Para parar os servios do AD DS:
Abra o console Servios, em seguida, clique com o boto direito do mouse em
Servios de Domnio Active Directory e selecione Parar no menu de
contexto.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Para realizar uma desfragmentao offline do banco de dados do Active Directory
quando o AD DS estiver interrompido:
1. Na janela de comando, digite ntdsutil e pressione ENTER.
2. No prompt ntdsutil: digite Activate Instance NTDS e pressione a tecla
ENTER.
3. No prompt ntdsutil: digite files e pressione a tecla ENTER.
4. No prompt File Maintenance: digite compact to drive:\
Caminho_do_diretrio_local (onde drive:\ Caminho_do_diretrio_local o
caminho para uma localizao no computador local). Aps um breve
momento, pressione CTRL+C para interromper o processo. Esse processo
pode levar muito tempo para ser concludo.
5. Depois que o processo tiver sido concludo, voc precisa copiar o NTDS.dit
para um local de backup, junto com os logs (*.log) e, em seguida, excluir os
logs (*.log).
6. Recomenda-se a verificao final da integridade do banco de dados que acabou
de ser compactado. Digite "integrity" para verificar a integridade do banco de
dados que acabou de ser compactado. Esse processo, como uma compactao,
leva muito tempo para ser concludo. Pressione CTRL+C a qualquer momento
para interromper o processo e mover-se para a prxima parte da
demonstrao.

Para mover o banco de dados do AD DS:
1. Na janela de comando File Maintenance, digite move db to pathname. Como
acima, no esperaremos que este processo seja concludo.
2. Pressione CTRL+C para interromper o processo a qualquer momento.
Saiba que o arquivo NTDS.dit seria movido para a nova localizao e as
permisses seriam definidas de acordo, se tivssemos esperado que o processo
inteiro fosse concludo.

Por ltimo, reinicie o AD DS:
No MMC Servios, clique com o boto direito do mouse em Servios de
Domnio Active Directory e clique em Iniciar.

Parabns - voc terminou!
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Pergunta: Por que necessrio parar o AD DS antes da desfragmentao?
Pergunta: Por que necessrio compactar o banco de dados primeiro em um
diretrio temporrio?
Leitura adicional
Compactar o arquivo do banco de dados do Directory (desfragmentao
offline - em ingls)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Instantneos do Active Directory

Pontos principais
O NTDSUtil no Windows Server 2008 tem a capacidade de criar e montar
instantneos do Active Directory. Um instantneo uma forma de backup
histrico. Ele captura o estado exato do servio de diretrio no momento do
instantneo. Ao contrrio de um backup, um instantneo no pode ser usado para
restaurar os dados. Entretanto, voc pode usar ferramentas para explorar o
contedo do instantneo a fim de examinar o estado do servio de diretrio no
momento em que o instantneo foi feito.
Para criar um instantneo:
1. Abra um prompt de comando com privilgios elevados.
2. Digite ntdsutil e pressione a tecla ENTER.
3. Digite snapshot e pressione a tecla ENTER.
4. Digite activate instance ntds e pressione a tecla ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

5. Digite create e pressione a tecla ENTER.
O comando retorna uma mensagem indicando que o conjunto de instantneos
foi gerado com xito.
O GUID exibido importante para comandos em tarefas posteriores. Anote o
GUID ou, como alternativa, copie-o para a rea de Transferncia.
6. Digite quit e pressione a tecla ENTER.

Recomendamos que voc agende instantneos do Active Directory regularmente.
Voc pode usar o Agendador de Tarefas para executar um arquivo em lotes com os
comandos apropriados do NTDSUtil.
Para exibir o contedo de um instantneo, voc deve montar o instantneo como
uma nova instncia do AD DS. Isso tambm feito com o NTDSUtil.
Para montar um instantneo:
1. Abra um prompt de comando com privilgios elevados.
5. Digite list all e pressione a tecla ENTER.
O comando retorna uma lista de todos os instantneos.
6. Digite mount {GUID}, onde GUID o GUID retornado pelo comando para
criar instantneo e pressione a tecla ENTER.
9. Digite dsamain -dbpath c:\$snap_datetime_volumec$\windows\ntds
\ntds.dit -ldapport 50000 e pressione a tecla ENTER.
O nmero da porta, 50000, pode ser qualquer nmero de porta TCP aberta e
exclusiva.
Uma mensagem indica que a inicializao do Servios de Domnio Active
Directory est concluda.
10. No feche a janela do prompt de comando e deixe o comando que voc
acabou de executar, Dsamain.exe, em execuo enquanto prossegue para a
prxima etapa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Depois que o instantneo for montado, voc poder usar ferramentas para se
conectar e explor-lo. At mesmo Usurios e Computadores do Active Directory
pode se conectar instncia.
Para conectar-se a um instantneo com Usurios e Computadores do Active
Directory:
1. Abra Usurios e Computadores do Active Directory.
2. Clique com o boto direito do mouse no n raiz e clique em Alterar
Controlador de Domnio.
A caixa de dilogo Alterar Servidor de Diretrio ser exibida.
3. Clique em <Digite um nome de Servidor de Diretrio[:porta] aqui>.
4. Digite HQDC01:50000 e pressione a tecla ENTER.
HQDC01 o nome do controlador de domnio no qual voc montou o
instantneo, 50000 o nmero da porta TCP configurada para a instncia e
voc agora est conectado instncia.
5. Clique em OK.

Observe que os instantneos so Somente Leitura. Voc no pode modificar o
contedo de um instantneo. Tambm no h mtodos diretos com os quais
mover, copiar ou restaurar objetos ou atributos a partir do instantneo para a
instncia de produo do Active Directory.
Para desmontar o instantneo:
1. Alterne para o prompt de comando no qual o instantneo foi montado.
2. Pressione CTRL+C para parar o DSAMain.exe.
6. Digite unmount GUID, onde GUID o GUID do instantneo, e pressione a
tecla ENTER.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Leitura adicional
Guia Passo a Passo para Uso da Ferramenta de Montagem de Banco de Dados
do Active Directory no Windows Server 2008
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Restaurao de objetos excludos

Pontos principais
Como mencionado anteriormente, quando um objeto excludo, ele movido
para o continer Objetos Excludos e quase todos os seus atributos so eliminados.
Na verdade, os nicos atributos que permanecem so SID, objectGUID,
lastKnownParent e sAMAccountName do objeto.
Desde que o nvel funcional do domnio seja Windows Server 2003 ou superior, e
que o objeto ainda no tenha sido eliminado pelo processo de coleta de lixo depois
de atingir o fim de seu tempo de vida da marca de excluso, voc pode restaurar ou
reativar o objeto excludo.
Para restaurar um objeto excludo:
1. Clique no boto Iniciar, em seguida, na caixa Iniciar Pesquisa, digite LDP.exe
e pressione CTRL+SHIFT+ENTER, o que executa o comando como
administrador.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

3. Em Nome de usurio, digite o nome de usurio de um administrador.
4. Em Senha, digite a senha da conta administrativa e pressione a tecla ENTER.
O LDP aberto.
5. Clique no menu Conexo, em Conectar e em OK.
6. Clique no menu Conexo, em Associar e em OK.
7. Clique no menu Opes e clique em Controles.
8. Na lista Carregar Predefinidos, clique em Retornar Objetos Excludos e
clique em OK.
9. Clique no menu Exibir, em rvore e em OK.
10. Expanda o domnio e clique duas vezes em CN=Deleted
Objects,DC=contoso,DC=com.
11. Clique com o boto direito do mouse no objeto excludo e clique Modificar.
12. Na caixa Atributo, digite isDeleted.
13. Na seo Operao, clique em Excluir.
14. Clique no boto ENTER.
15. Na caixa Atributo, digite distinguishedName.
16. Na caixa Valores, digite o nome distinto do objeto no continer pai ou
unidade organizacional na qual o objeto deve ser restaurado. Por exemplo,
digite o nome distinto do objeto antes de ele ser excludo.
17. Na seo Operao, clique em Substituir.
19. Marque a caixa de seleo Estendido.
20. Clique no boto Executar.
21. Clique no boto Fechar.
22. Feche o LDP.
23. Use Usurios e Computadores do Active Directory para repopular os atributos
do objeto, redefinir a senha (de um objeto de usurio) e habilitar o objeto (se
estiver desabilitado).
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Leitura adicional
Cenrio de ponta a ponta que usa a ferramenta de montagem de banco de
dados do Active Directory (em ingls)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Demonstrao: Uso de instantneos e reanimao de
objeto

Pontos principais
Nesta demonstrao, seu instrutor criar um instantneo, excluir um objeto (um
usurio, talvez), montar o instantneo com NTDSutil,e usar LDP ou ADSIedit
para exibir o objeto excludo no instantneo..
Voc ter a oportunidade de revisar e praticar brevemente procedimentos
semelhantes no laboratrio desta lio.
Para etapas especficas destas demonstraes, consulte os dois tpicos anteriores
Instantneos do Active Directory e Restaurar objetos excludos. Esses tpicos
contm etapas detalhadas para criar, montar, conectar a um instantneo com
Usurios e Computadores do Active Directory, desmontar o instantneo e restaurar
um objeto excludo.
Pergunta: Quando seria til montar vrios instantneos simultaneamente?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Pergunta: Por que necessrio especificar diferentes portas LDAP, SSL e de
catlogo global para cada instncia montada do banco de dados?
Leitura adicional
Cenrio de ponta a ponta que usa a ferramenta de montagem de banco de
dados do Active Directory (em ingls)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio B: Gerenciamento do banco de
dados do Active Directory

Cenrio
Voc o administrador da Contoso, Ltd., uma universidade online. No fim do
semestre, h 65 dias, voc excluiu 835 contas de usurio de estudantes que se
formaram ou que no retornaro mais ao programa. Agora voc deseja compactar o
banco de dados do Active Directory para recuperar o espao liberado por esses
diversos objetos excludos. Alm disso, voc foi notificado que ontem, uma conta
de usurio, Adriana Giorgi, foi excluda acidentalmente. Voc deseja recuperar essa
conta com um instantneo que agendou para ser executado toda noite 1h.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Realizar a manuteno do banco de dados
Neste exerccio, voc realizar a manuteno do banco de dados do Active
Directory. Para fazer isso, voc precisar parar o servio do AD DS e reinici-lo
quando a manuteno estiver concluda.
2. Preparar-se para compactar o banco de dados do Active Directory.
3. Parar o servios do AD DS.
4. Compactar o banco de dados do Active Directory.
5. Substituir o banco de dados do Active Directory pela cpia compactada.
6. Verificar a integridade do banco de dados compactado.
7. Iniciar o servio do AD DS.

Laboratrio A. Entretanto, caso no estejam, voc deve concluir as etapas abaixo.
Pa$$w0rd.
2. Inicie 10222A-HQDC02-B, mas no faa logon.

Tarefa 2: Preparar-se para compactar o banco de dados do Active
Directory
2. No prompt de comando, crie duas pastas: D:\NTDSCompact e
D:\NTDSOriginal.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Parar os servios do AD DS
1. Execute o console Servios como administrador, com o nome de usurio
2. Parar o servios do AD DS.

Tarefa 4: Compactar o banco de dados do Active Directory
Use NTDSUtil para ativar a instncia do NTDS e compactar o arquivo do
banco de dados ao D:\NTDSCompact.

Tarefa 5: Substituir o banco de dados do Active Directory pela cpia
compactada
1. Mova a verso antiga do NTDS.dit e todos os arquivos *.log de
%systemroot%\NTDS para D:\NTDSOriginal a fim de preserv-los caso a
compactao no tenha sido bem-sucedida ou tenha causado corrupo.
2. Copie o NTDS.dit compactado de D:\NTDSCompact para
%systemroot%\NTDS\ntds.dit.

Tarefa 6: Verificar a integridade do banco de dados compactado
Use NTDSUtil para ativar a instncia do NTDS, realizar uma verificao de
integridade e fazer uma anlise semntica do banco de dados no modo de
ajuste.

Tarefa 7: Iniciar o servio do AD DS
1. Alterne para o console Servios.
2. Inicie o servio do AD DS.
3. Feche o console Servios.

Resultados: aps esse exerccio, voc ter parado o AD DS, compactado o banco de
dados do Active Directory, realizado a verificao de integridade e semntica, e
restaurado o AD DS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Trabalhar com instantneos e recuperar um
usurio excludo
Neste exerccio, voc criar e montar um instantneo do Active Directory, e usar
as informaes para ajudar a repopular os atributos de um objeto de usurio
excludo.
1. Criar um instantneo do Active Directory.
2. Gravar uma alterao no Active Directory.
3. Montar um instantneo do Active Directory e criar uma nova instncia.
4. Explorar um instantneo com Usurios e Computadores do Active Directory.
5. Usar LDP para restaurar um objeto excludo (OPCIONAL).

Tarefa 1: Criar um instantneo do Active Directory
No prompt de comando com privilgios elevados, digite os comandos a seguir:
ntdsutil
snapshot
activate instance ntds
create
quit
quit
O comando retorna uma mensagem indicando que o conjunto de instantneos
foi gerado com xito. O GUID exibido importante para comandos em tarefas
posteriores. Anote o GUID ou, como alternativa, copie-o para a rea de
Transferncia.

Tarefa 2: Gravar uma alterao no Active Directory
1. Execute Usurios e Computadores do Active Directory como administrador,
2. Exclua a conta de Adriana Giorgi na UO (unidade organizacional) User
Accounts\Employees.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Montar um instantneo do Active Directory e criar uma nova
instncia
1. No prompt de comando com privilgios elevados, digite os comandos a seguir:
ntdsutil
snapshot
list all
O comando retorna uma lista de todos os instantneos.
2. Digite os seguintes comandos:
mount guid
quit
quit
onde guid o GUID do instantneo que voc criou.
3. Inicie uma instncia do Active Directory usando o instantneo, digitando o
comando a seguir, tudo em uma linha.
dsamain -dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds.dit -
ldapport 50000
Observe que datetime ser um valor exclusivo para voc. Deve haver apenas
uma pasta em sua unidade C com um nome que comece com $snap.
Uma mensagem indica que a inicializao do Servios de Domnio Active
Directory est concluda. Deixe Dsamain.exe em execuo. No feche o
prompt de comando.

Tarefa 4: Explorar um instantneo com Usurios e Computadores do
Active Directory
1. Alterne para Usurios e Computadores do Active Directory. Clique com o
boto direito do mouse no n raiz do snap-in e escolha Alterar Controlador
de Domnio. Digite o nome e a porta do servidor do diretrio
HQDC01:50000 e pressione a tecla ENTER. Clique em OK.
2. Localize o objeto Adriana Giorgi na UO User Accounts\Employees. Observe
que o objeto de Adriana Giorgi exibido porque o instantneo foi feito antes
de exclu-lo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 5 (opcional): Usar LDP para restaurar um objeto excludo
Restaurar uma conta de usurio excluda uma tarefa que no est relacionada
diretamente com os instantneos. Use o comando Ldp.exe para reanimar objetos
do continer Objetos Excludos do Active Directory. Um objeto excludo tem a
maioria dos seus atributos eliminados, portanto, um instantneo pode ser til para
examinar os atributos do objeto antes de sua excluso.
1. Clique no boto Iniciar. Na caixa Iniciar Pesquisa, digite LDP.exe e pressione
CTRL+SHIFT+ENTER, o que executa o comando como administrador.
3. Em Nome de usurio, digite Pat.Coleman_Admin.
O LDP aberto.
7. Clique no menu Opes e clique em Controles.
8. Na lista Carregar Predefinidos, clique em Retornar Objetos Excludos e
clique em OK.
10. Na rvore de console, expanda DC=contoso,DC=com e clique duas vezes em
CN=Deleted Objects,DC=contoso,DC=com.
11. Clique com o boto direito do mouse em CN=Adriana Giorgi e clique em
Modificar.
16. Na caixa Valores, digite CN=Adriana Giorgi, OU=Employees, OU=User
Accounts,DC=contoso,DC=com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

22. Feche o LDP.
23. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman_Admin com a senha Pa$$w0rd.
24. Na rvore de console, expanda o domnio contoso.com e a UO User
Accounts, e clique na UO Employees.
25. Observe que a conta de Adriana Giorgi restaurada. Entretanto, todos os
atributos esto faltando, incluindo a descrio e a senha. Como a senha est
faltando, a conta foi desabilitada.
26. Alterne para a instncia de Usurios e Computadores do Active Directory que
est exibindo os dados do instantneo.
27. Observe que voc pode usar os atributos contidos no instantneo para
repopular manualmente os atributos no Active Directory.
28. Feche ambas as instncias de Usurios e Computadores do Active Directory.

Tarefa 6: Desmontar um instantneo do Active Directory
1. No prompt de comando, pressione CTRL+C para parar o DSAMain.exe.
2. Digite os seguintes comandos:
ntdsutil
snapshot
unmount guid quit
quit
onde guid o GUID do instantneo.

Resultados: aps esse exerccio, voc ter criado, montado e examinado um
instantneo do Active Directory e, opcionalmente, restaurado uma conta de usurio
excluda.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Pergunta: Em que outras situaes pode ser til montar um instantneo do Active
Directory?
Pergunta: Quais so as desvantagens de restaurar um objeto excludo com uma
ferramenta como o LDP?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Lio 3
Fazer backup e restaurar o AD DS e os
controladores de domnio

Mesmo com o plano de monitoramento e as tecnologias mais eficazes, ainda assim
possvel que um controlador de domnio falhe, ou que o Active Directory seja
danificado ou corrompido, de forma intencional ou acidental. Caso isso acontea,
voc deve estar preparado para restaurar o controlador de domnio, o diretrio ou
objetos do diretrio. Nesta lio, voc aprender como usar o Backup e o Modo de
restaurao de servios de diretrio do Windows Server para fazer backup e
restaurar efetivamente o AD DS e os controladores de domnio.
Objetivos
Fazer backup de um controlador de domnio do AD DS.
Programar trabalhos de backup do controlador de domnio.
Restaurar o AD DS
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Ferramentas de recuperao e backup

Pontos principais
O Backup do Windows Server o recurso novo e bastante aprimorado do
Windows Server 2008 que permite que voc faa backup e restaure um servidor,
suas funes e dados. O Backup do Windows Server instalado como um recurso
no Gerenciador de Servidores.
O Backup do Windows Server fornece uma ferramenta administrativa chamada
snap-in e o comando WBAdmin (wbadmin.exe). O snap-in e a linha de comando
permitem que voc realize backups manuais ou automatizados para um volume de
disco interno ou externo, um compartilhamento remoto ou mdia ptica. Fazer
backup em fita no tem mais suporte no Backup do Windows Server.
O Backup do Windows permite que voc realize um dos seguintes tipos de
backups:
Servidor completo
Volumes selecionados
Estado do sistema
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

No possvel usar o Backup do Windows Server para fazer backup de arquivos
ou pastas individuais. Entretanto, o Backup do Windows Server permite que voc
restaure arquivos ou pastas individuais.
Se voc optar por fazer backup em um volume de disco local ou externo,
recomendado ou necessrio (dependendo da sua configurao) que o volume seja
dedicado a backups. Em outras palavras, voc no deve usar o volume para
armazenar nenhum outro tipo de dados.
Observe que a ferramenta de backup de herana, NTBackup, no tem mais
suporte. Alm disso, o Backup do Windows Server no pode restaurar backups
feitos por NTBackup. Voc pode baixar uma verso de NTBackup que seja
compatvel com o Windows Server 2008 e tenha suporte para restaurar arquivos
de backup de herana no Windows Server 2008 quando voc precisar recuperar
dados. Entretanto, NTBackup no deve ser usada para realizar quaisquer novas
operaes de backup.
Existem vrias nuances e requisitos para usar o Backup do Windows Server em
determinados cenrios e configuraes. Se voc for usar o Backup do Windows
Server como seu utilitrio de backup, leia os artigos listados em "Leitura adicional"
abaixo.
Leitura adicional
Viso geral de Backup e recuperao para Windows Server 2008 (em ingls)
Backup do Windows Server
Backup do Windows Server
http://technet.microsoft.com/en-us/library/cc770757(WS.10).aspx
Fazendo backup do servidor

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Viso geral do AD DS e backup do controlador de domnio

Pontos principais
Em verses anteriores do Windows, fazer backup do Active Directory implicava em
criar um backup do Estado do Sistema, que era uma pequena coleo de arquivos
que inclua o banco de dados e o registro do Active Directory.
No Windows Server 2008, o conceito de Estado do Sistema ainda existe, mas
muito maior. Devido s interdependncias entre funes do servidor, configurao
fsica e o Active Directory, o Estado do Sistema agora um subconjunto de um
backup Servidor Completo e, em algumas configuraes, pode ser to grande
quanto. Para fazer backup de um controlador de domnio, voc deve fazer o
backup completo de todos os volumes crticos.
Voc pode usar o Backup do Windows Server (o snap-in ou wbadmin.exe) para
realizar um backup Estado do Sistema.
Leitura adicional
Guia passo a passo de backup e recuperao dos AD DS

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Demonstrao: Backup do AD DS

Pontos principais
Nesta demonstrao, seu instrutor mostrar como fazer backup do Active
Directory. Voc ter a oportunidade de realizar um procedimento semelhante no
laboratrio deste mdulo.
Para realizar um backup interativo do Active Directory:
1. Abra o snap-in Backup do Windows Server.
2. Clique no link Backup nico. O Assistente de Backup nico ser exibido.
3. Na pgina de opes Backup, garanta que Opes diferentes est selecionada
e clique em Prximo.
4. Na pgina Selecionar configurao de backup, clique em Personalizar e, em
seguida, clique em Prximo.
5. Na pgina Selecione os itens de backup, verifique se a caixa de seleo
Habilitar recuperao do sistema est marcada e clique em Prximo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

6. Na pgina Especifique o tipo de destino, clique em Prximo.
7. Na pgina Selecione os itens de backup, clique em Prximo.
8. Na pgina Especificar opo avanada, clique em Backup completo VSS e,
em seguida, clique em Prximo.
9. Na pgina Confirmao, clique em Backup.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Outras ferramentas de backup e recuperao

Pontos principais
O Windows Server 2008 fornece vrias ferramentas adicionais que so
relacionadas ao backup e recuperao do Servios de Domnio Active Directory.
Na lio anterior, voc aprendeu como criar instantneos do Active Directory. Os
instantneos, embora sejam Somente Leitura, so uma pea valiosa da recuperao.
Primeiro, voc pode facilmente explorar os instantneos para identificar em que
ponto no tempo um problema foi introduzido no diretrio e, em seguida, voc
pode restaurar o backup correto de acordo. Segundo, embora o Windows no
fornea um mtodo para copiar ou armazenar informaes de um instantneo para
a instncia de produo do Active Directory, h scripts e ferramentas de terceiros
que permitiro que voc faa parte disso.
O Backup do Windows Server adiciona vrios cmdlets do Windows PowerShell
que permitem que voc crie um script das operaes de backup e recuperao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Finalmente, o WinRE (Ambiente de Recuperao do Windows) bastante til em
determinados cenrios de recuperao. O WinRE uma verso residente na
memria do Windows derivada do WinPE (Ambiente de Pr-instalao do
Windows). Voc pode iniciar o WinRE, reinicializando com o DVD do Windows
Server 2008 e, quando solicitado, escolhendo as opes de recuperao do
sistema. aberto um prompt de comando no qual voc tem acesso total a volumes
de disco no criptografados no sistema. Voc pode usar o wbadmin para realizar
operaes de backup ou restaurao, e pode usar muitas outras operaes de
soluo de problemas de linha de comando.
Recomenda-se que voc instale o WinRE como uma opo de inicializao em um
servidor, caso o sistema operacional principal falhe. Isso permite que voc
reinicialize diretamente no WinRE sem precisar da mdia de instalao do
Voc pode aprender mais sobre o WinRE e as outras ferramentas neste slide no
artigo listado em "Leitura adicional".
Leitura adicional
Viso geral de Backup e Recuperao para Windows Server 2008 (em ingls)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Opes de restaurao do Active Directory

Pontos principais
Quando um controlador de domnio ou seu diretrio se corrompe, se danifica ou
falha, voc tem vrias opes com as quais restaurar o sistema.
A primeira opo chamada de "restaurao normal" ou "restaurao sem
autoridade". Em uma operao de restaurao normal, voc restaura um backup do
Active Directory a partir de uma data boa conhecida. Efetivamente, voc reverte o
controlador de domnio no tempo. Quando o AD DS reinicia no controlador de
domnio, este contata seus parceiros de replicao e solicita todas as atualizaes
subsequentes. Efetivamente, o controlador de domnio "fica em dia" com o resto do
domnio usando mecanismos de replicao padro.
A restaurao normal til quando o diretrio em um controlador de domnio foi
danificado ou corrompido, mas o problema no se espalhou para outros
controladores de domnio. E o que dizer de uma situao em que o dano foi
causado e foi replicado? Por exemplo, e se voc excluir um ou mais objetos, e essa
excluso tiver sido replicada?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Nessas situaes, uma restaurao normal no suficiente. Se voc restaura uma
verso boa conhecida do Active Directory e reinicia o controlador de domnio, a
excluso (que aconteceu aps o backup) se replicar simplesmente de volta para o
controlador de domnio, e voc est exatamente onde comeou.
A que a restaurao autoritativa necessria. Em uma restaurao autoritativa,
voc restaura a verso boa conhecida do Active Directory, como em uma
restaurao normal, mas antes de reiniciar o controlador de domnio, marca os
objetos que deseja manter (os objetos excludos acidentalmente) como
autoritativos, de forma que eles sejam replicados do controlador de domnio
restaurado para seus parceiros de replicao. Nos bastidores, quando voc marca
objetos como autoritativos, o Windows incrementa o nmero da verso de todos
os atributos do objeto para que seja to alto que a verso seja garantidamente a
mais alta do que o nmero de verso de todos os outros controladores de domnio.
Quando o controlador de domnio restaurado reiniciado, ele replica de seus
parceiros de replicao todas as alteraes que foram feitas no diretrio, mas ele
tambm notifica seus parceiros de que possui alteraes, cujos nmeros de verso
garantem que os parceiros recebam as alteraes e repliquem no servio de
diretrio.
A terceira opo para restaurar o servio de diretrio restaurar o controlador de
domnio inteiro. Isso feito com a reinicializao no Ambiente de Recuperao do
Windows e a restaurao de um backup de servidor completo do controlador de
domnio. Por padro, trata-se de uma restaurao normal. Se voc tambm precisar
marcar objetos como autoritativos, dever reiniciar o servidor no Modo de
Restaurao de Servios de Diretrio e definir esses objetos como autoritativos
antes de reiniciar o controlador de domnio para operao normal.
Finalmente, voc pode restaurar um backup do Estado do Sistema para um local
alternativo. Isso permite que voc examine arquivos e, potencialmente, monte o
arquivo NTDS.dit como aprendeu a fazer na lio anterior. Voc no deve de forma
alguma copiar os arquivos de um local de restaurao alternativo sobre as verses
de produo desses arquivos. No faa uma restaurao em estgios do Active
Directory. Essa opo tambm usada se voc deseja usar a opo Instalar da
Mdia para criar um novo controlador de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Restaurao no autoritativa

Pontos principais
Para realizar uma restaurao autoritativa ou no autoritativa do Active Directory,
voc deve ter acesso total aos arquivos do controlador de domnio. Isso requer
reiniciar o controlador de domnio no DSRM (Modo de Restaurao de Servios de
Diretrio).
Se voc estiver reiniciando um controlador de domnio localmente, pressione F8
durante a inicializao e escolha Modo de Restaurao de Servios de Diretrio no
menu de inicializao.
Como alternativa, voc pode configurar o controlador de domnio para reiniciar
automaticamente no DSRM. Esse mtodo deve ser usado se voc estiver acessando
o controlador de domnio remotamente com a rea de trabalho remota.
Para configurar um controlador de domnio para reiniciar no DSRM:
1. Abra um prompt de comando com privilgios elevados, digite o comando a
seguir e pressione a tecla ENTER:
bcdedit /set safeboot dsrepair
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

2. Digite o comando a seguir e pressione a tecla ENTER:
shutdown -t 0 -r
3. Para reiniciar o servidor normalmente depois de realizar uma operao de
restaurao, digite o comando a seguir e pressione a tecla ENTER:
bcdedit /deletevalue safeboot dsrepair
shutdown -t 0 -r

Ao iniciar um controlador de domnio no DSRM, voc far logon como
Administrador com a senha DSRM.
Voc pode usar o Backup do Windows Server para restaurar o banco de dados do
diretrio.
1. Abra um Prompt de comando.
2. Digite wbadmin get versions -backuptarget:D: -machine:HQDC01 e
pressione a tecla ENTER.
Onde D: o volume em que os backups so armazenados e HQDC01 o
nome do controlador de domnio que voc est restaurando.
3. Observe as informaes de verso retornadas.
4. Digite wbadmin start systemstaterecovery -version:verso, onde verso o
nmero que voc gravou na etapa anterior, e pressione a tecla ENTER.
5. Digite S e pressione a tecla ENTER.

Depois que a operao de restaurao estiver concluda, reinicie o servidor. O
controlador de domnio "ficar em dia" com o resto do domnio, enviando as
alteraes ocorridas desde a data do backup de seus parceiros de replicao para o
diretrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Restaurao autoritativa

Pontos principais
A maioria dos procedimentos envolvidos na realizao de uma restaurao
autoritativa so idnticos aos de uma restaurao no autoritativa.
Primeiro, reinicie o controlador de domnio no DSRM. Faa logon com a conta de
Administrador e a senha do DSRM. Restaure o diretrio com o Backup do
Windows Server, como descrito no slide anterior.
No entanto, antes de reiniciar o controlador de domnio, voc deve marcar como
autoritativos os objetos que deseja manter aps a reinicializao ou seja, os
objetos excludos que est tentando restaurar.
Para marcar um objeto como autoritativo, no Prompt de Comando, digite os
seguintes comandos:
ntdsutil
authoritative restore
restore object "DN do objeto"
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Para marcar uma UO ou continer, e todos os seus subobjetos como autoritativos,
no prompt de comando, digite os comandos a seguir:
ntdsutil
authoritative restore
restore subtree "DN do objeto"
Reinicie o controlador de domnio. O controlador de domnio replicar a partir de
seus parceiros todas as alteraes que ocorreram no diretrio desde a data do
backup. Entretanto, em relao aos objetos que foram marcados como
autoritativos, cada atributo desses objetos receberam um nmero de verso alto.
Portanto, esses objetos sero replicados do controlador de domnio restaurado
para o resto do servio de diretrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio C: Backup e restaurao do Active
Directory

Cenrio
Como administrador da Contoso, sua responsabilidade garantir que seja feito o
backup do servio de diretrio. Hoje, voc notou que o backup da noite passada
no foi executado conforme agendado, por isso decidiu realizar um backup
interativo. Logo aps o backup, um administrador de domnio exclui
acidentalmente a UO Employees. Por sorte, voc consegue restaurar a UO com o
backup que acabou de fazer.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Fazer backup do Active Directory
Neste exerccio, voc instalar o recurso Backup do Windows Server e vai us-lo
para agendar um backup do Active Directory. Voc tambm far um backup
interativo do volume do sistema.
2. Instalar o recurso Backup do Windows Server.
3. Criar um backup agendado.
4. Realizar um backup interativo.

abaixo.
Pa$$w0rd.
Pa$$w0rd.

Tarefa 2: Instalar o recurso Backup do Windows Server
1. Em HQDC01, execute o Gerenciador de Servidores como administrador, com
o nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Instale todos os recursos do Backup do Windows Server.

Tarefa 3: Criar um backup agendado
1. Execute o Backup do Windows Server com credenciais administrativas. Use a
conta Pat.Coleman_Admin com a senha Pa$$w0rd.
2. No painel Aes, clique no link Agendamento de Backup .
O Assistente de Agendamento de Backup ser exibido.
3. Na pgina Introduo, clique em Prximo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

4. Na pgina Selecionar configurao de backup, clique em Personalizar e, em
seguida, clique em Prximo.
5. Na pgina Selecionar itens de backup, desmarque a caixa de seleo 10222A
(D:) e clique em Prximo.
6. Na pgina Especificar horrio do backup, selecione Uma vez por dia.
7. Na lista Selecione a hora do dia, selecione 00:00.
8. Clique em Prximo.
9. Na pgina Selecione o disco de destino, clique em Mostrar Todos os Discos
Disponveis.
A caixa de dilogo Mostrar Todos os Discos Disponveis ser exibida.
10. Marque a caixa Disco 1 e clique em OK.
11. Na pgina Selecionar o disco de destino, marque a caixa de seleo Disco 1 e
clique em Prximo.
A caixa de dilogo Backup do Windows Server ser exibida, informando que
todos os dados do disco sero excludos.
12. Clique em Sim para continuar.
13. Na pgina Rotular disco de destino, clique em Prximo.
14. Na pgina Confirmao, clique em Cancelar para evitar a formatao da
unidade D.

Tarefa 4: Realizar um backup interativo
1. Na janela Backup do Windows Server, no painel Aes, clique em Backup
nico.
2. Configure o backup para usar as configuraes a seguir:
Tipo de backup: Personalizado
Itens de backup: C: apenas unidade com Habilitar recuperao do
sistema
Option avanada: Backup completo de VSS
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

3. O backup levar aproximadamente 10 a 15 minutos para ser concludo. Aps
a concluso do backup, feche o Backup do Windows Server.

Resultados: aps esse exerccio, voc ter instalado o recurso Backup do Windows
Server e usado o mesmo para agendar um backup das informaes do AD DS e
realizar um backup interativo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Restaurar o Active Directory e uma UO excluda
Neste exerccio, voc realizar uma restaurao autoritativa do banco de dados do
AD DS. Em seguida, voc verificar se os dados foram restaurados com xito.
Estas so as tarefas principais:
1. Excluir a UO Employees.
2. Reiniciar no DSRM (Modo de Restaurao de Servios de Diretrio).
3. Restaurar os dados do estado do sistema.
4. Marcar as informaes restauradas como autoritativas e reiniciar o servidor.
5. Verificar se os dados excludos foram restaurados.

Tarefa 1: Excluir a UO Employees
2. Exclua a UO Contractors na UO User Accounts.
3. Em HQDC02, execute Usurios e Computadores do Active Directory como
Pa$$w0rd.
4. Verifique se o controlador de domnio replicou a excluso da UO Contractors.

Tarefa 2: Reiniciar no DSRM (Modo de Restaurao de Servios de
Diretrio)
2. Digite bcdedit /set safeboot dsrepair para configurar o servidor para iniciar
no DSRM (Modo de Restaurao de Servios de Diretrio).
3. Reinicie HQDC01.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 3: Restaurar os dados do estado do sistema
1. Faa logon como Administrador usando a senha Pa$$w0rd.
2. Execute o prompt de comando como administrador.
3. Digite wbadmin get versions -backuptarget:D: -machine:HQDC01 para
obter as informaes de verso para o backup.
4. Restaure as informaes de Estado do Sistema, digitando wbadmin start
systemstaterecovery -version:verso -backuptarget:D: -machine:HQDC01.
ou seja, wbadmin inicia systemstaterecovery -version:10/14/2009-01:11 -
backuptarget:D: -machine:HQDC01
A restaurao levar cerca de 30 a 35 minutos.

Tarefa 4: Marcar as informaes restauradas como autoritativas e
reiniciar o servidor
1. No prompt de comando, use o NTDS para realizar uma restaurao autoritativa
de OU=Contractors, OU=User Accounts,DC=contoso,DC=com.
2. Para reiniciar o servidor normalmente depois de realizar uma operao de
restaurao, digite bcdedit /deletevalue safeboot e pressione a tecla ENTER.
3. Reinicie o servidor.

Tarefa 5: Verificar se os dados excludos foram restaurados
1. Aps a reinicializao do servidor, faa logon como Pat.Coleman com a senha
Pa$$w0rd.
3. Em HQDC02, atualize o modo de exibio Usurios e Computadores do
Active Directory. Verifique se a UO Contractors tambm foi restaurada neste

Resultados: aps esse exerccio, voc ter realizado uma restaurao autoritativa dos
dados do Active Directory para a recuperao da excluso acidental de uma UO.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Pergunta: Que tipo de controlador de domnio e plano de backup do servio de
diretrio voc possui? O que voc espera fazer depois de ter concludo esta lio e
este Laboratrio?
Pergunta: Quando voc restaurar um usurio excludo (ou uma UO com objetos
de usurio) usando a restaurao autoritativa, os objetos sero exatamente os
mesmos de antes? Que atributos talvez no sejam os mesmos?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Gerenciamento de vrios domnios e florestas 14-1
Mdulo 14
Gerenciamento de vrios domnios e florestas
Sumrio:
Lio 1: Configurao dos nveis funcionais de domnio e floresta 14-4
Laboratrio A: Aumento dos nveis funcionais de domnio e floresta 14-16
Lio 2: Gerenciamento de vrios domnios e relaes de confiana 14-23
Laboratrio B: Administrao da relao de confiana 14-71
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Viso geral do mdulo

No Mdulo 1, voc aprendeu que o AD DS fornece a base de uma soluo de
gerenciamento de identidades e acessos e explorou a criao de uma infraestrutura
simples do AD DS com uma floresta nica e um domnio nico. Nos mdulos
subsequentes, conheceu os detalhes de gerenciamento de um ambiente do AD DS.
Agora, voc est pronto para retornar ao nvel mais alto de uma infraestrutura do
AD DS e considerar o modelo e a funcionalidade de seus domnios e florestas.
Neste mdulo, voc aprender a aumentar os nveis de funcionalidade do domnio
e da floresta do seu ambiente, a desenvolver a infraestrutura ideal do AD DS para
sua empresa, a migrar objetos entre domnios e florestas e a habilitar a autenticao
e o acesso aos recursos em vrios domnios e florestas.
Objetivos
Compreender os nveis funcionais de domnio e floresta.
Aumentar os nveis funcionais de domnio e floresta.
Identificar os recursos adicionados por cada nvel funcional.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Criar uma estrutura efetiva de domnios e rvore do AD DS.
Identificar a funo da ferramenta de migrao do Active Directory e os
problemas relacionados migrao de objetos e reestruturao de domnios.
Compreender as relaes de confiana.
Configurar, administrar e proteger as relaes de confiana.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 1
Configurao de nveis funcionais do domnio
e da floresta

Quando voc adicionar controladores de domnio do Windows Server 2008 aos
seus domnios e floresta, poder comear a aproveitar os novos recursos do servio
de diretrio do Active Directory. Os nveis funcionais de domnio e floresta so
modos de operao de domnios e florestas, respectivamente. Os nveis funcionais
determinam as verses do Windows que podem ser usadas como controladores
de domnio e a disponibilidade dos recursos do Active Directory.
Objetivos
Compreender os nveis funcionais de domnio e floresta.
Aumentar os nveis funcionais de domnio e floresta.
Identificar os recursos adicionados por cada nvel funcional.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Compreenso dos nveis funcionais

Pontos principais
Os nveis funcionais so como opes que habilitam a nova funcionalidade
oferecida em cada verso do Windows. O Windows Server 2003 adicionou vrios
recursos ao Active Directory, e o Windows Server 2008 continua com a evoluo
do AD DS (Servios de Domnio do Active Directory). Esses recursos no so
compatveis com verses anteriores, por isso, se houver controladores de domnio
que executam o Windows 2000 Server, no ser possvel habilitar a funcionalidade
oferecida por verses posteriores do Windows; a funcionalidade mais recente ser
desabilitada. Da mesma forma, at que todos os controladores de domnio estejam
executando o Windows Server 2008, voc no poder implementar os
aprimoramentos no AD DS. O aumento do nvel funcional impe dois requisitos
importantes:
1. Todos os controladores de domnio devem executar a verso correta do
Windows Server.
2. Voc precisa aumentar manualmente o nvel funcional. Isso no ocorre de
forma automtica.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lembre-se de que somente os controladores de domnio determinam a sua capacidade
de definir um nvel funcional. Os servidores e estaes de trabalho membros podem
executar qualquer verso do Windows em um domnio ou floresta, em qualquer
nvel funcional.
importante observar que o aumento do nvel funcional uma operao
unidirecional: no possvel diminuir o nvel funcional de um domnio ou floresta.
Portanto, depois de aumentar o nvel funcional do domnio para Windows Server
2008, por exemplo, voc no poder adicionar posteriormente ao mesmo domnio
um controlador de domnio que execute o Windows Server 2003.
Tambm importante observar que uma floresta pode ter domnios executados
em nveis funcionais diferentes, mas depois que o nvel funcional da floresta tiver
sido aumentado, voc no poder adicionar a nenhum domnio da floresta um
controlador de domnio que execute uma verso anterior do Windows.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Nveis funcionais de domnio

Pontos principais
O nvel funcional do domnio afeta os recursos do Active Directory disponveis no
domnio e determina as verses de Windows compatveis com os controladores de
domnio no domnio. Nas verses anteriores do Windows, os nveis funcionais de
domnio e os modos, como eram chamados no Windows 2000 Server, ofereciam
suporte a controladores de domnio que executavam o Windows NT 4.0. Esse
suporte no existe mais no Windows Server 2008. Todos os controladores de
domnio devem executar o Windows 2000 Server ou superior para que seja
possvel adicionar o primeiro controlador de domnio do Windows Server 2008 ao
domnio. O Windows Server 2008 Active Directory oferece suporte a trs nveis
funcionais de domnio:
Windows 2000 Nativo
Windows Server 2003
Windows Server 2008

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Windows 2000 Nativo
O nvel funcional de domnio do Windows 2000 Nativo o mais baixo que oferece
suporte a controladores de domnio do Windows Server 2008. Os controladores
de domnio oferecem suporte aos seguintes sistemas operacionais:
Windows 2000 Server
Windows Server 2003
Windows Server 2008

Se existirem controladores de domnio que executam o Windows 2000 Server ou o
Windows Server 2003, ou se voc espera que seja necessrio adicionar um ou mais
controladores de domnio que executam essas verses anteriores do Windows,
deixe o nvel funcional do domnio definido como Windows 2000 Nativo.
Windows Server 2003
Depois que forem removidos ou atualizados todos os controladores de domnio
que executam o Windows 2000 Server, o nvel funcional do domnio poder ser
aumentado para Windows Server 2003. Nesse nvel funcional, o domnio no pode
mais oferecer suporte a controladores de domnio que executam o Windows 2000
Server, dessa forma, todos os controladores de domnio precisam executar um
destes dois sistemas operacionais:
Windows Server 2003
Windows Server 2008

O nvel funcional de domnio do Windows Server 2003 adiciona vrios novos
recursos alm daqueles oferecidos no nvel funcional de domnio do Windows
2000 Nativo. Esses recursos incluem:
Renomeao do controlador de domnio. A ferramenta de gerenciamento de
domnio, netdom.exe, que pode ser usada para preparar-se para a renomeao
de controlador de domnio.
O atributo lastLogonTimestamp. Quando um usurio ou computador faz
logon no domnio, o atributo lastLogonTimestamp atualizado com a hora do
logon. Esse atributo replicado no domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O atributo userPassword. As entidades de segurana do Active Directory
incluem usurios, computadores e grupos. A quarta classe de objeto,
inetOrgPerson, semelhante a um usurio e usada na integrao com vrios
servios de diretrio que no so da Microsoft. No nvel funcional de domnio
do Windows Server 2003, voc pode definir o atributo userPassword como a
senha efetiva nos objetos inetOrgPerson e de usurio. Este atributo somente
gravao. Voc no pode recuperar a senha do atributo userPassword.
Redirecionamento do continer padro de usurios e computadores. No
Mdulo 5, voc aprendeu que pode usar os comandos redirusr.exe e
redircmp.exe para redirecionar os contineres padro de usurios e
computadores. Isso faz com que novas contas sejam criadas nas unidades
organizacionais especficas e no nos contineres de Usurios e
Computadores.
Diretivas do Gerenciador de Autorizao. O Gerenciador de Autorizao
uma ferramenta que pode ser usada para fornecer autorizao por aplicativos e
pode armazenar suas diretivas de autorizao no AD DS.
Delegao restrita. Os aplicativos podem se beneficiar da delegao segura de
credenciais de usurio por meio do protocolo de autenticao Kerberos. A
delegao pode ser configurada para ser permitida apenas para servios de
destino especficos.
Autenticao seletiva. Na Lio 2 deste mdulo, voc aprender a criar
relaes de confiana entre o seu domnio e um outro domnio ou floresta. A
autenticao seletiva permite especificar os usurios e grupos do domnio ou
floresta confiveis que esto autorizados a autenticar nos servidores da sua
floresta.
RODCs (controladores de domnio somente leitura). Um domnio precisa
estar no nvel funcional de domnio do Windows Server 2003 para que um
RODC possa ser adicionado. Alm disso, preciso executar adprep /rodcprep
e pelo menos um controlador de domnio gravvel do Windows Server 2003
precisa estar ativo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Windows Server 2008
Quando todos os controladores de domnio estiverem executando o Windows
Server 2008 e voc tiver certeza de que no precisar adicionar controladores de
domnio que executam verses anteriores do Windows, poder aumentar o nvel
funcional do domnio para Windows Server 2008. O nvel funcional de domnio
do Windows Server 2008 oferece suporte a controladores de domnio que
executam somente um sistema operacional:
Windows Server 2008

O nvel funcional de domnio do Windows Server 2008 adiciona ao AD DS quatro
recursos em todo o domnio:
Replicao do SYSVOL por DFS-R. No Mdulo 11, voc aprendeu a
configurar o SYSVOL para ser replicado com a DFS-R, e no com o FRS
(Servio de Replicao de Arquivos). A DFS-R fornece uma replicao mais
robusta e detalhada do contedo de SYSVOL.
Servios Avanados de Criptografia. Voc pode elevar a segurana de
autenticao com suporte dos Servios Avanados de Criptografia (AES 128 e
AES 256) para o protocolo Kerberos. O AES substitui o algoritmo de
criptografia RC4-HMAC (Hash Message Authentication Code).
Informaes do ltimo logon interativo. Quando um usurio faz logon no
domnio, vrios atributos do objeto User so atualizados com a hora, a estao
de trabalho ao qual o usurio est conectado e o nmero de tentativas de
logon com falhas desde o ltimo logon.
Diretivas refinadas de senha. No Mdulo 8, voc aprendeu sobre as diretivas
refinadas de senha, que permitem especificar diretivas de senha exclusivas
para usurios ou grupos do domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Aumento do nvel funcional do domnio
Voc poder aumentar o nvel funcional do domnio depois que todos os
controladores de domnio estiverem executando uma verso do Windows com
suporte e quando tiver certeza de que no precisar adicionar controladores de
domnio que executam verses do Windows sem suporte. Para aumentar o nvel
funcional do domnio, abra o snap-in Domnios e Relaes de Confiana do Active
Directory, clique com o boto direito do mouse no domnio e escolha Aumentar
nvel funcional do domnio. A caixa de dilogo mostrada abaixo permite selecionar
um nvel funcional de domnio mais alto.

Observao: operao unidirecional. O aumento do nvel funcional de domnio uma
operao unidirecional. No possvel reverter para o nvel funcional de domnio
anterior.
Voc pode tambm aumentar o nvel funcional do domnio usando o snap-in
Usurios e Computadores do Active Directory. Clique com o boto direito do
mouse no domnio e escolha Aumentar nvel funcional do domnio, ou clique com
o boto direito do mouse no n raiz do snap-in e escolha Aumentar nvel funcional
do domnio no menu Todas as Tarefas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Nveis funcionais da floresta

Pontos principais
Da mesma forma que os nveis funcionais do domnio habilitam alguma
funcionalidade em todo o domnio e determinam as verses do Windows que tm
suporte dos controladores de domnio no domnio, os nveis funcionais da floresta
habilitam a funcionalidade de toda a floresta e determinam os sistemas
operacionais que tm suporte dos controladores de domnio em toda a floresta. O
Windows Server 2008 Active Directory oferece suporte a trs nveis funcionais de
floresta:
Windows 2000
Windows Server 2003
Windows Server 2008

Cada nvel funcional est descrito nas prximas sees.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Windows 2000
O nvel funcional de floresta do Windows 2000 o nvel funcional padro de linha
de base. No nvel funcional do Windows 2000, os domnios podem ser executados
em qualquer nvel funcional de domnio com suporte:
Windows 2000 Nativo
Windows Server 2003
Windows Server 2008

Voc poder aumentar o nvel funcional da floresta depois que todos os domnios da
floresta tiverem sido aumentados para o nvel funcional de domnio equivalente.
Windows Server 2003
Depois que todos os domnios da floresta estiverem no nvel funcional de domnio
do Windows Server 2003 e quando voc tiver certeza de que no adicionar novos
domnios com controladores de domnio do Windows 2000 Server, poder
aumentar o nvel funcional da floresta para Windows Server 2003. Nesse nvel
funcional da floresta, os domnios podem ser executados nos seguintes nveis
funcionais de domnio:
Windows Server 2003
Windows Server 2008

Os seguintes recursos so habilitados no nvel funcional de floresta do Windows
Server 2003:
Relaes de confiana entre florestas. Na Lio 2, voc aprender a criar
relaes de confiana entre florestas.
Renomeao do domnio. Voc pode renomear um domnio de uma floresta.
Replicao de valor vinculado. No nvel funcional de floresta do Windows
2000, uma alterao na associao de grupo resulta na replicao de todo o
atributo multivalorado de membro do grupo. Isso pode levar a um aumento
do trfego de replicao na rede e possvel perda de atualizaes de
associao quando um grupo alterado simultaneamente em diversos
controladores de domnio. Isso leva tambm a um limite recomendado de
5.000 membros em um grupo. A replicao de valor vinculado, habilitada no
nvel funcional de floresta do Windows Server 2003, replica uma alterao de
associao individual e no o atributo de membro inteiro. Ela usa menos
largura de banda e evita a perda de atualizaes quando um grupo alterado
simultaneamente em diversos controladores de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Suporte aos RODCs (controladores de domnio somente leitura). Os
RODCs foram abordados no Mdulo 8. O nvel funcional de floresta do
Windows Server 2003 oferece suporte aos RODCs. claro que o prprio
RODC precisa executar o Windows Server 2008.
Algoritmos e escalabilidade aprimorados de KCC (Knowledge Consistency
Checker). O ISTG (gerador de topologia entre sites) usa algoritmos que
permitem que o AD DS oferea suporte replicao em florestas com mais de
100 sites. No nvel funcional de floresta do Windows 2000, voc precisa
intervir manualmente para criar topologias de replicao para florestas com
centenas de sites. Alm disso, a seleo do ISTG usa um algoritmo que mais
eficiente do que no nvel funcional de floresta do Windows 2000.
Converso de objetos inetOrgPerson em objetos User. possvel converter
uma instncia de um objeto inetOrgPerson, usado na compatibilidade com
determinados servios de diretrio que no so da Microsoft, em uma
instncia de usurio de classe. Tambm possvel converter um objeto User
em objeto inetOrgPerson.
Suporte classe auxiliar dynamicObject. O esquema permite instncias da
classe auxiliar dinmica em parties de diretrio do domnio. Essa classe de
objeto pode ser usada por determinados aplicativos e por desenvolvedores.
Suporte a grupos bsicos de aplicativos e a grupos de consulta LDAP. Dois
novos tipos de grupo chamados grupos bsicos de aplicativos e grupos de
consulta LDAP podem ser usados para oferecer suporte autorizao baseada
em funo nos aplicativos que usam o Gerenciador de Autorizao.
Desativao e redefinio de atributos e classes de objeto. Embora voc no
possa excluir um atributo ou classe de objeto no esquema, no nvel funcional
do Windows Server 2003, pode desativ-los ou redefini-los.

Windows Server 2008
O nvel funcional de floresta do Windows Server 2008 no adiciona novos
recursos em toda a floresta. No entanto, depois que a floresta for configurada para
o nvel funcional de floresta do Windows Server 2008, os novos domnios
adicionados floresta operaro no nvel funcional de domnio do Windows Server
2008, por padro. Nesse nvel funcional de floresta, todos os domnios devem estar
no nvel funcional de domnio do Windows Server 2008, significando que todos os
controladores de domnio devem executar o Windows Server 2008.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Aumento do nvel funcional da floresta
Use o snap-in Domnios e Relaes de Confiana do Active Directory para
aumentar o nvel funcional da floresta. Clique com o boto direito do mouse no n
raiz do snap-in Domnios e Relaes de Confiana do Active Directory e escolha
Aumentar nvel funcional da floresta. A caixa de dilogo mostrada abaixo permite
escolher um nvel funcional de floresta mais alto.

Aumente o nvel funcional da floresta somente quando tiver certeza de que no
sero adicionados novos domnios nos nveis funcionais de domnio sem suporte.
Aps o aumento, no ser possvel reverter para o nvel funcional de floresta
anterior.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Aumento de nveis funcionais da
floresta e do domnio

Cenrio
Voc o administrador de domnio da Tailspin Toys. Uma filial era o ltimo local
com um controlador de domnio do Windows 2000, voc acabou de atualiz-lo
para Windows Server 2008 e quer aproveitar a funcionalidade oferecida pelos
nveis funcionais mais altos de domnio e floresta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Aumentar o nvel funcional do domnio para
Windows Server 2003
Neste exerccio, voc tentar aproveitar os recursos oferecidos no nvel funcional
de domnio do Windows Server 2003. Ver que esses recursos no so oferecidos
nos nveis funcionais de domnio mais baixos. Assim, voc vai aumentar o nvel
funcional do domnio. Por fim, vai testar os recursos avanados para confirmar se
agora h suporte para eles.
2. Confirmar se o nvel funcional de domnio atual Windows 2000 Nativo.
3. Experimentar a funcionalidade no oferecida no nvel funcional de domnio do
Windows 2000 Nativo.
4. Aumentar o nvel funcional do domnio para Windows Server 2003.
5. Verificar a funcionalidade oferecida no nvel funcional de domnio do

Inicie o 10222A-TSTDC01-A e faa logon como Sara.Davis com a senha
Pa$$w0rd.

Tarefa 2: Confirmar se o nvel funcional de domnio atual Windows
2000 Nativo
1. Em TSTDC01, execute Domnios e Relaes de Confiana do Active
Directory como administrador, com o nome de usurio Sara.Davis_Admin e
a senha Pa$$w0rd
2. Confirme se o nvel funcional de domnio atual Windows 2000 Nativo, mas
dilogo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Experimentar a funcionalidade no oferecida no nvel
funcional de domnio do Windows 2000 Nativo
1. Execute o Prompt de Comando como administrador, com o nome de usurio
Sara.Davis_Admin e a senha Pa$$w0rd.
2. Digite redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" e
pressione a tecla ENTER. Ser exibida uma mensagem indicando que o
redirecionamento no foi bem-sucedido. porque o nvel funcional do
domnio precisa ser pelo menos Windows Server 2003.
3. Digite redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" e pressione
a tecla ENTER. Ser exibida uma mensagem indicando que o
redirecionamento no foi bem-sucedido. porque o nvel funcional do
domnio precisa ser pelo menos Windows Server 2003.

