Beruflich Dokumente
Kultur Dokumente
M I C R O S O F T
24412B
L E A R N I N G
O F I C I A L
ii
As informaes includas neste documento, incluindo URL e outras referncias a sites da Internet, esto
sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes,
produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui
mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos,
nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento
de todas as leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um
sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por
escrito, da Microsoft Corporation.
A Microsoft pode ter patentes, solicitaes de patente, marcas registradas, direitos autorais ou outros
direitos de propriedade intelectual abordando o assunto em questo neste documento. Exceto se
expressamente previsto em um contrato de licena por escrito da Microsoft, o fornecimento deste
documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra
propriedade intelectual.
Os nomes dos fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais referentes a esses
fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou
produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para
sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo
contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer
mudana ou atualizao em tais sites. A Microsoft no se responsabiliza pela divulgao por webcast ou
qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo
esses links somente para sua convenincia e a incluso de tais links no implica endosso da Microsoft em
relao ao site ou aos produtos nele contidos.
2013 Microsoft Corporation. Todos os direitos reservados.
Microsoft e as marcas comerciais listadas em http://www.microsoft.com/about/legal/en/us/IntellectualProperty/
Trademarks/EN-US.aspx so marcas comerciais do grupo de empresas Microsoft. Todas as outras marcas
comerciais pertencem aos respectivos proprietrios.
iii
Dispositivo em Sala de Aula significa 1 (um) computador dedicado e protegido que um Centro de
Treinamento Autorizado possui ou controla, localizado nas instalaes de treinamento do Centro
de Treinamento Autorizado que atende ou excede o nvel de hardware especificado para o referido
Curso Conduzido pelo Instrutor da Microsoft.
d. Usurio Final significa um indivduo que est (i) devidamente inscrito em e participando de uma
Sesso de Treinamento Autorizado ou Sesso de Treinamento Privado, (ii) um funcionrio de um
Membro MPN ou (iii) um funcionrio em tempo integral da Microsoft.
e. Contedo Licenciado significa o contedo que acompanha este contrato, que pode incluir
o Curso Conduzido pelo Instrutor da Microsoft ou o Contedo do Instrutor.
f.
Instrutor Certificado pela Microsoft ou MCT significa um indivduo que (i) contratado para
ministrar uma sesso de treinamento para Usurios Finais em nome de um Centro de Treinamento
Autorizado ou Membro do MPN e (ii) atualmente certificado como um Instrutor Certificado pela
Microsoft pelo Programa do Programa de Certificao da Microsoft.
iv
g. Curso Conduzido pelo Instrutor da Microsoft significa o curso de treinamento conduzido pelo
instrutor com a marca da Microsoft que instrui profissionais de TI e desenvolvedores nas
tecnologias da Microsoft. Um ttulo de Curso Conduzido pelo Instrutor da Microsoft pode
ser um curso com a marca MOC, Microsoft Dynamics ou Microsoft Business Group.
h. Membro do Programa Microsoft IT Academy significa um membro ativo do
Programa Microsoft IT Academy.
i.
j.
MOC significa o curso conduzido pelo instrutor de Official Microsoft Learning Product, conhecido
como Microsoft Official Course, que instrui profissionais de TI e desenvolvedores nas tecnologias
da Microsoft.
k. Membro MPN significa um membro ativo do programa Microsoft Partner Network com nvel silver
ou gold de boa reputao.
l.
vi
vii
c.
i.
viii
ix
xi
tout ce qui est reli au le contenu sous licence, aux services ou au contenu (y compris le code)
figurant sur des sites Internet tiers ou dans des programmes tiers; et
xii
Elle sapplique galement, mme si Microsoft connaissait ou devrait connatre lventualit dun tel
dommage. Si votre pays nautorise pas lexclusion ou la limitation de responsabilit pour les dommages
indirects, accessoires ou de quelque nature que ce soit, il se peut que la limitation ou lexclusion ci-dessus
ne sappliquera pas votre gard.
EFFET JURIDIQUE. Le prsent contrat dcrit certains droits juridiques. Vous pourriez avoir dautres
droits prvus par les lois de votre pays. Le prsent contrat ne modifie pas les droits que vous confrent
les lois de votre pays si celles-ci ne le permettent pas.
Revisado em junho de 2012
Bem-vindo!
Obrigado para participar do nosso treinamento. Trabalhamos com os nossos
Microsoft Certified Partners for Learning Solutions e Microsoft IT Academies para
proporcionar a voc uma experincia de aprendizado de alta qualidade, quer voc seja
um profissional buscando aprimorar suas habilidades ou um estudante se preparando
para uma carreira na rea de TI.
1 IDC,
xiii
xiv
Agradecimentos
O Microsoft Learning gostaria de reconhecer e agradecer s seguintes pessoas por sua contribuio
no desenvolvimento deste curso. O esforo dessas pessoas em vrias fases do desenvolvimento garantiu
que voc tivesse uma boa experincia em sala de aula.
xv
xvii
Contedo
Mdulo 1: Implementao de servios de rede avanados
Lio 1: Configurao de recursos avanados de DHCP
Lio 2: Definio das configuraes avanadas de DNS
Lio 3: Implementao de IPAM
Laboratrio: Implementao de servios de rede avanados
1-2
1-12
1-24
1-35
2-2
2-10
2-19
2-26
2-33
3-2
3-9
3-14
3-25
4-2
4-8
4-17
4-23
5-2
5-11
5-20
5-28
xviii
6-2
6-12
6-19
6-23
6-29
6-39
6-44
7-2
7-8
7-15
7-22
7-27
8-2
8-12
8-20
8-27
8-34
9-2
9-6
9-13
9-19
10-2
10-15
10-22
10-28
10-35
10-41
11-2
11-9
11-19
11-26
11-38
12-2
12-8
12-19
12-24
xix
Esta seo fornece uma breve Estrutura do curso, do pblico-alvo, dos pr-requisitos sugeridos
e dos seus objetivos.