Tarefa 4: Aumentar o nvel funcional do domnio para Windows Server
2003
Em Domnios e Relaes de Confiana do Active Directory, aumente o nvel

Tarefa 5: Verificar a funcionalidade oferecida no nvel funcional de
pressione a tecla ENTER. Ser exibida uma mensagem indicando que o
redirecionamento foi bem-sucedido.
a tecla ENTER. Ser exibida uma mensagem indicando que o
redirecionamento foi bem-sucedido.

Resultados: aps esse exerccio, voc ter aumentado o nvel funcional do domnio
para Windows Server 2003 e confirmado que a nova funcionalidade est habilitada.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Aumentar o nvel funcional da floresta para
Windows Server 2003
de floresta do Windows Server 2003. Ver que esses recursos no so oferecidos
nos nveis funcionais de floresta mais baixos. Assim, voc vai aumentar o nvel
funcional da floresta. Por fim, vai testar os recursos avanados para confirmar se
1. Confirmar se o nvel funcional de floresta atual Windows 2000 Nativo.
2. Experimentar a funcionalidade no oferecida no nvel funcional de floresta do
Windows 2000 Nativo.
3. Aumentar o nvel funcional da floresta para Windows Server 2003.
4. Verificar a funcionalidade oferecida no nvel funcional de floresta do Windows
Server 2003.

Tarefa 1: Confirmar se o nvel funcional de floresta atual Windows
2000 Nativo
a senha Pa$$w0rd.
2. Confirme se o nvel funcional de domnio atual Windows 2000 Nativo, mas
dilogo.

Tarefa 2: Experimentar a funcionalidade no oferecida no nvel
funcional de floresta do Windows 2000 Nativo
com o nome de usurio Sara.Davis_Admin e a senha Pa$$w0rd.
2. Clique com o boto direito do mouse na UO Domain Controllers e tente criar
uma nova conta de controlador de domnio somente leitura. Aceite todos os
padres do Assistente de Instalao dos Servios de Domnio Active Directory.
Voc ser impedido de criar uma conta RODC e ser informado que o nvel
funcional da floresta precisa ser Windows Server 2003 ou superior.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Aumentar o nvel funcional da floresta para Windows Server
2003
funcional de floresta para Windows Server 2003.

Tarefa 4: Verificar a funcionalidade oferecida no nvel funcional de
floresta do Windows Server 2003
Em Usurios e Computadores do Active Directory, crie uma conta de
controlador de domnio somente leitura chamada TSTDC03 na UO Domain
Controllers. Aceite todos os valores padres do Assistente de Instalao dos
Servios de Domnio Active Directory.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Aumentar o nvel funcional do domnio para
Windows Server 2008
de domnio do Windows Server 2008. Ver que esses recursos no so oferecidos
nos nveis funcionais de domnio mais baixos. Assim, voc vai aumentar o nvel
funcional do domnio. Por fim, vai testar os recursos avanados para confirmar se
1. Confirmar se o nvel funcional de domnio atual inferior ao Windows Server
2008.
2. Confirmar se a DFS-R no est disponvel nos nveis funcionais de domnio
inferiores ao Windows Server 2008.
3. Aumentar o nvel funcional do domnio.
4. Confirmar se a replicao DFS-R est disponvel no nvel funcional de domnio
do Windows Server 2008.

Windows Server 2008
a senha Pa$$w0rd.
2. Confirme se o nvel funcional de domnio atual Windows Server 2003, mas
dilogo.

2. Digite dfsrmig /getglobalstate e pressione a tecla ENTER. Ser exibida uma
mensagem informando que somente domnios de nvel funcional Windows
Server 2008 oferecem suporte ao dfsrmig.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Aumentar o nvel funcional do domnio
Feche Domnios e Relaes de Confiana do Active Directory.

Alterne para o prompt de comando. Digite dfsrmig /getglobalstate e pressione
a tecla ENTER. Ser exibida uma mensagem informando que a migrao de
DFS-R ainda no foi inicializada. Isso indica que o recurso est disponvel
agora, mas ainda no foi inicializado.

Resultados: aps esse exerccio, voc ter aumentado o nvel funcional do domnio
para Windows Server 2008 e confirmado que a nova funcionalidade est disponvel.

configuraes definidas aqui sero usadas nos laboratrios subsequentes..
Pergunta: Voc pode aumentar o nvel funcional do domnio para Windows Server
2008 quando o Microsoft Exchange Server ainda executa o Windows Server 2003?
Pergunta: Voc pode aumentar o nvel funcional de um domnio para Windows
Server 2008 quando outros domnios contm controladores de domnio que
executam o Windows Server 2003?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 2
Gerenciamento de vrios domnios e relaes
de confiana

Os mdulos anteriores deste curso foram preparados para voc configurar,
administrar e gerenciar um nico domnio. No entanto, a infraestrutura do Active
Directory da sua empresa pode incluir uma floresta com vrios domnios ou at
mais de uma floresta. Pode ser necessrio mover objetos entre domnios ou
reestruturar totalmente o modelo de domnio. Alm disso, voc pode se deparar
com requisitos para habilitar a autenticao e o acesso aos recursos nos domnios e
florestas. Nesta lio, voc adquirir as habilidades necessrias para dar suporte a
vrios domnios e florestas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Objetivos
Criar uma estrutura efetiva de domnios e rvore do AD DS.
Identificar a funo da ferramenta de migrao do Active Directory e os
problemas relacionados migrao de objetos e reestruturao de domnios.
Compreender as relaes de confiana.
Configurar, administrar e proteger as relaes de confiana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Definio de floresta e estrutura de domnio

Pontos principais
Com os conhecimentos obtidos nos mdulos anteriores deste curso, voc est
preparado para a criao de floresta, rvores e domnios do Active Directory. O
interessante que a orientao das prticas recomendadas em relao floresta e
estrutura de domnio evoluiu medida que as empresas do mundo todo
colocaram o Active Directory em produo, em todas as configuraes concebveis,
e medida que o conjunto de recursos do Active Directory aumentou.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Domnio raiz da floresta dedicada
Na verso inicial do Active Directory, a recomendao era criar um domnio raiz da
floresta dedicada. Voc aprendeu no Mdulo 1 que o domnio raiz da floresta o
primeiro domnio da floresta. A finalidade exclusiva do domnio raiz da floresta
dedicada administrar a infraestrutura da floresta. Ela contm, por padro, as
operaes de mestre nico da floresta. Alm disso, contm grupos altamente
restritos, como Administradores de empresa e Administradores de esquemas, que
podem ter um impacto de longo alcance na floresta. A teoria era que a raiz da
floresta dedicada aperfeioaria a segurana dessas funes da floresta. Tambm
seria pouco provvel o domnio raiz da floresta dedicada ficar obsoleto e
proporcionaria uma transferncia mais fcil de propriedade. Abaixo da raiz da
floresta dedicada, de acordo com as recomendaes iniciais, estaria um nico
domnio filho global com todos os objetos de um domnio: usurios, grupos,
computadores e assim por diante. A estrutura seria semelhante figura abaixo.

Uma floresta com domnio nico

Observao: no mais recomendado para a maioria das empresas. A implementao
de um domnio raiz da floresta dedicada no mais recomendada para a maioria das
empresas. Uma floresta com domnio nico a recomendao de design mais comum.
No h um nico design que seja apropriado para todas as organizaes, por isso,
examine as caractersticas de sua empresa em relao aos critrios de design
apresentados mais adiante nesta lio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Aps dez anos no mercado, o Active Directory melhor compreendido, e a antiga
recomendao no se aplica mais. Para a maioria das organizaes, agora a criao
de uma floresta com domnio nico recomendada. A experincia e o
conhecimento que levaram mudana na orientao incluem os seguintes pontos:
Existem riscos e custos associados a qualquer floresta com vrios domnios,
como voc ver mais adiante nesta lio. Um nico domnio tem o menor
custo de hardware e suporte e reduz determinados riscos.
Ainda no existem ferramentas que permitam a uma empresa executar o corte
e transplante de rvores do Active Directory. Em outras palavras, no
possvel partir um domnio da rvore e transplant-lo na floresta de outra
empresa. Se isso fosse possvel, uma raiz da floresta dedicada que voc poderia
manter enquanto transfere domnios de e para a floresta faria mais sentido.
Voc pode implementar segurana de privilgios mnimos em um nico
domnio que tenha pelo menos o mesmo nvel de segurana, se no mais
elevado, que a segurana de uma floresta com uma raiz da floresta dedicada e
um domnio filho.

Portanto, ao avaliar o design do domnio, parta do princpio de que voc ter um
nico domnio na floresta.
Floresta com vrios domnios
Em alguns cenrios, necessria uma floresta com vrios domnios. Um ponto
importante a lembrar que voc nunca deve criar uma floresta com vrios
domnios simplesmente para refletir a estrutura organizacional da sua empresa.
Essa estrutura as unidades de negcio, as divises, os departamentos e os
escritrios mudar com o passar do tempo. A estrutura lgica do seu servio de
diretrio no dever depender unicamente das caractersticas organizacionais.
Em vez disso, o modelo de domnio dever ser derivado das caractersticas dos
prprios domnios. Algumas propriedades de domnio afetam todos os objetos do
domnio e, se esse efeito consistente no for apropriado para os requisitos de
negcios, ser necessrio criar domnios adicionais. Um domnio caracterizado por:
Uma partio de nico domnio replicada para todos os controladores de
domnio. O contexto de nomeao de domnio contm os objetos de usurios,
computadores, grupos, diretivas e outros recursos do domnio. Ele replicado
para todos os controladores de domnio do domnio. Se for necessrio
particionar a replicao para consideraes de topologia de rede, crie domnios
separados. No entanto, lembre-se de que a replicao do Active Directory
extremamente eficiente e pode oferecer suporte a grandes domnios em
conexes com largura de banda mnima.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Se houver requisitos legais ou de negcios que restrinjam a replicao de
determinados dados para locais nos quais voc mantm controladores de
domnio, evite armazenar esses dados na partio do domnio ou crie
domnios separados para segregar a replicao. Nesses casos, voc dever
tambm assegurar que o catlogo global no est replicando esses dados.
Como os problemas legais e tcnicos relativos replicao tendem a afetar o
catlogo global e possivelmente outros armazenamentos de dados, as
organizaes com essas preocupaes esto se voltando cada vez mais para
modelos de vrias florestas.
Uma nica diretiva do Kerberos. As configuraes padro da diretiva do
Kerberos no AD DS so suficientes para a maioria das empresas. No entanto,
se voc precisar de diretivas distintas do Kerberos, precisar de domnios
distintos.
Um nico namespace DNS. Um domnio do Active Directory tem um nico
nome de domnio DNS. Se voc precisar de vrios nomes de domnio,
precisar de vrios domnios. No entanto, analise cuidadosamente os custos e
riscos de vrios domnios antes de modelar os domnios do servio de
diretrio para atender aos requisitos de nome DNS arbitrrios.

Nos domnios que executam nveis funcionais de domnio inferiores ao Windows
Server 2008, um domnio pode aceitar somente uma diretiva de senha e bloqueio
de conta. Portanto, nas verses anteriores do Windows, uma organizao que
requer vrias diretivas de senha precisa de vrios domnios para atender a esse
requisito. Esse no mais o caso no Windows Server 2008 que, no nvel funcional
de domnio do Windows Server 2008, pode oferecer suporte a diretivas refinadas de
senha.
A incluso de domnios na floresta aumenta os custos administrativos e de hardware.
Cada domnio precisa ter suporte de pelo menos dois controladores de domnio,
que precisam ser salvos em backup, protegidos e gerenciados. Podem ser
necessrios at mais controladores de domnio para dar suporte ao acesso a
recursos entre domnios em uma empresa geograficamente distribuda. Os
domnios adicionais podem resultar na necessidade de mover usurios entre
domnios, o que mais complicado do que mover usurios entre unidades
organizacionais. Os objetos de Diretiva de Grupo e as configuraes do controle de
acesso que so comuns para a empresa precisaro ser duplicados para cada
domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Esses so apenas alguns dos custos associados a um ambiente de vrios domnios.
Existem tambm riscos segurana envolvidos quando h vrios domnios. Grande
parte desses riscos est relacionada com o fato de que um domnio no um limite
de segurana uma floresta o limite de segurana. Dentro de uma floresta, os
administradores de servio podem causar danos a toda a floresta. H diversas
categorias de vulnerabilidade pelas quais uma conta administrativa comprometida
ou um administrador mal-intencionado poderiam causar negao de servio ou
danos integridade da floresta.
Por exemplo, um administrador de qualquer domnio pode criar grupos
universais, cuja associao ser replicada para o GC. Com a criao de vrios
grupos universais e o preenchimento em excesso do atributo de membro, a
replicao excessiva poderia levar negao de servio nos controladores de
domnio que atuam como controladores de domnio em outros domnios. Um
administrador de qualquer domnio poderia tambm restaurar um backup
desatualizado do diretrio, corrompendo a floresta.
Leitura adicional
Para obter mais informaes sobre as consideraes de segurana relacionadas
ao design de domnio e floresta, consulte Prticas recomendadas para
delegao de administrao do Active Directory (em ingls) em:

Importante: em vista dos custos e riscos de vrios domnios, a construo de uma
floresta com domnio nico altamente recomendada. O driver mais comum para
florestas com vrios domnios um requisito significativo relacionado replicao do
contexto de nomeao de domnio.
Em uma floresta com vrios domnios, pode ser til criar um domnio raiz da
floresta dedicada como um domnio vazio para atuar como a raiz confivel da
floresta. As razes confiveis sero abordadas posteriormente nesta lio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Vrias rvores
Lembre-se de que uma rvore definida como um namespace DNS contguo. Se
voc tiver mais de um domnio, poder decidir se esses domnios vo compartilhar
um namespace DNS e formar uma nica rvore, como mostra a primeira figura, ou
se vo ficar em um namespace DNS no contguo, formando vrias rvores, como
mostra a segunda figura.

Vrias florestas
Uma floresta uma instncia do Active Directory. Todos os domnios e
controladores de domnio de uma floresta compartilham as rplicas do esquema e
da configurao. Os controladores de domnio que so servidores GC hospedam
conjuntos parciais de atributo de todos os objetos de outros domnios da floresta.
Os domnios de uma floresta compartilham relaes de confiana transitivas e
bidirecionais, significando que todos os usurios do domnio pertencem
identidade especial Usurios Autenticados de todos os domnios. Os grupos
Administradores de empresa, Administradores de esquemas e Administradores do
domnio raiz da floresta detm controle significativo de todos os objetos da
floresta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Se uma dessas caractersticas de floresta divergir dos requisitos de negcios,
podero ser necessrias vrias florestas. Na verdade, dadas as preocupaes atuais
do mercado com a segurana, muitos consultores recomendam que as
organizaes criem uma floresta com domnio nico ou usem vrias florestas. As
relaes de confiana entre florestas, abordadas mais adiante nesta lio, e o AD FS
(Servios de Federao do Active Directory) facilitam o gerenciamento de
autenticao em empresas com vrias florestas.
Leitura adicional
Para obter mais informaes sobre planejamento da arquitetura do AD DS de
uma empresa, consulte a pgina

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Transferncia de objetos entre domnios e florestas

Pontos principais
Em cenrios de vrios domnios, pode ser necessrio transferir usurios, grupos ou
computadores entre domnios ou florestas para oferecer suporte s operaes
comerciais. Voc pode precisar transferir grandes quantidades de usurios, grupos
ou computadores entre domnios ou florestas para implementar fuses e
aquisies ou para reestruturar o modelo de domnio.
Em cada uma dessas tarefas, transfira ou copie as contas de um domnio (domnio
de origem) para outro domnio (domnio de destino). A terminologia, os conceitos
e os procedimentos da reestruturao de domnio se aplicam migrao entre
florestas, entre um domnio de origem do Windows NT 4.0 ou do Active Directory
e um domnio de destino do Active Directory em uma floresta separada, e
migrao na mesma floresta, ou seja, a reestruturao ou a transferncia de contas
entre domnios na mesma floresta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A reestruturao de domnio entre florestas preserva o domnio de origem
existente e clona (ou copia) as contas no domnio de destino. Esse mtodo no
destrutivo permite que uma empresa defina o tempo da transio e at faa a
migrao em fases. As operaes seguem ininterruptas porque ambos os domnios
so mantidos paralelamente para oferecer suporte a operaes dos usurios em
qualquer domnio. Esse mtodo oferece tambm um nvel de reverso para que o
ambiente original no seja alterado de forma significativa. Aps a concluso da
migrao, voc poder simplesmente encerrar o domnio de origem transferindo as
contas, os servidores membros e as estaes de trabalho remanescentes para o
novo domnio e, em seguida, colocar os controladores de domnio de origem
offline e, nesse momento, poder reimplantar esses controladores de domnio para
as funes no novo domnio.
Uma migrao na mesma floresta envolve a transferncia de objetos do domnio de
origem para o domnio de destino sem o encerramento do domnio de origem.
Depois de migrar os objetos, voc poder reestruturar os domnios para consolidar
as operaes e criar um domnio e uma estrutura da UO que reflita com mais
preciso o seu modelo administrativo. Muitas organizaes consolidam vrios
domnios em um domnio do Active Directory. Essa consolidao pode resultar em
economia de custo e simplificao da administrao, reduzindo a complexidade
administrativa e o custo de suporte do ambiente do Active Directory.
Compreenso do ADMT
O ADMT v3 (Ferramenta de Migrao do Active Directory verso 3) pode executar
as tarefas de migrao de objetos e de converso de segurana. Voc pode baixar o
ADMT v3 na pgina http://www.microsoft.com/downloads/details.aspx?
familyid=6F86937B-533A-466D-A8E8-AFF85AD3D212&displaylang=en. Essa
pgina contm tambm um guia detalhado da ferramenta.
Use o ADMT para migrar objetos entre um domnio de origem e um domnio de
destino. A migrao pode ocorrer entre domnios da mesma floresta (migrao na
mesma floresta) ou entre domnios de florestas diferentes (migrao entre
florestas). O ADMT fornece assistentes que automatizam as tarefas de migrao,
como migrar usurios, grupos, contas de servio, computadores e relaes de
confiana e executar a converso de segurana. Voc pode executar essas tarefas
usando o console do ADMT ou a linha de comando, que permitem simplificar e
automatizar o comando admt.exe com arquivos de opes que especificam
parmetros da tarefa de migrao. Em seguida, com um arquivo de texto simples,
liste os objetos de migrao em vez de inserir cada objeto na linha de comando. O
ADMT tambm fornece interfaces que permitem criar script de tarefas de migrao
com linguagens como o Microsoft Visual Basic Scripting Edition (VBScript).
Execute o console do ADMT e abra a funo de Ajuda online para obter detalhes
sobre como usar o ADMT na linha de comando e sobre scripts de ADMT.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Quando voc estiver executando tarefas de migrao, o ADMT permitir simular a
migrao para poder avaliar os possveis resultados e erros sem fazer alteraes no
domnio de destino. Os assistentes fornecem a opo Testar as configuraes de
migrao e migrar mais tarde. Voc pode configurar a tarefa de migrao, testar as
configuraes e examinar os arquivos de log e relatrios gerados pelo assistente.
Depois de identificar e solucionar problemas, execute a tarefa de migrao. Repita
esse processo de teste de anlise de resultados quando migrar usurios, grupos e
computadores e executar converses de segurana.
Identificadores de segurana e migrao
O acesso ininterrupto aos recursos a principal preocupao durante as
migraes. Alm disso, para executar uma migrao, voc dever estar
familiarizado com os conceitos de SIDs (identificadores de segurana), tokens,
ACLs (listas de controle de acesso) e sIDHistory.
Os SIDs so valores exclusivos do domnio que so atribudos s contas de
entidades de segurana usurios, grupos e computadores, por exemplo
quando essas contas so criadas. Quando um usurio faz logon, gerado um token
que inclui o SID primrio da conta de usurio e os SIDs de grupos aos quais o
usurio pertence. Portanto, o token representa o usurio com todos os SIDs
associados a ele e a suas associaes de grupo.
Os recursos so protegidos com um SD (descritor de segurana) que descreve as
permisses, a propriedade, os direitos estendidos e a auditoria do recurso. H duas
ACLs no descritor de segurana. A SACL (ACL de sistema) descreve a auditoria. A
DACL (ACL discricionrio) descreve as permisses de acesso aos recursos. Vrios
administradores e documentos referem-se DACL como a ACL. A DACL lista
permisses associadas a entidades de segurana. Na lista, as ACEs (entradas de
controle de acesso) individuais vinculam uma permisso especfica ao SID de uma
entidade de segurana. A ACE pode ser uma permisso Permitir ou Negar.
Quando um usurio tenta acessar um recurso, o servio LSASS (Local Security
Authority Subsystem Service) compara os SIDs do token do usurio com os SIDs
das entradas de controle de acesso da ACL do recurso.
Quando voc migra contas para um novo domnio, as contas so copiadas ou
clonadas do domnio de origem para o domnio de destino. Novos SIDs so
gerados para as contas no domnio de destino, assim, os SIDs das novas contas
no sero iguais aos SIDs das contas do domnio de origem. Ou seja, embora as
contas clonadas tenham o mesmo nome e vrias propriedades iguais, como os
SIDs so diferentes, as contas so tecnicamente diferentes e no tero acesso aos
recursos do domnio de origem. H duas formas de solucionar esse problema:
sIDHistory ou converso de segurana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
sIDHistory
Normalmente, as empresas preferem se beneficiar do atributo sIDHistory para
realizar a reestruturao eficaz de domnios. O uso de maisculas e minsculas,
que parece estranho, reflete o uso do atributo no esquema do Active Directory.
Uma entidade de segurana do Active Directory (que pode ser um usurio, grupo
ou computador) tem um SID primrio e um atributo sIDHistory, que pode conter
um ou mais SIDs tambm associados conta. Quando uma conta copiada em um
domnio de destino, o SID primrio exclusivo gerado pelo Active Directory no
domnio de destino. Como opo, o atributo sIDHistory pode ser carregado com o
SID da conta do domnio de origem. Quando um usurio faz logon em um
domnio do Active Directory, o token do usurio preenchido com o SID primrio
e o sIDHistory da conta do usurio e dos grupos aos quais ele pertence. O servio
LSASS usa os SIDs do sIDHistory exatamente como qualquer outro SID do token
para manter o acesso do usurio aos recursos do domnio de origem.
Converso de segurana
A converso de segurana o processo que examina o descritor de segurana de
cada recurso, inclusive suas ACLs, identificando cada SID que se refere a uma
conta do domnio de origem e substituindo esse SID pelo SID da conta do domnio
de destino. O processo de remapeamento de ACLs (e de outros elementos do
descritor de segurana) para contas migradas no domnio de destino chamado
tambm de redefinio de ACL. Como voc pode imaginar, a converso de
segurana ou redefinio de ACL seria um processo cansativo de executar
manualmente, exceto no mais simples ambiente. As ferramentas de migrao,
como o ADMT, automatizam a converso de segurana. O ADMT pode converter
os descritores de segurana e as diretivas de recursos do domnio de origem para
se referir s contas correspondentes do domnio de destino. Especificamente, o
ADMT pode converter:
Permisses de arquivos e pastas
Permisses de impressora
Permisses de compartilhamento
Permisses de Registro
Direitos do usurio
Perfis locais, que envolvem a alterao de permisses de arquivos, pastas e
Registro
Associaes de grupo

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Na maioria dos projetos de reestruturao e migrao de domnios, o sIDHistory
usado para manter o acesso e a funcionalidade durante a migrao e, em seguida,
executada a converso de segurana.
Leitura adicional
Para obter mais informaes sobre migrao de domnios, SIDs e histrico de
SID, consulte Cookbook de migrao de domnio na pgina:
http://technet.microsoft.com/pt-br/library/bb727135(en-us).aspx (em ingls)

Associao a um grupo
A preocupao final relacionada ao acesso a recursos a associao a um grupo.
Os grupos globais podem conter membros somente do mesmo domnio. Portanto,
se voc clonar um usurio para o domnio de destino, a nova conta de usurio no
poder ser membro dos grupos globais do domnio de origem aos quais a conta de
usurio de origem pertencia.
Para solucionar esse problema em uma migrao entre florestas, migre primeiro os
grupos globais para o domnio de destino. Esses grupos globais mantero os SIDs
dos grupos de origem em seus atributos sIDHistory, mantendo o acesso a recursos.
Em seguida, migre os usurios. Quando voc migra usurios, o ADMT avalia a
associao da conta de origem e adiciona a nova conta ao mesmo grupo do
domnio de destino. Se o grupo no existir ainda no domnio de destino, o ADMT
poder cri-lo automaticamente. No final, a conta de usurio do domnio de
destino pertencer aos grupos globais do domnio de destino. O usurio e os
grupos do usurio contero os SIDs das contas de origem em seus atributos
sIDHistory. Portanto, o usurio poder acessar os recursos do domnio de origem
que tiverem permisses atribudas s contas de origem.
Em uma migrao na mesma floresta, o processo funciona de forma diferente. Um
grupo global criado no domnio de destino como um grupo universal, para que
possa conter usurios de ambos os domnios, de origem e de destino. O novo
grupo obtm um novo SID, mas seu sIDHistory preenchido com o SID do grupo
global do domnio de origem, mantendo o acesso a recursos para o novo grupo.
Depois que todos os usurios tiverem sido migrados do domnio de origem para o
de destino, o escopo do grupo ser alterado novamente para global.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Outras preocupaes de migrao
H vrios problemas que precisam ser solucionados no planejamento e execuo
da migrao de objetos entre domnios e florestas. Cada uma das preocupaes
est detalhada no guia do usurio do ADMT, disponvel na pgina de download do
ADMT apresentada anteriormente. As maiores preocupaes so:
Migrao de senha. O ADMT oferece suporte migrao de senhas de
usurio, no entanto, ele no pode confirmar que essas senhas estejam em
conformidade com as diretivas do domnio de destino em relao ao tamanho
e complexidade das senhas. As senhas no vazias sero migradas,
independentemente da diretiva de senha do domnio de destino, e os usurios
podero fazer logon com essas senhas at elas expirarem, ocasio em que uma
nova senha compatvel dever ser criada. Se voc est preocupado com o
bloqueio do ambiente no momento da migrao, esse talvez no seja um
processo satisfatrio. Em vez disso, poder usar o ADMT para configurar
senhas complexas ou criar o script de uma senha inicial e, em seguida, forar o
usurio a alterar a senha no primeiro logon.
Contas de servio. Os servios nos computadores do domnio podem usar
contas de usurio baseadas em domnio na autenticao. Quando essas contas
de usurio so migradas para o domnio de destino, os servios precisam ser
atualizados com a nova identidade da conta de servio. O ADMT automatiza
esse processo.
Objetos que no podem ser migrados. Alguns objetos no podem ser
perfeitamente migrados. O ADMT no pode migrar grupos internos, como
Administradores do domnio ou o grupo local de administradores do domnio.
O guia do usurio fornece detalhes sobre como contornar essa limitao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Compreenso das relaes de confiana

Pontos principais
Sempre que voc estiver implementando um cenrio que envolve dois ou mais
domnios do AD DS, provavelmente estar trabalhando com relaes de confiana.
importante que voc conhea a finalidade, a funcionalidade e a configurao das
relaes de confiana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Relaes de confiana com um domnio
No Mdulo 1, voc observou o que acontece quando um servidor ou estao de
trabalho membro de um domnio ingressa em um domnio. Enquanto est em um
grupo de trabalho, o computador mantm um armazenamento de identidades no
banco de dados SAM (gerenciador de contas de segurana), autentica usurios
com esse armazenamento de identidades e protege os recursos do sistema somente
com identidades do banco de dados SAM. Quando o computador ingressa em um
domnio, ele forma uma relao de confiana com o domnio. Nessa relao de
confiana, o computador permite que os usurios sejam autenticados no pelo
sistema local e seu armazenamento local de identidades, mas pelos servios de
autenticao e armazenamento de identidades do domnio: AD DS. O membro do
domnio tambm permite que as identidades do domnio sejam usadas para
proteger os recursos do sistema. Por exemplo, Usurios do domnio adicionado
ao grupo Usurios local, concedendo a Usurios do domnio o direito de fazer
logon localmente no sistema. Alm disso, as contas de usurio e de grupo do
domnio podem ser adicionadas s ACLs nos arquivos, pastas, chaves de Registro e
impressoras do sistema. Todos os membros do domnio tm relaes de confiana
semelhantes com o domnio, permitindo que o domnio seja um armazenamento
central de identidades e um servio centralizado de autenticao.
Relaes de confiana entre domnios
Com essa base, voc pode estender o conceito de relaes de confiana para outros
domnios. Uma relao de confiana entre dois domnios permite que um domnio
confie no servio de autenticao e no armazenamento de identidades de outro
domnio e use essas identidades para proteger os recursos. Na realidade, uma
relao de confiana um vnculo lgico estabelecido entre dois domnios para
permitir a autenticao pass-through.
H dois domnios em toda relao de confiana: um domnio confiante e um
domnio confivel. O domnio confivel contm o armazenamento de identidades e
fornece autenticao para usurios desse armazenamento de identidades. Quando
um usurio do diretrio do domnio confivel faz logon ou conecta-se a um
sistema do domnio confiante, o domnio confiante no pode autenticar esse
usurio porque o usurio no est em seu armazenamento de dados, por isso, ele
passa a autenticao para um controlador de domnio do domnio confivel. O
domnio confiante, portanto, confia no domnio confivel para autenticar a
identidade do usurio. O domnio confiante estende a confiana para os servios
de autenticao e o armazenamento de identidades do domnio confivel.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Por confiar nas identidades do domnio confivel, o domnio confiante pode usar
as identidades confiveis para conceder acesso aos recursos. Os usurios de um
domnio confivel podem ter direitos de usurio, por exemplo, o direito de fazer
logon nas estaes de trabalho do domnio confiante. Os grupos Usurios ou
globais do domnio confivel podem ser adicionados aos grupos locais do domnio
confiante. Para conceder aos grupos Usurios ou globais do domnio confivel
permisses para pastas compartilhadas, adicione as identidades s ACLs do
domnio confiante.
A terminologia pode ser confusa e geralmente mais fcil compreender as relaes
de confiana quando h uma ilustrao. O diagrama a seguir mostra uma relao
de confiana simples. O Domnio A confia no Domnio B. Isso significa que o
Domnio A o domnio confiante e o Domnio B o domnio confivel. Se um
usurio do Domnio B conectar-se ou fizer logon em um computador do Domnio
A, o Domnio A passar a solicitao de autenticao para um controlador de
domnio do Domnio B. O Domnio A pode tambm usar as identidades do
Domnio B por exemplo, usurios e grupos para conceder direitos de usurio e
acesso aos recursos do Domnio A. Um usurio ou grupo do Domnio B pode,
portanto, ser adicionado a uma ACL de uma pasta compartilhada do Domnio A.
Um usurio ou grupo do Domnio B pode tambm ser adicionado a um grupo
local do Domnio A.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Caractersticas das relaes de confiana

Pontos principais
As relaes de confiana entre domnios podem ser caracterizadas por trs
atributos de confiana: direo, transitividade e automticas ou manuais.
Direo
Uma relao de confiana pode ser unidirecional ou bidirecional. Em uma relao
de confiana unidirecional, como as relaes de confiana ilustradas
anteriormente, possvel conceder aos usurios do domnio confivel o acesso aos
recursos do domnio confiante, mas isso no possvel no sentido inverso. Na
maioria dos casos, voc pode criar uma segunda relao de confiana
unidirecional, na direo oposta, para alcanar esse objetivo. Por exemplo, crie
uma segunda relao de confiana na qual o Domnio B confia no Domnio A.
Algumas relaes de confiana so bidirecionais por natureza. Em uma relao de
confiana bidirecional, ambos os domnios confiam nas identidades e servios de
autenticao um do outro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Transitividade
Algumas relaes de confiana so transitivas e outras no. Na figura anterior, o
Domnio A confia no Domnio B, e o Domnio B confia no Domnio C. Se as
relaes de confiana forem transitivas, o Domnio A confiar no Domnio C; se
no forem transitivas, isso no acontecer. Na maioria dos casos, voc poderia criar
uma terceira relao de confiana, especificando que o Domnio A confia no
Domnio C. Com relaes de confiana transitivas, essa terceira relao no
necessria, ela est implcita.
Automticas ou manuais
Algumas relaes de confiana so criadas automaticamente. Outras podem ser
criadas manualmente.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como as relaes de confiana funcionam em uma floresta

Pontos principais
Em uma floresta, todos os domnios confiam uns nos outros. Isso se deve ao fato
de que o domnio raiz de cada rvore da floresta confia no domnio raiz da floresta
o primeiro domnio instalado na floresta e cada domnio filho confia no
respectivo domnio pai. Todas as relaes de confiana criadas automaticamente
nunca devem ser excludas e so transitivas e bidirecionais. O resultado lquido
que um domnio confia nos armazenamentos de identidades e nos servios de
autenticao de todos os outros domnios da floresta. Os grupos Usurios e globais
de qualquer domnio da floresta podem ser adicionados aos grupos locais do
domnio, podem receber direitos de usurio e ser adicionados s ACLs dos
recursos de qualquer outro domnio da floresta. As relaes de confiana com
outras florestas e com domnios fora da floresta precisam ser estabelecidas
manualmente. Com este resumo, voc pode observar os detalhes das relaes de
confiana dentro e fora de uma floresta do Active Directory.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Protocolos de autenticao
O Windows Server 2008 Active Directory autentica os usurios com um dos dois
protocolos Kerberos verso 5 (v5) ou NTLM. O Kerberos v5 o protocolo
padro usado por computadores que executam o Windows Server 2008, o
Windows Vista, o Windows Server 2003, o Windows XP e o Windows 2000
Server. Se um computador envolvido em uma transao de autenticao no
oferecer suporte ao Kerberos v5, ser usado o protocolo NTLM. As Diretivas de
Grupo podem ser usadas para desabilitar a autenticao NTLM.
Autenticao Kerberos em um domnio
Quando um usurio faz logon em um cliente que executa o Kerberos v5, a
solicitao de autenticao encaminhada para um controlador de domnio. Cada
controlador de domnio do Active Directory atua como um KDC (centro de
distribuio de chaves), o componente principal do Kerberos. Depois de validar a
identidade do usurio, o KDC do controlador de domnio concede ao usurio
autenticado um TGT (tquete de concesso de tquete).
Quando o usurio precisa acessar os recursos de um computador no mesmo
domnio, ele deve primeiro obter um tquete de sesso vlido para o computador.
Os tquetes de sesso so fornecidos pelo KDC de um controlador de domnio,
dessa forma, o usurio retorna a um controlador de domnio para solicitar um
tquete de sesso. O usurio apresenta o TGT como comprovao de que ele j est
autenticado. Isso permite que o KDC responda solicitao de tquete de sesso
do usurio sem precisar autenticar novamente a identidade do usurio. A
solicitao de tquete de sesso do usurio especifica o computador e o servio que
o usurio deseja acessar. O KDC identifica se o servio est no mesmo domnio
com base no SPN (nome da entidade de servio) do servidor solicitado. Em
seguida, o KDC fornece ao usurio um tquete de sesso do servio.
Em seguida, o usurio se conecta ao servio e apresenta o tquete de sesso. O
servidor capaz de determinar se o tquete vlido e se o usurio foi autenticado
pelo domnio. Isso acontece por meio de chaves privadas, um tpico que est alm
do escopo desta lio. Portanto, o servidor no precisa autenticar o usurio; ele
aceita a autenticao e a identidade fornecidas pelo domnio com o qual o
computador tem uma relao de confiana.
Todas essas transaes do Kerberos so manipuladas por clientes e servidores do
Windows e so transparentes para os prprios usurios.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Autenticao Kerberos entre domnios de uma floresta
Cada domnio filho de uma floresta confia no respectivo domnio pai, com uma
relao de confiana automtica, bidirecional e transitiva chamada relao de
confiana entre pai e filho. O domnio raiz de cada rvore de um domnio confia no
domnio raiz da floresta, com uma relao de confiana automtica, bidirecional e
transitiva chamada relao de confiana entre rvore e raiz.
Essas relaes de confiana criam o que conhecido como caminho de confiana
ou fluxo de confiana em uma floresta. O caminho de confiana pode ser
facilmente compreendido no diagrama apresentado na ilustrao a seguir. A
floresta consiste em duas rvores, tailspintoys.com e wingtiptoys.com. O domnio
tailspintoys.com o domnio raiz da floresta. A ilustrao indica que o domnio
raiz da rvore wingtiptoys.com confia no domnio tailspintoys.com.

A autenticao Kerberos usa o caminho de confiana para fornecer ao usurio de
um domnio um tquete de sesso para um servio de outro domnio. Se um
usurio de usa.wingtiptoys.com solicitar acesso a uma pasta compartilhada de um
servidor em europe.tailspintoys.com, ocorrero as seguintes transaes:
1. O usurio faz logon em um computador de usa.wingtiptoys.com e
autenticado por um controlador de domnio em usa.wingtiptoys.com, usando
o processo de autenticao descrito na seo anterior. O usurio obtm um
TGT do controlador de domnio em usa.wingtiptoys.com.
O usurio quer conectar-se a uma pasta compartilhada de um servidor em
europe.tailspintoys.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2. O usurio estabelece contato com o KDC de um controlador de domnio em
usa.wingtiptoys.com para solicitar um tquete de sesso para o servidor em
3. O controlador de domnio em usa.wingtiptoys.com identifica, com base no
SPN, que o servio desejado reside em europe.tailspintoys.com, no no
domnio local.
A tarefa do KDC atuar como um intermedirio confivel entre um cliente e
um servio. Se o KDC no puder fornecer um tquete de sesso do servio
porque o servio est em um domnio confivel e no no domnio local, o KDC
fornecer ao cliente uma indicao para ajud-lo a obter o tquete de sesso
solicitado.
O KDC usa um algoritmo simples para determinar a prxima etapa. Se o
domnio do KDC tiver uma relao de confiana direta com o domnio do
servio, o KDC fornecer ao cliente uma indicao de controlador de domnio
do domnio do servio. Se no houver essa relao, mas existir uma relao de
confiana transitiva entre o KDC e o domnio do servio, o KDC fornecer ao
cliente uma indicao do prximo domnio do caminho de confiana.
4. O domnio usa.wingtiptoys.com no tem uma relao de confiana direta com
o europe.tailspintoys.com, mas existe uma relao de confiana transitiva entre
os dois domnios, por isso, o KDC do domnio usa.wingtiptoys.com fornecer
ao cliente uma indicao de um controlador de domnio do prximo domnio
no caminho de confiana, wingtiptoys.com.
5. O cliente estabelece contato com o KDC do domnio indicado,
wingtiptoys.com.
6. Novamente, o KDC determina que o servio no est no domnio local e que
europe.tailspintoys.com no tem relao de confiana direta com
wingtiptoys.com, por isso, ele retorna uma indicao de um controlador de
domnio do prximo domnio no caminho de confiana, tailspintoys.com.
tailspintoys.com.
8. O KDC determina que o servio no est no domnio local e que
europe.tailspintoys.com no tem relao de confiana direta com
tailspintoys.com, por isso, ele retorna uma indicao de um controlador de
domnio do domnio europe.tailspintoys.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
10. O KDC do domnio europe.tailspintoys.com retorna ao cliente um tquete de
sesso do servio.
11. O cliente estabelece contato com o servidor e fornece o tquete de sesso; o
servidor permite o acesso pasta compartilhada de acordo com as permisses
atribudas ao usurio e aos grupos aos quais esse usurio pertence.

Esse processo pode parecer complicado, mas lembre-se de que ele tratado de
forma totalmente transparente para o usurio.
Ocorrer o processo inverso se um usurio do domnio usa.wingtiptoys.com fizer
logon em um computador do domnio europe.tailspintoys.com. A solicitao de
autenticao inicial precisa percorrer o caminho de confiana para chegar a um
KDC do domnio usa.wingtiptoys.com para autenticar o usurio.
Embora no seja necessrio memorizar os detalhes da autenticao Kerberos entre
dois domnios de uma floresta para o exame 70-640, em situaes reais poder lhe
ser til ter um conhecimento bsico sobre o caminho de segurana percorrido pela
autenticao entre domnios de uma floresta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Demonstrao: Criao de uma relao de confiana

Pontos principais
As etapas de criao de relaes de confiana so semelhantes entre as categorias
de relaes de confiana. Voc precisa ser membro do grupo Administradores do
domnio ou Administradores de empresa para criar uma relao de confiana com
xito.
Para criar uma relao de confiana:
1. Abra o snap-in Domnios e Relaes de Confiana do Active Directory.
2. Clique com o boto direito do mouse no domnio que participar de um lado
da relao de confiana e escolha Propriedades.
necessrio que voc esteja executando o Domnios e Relaes de Confiana
do Active Directory com credenciais que tenham permisses para criar
relaes de confiana nesse domnio.
3. Clique na guia Relaes de confiana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Clique no boto Nova relao de confiana.
O Assistente de nova relao de confiana o orientar na criao da relao de
confiana.
5. Na pgina Nome da relao de confiana, digite o nome DNS do outro
domnio da relao de confiana e clique em Prximo.
6. Se o domnio inserido no estiver na mesma floresta, ser solicitada a seleo
do tipo de relao de confiana, que ser um destes:
Floresta
Externa
Realm
Se o domnio estiver na mesma floresta, o assistente saber que um atalho de
confiana.
7. Se voc estiver criando uma relao de confiana de realm, dever indicar se a
relao de confiana transitiva ou no transitiva. (As relaes de confiana de
realm sero abordadas mais adiante nesta lio.)
8. Na pgina Direo da relao de confiana, selecione uma das seguintes
opes:
Bidirecional. Esta opo estabelece uma relao de confiana bidirecional
entre os domnios.
Unidirecional: entrada. Esta opo estabelece uma relao de confiana
unidirecional na qual o domnio selecionado na etapa 2 ser o domnio
confivel e o domnio inserido na etapa 5 ser o domnio confiante.
Unidirecional: sada. Esta opo estabelece uma relao de confiana
unidirecional na qual o domnio selecionado na etapa 2 ser o domnio
confiante e o domnio inserido na etapa 5 ser o domnio confivel.
9. Clique em Prximo.
10. Na pgina Lados da relao de confiana, selecione uma das seguintes opes:
Este domnio e o domnio especificado. Esta opo estabelece os dois
lados da relao de confiana. Voc precisa ter permisso para criar
relaes de confiana em ambos os domnios.
Somente este domnio. Esta opo cria a relao de confiana no domnio
selecionado na etapa 2. Um administrador com permisso para criar
relaes de confiana no outro domnio dever repetir este processo para
concluir a relao de confiana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
As prximas etapas dependero das opes selecionadas nas etapas 8 e 10. As
etapas envolvero uma destas possibilidades:
Se voc selecionou Este domnio e o domnio especificado, insira um
nome de usurio e senha com permisses para criar a relao de confiana
no domnio especificado na etapa 5.
Se voc selecionou Somente este domnio, insira uma senha de confiana.
Uma senha de confiana inserida por administradores em cada lado para
estabelecer a relao de confiana. As senhas no devero ser as senhas de
conta de usurio dos administradores. Em vez disso, cada uma deve ser
uma senha exclusiva usada somente com a finalidade de criar essa relao
de confiana. As senhas so usadas para estabelecer a relao de confiana;
os domnios as alteraro imediatamente em seguida.
11. Se a relao de confiana for de sada, ser solicitada a seleo de uma destas
opes:
Autenticao seletiva
Autenticao em todo o domnio ou Autenticao em toda a floresta,
dependendo de o tipo de relao de confiana ser externa ou uma relao
de confiana da floresta, respectivamente.
12. O Assistente de nova relao de confiana resume as selees feitas na pgina
Selees de relao de confiana concludas. Clique em Prximo.
O assistente criar a relao de confiana.
13. A pgina Criao de relao de confiana concluda ser exibida. Verifique
as configuraes e clique em Prximo.
Voc ter a oportunidade de confirmar a relao de confiana. Essa opo ser
til se voc tiver criado os dois lados da relao de confiana ou se estiver
concluindo o segundo lado da relao de confiana.
Se voc selecionou Este domnio e o domnio especificado na etapa 8, o
processo ser concludo. Se a opo selecionada na etapa 8 for Somente este
domnio, a relao de confiana no ser concluda at que um administrador
do outro domnio conclua o processo:
Se a relao de confiana estabelecida for unidirecional de sada, o
administrador do outro domnio dever criar uma relao de confiana
unidirecional de entrada.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Se a relao de confiana estabelecida for unidirecional de entrada, o
administrador do outro domnio dever criar uma relao de confiana
unidirecional de sada.
Se a relao de confiana estabelecida for bidirecional, o administrador do
outro domnio dever criar uma relao de confiana bidirecional.
Leitura adicional
Os procedimentos detalhados para criar cada tipo de relao de confiana
esto disponveis na pgina:

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Atalhos de confiana

Pontos principais
Quatro tipos de relao de confiana podem ser criados manualmente:
Atalhos de confiana
Relaes de confiana externas
Relaes de confiana de realm
Relaes de confiana de floresta

Cada um desses tipos ser apresentado nas prximas sees.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Atalhos de confiana
Em uma seo anterior, foram apresentadas 11 etapas do processo usado para
conceder um tquete de sesso para um cliente acessar um recurso de outro
domnio de uma floresta. A maioria dessas etapas envolvia indicaes de domnios
do caminho de confiana entre o domnio do usurio e o domnio da pasta
compartilhada. Quando um usurio de um domnio faz logon em um computador
de outro domnio, a solicitao de autenticao deve percorrer o caminho de
confiana. Isso pode afetar o desempenho e, se um controlador de domnio no
estiver disponvel em um domnio no caminho de confiana, o cliente no poder
ser autenticado nem acessar o servio.
Os atalhos de confiana so criados para superar esses problemas, criando uma
relao de confiana diretamente entre os domnios filho no caminho de confiana
da floresta.
Os atalhos de confiana otimizam as solicitaes de autenticao e de tquete de
sesso entre domnios de uma floresta com vrios domnios. Ao eliminarem o
caminho de confiana, eles eliminam o tempo necessrio para percorrer esse
caminho e, com isso, podem melhorar significativamente o desempenho das
solicitaes de tquete de sesso.
Os atalhos de confiana podem ser unidirecionais ou bidirecionais. Em qualquer
um dos casos, a relao de confiana transitiva. A ilustrao a seguir mostra um
atalho de confiana unidirecional pelo qual wingtiptoys.com confia em

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Quando um usurio do domnio europe.tailspintoys.com faz logon em um
computador do domnio wingtiptoys.com ou solicita um recurso em
wingtiptoys.com, a solicitao pode ser indicada diretamente para um controlador
de domnio do domnio confivel, asia.wingitiptoys.com. No entanto, o inverso no
se aplica. Se um usurio do domnio wingtiptoys.com fizer logon em um
computador do domnio europe.tailspintoys.com, a solicitao de autenticao
percorrer o caminho de confiana at tailspintoys.com e de volta para
wingtiptoys.com.
O atalho de confiana bidirecional est ilustrado entre usa.wingtiptoys.com e
europe.tailspintoys.com. Os usurios de um domnio podem ser autenticados e
podem solicitar recursos dos computadores do outro domnio ou vice-versa, e ser
usado o caminho do atalho de confiana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Relaes de confiana externas e relaes de confiana de
realm

Pontos principais
Relaes de confiana externas
Quando voc precisa trabalhar com um domnio que no est em sua floresta,
pode ser necessrio criar uma relao de confiana externa. A relao de confiana
externa estabelecida entre um domnio da sua floresta e um domnio do
Windows que no se encontra em sua floresta. Os exemplos esto mostrados na
ilustrao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Observe que h uma relao de confiana unidirecional entre o domnio
sales.worldwideimporters.com e o domnio europe.tailspintoys.com. O domnio
Europe confia no domnio Sales, assim os usurios do domnio Sales podem fazer
logon nos computadores do domnio Europe ou conectar-se aos recursos do
domnio Europe.
A ilustrao mostra uma relao de confiana bidirecional entre o domnio
worldwideimporters.com e o domnio asia.tailspintoys.com. Pode ser concedido
aos usurios de um domnio o acesso aos recursos do outro domnio e vice-versa.
Tecnicamente, todas as relaes de confiana externas so relaes de confiana
unidirecionais e no transitivas. Quando voc cria uma relao de confiana
externa bidirecional, na realidade est criando duas relaes de confiana
unidirecionais, uma em cada direo.
Quando voc cria uma relao de confiana externa de sada, o Active Directory
cria um objeto de entidade de segurana para cada entidade de segurana do
domnio confivel. Em seguida, esses usurios, grupos e computadores podem ser
adicionados aos grupos locais do domnio ou s ACLs dos recursos do domnio
confiante.
Para elevar a segurana de uma relao de confiana externa, escolha Autenticao
seletiva na pgina Nvel de autenticao da relao de confiana de sada do
Assistente de nova relao de confiana. Alm disso, a quarentena do domnio,
tambm chamada de filtragem de SID, est habilitada por padro em todas as
relaes de confiana externas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Relaes de confiana de realm
Quando voc necessita de interoperabilidade entre plataformas com servios de
segurana baseados em outras implementaes de Kerberos v5, pode estabelecer
uma relao de confiana de realm entre o seu domnio e um realm Kerberos v5
UNIX. As relaes de confiana de realm so unidirecionais, mas possvel
estabelecer relaes de confiana unidirecionais em cada direo para criar uma
relao bidirecional. Por padro, as relaes de confiana de realm so no
transitivas, mas possvel torn-las transitivas.
Se um realm Kerberos v5 no Windows confia em seu domnio, ele confia em
todas as entidades de segurana do seu domnio. Se o seu domnio confia em um
realm Kerberos v5 no Windows, os usurios do realm podem ter acesso aos
recursos do seu domnio; no entanto, o processo indireto. Quando os usurios
so autenticados por um realm Kerberos no Windows, os tquetes Kerberos no
contm todos os dados de autorizao necessrios ao Windows. Dessa forma,
usado um sistema de mapeamento de contas. As entidades de segurana so
criadas no domnio do Windows e so mapeadas para uma identidade Kerberos
externa do realm Kerberos no Windows confivel. O domnio do Windows usa
somente essas contas proxy para avaliar o acesso aos objetos do domnio que tm
descritores de segurana. Todas as contas proxy do Windows podem ser usadas
nos grupos e nas ACLs para controlar o acesso em nome da entidade de segurana
no Windows. Os mapeamentos de contas so gerenciados por meio do Usurios e
Computadores do Active Directory.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Relaes de Confiana de Floresta

Pontos principais
Quando for necessria a colaborao entre duas organizaes separadas,
representadas por duas florestas separadas, considere a possibilidade de
implementar uma relao de confiana de floresta. Uma relao de confiana de
floresta uma relao de confiana transitiva unidirecional ou bidirecional entre os
domnios raiz de duas florestas. A ilustrao mostra um exemplo de relao de
confiana entre a floresta tailspintoys.com e a floresta worldwideimporters.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Uma nica relao de confiana de floresta permite que um usurio de qualquer
domnio seja autenticado por qualquer outro domnio de qualquer uma das
florestas, partindo do princpio de que a relao de confiana das florestas
bidirecional. Se a relao de confiana de floresta for unidirecional, qualquer
usurio de qualquer domnio da floresta confivel pode ser autenticado pelos
computadores da floresta confiante. As relaes de confiana de floresta so
significativamente mais fceis de estabelecer, manter e administrar do que as
relaes de confiana separadas entre cada um dos domnios das florestas. As
relaes de confiana de floresta so especialmente teis em cenrios que
envolvem colaborao entre organizaes ou fuses e aquisies, ou em uma nica
organizao que tem mais de uma floresta para isolar os dados e os servios do
Active Directory.
Quando voc estabelece uma relao de confiana de floresta, a quarentena do
domnio, tambm chamada de filtragem de SID, habilitada por padro. A
quarentena do domnio est apresentada na seo Quarentena do domnio.
possvel especificar se a relao de confiana de floresta unidirecional, de
entrada ou de sada, ou bidirecional. Como foi mencionado anteriormente, a
relao de confiana de floresta transitiva, permitindo que todos os domnios da
floresta confiante confiem em todos os domnios da floresta confivel.
No entanto, as prprias relaes de confiana de floresta no so transitivas. Por
exemplo, se a floresta tailspintoys.com confia na floresta worldwideimporters.com,
e a floresta worldwideimporters.com confia na floresta northwindtraders.com,
essas duas relaes de confiana no permitem que a floresta tailspintoys.com
confie na floresta northwindtraders.com. Para que essas duas florestas confiem
uma na outra, preciso criar uma relao de confiana de floresta especfica entre
elas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
H vrios requisitos que precisam ser atendidos para implementar uma relao de
confiana de floresta. O nvel funcional da floresta deve ser Windows Server 2003
ou posterior. Alm disso, preciso ter uma infraestrutura DNS especfica para
oferecer suporte a uma relao de confiana de floresta.
Leitura adicional
Obtenha mais informaes sobre os requisitos DNS para uma relao de
confiana de floresta na pgina
http://technet.microsoft.com/pt-br/library/cc773178(WS.10).aspx (em ingls)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Administrao de relaes de confiana

Pontos principais
Se voc estiver preocupado com a possibilidade de uma relao de confiana no
funcionar, poder validar uma relao de confiana entre dois domnios do
Windows. No possvel validar uma relao de confiana com um realm
Kerberos v5. Para validar uma relao de confiana, conclua estas etapas:
1. Abra Domnios e Relaes de Confiana do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse no domnio que
contm a relao de confiana que deseja validar, em seguida, clique em
Propriedades.
4. Selecione a relao de confiana que deseja validar.
5. Clique em Propriedades.
6. Clique em Validar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Siga um destes procedimentos e clique em OK:
Clique em Sim, validar a relao de confiana de entrada. Insira as
credenciais que sejam membros dos grupos Administradores do domnio
ou Administradores de empresa no domnio recproco.
Clique em No validar a relao de confiana de entrada.
recomendvel repetir este procedimento no domnio recproco.

Voc pode tambm verificar uma relao de confiana no prompt de comando,
digitando o seguinte comando:
netdom trust TrustingDomainName /domain:TrustedDomainName /verify
Tambm pode ser necessrio remover uma relao de confiana criada
manualmente. Nesse caso, siga estas etapas:
1. Abra Domnios e Relaes de Confiana do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse no domnio que
contm a relao de confiana que deseja validar, em seguida, clique em
Propriedades.
4. Selecione a relao de confiana que deseja remover.
5. Clique em Remover.
6. Siga um destes procedimentos e clique em OK:
Clique em Sim, remover a relao de confiana do domnio local e do
outro domnio. Insira as credenciais que sejam membros dos grupos
Administradores do domnio ou Administradores de empresa no domnio
recproco.
Clique em No, remover apenas a relao de confiana do domnio
local. recomendvel repetir este procedimento no domnio recproco.

Para excluir uma relao de confiana criada manualmente no prompt de
comando, use o comando netdom.exe com a seguinte sintaxe:
netdom trust TrustingDomainName /domain:TrustedDomainName
/remove [/force] /UserD:User /PasswordD:*
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O parmetro UserD um usurio com credenciais no grupo Administradores de
empresa ou Administradores do domnio do domnio confivel. A especificao do
parmetro PasswordD:* faz com que netdom.exe solicite a senha da conta. A opo
/force necessria na remoo de uma relao de confiana de realm.

Observao: o gerenciador de domnios do Windows, netdom.exe, e outras ferramentas
de linha de comando podem ser usados para gerenciar e testar relaes de confiana.
Consulte: http://technet.microsoft.com/pt-br/library/cc756944(WS.10).aspx (em ingls)
para obter detalhes relacionados a esses comandos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Quarentena do domnio

Pontos principais
Por padro, a quarentena do domnio, tambm chamada de filtragem de SID, est
habilitada em todas as relaes de confiana externas e de floresta. Quando o
usurio autenticado em um domnio confivel, apresenta os dados de autorizao
que incluem os SIDs da conta do usurio nos grupos aos quais ele pertence. Alm
disso, os dados de autorizao do usurio incluem identificadores de segurana de
outros atributos do usurio e seus grupos.
Alguns SIDs apresentados pelo usurio do domnio confivel podem no ter sido
criados no domnio confivel. Por exemplo, se o usurio for migrado de um
domnio para outro, ser atribudo um novo SID conta migrada. A conta migrada,
portanto, perder o acesso aos recursos que tinham permisses atribudas ao SID
da antiga conta do usurio. Para permitir que o usurio continue tendo acesso a
esses recursos, o administrador que est executando a migrao pode especificar
que o atributo sIDHistory da conta migrada do usurio incluir o SID da antiga
conta. Quando o usurio tentar conectar-se ao recurso, o SID original do atributo
sIDHistory ter autorizao de acesso.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Em um cenrio de domnio confivel, possvel que um administrador no
autorizado use credenciais administrativas no domnio confivel para carregar SIDs
no atributo sIDHistory de um usurio que sejam iguais aos SIDs de contas
privilegiadas do domnio. Esse usurio teria nveis inadequados de acesso aos
recursos do domnio.
A quarentena do domnio evita esse problema, permitindo que o domnio
confiante filtre os SIDs do domnio confivel que no forem os SIDs primrios das
entidades de segurana. Cada SID inclui o SID do domnio de origem, dessa forma,
quando um usurio de um domnio confivel apresenta a lista de SIDs do usurio e
os SIDs dos grupos do usurio, a filtragem de SID instrui o domnio confiante a
descartar todos os SIDs que no tenham o SID do domnio confivel.
A quarentena do domnio habilitada por padro para todas as relaes de confiana
de sada com domnios e florestas externos. Desabilite a quarentena do domnio
apenas se uma ou mais das seguintes situaes se aplicarem:
O seu nvel de confiana nos administradores do domnio confivel
extremamente alto.
Os usurios ou grupos foram migrados para o domnio confivel com seus
histricos de SID preservados, e voc deseja conceder a esses usurios ou
grupos permisses aos recursos do domnio confiante com base no atributo
sIDHistory.

Para desabilitar a quarentena do domnio, digite o seguinte comando:
/quarantine:no
Para reabilitar a quarentena do domnio, digite este comando:
/quarantine:yes
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Acesso a recursos para usurios de domnios confiveis

Pontos principais
Quando voc configura uma relao de confiana que permite ao seu domnio
confiar em outro domnio, abre a possibilidade de os usurios do domnio
confivel obterem acesso aos recursos do seu domnio. As prximas sees
examinam os componentes relacionados segurana dos recursos de um domnio
confiante.
Usurios autenticados
Uma relao de confiana propriamente dita no concede o acesso a recursos, no
entanto, provvel que ao criar uma relao de confiana, os usurios do domnio
confivel tenham acesso imediato a vrios recursos do seu domnio. Isso pode
acontecer porque muitos recursos so protegidos com ACLs que concedem
permisses ao grupo Usurios autenticados.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Associao em grupos locais de domnio
Voc aprendeu no Mdulo 4 que a prtica recomendada para gerenciar o acesso a
um recurso atribuir permisses a um grupo local de domnio. Em seguida,
possvel aninhar usurios e grupos do domnio no grupo local de domnio e
conceder a eles o acesso ao recurso. Os grupos de segurana locais de domnio
podem tambm incluir usurios e grupos globais dos domnios confiveis como
membros. Portanto, a forma mais prtica de atribuir permisses a usurios de um
domnio confivel tornar os usurios ou seus grupos globais membros de um
grupo local do seu domnio.
Incluso de identidades confiveis nas ACLs
Voc pode tambm adicionar usurios e grupos globais de um domnio confivel
diretamente s ACLs de recursos de um domnio confiante. Essa abordagem no
to gerencivel quanto o mtodo anterior, que usa um grupo local de domnio,
mas possvel.
Transitividade
Quando voc cria uma relao de confiana de realm, essa relao por padro
no transitiva. Se torn-la transitiva, abrir a possibilidade de os usurios de
domnios e realms confiados pelo realm Kerberos v5 obterem acesso aos recursos
do seu domnio. recomendvel usar relaes de confiana no transitivas, a
menos que haja um motivo comercial convincente para usar uma relao de
confiana de realm transitiva.
Autenticao seletiva
Quando voc cria uma relao de confiana externa ou de floresta, pode controlar
o escopo de autenticao de entidades de segurana confiveis. Existem dois
modos de autenticao para uma relao de confiana externa ou de floresta:
Autenticao seletiva
Autenticao de todo o domnio (para uma relao de confiana externa) ou
autenticao de toda a floresta (para uma relao de confiana de floresta)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Se voc escolher a autenticao de todo o domnio ou de toda a floresta, todos os
usurios confiveis podero ser autenticados para acesso a servios em todos os
computadores do domnio confiante. Os usurios confiveis podem, portanto,
receber permisso para acessar recursos de qualquer parte do domnio confiante.
Com esse modo de autenticao, voc precisa confiar nos procedimentos de
segurana da sua empresa e nos administradores que implementam esses
procedimentos, para que no seja atribudo acesso inadequado a usurios
confiveis. Lembre-se, por exemplo, que os usurios de um domnio ou floresta
confivel so considerados Usurios autenticados no domnio confiante, por isso,
qualquer recurso com permisses concedidas a Usurios autenticados poder ser
imediatamente acessado por usurios do domnio confivel, se for escolhida a
autenticao de todo o domnio ou de toda a floresta.
Se o modo escolhido for a autenticao seletiva, todos os usurios do domnio
confivel sero identidades confiveis, no entanto, eles sero autorizados a
autenticar somente para servios em computadores que voc especificou. Por
exemplo, suponhamos que exista uma relao de confiana externa com um
domnio da organizao de um parceiro. Voc quer assegurar que somente os
usurios do grupo de marketing da organizao do parceiro tenham acesso s
pastas compartilhadas em apenas um de seus vrios servidores de arquivos.
Configure a autenticao seletiva para a relao de confiana e conceda aos
usurios confiveis o direito de autenticao somente nesse nico servidor de
arquivos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Para configurar o modo de autenticao para uma nova relao de confiana de
sada, use a pgina Nvel de autenticao da relao de confiana de sada do
Assistente de nova relao de confiana. Configure o nvel de autenticao de uma
relao de confiana existente, abra as propriedades do domnio confiante no
Domnios e Relaes de Confiana do Active Directory, selecione a relao de
confiana, clique em Propriedades e, em seguida, clique na guia Autenticao,
mostrada na ilustrao.

Aps a seleo do modo de Autenticao seletiva para a relao de confiana,
nenhum usurio confivel poder acessar recursos do domnio confiante, mesmo
que tenham sido concedidas permisses para esses usurios.
Alm disso, a permisso Permitido autenticar precisa ser atribuda aos usurios no
objeto Computer do domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Para atribuir essa permisso:
1. Abra o snap-in Usurios e Computadores do Active Directory e verifique se
Recursos avanados est selecionado no menu Exibir.
2. Abra as propriedades do computador no qual os usurios confiveis devero
ter permisso para autenticar ou seja, o computador no qual os usurios
confiveis faro logon ou que contm recursos para os quais os usurios
confiveis tm permisses.
3. Na guia Segurana, adicione os usurios confiveis ou um grupo que os
contenha e marque a caixa de seleo Permitir da permisso Permitido
autenticar, como mostra a prxima ilustrao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Administrao de relao de
confiana

Cenrio
A Contoso, Ltd. est formando uma parceria com a Tailspin Toys. Uma equipe de
desenvolvedores de produto da Tailspin Toys precisa acessar uma pasta
compartilhada no domnio da Contoso. Voc deve configurar o seu domnio para
atender a esse requisito comercial. Alm disso, o administrador de domnio
inexperiente da Tailspin Toys precisa de ajuda para configurar o lado recproco da
relao de confiana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar o DNS
importante que o DNS esteja funcionando adequadamente antes de criar
relaes de confiana. Cada domnio precisa ser capaz de resolver nomes no outro
domnio. No Mdulo 10, voc aprendeu a configurar a resoluo de nomes. H
vrias formas de oferecer suporte resoluo de nomes entre duas florestas. Neste
exerccio, voc criar uma zona de stub no domnio contoso.com para que o
domnio tailspintoys.com e um encaminhador condicional do domnio
tailspintoys.com resolvam o contoso.com.
2. Configurar o DNS em contoso.com.
3. Configurar o DNS em tailspintoys.com.

1. Inicie 10222A-HQDC01-A e faa logon como Pat.Coleman com a senha
Pa$$w0rd.
2. Inicie o 10222A-TSTDC01-A e faa logon como Sara.Davis com a senha
Pa$$w0rd.

Tarefa 2: Configurar o DNS em contoso.com
1. Em HQDC01, execute o Gerenciamento de DNS como administrador, com o
2. Crie uma zona de stub para tailspintoys.com que faa referncia ao endereo
IPv4 10.0.0.31 como o servidor mestre.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Configurar o DNS em tailspintoys.com
1. Em TSTDC01, execute o Gerenciamento de DNS como administrador, com o
nome de usurio Sara.Davis_Admin e a senha Pa$$w0rd.
2. Crie um encaminhador condicional para contoso.com que encaminhe para o
endereo IPv4 10.0.0.11.

Resultados: aps esse exerccio, voc ter configurado a resoluo de nomes DNS
entre os domnios contoso.com e tailspintoys.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Criar uma relao de confiana
Neste exerccio, voc criar a relao de confiana para permitir a autenticao dos
usurios da Tailspin Toys no domnio da Contoso.
1. Identificar os domnios confiveis e confiantes.
2. Iniciar a relao de confiana no domnio confivel.
3. Concluir a relao de confiana no domnio confiante.

Tarefa 1: Identificar os domnios confiveis e confiantes
Os usurios do tailspintoys.com necessitam de acesso a uma pasta
compartilhada do contoso.com. Responda s seguintes perguntas:
Qual deles o domnio confiante e qual o domnio confivel?
Qual domnio tem uma relao de confiana de sada e qual tem uma
relao de confiana de entrada?

Tarefa 2: Iniciar a relao de confiana no domnio confivel
1. Em HQDC01, execute Domnios e Relaes de Confiana do Active
Directory como administrador, com o nome de usurio Pat.Coleman_Admin
e a senha Pa$$w0rd.
2. Crie uma relao de confiana externa de sada unidirecional com o
tailspintoys.com. Configure a relao de confiana para usar a autenticao de
todo o domnio e para usar Pa$$w0rd como a senha inicial da relao de
confiana.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Concluir a relao de confiana no domnio confiante
a senha Pa$$w0rd.
2. Crie uma relao de confiana externa de entrada unidirecional com o
contoso.com. Configure a relao de confiana para usar a autenticao de
todo o domnio e para usar Pa$$w0rd como a senha inicial da relao de
confiana.

Resultados: aps esse exerccio, voc ter estabelecido uma relao de confiana
entre os domnios contoso.com e tailspintoys.com, na qual contoso.com o domnio
confivel.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Validar uma relao de confiana
No exerccio anterior, voc teve a oportunidade de confirmar a relao de
confiana. Voc pode tambm confirmar ou validar uma relao de confiana
existente. Neste exerccio, voc validar a relao de confiana entre contoso.com e
tailspintoys.com.
Validar uma relao de confiana.

Tarefa 1: Validar uma relao de confiana
Em HQDC01, use Domnios e Relaes de Confiana do Active Directory
para validar a relao de confiana entre contoso.com e tailspintoys.com.

Resultados: aps esse exerccio, voc ter validado a relao de confiana entre
contoso.com e tailspintoys.com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 4: Atribuir permisses a identidades confiveis
Neste exerccio, voc conceder equipe de produtos da Tailspin Toys o acesso a
uma pasta compartilhada do domnio da Contoso.
Atribuir permisses a grupos confiveis.

Tarefa 1: Atribuir permisses a grupos confiveis
1. Em TSTDC01, execute Usurios e Computadores do Active Directory como
administrador, com o nome de usurio Sara.Davis_Admin e a senha
Pa$$w0rd.
2. Na UO User Accounts, crie uma conta de usurio para Pat Coleman com o
nome de logon do usurio Pat.Coleman e a senha Pa$$w0rd. Configure a
senha de modo que ela no precise ser alterada no primeiro logon.
3. No domnio tailspintoys.com, crie uma UO chamada Groups.
4. Na UO Groups, crie um grupo de segurana global chamado Equipe do
Produto.
5. Em HQDC01, execute Usurios e Computadores do Active Directory como
Pa$$w0rd.
6. Na UO Groups\Role, crie um grupo de segurana global chamado
Desenvolvedores de Produto.
7. Na UO Groups\Access, crie um grupo local de domnio chamado
ACL_Informaes de produto_Modificar.
8. Crie uma pasta chamada Informaes de produto na unidade C de HQDC01.
9. Conceda ao grupo ACL_Informaes de produto_Modificar a permisso para
Modificar a pasta Informaes de produto.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
10. Abra as propriedades do grupo ACL_Informaes de produto_Modificar.
Adicione os Desenvolvedores de produto da Contoso e a Equipe do produto
da Tailspin Toys como membros.
A caixa de dilogo Segurana do Windows ser exibida. Como a relao de
confiana unidirecional, a sua conta de usurio como o administrador de
contoso.com (Pat.Coleman_Admin) no tem permisses para ler o diretrio
do domnio tailspintoys.com. Voc precisa ter uma conta no tailspintoys.com
para ler seu diretrio. Se a relao de confiana fosse bidirecional, essa
mensagem no seria exibida. A sua conta de usurio padro no domnio
tailspintoys.com ser usada para permitir Acesso de Leitura ao servio de
diretrio.
Na caixa Nome de usurio, digite TAILSPINTOYS\Pat.Coleman. Na caixa
Senha, digite Pa$$w0rd.
11. Observe que agora os dois grupos globais dos dois domnios so membros do
grupo local do domnio contoso.com que tem acesso pasta Informaes de
produto.

Resultados: aps esse exerccio, voc ter atribudo permisses de acesso a recursos
pasta Informaes de produto do domnio da Contoso para grupos dos domnios da
Contoso e da Tailspin Toys.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 5: Implementar a autenticao seletiva
Neste exerccio, voc restringir a capacidade dos usurios do domnio
tailspintoys.com de autenticar com computadores do domnio contoso.com.
Implementar a autenticao seletiva.

Tarefa 1: Implementar a autenticao seletiva
Em HQDC01, use Domnios e Relaes de Confiana do Active Directory
para habilitar a autenticao seletiva da relao de confiana entre
contoso.com e tailspintoys.com.
Com a autenticao seletiva habilitada, os usurios de um domnio confivel
no poder autenticar em computadores do domnio confiante, mesmo que
tenham sido atribudas a eles permisses para uma pasta. Aos usurios
confiveis precisa ser concedida tambm a permisso Permitido autenticar no
prprio computador.
Em Usurios e Computadores do Active Directory, verifique se os Recursos
avanados esto habilitados. Em seguida, abra as propriedades de HQDC01 e
conceda a TAILSPINTOYS\Equipe do Produto a permisso Permitido
autenticar.
A caixa de dilogo Segurana do Windows ser exibida. Como a relao de
confiana unidirecional, a sua conta de usurio como o administrador de
contoso.com (Pat.Coleman_Admin) no tem permisses para ler o diretrio
do domnio tailspintoys.com. Voc precisa ter uma conta no tailspintoys.com
para ler seu diretrio. Se a relao de confiana fosse bidirecional, essa
mensagem no seria exibida. A sua conta de usurio padro no domnio
tailspintoys.com ser usada para permitir Acesso de Leitura ao servio de
diretrio.
Na caixa Nome de usurio, digite TAILSPINTOYS\Pat.Coleman. Na caixa
Senha, digite Pa$$w0rd.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Voc concedeu ao grupo Pesquisa e desenvolvimento da Tailspin Toys a
permisso para Modificar a pasta Informaes de produto em HQDC01. No
entanto, de dez usurios do grupo, apenas um (que por acaso tambm membro
do grupo Equipe do produto) tem acesso. Os outros no podem acessar a pasta. O
que deve ser feito?
Pergunta: Um usurio da Contoso tenta acessar uma pasta compartilhada do
domnio da Tailspin Toys e recebe um erro de Acesso negado. O que deve ser feito
para fornecer acesso ao usurio?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio: Instalar um DC do AD DS para criar uma floresta de um nico domnio L1-1
Mdulo 1: Apresentao do AD DS (Servios de
Domnio Active Directory)
Laboratrio: Instalar um DC do AD
DS para criar uma floresta de um
nico domnio
Exerccio 1: Executar tarefas de configurao ps-instalao
1. Inicie 10222A-HQDC01-D.
2. Pressione ALT+DELETE, que envia a sequncia de teclas segura
(CTRL+ALT+DELETE) para o convidado da mquina virtual.
3. Com o nome de usurio Administrador presente, em Senha, digite Pa$$w0rd
e pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida e, aps alguns instantes, a janela
Tarefas de Configurao Iniciais ser aberta.

Tarefa 2: Configurar a resoluo de vdeo
1. Minimize (no feche) a janela Tarefas de Configurao Iniciais.
2. Clique com o boto direito do mouse na rea de trabalho e escolha
Personalizar.
3. Clique em Configuraes de Vdeo.
4. Arraste o controle deslizante Resoluo at 1024 por 768.
5. Clique em OK.
Ser exibida a mensagem Deseja manter estas configuraes de vdeo?
6. Clique em Sim.
7. Feche a janela Personalizao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L1-2 Mdulo 1: Apresentao do AD DS (Servios de Domnio Active Directory)
Tarefa 3: Configurar o fuso horrio
1. Maximize a janela Tarefas de Configurao Iniciais.
2. Na janela Tarefas de Configurao Iniciais, clique no link Definir fuso
horrio.
3. Clique em Alterar fuso horrio.
4. Na lista suspensa Fuso horrio, selecione o fuso horrio apropriado para o
seu local e clique em OK.
5. Clique em OK novamente.

Tarefa 4: Alterar a configurao de IP
1. Na janela Tarefas de Configurao Iniciais, clique no link Configurar rede.
A janela Conexes de Rede ser exibida.
2. Clique com o boto direito do mouse em Conexo Local e escolha
Propriedades.
A caixa de dilogo Propriedades da Conexo Local ser exibida.
3. Clique em Protocolo TCP/IP Verso 4 (TCP/IPv4) e em Propriedades.
Observe que o Windows Server 2008 tambm oferece suporte nativo ao
protocolo TCP/IP Verso 6 (TCP/IPv6).
4. Clique em Usar o seguinte endereo IP. Insira esta configurao:
Endereo IP: 10.0.0.11
Mscara de Sub-rede: 255.255.255.0
Gateway Padro: 10.0.0.1
Servidor DNS Preferencial: 10.0.0.11
5. Clique em OK e em Fechar.
6. Feche a janela Conexes de Rede.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5: Renomear o servidor HQDC01
1. Na janela Tarefas de Configurao Iniciais, clique no link Fornecer o nome e o
domnio do computador.
A caixa de dilogo Propriedades do Sistema ser exibida.
2. Clique em Alterar.
3. Na caixa Nome do computador, digite HQDC01. Clique em OK.
Ser exibida a mensagem Reinicie o computador para aplicar as alteraes.
4. Clique em OK.
5. Clique em Fechar.
Ser exibida a mensagem Reinicie o computador para aplicar as alteraes.
6. Clique em Reiniciar Depois. Se voc clicar em Reiniciar Agora
acidentalmente, espere o servidor reiniciar e faa logon como Administrador
com a senha Pa$$w0rd.

Tarefa 6: Reiniciar o servidor
1. Na janela Tarefas de Configurao Iniciais, observe os links Adicionar funes
e Adicionar recursos.
No prximo exerccio, voc usar o Gerenciador de Servidores para adicionar
funes e recursos a HQDC01. Esses links so outra forma de executar as
mesmas tarefas.
Por padro, a janela Tarefas de Configurao Iniciais ser exibida sempre que
voc fizer logon no servidor.
2. Marque a caixa de seleo No mostrar esta janela no logon para que a janela
no seja exibida.
Caso precise abrir a janela Tarefas de Configurao Iniciais no futuro, basta
executar o comando Oobe.exe.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Clique no boto Fechar na parte inferior da janela.
O Gerenciador de Servidores ser exibido.
Com ele, voc pode configurar e administrar as funes e os recursos de um
servidor que executa o Windows Server 2008. Voc usar o Gerenciador de
Servidores no prximo exerccio.
Na parte inferior da janela do Gerenciador de Servidores, uma mensagem de
status informa que O console no pode ser atualizado at que o computador seja
reiniciado.
4. Clique no link Reiniciar ao lado da mensagem de status.
Ser exibida a mensagem Deseja reiniciar agora?
5. Clique em Sim.
O computador reiniciado.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Instalar uma nova floresta do Windows Server
2008 com a interface do Windows
Tarefa 1: Adicionar a funo Servios de Domnio Active Directory a
HQDC01
1. Faa logon em HQDC01 como Administrador com a senha Pa$$w0rd.
A rea de trabalho do Windows ser exibida e, aps alguns instantes, o
Gerenciador de Servidores ser aberto.
Se o Gerenciador de Servidores no for aberto, clique no respectivo link no
Incio Rpido, ao lado do boto Iniciar.
2. Na seo Resumo de Funes da home page do Gerenciador de Servidores,
clique em Adicionar Funes.
O Assistente para Adicionar Funes ser exibido.
3. Clique em Avanar.
4. Na pgina Selecionar Funes do Servidor, marque a caixa de seleo ao lado
de Servios de Domnio Active Directory. Clique em Avanar.
5. Na pgina Servios de Domnio Active Directory, clique em Avanar.
6. Na pgina Confirmar Selees de Instalao, clique em Instalar.
A pgina Progresso da Instalao mostra o status das tarefas de instalao.
7. Na pgina Resultados da Instalao, verifique se a instalao foi bem-
sucedida e clique em Fechar.
Na seo Resumo de Funes da home page do Gerenciador de Servidores,
voc ver uma mensagem de erro indicada por um crculo vermelho com um
x branco. Voc tambm perceber uma mensagem na seo Servios de
Domnio Active Directory da pgina Funes. Esses dois links levaro voc
pgina da funo Servios de Domnio Active Directory do Gerenciador de
Servidores. A mensagem mostrada lembra que necessrio executar
dcpromo.exe, o que voc far na prxima tarefa.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Configurar uma nova floresta do Windows Server 2008
chamada contoso.com com HQDC01 como o primeiro controlador de
domnio
1. No Gerenciador de Servidores, expanda o n Roles no painel de rvore e
clique em Servios de Domnio Active Directory.
2. Clique no link Execute o Assistente de Instalao dos Servios de Domnio
Active Directory (dcpromo.exe).
O Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
4. Na pgina Compatibilidade de Sistema Operacional, verifique o aviso sobre
as configuraes de segurana padro dos controladores de domnio do
Windows Server 2008 e clique em Avanar.
5. Na pgina Escolher uma Configurao de Implantao, clique em Criar um
novo domnio em uma nova floresta e clique em Avanar.
6. Na pgina Nomear o Domnio Raiz da Floresta, digite contoso.com e clique
em Avanar.
O sistema executa uma verificao para ter certeza de que os nomes DNS e
NetBIOS ainda no esto sendo usados na rede.
7. Na pgina Definir Nvel Funcional da Floresta, escolha Windows Server
2008 e clique em Avanar.
A pgina Opes Adicionais de Controlador de Domnio ser exibida.
Cada um dos nveis funcionais descrito na caixa Detalhes da pgina. Escolher
o nvel funcional de floresta do Windows Server 2008 assegura que todos os
domnios da floresta operem nesse nvel, o que permite que novos recursos
sejam fornecidos pelo Windows Server 2008.
Em um ambiente de produo, escolha o nvel funcional de floresta do
Windows Server 2008 quando for criar uma nova floresta se voc precisar dos
recursos fornecidos pelo nvel funcional de domnio do Windows Server 2008
e se no for adicionar controladores de domnio que estejam executando
sistemas operacionais anteriores ao Windows Server 2008.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Servidor DNS selecionado por padro. O Assistente de Instalao dos
Servios de Domnio Active Directory criar uma infraestrutura DNS durante a
instalao do AD DS.
O primeiro controlador de domnio de uma floresta deve ser um servidor de
catlogo global e no pode ser um RODC.
Um aviso de atribuio de IP esttico ser exibido.
Como o debate sobre o IPv6 est alm do escopo deste kit de treinamento,
voc no atribuiu um endereo IPv6 esttico para o servidor no Exerccio 2.
Voc atribuiu um endereo IPv4 esttico no Exerccio 1, e os demais
laboratrios deste curso usaro o IPv4. Portanto, ignore este erro no contexto
do exerccio.
9. Clique em Sim, o computador usar um endereo IP atribudo
dinamicamente (no recomendvel).
Ser exibido um aviso que informa que no possvel criar uma delegao
para o servidor DNS.
No contexto deste exerccio, voc pode ignorar este erro. As delegaes de
domnios DNS sero discutidas mais adiante neste curso.
10. Clique em Sim para fechar a mensagem de aviso do Assistente de Instalao
dos Servios de Domnio Active Directory.
11. Na pgina Local de Banco de Dados, Arquivos de Log e SYSVOL, aceite os
locais padro do arquivo de banco de dados, dos arquivos de log do servio de
diretrio e dos arquivos de SYSVOL e clique em Avanar.
A prtica recomendada em um ambiente de produo armazenar esses
arquivos em trs volumes separados que no contenham aplicativos ou outros
arquivos no relacionados ao AD DS. Esse design de prtica recomendada
melhora o desempenho e aumenta a eficincia de backup e restaurao.
12. Na pgina Senha do Administrador do Modo de Restaurao dos Servios
de Diretrio, digite Pa$$w0rd nas caixas Senha e Senha Confirmada. Clique
em Avanar.
Em um ambiente de produo, voc deve usar uma senha muito forte como a
Senha do Administrador do Modo de Restaurao dos Servios de Diretrio.
No esquea a senha atribuda ao Administrador do Modo de Restaurao dos
Servios de Diretrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
13. Na pgina Resumo, examine suas selees.
Se alguma configurao estiver incorreta, clique em Voltar para fazer
modificaes.
A configurao do AD DS iniciada. Aps vrios minutos de configurao, ser
exibida a pgina Concluindo o Assistente de Instalao dos Servios de
Domnio Active Directory.
15. Clique em Concluir.
16. Clique em Reiniciar Agora.
O computador reiniciado.
17. Prossiga para a Tarefa 3 (opcional) ou v para a Tarefa 4.

Tarefa 3: Examinar a configurao padro da floresta e do domnio
contoso.com (OPCIONAL)
A rea de trabalho do Windows ser exibida e, aps alguns instantes, o
2. Expanda o n Roles no painel de rvore e expanda o n Active Directory
Domain Services.
3. Expanda Usurios e Computadores do Active Directory e o n de domnio
contoso.com.
4. Na rvore, clique no continer Users.
Os usurios e grupos que voc v esto disponveis para qualquer computador
do domnio. Por exemplo, por padro, a conta Administrador do domnio
pode ser usada para fazer logon em qualquer computador do domnio, e o
grupo Usurios do Domnio membro do grupo local Usurios em cada
computador do domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5. Na rvore, clique no continer Builtin.
Os grupos que voc v so compartilhados por controladores de domnio e
esto disponveis para eles, mas no para as estaes de trabalho ou os
servidores membro. Por exemplo, os membros do grupo Operadores de
Backup podem executar tarefas de backup e restaurao somente nos
controladores de domnio, e o grupo Administradores no continer Builtin
representa os administradores de todos os controladores de domnio.
6. Na rvore, selecione o continer Computers.
Ele est vazio. Esse o continer padro de estaes de trabalho e servidores
membro.
7. Selecione a UO Domain Controllers na rvore.
Essa a UO em que so colocados os controladores de domnio. O objeto de
computador de HQDC01 ser exibido nessa UO.

Tarefa 4: Desligar a mquina virtual
1. Se voc ainda no estiver conectado a HQDC01, faa logon em HQDC01
como Administrador com a senha Pa$$w0rd.
2. A rea de trabalho do Windows ser exibida e, aps alguns instantes, o
3. Desligue HQDC01 e descarte as alteraes feitas durante este exerccio de
laboratrio.

Observao: aps concluir esse exerccio, desligue todas as mquinas virtuais e descarte
os discos de desfazer.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Criao e execuo de um console administrativo personalizado L2-11
Mdulo 2: Administrao segura e eficiente do
Active Directory
Laboratrio A: Criao e execuo
de um console administrativo
personalizado
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L2-12 Mdulo 2: Administrao segura e eficiente do Active Directory
Exerccio 1: Executar tarefas administrativas bsicas usando
o snap-in Usurios e Computadores do Active Directory
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman Admin com a senha Pa$$w0rd.
Pat.Coleman Admin membro de Administradores do Domnio.
O Gerenciador de Servidores ser aberto automaticamente.
4. Abra D:\Labfiles\Lab02a.
5. Clique com o boto direito do mouse em Lab02a_Setup.bat e clique em
Executar como administrador.
6. Clique em Continuar.
7. O script de instalao do laboratrio ser executado. Quando ele estiver
8. Feche a janela do Windows Explorer, Lab02a.

Tarefa 2: Exibir objetos
1. Clique em Iniciar e em Painel de Controle.
2. Se o Painel de Controle estiver no modo de exibio Clssico, clique duas
vezes em Ferramentas Administrativas.
Se o Painel de Controle estiver no modo de exibio Categoria, clique em
Sistema e Manuteno e em Ferramentas Administrativas.
3. Clique duas vezes em Usurios e Computadores do Active Directory.
Accounts e clique na UO Employees.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Atualizar a exibio
1. Na rvore de console, clique na UO Employees.
2. Clique no boto Atualizar na barra de ferramentas do snap-in ou pressione
F5.

Tarefa 4: Criar objetos
1. Na rvore de console, clique com o boto direito do mouse em contoso.com,
aponte para Novo e clique em Unidade Organizacional.
2. Na caixa Nome, digite 10222A e clique em OK.

Tarefa 5: Configurar atributos de objeto
2. No painel de detalhes, clique com o boto direito do mouse em Pat Coleman e
clique em Propriedades.
3. Clique na guia Geral.
4. Em Escritrio, substitua o valor atual por Redmond.
5. Clique em OK.

Tarefa 6: Exibir todos os atributos de um objeto
3. Verifique se a guia Editor de Atributos no est visvel e se no h controle de
entrada da propriedade diviso em nenhuma das guias.
4. Feche a caixa de dilogo Propriedades.
5. Clique no menu Exibir e selecione a opo Recursos Avanados.
6. Na rvore de console, expanda a UO User Accounts e clique na UO
Employees.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. Clique na guia Editor de Atributos.
9. Clique duas vezes no atributo division.
10. Insira 10222A e clique em OK.
11. Clique em OK para fechar a caixa de dilogo Propriedades de Pat Coleman.
12. Feche Usurios e Computadores do Active Directory.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Criar um console administrativo personalizado
do Active Directory
Tarefa 1: Criar um console do MMC personalizado com o snap-in
Usurios e Computadores do Active Directory
1. Clique em Iniciar, na caixa Iniciar Pesquisa digite mmc.exe e pressione
ENTER.
Um console do MMC vazio ser exibido. Por padro, a janela do novo console
no maximizada.
3. Maximize o console do MMC.
4. Clique no menu Arquivo e clique em Adicionar/remover snap-in.
A caixa de dilogo Adicionar ou Remover Snap-ins ser exibida.
5. Na lista Snap-ins disponveis, clique em Usurios e Computadores do Active
Directory e em Adicionar.
6. Clique em OK para fechar a caixa de dilogo Adicionar ou Remover Snap-ins.
7. Clique no menu Arquivo e em Salvar.
8. Na caixa de dilogo Salvar Como, localize a unidade C.
9. Clique no boto Criar Nova Pasta, na barra de ferramentas, e nomeie a nova
pasta como AdminTools.
10. Abra a nova pasta AdminTools.
11. Na caixa Nome do arquivo, digite MyConsole.
12. Clique em Salvar.

Tarefa 2: Adicionar outros snap-ins do Active Directory ao console
2. Na lista Snap-ins disponveis, clique em Servios e Sites do Active Directory
e em Adicionar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Na lista Snap-ins disponveis, clique em Domnios e Relaes de Confiana
do Active Directory e em Adicionar.
5. Na rvore de console, clique com o boto direito do mouse em Raiz do
Console e clique em Renomear.
6. Digite Ferramentas Administrativas do Active Directory e pressione ENTER.

Tarefa 3: Adicionar o snap-in Esquema do Active Directory a um
console do MMC personalizado
2. Na caixa de dilogo Adicionar ou Remover Snap-ins, examine a lista Snap-ins
disponveis. Observe que Esquema do Active Directory no est disponvel.
O snap-in Esquema do Active Directory instalado com a funo Servios de
Domnio Active Directory e com as RSAT (Ferramentas de Administrao de
Servidor Remoto), mas no registrado, por isso no aparece.
4. Clique em Iniciar, clique com o boto direito do mouse em Prompt de
Comando e clique em Executar como administrador.
O Administrador: A janela do Prompt de Comando ser exibida.
6. No prompt de comando, digite o comando regsvr32.exe schmmgmt.dll.
Esse comando registra a DLL (biblioteca de vnculo dinmico) do snap-in
Esquema do Active Directory. Isso deve ser feito uma vez no sistema para que
voc possa adicionar o snap-in a um console.
Aparece um prompt indicando que o registro foi bem-sucedido.
7. Clique em OK.
8. Feche a janela do Prompt de Comando.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
9. Volte ao console do MMC personalizado. Clique no menu Arquivo e clique em
Adicionar/remover snap-in.
10. Na lista Snap-ins disponveis, clique em Esquema do Active Directory e em
Adicionar.

Tarefa 4: Gerenciar snap-ins em um console do MMC personalizado
(opcional)
Abra a caixa de dilogo Adicionar ou Remover Snap-ins e use os botes
Mover para Cima, Mover para Baixo e Remover para reorganizar o console.
Para os prximos laboratrios, voc precisar do console na condio em que
ele estava ao final da Tarefa 3, por isso no salve o console alterado. Em vez
disso, feche o console sem salvar as alteraes.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Executar tarefas administrativas com privilgios
mnimos, Executar como Administrador e Controle de
Conta de Usurio
Tarefa 1: Fazer logon com credenciais que no tm privilgios
administrativos
1. Faa logoff de HQDC01.
Pat.Coleman membro de Usurios do Domnio e no tem privilgios
administrativos.

Tarefa 2: Executar o Gerenciador de Servidores como administrador
1. Clique no cone Gerenciador de Servidores em Incio Rpido, ao lado do
boto Iniciar.
Como a sua conta de usurio no membro de Administradores, a caixa de
dilogo pede para voc inserir credenciais administrativas: um nome de
usurio e uma senha.
Se voc no vir as caixas Nome de Usurio e Senha, certifique-se de que est
conectado como Pat.Coleman e no como Pat.Coleman Admin.
2. Na caixa Nome de usurio, digite Pat.Coleman Admin.
O Gerenciador de Servidores ser aberto.

Tarefa 3: Examinar as credenciais usadas por processos em execuo
1. Clique com o boto direito do mouse na barra de tarefas e clique em
Gerenciador de Tarefas.
O Gerenciador de Tarefas aberto.
2. Clique na guia Processos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Clique em Mostrar processos de todos os usurios.
O Gerenciador de Tarefas pode ser executado sem credenciais administrativas,
mas exibir somente os processos executados com a conta de usurio atual.
Por isso, a caixa de dilogo Controle de Conta de Usurio tem uma opo que
permite autenticar usando as mesmas credenciais que voc usou para se
conectar: Pat.Coleman.
O Gerenciador de Tarefas fechado e reaberto com as novas credenciais.
7. Se a janela do Gerenciador de Tarefas for exibida minimizada, clique em
Gerenciador de Tarefas, na barra de tarefas, para restaur-la.
9. Clique no cabealho de coluna Nome de Usurio para classificar por nome de
usurio.
10. Expanda a coluna Nome de Usurio de modo que a largura permita ver os
nomes de usurio inteiros.
11. Role a lista para ver os processos que est sendo executados como
Pat.Coleman e Pat.Coleman Admin.

Pergunta: Que processos esto sendo executados como Pat.Coleman Admin? Que
aplicativos os processos representam?
Resposta: O Gerenciador de Tarefas (taskmgr.exe) e o Gerenciador de Servidores
(que aparece na lista Processos como mmc.exe) esto sendo executados como
Pat.Coleman Admin.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Executar o prompt de comando como administrador
6. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite cmd.exe e pressione
CTRL+SHIFT+ENTER.
Na caixa Iniciar Pesquisa, o atalho de teclado CTRL+SHIFT+ENTER executa o
comando especificado como administrador.

Tarefa 5: Executar ferramentas administrativas como administrador
1. Clique no cone Mostrar rea de Trabalho em Incio Rpido, ao lado do
boto Iniciar.
boto direito do mouse em Usurios e Computadores do Active Directory e
clique em Executar como administrador.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 6: Executar um console administrativo personalizado como
administrador
1. Feche todas as janelas abertas na rea de trabalho.
2. Abra a pasta C:\AdminTools.
3. Clique com o boto direito do mouse em MyConsole e clique em Executar
como administrador.
7. Faa logoff de HQDC01. No desligue nem reinicie a mquina virtual.

configuraes definidas aqui sero usadas no Laboratrio B.
Pergunta: Que snap-in provavelmente voc usar no dia-a-dia para administrar o
Active Directory?
Resposta: A resposta correta ser baseada na sua prpria experincia e na sua
situao.
Pergunta: Quando voc for criar um console do MMC personalizado para
administrao na sua empresa, que snap-ins adicionar?
situao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Localizao de
objetos no Active Directory

Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
4. Pressione ENTER ou clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Localizao de objetos no Active Directory L2-23
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Localizar objetos no Active Directory
Tarefa 1: Explorar o comportamento da caixa de dilogo Selecionar

Observao importante: as etapas desta tarefa orientam voc quanto ao uso de vrias
interfaces importantes de Usurios e Computadores do Active Directory. Voc pode
pensar nesta tarefa como um "tour" pelas interfaces e seus recursos. As alteraes
especficas que voc ir fazer so menos importantes do que a experincia adquirida
com as nuanas dessas interfaces. Siga as etapas exatamente como listadas e no se
preocupe com o que voc est fazendo; em vez disso, concentre-se em como faz-lo e
no comportamento das interfaces de usurio.
A mquina virtual j deve estar iniciada e disponvel aps a concluso do
Laboratrio A. No entanto, se no estiver, voc deve inici-la e fazer os exerccios
do Laboratrio A antes de continuar.
2. Execute o console personalizado, C:\AdminTools\MyConsole.msc, com
credenciais administrativas. Use a conta Pat.Coleman Admin com a senha
Pa$$w0rd.
Como alternativa, execute o console pr-criado,
D:\AdminTools\ADConsole.msc, com credenciais administrativas.
3. Na rvore de console, expanda o snap-in Usurios e Computadores do Active
Directory, o domnio contoso.com e a UO User Accounts e clique na UO
Employees.
4. Clique com o boto direito do mouse em Pat Coleman e clique em
Propriedades.
5. Clique na guia Membro de.
6. Clique em Adicionar.
7. Na caixa de dilogo Selecionar, digite o nome Special.
8. Clique em OK.
O nome resolvido como Special Project.
9. Clique em OK novamente para fechar a caixa de dilogo Propriedades.
10. Na rvore de console, expanda a UO Groups e clique na UO Role.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. No painel de detalhes, clique com o boto direito do mouse no grupo Special
Project e clique em Propriedades.
12. Clique na guia Membros.
A caixa de dilogo Selecionar Usurios, Contatos, Computadores ou Grupos
ser exibida.
14. Digite linda;joan e clique no boto Verificar Nomes.
A caixa de dilogo Selecionar resolve os nomes como Linda Mitchell e Joanna
Rybka e sublinha os nomes para indicar visualmente que eles foram
resolvidos.
15. Clique em OK.
17. Digite carole e clique em OK.
A caixa de dilogo Selecionar resolve o nome como Carole Poland e fecha.
Carole Poland aparece na lista Membros.
Quando voc clica no boto OK, uma operao "Verificar Nomes" executada
antes de fechar a caixa de dilogo. No necessrio clicar no boto Verificar
Nomes, a menos que voc queira verificar nomes e permanecer na caixa de
dilogo Selecionar.
19. Digite tony;jeff e clique em OK.
Como existem vrios usurios que correspondem a tony, exibida a caixa
Diversos Nomes Encontrados.
20. Clique em Tony Krijnen e em OK.
Como existem vrios usurios que correspondem a jeff, ser exibida a caixa
Diversos Nomes Encontrados.
21. Clique em Jeff Ford e em OK. Clique em OK para fechar a caixa de dilogo
Propriedades de Special Project.
Sempre que houver mais de um objeto que corresponda s informaes
inseridas, a operao de verificao de nomes dar a oportunidade de voc
escolher o objeto correto.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
22. Na rvore de console, clique na UO Application, sob a UO Groups.
23. No painel de detalhes, clique com o boto direito do mouse no
grupoAPP_Office e clique em Propriedades.
26. Na caixa de dilogo Selecionar, digite DESKTOP101.
27. Clique em Verificar Nomes.
Ser exibida a caixa de dilogo Nome No Encontrado, indicando que no foi
possvel resolver o objeto especificado.
28. Clique em Cancelar para fechar a caixa de dilogo Nome No Encontrado.
29. Na caixa de dilogo Selecionar, clique em Tipos de Objeto.
30. Marque a caixa de seleo ao lado de Computadores e clique em OK.
31. Clique em Verificar Nomes.
Agora o nome ser resolvido porque a caixa de dilogo Selecionar est
incluindo computadores em sua resoluo.
32. Clique em OK.
33. Clique em OK para fechar a caixa de dilogo Propriedades de APP_Office.

Tarefa 2: Controlar a exibio de objetos no snap-in Usurios e
2. Clique no menu Exibir e clique em Adicionar/Remover Colunas.
3. Na lista Colunas Disponveis, clique em Sobrenome e em Adicionar.
4. Na lista Colunas exibidas, clique em Sobrenome e clique em Mover para
Cima duas vezes.
5. Na lista Colunas exibidas, clique em Tipo e em Remover.
6. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. No painel de detalhes, clique no cabealho de coluna Sobrenome para
classificar em ordem alfabtica por sobrenome.
9. Clique no menu Exibir e clique em Adicionar/Remover Colunas.
10. Na lista Colunas Disponveis, clique em Nome de logon anterior ao
Windows 2000 e em Adicionar.
11. Na lista Colunas exibidas, clique em Nome de logon anterior ao Windows
2000 e em Mover para Cima.
12. Clique em OK.

Tarefa 3: Usar o comando Localizar
2. Clique no boto Localizar, na barra de ferramentas do snap-in.
3. Na caixa Nome, digite Dan e clique em Localizar Agora.
Pergunta: Quantos usurios foram encontrados?
Resposta: Dever haver mais de um usurio chamado Dan.
4. Feche a caixa de dilogo Localizar Usurios, Contatos e Grupos.

Tarefa 4: Determinar a localizao de um objeto
1. Clique no menu Exibir e selecione a opo Recursos Avanados.
2. Clique em Localizar.
3. Clique na lista suspensa Em e clique em Tudo em Diretrio.
4. Na caixa Nome, digite Pat.Coleman e clique em Localizar Agora.
5. Clique duas vezes em Pat Coleman (Admin).

Pergunta: Onde est localizada a conta administrativa de Pat?
Resposta: Na UO Admin Identities, dentro da UO Admins.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Usar consultas salvas
Tarefa 1: Criar uma consulta salva que exiba todas as contas de usurio
do domnio
1. Na rvore de console, clique com o boto direito do mouse em Consultas
Salvas, aponte para Nova e clique em Consulta.
2. Na caixa de dilogo Nova Consulta, digite Todos os Objetos de Usurio na
caixa Nome.
3. Clique em Definir Consulta.
4. Na lista suspensa Nome, escolha Possui um valor. Clique em OK duas vezes.

Tarefa 2: Criar uma consulta salva que mostre todas as contas de
usurio com senhas que no expiram
1. Na rvore de console, clique com o boto direito do mouse em Consultas
Salvas, aponte para Nova e clique em Consulta.
2. Na caixa de dilogo Nova Consulta, digite Senhas que no expiram na caixa
Nome.
3. Clique em Definir Consulta.
4. Marque a caixa de seleo Senhas que no expiram. Clique em OK duas
vezes.
Observe que, a fim de manter uma senha nica e simples para todos os
usurios deste curso, todas as contas de usurio so configuradas de maneira
que as senhas no expirem. Em um ambiente de produo, as contas de
usurio no devem ser configuradas com senhas que no expiram.

Tarefa 3: Transferir uma consulta para outro computador
1. Na rvore de console, clique com o boto direito do mouse na consulta
Senhas que no expiram e clique em Exportar Definio de Consulta. A
caixa de dilogo Salvar Como ser exibida.
2. Na caixa Nome de arquivo, digite C:\AdminTools\Query_NonExpPW.xml e
clique em Salvar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Clique com o boto direito do mouse na consulta Senhas que no expiram e
clique em Excluir.
Uma mensagem de confirmao ser exibida.
4. Clique em Sim para confirmar a excluso da consulta.
5. Clique com o boto direito do mouse em Consultas Salvas e clique em
Importar Definio de Consulta.
6. Clique duas vezes em Query_NonExpPW.
A caixa de dilogo Editar Consulta ser exibida.
7. Clique em OK.
8. Faa logoff de HQDC01.

Observao: no desligue a mquina virtual quando terminar de fazer este laboratrio
porque as configuraes definidas aqui sero usadas no Laboratrio C.
Pergunta: No seu trabalho, que cenrios exigem que voc pesquise no Active
Directory?
situao.
Pergunta: Que tipos de consultas salvas voc poderia criar para ajudar a executar
as tarefas administrativas com mais eficincia?
situao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Uso de comandos
DS para administrar o Active
Directory

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Uso de comandos DS para administrar o Active Directory L2-31

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Usar comandos DS para administrar o Active
Directory
do Laboratrio A antes de continuar.
2. Abra D:\Labfiles\Lab02c.
3. Execute Lab02c_Setup.bat usando credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
5. Feche a janela do Windows Explorer, Lab02c.

Tarefa 2: Localizar objetos com DSQuery
1. Abra o Prompt de Comando com credenciais administrativas. Use a conta
2. Digite dsquery user -name "*Mitchell" e pressione ENTER.

Tarefa 3: Recuperar atributos de objeto com DSGet
1. No prompt de comando, obtenha o endereo de email de Tony Krijnen.
dsget user "cn=Tony Krijnen,ou=Employees,ou=User
Accounts,dc=contoso,dc=com" -email
2. No prompt de comando, liste os membros do grupo Gerentes Financeiros.
Voc sabe que atributo deve usar? Digite "dsget group /?".
dsget group "cn=Finance
Managers,ou=Role,ou=Groups,dc=contoso,dc=com" -members

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Uso de comandos DS para administrar o Active Directory L2-33
Tarefa 4: Enviar DNs por pipe de DSQuery para outros comandos DS
Scott e Linda Mitchell esto ingressando na equipe Special Project. Eles so os
nicos dois funcionrios com o sobrenome Mitchell que trabalham na Contoso.
Eles trabalham na filial de Vancouver.
1. Usando um nico comando, adicione os Mitchells ao grupo Special Project.
Execute esta etapa sem digitar o DN das contas de usurio dos Mitchells.
O DN do grupo Special Project "cn= Special
Project,ou=Role,ou=Groups,dc=contoso,dc=com"
dsquery user -name "*Mitchell" | dsmod group "cn=Special
Project,ou=Role,ou=Groups,dc=contoso,dc=com" -addmbr
Se aparecer o erro "O nome especificado j membro deste grupo", utilize
Usurios e Computadores do Active Directory para remover Scott Mitchell e
Linda Mitchell do grupo Special Project e tente novamente.
Talvez voc receba um erro Acesso Negado. O que est causando o erro e o
que voc pode fazer para contorn-lo?
Se voc iniciou o prompt de comando sem Executar como Administrador, a
conta de usurio (Pat.Coleman) no ter credenciais para alterar a associao
de grupo.
2. Usando um nico comando, recupere o endereo de email de todos os
usurios da filial de Vancouver.
Os usurios da filial de Vancouver tm a palavra Vancouver no campo
Descrio.
Se voc no souber que opo de atributo usar (-desc), digite dsquery user /?.
dsquery user -desc "*Vancouver*"
Se voc receber um aviso informando que DSQuery atingiu o limite, o que
poder fazer para assegurar que todos os resultados sejam retornados?
dsquery user -desc "*Vancouver*" -limit 0
3. Utilizando um nico comando, altere o atributo office dos dois usurios
Mitchell para Vancouver.
dsquery user -name "*Mitchell" | dsmod user -office "Vancouver"
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Pergunta: O que voc pode fazer para no ter que digitar DNs de usurios, grupos
ou computadores no DSGet e em outros comandos DS?
Resposta: Criar arquivos de comando ou arquivos em lote de comandos usados
com frequncia.
Pergunta: Qual a diferena entre as pesquisas com curinga usando DSQuery e as
pesquisas executadas com o comando Localizar em Usurios e Computadores do
Active Directory? Em outras palavras, que tipo de pesquisa voc executou neste
laboratrio que no teria sido possvel usando a interface bsica do comando
Localizar?
Resposta: DSQuery permite fazer pesquisas com curinga flexveis usando o
caractere curinga *. O comando Localizar s pode fazer pesquisas Comea com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Criao e administrao de contas de usurio L3-35
Mdulo 3: Gerenciamento de usurios
Laboratrio A: Criao e
administrao de contas de usurio

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L3-36 Mdulo 3: Gerenciamento de usurios

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Criar contas de usurio
2. Faa logon em HQDC01-A como Pat.Coleman com a senha Pa$$w0rd.
4. Execute Lab03a_Setup.bat com credenciais administrativas. Use a conta

Tarefa 2: Criar uma conta de usurio com Usurios e Computadores do
Active Directory
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
3. Clique com o boto direito do mouse na UO Employees, aponte para Novo e
clique em Usurio.
4. Em Nome, digite o nome do usurio: Chris.
5. Em Sobrenome, digite o sobrenome do usurio: Mayo.
6. Em Nome de logon do usurio, digite o nome de logon do usurio:
Chris.Mayo.
7. Na caixa de texto Nome de logon do usurio (anterior ao Windows 2000),
digite o nome de logon anterior ao Windows 2000: Chris.Mayo.
9. Digite Pa$$w0rd nas caixas Senha e Confirmar senha.
Em um ambiente de produo, use uma senha forte exclusiva para cada conta
de usurio que voc criar, mesmo no caso de senhas temporrias atribudas a
novos usurios.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
10. Selecione O usurio deve alterar a senha no prximo logon.
12. Examine o resumo e clique em Concluir.

Tarefa 3: Criar uma conta de usurio com o comando DSAdd
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
2. Se voc no tiver certeza quanto s opes que deve usar para o comando
DSAdd, digite dsadd user /? e pressione ENTER.
3. Digite este comando e pressione ENTER:
dsadd user "cn=Amy Strande,ou=Employees,ou=User
Accounts,dc=contoso,dc=com" -samid Amy.Strande -upn
Amy.Strande@contoso.com -fn Amy -ln Strande -display "Strande,
Amy" -desc "Vice President, IT"
4. Alterne para Usurios e Computadores do Active Directory.
6. Se Usurios e Computadores do Active Directory j estava aberto antes desta
tarefa, clique no boto Atualizar.
7. Clique com o boto direito do mouse em Amy Strande e clique em
Propriedades.
8. Examine as propriedades da conta de usurio. Verifique se os atributos esto
configurados corretamente e feche a caixa de dilogo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Administrar contas de usurio
Tarefa 1: Administrar uma conta de usurio
A conta de usurio de Amy Strande est desabilitada porque nenhuma senha foi
especificada usando o comando DSAdd.
Pergunta: Que parmetro voc poderia ter usado com o comando DSAdd para
especificar uma senha?
Resposta: -pwd
1. Clique com o boto direito do mouse em Amy Strande e clique em Redefinir
Senha.
2. Nas caixas Nova senha e Confirmar senha, digite Pa$$w0rd.
3. Marque a caixa de seleo O usurio deve alterar a senha no prximo logon.
4. Clique em OK.
A seguinte mensagem ser exibida: A senha de Amy Strande foi alterada.
5. Clique em OK.
6. Clique com o boto direito do mouse em Amy Strande e clique em Habilitar
Conta.
A seguinte mensagem ser exibida: O objeto Amy Strande foi ativado.
7. Clique em OK.
Pergunta: Que comando poderia ter sido usado no prompt de comando para
redefinir a senha, especificar que ela deve ser alterada no prximo logon e habilitar
a conta? Escreva o comando abaixo, incluindo todos os parmetros.
Resposta:
dsmod user "cn=Amy Strande,ou=Employees,ou=User
Accounts,dc=contoso,dc=com" -pwd Pa$$w0rd -mustchpwd yes -disabled
no

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Administrar o ciclo de vida de uma conta de usurio
A poltica da Contoso sobre gerenciamento do ciclo de vida de contas de usurio
afirma o seguinte:
Quando um usurio deixa a organizao por qualquer que seja o motivo,
inclusive licena, sua conta deve ser desabilitada de imediato e movida para a
UO Disabled Accounts.
A conta de usurio deve ser excluda 60 dias aps o desligamento do usurio.
2. Clique com o boto direito do mouse em Chris Mayo e clique em Desabilitar
Conta.
A seguinte mensagem ser exibida: O objeto Chris Mayo foi desabilitado.
3. Clique em OK.
4. Clique com o boto direito do mouse em Chris Mayo e clique em Mover.
5. Clique na UO Disabled Accounts e clique em OK.
6. Na rvore de console, clique na UO Disabled Accounts.
7. Clique com o boto direito do mouse em Chris Mayo e clique em Excluir.
Ser exibido um prompt: Tem certeza de que deseja excluir o usurio 'Chris
Mayo'?
8. Clique em Sim.
9. Faa logoff de HQDC01-A.

porque as configuraes definidas aqui sero usadas no Laboratrio B.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Neste laboratrio, que atributo(s) pode(m) ser modificado(s) quando
voc cria uma conta de usurio com o prompt de comando que no pode(m) ser
modificado(s) durante a criao de uma conta de usurio com o snap-in Usurios e
Computadores do Active Directory?
Resposta: Descrio, Nome para Exibio.
Pergunta: O que acontece quando voc cria uma conta de usurio cuja senha no
atende aos requisitos do domnio?
Resposta: A conta criada, mas fica desabilitada. No possvel habilitar a conta
at que seja configurada uma senha que atenda aos requisitos do domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Configurao de
atributos do objeto de usurio
A rea de trabalho do Windows ser exibida. Executar um aplicativo com
credenciais administrativas
administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Configurao de atributos do objeto de usurio L3-43

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Examinar atributos do objeto de usurio
do Laboratrio A antes de continuar

Tarefa 2: Explorar as propriedades de um objeto de usurio do Active
Directory
3. Clique com o boto direito do mouse em Tony Krijnen e clique em
Propriedades.
4. Examine as guias Geral, Endereo, Conta e Organizao.
5. Clique em OK para fechar a caixa de dilogo Propriedades.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Explorar todos os atributos de um objeto de usurio do
Active Directory
1. Clique no menu Exibir e selecione Recursos Avanados para que a opo
Recursos Avanados seja habilitada.
3. Clique com o boto direito do mouse em Tony Krijnen e clique em
Propriedades.

Tarefa 4: Analisar a nomenclatura e a exibio dos atributos do objeto
de usurio
Para cada um dos seguintes atributos exibidos na caixa de dilogo
Propriedades de Tony Krijnen, identifique o nome de atributo
correspondente na guia Editor de Atributos:
Guia da caixa de dilogo
Propriedades
Nome da
propriedade
Nome do atributo como
mostrado na guia Editor de
Atributos
Geral Nome givenName
Geral Sobrenome sn
Geral Nome para exibio displayName
Geral Descrio description
Geral Escritrio physicalDeliveryOffice
Geral Nmero de telefone telephoneNumber
Geral Email mail
Endereo Rua streetAddress
Endereo Cidade l
Endereo CEP postalCode
Endereo Pas co
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Guia da caixa de dilogo
Propriedades
Nome da
propriedade
Nome do atributo como
mostrado na guia Editor de
Atributos
Organizao Cargo title
Organizao Departamento department
Organizao Empresa company

Perguntas:
1. Use a guia Editor de Atributos para responder as perguntas a seguir.
O atributo employeeID, mostrado na guia Editor de Atributos, exibido
em uma guia normal da caixa de dilogo Propriedades? Em caso
afirmativo, em qual guia? E o atributo carLicense?
Resposta: Tanto employeeID quanto carLicense no aparecem em
nenhuma outra guia.
Observando a guia Editor de Atributos, qual o DN do objeto de Tony
Krijnen?
Resposta:
cn=Tony Krijnen,ou=Funcionrios,ou=Contas de
Usurio,dc=contoso,dc=com
Observando a guia Editor de Atributos, qual o UPN de Tony? Em que
outra guia o atributo aparece e como ele identificado e exibido?
Resposta: A guia Conta mostra o UPN como Nome de Logon do
Usurio. Ele separado em duas partes: o nome de logon como uma
caixa de texto e o sufixo UPN como uma lista suspensa.
2. Perguntas para reflexo: tente responder as perguntas a seguir. No entanto,
possvel que voc no encontre uma resposta. Tudo bem. Depois de pensar em
uma resposta, voc poder consultar as Respostas do laboratrio.
Por que o atributo sn deve ser nomeado como sn?
Resposta: sobrenome
Para que serve o atributo c?
Resposta: O cdigo ISO (International Standards Organization) do pas
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Gerenciar atributos do objeto de usurio
Tarefa 1: Modificar os atributos de vrios objetos de usurio
1. Na rvore de console de Usurios e Computadores do Active Directory,
expanda o domnio contoso.com e a UO User Accounts e clique na UO
Employees.
2. Clique em Adam Barr. Em seguida, mantenha pressionada a tecla CTRL e
clique em Adrian Lannin, Ajay Manchepalli, Ajay Solanki, Allan Guinot,
Anav Silverman e Andrs Tth.
3. Clique com o boto direito do mouse em qualquer um dos usurios
selecionados e clique em Propriedades.
4. Selecione Descrio e digite Fora-tarefa de Marketing na caixa de texto.
5. Selecione Escritrio e digite Sede na caixa de texto.
6. Clique na guia Organizao.
7. Selecione Gerente e clique no boto Alterar.
8. Digite Ariane Berthier e clique em OK.
9. Clique em OK.
10. Clique duas vezes em Adam Barr.
11. Clique na guia Geral.
12. Examine as propriedades que voc alterou.
14. Examine a propriedade Gerente que voc alterou.
15. Feche a caixa de dilogo Propriedades de Adam Barr.
16. Clique duas vezes em Ariane Berthier.
18. Examine os valores mostrados na lista Supervisiona.
19. Feche as propriedades de Ariane Berthier.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Gerenciar atributos de usurio no prompt de comando
2. Digite o comando:
dsquery user -desc "Fora-tarefa de Marketing" | dsget user email
e pressione ENTER.
3. Digite o comando:
dsquery user -desc "Fora-tarefa de Marketing" | dsmod user -hmdir
"\\FILE01\TaskForceUsers\$username$" -hmdrv U
e pressione ENTER.
4. Na rvore de console de Usurios e Computadores do Active Directory, clique
na UO Employees.
5. No painel de detalhes, clique com o boto direito do mouse em Adam Barr e
6. Clique na guia Perfil.
7. Examine a seo Pasta Base e clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Criar usurios com base em um modelo
Tarefa 1: Criar um modelo de conta de usurio para Vendas
expanda o domnio contoso.com e a UO User Accounts e clique na UO
Employees.
clique em Usurio.
3. Deixe a caixa Nome vazia.
4. Deixe a caixa Sobrenome vazia.
5. Na caixa Nome Completo, digite _Sales User.
6. Em Nome de Logon do Usurio, digite: Template.Sales.
7. Na caixa de texto Nome de Logon do Usurio (Anterior ao Windows 2000),
digite o nome de logon anterior ao Windows 2000: Template.Sales.
9. Digite Pa$$w0rd nas caixas Senha e Confirmar senha.
10. Selecione O usurio deve alterar a senha no prximo logon.
11. Selecione Conta desabilitada.
14. Clique com o boto direito do mouse em _Sales User e clique em
Propriedades.
17. Digite Sales e clique em OK.
A caixa de dilogo Diversos Nomes Encontrados ser exibida.
20. Em Departamento, digite Sales.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
21. Em Empresa, digite Contoso, Ltd.
22. Clique no boto Alterar na seo Gerente.
23. Digite Anibal Sousa e clique em OK.
24. Clique na guia Conta.
25. Na seo Vencimento da Conta, clique em Ao final do dia e selecione o
ltimo dia deste ano.
26. Clique em OK.

Tarefa 2: Criar uma nova conta de usurio com base em um modelo
1. Clique com o boto direito do mouse em _Sales User e clique em Copiar.
2. Em Nome, digite Rob.
3. Em Sobrenome, digite Young.
4. Em Nome de logon do usurio, digite Rob.Young.
5. Confirme que o Nome de logon do usurio (anterior ao Windows 2000)
Rob.Young e clique em Avanar.
6. Nas caixas Senha e Confirmar senha, digite Pa$$w0rd.
7. Desmarque Conta desabilitada.

porque as configuraes definidas aqui sero usadas no Laboratrio C.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Que opes voc aprendeu para modificar atributos de usurios novos e
j existentes?
Resposta: Selecionar vrios usurios e abrir a caixa de dilogo Propriedades, usar o
comando DSMod e criar uma conta de usurio com base em um modelo de conta
de usurio
Pergunta: Quais so as vantagens e desvantagens de cada um?
Resposta: Cada opo d a oportunidade de configurar um conjunto de atributos
levemente diferente. Nenhuma opo permite configurar todos os atributos
disponveis para mais de um usurio. Por exemplo, DSMod permite alterar a
descrio de um usurio, mas no possvel configurar a descrio de um novo
usurio com base em um modelo -- o atributo de descrio no copiado.
Utilizando DSMod, voc redefine senhas de diversos usurios, mas no pode fazer
isso quando seleciona vrios usurios em Usurios e Computadores do Active
Directory.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Automatizao da
criao de contas de usurio
Exerccio 1: Exportar e importar usurios com CSVDE
(Comma Separated Value Directory Exchange)
A mquina virtual j deve estar iniciada e disponvel aps a concluso dos
Laboratrios A e B. No entanto, se no estiver, voc deve inici-la e fazer os
exerccios dos Laboratrios A e B antes de continuar.
4. Execute Lab03c_Setup.bat usando credenciais administrativas. Use a conta

Tarefa 2: Exportar usurios com CSVDE
2. Digite o seguinte comando:
csvde -f D:\LABFILES\LAB03C\UsersNamedApril.csv -r "(name=April*)"
-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
e pressione ENTER.
3. Clique com o boto direito do mouse no arquivo
D:\LABFILES\LAB03C\UsersNamedApril.csv e clique em Abrir.
A seguinte mensagem ser exibida: O Windows no pode abrir este arquivo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Automatizao da criao de contas de usurio L3-53
4. Clique em Selecionar um programa em uma lista de programas instalados e
em OK.
5. Clique em Bloco de notas e em OK.
6. Examine o arquivo e feche-o em seguida.

Tarefa 3: Importar usurios com CSVDE
1. Abra D:\LABFILES\LAB03C\NewUsers.csv no Bloco de notas.
2. Examine as informaes sobre os usurios listados no arquivo.
csvde -i -f D:\LABFILES\LAB03C\NewUsers.csv k
e pressione ENTER.
Os dois usurios so importados.
7. Verifique se os usurios foram criados com xito.
Se o snap-in Usurios e Computadores do Active Directory ficou aberto
durante a importao do arquivo CSV, talvez voc precise atualizar a exibio
para ver as contas recm-criadas.
8. Examine as contas para confirmar que o nome, o sobrenome, o UPN e o nome
de logon anterior ao Windows 2000 foram preenchidos de acordo com as
instrues contidas em NewUsers.csv.
9. Clique com o boto direito do mouse em Lisa Andrews e clique em Redefinir
Senha. Nas caixas Senha e Confirmar Senha, digite Pa$$w0rd e clique em
OK.
10. Clique com o boto direito do mouse em Lisa Andrews e clique em Habilitar
Conta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Clique com o boto direito do mouse em David Jones e clique em Redefinir
OK.
12. Clique com o boto direito do mouse em David Jones e clique em Habilitar
Conta.
13. Feche NewUsers.csv.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Automatizao da criao de contas de usurio L3-55
Exerccio 2: Importar usurios com LDIFDE (Lightweight
Directory Access Protocol Data Interchange Format
Directory Exchange)
Tarefa 1: Importar usurios com LDIFDE
1. Clique com o boto direito do mouse no arquivo
D:\LABFILES\LAB03C\NewUsers.ldf e clique em Abrir.
A seguinte mensagem ser exibida: O Windows no pode abrir este arquivo.
2. Clique em Selecionar um programa em uma lista de programas instalados e
em OK.
4. Examine as informaes sobre os usurios listados no arquivo.
ldifde -i -f D:\LABFILES\LAB03C\NewUsers.ldf k
e pressione ENTER.
Os dois usurios so importados.
9. Verifique se os usurios foram criados com xito.
Se o snap-in Usurios e Computadores do Active Directory ficou aberto
durante a importao do arquivo CSV, talvez voc precise atualizar a exibio
para ver as contas recm-criadas.
10. Examine as contas para confirmar que as propriedades de usurio foram
preenchidas segundo as instrues do arquivo NewUsers.ldf.
11. Clique com o boto direito do mouse em Bobby Moore e clique em Redefinir
OK.
12. Clique com o boto direito do mouse em Bobby Moore e clique em Habilitar
Conta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
13. Clique com o boto direito do mouse em Bonnie Kearney e clique em
Redefinir Senha. Nas caixas Senha e Confirmar Senha, digite Pa$$w0rd e
clique em OK.
14. Clique com o boto direito do mouse em Bonnie Kearney e clique em
Habilitar Conta.
15. Feche NewUsers.ldf.

Pergunta de reviso do laboratrio
Pergunta: Que cenrios servem para importar usurios com CSVDE e LDIFDE?
Resposta: Se voc for importar uma grande quantidade de usurios, CSVDE e
LDIFDE agregaro um valor significativo. Alm disso, CSVDE e LDIFDE permitem
configurar a maioria dos atributos de usurio, diferentemente de modelos e do
comando DSAdd, que do suporte a um nmero muito limitado de atributos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Administrao de grupos L4-57
Mdulo 4: Gerenciamento de grupos
Laboratrio A: Administrao de
grupos
Salvo indicao em contrrio, use as etapas a seguir para fazer logon em uma
mquina virtual.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) mquina
segura ao sistema operacional do host.
4. Em Nome do usurio, digite o nome do usurio.

administrador.
2. A caixa de dilogo UAC exibir uma das trs opes. Execute as etapas com
base na opo indicada:
2. Em Nome do Usurio, digite o nome do usurio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L4-58 Mdulo 4: Gerenciamento de grupos

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Implementar o gerenciamento baseado em
funes atravs de grupos
5. O script de configurao do laboratrio executado. Quando estiver

Tarefa 2: Criar grupos de funes com Usurios e Computadores do
Active Directory
2. Na rvore de console, expanda o domnio contoso.com e a UO Groups e, em
seguida, clique na UO Role.
3. Clique com o boto direito do mouse na UO Role, aponte para Novo e clique
em Grupo.
4. Na caixa Nome do grupo, digite Sales.
5. Selecione o escopo de grupo Global e o tipo de grupo Segurana. Clique em
OK.
6. Repita as etapas de 3 a 5 para criar um grupo de segurana global denominado
Consultants.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Criar grupos de funes com o DSAdd
2. Digite o seguinte comando em uma linha e pressione ENTER:
dsadd group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"
secgrp yes scope g
3. No snap-in Usurios e Computadores do Active Directory, confirme que o
grupo foi criado com xito na UO Role, dentro da UO Groups.
Se o snap-in Usurios e Computadores do Active Directory estava aberto
antes da execuo dessa tarefa, atualize a exibio.

Tarefa 4: Adicionar usurios ao grupo de funes
1. Na rvore de console Usurios e Computadores do Active Directory, clique na
UO Role.
2. Clique com o boto direito do mouse no grupo Sales e clique em Propriedades.
4. Clique no boto Adicionar.
5. Digite Tony Krijnen e clique em OK.
7. Na rvore de console, expanda a UO User Accounts e clique na UO Employees.
8. Clique com o boto direito do mouse em Linda Mitchell e clique em
Adicionar a um grupo.
9. Digite Sales e pressione ENTER.
Ser exibida a caixa Diversos Nomes Encontrados, pois h dois grupos cujos
nomes comeam com Sales.
10. Clique em Sales e em OK.
A seguinte mensagem ser exibida: A operao 'Adicionar ao grupo' foi concluda
com xito.
11. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5: Implementar uma hierarquia de funes na qual os Gerentes
de Vendas tambm faam parte da funo Vendas
1. Na rvore de console, expanda a UO Groups e clique na UO Role.
2. Clique com o boto direito do mouse no grupo Sales Managers e clique em
Propriedades.

Tarefa 6: Criar um grupo de gerenciamento de acesso a recursos
1. Na rvore de console, clique na UO Groups\Access.
2. Clique com o boto direito do mouse na UO Access, aponte para Novo e
clique em Grupo.
3. Na caixa Nome do Grupo, digite ACL_Sales Folders_Read.
4. Selecione o escopo de grupo Domnio local e o tipo de grupo Segurana.
Clique em OK.

Tarefa 7: Atribuir permisses ao grupo de gerenciamento de acesso a
recursos
1. Crie uma pasta em D:\Data chamada Sales. Se voc for solicitado a fornecer
credenciais, use o nome de usurio Pat.Coleman Admin com a senha
Pa$$w0rd.
2. Clique com o boto direito do mouse na pasta Sales, clique em Propriedades
e, em seguida, clique na guia Segurana.
3. Clique em Editar e, em seguida, clique em Adicionar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Digite ACL_ e pressione ENTER.
Observe que, quando voc usa um prefixo para nomes de grupo, como o
prefixo ACL_ para grupos de acesso a recursos, consegue encontr-los
rapidamente.
5. Clique em ACL_Sales Folders_Read e, em seguida, clique em OK.
6. Confirme que o grupo recebeu a permisso Ler e Executar.
7. Clique em OK para fechar cada caixa de dilogo.

Tarefa 8: Definir quais funes e usurios tero acesso a um recurso
UO Access.
2. Clique com o boto direito do mouse no grupo ACL_Sales Folders_Read e
5. Digite Sales;Consultants;Auditors e clique em OK.
8. Digite Bobby Moore e clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Gerenciar a associao de grupo no prompt de
comando
Tarefa 1: Modificar a associao de grupo com o DSMod
1. Alterne para o prompt de comando. Ele ainda dever estar sendo executado
com as credenciais de administrador do exerccio anterior.
2. Digite o seguinte comando em uma linha e pressione ENTER:
dsmod group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"
-addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts,
DC=contoso,DC=com" "CN=Finance Managers,OU=Role,
OU=Groups,DC=contoso,DC=com"
UO Role.
4. Clique com o boto direito do mouse no grupo Auditors e clique em
Propriedades.
6. Confirme que Mike Danseglio e o grupo Gerentes Financeiros so membros e
feche a caixa de dilogo Propriedades.

Tarefa 2: Recuperar a associao de grupo com o DSGet
2. Liste os membros diretos do grupo Auditors digitando o seguinte comando e
pressionando ENTER:
dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"
-members
3. Especifique a lista completa dos membros do grupo Auditors digitando o
seguinte comando e pressionando ENTER:
dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"
-members expand
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Especifique a lista completa dos membros do grupo ACL_Sales Folders_Read
digitando o seguinte comando e pressionando ENTER:
dsget group "CN=ACL_Sales Folders_Read,OU=Access,
OU=Groups,DC=contoso,DC=com" -members -expand
5. Liste a associao de grupo direta de Mike Danseglio digitando o seguinte
comando e pressionando ENTER:
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts,
DC=contoso,DC=com" memberof
6. Liste a associao de grupo completa de Mike Danseglio digitando o seguinte
comando em uma linha e pressionando ENTER:
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts,
DC=contoso,DC=com" memberof -expand

Observao: no desligue as mquinas virtuais quando terminar este laboratrio, pois as
Pergunta: Descreva a finalidade dos grupos globais em termos de gerenciamento
baseado em funes.
Resposta: Os grupos globais so geralmente usados para definir funes.
Pergunta: Quais tipos de objeto podem ser membros dos grupos globais?
Resposta: Os grupos globais podem incluir como membros usurios e outras
funes (grupos globais) do mesmo domnio.
Pergunta: Descreva a finalidade dos grupos de domnio local em termos de
gerenciamento de acesso a recursos baseado em funes.
Resposta: Os grupos de domnio local so geralmente usados para definir um
escopo de gerenciamento, como o gerenciamento de um nvel de acesso a um
recurso.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Quais tipos de objetos podem ser membros dos grupos de domnio
local?
Resposta: Os grupos de domnio local podem conter funes (grupos globais) e
usurios individuais de qualquer domnio confivel da mesma floresta ou de uma
floresta externa, bem como de outros grupos de domnio local do mesmo domnio.
Por fim, os grupos de domnio local podem conter grupos universais de qualquer
lugar da floresta.
Pergunta: Se voc tiver implementado o gerenciamento baseado em funes e for
solicitado a relatar quem pode ler as pastas Sales, que comando usar para fazer
isso?
Resposta: Voc dever usar o comando DSGet.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Prticas
recomendadas para gerenciamento
de grupos
Salvo indicao em contrrio, use as etapas a seguir para fazer logon em uma
mquina virtual.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) mquina
segura ao sistema operacional do host.
4. Em Nome do usurio, digite o nome do usurio.

administrador.
A caixa de dilogo UAC ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes. Execute as etapas com
base na opo indicada:
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Prticas recomendadas para gerenciamento de grupos L4-67

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Implementar prticas recomendadas para
gerenciamento de grupos
1. A mquina virtual j dever ter sido iniciada e estar disponvel aps a
concluso do Laboratrio A. No entanto, se no for esse o caso, voc dever
inici-la e concluir os exerccios do Laboratrio A antes de continuar.

Tarefa 2: Criar um grupo bem documentado
2. Na rvore de console, expanda a UO Groups e clique na UO Access.
4. Na caixa Descrio, resuma a regra de gerenciamento de recursos
representada pelo grupo. Digite Pasta Sales (LER).
5. Na caixa Observaes, digite os seguintes caminhos para representar as pastas
que tm permisses atribudas a esse grupo:
\\contoso\teams\Vendas (LER)
\\file02\data\Vendas (LER)
\\file03\news\Vendas (LER)

Tarefa 3: Proteger um grupo contra excluso acidental
1. Clique no menu Exibir e selecione Recursos Avanados para habilitar essa
opo.
2. Na rvore de console, clique na UO Groups\Access.
4. Clique na guia Objeto.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Prticas recomendadas para gerenciamento de grupos L4-69
5. Marque a caixa de seleo Proteger objeto contra excluso acidental e clique
em OK.
6. Clique com o boto direito do mouse em ACL_Sales Folders_Read e clique
em Excluir.
Uma mensagem solicitando a sua confirmao ser exibida.
7. Clique em Sim.
A seguinte mensagem ser exibida: Voc no tem privilgios suficientes para
excluir ACL_Sales Folders_Read ou este objeto est protegido contra excluso
acidental.
8. Clique em OK.

Tarefa 4: Delegar o gerenciamento da associao de grupo
1. Na rvore de console, clique na UO Role.
2. Clique com o boto direito do mouse no grupo Auditors e clique em
Propriedades.
3. Clique na guia Gerenciado por.
4. Clique no boto Alterar.
5. Digite Mike Danseglio e clique em OK.
6. Marque a caixa de seleo O gerente pode atualizar a lista de membros.
Clique em OK.

Tarefa 5: Validar a delegao do gerenciamento da associao de
grupo
2. Faa logon em HQDC01-A com o nome de usurio Mike.Danseglio e a senha
Pa$$w0rd.
3. Clique em Iniciar e em Rede.
4. Clique em Pesquisar o Active Directory.
5. Digite Auditors.
6. Clique em Localizar Agora.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Clique duas vezes no grupo Auditors.
9. Digite Executives e clique em OK.
10. Clique em OK.

Pergunta: Cite alguns benefcios do uso dos campos Descrio e Observaes de
um grupo.
Resposta: Grupos melhor documentados so mais fceis de serem encontrados e
compreendidos, alm de apresentarem menos probabilidade de serem usados
incorretamente, com outra finalidade que no seja a pretendida.
Pergunta: Quais so as vantagens e desvantagens da delegao da associao de
grupo?
Resposta: A delegao da associao de grupo permite que o departamento de TI
agilize o processo. Na maioria das organizaes, quando um usurio precisa
acessar um recurso, ele contata o departamento de TI, que, por sua vez, contata o
proprietrio do negcio para obter aprovao. Em seguida, o departamento de TI
adiciona o usurio aos grupos. A delegao permite que a solicitao chegue
diretamente ao proprietrio do negcio, que poder fazer a alterao no grupo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Criao de computadores e ingresso no domnio L5-71
Mdulo 5: Suporte a contas de computador
Laboratrio A: Criao de
computadores e ingresso no
domnio

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L5-72 Mdulo 5: Suporte a contas de computador

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Ingressar um computador no domnio com a
interface do Windows
7. Inicie 10222A-SERVER01-B.

Tarefa 2: Identificar e corrigir um erro de configurao do DNS
(Sistema de Nomes de Domnio)
1. Faa logon em SERVER01 como Administrador com a senha Pa$$w0rd.
2. Abra Propriedades do Sistema usando um dos seguintes mtodos:
Clique em Iniciar, clique com o boto direito do mouse em Computador
e clique em Propriedades.
Abra Sistema no Painel de Controle.
Pressione a tecla do LOGOTIPO DO WINDOWS e a tecla PAUSE.
3. Na seo Nome do computador, domnio e configuraes de grupo de
trabalho, clique em Alterar configuraes.
4. Na guia Nome do Computador, clique em Alterar.
5. Na seo Membro de, clique em Domnio.
6. Digite contoso.com.
Use o nome de domnio totalmente qualificado, contoso.com, e no o nome
NetBIOS do domnio, contoso.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Clique em OK.
Ser exibida uma caixa de dilogo informando que No pde ser contatado
um Controlador de Domnio do Active Directory para o domnio
contoso.com".
8. Clique em OK para fechar o aviso.
9. Clique em Cancelar para fechar a caixa de dilogo Alteraes de Nome/
Domnio do Computador e clique em Cancelar novamente para fechar a caixa
de dilogo Propriedades do Sistema.
10. Clique em Iniciar, clique com o boto direito do mouse em Rede e clique em
Propriedades.
Ser aberta a Central de Rede e Compartilhamento.
11. Clique no link Exibir status ao lado de Conexo Local.
12. Clique em Propriedades.
A caixa de dilogo Propriedades de Conexo Local ser exibida.
13. Clique em Protocolo TCP/IP Verso 4 (TCP/IPv4) e em Propriedades.
14. Na caixa Servidor DNS preferencial, digite 10.0.0.11 e clique em OK.
15. Clique no boto Fechar duas vezes.

Pergunta: Por que o ingresso poderia ter obtido xito se voc tivesse usado o
nome de domnio contoso em vez de contoso.com? O que poderia dar errado aps
o ingresso com xito no domnio com DNS mas com a configurao incorreta?
Resposta: O uso do nome totalmente qualificado imps o uso do DNS ao processo
de resoluo de nomes e, como o DNS falou, o ingresso no domnio tambm
falhou. O nome de domnio "contoso" um nome simples de domnio que pode
ser resolvido atravs da resoluo de nomes NetBIOS. Embora o ingresso no
domnio obtivesse xito, provvel que o cliente tivesse dificuldade na localizao
de controladores de domnio em outros sites e de outros recursos no domnio. A
execuo do ingresso com um nome de domnio totalmente qualificado garante
que o DNS est funcionando antes do ingresso no domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Ingressar SERVER01 no domnio
Se essa caixa de dilogo j tiver sido aberta em tarefas anteriores deste
exerccio, clique no respectivo boto na barra de tarefas.
6. Clique em OK.
A caixa de dilogo Segurana do Windows ser exibida.
7. Em Nome de usurio, digite Aaron.Painter.
8. Em Senha, digite Pa$$w0rd.
9. Clique em OK.
A seguinte mensagem ser exibida: Bem-vindo ao domnio contoso.com.
Observe que Aaron.Painter um usurio padro do domnio contoso.com. Ele
no possui direitos ou permisses especiais, mas mesmo assim pode ingressar
um computador no domnio. Ele deve ter feito logon no computador com uma
conta que faa parte do grupo Administradores do computador.
10. Clique em OK.
Ser exibida uma mensagem solicitando a reinicializao.
11. Clique em OK.
12. Clique em Fechar para fechar a caixa de dilogo Propriedades do Sistema.
Ser exibida outra mensagem solicitando a reinicializao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Verificar a localizao da conta de SERVER01
1. Alterne para HQDC01-A.
3. Na rvore de console, expanda o domnio contoso.com e clique no continer
Computers.
4. Localize SERVER01 no continer Computers.

Pergunta: Em qual UO ou continer a conta existe?
Resposta: Continer Computers
Tarefa 5: Remover SERVER01 do domnio
5. Na seo Membro de, clique em Grupo de Trabalho.
6. Digite WORKGROUP.
7. Clique em OK.
A seguinte mensagem ser exibida: Bem-vindo ao grupo de trabalho
WORKGROUP.
8. Clique em OK.
Ser exibida uma mensagem solicitando a reinicializao.
9. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
10. Clique em Fechar para fechar a caixa de dilogo Propriedades do Sistema.
Ser exibida outra mensagem solicitando a reinicializao.

Tarefa 6: Excluir a conta SERVER01
2. Na rvore de console Usurios e Computadores do Active Directory, clique no
continer Computers e clique no boto Atualizar na barra de ferramentas do
snap-in.
Pergunta: Em HQDC01-A, atualize a exibio do continer Computers e examine a
conta SERVER01. Qual o status?
Resposta: Desabilitado
Pergunta: Voc no foi solicitado a fornecer credenciais de domnio na Tarefa 5, e
mesmo assim uma alterao foi feita no domnio: a conta de computador foi
redefinida e desabilitada. Quais credenciais foram usadas para fazer isso? Quais
credenciais foram usadas para alterar a associao no grupo de trabalho/domnio
de SERVER01?
Resposta: Essa uma pergunta complicada! As credenciais do domnio com
permisses apropriadas so necessrias para se fazer uma alterao no domnio,
como a redefinio e desabilitao de uma conta de computador. E as credenciais
do grupo Administradores local no cliente so necessrias para se alterar a
associao do computador no grupo de trabalho/domnio.
Voc fez logon em SERVER01 como Administrador local. Por isso, podia alterar a
associao do computador no grupo de trabalho/domnio. Normalmente, voc
seria solicitado a fornecer credenciais de domnio, mas o nome de usurio da conta
Administrador local, Administrador, e a senha, Pa$$w0rd, so idnticos aos da
conta Administrador do domnio, que, naturalmente, tem permisso para
modificar objetos no domnio. O Windows tenta autenticar voc nos bastidores e
somente solicitar as credenciais do domnio se essa autenticao falhar. Nesse
caso, em virtude da semelhana das credenciais, voc j estava autenticado como
Administrador do domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Em um ambiente de produo, a conta Administrador do domnio dever ter uma
senha longa, complexa e segura, que diferente das senhas usadas para contas
Administrador de computadores membros do domnio.
3. Clique com o boto direito do mouse em SERVER01 e clique em Excluir.
Voc ser solicitado a confirmar a excluso.
4. Clique em Sim.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Proteger ingressos de computador
Tarefa 1: Redirecionar o continer padro do computador
1. Ainda em HQDC01-A, execute o Prompt de Comando com credenciais
redircmp "OU=New Computers,DC=contoso,DC=com"
e pressione ENTER.
A sada do comando indica que ele foi concludo com xito.

Tarefa 2: Restringir ingressos no gerenciados em domnios
1. Execute ADSI Editar com credenciais administrativas. Use a conta
2. Clique com o boto direito do mouse em ADSI Editar e clique em
Conectar-se a.
A caixa de dilogo Configuraes da Conexo ser exibida.
3. Na seo Ponto de Conexo, clique em Selecione um Contexto de
Nomenclatura Bem Conhecido e, na lista suspensa, escolha Contexto de
nomenclatura padro.
4. Clique em OK.
5. Clique em Contexto de nomenclatura padro na rvore de console.
6. No painel de detalhes, clique com o boto direito do mouse na pasta do
domnio, dc=contoso,dc=com, e clique em Propriedades.
7. Clique em ms-DS-MachineAccountQuota e em Editar.
8. Digite 0.
9. Clique em OK.
10. Clique em OK para fechar o Editor de Atributos.
11. Feche o ADSI Editar.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Validar a eficincia de ms-DS-MachineAccountQuota
trabalho, clique em Alterar Configuraes.
7. Clique em OK.
8. Em Nome de usurio, digite Aaron.Painter.
10. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Clique em OK.
12. Clique em Cancelar.
13. Clique em Cancelar para fechar a caixa de dilogo Propriedades do Sistema.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Gerenciar a criao de contas de computador
com prticas recomendadas
Tarefa 1: Pr-testar uma conta de computador
2. Na rvore de console Usurios e Computadores do Active Directory, expanda
o domnio contoso.com e a UO Servers e clique na UO File.
3. Clique com o boto direito do mouse na UO File, aponte para Novo e clique
em Computador.
A caixa de dilogo Novo Objeto - Computador ser exibida.
4. Em Nome do Computador, digite SERVER01.
5. Clique no boto Alterar ao lado de Usurio ou Grupo.
A caixa de dilogo Selecionar Usurio ou Grupo ser exibida.
6. Digite AD_Server_Deploy e pressione ENTER.
7. Clique em OK.

Tarefa 2: Ingressar um computador remotamente em uma conta pr-
testada usando NetDom
Aaron.Painter_Admin com a senha Pa$$w0rd.
Aaron.Painter_Admin membro do grupo AD_Server_Deploy. Na tarefa
anterior, voc deu ao grupo a permisso para ingressar SERVER01 no
domnio.
2. Digite o comando whoami /groups para listar as associaes em grupo da
conta atual (Aaron.Painter_Admin). Observe que o usurio membro de
AD_Server_Deploy e no membro de qualquer outro grupo administrativo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Digite o seguinte comando em uma linha (que pode ter quebra automtica) e
pressione ENTER:
netdom join SERVER01 /domain:contoso.com
/UserO:Administrador /PasswordO:*
/UserD:CONTOSO\Aaron.Painter_Admin /PasswordD:*
/REBoot:5
Voc ser solicitado a fornecer a senha associada ao usurio do domnio,
CONTOSO\Aaron.Painter_Admin.
4. Digite Pa$$w0rd e pressione ENTER.
Voc ser solicitado a fornecer a senha associada ao usurio do objeto,
SERVER01\Administrador.
5. Digite Pa$$w0rd e pressione ENTER.
6. O comando concludo com xito, e SERVER01 reiniciado.
7. Faa logon em SERVER01 como Pat.Coleman com a senha Pa$$w0rd.
Isso confirma que o servidor ingressou no domnio.
8. Faa logoff de SERVER01.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Administrao de
contas e objetos do computador

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Administrao de contas e objetos do computador L5-85

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Administrar objetos de computador durante
seu ciclo de vida
As mquinas virtuais j devero ter sido iniciadas e estar disponveis aps a
concluso do Laboratrio A. No entanto, se no estiverem, voc dever concluir as
etapas de 1 a 3 a seguir e, depois, realizar os exerccios de 1 a 3 no Laboratrio A
antes de prosseguir. Voc s conseguir realizar com xito o Laboratrio B aps
concluir o Laboratrio A.
3. Inicie 10222A-SERVER01-B.

Tarefa 2: Configurar os atributos de objeto do computador
1. Em HQDC01-A, execute o snap-in Usurios e Computadores do Active
Directory com credenciais administrativas. Use a conta Pat.Coleman Admin
com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio contoso.com e a UO Client
Computers e, em seguida, clique na UO SEA.
3. Clique com o boto direito do mouse em LNO8538 e clique em
Propriedades.
4. Clique na guia Gerenciado por.
6. Digite Linda Mitchell e pressione ENTER.
Observe que as informaes de contato de Linda foram preenchidas na guia
Gerenciado por.
8. Repita as etapas de 3 a 8 para atribuir LOT9179 a Scott Mitchell.
9. Clique em LOT9179.
10. Pressione e mantenha pressionada a tecla CTRL enquanto clica em LNO8538.
Agora, ambos os computadores podem ser vistos na guia Membros.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Clique com o boto direito do mouse em um dos itens realados, LNO8538
ou LOT9179, e clique em Propriedades.
12. Marque a caixa de seleo Alterar o texto de descrio para todos os objetos
selecionados.
13. Digite Scott e Linda Mitchell.
14. Clique em OK.

Tarefa 3: Adicionar computadores a grupos de gerenciamento de
software
1. Na rvore de console, clique na UO SEA, clique com o boto direito do mouse
em LOT9179 no painel de detalhes e clique em Adicionar a um grupo.
2. Digite APP_ e pressione ENTER.
A caixa de dilogo Diversos Itens Encontrados ser exibida.
3. Clique em APP_Project e em OK.
A seguinte mensagem ser exibida: A operao Adicionar a Grupo foi
concluda com xito.
4. Clique em OK.
5. Na rvore de console, expanda a UO Groups e clique em Application.
6. Clique com o boto direito do mouse em APP_Project e clique em
Propriedades.
9. Digite LNO8538 e pressione ENTER.
A caixa de dilogo Nome No Encontrado ser exibida.
Por padro, a interface Selecionar Usurios, Computadores ou Grupos no
procura objetos de computador.
10. Clique em Tipos de Objeto.
11. Marque a caixa de seleo ao lado de Computadores e clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
12. Clique em OK para fechar a caixa de dilogo Nome No Encontrado.
Agora, ambos os computadores podem ser vistos na guia Membros.
13. Clique em OK.

Tarefa 4: Mover um computador entre UOs
1. Na UO Client Computers\SEA, clique em LOT9179.
2. Arraste LOT9179 para a UO VAN, visvel na rvore de console.
Ser exibida uma mensagem lembrando que voc deve ter cuidado ao mover
objetos no Active Directory.
3. Clique em Sim.
4. Clique com o boto direito do mouse em LNO8538 e clique em Mover.
A caixa de dilogo Mover ser exibida.
5. Expanda a UO Client Computers e clique na UO VAN.
6. Clique em OK.

Tarefa 5: Desabilitar, habilitar e excluir computadores
1. Na UO SEA, clique com o boto direito do mouse em DEP6152 e clique em
Desabilitar Conta.
2. Clique em Sim.
A seguinte mensagem ser exibida: O objeto DEP6152 foi desabilitado.
3. Clique em OK.
4. Clique com o boto direito do mouse em DEP6152 e clique em Habilitar
Conta.
A seguinte mensagem ser exibida: O objeto DEP6152 foi habilitado.
5. Clique em OK.
6. Clique com o boto direito do mouse em DEP6152 e clique em Excluir.
7. Clique em Sim.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Administrar e solucionar problemas de contas
de computador
Tarefa 1: Redefinir uma conta de computador
1. Na UO VAN, clique com o boto direito do mouse em LOT9179 e clique em
Redefinir Conta.
2. Clique em Sim.
A seguinte mensagem ser exibida: A conta LOT9179 foi redefinida com
xito.
3. Clique em OK.

Tarefa 2: Experimentar um problema no canal seguro
2. Clique em Iniciar, aponte para a seta ao lado do cone de bloqueio e clique em
Fazer Logoff.
a UO Servidores e clique na UO Arquivo.
5. Clique com o boto direito do mouse em SERVER01 e clique em Redefinir
Conta.
Como SERVER01 ingressou corretamente no domnio, essa etapa desfaz a
relao de confiana, uma vez que redefine a senha da conta no domnio sem
envolver ou informar o prprio SERVER01. O computador, portanto, no
conhece sua nova senha.
6. Clique em Sim.
A seguinte mensagem ser exibida: A conta SERVER01 foi redefinida com
xito.
7. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. Em SERVER01, tente fazer logon como Pat.Coleman com a senha Pa$$w0rd.
A seguinte mensagem ser exibida: Falha na relao de confiana entre esta
estao de trabalho e o domnio primrio.
9. Clique em OK.

Tarefa 3: Redefinir o canal seguro
a UO Servidores e clique na UO Arquivo.
3. Clique com o boto direito do mouse em SERVER01 e clique em Redefinir
Conta.
4. Clique em Sim.
A seguinte mensagem ser exibida: A conta SERVER01 foi redefinida com
xito.
5. Clique em OK.
Aps redefinir o canal seguro, voc pode mover SERVER01 para um grupo de
trabalho e reingressar no domnio. Isso ingressar a conta redefinida,
mantendo as associaes de grupo. No realize essa etapa neste momento.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Implementao da Diretiva de Grupo L6-91
Mdulo 6: Implementao de uma
infraestrutura de Diretiva de Grupo
Laboratrio A: Implementao da
Diretiva de Grupo
A rea de trabalho do Windows
ser exibida.

administrador.
etapas com base na opo indicada:
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L6-92 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Se a caixa de dilogo UAC oferecer a opo de usar outra conta:

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Criar, editar e vincular GPOs (Objetos de
Diretiva de Grupo)
3. Inicie 10222A-DESKTOP101-A, mas no faa logon no sistema.

Tarefa 2: Criar um GPO
1. Execute o Gerenciamento de Diretiva de Grupo com credenciais
2. Na rvore de console, expanda Floresta: contoso.com, Domnios e
contoso.com e clique no continer Objetos de Diretiva de Grupo.
3. Na rvore de console, clique com o boto direito do mouse no continer
Objetos de Diretiva de Grupo e clique em Novo.
4. Em Nome, digite CONTOSO Standards e clique em OK.

Tarefa 3: Editar as configuraes de um GPO
1. No painel de detalhes do GPMC (Console de Gerenciamento de Diretiva de
Grupo), clique com o boto direito do mouse no GPO CONTOSO Standards
e clique em Editar.
O GPME ser exibido.
2. Na rvore de console, expanda Configurao do Usurio, Diretivas e
Modelos Administrativos e clique em Sistema.
3. Clique duas vezes na configurao de diretiva Impedir acesso a ferramentas
de edio do Registro.
4. Clique em Habilitado.
5. Na lista suspensa Desativar execuo em modo silencioso do regedit,
selecione Sim.
6. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Na rvore de console, expanda Configurao do Usurio, Diretivas, Modelos
Administrativos e Painel de Controle e clique em Vdeo.
8. No painel de detalhes, clique na configurao de diretiva Tempo Limite de
Proteo de Tela.
9. Observe o texto explicativo na margem esquerda do painel de detalhes do
console.
10. Clique duas vezes na configurao de diretiva Tempo Limite de Proteo de
Tela.
11. Analise o texto explicativo na guia Explicar.
12. Clique na guia Configurao e clique em Habilitado.
13. Na caixa Segundos, digite 600 e clique em OK.
14. Clique duas vezes na configurao de diretiva Proteger com senha a proteo
de tela.
15. Clique em Habilitado e em OK.
16. Feche o GPME.
As alteraes feitas no GPME so salvas em tempo real. No existe comando
Salvar.

Tarefa 4: Definir o escopo de um GPO com um link de GPO
1. Na rvore de console do GPMC, clique com o boto direito do mouse no
domnio contoso.com e clique em Vincular com GPO Existente.
2. Selecione CONTOSO Standards e clique em OK.

Tarefa 5: Exibir os efeitos da aplicao da Diretiva de Grupo
1. Alterne para DESKTOP101.
2. Faa logon em DESKTOP101 como Pat.Coleman com a senha Pa$$w0rd.
3. Clique com o boto direito do mouse na rea de trabalho e clique em
Personalizar.
4. Clique em Proteo de Tela.
5. Observe que o controle Espera est desabilitado. No possvel alterar o
tempo limite.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Observe que a opo Ao reiniciar, exibir tela de logon est selecionada e
desabilitada. No possvel desabilitar a proteo por senha.
7. Clique em OK para fechar a caixa de dilogo Proteo de Tela.
8. Clique em Iniciar e digite regedit.exe na caixa Iniciar Pesquisa. Em seguida,
pressione ENTER.
A seguinte mensagem ser exibida: A edio do Registro foi desabilitada pelo
administrador.
9. Clique em OK.

Tarefa 6: Explorar as configuraes do GPO
2. Clique com o boto direito do mouse no GPO CONTOSO Standards e clique
em Editar.
3. Explore as configuraes disponveis em um GPO. No faa nenhuma
alterao.

Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
Pergunta: Quais configuraes de diretiva j esto sendo implantadas usando-se a
Diretiva de Grupo na sua organizao?
situao.
Pergunta: Quais configuraes de diretiva voc descobriu que poderia querer
implementar na sua organizao?
situao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Gerenciamento de
configuraes e GPOs

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Gerenciamento de configuraes e GPOs L6-97

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Usar a filtragem e os comentrios
A mquina virtual j dever ter sido iniciada e estar disponvel aps a concluso do
Laboratrio A. No entanto, caso no esteja, voc dever concluir as etapas abaixo e,
depois, executar o Exerccio 1 no Laboratrio A antes de prosseguir.

Tarefa 2: Pesquisar e filtrar configuraes de diretiva
2. Na rvore de console, expanda Floresta: contoso.com, Domnios e
3. No painel de detalhes, clique com o boto direito do mouse no GPO
CONTOSO Standards e clique em Editar.
O GPME ser exibido.
4. Na rvore de console, expanda Configurao do Usurio e Diretivas e clique
em Modelos Administrativos.
5. Clique com o boto direito do mouse em Modelos Administrativos e clique
em Opes de Filtro.
6. Marque a caixa de seleo Habilitar Filtros de Palavra-Chave.
7. Na caixa de texto Filtro para palavra(s), digite proteo de tela.
8. Na lista suspensa ao lado da caixa de texto, selecione Exato e clique em OK.
As configuraes de diretiva de Modelos Administrativos so filtradas para
mostrar apenas as que contm o termo proteo de tela.
9. Analise as configuraes encontradas.
10. Na rvore de console, clique com o boto direito do mouse em Modelos
Administrativos em Configurao do Usurio e clique em Opes de Filtro.
11. Desmarque a caixa de seleo Habilitar Filtros de Palavra-Chave.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
12. Na lista suspensa Configurado, selecione Sim e clique em OK.
As configuraes de diretiva de Modelo Administrativo so filtradas para
mostrar apenas as que foram configuradas (habilitadas ou desabilitadas).
13. Dedique algum tempo para analisar essas configuraes.
14. Na rvore de console, clique com o boto direito do mouse em Modelos
Administrativos em Configurao do Usurio e desmarque a opo Filtro
Ativado.

Tarefa 3: Documentar GPOs e configuraes com comentrios
1. Na rvore de console do GPME, clique com o boto direito do mouse no n
raiz, CONTOSO Standards, e clique em Propriedades.
2. Clique na guia Comentrio.
3. Digite Diretivas corporativas padro Contoso. O escopo destas
configuraes inclui todos os usurios e computadores no domnio. Pessoa
responsvel por este GPO: seu nome.
Esse comentrio aparece na guia Detalhes do GPO no GPMC.
4. Clique em OK.
6. Clique duas vezes na configurao de diretiva Proteo de Tela.
8. Digite Diretiva de Segurana de TI Corporativa implementada com esta
diretiva em combinao com Proteger com Senha a Proteo de Tela e
clique em OK.
9. Clique duas vezes na configurao de diretiva Proteger com senha a proteo
de tela.
11. Digite Diretiva de Segurana de TI Corporativa implementada com esta
diretiva em combinao com Tempo Limite da Proteo de Tela e clique em
OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Gerenciar modelos administrativos
Tarefa 1: Explorar a sintaxe de um modelo administrativo
1. Clique em Iniciar e em Executar. Em seguida, digite
%SystemRoot%\PolicyDefinitions e pressione ENTER.
A pasta PolicyDefinitions ser aberta.
2. Abra a pasta pt-br ou a pasta da sua regio e idioma.
3. Clique duas vezes em ControlPanelDisplay.adml.
4. Clique na opo Selecionar um programa em uma lista de programas
instalados e em OK.
6. Clique no menu Formatar e selecione Quebra automtica de linha para
habilitar essa opo.
7. Procure o texto ScreenSaverIsSecure.
Essa uma definio de uma varivel de cadeia de caracteres denominada
ScreenSaverIsSecure.
8. Observe o texto entre as marcas <string> e </string>.
9. Observe o nome da varivel na linha seguinte, ScreenSaverIsSecure_Help, e o
texto entre as marcas <string> e </string>.
10. Feche o arquivo.
11. Navegue at a pasta PolicyDefinitions.
12. Clique duas vezes em ControlPanelDisplay.admx.
13. Clique na opo Selecionar um programa em uma lista de programas
instalados e em OK.
15. Procure o texto ScreenSaverIsSecure.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
16. Analise o cdigo no arquivo, tambm mostrado abaixo:
<policy name="ScreenSaverIsSecure" class="User"
displayName="$(string.ScreenSaverIsSecure)"
explainText="$(string.ScreenSaverIsSecure_Help)"
key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"
valueName="ScreenSaverIsSecure">
<parentCategory ref="Display" />
<supportedOn ref="windows:SUPPORTED_Win2kSP1" />
<enabledValue>
<string>1</string>
</enabledValue>
<disabledValue>
<string>0</string>
</disabledValue>
</policy>
17. Identifique as partes do modelo que definem o seguinte:
O nome da configurao de diretiva que aparece no GPME
Resposta: $(string.ScreenSaverIsSecure)
O texto explicativo da configurao de diretiva
Resposta: $(string.ScreenSaverIsSecure_Help)
A chave do Registro e o valor afetado pela configurao de diretiva
class="User" (HKCU)
key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"
valueName="ScreenSaverIsSecure
Os dados inseridos no Registro se a diretiva for habilitada
<enabledValue><string>1</string></enabledValue>
Os dados inseridos no Registro se a diretiva for desabilitada
<disabledValue><string>0</string></disabledValue>
18. Feche o arquivo e, em seguida, feche a janela do Windows Explorer,
PolicyDefinitions.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Gerenciar modelos administrativos clssicos (arquivos .ADM)
1. Alterne para o GPME.
em Adicionar ou Remover Modelos.
5. Navegue at D:\Labfiles\Lab06b\Modelos Administrativos do Office 2007.
6. Abra a pasta ADM e a pasta pt-br.
7. Clique em office12.adm e em Abrir.
O n ADM (Modelos Administrativos Clssicos) exibido na rvore de
Modelos Administrativos.
9. Na rvore de console, expanda Modelos Administrativos, ADM (Modelos
Administrativos Clssicos) e Microsoft Office 2007 System.
Modelos administrativos clssicos (arquivos .ADM) so fornecidos
principalmente para empresas que no gerenciam Diretiva de Grupo com o
Windows Vista ou o Windows Server 2008 ou sistemas operacionais
posteriores.
Voc deve usar um computador que execute a verso mais recente do
Windows para gerenciar a Diretiva de Grupo. Ao fazer isso, voc poder exibir
e modificar todas as configuraes de diretiva disponveis, incluindo as que se
aplicam a verses anteriores do Windows. Se voc tiver pelo menos um
computador executando o Windows Vista, Windows Server 2008 ou
posterior, dever usar esse computador para gerenciar a Diretiva de Grupo e,
depois, voc no precisar dos modelos administrativos clssicos (arquivos
.ADM) quando os arquivos .ADMX/.ADML estiverem disponveis.
Observe que o formato do modelo afeta somente o gerenciamento da Diretiva
de Grupo. As configuraes sero aplicadas s verses do Windows conforme
descrito na seo Com suporte ou Requisitos das propriedades de
configurao de diretiva.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
em Adicionar ou Remover Modelos.
11. Clique em office12 e em Remover.

Tarefa 3: Gerenciar arquivos .ADMX e .ADML
D:\Labfiles\Lab06b\Modelos Administrativos do Office 2007 e pressione
ENTER.
2. Abra a pasta ADMX.
3. Selecione todos os arquivos .ADMX e a pasta pt-br, ou a pasta apropriada do
seu idioma e regio, e pressione CTRL+C para copiar os arquivos e a pasta.
%SystemRoot%\PolicyDefinitions e pressione ENTER.
5. Pressione CTRL+V para colar os arquivos e a pasta.
Ser solicitada a confirmao da mesclagem da pasta pt-br.
6. Marque a caixa de seleo Fazer isso para todos os itens atuais e clique em Sim.
So solicitadas as permisses administrativas.
7. Marque a caixa de seleo Fazer isso para todos os itens atuais e clique em
Continuar. A caixa de dilogo Controle de Conta de Usurio ser exibida.
8. Em Nome de usurio, digite Pat.Coleman Admin.
10. Clique em OK.
11. Feche o Windows Explorer.
12. Feche o GPME.
13. Na rvore de console do GPMC, clique com o boto direito do mouse em
CONTOSO Standards e clique em Editar. O GPME ser exibido.
15. Observe a adio de pastas de configurao de diretiva do
Microsoft Office 2007.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Criar o armazenamento central
1. No GPME, clique no n Modelos Administrativos, em Configurao do
Usurio\Diretivas.
2. No ttulo do painel de detalhes, observe a mensagem: Definies de diretiva
(arquivos ADMX) recuperadas do computador local.
3. Feche o GPME.
4. Execute o prompt de comando com credenciais administrativas. Use a conta
5. Digite md \\contoso.com\SYSVOL\contoso.com\Policies
\PolicyDefinitions\pt-br e pressione ENTER.
Se voc estiver usando outro idioma ou regio, substitua pt-br pela pasta
apropriada.
6. Digite xcopy %systemroot%\PolicyDefinitions \\contoso.com\SYSVOL
\contoso.com\Policies\PolicyDefinitions e pressione ENTER.
Os arquivos .ADMX sero copiados.
7. Digite xcopy %systemroot%\PolicyDefinitions\pr-br
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\pt-br e
pressione ENTER.
Se voc estiver usando outro idioma ou regio, substitua pt-br pela pasta
apropriada.
Os arquivos .ADML sero copiados.
8. No GPMC, clique com o boto direito do mouse em CONTOSO Standards e
clique em Editar.
10. No ttulo do painel de detalhes, observe a mensagem: Definies de diretiva
(arquivos ADMX) recuperadas do armazenamento central.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Descreva a relao entre os arquivos de modelo administrativo
(arquivos .ADMX e .ADML) e o GPME.
Resposta: Os arquivos .ADMX criam a interface do usurio do GPME e
determinam os valores do Registro que so aplicados quando uma configurao de
diretiva definida. Os arquivos .ADML fornecem os elementos especficos do
idioma (o texto) na interface do usurio.
Pergunta: Quando uma empresa obtm um armazenamento central? Que
benefcios ele fornece?
Resposta: Um armazenamento central criado manualmente adicionando-se uma
pasta PolicyDefinitions a \\domnio\sysvol\domnio\Policies.
Pergunta: Quais so as vantagens de se gerenciar uma Diretiva de Grupo de um
cliente que execute a verso mais recente do Windows? As configuraes que voc
gerencia se aplicam a verses anteriores do Windows?
Resposta: Se voc gerenciar a Diretiva de Grupo com um cliente que executa a
verso mais recente do Windows, poder usar os modelos administrativos mais
recentes e exibir as configuraes que se aplicam a essa verso do Windows e a
todas as verses anteriores. As configuraes de diretiva que voc configurar sero
aplicadas no com base na verso do Windows em que voc gerencia a Diretiva de
Grupo, mas com base nas verses do Windows s quais a configurao de diretiva
pode ser aplicada.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Gerenciamento do
escopo de Diretiva de Grupo

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Gerenciamento do escopo de Diretiva de Grupo L6-107

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar o escopo do GPO com links
concluso dos Laboratrios A e B. No entanto, caso no estejam, voc dever
concluir as etapas abaixo e percorrer os exerccios desses laboratrios antes de
prosseguir.

Tarefa 2: Criar um GPO com uma configurao de diretiva que tenha
precedncia sobre uma configurao conflitante
clique em Unidade organizacional.
4. Digite Engenheiros e clique em OK.
6. Execute o GPMC com credenciais administrativas. Use a conta Pat.Coleman
Admin com a senha Pa$$w0rd.
O GPMC ser exibido.
7. Na rvore de console, expanda Floresta: contoso.com, Domnios,
contoso.com, User Accounts e Employees e clique na UO Engineers.
8. Clique com o boto direito do mouse na UO Engineers e clique em Criar um
GPO neste domnio e fornecer um link para ele aqui.
9. Digite Substituio de Aplicativo de Engenharia e pressione ENTER.
10. Clique com o boto direito do mouse no GPO Engineering Application
Override e clique em Editar.
O GPME ser exibido.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
12. Clique duas vezes na configurao de diretiva Tempo Limite de Proteo de
Tela.
13. Clique em Desabilitado e em OK.
14. Feche o GPME.
15. Na rvore de console do GPMC, clique na UO Engineers.
16. Clique na guia Herana de Diretiva de Grupo.
17. Observe que o GPO Engineering Application Override tem precedncia
sobre o GPO CONTOSO Standards.
A configurao de diretiva de tempo limite da proteo de tela que voc
acabou de definir no GPO Engineering Application Override ser aplicada
depois da configurao no GPO CONTOSO Standards. Assim, a nova
configurao substituir a configurao padro e ser a "vencedora". O tempo
limite da proteo de tela ser desabilitado para usurios no escopo do GPO
Engineering Application Override.

Tarefa 3: Exibir o efeito de um link de GPO imposto
1. Na rvore de console do GPMC, clique na UO Domain Controllers e na guia
Herana de Diretiva de Grupo.
2. Observe que o GPO chamado 10222A tem a precedncia mais elevada. As
configuraes nesse GPO substituiro as configuraes conflitantes em
qualquer um dos outros GPOs.
O GPO Default Domain Controllers especifica, entre outras coisas, quais
grupos recebem o direito de fazer logon localmente em controladores de
domnio. Para aumentar a segurana dos controladores de domnio, os
usurios padro no recebem o direito de fazer logon localmente. Para
permitir que uma conta de usurio no privilegiada como Pat.Coleman faa
logon nos controladores de domnio neste curso, o GPO 10222A confere aos
Usurios do Domnio o direito de fazer logon localmente em um computador.
O GPO 10222A vinculado ao domnio. Assim, suas configuraes
normalmente seriam substitudas pelas configuraes no GPO Default Domain
Controllers. Por isso, o link do GPO 10222A com o domnio configurado
como Imposto. Dessa forma, o conflito na atribuio de direitos de usurio
entre os dois GPOs "vencido" pelo GPO 10222A.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Aplicar Bloquear Herana
1. Na rvore de console do GPMC, clique na UO Engineers e na guia Herana
de Diretiva de Grupo.
2. Examine a precedncia e a herana dos GPOs.
3. Clique com o boto direito do mouse na UO Engineers e clique em Bloquear
Herana.
Pergunta: Quais GPOs continuam sendo aplicados a usurios na UO Engineers?
Onde esses GPOs esto vinculados? Por que eles continuam sendo aplicados?
Resposta: O GPO Engineering Application Override, que est vinculado prpria
UO Engineers, e o GPO 10222A, vinculado ao domnio, continuam a ser aplicados.
O GPO 10222A continua a ser aplicado a usurios nessa UO, pois seu link
Imposto.
4. Clique com o boto direito do mouse na UO Engineers e desmarque
Bloquear Herana.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Configurar o escopo do GPO com filtragem
Tarefa 1: Configurar a aplicao de diretiva com a filtragem de
segurana
2. Na rvore de console, expanda o domnio contoso.com e a UO Groups e
clique na UO Configuration.
3. Clique com o boto direito do mouse na UO Configuration, aponte para
Novo e clique em Grupo.
4. Digite Aplicar GPO Engineering Application Override e pressione ENTER.
5. Alterne para o GPMC.
6. Na rvore de console, expanda a UO Engineers e clique no link do GPO
Engineering Application Override na UO Engineers.
Uma mensagem ser exibida.
7. Leia a mensagem e clique em No exibir esta mensagem novamente e em
OK.
8. Na seo Filtragem de Segurana, observe que o GPO aplicado por padro a
todos os usurios autenticados.
9. Na seo Filtragem de Segurana, clique em Usurios Autenticados.
10. Clique no boto Remover. Um prompt de confirmao ser exibido.
11. Clique em OK.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
13. Digite Aplicar GPO Engineering Application Override e pressione ENTER.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Configurar uma iseno com filtragem de segurana
clique na UO Configuration.
3. Clique com o boto direito do mouse na UO Configuration, aponte para
4. Digite Iseno GPO CONTOSO Standards e pressione ENTER.
5. Alterne para o GPMC.
6. Na rvore de console, clique no link do GPO CONTOSO Standards com o
domnio contoso.com.
7. Na seo Filtragem de Segurana, observe que o GPO aplicado por padro a
todos os usurios autenticados.
8. Clique na guia Delegao.
9. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana de CONTOSO Standards ser
exibida.
exibida.
11. Digite Iseno GPO CONTOSO Standards e pressione ENTER.
12. Clique na caixa de seleo abaixo de Negar e ao lado de Aplicar diretiva de
grupo.
13. Clique em OK.
Ser exibida uma mensagem de aviso para lembr-lo de que as permisses
negadas substituem as permitidas.
14. Clique em Sim.
15. Observe que a permisso exibida na guia Delegao como Personalizada.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Configurar o processamento de loopback
Tarefa 1: Configurar o processamento de loopback
1. Na rvore de console do GPMC, expanda a UO Configuration e clique na UO
Conference Rooms.
2. Clique com o boto direito do mouse na UO Conference Rooms e clique em
Criar um GPO neste domnio e fornecer um link para ele aqui.
3. Em Nome, digite Diretivas de Sala de Reunio e pressione ENTER.
4. Na rvore de console, expanda Conference Rooms e clique no GPO
Conference Room Policies.
5. Clique na guia Escopo.
6. Confirme se o GPO tem escopo definido para ser aplicado a Usurios
Autenticados.
7. Clique com o boto direito do mouse no GPO Conference Room Policies na
rvore de console e clique em Editar.
O GPME ser exibido.
8. Na rvore de console do GPME, expanda Configurao do Usurio,
Diretivas, Modelos Administrativos e Painel de Controle e clique em Vdeo.
9. Clique duas vezes na configurao de diretiva Tempo Limite de Proteo de Tela.
11. Na caixa Segundos, digite 2700 e clique em OK.
12. Na rvore de console, expanda Configurao do Computador, Diretivas,
Modelos Administrativos e Sistema e clique em Diretiva de Grupo.
13. Clique duas vezes na configurao de diretiva Modo de processamento de
loopback de diretiva de grupo de usurios.
15. Na lista suspensa Modo, selecione Mesclar e clique em OK.
16. Feche o GPME.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Muitas organizaes confiam plenamente na filtragem do grupo de
segurana para definir o escopo dos GPOs, em vez de vincul-los a UOs
especficas. Nessas organizaes, os GPOs so, geralmente, vinculados em posies
muito elevadas da estrutura lgica do AD (Active Directory
): ao prprio domnio
ou a uma UO de primeiro nvel. Que vantagens so obtidas com o uso da filtragem
de grupo de segurana em vez de links de GPO para gerenciar o escopo do GPO?
Resposta: O problema fundamental de depender das UOs para definir o escopo da
aplicao dos GPOs consiste no fato de que uma UO uma estrutura fixa e
inflexvel do AD e s pode conter um nico usurio ou computador. medida que
as organizaes crescem e tornam-se mais complexas, fica cada vez mais difcil
atender aos requisitos de configurao em uma relao um-para-um com uma
estrutura de continer. Com grupos de segurana, um usurio ou computador
pode existir em quantos grupos forem necessrios e pode ser adicionado ou
removido facilmente sem afetar a segurana ou o gerenciamento da conta de
usurio ou de computador.
Pergunta: Por que pode ser til criar um grupo de iseno (um grupo para o qual
a permisso Aplicar Diretiva de Grupo negada) para cada GPO criado?
Resposta: H alguns cenrios em que voc pode ter a garantia de que todas as
configuraes de um GPO sempre precisaro ser aplicadas a todos os usurios e
computadores dentro de seu escopo. Com um grupo de iseno, voc sempre
poder reagir a situaes que exijam a excluso de um usurio ou computador.
Isso tambm pode ajudar na soluo de problemas de compatibilidade e de
funcionalidade. Em alguns casos, determinadas configuraes do GPO podem
interferir na funcionalidade de um aplicativo. Para verificar se o aplicativo funciona
em uma instalao "pura" do Windows, talvez seja necessrio excluir o usurio ou
computador do escopo dos GPOs, pelo menos temporariamente para fins de teste.
Pergunta: Voc usa o processamento da diretiva loopback na sua organizao? Em
quais cenrios e para quais configuraes de diretiva o processamento da diretiva
loopback pode ser interessante?
Resposta: As respostas variaro. Cenrios como salas de reunio, quiosques, VDIs
e outros ambientes "padro" devero, com certeza, ser mencionados.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio D: Soluo de problemas de aplicao de diretiva L6-115
Laboratrio D: Soluo de
problemas de aplicao de diretiva

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Realizar anlise RSoP (Conjunto de Diretivas
Resultante)
concluso dos Laboratrios A, B e C. No entanto, caso no estejam, voc dever
concluir as etapas abaixo e percorrer os exerccios desses laboratrios antes de
prosseguir.
3. Inicie 10222A-DESKTOP101-A.

Tarefa 2: Atualizar a Diretiva de Grupo
1. Na mquina virtual DESKTOP101, execute o prompt de comando com
Pa$$w0rd.
2. Digite gpupdate.exe /force.
3. Espere at que o comando seja concludo.
4. Anote o horrio do sistema atual, que ser necessrio para uma tarefa posterior
neste laboratrio.
5. Reinicie DESKTOP101.
6. Aguarde at que DESKTOP101 seja reiniciado antes de prosseguir com a
prxima tarefa. No faa logon em DESKTOP101.

Tarefa 3: Criar um relatrio de RSoP de resultados de Diretiva de Grupo
3. Na rvore de console, expanda Floresta: contoso.com e clique em Resultados
da Diretiva de Grupo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Clique com o boto direito do mouse em Resultados da Diretiva de Grupo e
clique em Assistente de Resultados de Diretiva de Grupo.
5. Na pgina Bem-vindo ao Assistente de Resultados de Diretiva de Grupo,
clique em Avanar.
6. Na pgina Seleo de Computador, clique em Outro computador e digite
DESKTOP101 na caixa de texto. Clique em Avanar.
7. Na pgina Seleo de Usurio, clique em Exibir configuraes de diretiva
para e em Selecione um usurio especfico e selecione
CONTOSO\Pat.Coleman. Clique em Avanar.
8. Na pgina Resumo das Selees, analise as suas configuraes e clique em
Avanar.
9. Clique em Concluir. O relatrio de RSoP ser exibido no painel de detalhes do
console.
10. Se voc receber uma mensagem de segurana do Internet Explorer
que se
refira a about:security_mmc.exe, clique em Adicionar. Na caixa de dilogo
Sites Confiveis, clique em Adicionar e em Fechar.
11. Analise os resultados do Resumo da Diretiva de Grupo. Para a configurao
do usurio e do computador, identifique a hora da ltima atualizao de
diretiva e a lista de GPOs permitidos e negados. Identifique os componentes
que foram usados para processar as configuraes de diretiva.
12. Clique na guia Configuraes. Analise as configuraes que foram usadas
durante a aplicao da diretiva de usurio e computador e identifique o GPO
do qual as configuraes foram obtidas.
13. Clique na guia Eventos de Diretivas e localize o evento que registra no log a
atualizao de diretiva acionada com o comando GPUpdate na Tarefa 1.
14. Clique na guia Resumo, clique com o boto direito do mouse na pgina e
clique em Salvar Relatrio.
15. Salve o relatrio como um arquivo HTML na unidade D com um nome de sua
escolha.
16. Abra o relatrio de RSoP da unidade D. Examine o relatrio de RSoP e feche-o.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Analisar RSoP com GPResults
1. Faa logon em DESKTOP101 como Pat.Coleman Admin com a senha
Pa$$w0rd.
2. Execute o prompt de comando com credenciais administrativas.
3. Digite gpresult /r e pressione ENTER.
Os resultados de resumo de RSoP sero exibidos.
As informaes so muito semelhantes guia Resumo do relatrio de RSoP
produzido pelo Assistente de Resultados de Diretiva de Grupo.
4. Digite gpresult /v e pressione ENTER.
Um relatrio de RSoP mais detalhado ser produzido.
Observe que muitas das configuraes de Diretiva de Grupo aplicadas pelo
cliente so listadas nesse relatrio.
5. Digite gpresult /z e pressione ENTER.
O relatrio de RSoP mais detalhado ser produzido.
6. Digite gpresult /h:"%userprofile%\Desktop\RSOP.html" e pressione
ENTER.
Um relatrio de RSoP salvo como um arquivo HTML na sua rea de
trabalho.
7. Abra o relatrio de RSoP salvo da sua rea de trabalho.
8. Compare o relatrio, suas informaes e sua formatao com o relatrio de
RSoP salvo na tarefa anterior.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Usar o Assistente para Modelagem de Diretiva
de Grupo
Tarefa 1: Realizar a modelagem de resultados da Diretiva de Grupo
2. Na rvore de console do Gerenciamento de Diretiva de Grupo, expanda
Floresta:Contoso.com e clique em Modelagem da Diretiva de Grupo.
3. Clique com o boto direito do mouse em Modelagem da Diretiva de Grupo e
clique em Assistente para Modelagem de Diretiva de Grupo.
O Assistente para Modelagem de Diretiva de Grupo ser exibido.
5. Na pgina Seleo de Controlador de Domnio, clique em Avanar.
6. Na pgina Seleo de Usurio e Computador, na seo Informaes do
Usurio, clique no boto de opo Usurio e clique em Procurar.
A caixa de dilogo Selecionar Usurio ser exibida.
7. Digite Mike.Danseglio e pressione ENTER.
8. Na seo Informaes do Computador, clique no boto de opo
Computador e clique em Procurar.
A caixa de dilogo Selecionar Computador ser exibida.
9. Digite DESKTOP101 e pressione ENTER.
11. Na pgina Opes de Simulao Avanadas, marque a caixa de seleo
Processamento de Loopback e clique em Mesclar.
Embora o GPO Conference Room Polices especifique o processamento de
loopback, voc deve instruir o Assistente para Modelagem de Diretiva de
Grupo a considerar o processamento de loopback na simulao.
13. Na pgina Caminhos Alternativos do Active Directory, clique no boto
Procurar ao lado de Local do computador.
A caixa de dilogo Escolha o Continer de Computador ser exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
14. Expanda contoso.com e Quiosques e clique em Salas de Reunio.
Voc est simulando o efeito de DESKTOP101 como um computador de sala
de reunio.
15. Clique em OK.
17. Na pgina Grupos de Segurana de Usurio, clique em Avanar.
18. Na pgina Grupos de Segurana do Computador, clique em Avanar.
19. Na pgina Filtros WMI para Usurios, clique em Avanar.
20. Na pgina Filtros WMI para Computadores, clique em Avanar.
21. Analise as suas configuraes na pgina Resumo das Selees e clique em
Avanar.
23. Na guia Resumo, role at os ns Configurao do Usurio, Objetos de
Diretiva de Grupo e GPOs Aplicados e expanda-os, se necessrio.
24. O GPO Conference Room Policies ser aplicado a Mike Danseglio como uma
diretiva de usurio quando ele fizer logon em DESKTOP101 se essa mquina
virtual estiver na UO Conference Rooms?
Caso no seja, verifique o escopo do GPO Conference Room Policies. Ele deve
estar vinculado UO Conference Rooms com filtragem de grupo de segurana
que aplica o GPO identidade especial Usurios Autenticados. Voc pode
clicar com o boto direito do mouse na consulta de modelagem para execut-la
novamente. Se o GPO ainda no for aplicado, tente excluir e recriar o relatrio
Modelagem da Diretiva de Grupo e tenha muito cuidado para seguir cada
etapa de forma precisa.
25. Clique na guia Configuraes.
26. Role at os ns Configurao do Usurio, Diretivas, Modelos
Administrativos e Painel de Controle/Vdeo e expanda-os, se necessrio.
27. Confirme se o tempo limite da proteo de tela 2.700 segundos
(45 minutos), a configurao definida pelo GPO Conference Room Policies
que substitui o padro de 10 minutos configurado pelo GPO CONTOSO
Standards.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Exibir eventos de diretiva
Tarefa 1: Exibir os eventos da diretiva
2. Clique em Iniciar e em Painel de Controle.
3. Clique em Sistema e Manuteno.
4. Clique em Ferramentas Administrativas.
5. Clique duas vezes em Visualizador de Eventos.
O Visualizar Eventos ser aberto.
7. Na rvore de console, expanda Logs do Windows e clique no log do Sistema.
8. Localize eventos com GroupPolicy como Fonte.
Voc pode at mesmo clicar no link Filtrar Log Atual no painel Aes e, em
seguida, selecionar GroupPolicy na lista suspensa Fontes de Evento.
9. Analise as informaes associadas a eventos GroupPolicy.
10. Na rvore de console, clique no log do Aplicativo.
11. Classifique o log do Aplicativo pela coluna Fonte.
12. Analise os eventos e identifique os eventos de Diretiva de Grupo que foram
inseridos nesse log. Quais eventos esto relacionados aplicao de Diretiva
de Grupo e quais esto relacionados s atividades que voc est executando
para gerenciar a Diretiva de Grupo?
Dependendo do tempo em que a mquina virtual estiver em execuo, talvez
no haja nenhum Evento de Diretiva de Grupo no log do aplicativo.
13. Na rvore de console, expanda Logs de Aplicativos e Servios, Microsoft,
Windows e GroupPolicy e clique em Operacional.
14. Localize o primeiro evento relacionado na atualizao de Diretiva de Grupo
iniciada no Exerccio 1, com o comando GPUpdate. Analise esse evento e os
eventos subsequentes.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Em quais situaes voc usou relatrios de RSoP para solucionar
problemas de aplicao de Diretiva de Grupo na sua organizao?
situao.
Pergunta: Em quais situaes voc usou, ou pensou em usar, a modelagem de
Diretiva de Grupo?
situao.
Pergunta: Voc j diagnosticou um problema de aplicao de Diretiva de Grupo
com base nos eventos de um dos logs de eventos?
situao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Delegao do suporte de computadores L7-125
Mdulo 7: Gerenciamento da segurana e da
configurao da empresa com as configuraes
de Diretiva de Grupo
Laboratrio A: Delegao do
suporte de computadores

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L7-126 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar a associao de Administradores
usando diretivas de grupos restritos

Tarefa 2: Delegar a administrao de todos os clientes do domnio
1. Em HQDC01-A, clique em Iniciar >Ferramentas Administrativas e execute
Gerenciamento de Diretiva de Grupo com credenciais administrativas. Use a
conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Forest:contoso.com, Domnios e
3. Clique com o boto direito do mouse no continer Objetos de Diretiva de
Grupo e clique em Novo.
4. Na caixa Nome, digite Suporte Tcnico Corporativo e clique em OK.
5. No painel de detalhes, clique com o boto direito do mouse em Suporte
Tcnico Corporativo e clique em Editar.
O GPME ser exibido.
Configuraes do Windows e Configuraes de Segurana e clique em
Grupos Restritos.
7. Clique com o boto direito do mouse em Grupos Restritos e clique em
Adicionar Grupo.
8. Clique no boto Procurar.
A caixa de dilogo Selecione Grupos ser exibida.
9. Digite CONTOSO\Suporte Tcnico e pressione ENTER.
10. Clique em OK para fechar a caixa de dilogo Adicionar Grupo.
A caixa de dilogo Propriedades de CONTOSO\Suporte Tcnico ser exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Na seo Este grupo um membro de, clique no boto Adicionar.
A caixa de dilogo Associao de Grupo ser exibida.
12. Digite Administradores e clique em OK.
14. Feche o GPME.
15. Na rvore de console do Gerenciamento de Diretiva de Grupo, clique com o
boto direito do mouse na UO Client Computers e clique em Vincular com
GPO Existente.
A caixa de dilogo Selecionar GPO ser exibida.
16. Selecione o GPO Corporate Help Desk e clique em OK.
17. Feche o console do Gerenciamento de Diretiva de Grupo.

Tarefa 3: Criar um grupo Suporte Seattle
clique na UO Role.
3. Clique com o boto direito do mouse em Funo, aponte para Novo e clique
em Grupo.
4. Na caixa Nome do Grupo, digite Suporte SEA e clique em OK.

Tarefa 4: Delegar a administrao de um subconjunto de clientes no
domnio
Forest:contoso.com, Domnios e contoso.com e clique no continer Objetos
de Diretiva de Grupo.
3. Na caixa Nome, digite Suporte Seattle e clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. No painel de detalhes, clique com o boto direito do mouse em Suporte
Seattle e clique em Editar.
O GPME ser exibido.
Configuraes do Windows e Configuraes de Segurana e clique em
Grupos Restritos.
Adicionar Grupo.
8. Digite CONTOSO\Suporte SEA e pressione ENTER.
9. Clique em OK para fechar a caixa de dilogo Adicionar Grupo.
A caixa de dilogo Propriedades de CONTOSO\Suporte SEA ser exibida.
10. Na seo Este grupo um membro de, clique no boto Adicionar.
A caixa de dilogo Associao de Grupo ser exibida.
11. Digite Administradores e clique em OK.
13. Feche o GPME.
14. Na rvore de console do GPMC, expanda a UO Client Computers e clique na
UO SEA.
15. Clique com o boto direito do mouse em SEA e clique em Vincular com GPO
Existente.
16. Selecione o GPO Seattle Support e clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5: Confirmar a aplicao cumulativa das diretivas Membro de
Floresta:contoso.com e clique no n Modelagem da Diretiva de Grupo.
2. Clique com o boto direito do mouse no n Modelagem da Diretiva de
Grupo e clique em Assistente para Modelagem de Diretiva de Grupo. O
Assistente para Modelagem de Diretiva de Grupo ser exibido.
4. Na pgina Seleo de Controlador de Domnio, clique em Avanar.
5. Na pgina Seleo de Usurio e Computador, na seo Informaes do
Computador, clique no boto Procurar ao lado de Continer.
6. Expanda o domnio contoso e a UO Client Computers e, em seguida, clique
na UO SEA.
7. Clique em OK.
8. Marque a caixa de seleo Ir para a pgina final deste assistente sem coletar
dados adicionais. Clique em Avanar.
9. Na pgina Resumo das selees, clique em Avanar.
10. Clique em Concluir. O relatrio Modelagem de Diretiva de Grupo ser exibido.
11. Clique na guia Configuraes.
12. Role at os ns Configurao do Computador, Diretivas, Configuraes do
Windows, Configuraes de Segurana e Grupos Restritos e expanda-os, se
necessrio.
13. Confirme se os grupos Suporte Tcnico e Suporte SEA esto sendo exibidos.
As diretivas de Grupos Restritos que usam a configurao 'Este grupo um
membro de' so cumulativas.
Observe que o relatrio no especifica se os grupos listados so membros do
grupo Administradores. Isso uma limitao do relatrio Modelagem de
Diretiva de Grupo. Depois que a diretiva aplicada a um computador, o
relatrio de Resultados da Diretiva de Grupo (RSoP) especifica se os grupos
so membros de Administradores.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Se voc quisesse assegurar que apenas os membros do grupo
Administradores local de um computador cliente fosse o Suporte Tcnico do grupo
Suporte especfico do site e quisesse remover quaisquer outros membros do grupo
Administradores local, como conseguiria fazer isso usando apenas diretivas de
grupos restritos?
Resposta: esta uma pergunta um pouco complicada e requer certa criatividade.
Voc pode definir uma configurao de diretiva Membros para o grupo
Administradores que adiciona a conta Administrador. Isso ter o mesmo efeito que
limpar todos os outros membros de grupo e, naturalmente, a conta Administrador
j ser um membro da floresta Administrador e no poder ser removida. Em
seguida, voc poder definir configuraes de diretiva de grupo restrito para o
Suporte Tcnico e os grupos de Suporte especficos de site, como fez no
Laboratrio. Se desejar, voc poder usar uma preferncia de Grupo Local
configurada para excluir todos os grupos e usurios membros.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Gerenciamento das
configuraes de segurana

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Gerenciamento das configuraes de segurana L7-133

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Gerenciar configuraes de segurana local
concluso do Laboratrio A. No entanto, caso no estejam, voc dever concluir as
etapas abaixo.
2. Faa logon em HQDC01-AHQDC01 como Pat.Coleman com a senha
Pa$$w0rd.

Tarefa 2: Habilitar a rea de Trabalho Remota em HQDC01-A
1. Clique no cone Gerenciador de Servidores ao lado do boto Iniciar. A caixa
de dilogo Controle de Conta de Usurio ser exibida.
4. Na seo Resumo do Servidor, clique em Configurar rea de Trabalho
Remota.
A caixa de dilogo Propriedades do Sistema ser aberta.
5. Clique em Permitir conexes somente de computadores que estejam
executando a rea de Trabalho Remota com Autenticao no Nvel da Rede
(mais seguro).
6. Clique em OK.

Tarefa 3: Criar um grupo de segurana global denominado SYS_rea
de Trabalho Remota do DC
2. Na rvore de console, expanda o domnio contoso.com, a UO Admins e a UO
Admin Groups e clique na UO Server Delegation.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Clique com o boto direito do mouse na UO Server Delegation, aponte para
4. Digite SYS_rea de Trabalho Remota do DC e clique em OK.

Tarefa 4: Adicionar SYS_rea de Trabalho Remota do DC ao grupo
Usurios da rea de Trabalho Remota
Para se conectar usando a rea de trabalho remota, um usurio deve ter o direito
de logon de usurio para fazer logon pelos Servios de Terminal, que voc
conceder ao grupo SYS_rea de Trabalho Remota do DC na prxima tarefa.
Alm disso, o usurio deve ter permisso para se conectar ao RDP-Tcp. Por padro,
os grupos Usurios da rea de Trabalho Remota e Administradores tm permisso
para se conectar ao RDP-Tcp. Portanto, voc deve adicionar o usurio (ou o grupo
SYS_rea de Trabalho Remota do DC neste caso) ao grupo Usurios da rea de
Trabalho Remota.
1. Ainda no HQDC01-A, na rvore de console Usurios e Computadores do
Active Directory, clique em Builtin.
2. No painel de detalhes, clique duas vezes em Usurios da rea de Trabalho
Remota.
ser exibida.
5. Digite SYS_rea de Trabalho Remota do DC e pressione ENTER.
6. Clique em OK.

Observao: em vez de adicionar o grupo aos Usurios da rea de Trabalho Remota,
voc pode adicionar o grupo SYS_rea de Trabalho Remota do DC ACL (lista de
controle de acesso) da conexo RDP-Tcp, usando o console da Configurao dos
Servios de Terminal. Clique com o boto direito do mouse em RDP-Tcp e clique em
Propriedades. Em seguida, clique na guia Segurana e no boto Adicionar e digite
SYS_rea de Trabalho Remota do DC. Clique em OK duas vezes para fechar as caixas de
dilogo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5: Configurar a Diretiva de Segurana Local para permitir as
conexes de rea de Trabalho Remota pelo SYS_rea de Trabalho
Remota do DC
1. Em HQDC01-A, v para Iniciar > Ferramentas Administrativas e execute
Diretiva de Segurana Local com credenciais administrativas. Use a conta
2. Na rvore de console, expanda Diretivas Locais e clique em Atribuio de
Direitos de Usurio.
3. Clique duas vezes em Permitir logon pelos Servios de Terminal.
A caixa de dilogo Propriedades de Permitir Logon pelos Servios de Terminal
ser aberta.
4. Clique em Adicionar Usurio ou Grupo.
exibida.
5. Digite SYS_rea de Trabalho Remota do DC e pressione ENTER.
6. Clique em OK.
7. Feche a caixa de dilogo Permitir logon pelos Servios de Terminal.

Tarefa 6: Reverter a diretiva de segurana local para sua configurao
padro
Agora, voc reverter a diretiva para seu valor padro em preparao aos exerccios
a seguir.
ser aberta.
2. Clique em CONTOSO\SYS_rea de Trabalho Remota do DC.
4. Clique em OK.
5. Feche Diretiva de Segurana Local.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Criar um modelo de segurana
Tarefa 1: Criar um console personalizado do MMC com o snap-in
Modelos de Segurana
1. Ainda em HQDC01-A, clique em Iniciar, digite mmc.exe na caixa de pesquisa
e pressione ENTER quando forem solicitadas as credenciais administrativas.
Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Clique em Arquivo e em Adicionar/Remover Snap-in.
3. Na lista Snap-ins disponveis, selecione Modelos de Segurana e clique em
Adicionar.
4. Clique em OK.
5. Clique em Arquivo e em Salvar.
A caixa de dilogo Salvar como ser exibida.
6. Digite D:\Security Management e pressione ENTER.

Tarefa 2: Criar um modelo de segurana
1. Na rvore de console, expanda Modelos de Segurana.
2. Clique com o boto direito do mouse em C:\Users\Pat.Coleman Admin
\Documents\Security\Templates e clique em Novo Modelo.
3. Digite rea de Trabalho Remota do DC e clique em OK.
4. Na rvore de console, expanda C:\Users\Pat.Coleman Admin\Documents
\Security\Templates, rea de Trabalho Remota do DC e Diretivas Locais e
clique em Atribuio de Direitos de Usurio.
5. No painel de detalhes, clique duas vezes em Permitir logon pelos Servios de
Terminal.
ser exibida.
6. Selecione Definir essas configuraes de diretivas no modelo.
7. Clique em Adicionar Usurio ou Grupo.
A caixa de dilogo Adicionar Usurio ou Grupo ser exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A caixa de dilogo Selecionar Usurios ou Grupos ser exibida.
10. Clique em OK para fechar a caixa de dilogo Adicionar Usurio ou Grupo.
11. Clique em OK para fechar a caixa de dilogo Propriedades de Diretiva.
12. Na rvore de console, clique em Grupos Restritos.
Adicionar Grupo.
A caixa de dilogo Adicionar Grupo ser exibida.
16. Clique em OK novamente para fechar a caixa de dilogo Adicionar Grupo.
A caixa de dilogo Propriedades de CONTOSO\SYS_rea de Trabalho Remota
do DC ser exibida.
17. Na seo Este grupo um membro de, clique em Adicionar Grupos.
A caixa de dilogo Associao de Grupo ser exibida
19. Digite Usurios da rea de Trabalho Remota e clique em OK.
20. Clique em OK para fechar a caixa de dilogo Associao de Grupo.
21. Clique em OK para fechar a caixa de dilogo de propriedades.
22. Na rvore de console, clique com o boto direito do mouse em rea de
Trabalho Remota do DC e clique em Salvar.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Usar Configurao e Anlise de Segurana
Tarefa 1: Adicionar o snap-in Configurao e Anlise de Segurana a
um console personalizado
1. Clique em Arquivo e em Adicionar/Remover Snap-in.
2. Na lista Snap-ins disponveis, selecione Configurao e Anlise de
Segurana e clique no boto Adicionar.
3. Clique em OK.
4. No menu Arquivo, clique em Salvar.

Tarefa 2: Criar um banco de dados de segurana e importar um
modelo de segurana
1. Na rvore de console, clique em Configurao e Anlise de Segurana.
2. Clique com o boto direito do mouse em Configurao e Anlise de
Segurana e clique em Abrir Banco de Dados.
A caixa de dilogo Abrir Banco de Dados ser exibida.
O comando Abrir Banco de Dados permite criar um novo banco de dados de
segurana.
3. Digite HQDC01Test e clique em Abrir.
A caixa de dilogo Importar Modelo ser exibida.
4. Selecione o modelo rea de Trabalho Remota do DC criado no Exerccio 2 e
clique em Abrir.

Tarefa 3: Analisar a configurao de um computador usando o banco
de dados de segurana
1. Na rvore de console, clique com o boto direito do mouse em Configurao
e Anlise de Segurana e clique em Analisar Computador Agora.
2. Clique em OK para confirmar o caminho padro do log de erros.
O snap-in executa a anlise.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Na rvore de console, expanda Configurao e Anlise de Segurana e
Diretivas Locais e clique em Atribuio de Direitos de Usurio.
Observe que a diretiva Permitir logon pelos Servios de Terminal est
sinalizada com um crculo vermelho e um X. Isso indica uma discrepncia
entre a configurao do banco de dados e a configurao do computador.
Observe as discrepncias. O computador no est configurado para permitir
que o grupo Usurios do SYS_rea de Trabalho Remota do DC faa logon
pelos Servios de Terminal.
Observe tambm que a configurao do computador permite atualmente que
os Administradores faam logon pelos Servios de Terminal. Essa uma
configurao importante que deve ser incorporada ao banco de dados.
5. Confirme se a caixa de seleo Definir a diretiva no banco de dados est
marcada.
6. Marque a caixa de seleo Administradores, em Config. Banco de Dados.
Isso conferir aos administradores o direito de fazer logon no banco de dados
pelos Servios de Terminal. Esse procedimento no altera o modelo e no afeta
a configurao atual do computador.
7. Clique em OK.
8. Na rvore de console, selecione Grupos Restritos.
9. No painel de detalhes, clique duas vezes em CONTOSO\SYS_rea de
Trabalho Remota do DC.
Observe que o banco de dados especifica que o grupo SYS_rea de Trabalho
Remota do DC deve ser um membro de Usurios da rea de Trabalho Remota,
mas o computador no est em conformidade com essa configurao no
momento.
11. Confirme se a caixa de seleo Definir este grupo no banco de dados est
marcada.
12. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Segurana e clique em Salvar.
Esse procedimento salva o banco de dados de segurana, que inclui as
configuraes importadas do modelo e a alterao que voc fez para permitir
que os Administradores faam logon pelos Servios de Terminal.
A dica exibida na barra de status quando voc passa o cursor sobre o comando
Salvar sugere que o modelo est sendo salvo. A informao est incorreta. Voc
est salvando o banco de dados.
Segurana e clique em Exportar Modelo.
A caixa de dilogo Exportar modelo para ser exibida.
15. Selecione rea de Trabalho Remota do DC e clique em Salvar.
Agora voc substituiu o modelo criado no Exerccio 2 pelas configuraes
definidas no banco de dados do snap-in Configurao e Anlise de Segurana.

Tarefa 4: Definir configuraes de segurana usando um banco de
dados de segurana
1. Feche o console do Gerenciamento de Segurana. Se voc for solicitado a
salvar as configuraes, clique em Sim.
O fechamento e a reabertura do console so necessrios para atualizar as
configuraes mostradas no snap-in Modelos de Segurana.
2. Execute D:\Security Management.msc com credenciais administrativas. Use a
3. Na rvore de console, expanda Modelos de Segurana,
C:\Users\Pat.Coleman Admin\Documents\Security\Templates, rea de
Trabalho Remota do DC e Diretivas Locais e clique em Atribuio de
Direitos de Usurio.
4. No painel de detalhes, clique duas vezes em Permitir logon pelos Servios de
Terminal.
Observe que os grupos Administradores e SYS_rea de Trabalho Remota do
DC tm permisso para fazer logon no modelo de segurana pelos Servios de
Terminal.
5. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Segurana e clique em Configurar Computador Agora.
7. Clique em OK para confirmar o caminho do log de erros. As configuraes do
banco de dados so aplicadas ao servidor. Agora, voc confirmar que a
alterao feita no direito de usurio foi aplicada.
8. Execute Diretiva de Segurana Local com credenciais administrativas. Use a
9. Na rvore de console, expanda Diretivas Locais e clique em Atribuio de
Direitos de Usurio.
10. Clique duas vezes em Permitir Logon pelos Servios de Terminal.
ser aberta.
11. Confirme que Administradores e SYS_rea de Trabalho Remota do DC
esto listados.
O console da Diretiva de Segurana Local exibe as configuraes atuais reais
do servidor.
12. Feche o console da Diretiva de Segurana Local.
13. Feche o console personalizado do Gerenciamento de Segurana.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 4: Usar o Assistente de Configurao de
Segurana
Tarefa 1: Criar uma diretiva de segurana
1. Ainda em HQDC01-A, clique em Iniciar > Ferramentas Administrativas e
execute o Assistente de Configurao de Segurana com credenciais
2. Na pgina Bem-vindo ao Assistente de Configurao de Segurana, clique
em Avanar.
3. Na pgina Ao de Configurao, selecione Criar nova diretiva de segurana
e clique em Avanar.
4. Na pgina Selecionar Servidor, aceite o nome de servidor padro, HQDC01-
A, e clique em Avanar.
5. Se desejar, na pgina Processando o Banco de Dados de Configurao de
Segurana, voc pode clicar em Exibir Banco de Dados de Configurao e
explorar a configurao descoberta em HQDC01-A.
7. Na pgina de introduo da seo Configurao de Servios com Base em
Funes, clique em Avanar.
8. Se desejar, na pgina Selecionar Funes do Servidor, voc pode explorar as
configuraes descobertas em HQDC01-A, mas no altere nenhuma
configurao. Clique em Avanar.
9. Se desejar, na pgina Selecionar Recursos de Cliente, voc pode explorar as
10. Se desejar, na pgina Selecionar Administrao e Outras Opes, voc pode
explorar as configuraes descobertas em HQDC01-A, mas no altere
nenhuma configurao. Clique em Avanar.
11. Se desejar, na pgina Selecionar Servios Adicionais, voc pode explorar as
12. Na pgina Tratando Servios No Especificados, no altere a configurao
padro No alterar o modo de inicializao do servio. Clique em Avanar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
13. Na pgina Confirmar Alteraes no Servio, na lista Exibir, escolha Todos os
Servios.
14. Examine as configuraes da coluna Modo de Incio Atual, que reflete os
modos de inicializao de servio em HQDC01-A, e as compare com as
configuraes da coluna Modo do Incio da Diretiva.
15. Na lista Exibir, selecione Servios Alterados.
17. Na pgina de introduo da seo Segurana de Rede, clique em Avanar.
18. Se desejar, na pgina Regras de Segurana de Rede, voc pode examinar as
regras de firewall derivadas da configurao de HQDC01-A. No altere
nenhuma configurao. Clique em Avanar.
19. Na pgina de introduo da seo Configuraes do Registro, clique em
Avanar.
20. Em cada pgina da seo Configuraes do Registro, examine as
configuraes, mas no altere nenhuma delas, e clique em Avanar. Continue
clicando em Avanar em cada pgina at que seja exibida a pgina Resumo
das Configuraes no Registro, examine as configuraes e clique em
Avanar.
21. Na pgina de introduo da seo Diretiva de Auditoria, clique em Avanar.
22. Na pgina Diretiva de Auditoria do Sistema, examine as configuraes, mas
no as altere. Clique em Avanar.
23. Na pgina Resumo da Diretiva de Auditoria, examine as configuraes nas
colunas Configurao Atual e Configurao de Diretiva. Clique em Avanar.
24. Na pgina de introduo da seo Salvar Diretiva de Segurana, clique em
Avanar.
25. Na caixa de texto Nome do Arquivo da Diretiva de Segurana, clique no final
do caminho do arquivo e digite Diretiva de Segurana do DC.
26. Clique no boto Incluir Modelos de Segurana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
28. Navegue at o modelo rea de Trabalho Remota do DC criado no
Exerccio 3, localizado na pasta C:\Users\Pat.Coleman Admin\Documents
\Security\Templates. Depois que tiver localizado e selecionado o modelo,
clique em Abrir.
Tome cuidado para adicionar o arquivo Documents\Security\Templates\rea
de Trabalho Remota do DC.inf, e no o modelo de segurana padro DC
Security.inf.
29. Clique em OK para fechar a caixa de dilogo Incluir Modelos de Segurana.
30. Clique no boto Exibir Diretiva de Segurana.
Voc ser solicitado a confirmar o uso do controle ActiveX.
31. Clique em Sim.
32. Examine a diretiva de segurana. Observe que o modelo rea de Trabalho
Remota do DC est listado na seo Modelos.
33. Feche a janela aps ter examinado a diretiva.
34. No Assistente de Configurao de Segurana, clique em Avanar.
35. Na pgina Aplicar Diretiva de Segurana, aceite a configurao padro
Aplicar Mais Tarde e clique em Avanar.

Tarefa 2: Transformar uma diretiva de segurana em objeto de
Diretiva de Grupo
2. Digite cd c:\windows\security\msscw\policies e pressione ENTER.
3. Digite scwcmd transform /? e pressione ENTER.
4. Digite scwcmd transform /p:"Diretiva de Segurana do DC.xml"
/g:"Diretiva de Segurana do DC e pressione ENTER.
6. Na rvore de console, expanda Forest:contoso.com, Domnios, contoso.com
e Objetos de Diretiva de Grupo e clique em Diretiva de Segurana do DC.
Esse o GPO criado pelo comando Scwcmd.exe.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Clique na guia Configuraes para examinar as configuraes do GPO.
8. Expanda Configuraes de Segurana e Diretivas Locais/Atribuio de
Direitos de Usurio.
9. Confirme que os grupos BUILTIN\Administradores e CONTOSO\SYS_rea
de Trabalho Remota do DC receberam o direito de usurio Permitir logon
pelos Servios de Terminal.
10. Expanda Grupos Restritos.
11. Confirme tambm que CONTOSO\SYS_rea de Trabalho Remota do DC
membro de BUILTIN\Usurios da rea de Trabalho Remota.
O GPO no aplicado a DCs (controladores de domnio) porque ainda no
est vinculado UO Domain Controllers. Neste laboratrio, no vincule o
GPO ao domnio, ao site ou a qualquer UO. Em um ambiente de produo,
voc dedicaria mais tempo examinando, configurando e testando
configuraes de segurana na diretiva de segurana antes de implant-la
como um GPO em controladores de domnio de produo.

Pergunta de reviso do laboratrio
Pergunta: Descreva a relao entre as configuraes de segurana em um servidor,
a Diretiva de Grupo Local, os modelos de segurana, o banco de dados usado em
Configurao e Anlise de Segurana, a diretiva de segurana criada pelo Assistente
de Configurao de Segurana e a Diretiva de Grupo baseada em domnio.
Resposta: Embora algumas configuraes de segurana possam ser modificadas
diretamente (por exemplo, ACLs do sistema de arquivos ou associao de grupo
local), muitas delas s podem ser configuradas diretamente em um sistema atravs
da Diretiva de Grupo Local. Os modelos de segurana permitem que voc crie uma
diretiva de segurana que pode ser facilmente transferida para outro sistema e,
atravs da Configurao e Anlise de Segurana, carregada em um banco de dados
que pode ser usado para analisar ou configurar um computador. O banco de dados
usado pela Configurao e Anlise de Segurana pode ser exportado para um
modelo de segurana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O Assistente de Configurao de Segurana a ferramenta mais recente que
permite a configurao baseada em funes de servios, configuraes de
segurana de rede, valores do Registro e diretivas de auditoria. Ele cria um arquivo
.xml que pode incorporar um modelo de segurana e, em seguida, ser aplicado a
outro sistema atravs do Assistente de Configurao de Segurana. O Assistente de
Configurao de Segurana permite que voc reverta uma diretiva de segurana
caso ela no gere os resultados desejados. Uma diretiva de segurana gerada pelo
Assistente de Configurao de Segurana pode ser transformada em um GPO
baseado em domnio, que, em seguida, poder ser aplicado a vrios servidores.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Gerenciamento do
software com o GPSI

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Gerenciamento do software com o GPSI L7-149

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Implantar software com o GPSI
concluso dos laboratrios anteriores. No entanto, caso no estejam, voc dever
concluir as etapas abaixo.
3. Inicie 10222A-SERVER01-A, mas no faa logon.
4. Aguarde at que SERVER01 conclua a inicializao antes de passar para a
prxima tarefa.

Tarefa 2: Crie uma pasta de distribuio de software
3. Na rvore de console, expanda o domnio contoso.com e a UO Groups e, em
seguida, clique na UO Application.
4. Clique com o boto direito do mouse na UO Application, aponte para Novo e
clique em Grupo.
5. Digite APP_Bloco de notas XML e pressione ENTER.
6. Na rvore de console, expanda o domnio contoso.com e a UO Servers e
clique na UO File.
7. No painel de detalhes, clique com o boto direito do mouse em SERVER01 e
clique em Gerenciar.
O console do Gerenciamento de Computador ser aberto, com foco no
SERVER01.
8. Na rvore de console, expanda Ferramentas do Sistema e Pastas
Compartilhadas. Em seguida, clique em Compartilhamentos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
9. Clique com o boto direito do mouse em Compartilhamentos e clique em
Novo Compartilhamento. O Assistente para Criar Pasta Compartilhada ser
exibido.
11. Na caixa Caminho da Pasta, digite C:\Software e clique em Avanar.
Ser exibida uma mensagem perguntando se voc deseja criar a pasta.
12. Clique em Sim.
13. Aceite o nome de compartilhamento padro, Software, e clique em Avanar.
14. Clique em Personalizar Permisses e, em seguida, clique no boto
Personalizar.
15. Clique na guia Segurana.
16. Clique em Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas ser exibida.
17. Clique em Editar.
18. Desmarque a opo Incluir permisses herdveis provenientes do pai deste
objeto.
Ser exibida uma caixa de dilogo perguntando se voc deseja copiar ou
remover permisses herdadas.
19. Clique em Copiar.
20. Selecione a primeira permisso atribuda ao grupo Usurios e clique em
Remover.
21. Selecione a permisso restante atribuda ao grupo Usurios e clique em
Remover.
22. Selecione a permisso atribuda ao Proprietrio Criador e clique em
Remover.
23. Clique em OK duas vezes para fechar as caixas de dilogo Configuraes de
Segurana Avanadas.
24. Na caixa de dilogo Personalizar Permisses, clique na guia Permisses de
Compartilhamento.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
25. Marque a caixa de seleo ao lado de Controle Total e, abaixo, marque
Permitir.
A prtica recomendada para gerenciamento de segurana configurar
permisses de privilgios mnimos na ACL do recurso, que tambm se aplicar
aos usurios, independentemente de como eles se conectam ao recurso; nesse
ponto, voc poder usar a permisso Controle Total na pasta compartilhada
SMB. O nvel de acesso resultante ser as permisses mais restritivas definidas
na ACL da pasta.
26. Clique em OK.
28. Clique em Concluir para fechar o assistente.
29. Clique em Iniciar e em Executar, digite \\SERVER01\c$ e pressione ENTER.
A caixa de dilogo Conectar a SERVER01 ser exibida.
30. Na caixa Nome de usurio, digite CONTOSO\Pat.Coleman Admin.
A janela do Windows Explorer ser aberta, com foco na raiz da unidade C no
SERVER01.
32. Abra a pasta Software.
33. No menu Arquivo, aponte para Novo e clique em Pasta.
Uma nova pasta ser criada e estar no "modo de renomeao".
34. Digite Bloco de notas XML e pressione ENTER.
35. Clique com o boto direito do mouse na pasta Bloco de notas XML e clique
em Propriedades.
38. Clique em Adicionar. A caixa de dilogo Selecionar Usurios, Computadores
ou Grupos ser exibida.
O grupo recebe a permisso padro Ler e Executar.
40. Clique em OK duas vezes para fechar todas as caixas de dilogo abertas.
41. Abra a pasta Bloco de notas XML.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
42. Abra a pasta D:\Labfiles\Lab07b em uma nova janela.
43. Clique com o boto direito do mouse em XMLNotepad.msi e clique em
Copiar.
44. Alterne para a janela do Windows Explorer exibindo
\\server01\c$\Software\Bloco de notas XML.
45. Clique com o boto direito do mouse no painel de detalhes vazio e clique em
Colar.
O Bloco de notas XML copiado para a pasta em SERVER01.
46. Feche todas as janelas abertas do Windows Explorer.
47. Feche o console de Gerenciamento do Computador.

Tarefa 3: Criar um GPO de implantao de software
4. Na caixa Nome, digite Bloco de notas XML e clique em OK.
5. Clique com o boto direito do mouse no GPO XML Notepad e clique em
Editar.
6. Na rvore de console, expanda Configurao do Computador, Diretivas e
Configuraes de Software e clique em Instalao de Software.
7. Clique com o boto direito do mouse em Instalao de Software, aponte para
Novo e clique em Pacote.
8. Na caixa de texto Nome do arquivo, digite o caminho de rede da pasta de
distribuio de software, \\server01\software\Bloco de notas XML, e
pressione ENTER.
9. Selecione o pacote do Windows Installer, XmlNotepad.msi, e clique em Abrir.
Aps alguns instantes, a caixa de dilogo Implantar Software ser exibida.
10. Clique em Avanado e em OK.
A caixa de dilogo Propriedades de Bloco de notas XML 2007 ser exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Na guia Geral, observe que o nome do pacote inclui a verso, Bloco de notas
XML 2007.
12. Clique na guia Implantao.
Observe que, ao implantar software nos computadores, Atribudo a nica
opo. Examine as opes que estariam disponveis se voc estivesse
atribuindo ou publicando o aplicativo para os usurios.
13. Selecione Desinstalar Este Aplicativo Quando Ele Ficar Fora do Escopo de
Gerenciamento.
14. Clique em OK.
15. Feche o GPME.
Objetos de Diretiva de Grupo e clique no GPO XML Notepad.
17. No painel de detalhes, clique na guia Escopo.
18. Na seo Filtragem de Segurana, selecione o grupo Usurios Autenticados
e clique em Remover. Voc ser solicitado a confirmar a escolha.
19. Clique em OK.
exibida.
Agora, o GPO filtrado para ser aplicado apenas ao grupo APP_Bloco de notas
XML. No entanto, as configuraes do GPO s sero aplicadas quando ele for
vinculado a uma UO, a um site ou ao domnio.
22. Na rvore de console, clique com o boto direito do mouse na UO Client
Computers e clique em Vincular com GPO Existente.
23. Selecione Bloco de notas XML na lista de GPOs e clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Implantar software em computadores
2. Na rvore de console, expanda Grupos e clique na UO Application.
3. No painel de detalhes, clique duas vezes em APP_Bloco de notas XML.
6. Clique no boto Tipos de Objeto.
7. Selecione Computadores e clique em OK.
8. Digite DESKTOP101 e pressione ENTER.
9. Clique em OK.
10. Inicie 10222A-DESKTOP101-A, mas no faa logon.

Tarefa 5: Confirmar a implantao bem-sucedida do software
3. Clique no boto Iniciar e em Todos os Programas.
4. Abra Bloco de notas XML.
Se o Bloco de notas XML no estiver instalado, reinicie DESKTOP101 e repita
as etapas de 2 a 4.

Observao: ao verificar a implantao do bloco de notas xml, talvez sejam necessrias
duas inicializaes para que a implantao tenha xito. Ou seja, se voc no vir o Bloco
de notas instalado, reinicie a mquina virtual. Talvez seja necessrio fazer isso algumas
vezes.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Atualizar aplicativos com o GPSI
Tarefa 1: Criar um pacote de atualizao usando o GPSI
2. Na rvore de console do Gerenciamento de Diretiva de Grupo, clique com o
boto direito do mouse no GPO XML Notepad no continer Objetos de
Diretiva de Grupo e clique em Editar.
O GPME ser aberto.
3. Na rvore de console, expanda Configurao do Computador, Diretivas e
Configuraes de Software e clique em Instalao de Software.
4. Clique com o boto direito do mouse em Instalao de Software, aponte para
Novo e clique em Pacote.
5. Na caixa de texto Nome do arquivo, digite o caminho de rede da pasta de
distribuio de software, \\server01\software\Bloco de notas XML, e
pressione ENTER.
Este exerccio usar o arquivo XmlNotepad.msi existente como se ele fosse
uma verso atualizada do Bloco de notas XML.
6. Selecione o pacote do Windows Installer, XmlNotepad.msi, e clique em Abrir.
A caixa de dilogo Implantar Software ser exibida.
7. Clique em Avanado e em OK.
8. Na guia Geral, altere o nome do pacote de modo a sugerir que ele a prxima
verso do aplicativo. Digite Bloco de notas XML 2010.
9. Clique na guia Implantao. Como voc est implantando o aplicativo em
computadores, Atribudo a nica opo de tipo de implantao.
10. Clique na guia Atualizaes.
12. Clique na opo Objeto de Diretiva de Grupo Atual.
13. Na lista Pacote a ser atualizado, selecione o pacote da verso anterior
simulada, Bloco de notas XML 2007.
14. Clique na opo Desinstalar o pacote existente e instalar o pacote de
atualizao.
15. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
16. Clique em OK.
Se essa fosse uma atualizao real, o novo pacote atualizaria a verso anterior
do aplicativo quando os clientes aplicassem o GPO XML Notepad. Como se
trata apenas de uma simulao, voc pode remover o pacote da atualizao
simulada.
17. Clique com o boto direito do mouse em Bloco de notas XML 2010, que voc
acabou de criar para simular uma atualizao, aponte para Todas as Tarefas e
selecione Remover.
18. Na caixa de dilogo Remover Software, clique em Desinstalar
imediatamente o software dos usurios e computadores e, em seguida,
clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Considere as permisses NTFS que voc aplicou s pastas Software e
Bloco de notas XML em SERVER01. Explique por que essas permisses de
privilgios mnimos so preferenciais em relao s permisses padro.
Resposta: As permisses padro em uma nova pasta NTFS incluem permisses
herdadas que no so de privilgios mnimos. Primeiro, o grupo USURIOS recebe
permisso para adicionar arquivos e pastas. Em uma pasta de distribuio de
software, somente os administradores que precisam adicionar novos aplicativos
devem poder adicionar arquivos e pastas. Segundo, a identidade especial
PROPRIETRIO CRIADOR recebe controle total. Isso significa que qualquer
pessoa que adiciona um arquivo ou pasta recebe uma permisso explcita que
permite o controle total, que pode ou no ser apropriado para cada arquivo ou
pasta adicionado a um ponto de implantao de software. Terceiro, o grupo
USURIOS tambm recebe permisso para ler todos os arquivos e pastas, o que
permitir que eles instalem qualquer software na pasta de distribuio de software.
Como a maioria dos softwares licenciada por computador ou por usurio, voc
pode melhorar a sua conformidade permitindo que somente um grupo
especificado leia os arquivos de instalao de cada aplicativo. A pasta SOFTWARE
(a raiz) concede acesso (controle total) somente aos Administradores e ao Sistema.
A subpasta do aplicativo, por exemplo, Bloco de notas XML, concede acesso de
leitura a um grupo que tem permisso para instalar o aplicativo, por exemplo,
APP_Bloco de notas XML. Esses usurios podem acessar a subpasta mesmo que
no tenham acesso pasta SOFTWARE. Por padro, o Windows concede a todos
os usurios autenticados o privilgio de "desviar pasta", que permite navegar at
uma subpasta especfica qual tenham acesso, mesmo que no tenham permisso
em uma pasta pai. As ACLs de privilgio mnimo usadas neste Laboratrio so um
perfeito exemplo do valor desse direito de usurio.
Pergunta: Considere os mtodos usados para definir o escopo da implantao do
Bloco de notas XML: atribuio do aplicativo aos computadores, filtragem do GPO
de modo a aplic-lo ao grupo APP_Bloco de notas XML que contm apenas
computadores e vinculao do GPO UO Client Computers. Por que essa
abordagem vantajosa na implantao da maioria dos softwares? Qual seria a
desvantagem em criar o escopo da implantao do software para os usurios, e no
para os computadores?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Resposta: A maioria dos softwares licenciada por computador. Por isso,
importante implantar esses aplicativos com escopo nos computadores, e no nos
usurios. O resultado o mesmo: o aplicativo implantado nos computadores dos
usurios que precisam dele. Se voc fosse implantar um aplicativo em usurios, ele
"acompanharia" os usurios em qualquer computador em que fizessem logon. Por
exemplo, se um usurio estivesse conectado a um computador da sala de reunio
ou ao computador de um colega, o aplicativo tambm seria instalado nesses
computadores. A criao do escopo para um grupo de computadores e a
vinculao do GPO a uma UO de alto nvel (ou at mesmo ao domnio)
proporcionar a voc flexibilidade mxima para implantar o aplicativo em
qualquer computador que precise dele.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio D: Auditoria do acesso
ao sistema de arquivos

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio D: Auditoria do acesso ao sistema de arquivos L7-161

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar permisses e configuraes de
auditoria
concluso dos laboratrios anteriores. No entanto, caso no estejam, voc dever
concluir as etapas abaixo.
3. Inicie 10222A-SERVER01-A, mas no faa logon no sistema.
4. Inicie 10222A-DESKTOP101-A, mas no faa logon.
5. Aguarde todas as mquinas virtuais conclurem a inicializao antes de passar
para a prxima tarefa.

Tarefa 2: Criar e proteger uma pasta compartilhada
clique na UO Role.
em Grupo.
5. Digite Consultores e pressione ENTER.
6. Clique duas vezes no grupo Consultores.
ser exibida.
9. Digite Mike.Danseglio e pressione ENTER.
10. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Clique em Iniciar e em Executar, digite \\SERVER01\c$ e pressione ENTER.
A caixa de dilogo Conectar a SERVER01 ser exibida.
A janela do Windows Explorer ser aberta, com foco na raiz da unidade C no
SERVER01.
14. Abra a pasta Dados.
15. No menu Arquivo, aponte para Novo e clique em Pasta.
Uma nova pasta ser criada no "modo de renomeao".
16. Digite Dados Confidenciais e pressione ENTER.
17. Clique com o boto direito do mouse em Dados Confidenciais e clique em
Propriedades.
21. Digite Consultores e clique em OK.
22. Marque a caixa de seleo Negar da permisso Controle Total.
23. Clique em Aplicar.
24. Clique em Sim para confirmar o uso de uma permisso Negar.
25. Clique em OK para fechar todas as caixas de dilogo abertas.

Tarefa 3: Definir configuraes de auditoria em uma pasta
1. Clique com o boto direito do mouse em Dados Confidenciais e clique em
Propriedades.
3. Clique em Avanadas.
4. Clique na guia Auditoria.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Digite Consultores e clique em OK.
8. Na caixa de dilogo Entrada de Auditoria, marque a caixa de seleo em
Falhou, ao lado de Controle Total.
9. Clique em OK para fechar todas as caixas de dilogo abertas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Configurar diretiva de auditoria
Tarefa 1: Habilitar a auditoria do acesso ao sistema de arquivos usando
a Diretiva de Grupo
4. Na caixa Nome, digite Auditoria do Servidor de Arquivos e clique em OK.
5. Clique com o boto direito do mouse no GPO File Server Auditing e clique
em Editar.
O GPME ser aberto.
Configuraes do Windows, Configuraes de Segurana e Diretivas
Locais e clique em Diretiva de Auditoria.
7. Clique duas vezes em Auditoria de acesso a objetos.
8. Selecione Definir estas configuraes de diretivas.
9. Marque a caixa de seleo Falha.
10. Clique em OK.
11. Feche o GPME.
12. Na rvore de console do GPMC, expanda a UO Servers e clique na UO File.
13. Clique com o boto direito do mouse na UO File e clique em Vincular com
GPO Existente.
14. Selecione Auditoria do Servidor de Arquivos e clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Examinar eventos de auditoria
Tarefa 1: Gerar eventos de auditoria
1. Alterne para SERVER01.
4. Digite gpupdate.exe /force e pressione ENTER.
6. Faa logon em DESKTOP101 como Mike.Danseglio com a senha Pa$$w0rd.
7. Clique em Iniciar. Na caixa Iniciar Pesquisa, digite \\server01\data\Dados
Confidenciais e pressione ENTER.
Ser exibida uma mensagem informando que o Windows no conseguiu
acessar \\server01\data\Dados Confidenciais.

Tarefa 2: Examinar mensagens de log de eventos de auditoria
2. Execute o Visualizar Eventos com credenciais administrativas. Use a conta
3. Na rvore de console, expanda Logs do Windows e clique em Segurana.
4. Localize os eventos de falha de auditoria relacionados ao acesso de
Mike Danseglio pasta Dados Confidenciais.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Quais so as trs principais etapas necessrias para configurar a
auditoria do sistema de arquivos e outro acesso a objeto?
Resposta: 1) Definir as configuraes de auditoria na SACL (ACL do sistema) do
arquivo/pasta. 2) Habilitar a diretiva de auditoria para acesso a objetos em um
GPO com escopo no servidor. 3) Examinar as entradas de auditoria do log de
eventos.
Pergunta: Quais sistemas devem ter a auditoria configurada? Existe algum motivo
para no realizar a auditoria de todos os sistemas da sua empresa? Quais tipos de
acesso devem passar por auditoria e por quem eles devem ser auditados? Existe
algum motivo para no realizar a auditoria de todos os acessos realizados por
todos os usurios?
Resposta: A auditoria deve refletir as diretivas de uso e segurana de TI. A
auditoria no apenas sobrecarrega (um pouco) o desempenho de um sistema, mas
tambm gera um rudo excessivo, que pode tornar a localizao dos eventos
importantes ainda mais difcil. Qual auditoria ser feita, quem realizar a
auditoria e quando ela ser feita so pontos que devem estar alinhados ao motivo
pelo qual a auditoria est sendo executada, conforme orientado pelos seus
requisitos de negcios.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Delegao de administrao L8-169
Mdulo 8: Administrao segura
Laboratrio A: Delegao de
administrao

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L8-170 Mdulo 8: Administrao segura

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Delegar permisso para criar e dar suporte a
contas de usurio
4. Execute Lab08a_Setup.bat usando credenciais administrativas. Use a conta

Tarefa 2: Criar grupos de segurana para gerenciamento baseado em
funo
1. Em HQDC01, clique em Iniciar >Ferramentas Administrativas e execute
Usurios e Computadores do Active Directory com credenciais
clique na UO Role.
em Grupo.
4. Em Nome do grupo, digite Suporte Tcnico.
5. Verifique se Escopo do grupo global e se Tipo de grupo Segurana.
6. Clique em OK.
7. Repita as etapas de 3 a 5 para criar um grupo de segurana global chamado
Admins. de Conta de Usurio.
8. Clique com o boto direito do mouse em Suporte Tcnico e clique em
Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Digite Aaron.Painter_Admin; Elly.Nkya_Admin;
Julian.Price_Admin;Holly.Dickson_Admin e pressione ENTER.
12. Clique em OK para fechar a caixa de dilogo Propriedades do grupo.
13. Clique com o boto direito do mouse em Admins. de Conta de Usurio e
16. Digite Pat.Coleman Admin;April.Meyer_Admin;Max.Stevens_Admin e
pressione ENTER.
19. Na rvore de console, expanda as UOs Admins e Admin Groups e clique em
AD Delegation.
20. Clique com o boto direito do mouse em AD Delegation, aponte para Novo e
clique em Grupo.
21. Em Nome do grupo, digite AD_Contas de Usurio_Suporte.
22. Em Escopo do grupo, clique em Domnio local.
23. Verifique se Tipo de grupo Segurana.
24. Clique em OK.
25. Clique com o boto direito do mouse em AD Delegation, aponte para Novo e
clique em Grupo.
26. Em Nome do grupo, digite AD_Contas de Usurio_Controle Total.
27. Em Escopo do grupo, clique em Domnio local.
28. Verifique se Tipo de grupo Segurana.
29. Clique em OK.
30. Clique com o boto direito do mouse em AD_Contas de Usurio_Suporte e
33. Digite Suporte Tcnico e pressione ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
35. Clique com o boto direito do mouse em AD_Contas de Usurio_Controle
Total e clique em Propriedades.
38. Digite Admins. de Conta de Usurio e pressione ENTER.

Tarefa 3: Delegar controle de suporte ao usurio com o Assistente
para Delegao de Controle
1. Na rvore de console, clique com o boto direito do mouse na UO User
Accounts e clique em Delegar Controle.
A pgina Bem-vindo ao Assistente para Delegao de Controle ser exibida.
3. Na pgina Usurios ou Grupos, clique no boto Adicionar.
exibida.
4. Digite AD_Contas de Usurio_Suporte, e pressione ENTER.
6. Na pgina Tarefas a Delegar, marque a caixa de seleo Redefinir senhas de
usurio e forar alterao no prximo logon.
8. Na pgina Concluindo o Assistente para Delegao de Controle, clique em
Concluir.

Tarefa 4: Delegar permisso para criar e excluir usurios com a
interface do Editor de Listas de Controle de Acesso
1. Clique no menu Exibir e selecione Recursos Avanados para que a opo
Recursos Avanados seja habilitada.
2. Na rvore de console, clique com o boto direito do mouse na UO User
Accounts e clique em Propriedades.
A caixa de dilogo Propriedades de Contas de Usurio ser exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A caixa de dilogo Configuraes de Segurana Avanadas de Contas de
Usurio ser exibida.
exibida.
6. Digite AD_Contas de Usurio_Controle Total e pressione ENTER.
A caixa de dilogo Entrada de Permisso para Contas de Usurio ser exibida.
7. Na lista Aplicar a, selecione Este objeto e todos os descendentes.
8. Na lista Permisses, marque a caixa de seleo Permitir ao lado de Criar
objetos de Usurio.
9. Na lista Permisses, marque a caixa de seleo Permitir ao lado de Excluir
Usurio objetos.
10. Clique em OK.
exibida.
12. Digite AD_Contas de Usurio_Controle Total e pressione ENTER.
A caixa de dilogo Entrada de Permisso para Contas de Usurio ser exibida.
13. Na lista Aplicar a, selecione Usurio objetos descendentes.
14. Na lista Permisses, marque a caixa de seleo Permitir ao lado de Controle
total.
15. Clique em OK.
16. Clique em OK para fechar cada caixa de dilogo que ainda est aberta.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5: Validar a implementao de delegao
administrativas. Use a conta Aaron.Painter_Admin com a senha Pa$$w0rd.
4. No painel de detalhes, clique com o boto direito do mouse em Jeff Ford e
clique em Redefinir Senha.
A caixa de dilogo Redefinir Senha ser exibida.
5. Em Nova senha, digite Pa$$w0rd.
6. Em Confirmar senha, digite Pa$$w0rd.
7. Observe que a caixa de seleo O usurio deve alterar a senha no prximo
logon est desmarcada.
8. Clique em OK.
A seguinte mensagem ser exibida: A senha de Jeff Ford foi alterada.
9. Clique em OK.
10. Clique com o boto direito do mouse em Jeff Ford e clique em Desabilitar
Conta. A seguinte mensagem ser exibida: O Windows no pode desabilitar o
objeto Jeff Ford: direitos de acesso insuficientes para executar a operao.
11. Clique em OK.
12. Na rvore de console, expanda o domnio contoso.com e a UO Admins e
clique na UO Admin Identities.
13. No painel de detalhes, clique com o boto direito do mouse em Pat Coleman
(Administrador) e clique em Redefinir Senha.
A caixa de dilogo Redefinir Senha ser exibida.
14. Em Nova senha, digite Pa$$w0rd.
16. Observe que a caixa de seleo O usurio deve alterar a senha no prximo
logon est desmarcada.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
17. Clique em OK.
A seguinte mensagem ser exibida: O Windows no pode concluir a alterao
da senha de Pat Coleman (Administrador): O acesso foi negado.
administrativas. Use a conta April.Meyer_Admin com a senha Pa$$w0rd.
Accounts e clique em Employees.
21. Clique com o boto direito do mouse em Funcionrios, aponte para Novo e
clique em Usurio. A caixa de dilogo Novo Objeto - Usurio ser exibida.
22. Em Nome, digite seu nome.
23. Em Sobrenome, digite seu sobrenome.
24. Em Nome de logon do usurio, digite um nome de usurio para voc
conforme o padro de nomenclatura Nome.Sobrenome.
Observe que os nomes de logon de usurio s podem ter 20 caracteres.
Se for exibida uma mensagem indicando que j existe outra conta de usurio
com o mesmo nome, altere o nome de logon do usurio adicionando _10222
ao final do nome para que ele seja exclusivo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Exibir permisses delegadas
Tarefa 1: Exibir permisses nas interfaces do Editor de Listas de
Controle de Acesso
2. Na rvore de console, expanda o domnio contoso.com e clique na UO User
Accounts.
3. Clique com o boto direito do mouse na UO User Accounts e clique em
Propriedades.
Se voc no vir a guia Segurana, feche a caixa de dilogo. Clique no menu
Exibir do console do MMC e verifique se a opo Recursos Avanados est
selecionada. Em seguida, abra as propriedades do objeto novamente.
Usurio ser exibida.
6. Clique no cabealho de coluna Nome para que a coluna Nome seja
classificada em ordem alfabtica.
Pergunta: Quantas entradas de permisso o Assistente para Delegao de Controle
criou para o grupo AD_Contas de Usurio_Suporte? fcil enumerar quais
permisses foram atribudas na lista Entradas de Permisso? Liste as permisses
atribudas a AD_Contas de Usurio_Suporte.
Resposta: Duas entradas de permisso aparecem na lista. No fcil dizer
exatamente que permisses foram atribudas na lista: uma entrada informa
"Especial" e a outra no contm nada na coluna Permisso. Clicar em Editar na
permisso Especial mostra que se trata de Redefinir Senha. Clicar em Editar na
outra permisso mostra que se trata de Ler pwdLastSet e Gravar pwdLastSet.
7. Clique em Cancelar para fechar todas as caixas de dilogo abertas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Relatar permisses usando o DSACLs
1. Clique em Iniciar e em Prompt de Comando.
2. Digite o comando dsacls "ou=Contas de Usurio,dc=contoso,dc=com" e
pressione ENTER.

Pergunta: Que permisses so relatadas para AD_Contas de Usurio_Suporte pelo
comando DSACLs?
Resposta: As DSACLs reportam as seguintes permisses para AD_Contas de
Usurio_Suporte:
ACESSO ESPECIAL para pwdLastSet: PROPRIEDADE DE GRAVAO e
PROPRIEDADE DE LEITURA
Redefinir Senha
Tarefa 3: Avaliar permisses efetivas
expanda o domnio contoso.com e a UO User Accounts.
Propriedades.
Usurio ser exibida.
5. Clique na guia Permisses Efetivas.
6. Clique no boto Selecionar.
exibida.
7. Digite April.Meyer_Admin e pressione ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. Localize as permisses Criar objetos de Usurio e Excluir Usurio objetos,
aproximadamente na metade da lista Permisses efetivas.
Pergunta: voc v a permisso Redefinir Senha nesta lista?
Resposta: No. Uma pergunta da Reviso do laboratrio, ao final deste laboratrio,
explicar por que a permisso no exibida.
11. No painel de detalhes, clique com o boto direito do mouse em Aaron Lee e
A caixa de dilogo Propriedades de Aaron Lee ser exibida.
A caixa de dilogo Configuraes de Segurana Avanadas de Aaron Lee ser
exibida.
14. Clique na guia Permisses Efetivas.
15. Clique no boto Selecionar
exibida.
16. Digite Aaron.Painter_Admin e pressione ENTER.
17. Localize a permisso Redefinir Senha na lista Permisses Efetivas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Remover e redefinir permisses
Tarefa 1: Remover as permisses atribudas a AD_Contas de
Usurio_Suporte
Accounts.
Propriedades.
Usurio ser exibida.
5. Clique no cabealho de coluna Nome para que a coluna Nome seja
classificada em ordem alfabtica.
6. Selecione a primeira permisso atribuda a AD_Contas de Usurio_Suporte e
clique em Remover.
7. Selecione a permisso restante atribuda a AD_Contas de Usurio_Suporte e
clique em Remover.
8. Clique em OK para fechar as caixas de dilogo que ainda esto abertas.

Tarefa 2: Restaurar as permisses padro da UO User Accounts
Accounts.
Propriedades.
Usurio ser exibida.
5. Clique em Restaurar padres e em Aplicar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

porque as configuraes definidas aqui sero usadas no prximo laboratrio.
Pergunta: O que acontece quando voc clica em Restaurar padres? Que
permisses so mantidas?
Resposta: Todas as permisses explcitas personalizadas so removidas. O que
permanece so as permisses padro explicitamente atribudas a qualquer objeto
de UO novo, conforme definido pelo Esquema do Active Directory. Alm disso, as
permisses herdadas de objetos pai so aplicadas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Auditoria Alteraes
no Active Directory

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Auditoria Alteraes no Active Directory L8-183

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Auditar alteraes feitas no Active Directory
usando a diretiva de auditoria padro

Tarefa 2: Confirmar que o grupo Administradores de Domnio est
configurado para auditar alteraes feitas em sua associao
Users.
3. Clique com o boto direito do mouse no grupo Admins. do Domnio e clique
em Propriedades.
A caixa de dilogo Propriedades de Admins. do Domnio ser exibida.
Se voc no vir a guia Segurana, feche a caixa de dilogo. Clique no menu
Exibir do console do MMC e verifique se a opo Recursos Avanados est
selecionada. Em seguida, abra as propriedades do objeto novamente.
A caixa de dilogo Configuraes de Segurana Avanadas de Admins. do
Domnio ser exibida.
6. Clique na guia Auditoria.
7. Selecione a primeira entrada de auditoria, cuja coluna Acesso Especial e
clique em Editar.
A caixa de dilogo Entrada de Auditoria para Admins. do Domnio ser
exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. Localize a entrada que especifica a auditoria de tentativas bem-sucedidas de
modificar propriedades do grupo, como associao.
Pergunta: Qual a Entrada de Auditoria que atinge este objetivo?
Resposta: Tentativas bem-sucedidas de Gravar todas as propriedades pelo grupo
Todos.
9. Clique em Cancelar para cada caixa de dilogo aberta.

Tarefa 3: Fazer uma alterao na associao do Administradores de
Domnio
em Propriedades.
4. Digite Stuart.Munson, e pressione ENTER.
5. Clique em Aplicar para aplicar a alterao.
6. Selecione Stuart Munson.
Uma mensagem pedindo para voc confirmar a remoo ser exibida.
8. Clique em Sim.
9. Clique em OK para fechar a caixa de dilogo Propriedades de Admins. do
Domnio.
10. Tome nota do horrio em que voc fez as alteraes. Isso facilitar localizar as
entradas de auditoria nos logs de eventos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Examinar os eventos que foram gerados
1. Execute Visualizador de Eventos com credenciais administrativas. Use a
3. Role a lista at localizar os eventos que ocorreram perto do horrio em que
voc fez as alteraes em Admins. do Domnio. Voc dever ver os eventos
que no so relacionados a logon, logoff ou Kerberos (autenticao).
Pergunta: Qual a ID de Evento do evento registrado em log quando voc fez as
alteraes? Qual a Categoria da Tarefa?
Resposta: 4662. Acesso ao Servio de Diretrio.
Pergunta: Examine as informaes fornecidas na guia Geral. Voc consegue
identificar os itens a seguir na entrada do log de eventos?
Quem fez a alterao?
Quando a alterao foi feita?
Que objeto foi alterado?
Que tipo de acesso foi realizado?
Que atributo foi alterado? Qual a identificao do atributo alterado?
Que alterao foi feita nesse atributo?
Resposta: Voc poder identificar que um usurio (Pat.Coleman Admin) acessou
um objeto (Admins. do Domnio) e usou um acesso Propriedade de Gravao. O
horrio da alterao exibido. A propriedade em si exibida como um GUID
(identificador global exclusivo) no possvel identificar prontamente que a
propriedade Membros foi alterada. O evento tambm no detalha a alterao exata
que foi feita na propriedade.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Auditar alteraes feitas no Active Directory
usando a auditoria Alteraes no Servio de Diretrio
Tarefa 1: Habilitar a auditoria Alteraes nos Servios de Diretrio
1. Execute Prompt de Comando com credenciais administrativas. Use a conta
2. Digite o comando a seguir e pressione ENTER:
auditpol /set /subcategory:"directory service changes"
/success:enable

Tarefa 2: Fazer uma alterao na associao do Administradores de
Domnio
Users.
em Propriedades.
6. Digite Stuart.Munson, e pressione ENTER.
7. Clique em Aplicar para aplicar a alterao.
8. Selecione Stuart Munson.
Uma mensagem pedindo para voc confirmar a remoo ser exibida.
10. Clique em Sim.
11. Clique em OK para fechar a caixa de dilogo Propriedades de Admins. do
Domnio.
12. Tome nota do horrio em que voc fez as alteraes. Isso facilitar localizar as
entradas de auditoria nos logs de eventos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Examinar os eventos que foram gerados
1. Alterne para o Visualizador de Eventos.
3. Clique com o boto direito do mouse em Segurana e clique em Atualizar.
4. Role a lista at localizar os eventos que ocorreram perto do horrio em que
voc fez as alteraes em Admins. do Domnio. Voc dever ver eventos
diferentes daqueles vistos na tarefa anterior.

Pergunta: Quais so as IDs de Evento do evento registrado no log quando voc fez
as alteraes? Qual a Categoria da Tarefa?
Resposta: Adicionar um membro o evento 4728. Remover um membro o
evento 4729. Ambos os eventos esto na Categoria de Tarefa Gerenciamento de
Grupo de Segurana.
Pergunta: Examine as informaes fornecidas na guia Geral. Voc consegue
identificar os itens a seguir na entrada do log de eventos?
Que tipo de alterao foi feita?
Quem fez a alterao?
Qual membro foi adicionado ou removido?
Que grupo foi afetado?
Quando a alterao foi feita?
Resposta: possvel identificar que um membro foi adicionado ou removido, que
Pat.Coleman Admin fez a alterao, que Stuart Munson o membro que foi
adicionado ou removido e que a alterao foi feita no grupo Admins. do Domnio.
Os metadados do evento tambm mostram quando ocorreu a alterao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Configurao de diretivas de senha e de bloqueio de conta L9-189
Mdulo 9: Aperfeioamento da segurana da
autenticao em um domnio do AD DS
(Servios de Domnio Active Directory)
Laboratrio A: Configurao de
diretivas de senha e de bloqueio
de conta

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L9-190 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)

Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar diretivas de senha e bloqueio de
domnio

Tarefa 2: Configurar as diretivas de conta de domnio
1. Execute Gerenciamento de Diretiva de Grupo com credenciais
contoso.com.
3. Clique com o boto direito do mouse em Default Domain Policy abaixo do
domnio contoso.com e clique em Editar.
Talvez voc receba um lembrete de que est alterando as configuraes de um
GPO. Nesse caso, clique em OK.
O GPME ser aberto.
Configuraes do Windows, Configuraes de Segurana e Diretivas de
Conta. Em seguida, clique em Diretiva de Senha.
5. Clique duas vezes nas configuraes de diretiva a seguir no painel de detalhes
do console e defina as configuraes como indicado:
Tempo de vida mximo da senha: 90 dias
Comprimento mnimo da senha: 10 caracteres
6 Na rvore de console, clique em Diretiva de Bloqueio de Conta.
7. Clique duas vezes na configurao de diretiva Limite de bloqueio de conta e
configure-a para5 tentativas invlidas de logon. Em seguida, clique em OK.
A janela Alteraes de Valor Sugeridas ser exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

8. Clique em OK.
Os valores para Limite de bloqueio de conta e Zerar contador de bloqueios de
conta aps sero automaticamente definidos como 30 minutos.
9. Feche a janela Editor de Gerenciamento da Diretiva de Grupo.
10. Feche a janela Gerenciamento de Diretiva de Grupo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Configurar diretiva de senha refinada
Tarefa 1: Criar um PSO
boto direito do mouse em ADSI Editar e clique em Executar como
administrador.
4. Na caixa Senha, digite Pa$$w0rd e pressione ENTER. O ADSI Editar ser
aberto.
5. Clique com o boto direito do mouse em ADSI Editar e clique em Conectar a.
6. Aceite todos os padres. Clique em OK.
7. Na rvore de console, clique em Contexto de Nomenclatura Padro.
8. Na rvore de console, expanda Contexto de Nomenclatura Padro e clique
em DC=contoso,DC=com.
9. Na rvore de console, expanda DC=contoso,DC=com e clique em
CN=System.
10. Na rvore de console, expanda CN=System e clique em CN=Password
Settings Container.
Todos os PSOs so criados e armazenados no PSC (Password Settings
Container).
11. Clique com o boto direito do mouse em PSC, aponte para Novo e clique em
Objeto.
A caixa de dilogo Criar Objeto ser exibida. Ela solicita que voc selecione o
tipo de objeto a ser criado. H somente uma opo: msDS-PasswordSettings, o
nome tcnico da classe de objeto conhecida como PSO.
Em seguida, ser solicitado que voc fornea o valor para cada atributo de um
PSO. Os atributos so semelhantes aos encontrados nas diretivas de conta de
domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

13. Configure cada atributo conforme indicado abaixo. Clique em Avanar aps
cada atributo.
cn: PSO Meu admin do domnio. Este o nome comum do PSO.
msDS-PasswordSettingsPrecedence: 1. Esse PSO tem a maior precedncia
possvel.
msDS-PasswordReversibleEncryptionEnabled: False. A senha no
armazenada usando criptografia reversvel.
msDS-PasswordHistoryLength: 30. O usurio no pode reutilizar nenhuma
das ltimas 30 senhas.
msDS-PasswordComplexityEnabled: True. As regras de complexidade de
senha so impostas.
msDS-MinimumPasswordLength: 15. As senhas devem ter 15 caracteres, no
mnimo.
msDS-MinimumPasswordAge: 1:00:00:00. Um usurio no pode alterar sua
senha com menos de um dia da alterao anterior. O formato
d:hh:mm:ss (dias, horas, minutos, segundos).
msDS-MaximumPasswordAge: 45:00:00:00. A senha deve ser alterada a
cada 45 dias.
msDS-LockoutThreshold: 5. Cinco logons invlidos no intervalo de tempo
especificado por XXX (o prximo atributo) resultaro no bloqueio da
conta.
msDS-LockoutObservationWindow: 0:01:00:00. Cinco logons invlidos
(especificados pelo atributo anterior) em uma hora resultaro no bloqueio
da conta.
msDS-LockoutDuration: 1:00:00:00. Uma conta, se bloqueada,
permanecer assim por um dia ou at que seja desbloqueada
manualmente. Um valor igual a zero resultar na permanncia do
bloqueio da conta at que um administrador a desbloqueie.
15. Feche o ADSI Editar.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Vincular um PSO a um grupo
2. Na rvore de console, expanda o continer System.
Se o continer System no for exibido, clique no menu Exibir do console MMC
e verifique se a opo Recursos Avanados est selecionada.
3. Na rvore de console, clique em Password Settings Container.
4. Clique com o boto direito do mouse em PSO Meu admin do domnio e
clique em Propriedades e na guia Editor de Atributos.
5. Na lista Atributos, selecione msDS-PSOAppliesTo e clique em Editar.
A caixa de dilogo Nome Diferenciado com Valores Mltiplos com Editor de
Entidades de Segurana ser exibida.
6. Clique em Adicionar Conta do Windows.
exibida.
7. Digite Admins. do domnio e pressione ENTER.
8. Clique em OK duas vezes para fechar as caixas de dilogo abertas.

Tarefa 3: Identificar o PSO Resultante para um usurio
1. Na rvore de console, expanda o domnio contoso.com e a UO Admins e
clique na UO Admin Identities.
2. Clique com o boto direito do mouse em Pat Coleman (Administrador) e
4. Clique no boto Filtro e depois na opo Criado, para que ele seja
selecionado.
O atributo que voc localizar na prxima etapa um atributo construdo, o
que significa que o PSO resultante no um atributo embutido em cdigo de
um usurio, mas sim que calculado examinando-se os PSOs vinculados a um
usurio em tempo real.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Pergunta: Qual o PSO resultante para Pat Coleman (Administrador)?
Resposta: Abra o valor do atributo msDS-ResultantPSO. O PSO resultante PSO
Meu admin do domnio, que exibido por meio de seu respectivo nome
diferenciado (DN), CN=PSO My Domain Admins,CN=Password Settings
Container,CN=System,DC=contoso,DC=com.

Tarefa 4: Excluir um PSO
1. Feche as caixas de dilogo abertas em Usurios e Computadores do Active
Directory.
2. Na rvore de console, expanda o domnio contoso.com e o continer System
e clique em Password Settings Container.
3. Clique com o boto direito do mouse em PSO Meu admin do domnio e
clique em Excluir.
Um prompt de confirmao ser exibido.
4. Clique em Sim.

Observao: no desligue a mquina virtual ao concluir este laboratrio, pois as
Pergunta: Onde voc deve definir as diretivas padro de senha e de bloqueio de
conta para contas de usurio no domnio?
Resposta: Configure as diretivas de senha e de bloqueio de conta da linha de base
no GPO Default Domain Policy.
Pergunta: Quais so as prticas recomendadas para gerenciar PSOs em um
domnio?
Resposta: Cada PSO deve definir totalmente as diretivas de senha e de bloqueio de
conta apropriadas, pois os PSOs no podem ser "mesclados". Vincule os PSOs a
grupos globais, e no a contas de usurio individuais. Verifique se cada PSO tem
um valor de precedncia exclusivo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Como voc pode definir uma diretiva de senha exclusiva para todas as
contas de servio na UO Service Accounts?
Resposta: Os PSOs no podem ser vinculados a uma UO. Voc deve primeiro criar
um grupo global que contenha as contas existentes na UO Service Accounts e
depois criar e vincular um PSO a esse grupo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Laboratrio B: Auditoria de
autenticao

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Auditoria de autenticao L9-199

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 1: Fazer a auditoria de autenticao
A mquina virtual necessria para este laboratrio j deve estar iniciada e
disponvel aps a concluso do Laboratrio A. Caso no esteja, siga as etapas
abaixo e execute os exerccios 1 e 2 no Laboratrio A.

Tarefa 2: Configurar a auditoria dos eventos de logon de conta
1. Execute Gerenciamento de Diretiva de Grupo com credenciais
2. Na rvore de console, expanda Forest:contoso.com, Domnios, contoso.com
e a UO Domain Controllers.
3. Clique com o boto direito do mouse em Default Domain Controllers Policy
e clique em Editar.
O GPME ser exibido.
5. Clique duas vezes em Eventos de logon de conta de auditoria.
6. Marque a caixa de seleo Definir estas configuraes de diretivas.
7. Marque as caixas de seleo xito e Falha. Clique em OK.
8. Feche o Editor de Gerenciamento de Diretiva de Grupo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Configurar a auditoria dos eventos de logon
1. Na rvore de console de Gerenciamento de Diretiva de Grupo, expanda
Floresta, Domnios, contoso.com e a UO Servers e clique na UO Important
Project.
2. Clique com o boto direito do mouse na UO Important Project e clique em
Criar um GPO neste domnio e fornecer um link para ele aqui.
3. Na caixa Nome, digite Diretiva de Bloqueio de Servidor e clique em OK.
4. Na rvore de console, expanda a UO Important Project.
5. Na rvore de console, clique com o boto direito do mouse no link para o
GPO de Diretiva de Bloqueio de Servidor e clique em Editar.
O GPME ser exibido.
7. Clique duas vezes em Eventos de logon de auditoria.
8. Marque a caixa de seleo Definir estas configuraes de diretivas.
9. Marque as caixas de seleo xito e Falha. Clique em OK.
10. Feche o GPME.
11. Feche o Gerenciamento de Diretiva de Grupo.

Tarefa 4: Impor uma Diretiva de Grupo atualizada
1. Inicie 10222A-SERVER01-A.
Quando o computador for iniciado, as alteraes feitas na Diretiva de Grupo
sero aplicadas.
4. Digite gpupdate.exe /force.
Esse comando faz com que HQDC01 atualize suas diretivas; nesse momento,
as novas configuraes de auditoria entraro em vigor.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Tarefa 5: Gerar eventos de logon de conta
2. Pressione ALT+DELETE, que envia a sequncia de teclas segura
3. Clique em Trocar Usurio e em Outro Usurio.
4. Na caixa Nome de usurio, digite Pat.Coleman.
5. Na caixa Senha, digite NotMyPassword e pressione ENTER.
A seguinte mensagem ser exibida: Nome de usurio ou senha incorretos.
6. Clique em OK.

Tarefa 6: Examinar eventos de logon de conta
2. Execute o Visualizador de Eventos com credenciais administrativas. Use a
3. Na rvore de console, expanda Logs do Windows e clique em Security.
4. Examine a primeira coluna para identificar eventos de falha e depois a segunda
para ver a data e a hora dos eventos. Dever aparecer apenas um evento de
falha, registrado no momento em que voc fez logon incorretamente.
Pergunta: Qual ID de evento est associada aos eventos de falha de logon de
conta? (Dica: procure os primeiros de uma srie de eventos de falha no momento
que voc fez logon incorretamente em SERVER01.)
Resposta: 4771: Falha na pr-autenticao do Kerberos.
5. Procure o evento de autenticao do Kerberos ocorrido aps o logon incorreto.
Deve ser um evento bem-sucedido gerado quando voc fez logon com xito.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Qual ID de evento est associada ao logon de conta bem-sucedido?
(Dica: procure os primeiros de uma srie de eventos no momento que voc fez
logon com xito em SERVER01.)
Resposta: 4768: Tquete de autenticao Kerberos solicitado.
Tarefa 7: Examinar eventos de logon
2. Execute o Visualizador de Eventos com credenciais administrativas. Use a
3. Na rvore de console, expanda Logs do Windows e clique em Security.
4. Examine a primeira coluna para identificar eventos de falha e depois a segunda
para ver a data e a hora dos eventos. Dever aparecer apenas um evento de
falha, registrado no momento em que voc fez logon incorretamente.
Pergunta: Qual ID de evento est associada aos eventos de falha de logon? (Dica:
procure os primeiros de uma srie de eventos de falha no momento que voc fez
logon incorretamente em SERVER01.)
Resposta: 4625: Falha no logon de uma conta.
5. Procure o evento de logon ocorrido aps o logon incorreto. Deve ser um
evento bem-sucedido gerado quando voc fez logon com xito.

Pergunta: Qual ID de evento est associada ao logon bem-sucedido? (Dica:
procure os primeiros de uma srie de eventos no momento que voc fez logon com
xito em SERVER01.)
Resposta: 4624: O logon de uma conta foi efetuado com sucesso. O evento 4648
tambm foi registrado. A informao no evento indica "Tentativa de logon com uso
de credenciais explcitas". Esse evento mostra a inicializao de um logon, mas o
evento 4624 que mostra o logon que realmente obteve xito.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Pergunta: Qual seria a desvantagem de auditar todos os logons bem-sucedidos e
malsucedidos em todas as mquinas no seu domnio?
Resposta: Tal diretiva de auditoria geraria uma quantidade enorme de entradas de
auditoria em cada mquina no domnio. Isso dificultaria muito o gerenciamento de
logs de eventos de segurana e a localizao de eventos que indiquem possveis
problemas. melhor alinhar a diretoria de auditoria a requisitos e objetivos de
auditoria bem orientados e especficos da sua organizao.
Pergunta: Foi solicitado que voc audite as tentativas de logon em desktops e
laptops na diviso de Finanas usando contas locais como Administrador. Que
tipo de diretiva de auditoria voc define e em que GPO(s)?
Resposta: Voc precisar habilitar a auditoria para eventos de logon de conta bem-
sucedidos e malsucedidos. Porm, como as contas nas quais voc est interessado
so locais (ou seja, so autenticadas pela autoridade de segurana local em cada
desktop e laptop), necessrio fazer isso em um GPO com escopo para aplicao
aos desktops e laptops da diviso de Finanas. As configuraes no precisam ter
escopo em controladores de domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Configurao de controladores de domnio somente leitura L9-205
Laboratrio C: Configurao de
controladores de domnio somente
leitura

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S


U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Instalar um RODC
A mquina virtual necessria para este laboratrio j deve estar iniciada e
disponvel aps a concluso do Laboratrio A. Caso no esteja, siga as etapas
abaixo.
4. Execute Lab09c_Setup.bat com credenciais administrativas. Use a conta

Tarefa 2: Preparar uma instalao delegada de um RODC
2. Na rvore de console, expanda o domnio contoso.com e clique na UO
Domain Controlllers.
3. Clique com o boto direito do mouse na UO Controladores de Domnio e
clique em Pr-criar conta do Controlador de Domnio Somente Leitura.
exibido.
5. Na pgina Compatibilidade de Sistema Operacional, clique em Avanar.
6. Na pgina Credenciais de Rede, clique em Avanar.
7. Na pgina Especifique o Nome do Computador, digite BRANCHDC01 e
clique em Avanar.
8. Na pgina Selecione um Site, clique em Avanar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

9. Na pgina Opes Adicionais de Controlador de Domnio, clique em
Avanar.
Observe que a opo Controlador de domnio somente leitura est selecionada
e no pode ser desmarcada. Isso ocorre porque, obviamente, voc iniciou o
assistente escolhendo criar previamente uma conta de controlador de domnio
somente leitura.
10. Na pgina Instalao e Administrao de Delegao de RODC, clique no
boto Definir.
A caixa de dilogo Selecionar Usurio ou Computador ser exibida.
11. Digite Aaron.Painter_Admin e pressione ENTER.
13. Examine suas selees na pgina Resumo e clique em Avanar.
14. Na pgina Concluindo o Assistente de Instalao dos Servios de Domnio
Active Directory, clique em Concluir.
Observe que, na coluna Tipo de Controlador de Domnio, o novo servidor est
listado como Conta de DC Desocupada (Somente leitura, GC).

Tarefa 3: Executar o Assistente de Instalao dos Servios de Domnio
Active Directory em um servidor de grupo de trabalho
1. Inicie 10222A-BRANCHDC01-A.
2. Faa logon em BRANCHDC01 como Administrador com a senha Pa$$w0rd.
3. Clique em Iniciar e em Executar.
4. Digite dcpromo e pressione ENTER.
Ser exibida uma janela informando que os binrios dos Servios de Domnio
Active Directory esto sendo instalados. Quando a instalao for concluda, o
Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
7. Na pgina Escolher uma Configurao de Implantao, clique na opo
Floresta existente, depois em Adicionar um controlador de domnio a um
domnio existente e, por ltimo, clique em Avanar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. Na pgina Credenciais de Rede, digite contoso.com.
9. Clique no boto Definir.
10. Na caixa Nome de Usurio, digite Aaron.Painter_Admin.
13. Na pgina Selecione um Domnio, escolha contoso.com e clique em Avanar.
Ser exibida uma mensagem para inform-lo de que suas credenciais no
pertencem ao grupo Administradores do Domnio ou Administradores de
Empresa. Como voc incluiu no pr-teste a administrao do RODC e a
delegou, poder continuar com as credenciais delegadas.
14. Clique em Sim.
Ser exibida uma mensagem para inform-lo de que a conta para
BRANCHDC01 foi includa no pr-teste no Active Directory como um RODC.
15. Clique em OK.
Ser exibida uma mensagem de aviso indicando que o computador tem um
endereo IP atribudo dinamicamente. BRANCHDC01 tem um endereo IPv6
atribudo dinamicamente, mas o servidor tem um endereo IPv4 fixo. Os
endereos IPv6 no esto sendo usados nesse curso, por isso voc pode
ignorar essa mensagem.
17. Na pgina Local de Banco de Dados, Arquivos de Log e SYSVOL, clique em
Avanar.
de Diretrio, digite Pa$$w0rd12345 nas caixas Senha e Confirmar senha e
clique em Avanar.
Em um ambiente de produo, voc deve atribuir uma senha complexa e
segura conta do Modo de Restaurao dos Servios de Diretrio.
Alm disso, observe que alteramos a diretiva de senha de domnio no
Laboratrio A e que a senha do modo de restaurao de servios de diretrio
(Pa$$w0rd) no mais suficientemente longa. Por isso, precisamos
acrescentar caracteres adicionais para atender ao requisito de comprimento
mnimo necessrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

19. Na pgina Resumo, clique em Avanar.
20. Na janela de progresso, marque a caixa de seleo Reinicializar ao Concluir.
Os Servios de Domnio Active Directory sero instalados no BRANCHDC01 e
o servidor ser reinicializado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Configurar a Diretiva de Replicao de Senha
Tarefa 1: Configurar a diretiva de replicao de senha em todo o
domnio
clique no continer Users.
3. Clique duas vezes em Grupo de Replicao de Senha RODC Permitido.
5. Examine a associao padro do Grupo de Replicao de Senha RODC
Permitido.
Pergunta: Quem so os membros padro do Grupo de Replicao de Senha RODC
Permitido?
Resposta: No h nenhum membro por padro.
6. Clique em OK.
7. Clique duas vezes em Grupo de Replicao de Senha RODC Negado.
Pergunta: Quem so os membros padro do Grupo de Replicao de Senha RODC
Negado?
Resposta: Grupos de segurana sigilosos, como Editores de Certificados,
Administradores de Domnio, Controladores de Domnio, Administradores de
Empresa, Proprietrios Criadores de Diretiva de Grupo, krbtgt, Controladores de
Domnio Somente Leitura e Administradores de Esquemas.
ser exibida.
10. Digite DNSAdmins e pressione ENTER.
11. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

12. Na rvore de console, clique na UO Domain Controllers.
13. Clique com o boto direito do mouse em BRANCHDC01 e clique em
Propriedades.
14. Clique na guia Diretiva de Replicao de Senha.
Pergunta: Qual a diretiva de replicao de senha para o Grupo de Replicao de
Senha RODC Permitido? E para o Grupo de Replicao de Senha RODC Negado?
Resposta: Permitir e Negar, respectivamente.
15. Clique em OK para fechar a caixa de dilogo.

Tarefa 2: Criar um grupo para gerenciar a replicao de senha no
RODC da filial
expanda Groups, e clique na UO Role.
2. Clique com o boto direito do mouse em Funo, aponte para Novo e clique
em Grupo.
3. No campo Nome do grupo:, digite Usurios da Filial e clique em OK.
4. Clique com o boto direito do mouse em Usurios da Filial e clique em
Propriedades.
5. Clique na guia Membros e depois no boto Adicionar.
6. Digite Anav.Silverman; Chris.Gallagher; Christa.Geller; Daniel.Roth e
clique em OK.
7. Clique em OK para fechar a caixa de dilogo Proprietrios de Usurios da
Filial.

Tarefa 3: Configurar a diretiva de replicao de senha para o RODC da
filial
Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5. Clique em Permitir a replicao de senhas da conta para este RODC e em
OK.
exibida.
6. Digite Usurios da Filial e pressione ENTER.
7. Clique em OK para fechar a caixa de dilogo Propriedades de
BRANCHDC01.

Tarefa 4: Avaliar a diretiva de replicao de senha resultante
Propriedades.
3. Clique no boto Avanado.
A caixa de dilogo Diretiva de Replicao de Senha Avanada para
BRANCHDC01 ser exibida.
4. Clique na guia Diretiva Resultante e no boto Adicionar.
A caixa de dilogo Selecionar Usurios ou Computadores ser exibida.
5. Digite Chris.Gallagher e pressione ENTER.
Pergunta: Qual a diretiva resultante para Chris.Gallagher?
Resposta: Permitir.
BRANCHDC01.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 3: Gerenciar o cache de credenciais
Tarefa 1: Monitorar o cache de credenciais
1. Alterne para BRANCHDC01.
2. Faa logon em BRANCHDC01 como Chris.Gallagher com a senha
Pa$$w0rd.
3. Clique em Iniciar, aponte para a seta ao lado do boto Bloquear e clique em
Fazer Logoff.
4. Faa logon em BRANCHDC01 como Mike.Danseglio com a senha Pa$$w0rd.
5. Clique em Iniciar, aponte para a seta ao lado do boto Bloquear e clique em
Fazer Logoff.
clique na UO Domain Controllers.
BRANCHDC01 e clique em Propriedades.
A guia Uso da Diretiva exibir Contas cujas senhas esto armazenadas neste
Controlador de Domnio Somente Leitura.
Pergunta: Que senhas de usurios esto armazenadas em cache no momento em
BRANCHDC01?
Resposta: O nico usurio cuja senha est armazenada em BRANCHDC01 Chris
Gallagher. H tambm as senhas para a conta de computador de BRANCHDC01
em si e a conta de servio Kerberos, krbtgt_xyz.
11. Na lista suspensa, selecione Contas que foram autenticadas para este
Controlador de Domnio Somente Leitura.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Quais usurios foram autenticados por BRANCHDC01?
Resposta: Mike Danseglio e Chris Gallagher.
12. Clique em Fechar e em OK.

Tarefa 2: Pr-popular o cache de credenciais
clique na UO Domain Controllers.
BRANCHDC01 e clique em Propriedades.
5. Clique no boto Pr-popular Senhas.
A caixa de dilogo Selecionar Usurios ou Computadores ser exibida.
6. Digite Christa Geller e clique em OK.
7. Clique em Sim para confirmar que deseja enviar as credenciais para o RODC.
A seguinte mensagem ser exibida: As senhas para todas as contas foram pr-
populadas com xito.
8. Na guia Uso da Diretiva, selecione Contas cujas senhas esto armazenadas
neste Controlador de Domnio Somente Leitura.
9. Localize a entrada para Christa Geller. Agora as credenciais de Christa esto
armazenadas no RODC.
11. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Pergunta: Por que voc deve garantir que a PRP do RODC de uma filial tenha, em
sua Lista de permisses, as contas dos computadores na filial, bem como dos
usurios?
Resposta: Os computadores devem fazer autenticao no domnio, assim como os
usurios, por isso a lgica a mesma: convm melhorar o desempenho da
autenticao pela WAN e garantir que essa autenticao possa continuar mesmo
que o link WAN esteja indisponvel.
Pergunta: Qual seria a forma mais gerencivel de garantir que os computadores
em uma filial estejam na Lista de permisses da PRP do RODC?
Resposta: Crie um grupo para computadores (por exemplo, Computadores da
Filial).
Pergunta: Quais so os prs e contras de pr-popular as credenciais de todos os
usurios e computadores de uma filial no RODC dessa filial?
Resposta: No h uma resposta bem definida para esta pergunta. Use-a para rever
a funo estratgica de um RODC. Pr-populando as credenciais de usurios (e
computadores) no cache do RODC da filial, voc garante que o desempenho da
autenticao seja maximizado (no primeiro logon; depois disso, a credencial seria
armazenada em cache de qualquer forma porque os usurios esto na Lista de
permisses) e que, se o link WAN estiver indisponvel no primeiro logon, os
usurios consigam se autenticar. A desvantagem que, caso haja uma violao da
segurana fsica no RODC, essas credenciais sero expostas mesmo que os
usurios ainda no tenham feito logon na filial.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Instalao do servio DNS L10-217
Mdulo 10: Configurao do DNS (Sistema de
Nomes de Domnio)
Laboratrio A: Instalao do
servio DNS

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L10-218 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Adicionar a funo de servidor DNS
2. Espere at que a inicializao seja concluda.
4. Faa logon em HQDC02-B como Pat.Coleman com a senha Pa$$w0rd.

Tarefa 2: Adicionar a funo de servidor DNS
1. Em HQDC02-B, clique no cone Gerenciador de Servidores ao lado do boto
Iniciar.
4. No painel de detalhes, em Resumo de Funes, clique em Adicionar Funes.
O Assistente para Adicionar Funes ser exibido.
5. Na pgina Antes de Comear, clique em Avanar.
6. Na lista Funes, clique em Servidor DNS e em Avanar.
7. Leia as informaes na pgina Servidor DNS e clique em Avanar.
8. Na pgina Confirmar Selees de Instalao, verifique se a funo Servidor
DNS ser instalada e clique em Instalar.
9. Na pgina Resultados da Instalao, clique em Fechar.
11. Reinicie HQDC02-B.
Isso no necessrio em um ambiente de produo, mas acelera o processo de
reincio dos servios e de replicao dos registros DNS no HQDC02-B para os
objetivos deste exerccio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Alterar a configurao do servidor DNS do cliente DNS
2. Digite netsh interface ipv4 set dnsserver "Conexo Local" static 10.0.0.12
primary e pressione ENTER.
3. Digite netsh interface ipv4 add dnsserver "Conexo Local" 10.0.0.11 e
pressione ENTER.

Tarefa 4: Examinar a zona de pesquisa direta do domnio
1. Execute o Gerenciador DNS com credenciais administrativas. Use a conta
O Gerenciador DNS est listado como DNS na pasta Ferramentas
Administrativas.
O Gerenciador DNS ser aberto.
2. Na rvore de console, expanda HQDC02-B e Zonas de pesquisa direta e
clique em contoso.com.
3. Examine os registros SOA, NS e A na zona.

Tarefa 5: Configurar encaminhadores para a resoluo de nomes na
Internet
1. Na rvore de console, clique com o boto direito do mouse em HQDC02-B e
A caixa de dilogo Propriedades de HQDC02-B ser exibida.
2. Clique na guia Encaminhadores.
3. Clique no boto Editar.
A caixa de dilogo Editar Encaminhadores ser exibida.
4. Digite 192.168.200.12 e pressione ENTER.
5. Digite 192.168.200.13 e pressione ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Clique em OK.
Como esses servidores DNS no existem realmente, o FQDN do Servidor
exibir <Tentando resolver> ou <No foi possvel resolver>. Em um
ambiente de produo, voc configuraria encaminhadores para servidores
DNS upstream na Internet, normalmente os fornecidos pelo seu ISP (provedor
de servios de Internet).
7. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Configurar zonas de pesquisa direta e registros
de recurso
Tarefa 1: Criar uma zona de pesquisa direta
1. Na rvore de console, clique com o boto direito do mouse em Zonas de
pesquisa direta e clique em Nova Zona.
O Assistente de Nova Zona ser exibido.
3. Na pgina Tipo de Zona, clique em Zona primria, verifique se a opo
Armazenar a zona no Active Directory est selecionada e clique em Avanar.
4. Na pgina Escopo de Replicao de Zona do Active Directory, clique em
Para todos os controladores neste domnio (para compatibilidade com o
Windows 2000): contoso.com. Em seguida, clique em Avanar.
5. Na pgina Nome da Zona, digite development.contoso.com e clique em
Avanar.
6. Na pgina Atualizao Dinmica, clique em No permitir atualizaes
dinmicas e em Avanar.
7. Na pgina Concluindo o Assistente de Nova Zona, clique em Concluir.

Tarefa 2: Criar registros CNAME e de host
clique em development.contoso.com.
2. Clique com o boto direito do mouse em development.contoso.com e clique
em Novo Host (A ou AAAA).
A caixa de dilogo Novo Host ser exibida.
3. Em Nome, digite APPDEV01.
4. Em Endereo IP, digite 10.0.0.24.
5. Clique em Adicionar Host.
Ser exibida uma mensagem informando que o registro de host foi concludo
com xito.
6. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Clique em Concludo.
8. Clique com o boto direito do mouse em development.contoso.com e clique
em Novo alias (CNAME).
A caixa de dilogo Novo Registro de Recursos ser exibida.
9. Em Nome do alias, digite www.
10. Em Nome de domnio totalmente qualificado (FQDN) para o host de
destino, digite appdev01.development.contoso.com e clique em OK.

Tarefa 3: Testar a resoluo de nomes
2. Digite nslookup www.development.contoso.com e pressione ENTER.
3. Examine a sada do comando. O que ela informa?
A primeira seo da sada informa qual servidor DNS foi consultado. As linhas
Tempo limite e Servidor: Desconhecido so resultado do fato de no haver
uma zona de pesquisa inversa. O comando nslookup tentar resolver o nome
do servidor com base no respectivo endereo IP, 10.0.0.12, mas falhar. A
segunda seo da sada o resultado da consulta. O campo Aliases mostra o
nome consultado. O campo Nome mostra o nome de host como o qual foi
resolvido o registro CNAME (Alias). E o campo Endereo o endereo IP do
host.

Pergunta: Se voc no tivesse configurado encaminhadores no HQDC02-B, qual
seria o resultado para clientes que usam o HQDC02-B como servidor DNS
primrio?
Resposta: Eles no poderiam resolver nomes diferentes dos encontrados no
domnio (zona) contoso.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: O que aconteceria com a capacidade dos clientes de resolver nomes no
domnio development.contoso.com se voc tivesse escolhido uma zona DNS
autnoma em vez de uma zona integrada ao Active Directory? Por que isso
aconteceria? O que voc faria para solucionar esse problema?
Resposta: Os clientes que consultassem o outro servidor DNS no conseguiriam
resolver nomes na zona, porque o servidor no receberia uma rplica da zona. Isso
poderia ser solucionado fazendo com que a zona passasse a ser integrada ao Active
Directory, hospedando uma zona secundria no outro servidor DNS ou criando
uma zona de stub que faa referncia a consultas no servidor que hospeda a zona
development.contoso.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Configurao avanada do DNS L10-225
Laboratrio B: Configurao
avanada do DNS

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Habilitar a eliminao de zonas DNS
Algumas das mquinas virtuais j devem estar iniciadas e disponveis aps a
concluso do Laboratrio A. Entretanto, se no estiverem, voc deve executar os
Exerccios 1 e 2 no Laboratrio A antes de continuar porque h dependncias
entre os dois laboratrios.
11. Inicie 10222A-BRANCHDC01-B.
continuar.

Tarefa 2: Habilitar a eliminao de uma zona DNS
1. Alterne para HQDC02-B.
2. Execute o Gerenciamento de DNS com credenciais administrativas. Use a
clique em contoso.com.
4. Clique com o boto direito do mouse em contoso.com e clique em
Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5. Na guia Geral, clique no boto Durao.
A caixa de dilogo Propriedades de Eliminao/Durao de Zona ser exibida.
6. Marque a caixa de seleo Eliminar registros de recursos obsoletos.
7. Clique em OK.
8. Clique em OK para fechar a caixa de dilogo Propriedades de contoso.com.

Tarefa 3: Definir as configuraes de eliminao padro
1. Na rvore de console, clique com o boto direito do mouse em HQDC02-B e
clique em Definir Durao/Eliminao para Todas as Zonas.
A caixa de dilogo Propriedades de Eliminao/Durao de Servidor ser
exibida.
2. Marque a caixa de seleo Eliminar registros de recursos obsoletos.
3. Clique em OK.
A caixa de dilogo Confirmao de Eliminao/Durao de Servidor ser
exibida.
4. Marque a caixa de seleo Aplicar configuraes s zonas existentes
integradas ao Active Directory.
5. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Criar zonas de pesquisa inversa
Tarefa 1: Criar uma zona de pesquisa inversa
1. Na rvore de console, clique em Zonas de Pesquisa Inversa.
2. Clique com o boto direito do mouse em Zonas de Pesquisa Inversa e clique
em Nova Zona.
O Assistente de Nova Zona ser exibido.
4. Na pgina Tipo de Zona, clique em Avanar.
5. Na pgina Escopo de Replicao de Zona do Active Directory, clique em
Para todos os controladores neste domnio (para compatibilidade com o
Windows 2000): contoso.com. Clique em Avanar.
6. Na pgina Nome da Zona de Pesquisa Inversa, clique em Zona de Pesquisa
Inversa IPv4. Clique em Avanar.
7. Na pgina Nome da Zona de Pesquisa Inversa, em Identificao de Rede,
digite 10. Deixe em branco os outros dois octetos. Clique em Avanar.
8. Na pgina Atualizao Dinmica, clique em Permitir apenas atualizaes
dinmicas seguras. Clique em Avanar.
9. Na pgina Concluindo o Assistente de Nova Zona, clique em Concluir.

Tarefa 2: Explorar e verificar a funcionalidade de uma zona de
pesquisa inversa
3. Observe que a primeira seo da sada de comando (que identifica o servidor
DNS que foi consultado) indica o endereo IP do servidor, mas, ao lado de
Servidor, informa que o servidor Desconhecido. Isso ocorre porque o
comando nslookup.exe no pode resolver o endereo IP como um nome.
5. Na rvore de console, clique na zona 10.in-addr.arpa em Zonas de Pesquisa
Inversa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Examine os registros na zona.
8. Digite ipconfig /registerdns e pressione ENTER.
10. Clique com o boto direito do mouse na zona 10.in-addr.arpa e depois clique
em Atualizar.
11. Examine os registros de recurso exibidos.
14. Note que agora a primeira seo do comando consegue identificar o servidor
pelo endereo e pelo nome.
15. Observe que o servidor DNS que foi consultado em 10.0.0.12 agora est
resolvido como seu respectivo nome.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Explorar a localizao de controlador de
domnio
Tarefa 1: Explorar _tcp
2. Na rvore de console, expanda HQDC02-B, Zonas de pesquisa direta e
contoso.com e clique no n _tcp.

Pergunta: O que representam os registros de recurso no painel de detalhes?
Resposta: Os servios oferecidos por todo controlador de domnio no domnio
contoso.com
Tarefa 2: Explorar _tcp.brancha._sites.contoso.com
2. Na rvore de console, expanda HQDC02-B, Zonas de pesquisa direta,
contoso.com, _sites, BRANCHA e clique no n _tcp.

Pergunta: O que representam os registros de recurso no painel de detalhes?
Resposta: Os servios oferecidos por todo controlador de domnio que esteja
localizado no site BRANCHA ou que o esteja cobrindo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 4: Configurar a resoluo de nomes para domnios
externos
Tarefa 1: Configurar uma zona de stub
1. Na rvore de console, expanda HQDC02-B e clique em Zonas de pesquisa
direta.
2. Clique com o boto direito do mouse em Zonas de pesquisa direta e clique
em Nova Zona.
A pgina Bem-vindo ao Assistente de Nova Zona ser exibida.
A pgina Tipo de Zona ser exibida.
4. Clique em Zona de stub e em Avanar.
O Escopo de Replicao de Zona do Active Directory ser exibido.
A pgina Nome da Zona ser exibida.
6. Digite tailspintoys.com e clique em Avanar.
A pgina Servidores DNS Principais ser exibida.
7. Digite 10.0.0.31 e pressione TAB.
8. Marque a caixa de seleo Usar os servidores acima para criar uma lista
local de servidores mestres.
9. Clique em Avanar e em Concluir.

Tarefa 2: Configurar um encaminhador condicional
1. Alterne para TSTDC01.
conta Sara.Davis_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda TSTDC01 e clique em Encaminhadores
Condicionais.
4. Clique com o boto direito do mouse na pasta Encaminhadores
Condicionais e clique em Novo Encaminhador Condicional.
5. Na caixa Domnio DNS, digite contoso.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Clique em Clique aqui para adicionar um endereo IP ou nome DNS e
digite 10.0.0.11.
7. Marque a caixa de seleo Armazenar o encaminhador condicional no
Active Directory e replic-lo desta forma.
8. Clique em OK.

Tarefa 3: Validar a resoluo de nomes para domnios externos
O comando dever retornar o endereo 10.0.0.24.
4. Na rvore de console, expanda TSTDC01 e Zonas de pesquisa direta e clique
na zona tailspintoys.com.
5. Clique com o boto direito do mouse em tailspintoys.com e clique em Novo
Host (A ou AAAA).
A caixa de dilogo Novo Host ser exibida.
6. Em Nome, digite www.
7. Em Endereo IP, digite 10.0.0.143.
8. Clique em Adicionar Host.
Ser exibida uma mensagem informando que o registro foi adicionado com
xito.
9. Clique em OK.
10. Clique em Concludo.
11. Alterne para HQDC02-B.
13. Digite nslookup www.tailspintoys.com e pressione ENTER.
O comando dever retornar o endereo 10.0.0.143.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Neste laboratrio, voc usou uma zona de stub e um encaminhador
condicional para fornecer resoluo de nomes entre dois domnios distintos. Que
outras opes voc poderia ter usado?
Resposta: Voc criaria uma zona secundria em cada domnio que hospedasse
uma cpia da zona do outro. Se os domnios tivessem delegaes no domnio .com
de primeiro nvel, voc poderia usar dicas de raiz e consultas recursivas DNS
padro para obt-las, a fim de resolver nomes em cada domnio do outro.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Instalao de controladores de domnio L11-235
Mdulo 11: Administrao de controladores de
domnio do AD DS (Servios de Domnio Active
Directory)
Laboratrio A: Instalao de
controladores de domnio

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L11-236 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Criar um controlador de domnio adicional com
o Assistente de Instalao dos Servios de Domnio Active
Directory

Tarefa 2: Promover um controlador de domnio usando o Assistente
de Instalao dos Servios de Domnio Active Directory
1. Em HQDC02, clique em Iniciar e, na caixa Iniciar Pesquisa, digite
DCPromo.exe e pressione ENTER.
Ser exibida uma mensagem indicando que os binrios do AD DS esto sendo
instalados. Isso levar alguns minutos.
exibido.
2. Na pgina Bem-vindo, clique em Avanar.
3. Na pgina Compatibilidade de Sistema Operacional, verifique o aviso sobre
4. Na pgina Escolher uma Configurao de Implantao, clique em Floresta
existente, depois em Adicionar um controlador de domnio a um domnio
existente e, por ltimo, clique em Avanar.
5. Na pgina Credenciais de Rede, digite contoso.com na caixa de texto.
6. Clique no boto Definir.
8. Na caixa Senha, digite Pa$$w0rd e clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Na pgina Selecione um Site, escolha Default-First-Site-Name e clique em
Avanar.
A pgina Opes Adicionais de Controlador de Domnio ser exibida. O
Servidor DNS e o Catlogo Global so selecionados por padro.
Ser exibido um aviso de atribuio de IP esttico informando que o servidor
tem um endereo IP atribudo dinamicamente.
HQDC02 tem um endereo IPv4 fixo e um endereo IPv6 dinmico. Como
IPv6 no faz parte do escopo desta aula, voc pode ignorar esse aviso.
Ser exibido um aviso do Assistente de Instalao dos Servios de Domnio
Active Directory informando que no foi possvel localizar uma delegao.
Como a configurao do DNS est correta no domnio de exemplo
contoso.com, voc pode ignorar esse aviso.
14. Clique em Sim.
15. Na pgina Local de Banco de Dados, Arquivos de Log e SYSVOL, aceite os
locais padro para o arquivo de banco de dados, os arquivos de log do servio
de diretrio e os arquivos de SYSVOL e clique em Avanar.
A prtica recomendada em um ambiente de produo armazenar esses
arquivos em trs volumes separados que no contenham aplicativos ou outros
arquivos no relacionados ao AD DS. Esse design de prtica recomendada
melhora o desempenho e aumenta a eficincia de backup e restaurao.
de Diretrio, digite Pa$$w0rd nas caixas Senha e Confirmar senha. Clique
em Avanar.
No esquea a senha que voc atribuiu ao Administrador do Modo de
Restaurao dos Servios de Diretrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
17. Na pgina Resumo, examine suas selees.

Importante: NO CLIQUE EM AVANAR.
Se alguma configurao estiver incorreta, clique em Voltar para fazer
modificaes.
18. Clique em Exportar Configuraes.
19. Clique em Procurar Pasta.
20. Clique em Desktop.
21. Na caixa Nome do Arquivo, digite DCAdicional e clique em Salvar.
Ser exibida uma mensagem indicando que as configuraes foram salvas com
xito.
22. Clique em OK.
Agora voc cancelar a instalao do controlador de domnio e, em seu lugar,
promover o servidor a um controlador de domnio no prximo exerccio.
23. Na pgina Resumo do Assistente de Instalao dos Servios de Domnio
Active Directory, clique em Cancelar.
24. Clique em Sim para confirmar que est cancelando a instalao do controlador
de domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Adicionar um controlador de domnio a partir
da linha de comando
Tarefa 1: Criar o comando DCPromo
1. Abra o arquivo DCAdicional.txt criado no Exerccio 1.
2. Examine as respostas contidas no arquivo. Voc consegue identificar o que
significam algumas das opes?

Dica: as linhas que comeam com ponto e vrgula so comentrios ou linhas inativas que
foram comentadas.
3. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite Bloco de notas. Em
seguida, pressione ENTER.
O Bloco de notas ser aberto.
4. No menu Formatar, clique em Quebra Automtica de Linha.
5. Posicione a janela do Bloco de notas em branco e o arquivo DCAdicional.txt de
forma que voc possa ver os dois arquivos.
6. No Bloco de notas, digite a linha de comando dcpromo.exe exatamente como
faria em um prompt de comando. Determine a linha de comando para instalar
o controlador de domnio com as mesmas opes listadas no arquivo de
resposta. As opes na linha de comando assumiro a forma /opo:valor,
enquanto que, no arquivo de resposta, elas tero a forma opo=valor.
Configure os valores de Password e SafeModeAdminPassword como
Pa$$w0rd. Instrua o DCPromo a reinicializar aps a concluso.
Digite em uma linha (com a quebra automtica de linha habilitada):
dcpromo /unattend /ReplicaOrNewDomain:Replica
/ReplicaDomainDNSName:contoso.com
/SiteName:Default-First-Site-Name /InstallDNS:Yes /ConfirmGc:Yes
/CreateDNSDelegation:No /UserDomain:contoso.com
/UserName:contoso.com\Pat.Coleman Admin /Password:Pa$$w0rd
/DatabasePath:"C:\Windows\NTDS" /LogPath:"C:\Windows\NTDS"
/SYSVOLPath:"C:\Windows\SYSVOL" /SafeModeAdminPassword:Pa$$w0rd
/RebootOnCompletion:Yes
Como voc aprender no Laboratrio B, possvel definir o valor de Password
como um asterisco (*) e digitar a senha quando o comando for executado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Abra \\HQDC01\d$\Labfiles\Lab11a\Exercise2.txt.
8. Compare o comando correto no arquivo Exercise2.txt com o que voc criou
na etapa anterior. Faa as correes necessrias no seu comando.

Tarefa 2: Executar o comando DCPromo
A janela do Prompt de Comando ser aberta.
2. Alterne para a janela do Bloco de notas que contm o seu comando
dcpromo.exe.
3. Clique no menu Formatar e desmarque a opo Quebra Automtica de
Linha.
Se a quebra automtica de linha estiver ativada, o comando no ser copiado e
colado corretamente no prompt de comando, pois cada linha quebrada
automaticamente ser interpretada como um comando separado.
4. Pressione CTRL+A. Em seguida, clique no menu Editar e em Copiar.
5. Alterne para a janela do Prompt de Comando.
6. Clique com o boto direito do mouse na janela do Prompt de Comando e
clique em Colar.
7. Pressione ENTER para executar o comando.

Dica: os erros detectados provavelmente so decorrentes de erro de digitao no
comando. Compare o que voc digitou com o comando correto, contido em
\\HQDC01\d$\Labfiles\Lab11a \Exercise2.txt. Outra alternativa copiar e colar o
comando do arquivo Exercise2.txt em vez de usar o criado por voc.
O HQDC02 ser promovido a controlador de domnio. Isso levar alguns
minutos.
O computador ser reiniciado quando a configurao for concluda.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Remover um controlador de domnio
Tarefa 1: Remover um controlador de domnio
1. Espere at que a inicializao de HQDC02 seja concluda.
3. Clique no boto Iniciar e em Executar.
4. Digite dcpromo.exe e pressione ENTER.
exibido.
7. Na pgina Bem-vindo, clique em Avanar.
Ser exibida uma mensagem lembrando que voc deve verificar se este no o
ltimo servidor de catlogo global na floresta.
8. Clique em OK.
9. Na pgina Excluir o Domnio, clique em Avanar.
10. Na pgina Senha do Administrador, digite Pa$$w0rd nas caixas Senha e
Confirmar Senha. Em seguida, clique em Avanar.
O AD DS ser removido do HQDC02.
Ser exibida uma mensagem solicitando que voc reinicie o servidor.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 4: Criar um controlador de domnio a partir da
mdia de instalao
Tarefa 1: Criar a mdia de instalao
3. Digite ntdsutil e pressione ENTER.
4. Digite activate instance ntds e pressione ENTER.
5. Digite ifm e pressione ENTER.
6. Digite ? e pressione ENTER para listar os comandos disponveis no modo IFM.
7. Digite create sysvol full c:\IFM e pressione ENTER.
Os arquivos da mdia de instalao sero copiados para c:\IFM.
Quando o processo for concludo, a seguinte mensagem ser exibida: Mdia
IFM criada com xito em c:\IFM.
8. Digite quit e pressione ENTER.

Tarefa 2: Promover um controlador de domnio usando a mdia de
instalao
3. Digite \\HQDC01\c$ e pressione ENTER.
A caixa de dilogo Conectar a hqdc01.contoso.com ser exibida.
A janela do Windows Explorer ser aberta, mostrando a raiz da unidade C em
HQDC01.
6. Clique com o boto direito do mouse na pasta IFM e clique em Copiar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Na barra de endereos, digite C:\ e pressione ENTER.
8. Clique com o boto direito do mouse em uma rea vazia do painel de detalhes
e clique em Colar.
A pasta IFM ser copiada de HQDC01para a unidade C.
9. Feche a janela do Windows Explorer.
11. Digite dcpromo.exe e pressione ENTER.
exibido.
14. Na pgina Bem-vindo, marque a caixa de seleo Usar a instalao em modo
avanado.
16. Na pgina Compatibilidade de Sistema Operacional, examine o aviso sobre
17. Na pgina Escolher uma Configurao de Implantao, clique em Floresta
existente, depois em Adicionar um controlador de domnio a um domnio
existente e, por ltimo, clique em Avanar.
18. Na pgina Credenciais de Rede, digite contoso.com na caixa de texto.
21. Na pgina Selecione um Site, escolha Primeiro-site-padro e clique em
Avanar.
A pgina Opes Adicionais de Controlador de Domnio ser exibida. O
Servidor DNS e o Catlogo Global so selecionados por padro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Ser exibido um aviso de atribuio de IP esttico informando que o servidor
tem um endereo IP atribudo dinamicamente.
HQDC01 tem um endereo IPv4 fixo e um endereo IPv6 dinmico. Como
IPv6 no faz parte do escopo desta aula, voc pode ignorar esse aviso.
Ser exibido um aviso do Assistente de Instalao dos Servios de Domnio
Active Directory informando que no foi possvel localizar uma delegao.
Como a configurao do DNS est correta no domnio de exemplo
contoso.com, voc pode ignorar esse aviso.
24. Clique em Sim.
25. Na pgina Instalar da Mdia, clique em Replicar dados de mdia no seguinte
local.
26. Na caixa Local, digite C:\IFM e clique em Avanar.
27. Na pgina Controlador de Domnio de Origem, clique em Avanar.
Agora voc cancelar a instalao do controlador de domnio.
29. Clique em Sim para confirmar que est cancelando a instalao do controlador
de domnio.
30. Desligue HQDC02, mas no HQDC01, pois ele ser usado nos laboratrios
subsequentes.

Observao: quando terminar, no desligue as mquinas virtuais porque as
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Por que voc optaria por usar um arquivo de resposta ou uma linha de
comando dcpromo.exe para instalar um controlador de domnio, em vez de usar o
Assistente de Instalao dos Servios de Domnio Active Directory?
Resposta: Automao da instalao. Consistncia (usar sempre as mesmas opes
em um script versus esperar que um administrador use as opes corretas).
Documentao (o script documenta como o controlador de domnio foi
instalado). E, obviamente, em uma instalao Server Core.
Pergunta: Em que situaes convm criar um controlador de domnio usando a
mdia de instalao?
Resposta: Quando a replicao do Active Directory no novo controlador de
domnio for problemtica do ponto de vista de desempenho ou impacto na rede.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Instalao de um controlador de domnio do Server Core L11-247
Laboratrio B: Instalao de um
controlador de domnio do Server
Core
Exerccio 1: Realizar a configurao de ps-instalao no
Server Core
A mquina virtual 10222A-HQDC01-A j dever estar iniciada e disponvel aps a
concluso do Laboratrio A.
1. Inicie 10222A-HQDC01-A, mas no faa logon.
2. Inicie 10222A-HQDC03-A, mas no faa logon.

Tarefa 2: Realizar a configurao de ps-instalao do Server Core
A janela do Prompt de Comando ser exibida.
netsh interface ipv4 set address name="Conexo Local"
source=static address=10.0.0.13 mask=255.255.255.0
gateway=10.0.0.1
netsh interface ipv4 set dns name="Conexo Local"
source=static address=10.0.0.11 primary
4. Digite ipconfig /all e pressione ENTER.
netdom renamecomputer %computername% /newname:HQDC03
Quando solicitado, confirme a operao.
6. Pressione S e depois ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Digite shutdown -r -t 0, e pressione ENTER.
O servidor ser reiniciado.
8. Espere at que a reinicializao de HQDC03 seja concluda.
A janela do Prompt de Comando ser exibida.
netdom join %computername% /domain:contoso.com
/UserD:CONTOSO\Pat.Coleman Admin /PasswordD:Pa$$w0rd
/OU:"ou=servers,dc=contoso,dc=com"
11. Digite shutdown -r -t 0, e pressione ENTER.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Instalao de um controlador de domnio do Server Core L11-249
Exerccio 2: Criar um controlador de domnio com Server
Core
Tarefa 1: Adicionar a funo de servidor DNS ao Server Core
3. Digite oclist e pressione ENTER.
Pergunta: Qual o identificador de pacote da funo de servidor DNS?
Resposta: DNS-Server-Core-Role.
Pergunta: Qual o status?
Resposta: No instalado.
4. Digite ocsetup e pressione ENTER.
A caixa de dilogo Instalao de Componente Opcional do Windows ser
exibida.
Surpresa! H uma pequena parte da GUI no Server Core.
5. Clique em OK.
6. Digite ocsetup DNS-Server-Core-Role e pressione ENTER.
Os identificadores de pacote diferenciam maisculas de minsculas.
7. Digite oclist e pressione ENTER.
8. Confirme que DNS-Server-Core-Role exibe o status Instalado.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Criar um controlador de domnio no Server Core com o
comando dcpromo.exe
1. Verifique se voc ainda est conectado a HQDC03 como Pat.Coleman Admin
com a senha Pa$$w0rd
2. Digite dcpromo.exe /? e pressione ENTER.
3. Examine as informaes de uso.
4. Digite dcpromo.exe /?:Promotion e pressione ENTER.
5. Examine as informaes de uso.
6. Digite o seguinte comando para adicionar e configurar a funo do AD DS e
pressione ENTER:
dcpromo /unattend /ReplicaOrNewDomain:replica
/ReplicaDomainDNSName:contoso.com /ConfirmGC:Yes
/UserName:CONTOSO\Pat.Coleman Admin /Password:*
/safeModeAdminPassword:Pa$$w0rd
7. Quando for solicitado que voc insira as credenciais de rede, digite Pa$$w0rd
e clique em OK.
A funo do AD DS ser instalada e configurada, e o servidor ser reiniciado.

Observao: voc pode desligar as duas mquinas virtuais, pois sero usadas outras no
prximo laboratrio.
Pergunta: Voc achou a configurao do Server Core particularmente difcil?
situao.
Pergunta: Quais so as vantagens de usar o Server Core para controladores de
domnio?
Resposta: Menos requisitos do sistema, superfcie de ataque (vulnerabilidade)
reduzida e, portanto, maior segurana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Transferncia de funes de mestre de operaes L11-251
Laboratrio C: Transferncia de
funes de mestre de operaes
Exerccio 1: Identificar mestres de operaes
3. Abra o arquivo D:\Labfiles\Lab11c.
4. Execute Lab11c_Setup.bat com credenciais administrativas. Use a conta
8. Espere at que a inicializao de HQDC02 esteja concluda para continuar.

Tarefa 2: Identificar mestres de operaes usando os snap-ins
administrativos do Active Directory
2. Na rvore de console, clique com o boto direito do mouse no domnio
contoso.com e clique em Mestres de Operaes.
A caixa de dilogo Mestres de Operaes ser exibida.
As guias identificam os controladores de domnio que esto executando
funes de operaes de mestre nico para o domnio: emulador PDC, mestre
RID e mestre de infraestrutura.
3. Clique na guia referente a cada mestre de operaes.
Pergunta: Que controlador de domnio detm essas funes?
Resposta: HQDC01.contoso.com detm as trs funes.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Execute Domnios e Relaes de Confiana do Active Directory com
Pa$$w0rd.
7. Na rvore de console, clique com o boto direito do mouse no n raiz do snap-
in Domnios e Relaes de Confiana do Active Directory e clique em
Mestre de Operaes.
A caixa de dilogo Mestre de Operaes ser exibida.
Pergunta: Que controlador de domnio detm a a funo de mestre de operaes
de nomeao de domnios?
Resposta: HQDC01.contoso.com.
9. Feche Domnios e Relaes de Confiana do Active Directory.
Como no tem um console prprio, o snap-in Esquema do Active Directory
no poder ser adicionado a um console personalizado enquanto no for
registrado.
11. Digite regsvr32 schmmgmt.dll e pressione ENTER.
12. Clique em OK para fechar a caixa de mensagem exibida.
13. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite mmc.exe e pressione
ENTER.
Um console do MMC vazio ser exibido.
17. Clique no menu Arquivo e em Adicionar/Remover Snap-in.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
18. Na lista Snap-ins disponveis, selecione Esquema do Active Directory, clique
em Adicionar e em OK.
19. Clique no n raiz do snap-in Esquema do Active Directory.
20. Clique com o boto direito do mouse em Esquema do Active Directory e
clique em Mestre de Operaes.
A caixa de dilogo Alterar Mestre de Esquema ser exibida.
Pergunta: Que controlador de domnio detm a funo de mestre de esquema?
Resposta: HQDC01.contoso.com.
22. Feche o console. No necessrio salvar as alteraes.

Tarefa 3: Identificar mestres de operaes usando NetDom
2. Digite o comando netdom query fsmo e pressione ENTER.
Todos os detentores de funes de mestre de operaes sero listados.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Transferir funes de mestre de operaes
Tarefa 1: Transferir a funo de PDC usando o snap-in Usurios e
2. Clique com o boto direito do mouse no domnio contoso.com e clique em
Alterar Controlador de Domnio.
3. Na lista de servidores de diretrio, selecione HQDC02.contoso.com e clique
em OK.
Antes de transferir um mestre de operaes, preciso conectar-se ao
controlador de domnio para o qual a funo ser transferida.
O n raiz do snap-in indica o controlador de domnio ao qual voc est
conectado: Usurios e Computadores do Active Directory
[HQDC02.contoso.com].
Mestres de Operaes.
5. Clique na guia PDC.
Ela indica que HQDC01.contoso.com detm atualmente o token de funo.
HQDC02.contoso.com ser listado na segunda caixa de texto.
Uma caixa de dilogo dos Servios de Domnio Active Directory solicitar que
voc confirme a transferncia da funo de mestre de operaes.
7. Clique em Sim.
Uma caixa de dilogo dos Servios de Domnio Active Directory confirmar
que a funo foi transferida com xito.
8. Clique em OK e em Fechar.
Neste ponto em um ambiente de produo, voc transferiria tambm outras
funes FSMO mantidas por HQDC01 para HQDC02 ou outros controladores
de domnio. Voc garantiria que outras funes executadas por HQDC01
(DNS e catlogo global, por exemplo) fossem cobertas por outros servidores.
Em seguida, colocaria HQDC01 offline.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lembre-se de que no ser possvel colocar um controlador de domnio online
novamente se as funes de RID, esquema ou nomeao de domnios tiverem
sido capturadas. Mas voc poder coloc-lo online novamente se uma funo
tiver sido transferida.

Tarefa 2: Considerar outras funes antes de colocar um controlador
de domnio offline
Voc est se preparando para colocar HQDC01 offline. Para isso, acabou de
transferir a funo de operaes PDC para HQDC02.
Pergunta: Liste outras funes de mestre de operaes que devem ser transferidas
antes de colocar HQDC01 offline.
Resposta: Todas as outras funes de mestre de operaes mantidas por HQDC01
devem ser transferidas para HQDC02 ou outros controladores de domnio antes
que HQDC01 seja colocado offline. Especificamente, as funes de mestre RID,
esquema, infraestrutura e nomeao de domnios.
Pergunta: Liste outras funes de servidor que devem ser transferidas antes de
colocar HQDC01 offline.
Resposta: Voc consideraria outras funes executadas por HQDC01, como
Servidor DNS e catlogo global. Verifique se essas funes esto cobertas por
outros servidores ou controladores de domnio antes de colocar o HQDC01
offline.

Tarefa 3: Transferir a funo de PDC usando NTDSUtil
Voc concluiu a manuteno em HQDC01 e vai coloc-lo online novamente.
3. Digite roles e pressione ENTER.
4. Digite connections e pressione ENTER.
5. Digite connect to server HQDC01 e pressione ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Digite transfer PDC e pressione ENTER.
A caixa de dilogo de confirmao de transferncia de funo ser exibida.
8. Clique em Sim.

Observao: desligue essas mquinas virtuais quando tiver concludo porque elas
precisaro ser reiniciadas para o prximo laboratrio.
Pergunta: Se voc transferir todas as funes antes de colocar um controlador de
domnio offline, poder coloc-lo online novamente?
Resposta: Sim
Pergunta: Se um controlador de domnio falhar e voc capturar funes para outro
controlador de domnio, poder colocar online novamente o controlador de
domnio que falhou?
Resposta: Somente se o controlador de domnio que falhou for o emulador PDC
ou o mestre de infraestrutura. Os detentores das funes de mestre de esquema, de
nomeao de domnios ou RID no podero voltar a ficar online se a funo tiver
sido capturada enquanto o controlador de domnio estava offline. Em vez disso, o
controlador de domnio com falha dever ser rebaixado ou, preferencialmente,
reinstalado por completo enquanto estiver offline. Depois que o servidor estiver
online novamente, ele poder voltar a ser promovido a controlador de domnio e,
nessa ocasio, a funo de mestres de operaes poder ser transferida
normalmente para ele.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio D: Configurao da replicao DFS-R de SYSVOL L11-257
Laboratrio D: Configurao da
replicao DFS-R de SYSVOL
Exerccio 1: Observar a replicao de SYSVOL
1. Desligue todas as mquinas virtuais.
4. Abra o arquivo D:\Labfiles\Lab11d.
5. Execute Lab11d_Setup.bat com credenciais administrativas. Use a conta
7. Feche a janela do Windows Explorer, Lab11d.

2. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite
%SystemRoot%\Sysvol\Sysvol\contoso.com\Scripts. Em seguida, pressione
ENTER.
3. Execute o Bloco de notas com credenciais administrativas. Use a conta
5. Na caixa Nome do arquivo, digite
%SystemRoot%\Sysvol\Sysvol\contoso.com\Scripts\TestFRS.txt e
pressione ENTER.
6. Feche o Bloco de notas.
7. Confirme se o arquivo TestFRS.txt aparece na pasta Scripts.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
%SystemRoot%\Sysvol\Sysvol\contoso.com\Scripts. Em seguida, pressione
ENTER.
10. Confirme se o arquivo TestFRS.txt aparece na pasta Scripts do HQDC02.
Se o arquivo no for exibido imediatamente, espere um pouco. A replicao
pode levar at 15 minutos para ser concluda. Se desejar, continue com o
Exerccio 2. Antes de passar para o Exerccio 3, faa uma verificao para ter
certeza de que o arquivo foi replicado.
11. Depois de observar a replicao, feche a janela do Windows Explorer que
mostra a pasta Scripts em HQDC01 e em HQDC02.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Preparar-se para migrar para DFS-R
Windows Server 2008
1. Ainda em HQDC02, execute Usurios e Computadores do Active Directory
com credenciais administrativas. Use a conta Pat.Coleman Admin com a
senha Pa$$w0rd se solicitado; caso contrrio, clique em Continuar na caixa
de dilogo Controle de Conta de Usurio.
contoso.com e clique em Elevar o Nvel Funcional do Domnio.
A caixa de dilogo Elevar o Nvel Funcional do Domnio ser exibida.
3. Confirme se o Nvel funcional atual do domnio Windows Server 2003.
4. Clique em Cancelar. No faa nenhuma modificao no nvel funcional do
domnio.

Pat.Coleman Admin com a senha Pa$$w0rd se solicitado; caso contrrio,
clique em Continuar na caixa de dilogo Controle de Conta de Usurio.
Ser exibida uma mensagem informando que somente domnios no nvel
funcional do Windows Server 2008 oferecem suporte a dfsrmig.

Tarefa 3: Elevar o nvel funcional do domnio
contoso.com e clique em Elevar o Nvel Funcional do Domnio.
3. Confirme se a lista Selecione um nvel funcional de domnio disponvel
indica Windows Server 2008.
4. Clique em Aumentar.
Ser exibida uma mensagem lembrando que a ao no poder ser revertida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5. Clique em OK para confirmar a alterao.
Ser exibida uma mensagem informando que o nvel funcional foi elevado
com xito.
6. Clique em OK.

Ser exibida uma mensagem informando que a migrao de DFS-R ainda no
foi inicializada.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Migrar a replicao de SYSVOL para DFS-R
Tarefa 1: Migrar a replicao de SYSVOL para DFS-R
1. Alterne para o Prompt de Comando
Novo estado global de DFSR: 'Incio'
Alterao de estado invlida solicitada.
O estado global padro j 0, Incio, por isso o comando no vlido. No
entanto, isso serve para inicializar a migrao de DFSR.
xito.
global
('Incio').
de domnio.
xito.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Novo estado global de DFSR: 'Preparado'

A migrao seguir para o estado 'Preparado'. O servio DFSR
copiar o contedo de SYSVOL na pasta SYSVOL_DFSR.

Se algum controlador de domnio no tiver conseguido iniciar a
migrao, tente a sondagem manual.
OU execute com a opo /CreateGlobalObjects.
A migrao pode iniciar a qualquer momento, de 15 minutos a 1
hora.
xito.
7. Repita esta etapa at ser exibida a mensagem a seguir indicando que a
global
('Preparado').
de domnio.
xito.
Quando receber essa mensagem, v para a prxima etapa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Durante a migrao para o estado Preparado, uma destas mensagens poder
ser exibida:
o estado global
('Preparado'):

Controlador de Domnio (Estado de Migrao Local) - Tipo de DC
===================================================

HQDC01 ('Incio') - DC primrio
HQDC02 ('Incio') - DC gravvel

AD.
ou
o estado global
('Preparado'):

===================================================

HQDC01 ('Incio') - DC primrio
HQDC02 ('Aguardando a Sincronizao Inicial') - DC gravvel

AD.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
ou
o estado global
('Preparado'):

===================================================

HQDC02 ('Aguardando a Sincronizao Inicial') - DC gravvel

AD.
8. Execute o Visualizar Eventos com credenciais administrativas. Use a conta
9. Na rvore de console, expanda Logs de Aplicativos e Servios e clique em
Replicao DFS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
10. Localize o evento com ID de Evento 8014 e abra suas propriedades.
Verifique os detalhes mostrados na captura de tela a seguir.

11. Feche o Visualizar Eventos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Estado global atual de DFSR: 'Preparado'
Novo estado global de DFSR: 'Redirecionado'

A migrao seguir para o estado 'Redirecionado'. O
compartilhamento SYSVOL ser
alterado para a pasta SYSVOL_DFSR.

Caso tenham sido feitas alteraes no compartilhamento de SYSVOL
durante a transio de estado de 'Preparado' para 'Redirecionado',
execute robocopy das alteraes
de SYSVOL para SYSVOL_DFSR em qualquer RWDC replicado.
xito.
15. Repita a etapa 14 at ser exibida a seguinte mensagem indicando que a
global
('Redirecionado').
de domnio.
xito.
Quando receber essa mensagem, v para a prxima tarefa.
Durante a migrao, podero ser exibidas mensagens como esta:
o estado global
('Redirecionado'):

===================================================

HQDC02 ('Preparado') - DC gravvel

As informaes de estado podem ser obsoletas devido latncia do AD.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 4: Verificar a replicao DFS-R de SYSVOL
Tarefa 1: Confirmar o novo local de SYSVOL
1. Ainda em HQDC02, alterne para o Prompt de Comando.
2. Digite net share e pressione ENTER.
3. Confirme se o compartilhamento NETLOGON refere-se pasta
%SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts.
4. Confirme se o compartilhamento SYSVOL refere-se pasta
%SystemRoot%\SYSVOL_DFSR\Sysvol.

%SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts. Em seguida,
pressione ENTER.
Observe que o arquivo TestFRS.txt criado anteriormente j est na pasta
Scripts. Enquanto os controladores de domnio estavam no estado Preparado,
os arquivos foram replicados entre a pasta SYSVOL de FRS herdada e a nova
pasta SYSVOL de DFS-R.
3. Execute o Bloco de notas com credenciais administrativas. Use a conta
5. Na caixa Nome do arquivo, digite
%SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts \TestDFSR e
pressione ENTER.
6. Feche o Bloco de notas.
7. Confirme se o arquivo TestDFSR.txt aparece na pasta Scripts.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
%SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts. Em seguida,
pressione ENTER.
10. Confirme se o arquivo TestDFSR.txt aparece na pasta Scripts.
Se o arquivo no for exibido imediatamente, espere um pouco.

Pergunta: Que diferena voc acha que h entre uma empresa que criou seu
domnio inicialmente com controladores de domnio do Windows 2008 e a outra
que migrou de Windows Server 2003 para Windows Server 2008?
Resposta: Em um domnio criado originalmente com o Windows 2008, o
compartilhamento SYSVOL far referncia a uma pasta chamada SYSVOL que
replicada com DFS-R. Em um domnio criado com controladores de domnio
anteriores ao Windows 2008, o SYSVOL ser replicado com FRS, at que tenha
sido migrado. Depois desse ponto, o compartilhamento SYSVOL far referncia a
uma pasta chamada SYSVOL_DFSR.
Pergunta: De que voc precisa estar ciente durante a migrao do estado
Preparado para Redirecionado?
Resposta: Durante a migrao do estado Preparado para Redirecionado, qualquer
alterao feita no SYSVOL deve ser duplicada manualmente em SYSVOL_DFSR.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Configurao de sites e sub-redes L12-269
Mdulo 12: Gerenciamento de sites e replicao
do Active Directory
Laboratrio A: Configurao de
sites e sub-redes

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L12-270 Mdulo 12: Gerenciamento de sites e replicao do Active Directory

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar o site padro
1. Inicie 10222A-HQDC01-B. Esta mquina virtual pode levar alguns minutos
para iniciar.
4. Depois que HQDC02-B tiver sido iniciado, inicie 10222A-HQDC03-B, mas no
faa logon.
5. Depois que HQDC03-B tiver sido iniciado, inicie 10222A-BRANCHDC01-B,
mas no faa logon.
continuar com a prxima tarefa.

Tarefa 2: Renomear o Default-First-Site-Name
1. Em HQDC01, execute Servios e Sites do Active Directory com credenciais
2. Na rvore de console, expanda Sites e clique em Default-First-Site-Name.
3. Clique com o boto direito do mouse em Default-First-Site-Name e clique em
Renomear.
4. Digite HEADQUARTERS e pressione ENTER.
Como os nomes de site so registrados no DNS, voc deve usar nomes
compatveis com DNS que evitem espaos e caracteres especiais.

Tarefa 3: Criar uma sub-rede e associ-la a um site
1. Na rvore de console, clique em Subnets.
2. Clique com o boto direito do mouse em Subnets e clique em Nova Sub-rede.
3. Na caixa Prefixo, digite 10.0.0.0/24.
4. Na lista Selecione um objeto de site para este prefixo, escolha
HEADQUARTERS.
5. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Clique com o boto direito do mouse em 10.0.0.0/24 e clique em
Propriedades.
7. Na caixa Descrio, digite Servidor e sub-rede back-end e clique em OK.
8. Na rvore de console, clique com o boto direito do mouse em Subnets e
clique em Nova Sub-rede.
HEADQUARTERS.
11. Clique em OK.
Propriedades.
13. Na caixa Descrio, digite Sub-rede de cliente e clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Criar sites adicionais
Tarefa 1: Criar sites adicionais
1. Na rvore de console, clique com o boto direito do mouse em Sites e clique
em Novo Site.
2. Na caixa Nome, digite HQ-BUILDING-2.
3. Selecione DEFAULTIPSITELINK.
4. Clique em OK.
Ser exibida uma caixa de dilogo dos Servios de Domnio Active Directory,
explicando as etapas necessrias para concluir a configurao do site.
5. Clique em OK.
6. Na rvore de console, clique com o boto direito do mouse em Sites e clique
em Novo Site.
7. Na caixa Nome, digite BRANCHA.
8. Selecione DEFAULTIPSITELINK.
9. Clique em OK.

Tarefa 2: Criar sub-redes e associ-las a sites
HQ-BUILDING-2.
4. Clique em OK.
Propriedades.
6. Na caixa Descrio, digite Prdio 2 da Matriz.
7. Na lista suspensa Site, selecione HQ-BUILDING-2.
8. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Na lista Selecione um objeto de site para este prefixo, escolha BRANCHA.
12. Clique em OK.
Propriedades.
14. Na caixa Descrio, digite Filial A.
15. Na lista suspensa Site, selecione BRANCHA.
16. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
1. Na rvore de console, expanda HEADQUARTERS e clique no n Servers.
2. No painel de detalhes, clique com o boto direito do mouse em HQDC03-B e
clique em Mover.
A caixa de dilogo Mover Servidor ser exibida.
3. Clique em HQ-BUILDING-2 e em OK.
BRANCHDC01 e clique em Mover.
5. Clique em BRANCHA e em OK.

Pergunta: Voc tem um site com 50 sub-redes, cada uma com um endereo de
sub-rede 10.0.x.0/24, e no existem outras sub-redes 10.0.x.0. O que voc poderia
fazer para facilitar a identificao das 50 sub-redes e associ-las a um site?
Resposta: Defina uma sub-rede nica, 10.0.0.0/16.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Por que importante que todas as sub-redes sejam identificadas e
associadas a um site em uma empresa com vrios sites?
Resposta: A localizao de controlador de domnio (e outros servios) fica mais
eficiente por meio da referncia de clientes ao site correto, com base no endereo
IP do cliente e na definio de sub-redes. Se um cliente tiver um endereo IP que
no pertena a um site, a consulta ser feita sobre todos os controladores de
domnio no domnio, e isso no nada eficaz. Na verdade, um nico cliente pode
estar executando aes em controladores de domnio localizados em diferentes
sites, o que pode levar a resultados muito estranhos (se essas alteraes no
tiverem sido replicadas ainda). muito importante que cada cliente saiba em que
site est, e isso conseguido verificando se os controladores de domnio so
capazes de identificar em que site um cliente est.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Configurao do catlogo global e das parties de aplicativos L12-277
Laboratrio B: Configurao do
catlogo global e das parties de
aplicativos

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar um catlogo global
1. Inicie 10222A-HQDC01-B. Esta mquina virtual pode levar alguns minutos
para iniciar.
faa logon.
mas no faa logon.

Tarefa 2: Configurar um servidor de catlogo global
1. Em HQDC01, execute Servios e Sites do Active Directory com credenciais
2. Na rvore de console, expanda HEADQUARTERS, Servers e HQDC02 e
clique no n NTDS Settings abaixo de HQDC02.
3. Clique com o boto direito do mouse no n NTDS Settings abaixo de
HQDC02 e clique em Propriedades.
4. Marque a caixa Catlogo global e clique em OK.
5. Repita as etapas 2 e 3 para confirmar que BRANCHDC01 no site BRANCHA
um servidor de catlogo global.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Configurar o cache de associao de grupo
universal
Tarefa 1: Configurar o cache de associao de grupo universal
1. Na rvore de console, clique em BRANCHA.
2. No painel de detalhes, clique com o boto direito do mouse em NTDS Site
Settings e clique em Propriedades.
3. Clique na guia Configuraes de Site.
4. Marque a caixa de seleo Ativar cache de associao de grupo universal.
5. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Examinar o DNS e as parties de diretrio de
aplicativos
Tarefa 1: Examinar os registros DNS relacionados replicao
1. Execute o Gerenciador DNS com credenciais administrativas. Use a conta
2. Na rvore de console, expanda HQDC01, Zonas de Pesquisa Direta,
contoso.com, _sites e HEADQUARTERS e clique em _tcp em
HEADQUARTERS..
3. Examine os registros de localizador de servio.
4. Na rvore de console, expanda BRANCHA e clique em _tcp em BRANCHA.
5. Examine os registros de localizador de servio.

Tarefa 2: Examinar a partio de diretrio de aplicativos do DNS
1. Clique em Iniciar > Ferramentas Administrativas > ADSI Editar e insira as
credenciais administrativas quando solicitado. Use a conta Pat.Coleman
2. Na rvore de console, clique com o boto direito do mouse em ADSI Editar e
clique em Conectar-se a.
selecione Configurao.
4. Aceite todos os outros padres. Clique em OK.
5. Na rvore de console, clique em Configurao e expanda.
6. Na rvore de console, clique em CN=Configuration, DC=contoso, DC=com e
expanda.
7. Na rvore de console, clique em CN=Partitions.
8. Clique com o boto direito do mouse em ADSI Editar e clique em
Conectar-se a.
9. Clique em Selecione ou digite um Nome Distinto ou Contexto de
Nomenclatura.
10. Na caixa de combinao, digite DC=DomainDnsZones,DC=contoso,DC=com.
Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11. Na rvore de console, clique em Contexto de nomenclatura padro e
expanda.
12. Clique em DC=DomainDnsZones,DC=contoso,DC=com e expanda.
13. Clique em CN=MicrosoftDNS e expanda.
14. Clique em DC=contoso.com.
15. Examine os objetos neste continer. Compare os registros com os registros
DNS que voc examinou no exerccio anterior.

Pergunta: Descreva a relao entre os registros exibidos no ADSI Editar e no
Gerenciador DNS.
Resposta: Todo registro visto nas zonas de pesquisa direta do Gerenciador DNS
tem um registro correspondente nas parties de diretrio de aplicativos do DNS.
Entretanto, os registros conforme exibidos na partio de diretrio de aplicativos
so simples. O Gerenciador DNS apresenta os registros em uma hierarquia.
Pergunta: Quando voc examinou os registros DNS em
_tcp.BRANCHA._sites.contoso.com, qual controlador de domnio estava
registrando os registros de localizador de servio no site? Explique por que ele fez
isso.
Resposta: As respostas iro variar dependendo de qual controlador de domnio
cobrir BRANCHA. Quando o site no tem controladores de domnio, um
controlador de domnio cobre os clientes no site anunciando a si mesmo com o
uso dos registros SRV no site.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Configurao da replicao L12-283
Laboratrio C: Configurao da
replicao

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Criar um objeto de conexo
abaixo e depois percorrer os Exerccios 1 a 3 nos Laboratrios A e B antes de
continuar.
3. Depois de fazer logon em HQDC01, inicie 10222A-HQDC02-B, mas no faa
logon.
faa logon.
mas no faa logon.

Tarefa 2: Criar um objeto de conexo
1. Execute Servios e Sites do Active Directory com credenciais administrativas.
Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda HEADQUARTERS, Servers e HQDC02 e
clique no n NTDS Settings abaixo de HQDC02.
3. Clique com o boto direito do mouse em NTDS Settings e clique em Nova
Conexo dos Servios de Domnio Active Directory.
4. Na caixa de dilogo Localizar Controladores de Domnio do Active
Directory, selecione HQDC01 e clique em OK.
Ser exibida uma mensagem perguntando se voc deseja criar outra conexo.
Como o KCC (Verificador de Consistncia de Conhecimento) j criou uma
conexo de HQDC01 para HQDC02, ser exibida uma mensagem
perguntando se voc deseja criar uma conexo duplicada. A conexo direta
que voc criar ser persistente, enquanto que as conexes geradas
automaticamente pelo KCC podero ser alteradas. Voc deseja garantir que a
conexo sempre ser mantida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5. Clique em Sim.
6. Na caixa de dilogo Novo Objeto Conexo, digite o nome HQDC01 -
MESTRE DE OPERAES e clique em OK.
7. Clique com o boto direito do mouse no objeto de conexo HQDC01 -
MESTRE DE OPERAES em objeto de configuraes NTDS no painel de
detalhes e clique em Propriedades.
Pergunta: Examine as propriedades do objeto de conexo. No faa nenhuma
alterao. Quais parties so replicadas a partir de HQDC01? HQDC02 um
servidor GC? Como saber?
Resposta: HQDC02 replica o domnio (contoso.com), o Esquema e a
Configurao de HQDC01. Ele tambm um servidor de catlogo global. A
propriedade Contexto(s) de Nomenclatura Parcialmente Replicado(s) mostra
Todos os outros domnios. Essa outra forma de descrever o conjunto de atributos
parcial da floresta.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Criar links de sites
Tarefa 1: Criar links de sites
1. Na rvore de console Servios e Sites do Active Directory, expanda Inter-Site
Transports e clique em IP.
DEFAULTIPSITELINK e clique em Renomear.
3. Digite HQ-HQB2 e pressione ENTER.
4. Clique duas vezes em HQ-HQB2.
5. Na guia Geral, na lista Sites presentes neste link de site, clique em
BRANCHA e em Remover. Clique em OK.
6. Na rvore de console, clique com o boto direito do mouse em IP e clique em
Novo Link de Site.
7. Na caixa Nome, digite HQ-BRANCHA.
8. Na lista Sites no presentes neste link de site, clique em HEADQUARTERS e
em Adicionar.
9. Na lista Sites no presentes neste link de site, clique em BRANCHA e em
Adicionar.
10. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
1. Na rvore de console, expanda HEADQUARTERS e clique no n Servers.
BRANCHDC01 e clique em Mover.
3. Clique em BRANCHA e em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 4: Designar um servidor bridgehead preferencial
Tarefa 1: Designar um servidor bridgehead preferencial
1. Na rvore de console, expanda HEADQUARTERS e Servers e clique no n
HQDC02.
2. Clique com o boto direito do mouse em HQDC02 e clique em Propriedades.
3. Na lista Transportes disponveis para transferncia de dados entre sites,
clique em IP.
4. Clique em Adicionar e em OK.
Uma mensagem de aviso longa ser exibida.
5. Leia a mensagem. Voc ir discuti-la no fim do laboratrio.
6. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 5: Configurar a replicao entre sites
Tarefa 1: Configurar a replicao entre sites
1. Na rvore de console, expanda Inter-Site Transports e clique no n IP.
2. No painel de detalhes, clique duas vezes no link de site HQ-HQB2.
3. Na caixa de rotao Replicar a cada, digite 15 e clique em OK.
4. No painel de detalhes, clique duas vezes no link de site HQ-BRANCHA.
5. Na caixa de rotao Replicar a cada, digite 15.
6. Clique no boto Alterar Agendamento.
7. Examine a caixa de dilogo Agendar para HQ-BRANCHA. Experimente a
configurao do agendamento, mas clique em Cancelar quando tiver
terminado.
8. Na caixa de rotao Custo, digite 200.
9. Clique em OK.

Pergunta: Explique a mensagem de aviso exibida quando voc designou HQDC02
como um servidor bridgehead preferencial.
Resposta: Um servidor bridgehead atua como bridgehead somente para as
parties do Active Directory que ele contm. Como HQDC02 no um servidor
DNS, ele no hospeda as parties de aplicativos ForestDnsZones ou
DomainDnsZones. O ISTG continuar a designar automaticamente outro
controlador de domnio no site como servidor bridgehead para essas duas
parties. A mensagem de aviso explicou que a prtica recomendada designar
bridgeheads para cada partio. O ideal seria que o servidor bridgehead
hospedasse todas as parties (nesse caso, inclusive as parties de aplicativos
DNS).
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Quais so as vantagens da reduo do intervalo de replicao entre
sites? Quais so as desvantagens?
Resposta: A convergncia aprimorada. As alteraes feitas em um site so
replicadas com mais rapidez em outros sites. Na verdade, se houver, so poucas as
desvantagens. Se voc considerar que as mesmas alteraes devem ser replicadas
dentro de 15 minutos ou 3 horas, conclui-se que uma questo de durao da
replicao, e no de quantidade de replicao. Entretanto, em algumas situaes
extremas, possvel que a ao de permitir a ocorrncia de um nmero menor de
alteraes com mais frequncia pode ser menos prefervel do que permitir a
replicao de um grande nmero de alteraes com menos frequncia.
Pergunta: O procedimento que voc realizou no Exerccio 2 suficiente para criar
uma topologia de replicao hub e spoke, que garante que todas as alteraes nas
filiais sejam replicadas na matriz antes de serem replicadas em outras filiais? Caso
contrrio, o que ainda deve ser feito?
Resposta: Voc deve desabilitar Ponte entre links de sites.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-293
Mdulo 13: Continuidade do servio de
diretrio
Laboratrio A: Monitoramento do
desempenho e dos eventos do
Active Directory

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L13-294 Mdulo 13: Continuidade do servio de diretrio

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Monitorar o desempenho em tempo real
usando o Gerenciador de Tarefas e o Monitor de Recursos
3. Abra o arquivo D:\Labfiles\Lab13a.
8 Faa logon em HQDC02 como Pat.Coleman com a senha Pa$$w0rd.

Tarefa 2: Monitorar o desempenho em tempo real com o Gerenciador
de Tarefas
2. Pressione CTRL+SHIFT+ESC para iniciar o Gerenciador de Tarefas.
4. Clique com o boto direito do mouse em taskmgr.exe e examine os comandos
disponveis. Em seguida, clique em Propriedades.
A caixa de dilogo Propriedades do executvel ser aberta.
5. Feche a caixa de dilogo Propriedades.
6. Clique em Mostrar processos de todos os usurios.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O Gerenciador de Tarefas ser reaberto com todos os processos exibidos e
todos os recursos administrativos habilitados.
10. Voc pode no ver o Gerenciador de Tarefas porque ele pode estar
minimizado ou atrs de outras janelas. Clique no cone do Gerenciador de
Tarefas na barra de tarefas para torn-lo visvel.
12. Examine a lista completa de processos sendo executados no sistema.
13. Clique na guia Servios.
14. Clique com o boto direito do mouse no servio Dnscache e clique em
Interromper Servio.
15. Clique com o boto direito do mouse no servio Dnscache e clique em Iniciar
Servio.
16. Clique com o boto direito do mouse no servio Dnscache e clique em Ir para
Processo.
Pergunta: Qual processo est hospedando o servio Cliente DNS?
Resposta: svchost.exe
17. Clique com o boto direito do mouse no processo e clique em Ir para
Servio(s).
Pergunta: A guia Servios expe um subconjunto da funcionalidade mais utilizada
de qual snap-in administrativo?
Resposta: O snap-in Servios
18. Clique no boto Servios.
O console Servios ser exibido.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
20. Clique na guia Usurios.
Essa guia exibe os usurios que possuem conexes locais (Console) ou de rea
de trabalho remota com o servidor.
21. Clique na guia Rede.
Essa guia fornece uma viso geral do desempenho de cada adaptador de rede
disponvel.
22. Clique na guia Desempenho.
Essa guia fornece uma viso geral do desempenho de memria e utilizao da
CPU.
Pergunta: Que principal componente do sistema no mostrado pelo gerenciador
de tarefas?
Resposta: Disco

Tarefa 3: Monitorar o desempenho em tempo real com o Monitor de
Recursos
1. No Gerenciador de Tarefas, na guia Desempenho, clique no boto Monitor de
Recursos.
Se for solicitado que voc fornea credenciais administrativas, use a conta
2. O Monitor de Recursos ser exibido. Maximize a janela Monitor de Recursos e
feche o Gerenciador de Tarefas.
3. Clique no grfico CPU. A seo CPU ser expandida.
Pergunta: Quanta utilizao de CPU est sendo gerada pelo prprio Monitor de
Desempenho?
Resposta: As respostas variaro. A utilizao ser elevada no incio, quando a
ferramenta for aberta, e aumentar quando os modos de exibio forem alterados.
Se um modo de exibio for mantido, a utilizao diminui.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5. Clique no grfico CPU. A seo CPU ser recolhida.
6. Clique no grfico Disco. A seo Disco ser expandida.
Perguntas: Qual arquivo est com maior atividade de leitura? Qual processo est
causando a atividade de leitura desse arquivo? Qual arquivo est com maior
atividade de gravao? Qual processo est causando a atividade de gravao desse
arquivo?
Resposta: As respostas variaro.
7. Para visualizar a atividade do arquivo de paginao, clique no rtulo da coluna
Arquivo.
8. Se o arquivo C:\pagefile.sys no estiver listado, abra um aplicativo (como o
Gerenciador de Servidores) com credenciais administrativas. Use a conta
Pat.Coleman admin com a senha Pa$$w0rd. Isso deve gerar alguma atividade
de paginao.
Perguntas: Quantos processos esto lendo ou gravando em pagefile.sys?
Pergunta: Se a atividade de leitura e de gravao do arquivo de paginao for
constantemente alta, que componente do sistema dever ser aumentado?
Resposta: Memria. A paginao excessiva provoca atividade de disco, mas a
prpria paginao provocada pela insuficincia de memria RAM.
9. Feche o Gerenciador de Recursos
10. Clique no boto Iniciar.
11. Na caixa Iniciar Pesquisa, digite perfmon e pressione ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Usurios, membros do grupo Usurios do Monitor de Desempenho, membros
do grupo Usurios do Log de Desempenho e membros do grupo
Administradores local podem acessar nveis crescentes de funcionalidade do
WRPM (Monitor de Desempenho do Windows).
O Monitor de Desempenho ser aberto.
O modo de exibio inicial do console Viso Geral do Recurso, equivalente
ao Monitor de Recursos.
Observe que a rvore de console contm cada um dos snap-ins do WRPM.
15. Feche o Monitor de Desempenho.
16. Clique no boto Iniciar.
17. Na caixa Iniciar Pesquisa, digite perfmon /res e pressione ENTER.
19. Na caixa Senha, digite Pa$$w0rd e pressione ENTER. O Monitor de Recursos
ser aberto.
Essa uma forma alternativa de abrir o Monitor de Recursos (aberto por voc
a partir do Gerenciador de Tarefas), que o modo de exibio inicial do
console do Monitor de Desempenho.
20. Feche o Monitor de Recursos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Usar o Monitor de Confiabilidade e o Visualizar
Eventos para identificar eventos relacionados a
desempenho
Tarefa 1: Monitorar eventos relacionados estabilidade com o
1. Clique no cone Gerenciador de Servidores ao lado do boto Iniciar.
4. Na rvore de console, expanda Diagnstico, Desempenho e Confiana e
Ferramentas de Monitoramento. Em seguida, clique em Monitor de
Confiabilidade.
5. No Relatrio de Estabilidade do Sistema, role a barra para a esquerda e para
a direita.
6. Clique no cone Informaes na linha (Des)instalaes de Software em 9 de
setembro de 2009.
7. Examine os eventos que afetaram a estabilidade do sistema em 9 de setembro
de 2009.

Tarefa 2: Identificar eventos relacionados funo com o Gerenciador
de Servidores
1. Na rvore de console do Gerenciador de Servidores, clique no n raiz
Gerenciador de Servidores.
2. No painel de detalhes, role at a seo Resumo de Funes.
Pergunta: Quais cones aparecem ao lado das funes ADDS e Servidor DNS?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Clique no link da funo Servios de Domnio Active Directory na seo
Resumo de Funes.
4. Na seo Resumo, examine as informaes mostradas na seo Eventos.
5. Clique no link Filtrar Eventos na seo Eventos.
A caixa de dilogo Filtrar Eventos ser exibida.
6. Desmarque a caixa de seleo Informaes e clique em OK.
7. Clique duas vezes em um evento para abrir seus detalhes, examine-o e feche-o.
8. Observe as informaes mostradas na seo Servios do Sistema.

Tarefa 3: Examinar os logs de eventos
1. Na rvore de console do Gerenciador de Servidores, expanda Diagnstico e
Visualizar Eventos. Em seguida, clique em Visualizar Eventos.
O modo de exibio Viso Geral e Resumo do Visualizar Eventos ser aberto
no painel de detalhes.
2. Na seo Resumo dos Eventos Administrativos, clique no cone do sinal de
adio (+) ao lado de Erro para expandir o resumo dos eventos de Erro.
3. Clique duas vezes em uma linha de resumo com ActiveDirectory como
origem.
Se voc no vir uma linha no resumo com ActiveDirectory como a origem,
clique duas vezes em outra linha no resumo de eventos de Erro.
O modo de exibio Eventos da pgina de resumo ser aberto no painel de
detalhes.
Esse modo de exibio "faz uma busca detalhada" para mostrar os eventos que
foram resumidos na linha do resumo de eventos de Erro.
4. Na rvore de console, expanda Logs do Windows e Logs de Aplicativos e
Servios.
5. Examine os logs contidos nos ns e os tipos de eventos exibidos.
6. Na rvore de console, clique no n Eventos Administrativos em Modos de
Exibio Personalizados.
7. Examine os eventos no modo de exibio.
8. Clique com o boto direito do mouse em Eventos Administrativos e em
Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
9. Observe que Descrio indica que o modo de exibio mostra os eventos
Crtico, Erro e Aviso de todos os logs administrativos.
10. Clique no boto Editar Filtro.
A caixa de dilogo Propriedades do Modo de Exibio Personalizado (Somente
Leitura) ser exibida
11. Observe que esse modo de exibio personalizado no pode ser modificado
pois ele Somente Leitura.
12. Observe tambm que difcil saber exatamente quais logs esto sendo
includos na lista Logs de Eventos. As informaes esto truncadas.
13. Clique na guia XML.
Pergunta: Voc pode identificar quais logs esto includos usando as informaes
da guia XML?
Resposta: Os logs de Aplicativo, Segurana, Sistema, Replicao DFS, Servio de
Diretrio, Servidor DNS, Eventos de hardware, Internet Explorer, Servio de
Gerenciamento de Chaves e Microsoft-Windows-TerminalServices-
PnPDevices/Admin esto includos.
Pergunta: Em cada elemento XML Select, voc acha que Nvel se refere a qu?
Resposta: O Nvel se refere ao nvel do evento: eventos de Aviso, de Erro ou
Crticos.
14. Clique em Cancelar duas vezes para fechar as caixas de dilogo abertas.

Tarefa 4: Criar um modo de exibio personalizado
1. Na rvore de console, clique em Modos de Exibio Personalizados.
2. Clique com o boto direito do mouse em Modos de Exibio Personalizados
e clique em Criar Modo de Exibio Personalizado.
A caixa de dilogo Criar Modo de Exibio Personalizado ser exibida.
3. Nas opes de Nvel do evento, selecione Nvel crtico, Aviso e Erro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Na lista Logs de eventos, expanda Logs de Aplicativos e Servios e selecione
Replicao DFS, Servio de Diretrio e Servidor DNS.
5. Clique em OK.
A caixa de dilogo Salvar Filtro no Modo de Exibio Personalizado ser
exibida.
6. Em Nome, digite Modo de Exibio Personalizado de Eventos do Servio de
Diretrio e clique em OK.
7. Na rvore de console, clique com o boto direito do mouse em Modo de
Exibio Personalizado de Eventos do Servio de Diretrio e examine os
comandos que esto disponveis para o modo de exibio.

Tarefa 5: Exportar um modo de exibio personalizado
1. Na rvore de console, clique com o boto direito do mouse em Modo de
Exibio Personalizado de Eventos do Servio de Diretrio e clique em
Exportar Modo de Exibio Personalizado.
A caixa de dilogo Salvar como ser exibida.
2. Em Nome do arquivo, digite D:\Data\DSEventView e pressione ENTER.

Tarefa 6: Importar um modo de exibio personalizado
5. Na rvore de console, expanda Diagnstico, Visualizar Eventos e Modos de
Exibio Personalizados. Em seguida, clique em Modos de Exibio
Personalizados.
6. Clique com o boto direito do mouse em Modos de Exibio Personalizados
e clique em Importar Modo de Exibio Personalizado.
A caixa de dilogo Importar Modo de Exibio Personalizado ser aberta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Em Nome do Arquivo, digite \\HQDC01\Data\DSEventView.xml e
pressione ENTER.
A caixa de dilogo Importar Arquivo de Modo de Exibio Personalizado ser
exibida.
8. Em Nome, digite Modo de Exibio Personalizado de Eventos do Servio de
Diretrio e clique em OK.
A mensagem Erro de Consulta ser exibida, pois HQDC02 no um Servidor
DNS (Sistema de Nomes de Domnio) e, portanto, no possui log de Servidor
DNS.
9. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Monitorar eventos em computadores remotos
com inscries de eventos
Tarefa 1: Configurar computadores para encaminhar e coletar eventos
1. Alterne para HQDC01 (o computador coletor).
3. Digite wecutil qc e pressione ENTER.
Voc solicitado a confirmar a alterao.
4. Digite Y e pressione ENTER.
5. Alterne para HQDC02 (o computador de origem).
7. Digite winrm quickconfig e pressione ENTER.
Voc solicitado a confirmar a alterao.

Tarefa 2: Criar uma inscrio para coletar eventos
2. Alterne para o Gerenciador de Servidores.
3. Na rvore de console, em Visualizar Eventos, clique em Inscries.
4. Clique com o boto direito do mouse em Inscries e clique em Criar
Inscrio.
A caixa de dilogo Propriedades da Inscrio ser exibida.
5. Em Nome da inscrio, digite Servios do DC.
6. Verifique se a opo Coletor iniciado est selecionada.
7. Clique no boto Selecionar Computadores.
A caixa de dilogo Computadores ser exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. Clique no boto Adicionar Computadores de Domnio.
A caixa de dilogo Selecionar Computador ser exibida.
9. Digite HQDC02 e clique em OK.
10. Clique no boto Testar.
Ser exibida uma mensagem do Visualizar Eventos, indicando que o teste de
conectividade foi bem-sucedido.
11. Clique em OK.
12. Clique em OK para fechar a caixa de dilogo Computadores.
13. Clique no boto Selecionar Eventos.
A caixa de dilogo Filtro de Consulta ser aberta.
14. Clique na caixa de seleo Informaes na seo Nvel do evento: .
15. Clique na seta suspensa Logs de Eventos.
16. Expanda Logs do Windows e selecione o Log do sistema.
17. Clique na caixa Inclui/Exclui Identificaes de Evento.
18. Digite 7036, a Identificao do Evento associada inicializao ou
interrupo de um servio.
19. Clique em OK.
A caixa de dilogo Configuraes de Inscrio Avanadas ser exibida.
21. Clique em Usurio Especfico.
22. Clique no boto Usurio e Senha.
A caixa de dilogo Credenciais para a Origem da Inscrio ser exibida.
23. Em Nome de usurio, digite CONTOSO\Pat.Coleman Admin.
Estamos usando uma conta que membro do grupo Admins do Domnio
neste laboratrio, mas voc dever criar uma conta dedicada a executar esse
monitoramento em um ambiente do mundo real.
25. Clique na opo Minimizar Latncia e clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
26. Clique em OK para fechar a caixa de dilogo Propriedades da Inscrio.
27. Se forem exibidas mensagens do Visualizar Eventos, clique em Sim.
28. Verifique se a coluna Status da inscrio indica Ativa.

Tarefa 3: Gerar eventos
2. No prompt de comando (sendo executado como administrador), digite net
stop dfsr e pressione ENTER.
3. Digite net start dfsr e pressione ENTER.

Tarefa 4: Exibir eventos encaminhados
Os eventos encaminhados podem levar alguns minutos para serem exibidos.
Se os eventos no forem exibidos imediatamente, aguarde alguns minutos,
inicie e pare o servio DFSR (Replicao do Sistema de Arquivos Distribudos)
em HQDC02 novamente e aguarde mais alguns minutos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 4: Anexar tarefas a eventos e logs de eventos
Tarefa 1: Anexar uma tarefa a um log de eventos e a um evento
3. Clique com o boto direito do mouse em Eventos Encaminhados e clique em
Anexar uma Tarefa a este Log e em Avanar.
4. Na pgina Quando um Evento Especfico for Registrado, clique em Avanar.
Voc pode invocar uma tarefa quando um evento correspondente a critrios
especificados for registrado ou quando algum evento for adicionado a um log.
Para cada disparador, possvel enviar uma mensagem de email, iniciar um
programa ou exibir uma mensagem na rea de trabalho. Em um ambiente de
produo, enviar uma mensagem de email ou iniciar um programa que
responda a um evento so as tarefas mais comuns para serem invocadas.
Entretanto, neste laboratrio, voc usar a tarefa "exibir uma mensagem" para
demonstrar que, na prtica, as tarefas so disparadas.
5. Na pgina Ao, clique em Exibir uma Mensagem e em Avanar.
6. Na pgina Exibir uma Mensagem, em Ttulo, digite Evento Encaminhado
Recebido.
7. Em Mensagem, digite Um evento encaminhado foi recebido.
9. Clique em OK para reconhecer a mensagem do Visualizar Eventos.
10. No painel de detalhes, clique com o boto direito do mouse em um dos 7036
eventos. Em seguida, clique em Anexar Tarefa a este Evento e em Avanar.
11. Na pgina Quando um Evento Especfico for Registrado, clique em Avanar.
12. Na pgina Ao, clique em Exibir uma Mensagem e em Avanar.
13. Na pgina Exibir uma Mensagem, em Ttulo, digite Evento do Servio DC.
14. Em Mensagem, digite Um servio foi iniciado ou parado.
16. Clique em OK para reconhecer a mensagem do Visualizar Eventos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
17. Na rvore de console, expanda Configurao, Agendador de Tarefas e
Biblioteca do Agendador de Tarefas. Em seguida, clique em Tarefas de
Visualizar Eventos.
18. Clique duas vezes na primeira tarefa do visualizar eventos.
19. Explore as propriedades da tarefa que voc criou.

Tarefa 2: Preparar para exibir as mensagens de tarefa do visualizar
eventos
Ao optar por exibir uma mensagem em uma tarefa, pois as mensagens so exibidas
na rea de trabalho do usurio cuja conta usada para criar a tarefa do visualizar
eventos (Pat.Coleman Admin), voc precisar fazer logon interativamente como
Pat.Coleman Admin para experimentar completamente essa simulao.
1. Clique no boto Iniciar, em seguida, clique na seta ao lado do boto Bloquear
e clique em Fazer Logoff.
O prompt de logon ser exibido.
2. Pressione ALT+DEL. Isso envia a sequncia de teclas segura
6. Na caixa Senha, digite Pa$$w0rd e pressione ENTER ou clique na seta de
logon.

Tarefa 3: Confirmar se as tarefas do visualizar eventos esto
funcionando
2. No prompt de comando (sendo executado como administrador), digite net
stop dfsr e pressione ENTER.
3. Digite net start dfsr e pressione ENTER.
5. Aguarde at que as mensagens de tarefa de visualizar eventos sejam exibidas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 5: Monitorar o AD DS (Servios de Domnio Active
Directory) com o Monitor de Desempenho
Tarefa 1: Configurar o Monitor de Desempenho para monitorar o AD
DS
2. Na rvore de console do Gerenciador de Servidores, expanda Diagnstico,
Confiabilidade e Desempenho e Ferramentas de Monitoramento. Em
seguida, clique em Monitor de Desempenho.
3. Clique no boto Adicionar (o sinal de adio verde) na barra de ferramentas
para adicionar objetos e contadores.
A caixa de dilogo Adicionar Contadores ser exibida.
4. Na lista Contadores disponveis, expanda o objeto DirectoryServices.
5. Clique no contador Total de Bytes de Entrada DRA/s e no boto Adicionar.
6. Repita a etapa anterior para adicionar os contadores a seguir:
Total de Bytes de Sada DRA/s
Threads DS em Uso
Leituras de Pastas DS/s
Gravaes em Pastas DS/s
Pesquisas de Pastas DS/s
7. Na lista Contadores disponveis, expanda o objeto Estatsticas Vastas do
Sistema de Segurana.
8. Selecione o contador Autenticaes Kerberos e clique no boto Adicionar.
9. Na lista Contadores disponveis, expanda o objeto DNS.
10. Selecione o contador Consulta UDP Recebida/s e clique no boto Adicionar.
11. Clique em OK.
12. Observe o desempenho por algum tempo.
13. Na lista de contadores abaixo do grfico, selecione Consulta UDP Recebida/s.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
14. Clique no boto Realar na barra de ferramentas.
O contador selecionado ser realado, facilitando a visualizao do
desempenho desse contador.
15. Clique novamente no boto Realar na barra de ferramentas para desativar o
realce.
16. Gaste algum tempo explorando a funcionalidade do Monitor de Desempenho.
Entretanto, no adicione nem remova contadores.

Tarefa 2: Criar um Conjunto de Coletores de Dados a partir de
contadores do Monitor de Desempenho
1. Na rvore de console, clique com o boto direito do mouse em Monitor de
Desempenho, aponte para Novo e clique em Conjunto de Coletores de
Dados.
A caixa de dilogo Criar novo Conjunto de Coletores de Dados ser exibida.
2. Em Nome, digite Contadores de Desempenho Personalizados do ADDS e
clique em Avanar.
3. Anote o diretrio raiz padro no qual o conjunto de coletores de dados ser
salvo e clique em Avanar.

Tarefa 3: Iniciar um Conjunto de Coletores de Dados
1. Na rvore de console, expanda Conjuntos de Coletores de Dados e Definido
pelo Usurio. Em seguida, clique em Definido pelo Usurio.
2. Clique com o boto direito do mouse em Contadores de Desempenho
Personalizados do ADDS e clique em Iniciar.
O n Contadores de Desempenho Personalizados do ADDS ser selecionado
automaticamente.
Voc pode identificar os coletores de dados individuais no Conjunto de
Coletores de Dados. Neste caso, s existe um coletor de dados (os contadores
de desempenho do Log do Monitor do Sistema) no conjunto de coletores de
dados.
Voc tambm pode identificar onde a sada do coletor de dados est sendo
salva.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Na rvore de console, clique com o boto direito do mouse no conjunto de
coletores de dados Contadores de Desempenho Personalizados do ADDS e
clique em Parar.

Tarefa 4: Exibir um relatrio do Conjunto de Coletores de Dados
Na rvore de console, expanda Relatrios, Definido pelo Usurio e
Contadores de Desempenho Personalizados do ADDS. Em seguida, clique
em Log do Monitor do Sistema.blg.
O grfico dos contadores de desempenho do log ser exibido.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 6: Trabalhar com Conjuntos de Coletores de
Dados
Tarefa 1: Examinar um Conjunto de Coletores de Dados predefinido
1. Ainda em HQDC02 conectado como contoso\Pat.Coleman com a senha
Pa$$w0rd.
Confiabilidade e Desempenho, Conjuntos de Coletores de Dados e Sistema.
Em seguida, clique em Diagnstico do Active Directory.
Pergunta: Quais coletores de dados fazem parte do Conjunto de Coletores de
Dados?
Resposta: Rastreamentos de evento para Ncleo do NT e Active Directory,
Configurao para Registro do AD e Contadores de Desempenho
3. Clique com o boto direito do mouse em Diagnstico do Active Directory e
clique em Iniciar.
4. Na rvore de console, expanda Relatrios, Sistema e Diagnstico do Active
Directory. Em seguida, clique no relatrio, que ser denominado aaaammdd-
xxxx, onde aaaa o ano atual, mm o ms atual, dd o dia atual e xxxx um
nmero de srie crescente de quatro dgitos.
O Status do Relatrio indica que os dados esto sendo coletados por 300
segundos (cinco minutos).
5. Espere cinco minutos ou pelo menos um minuto e clique com o boto direito
do mouse em Diagnstico do Active Directory em Conjuntos de Coletores
de Dados\Sistema. Em seguida, clique em Parar.
O Status do Relatrio indica que o relatrio est sendo gerado.
O relatrio ser exibido.
6. Gaste alguns minutos examinando as sees do relatrio.
7. Clique com o boto direito do mouse no relatrio, aponte para Exibir e clique
em Monitor de Desempenho.
em Relatrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
em Pasta.
10. No painel de detalhes, clique duas vezes em Contador de Desempenho.
O log ser aberto em uma nova instncia do Monitor de Desempenho.
11. Se a nova instncia do WRPM estiver minimizada, abra-a clicando no boto
correspondente na barra de ferramentas.
12. Feche a nova instncia do WRPM.
13. Na rvore de console do Gerenciador de Servidores, expanda Ferramentas de
Monitoramento e clique em Monitor de Desempenho.
14. Clique no boto Exibir Dados de Logs na barra de ferramentas, que o
segundo boto na extrema esquerda da barra.
A caixa de dilogo Propriedades do Monitor de Desempenho ser aberta.
15. Clique na opo Arquivos de log.
A caixa de dilogo Selecionar Arquivo de Log ser aberta, com foco em
C:\PerfLogs.
17. Clique duas vezes em ADDS.
18. Clique duas vezes na pasta com o mesmo nome que o relatrio gerado por
voc.
19. Clique em Contador de Desempenho e em Abrir.
20. Clique em OK.
21. Observe que os contadores no ficam visveis imediatamente.
22. Clique no sinal de adio verde (o boto Adicionar) na barra de ferramentas.
23. Na lista Contadores disponveis, expanda o objeto DirectoryServices.
24. Selecione Leituras de Pastas DS/s, Pesquisas de Pastas DS/s e Gravaes
em Pastas DS/s. Em seguida, clique em Adicionar.
25. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Criar um Conjunto de Coletores de Dados
Confiabilidade e Desempenho e Conjuntos de Coletores de Dados. Em
seguida, clique em Definido pelo Usurio.
2. Clique com o boto direito do mouse em Definido pelo Usurio, aponte para
Novo e clique em Conjunto de Coletores de Dados.
3. Na pgina Criar novo Conjunto de Coletores de Dados, na caixa Nome,
digite Diagnstico Personalizado do ADDS.
4. Clique na opo Criar usando um modelo (recomendado).
6. Na pgina Qual modelo deseja usar?, selecione Diagnstico do Active
Directory e clique em Avanar.
7. Na pgina Onde deseja salvar os dados?, no Diretrio raiz, crie uma pasta
C:\Conjuntos de Coletores de Dados do ADDS e clique em Avanar.
8. Na pgina Criar conjunto de coletores de dados?, clique no boto Alterar.
A caixa de dilogo Credenciais do Monitor de Desempenho ser exibida.
10. Em Senha, digite Pa$$w0rd e clique em OK.
Em um ambiente de produo, a conta que voc usa deve ser uma conta de
domnio exclusiva e membro do grupo Usurios do Log de Desempenho e ter
o direito de logon de usurio como um trabalho em lotes. Por padro, o grupo
Usurios do Log de Desempenho tem esse direito, portanto voc pode
simplesmente criar uma conta de domnio e torn-la um membro do grupo.

Tarefa 3: Configurar condies de incio de um Conjunto de Coletores
de Dados
1. Na rvore de console, clique com o boto direito do mouse em Diagnstico
Personalizado do ADDS e clique em Propriedades.
A caixa de dilogo Propriedades de Diagnstico Personalizado do ADDS ser
exibida.
2. Clique na guia Agendar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A caixa de dilogo Ao da Pasta ser exibida.
4. Confirme que Data de incio a data de hoje.
5. Marque a caixa de seleo Data de validade.
6. Na lista suspensa Data de validade, selecione a data correspondente a daqui a
uma semana.
7. Configure a hora de incio para cinco minutos aps o horrio atual. Anote a
hora de incio configurada.
Observe que a propriedade Data de validade especifica quando novas
instncias da coleta de dados deixaro de ser iniciadas. Ela no interrompe
sesses existentes. preciso configurar a Condio de Parada para especificar
quando a coleta de dados ser interrompida.
8. Clique em OK.
9. Na caixa de dilogo Propriedades de Diagnstico Personalizado do ADDS,
clique em Aplicar.

Tarefa 4: Configurar condies de parada de um Conjunto de
Coletores de Dados
1. Clique na guia Condio de Parada.
2. Marque a caixa de seleo Durao Geral.
3. Configure a durao como 2 Minutos.
Em um ambiente de produo, provavelmente voc executaria um coletor de
dados por um perodo de tempo mais longo.
4. Marque a caixa de seleo Interromper quando todos os coletores de dados
tiverem terminado.
Essa opo permite que os coletores de dados que estejam sendo executados
quando a Durao Geral for atingida terminem de gravar os valores mais
recentes.
5. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5: Configurar o gerenciamento de dados de um coletor de
dados
1. Clique com o boto direito do mouse em Diagnstico Personalizado do
ADDS e clique em Gerenciador de Dados.
2. Na guia Gerenciador de Dados, clique na lista Diretiva de recurso e selecione
Excluir mais antigo.
3. Clique na guia Aes.
4. Clique em 1 Dia(s).
5. Clique no boto Editar.
A caixa de dilogo Ao da Pasta ser exibida.
6. Na seo Ao, marque a caixa de seleo Copiar arquivo cab para este
diretrio.
7. Na caixa Copiar arquivo cab para este diretrio, digite
\\hqdc01\ADDS_Diag_Reports.
8. Confirme se as caixas de seleo Criar arquivo cab e Excluir arquivo de
dados esto selecionadas.
9. Clique em OK.
10. Clique em OK.
11. Em Nome de usurio, digite Contoso\Pat.Coleman Admin.

Tarefa 6: Exibir os resultados da coleta de dados
1. Espere at o horrio que voc configurou como a hora de incio do Conjunto
de Coletores de Dados.
2. Selecione o relatrio em Relatrios\Definido pelo Usurio\Diagnstico
Personalizado do ADDS.
O Status do Relatrio indica que os dados esto sendo coletados por 120
segundos (dois minutos).
Aps a concluso da coleta de dados, o Status do Relatrio indica que o
relatrio est sendo gerado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Gaste alguns minutos examinando o relatrio.
4. Clique com o boto direito do mouse no relatrio na rvore de console, aponte
para Exibir e clique em Pasta.
5. Clique duas vezes em Contador de Desempenho no painel de detalhes.
Uma nova instncia do Monitor de Desempenho ser aberta, com o Monitor
de Desempenho exibindo os dados registrados no log Contador de
Desempenho.
6. Gaste alguns minutos examinando o grfico de desempenho e, em seguida,
feche a janela.

Pergunta: No momento, em quais situaes voc usa ou pretende usar inscries
de eventos como uma ferramenta de monitoramento?
Resposta: As respostas podem variar de acordo com a situao.
Pergunta: Para quais eventos ou contadores de desempenho voc consideraria a
possibilidade de anexar aes ou notificaes por email? No momento, voc usa
aes ou notificaes no monitoramento da sua empresa?
Resposta: As respostas podem variar de acordo com a situao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Gerenciamento do banco de dados do Active Directory L13-319
Laboratrio B: Gerenciamento do
banco de dados do Active
Directory

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Realizar manuteno do banco de dados
Laboratrio A. Entretanto, caso no estejam, voc deve concluir as etapas abaixo.

Tarefa 2: Preparar para compactar o banco de dados do Active
Directory
2. Digite md D:\NTDSCompact.
3. Digite md D:\NTDSOriginal.

Tarefa 3: Parar o servio do AD DS
boto direito do mouse em Servios e clique em Executar como
administrador.
O console Servios ser aberto.
5. Clique em Servios de Domnio Active Directory.
6. Clique no boto Parar na barra de ferramentas.
Ser exibida a caixa de dilogo Interromper Outros Servios, informando
sobre os servios dependentes que tambm sero parados.
7. Clique em Sim.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Compactar o banco de dados do Active Directory
4. Digite files e pressione ENTER.
5. Digite compact to D:\NTDSCompact e pressione ENTER.
NTDSUtil compactar o banco de dados em uma nova cpia de NTDS.dit na
pasta D:\NTDSCompact.
6. Espere at que a operao seja concluda.
Voc ser lembrado de que precisa copiar o arquivo compactado sobre a
verso atual de ntds.dit e excluir os arquivos de log. Na prxima tarefa, voc
realizar procedimentos mais eficazes que tambm fazem backup do Active
Directory.

Tarefa 5: Substituir o banco de dados do Active Directory pela cpia
compactada
1. Digite cd %systemroot%\ntds e pressione ENTER.
2. Digite move ntds.dit D:\NTDSOriginal e pressione ENTER.
3. Digite move *.log D:\NTDSOriginal e pressione ENTER.
4. Digite copy D:\NTDSCompact\ntds.dit e pressione ENTER.

Tarefa 6: Verificar a integridade do banco de dados compactado
2. Digite activate instance NTDS e pressione ENTER.
3. Digite files e pressione ENTER.
4. Digite integrity e pressione ENTER.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Digite semantic database analysis e pressione ENTER.
7. Digite go fixup e pressione ENTER.

Tarefa 7: Iniciar o servio do AD DS
1. Alterne para o console Servios.
2. Clique em Servios de Domnio Active Directory.
3. Clique no boto Iniciar na barra de ferramentas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Trabalhar com instantneos e recuperar um
usurio excludo
Tarefa 1: Criar um instantneo do Active Directory
3. Digite snapshot e pressione ENTER.
5. Digite create e pressione ENTER.
O comando retornar uma mensagem indicando que o conjunto de
instantneos foi gerado com xito. O GUID exibido importante para
comandos em tarefas posteriores. Anote-o ou copie-o na rea de Transferncia.

Tarefa 2: Fazer uma alterao no Active Directory
Accounts. Em seguida, clique na UO Employees.
3. Clique com o boto direito do mouse na conta de usurio referente a
CN=Adriana Giorgi e clique em Excluir.
Um prompt de confirmao ser exibido.
4. Clique em Sim.

Tarefa 3: Montar um instantneo do Active Directory e criar uma nova
instncia
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5. Digite list all e pressione ENTER.
O comando retornar uma lista de todos os instantneos.
6. Digite mount guid, onde guid o GUID retornado pelo comando para criar
instantneo. Em seguida, pressione ENTER.
Por exemplo, mount xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Voc dever receber uma mensagem informando: "..xxxxxx foi montado.."
9. Digite dsamain -dbpath
c:\$snap_datetime_volumec$\windows\ntds\ntds.dit -ldapport 50000 e
pressione ENTER.
Observe que datetime ser um valor exclusivo para voc. Deve haver apenas
uma pasta na unidade C com um nome que comece com $snap.
Uma mensagem indicar que a inicializao dos Servios de Domnio Active
Directory est concluda. Deixe Dsamain.exe em execuo. No feche o
prompt de comando.

Tarefa 4: Explorar um instantneo com Usurios e Computadores do
Active Directory
2. Clique com o boto direito do mouse no n raiz e clique em Alterar
Controlador de Domnio.
A caixa de dilogo Alterar Servidor de Diretrio ser exibida.
3. Clique em <Digite um nome de Servidor de Diretrio[:porta] aqui>.
4. Digite HQDC01:50000 e pressione ENTER.
5. Clique em OK.
7. Observe que o objeto de Adriana Giorgi exibido porque o instantneo foi
feito antes de exclu-lo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5 (opcional): Usar LDP para restaurar um objeto excludo
Restaurar uma conta de usurio excluda uma tarefa que no est relacionada
diretamente com os instantneos. Use o comando Ldp.exe para reanimar objetos
do continer Objetos Excludos do Active Directory. Como um objeto excludo tem
a maioria dos seus atributos eliminados, um instantneo pode ser til para
examinar os atributos do objeto antes de sua excluso.
1. Clique no boto Iniciar. Na caixa Iniciar Pesquisa, digite LDP.exe e pressione
CTRL+SHIFT+ENTER, o que executa o comando como administrador.
O LDP ser aberto.
7. Clique no menu Opes e em Controles.
8. Na lista Carregar Predefinidos, clique em Retornar Objetos Excludos e em
OK.
10. Na rvore de console, expanda DC=contoso,DC=com e clique duas vezes em
CN=Deleted Objects,DC=contoso,DC=com.
11. Clique com o boto direito do mouse em CN=Adriana Giorgi e clique em
Modificar.
14. Clique no boto Enter.
16. Na caixa Valores, digite CN=Adriana Giorgi,OU=Employees,OU=User
Accounts,DC=contoso,DC=com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
22. Feche o LDP.
25. Observe que a conta de Adriana Giorgi est restaurada. Entretanto, todos os
atributos esto faltando, inclusive a descrio e a senha. Como a senha est
faltando, a conta foi desabilitada.
26. Alterne para a instncia de Usurios e Computadores do Active Directory que
est exibindo os dados do instantneo.
27. Observe que voc pode usar os atributos contidos no instantneo para
repopular manualmente os atributos no Active Directory.
28. Feche ambas as instncias de Usurios e Computadores do Active Directory.

Tarefa 6: Desmontar um instantneo do Active Directory
2. Pressione CTRL+C para parar o DSAMain.exe.
6. Digite unmount guid, onde guid o GUID do instantneo. Em seguida,
pressione ENTER.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Em que outras situaes pode ser til montar um instantneo do Active
Directory?
Resposta: Se voc descobrir um problema com o Active Directory que exija a
restaurao de um backup, convm examinar os instantneos para determinar
exatamente at onde precisar restaurar. Depois que tiver encontrado o
instantneo onde residem os dados corretos, voc poder restaurar o backup feito
na mesma data.
Pergunta: Quais so as desvantagens de restaurar um objeto excludo com uma
ferramenta como LDP?
Resposta: Voc precisa repopular todos os atributos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio C: Backup e restaurao do Active Directory L13-329
Laboratrio C: Backup e
restaurao do Active Directory

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Fazer backup do Active Directory
abaixo.

Tarefa 2: Instalar o recurso Backup do Windows Server
5. O Gerenciador de Servidores ser aberto.
6. Na rvore de console, clique em Recursos.
7. No painel de detalhes, clique no link Adicionar Recursos.
8. Na pgina Selecionar Recursos, expanda Recursos de Backup do Windows
Server e marque as caixas de seleo Backup do Windows Server e
Ferramentas da Linha de Comando.
Quando voc seleciona Ferramentas da Linha de Comando, o Assistente para
Adicionar Recursos solicita que seja instalado o Windows PowerShell, um
recurso necessrio.
9. Clique em Adicionar Recursos Necessrios.
11. Clique em Instalar.
12. Quando a instalao for concluda, clique em Fechar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Criar um backup agendado
1. V para Iniciar > Ferramentas Administrativas > e execute o Backup do
Windows Server com credenciais administrativas. Use a conta Pat.Coleman
2. No painel Aes, clique no link Agendamento de Backup .
O Assistente de Agendamento de Backup ser exibido.
3. Na pgina Iniciando, clique em Avanar.
4. Na pgina Selecionar configurao de backup, clique em Personalizar e em
Avanar.
5. Na pgina Selecione os itens de backup, desmarque a caixa de seleo
Unidade 10222A (D:) e clique em Avanar.
6. Na pgina Especificar horrio do backup, clique em Uma vez por dia.
7. Na lista Selecione a hora do dia, selecione 00:00.
9. Na pgina Selecione o disco de destino, clique em Mostrar Todos os Discos
Disponveis.
A caixa de dilogo Mostrar Todos os Discos Disponveis ser exibida.
10. Utilize a tecla TAB para marcar a caixa de seleo Disco 1 e clique na tecla TAB
trs vezes (caso o boto OK no esteja visvel).
11. Na pgina cjcagml cmbgqambcbcqrgl m, marque a caixa de seleo Disco 1 e
clique em Avanar (caso o boto OK ou Avanar no esteja visvel, utilize
sempre a tecla TAB para continuar e selecionar).
A caixa de dilogo Backup do Windows Server ser exibida, informando que
todos os dados do disco sero excludos.
12. Clique em Sim para continuar.
13. Na pgina Rotular disco de destino, clique em Avanar.
14. Na pgina Confirmao, clique em Cancelar para evitar a formatao da
unidade D.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Fazer um backup interativo
1. No painel Aes do console Backup do Windows Server, clique no link
Backup nico.
O Assistente de Backup nico ser exibido.
2. Na pgina Opes de backup, verifique se Opes diferentes est selecionado
e clique em Avanar.
3. Na pgina Selecionar configurao de backup, clique em Personalizar e em
Avanar.
4. Na pgina Selecione os itens de backup, verifique se a caixa de seleo
Habilitar recuperao do sistema est marcada e clique em Avanar.
5. Na pgina Especifique o tipo de destino, clique em Avanar.
6. Na pgina Selecione os itens de backup, clique em Avanar.
7. Na pgina Especificar opo avanada, clique em Backup completo VSS e
em Avanar.
8. Na pgina Confirmao, clique em Backup.
O backup levar aproximadamente 10 a 15 minutos para ser concludo. Aps
a concluso do backup, feche o Backup do Windows Server.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Restaurar o Active Directory e uma UO excluda
Tarefa 1: Excluir a UO Employees
1. Ainda em HQDC01, execute Usurios e Computadores do Active Directory
com credenciais administrativas. Use a conta Pat.Coleman Admin com a
senha Pa$$w0rd.
2. Na rvore de console, expanda contoso.com, e clique na UO User Accounts.
3. No painel de detalhes, clique com o boto direito do mouse em Prestadores
de Servios e clique em Excluir.
4. Clique em Sim.
Um aviso de confirmao ser exibido.
5. Clique em Sim.
6. Espere at que a excluso seja concluda.
10. Verifique se a UO Contractors foi excluda.

Tarefa 2: Reiniciar no DSRM (Modo de Restaurao de Servios de
Diretrio)
3. Digite bcdedit /set safeboot dsrepair e pressione ENTER.
4. Digite shutdown -t 0 -r e pressione ENTER.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Restaurar os dados do estado do sistema
O prompt de comando ser aberto.
3. Digite wbadmin get versions -backuptarget:D: -machine:HQDC01 e
pressione ENTER.
4. Observe as informaes de verso retornadas.
5. Digite wbadmin start systemstaterecovery -version:verso -backuptarget:D: -
machine:HQDC01, onde verso o nmero que voc gravou na etapa
anterior. Em seguida, pressione ENTER.
Ou seja, wbadmin inicia systemstaterecovery -version:10/14/2009-01:11 -
backuptarget:D: -machine:HQDC01
A restaurao levar cerca de 30 a 35 minutos. Dependendo da mquina host,
pode levar at uma hora.

Tarefa 4: Marcar as informaes restauradas como autoritativas e
reiniciar o servidor
1. No prompt de comando, digite ntdsutil e pressione ENTER.
3. Digite authoritative restore e pressione ENTER.
4. Digite restore subtree "ou=Contractors,ou=User
Accounts,dc=contoso,dc=com" e pressione ENTER.
5. Clique em Sim na caixa de mensagem de confirmao exibida.
8. Digite bcdedit /deletevalue safeboot e pressione ENTER.
9. Digite shutdown -t 0 -r e pressione ENTER.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5: Verificar se os dados excludos foram restaurados
5. Verifique se a UO Contractors foi restaurada.
clique na UO User Accounts
8. Pressione F5 (Atualizar).
9. Verifique se a UO Contractors foi restaurada.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pergunta: Que tipo de controlador de domnio e plano de backup do servio de
diretrio voc possui? O que voc espera fazer depois de ter concludo esta lio e
este Laboratrio?
Pergunta: Quando voc restaurar um usurio excludo (ou uma UO com objetos
de usurio) usando a restaurao autoritativa, os objetos sero exatamente os
mesmos de antes? Que atributos talvez no sejam os mesmos?
Resposta: As respostas podem variar um pouco, mas a pergunta visa provocar uma
discusso sobre associao de grupo. A associao de grupo de um usurio no
um atributo do objeto de usurio, mas sim do objeto de grupo. Quando voc
restaura um usurio de forma autoritativa, no est restaurando a associao dos
usurios nos grupos. O usurio foi removido do atributo de membro dos grupos
ao ser excludo. Por isso, o usurio restaurado no ser membro de nenhum grupo
que no seja o primrio. Para restaurar associaes de grupo, voc precisaria
considerar a possibilidade de restaurar tambm os grupos de forma autoritativa.
Isso pode ou no ser desejvel, pois, quando voc restaura autoritativamente os
grupos, retorna a associao deles ao dia em que o backup foi feito.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Elevao de nveis funcionais de domnio e de floresta L14-339
Mdulo 14: Gerenciamento de vrios domnios
e florestas
Laboratrio A: Elevao de nveis
funcionais de domnio e de floresta

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L14-340 Mdulo 14: Gerenciamento de vrios domnios e florestas

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Elevar o nvel funcional de domnio para
Windows Server 2003

Tarefa 2: Confirmar se o nvel funcional de domnio atual Windows
2000 Nativo
credenciais administrativas. Use a conta Sara.Davis_Admin com a senha
Pa$$w0rd.
tailspintoys.com e clique em Elevar o Nvel Funcional do Domnio.
3. Confirme se o Nvel funcional atual do domnio Windows 2000 Nativo.
domnio.

Tarefa 3: Experimentar a funcionalidade sem suporte no nvel
funcional de domnio do Windows 2000 Nativo
Sara.Davis_Admin com a senha Pa$$w0rd.
pressione ENTER.
Ser exibida uma mensagem indicando que o redirecionamento no foi
bem-sucedido.
Isso ocorre porque o nvel funcional do domnio deve ser, no mnimo,
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
ENTER.
Ser exibida uma mensagem indicando que o redirecionamento no foi
bem-sucedido.
Isso ocorre porque o nvel funcional do domnio deve ser, no mnimo,

Tarefa 4: Elevar o nvel funcional do domnio para Windows Server
2003
1. Alterne para Domnios e Relaes de Confiana do Active Directory.
3. Na lista Selecione um nvel funcional de domnio disponvel, escolha
com xito.
6. Clique em OK.

Tarefa 5: Verificar a funcionalidade com suporte no nvel funcional de
pressione ENTER.
Ser exibida uma mensagem indicando que o redirecionamento foi bem-
sucedido.
ENTER.
Ser exibida uma mensagem indicando que o redirecionamento foi bem-
sucedido.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Exerccio 2: Elevar o nvel funcional da floresta para
Windows Server 2003
Tarefa 1: Confirmar se o nvel funcional da floresta atual Windows
2000 Nativo
2. Na rvore de console, clique com o boto direito do mouse no n raiz
Domnios e Relaes de Confiana do Active Directory e clique em Elevar o
Nvel Funcional da Floresta.
A caixa de dilogo Elevar o Nvel Funcional da Floresta ser exibida.
3. Confirme se o Nvel funcional atual da floresta Windows 2000 Nativo.
4. Clique em Cancelar. No faa nenhuma modificao no nvel funcional da
floresta.

Tarefa 2: Experimentar a funcionalidade sem suporte no nvel
funcional da floresta do Windows 2000 Nativo
administrativas. Use a conta Sara.Davis_Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio Tailspintoys.com e clique na UO
Domain Controllers.
3. Clique com o boto direito do mouse na UO Domain Controllers e clique na
conta Pr-criar Controladores de Domnio Somente Leitura.
exibido.
Ser exibida uma mensagem informando que o nvel funcional da floresta deve
ser Windows Server 2003 ou superior.
7. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. Clique em Cancelar para fechar o Assistente de Instalao dos Servios de
Domnio Active Directory.
Ser exibida uma mensagem perguntando se voc deseja sair do assistente.
9. Clique em Sim.

Tarefa 3: Elevar o nvel funcional da floresta para Windows Server
2003
2. Na rvore de console, clique com o boto direito do mouse no n raiz
Domnios e Relaes de Confiana do Active Directory e clique em Elevar o
Nvel Funcional da Floresta.
3. Na lista Selecione um nvel funcional da floresta disponvel, escolha
com xito.
6. Clique em OK.

Tarefa 4: Verificar a funcionalidade com suporte no nvel funcional da
floresta do Windows Server 2003
2. Clique com o boto direito do mouse na UO Domain Controllers e clique na
conta Pr-criar Controladores de Domnio Somente Leitura.
exibido.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Na pgina Especifique o Nome do Computador, digite TSTDC03 e clique em
Avanar.
7. Na pgina Selecione um Site, clique em Avanar.
8. Na pgina Opes Adicionais de Controlador de Domnio, clique em
Avanar.
9. Na pgina Instalao e Administrao de Delegao de RODC, clique em
Avanar.
Um objeto RODC pr-configurado chamado TSTDC03 ser criado na UO
Domain Controllers.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Elevar o nvel funcional de domnio para
Windows Server 2008
3. Confirme se o Nvel funcional atual do domnio Windows Server 2003.
domnio.

Sara.Davis_Admin com a senha Pa$$w0rd.
Ser exibida uma mensagem informando que somente domnios no nvel
funcional do Windows Server 2008 oferecem suporte a dfsrmig.

Tarefa 3: Elevar o nvel funcional do domnio
3. Confirme se a lista Selecione um nvel funcional de domnio disponvel
indica Windows Server 2008.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
com xito.
6. Clique em OK.
7. Feche Domnios e Relaes de Confiana do Active Directory.

Ser exibida uma mensagem informando que a migrao de DFS-R ainda no
foi inicializada. Isso indica que agora o recurso est disponvel, mas ainda no
foi inicializado.

Pergunta: possvel elevar o nvel funcional do domnio para Windows Server
2008 quando o servidor Microsoft Exchange ainda est sendo executado com o
Windows Server 2003?
Resposta: Sim. Desde que o servidor Exchange no seja um controlador de
domnio. Ao determinar o nvel funcional do domnio, o que importa o sistema
operacional do controlador de domnio.
Pergunta: possvel elevar o nvel funcional do domnio de um domnio para
Windows Server 2008 quando outros domnios contm controladores de domnio
que esto sendo executados com o Windows Server 2003?
Resposta: Sim. Os nveis funcionais de domnio dentro de um floresta podem ser
diferentes.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Administrao de
uma relao de confiana

administrador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Administrao de uma relao de confiana L14-349

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurar o DNS

Tarefa 2: Configurar o DNS em contoso.com
3. Na rvore de console, expanda HQDC01 e clique em Zonas de pesquisa
direta.
4. Clique com o boto direito do mouse em Zonas de pesquisa direta e clique
em Nova zona.
A pgina Bem-vindo ao Assistente de Nova Zona ser exibida.
A pgina Tipo de Zona ser exibida.
6. Clique em Zona de Stub e em Avanar.
O Escopo de Replicao de Zona do Active Directory ser exibido.
A pgina Nome da Zona ser exibida.
8. Digite tailspintoys.com e clique em Avanar.
A pgina Servidores DNS Principais ser exibida.
9. Digite 10.0.0.31 e pressione Tab.
10. Marque a caixa de seleo Usar os servidores acima para criar uma lista
local de servidores mestres.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Configurar o DNS em tailspintoys.com
conta Sara.Davis_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda TSTDC01 e clique em Encaminhadores
Condicionais.
4. Clique com o boto direito do mouse na pasta Encaminhadores
Condicionais e clique em Novo Encaminhador Condicional.
5. Na caixa Domnio DNS, digite contoso.com.
6. Clique em Clique aqui para adicionar um endereo IP e digite 10.0.0.11.
7. Marque a caixa de seleo Armazenar o encaminhador condicional no
Active Directory e replic-lo desta forma.
8. Clique em OK.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Criar uma relao de confiana
Tarefa 1: Identificar os domnios confiveis e confiantes
Os usurios do tailspintoys.com necessitam de acesso a uma pasta compartilhada
do contoso.com. Responda s seguintes perguntas:
Perguntas:
Qual deles o domnio confiante e qual o domnio confivel?
Qual domnio tem uma relao de confiana de sada e qual tem uma relao
de confiana de entrada?
Resposta:
O domnio contoso.com o domnio de confiana com uma confiana de
sada para o domnio tailspintoys.com, que o domnio confivel com uma
confiana de entrada.
Tarefa 2: Iniciar a relao de confiana no domnio confivel
Pa$$w0rd.
contoso.com e clique em Propriedades.
4. Clique na guia Relaes de Confiana.
5. Clique em Nova Relao de Confiana.
A pgina Bem-vindo ao Assistente de Nova Relao de Confiana ser exibida.
A pgina Nome de Relao de Confiana ser exibida.
7. Na caixa Nome, digite tailspintoys.com e clique em Avanar.
A pgina Tipo de Relao de Confiana ser exibida.
8. Clique em Relao de Confiana Externa. Clique em Avanar.
A pgina Direo da Relao de Confiana ser exibida.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
9. Clique em Unidirecional: sada. Clique em Avanar.
A pgina Lados da Relao de Confiana ser exibida.
10. Clique em Este Domnio Apenas. Clique em Avanar.
A pgina Nvel de Autenticao da Relao de Confiana de Sada ser exibida.
11. Clique em Autenticao em Todo o Domnio. Clique em Avanar.
A pgina Senha de Confiana ser exibida.
12. Digite Pa$$w0rd nas caixas Senha de confiana e Confirmar senha de
confiana.
Em um ambiente de produo, recomendvel usar uma senha complexa
exclusiva, que no deve ser a senha de uma conta de usurio.
A pgina Selees de Relao de Confiana Concludas ser exibida.
14. Revise as configuraes. Clique em Avanar.
A pgina Criao de relao de confiana concluda ser exibida.
15. Examine o status das alteraes. Clique em Avanar.
A pgina Confirmar Relao de Confiana de Sada ser exibida. Voc no deve
confirmar a relao de confiana at que os dois lados dela tenham sido
criados.
A pgina Concluindo o Assistente de Nova Relao de Confiana ser exibida.
Ser exibida uma caixa de dilogo lembrando que a filtragem de SID
habilitada por padro.
18. Clique em OK.
19. Clique em OK para fechar a caixa de dilogo Propriedades de contoso.com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Concluir a relao de confiana no domnio de confiana
credenciais administrativas. Use a conta Sara.Davis_Admin com a senha
Pa$$w0rd.
tailspintoys.com e clique em Propriedades.
5. Clique em Novas Relaes de Confiana.
A pgina Bem-vindo ao Assistente de Nova Relao de Confiana ser exibida.
A pgina Nome de Relao de Confiana ser exibida.
7. Na caixa Nome, digite contoso.com. Clique em Avanar.
A pgina Tipo de Relao de Confiana ser exibida.
8. Clique em Relao de Confiana Externa. Clique em Avanar.
A pgina Direo da Relao de Confiana ser exibida.
9. Clique em Unidirecional: entrada. Clique em Avanar.
A pgina Lados da Relao de Confiana ser exibida.
10. Clique em Este Domnio Apenas. Clique em Avanar.
A pgina Senha de Confiana ser exibida.
11. Digite Pa$$w0rd nas caixas Senha de confiana e Confirmar senha de
confiana. Clique em Avanar.
A pgina Selees de Relao de Confiana Concludas ser exibida.
A pgina Criao de relao de confiana concluda ser exibida.
13. Examine o status das alteraes. Clique em Avanar.
A pgina Confirmar Relao de Confiana de Entrada ser exibida.
Voc validar a relao de confiana no prximo exerccio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A pgina Concluindo o Assistente de Nova Relao de Confiana ser exibida.
tailspintoys.com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Validar uma relao de confiana
Tarefa 1: Valide uma relao de confiana
2. Na rvore de console de Domnios e Relaes de Confiana do Active
Directory, clique com o boto direito do mouse no domnio contoso.com e
4. Clique em tailspintoys.com e em Propriedades.
5. Clique em Validar.
Ser exibida uma mensagem indicando que a relao de confiana foi validada
e que est em vigor e ativa.
6. Clique em OK.
7. Clique em OK duas vezes para fechar as caixas de dilogo Propriedades.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 4: Atribuir permisses a identidades confiveis
Tarefa 1: Atribuir permisses a grupos confiveis
administrativas. Use a conta Sara.Davis_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda o domnio tailspintoys.com e clique na UO
User Accounts.
4. Clique com o boto direito do mouse em Contas de Usurio, aponte para
Novo e clique em Usurio.
5. Em Primeiro Nome, digite Pat.
6. Em Sobrenome, digite Coleman.
7. Em Nome de logon do usurio, digite Pat.Coleman.
9. Nas caixas Senha e Confirmar senha, digite Pa$$w0rd.
10. Desmarque a caixa de seleo O usurio deve alterar a senha no prximo
logon.
tailspintoys.com, aponte para Novo e clique em Unidade Organizacional.
A caixa de dilogo Novo Objeto - Unidade Organizacional ser exibida.
14. Na caixa Nome, digite Grupos.
15. Clique em OK.
16. Na rvore de console, clique com o boto direito do mouse na UO Groups,
aponte para Novo e clique em Grupo.
A caixa de dilogo Novo Objeto - Grupo ser exibida.
17. Em Nome do grupo, digite Equipe do Produto.
18. Clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
clique na UO Role.
em Grupo.
23. Em Nome do grupo, digite Desenvolvedores do Produto.
24. Clique em OK.
25. Na rvore de console, clique na UO Access.
26. Clique com o boto direito do mouse na UO Access, aponte para Novo e
clique em Grupo.
27. Em Nome do grupo, digite ACL_Informaes do Produto_Modificar.
28. Na seo Escopo do grupo, clique em Domnio local.
29. Clique em OK.
30. Abra a unidade C.
31. Crie nela uma nova pasta chamada Informaes do Produto.
32. Clique com o boto direito do mouse na pasta Informaes do Produto e
A caixa de dilogo Propriedades de Informaes do Produto ser exibida.
36. Digite ACL_Informaes do Produto_Modificar e pressione ENTER.
37. Marque a caixa de seleo abaixo de Permitir e ao lado de Modificar.
38. Clique em OK duas vezes para fechar as caixas de dilogo.
40. No painel de detalhes, clique duas vezes em ACL_Informaes do
Produto_Modificar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
43. Digite Desenvolvedores do Produto e pressione ENTER.
45. Digite TAILSPINTOYS\Equipe do Produto e pressione ENTER.
Sua conta que administrador de contoso.com (Pat.Coleman Admin) no tem
permisses para ler o diretrio do domnio tailspintoys.com.
Voc precisa ter uma conta no tailspintoys.com para ler o diretrio. Se a
relao de confiana fosse bidirecional, essa mensagem no teria sido exibida.
Sua conta de usurio padro no domnio tailspintoys.com ser usada para
conceder Acesso de Leitura ao servio de diretrio.
46. Na caixa Nome de Usurio, digite TAILSPINTOYS\Pat.Coleman.
Observe que agora os dois grupos globais dos dois domnios so membros do
grupo de domnio local no domnio contoso.com que tem acesso pasta
Informaes sobre o Produto.
48. Clique em OK para fechar a caixa de dilogo de propriedades do grupo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 5: Implementar a autenticao seletiva
Tarefa 1: Implementar a autenticao seletiva
1. Em HQDC01, alterne para Domnios e Relaes de Confiana do Active
Directory.
Propriedades.
4. Clique em tailspintoys.com e em Propriedades.
5. Clique na guia Autenticao.
6. Clique na opo Autenticao Seletiva e clique em OK duas vezes.
Com a autenticao seletiva habilitada, os usurios de um domnio confivel
no podero autenticar em computadores no domnio de confiana, mesmo
que tenham recebido permisses para uma pasta. Aos usurios confiveis
precisa ser concedida tambm a permisso Permitido Autenticar no prprio
computador.
8. Clique no menu Exibir e verifique se a opo Recursos Avanados est
selecionada.
10. No painel de detalhes, clique com o boto direito do mouse em HQDC01 e
13. Digite TAILSPINTOYS\Equipe do Produto e clique em OK.
Sua conta que administrador de contoso.com (Pat.Coleman Admin) no tem
permisses para ler o diretrio do domnio tailspintoys.com.
Voc precisa ter uma conta no tailspintoys.com para ler o diretrio. Se a
relao de confiana fosse bidirecional, essa mensagem no teria sido exibida.
Sua conta de usurio padro no domnio tailspintoys.com ser usada para
conceder Acesso de Leitura ao servio de diretrio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
14. Na caixa Nome de Usurio, digite TAILSPINTOYS\Pat.Coleman.
16. Marque a caixa de seleo abaixo de Permitir e ao lado de Permitido
autenticar.
Agora, a Equipe do Produto de Tailspintoys.com pode autenticar em HQDC01
e recebeu permisso para acessar a pasta Informaes do Produto por meio de
sua associao no grupo ACL_Informaes do Produto_Modificar.
17. Clique em OK.

Pergunta: Voc concedeu ao grupo de Pesquisa e Desenvolvimento da Tailspin
Toys a permisso Modificar para a pasta Informaes do Produto em HQDC01. No
entanto, de dez usurios do grupo, apenas um que por acaso tambm membro
do grupo Equipe do produto tem acesso. Os outros no podem acessar a pasta. O
que deve ser feito?
Resposta: Como a autenticao seletiva est habilitada, os usurios no grupo de
Pesquisa e Desenvolvimento devem receber a permisso Permitido Autenticar para
HQDC01. O grupo Equipe do Produto j tinha essa permisso, por isso que um
dos usurios conseguiu fazer autenticao e depois acessar a pasta.
Pergunta: Um usurio da Contoso tenta acessar uma pasta compartilhada no
domnio da Tailspin Toys e recebe um erro de Acesso Negado. O que deve ser feito
para fornecer acesso ao usurio?
Resposta: Deve ser estabelecida uma relao de confiana na qual Tailspin Toys
confia em Contoso. Em seguida, deve ser concedida permisso ao usurio (ou a
um grupo ao qual o usurio pertena) para a pasta compartilhada no domnio da
Tailspin Toys.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Notas
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Notas
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Notas
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

Notas

Moc 10222a-Ptb Parte02 PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Moc 10222a-Ptb Parte02 PDF

Hochgeladen von

Copyright:

Verfügbare Formate

P R O D U T O S M I C R O S O F T O F F I C I A L L E A R N I N G

Learning gostaria de prestar reconhecimento e agradecer

e Microsoft Office SharePoint

. De sua base na linda

, 2007, e Office SharePoint Server, 2008-2009) e lder da comunidade

Das könnte Ihnen auch gefallen