Estrutura do curso
xxi
Pblico-alvo
Pr-requisitos do aluno
Este curso exige que voc atenda aos seguintes pr-requisitos:
Pelo menos, dois anos de experincia prtica com um ambiente do Windows Server 2008
ou do Windows Server 2012.
Conhecimento equivalente aos cursos 24410: Instalao e configurao do Windows Server 2012
Objetivos do curso
Ao concluir este curso, os alunos estaro aptos a:
Fornecer alta disponibilidade para servios de rede e aplicativos implementando cluster de failover.
Implementar uma soluo de backup e recuperao de desastres com base nos requisitos comerciais
e tcnicos.
Implementar uma implantao do Active Directory Rights Management Services (AD RMS).
Estrutura do curso
Veja a seguir a estrutura do curso:
O Mdulo 1, "Implementao de servios de rede avanados" descreve como configurar os recursos
avanados de DHCP e as configuraes de DNS e implementar o IPAM, que um novo recurso
do Windows Server 2012.
xxiii
O Mdulo 6, Implementao dos Servios de Certificados do Active Directory" apresenta uma viso geral
da Infraestrutura de Chave Pblica (PKI) e descreve como implantar CAs (autoridades de certificao)
e modelos de certificado. Este mdulo tambm aborda a distribuio e a revogao de certificados e
o gerenciamento da recuperao de certificado.
O Mdulo 7, "Implementao do Active Directory Rights Management Services" descreve o AD RMS
e como voc pode us-lo para obter proteo de contedo. Tambm explica como implantar e gerenciar
uma infraestrutura do AD RMS e configurar a proteo de contedo do AD RMS e o acesso externo
ao AD RMS.
O Mdulo 8, "Implementao dos Servios de Federao do Active Directory" descreve cenrios
comerciais de federao de identidade e como voc pode usar o AD FS para abordar os cenrios.
Tambm descreve como implantar o AD FS e como implement-lo para uma organizao nica
e em um cenrio B2B.
O Mdulo 9, "Implementao do Balanceamento de Carga de Rede" descreve os recursos
e o funcionamento do NLB. Tambm explica como configurar um cluster NLB e planejar
uma implementao do NLB.
O Mdulo 10, Implementao do cluster de failover" descreve os recursos de cluster de failover no
Windows Server 2012. O mdulo tambm descreve como implementar e manter clusters de failover e
como configurar aplicativos e servios altamente disponveis em um cluster de failover.
O Mdulo 11, "Implementao do cluster de failover com o Hyper-V" descreve as opes para tornar
mquinas virtuais altamente disponveis. O mdulo tambm descreve a implementao de mquinas
virtuais do Hyper-V em clusters de failover e movimento de mquina virtual do Hyper-V.
O Mdulo 12, "Implementao da recuperao de desastres" descreve recuperao de desastres,
o servidor e recuperao de dados e o planejamento e a implementao de uma soluo de backup
para Windows Server 2012.
Mapeamento do exame/curso
Este curso, 24412B: Configurao de servios avanados do Windows Server 2012, tem um mapeamento
direto do seu contedo com o domnio de objetivos para o exame da Microsoft 70-412: Configurao
de servios avanados do Windows Server 2012.
A tabela abaixo fornecida como auxlio de estudo que ajudar voc na preparao para realizar esse
exame e para mostrar como os objetivos do exame e o contedo do curso se encaixam. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
Observao Os objetivos deste exame esto disponveis online na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-412&locale=en-us#tab2
(Alguns dos sites abordados neste curso pode ser em Ingls)
Contedo do curso
Mdulo
Md 9
Lio
Lio
1/2/3
Laboratrio
Md 9 Ex
1/2/3
Md 10
Lio
1/2/3/4/5
Md 10 Ex
1/2/3/4
(continuao)
Contedo do curso
xxv
Md 10
Lio
1/2/3/4/5
Md 10 Ex
1/2/3/4
Md 11
Lio
1/2/3/4
Md 11 Ex
1/2/3
Md 2
Lio 2/3
Mod 2 Lab A
Ex 2 e Lab B
Ex 1/2/3/4
Md 3
Lio
1/2/3
Mod 3 Ex
1/2/3/4/5/6
Md 2
Lio 1/3
Mod 2 Lab A
Ex 1
(continuao)
Contedo do curso
Lio
1/2/3
Md 12 Ex
1/2/3
Lio
1/2/3
Md 12 Ex
2/3
Lies 1/5
Lio 1/3
Md 11 Ex 1
Lio 1
Md 1 Ex 1
Lio 2
Md 1 Ex 2
(continuao)
Contedo do curso
xxvii
Md 1
Lio 3
Md 1 Ex 3
Md 4
Lio 1/2
Md 4 Ex 1
Md 4
Lio 3
Md 4 Ex
1/2
Md 5
Lio 2/3
Md 5 Ex
1/2/3
Md 5
Lio 1/3
Md 5 Ex 3
(continuao)
Contedo do curso
xxviii
Md 8
Lio
1/2/3/4
Md 8 Ex
1/2/3/4
Md 6
Lio
1/2/4
Mod 6 Lab A
Ex 1/2
Md 6
Lio
3/4/5
Mod 6 Lab B
Ex 1/2/3/4
Md 7
Lio
1/2/3/4
Md 7 Ex
1/2/3/4
xxix
Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:
Tambm pode haver um estudo adicional e recursos de preparao, como testes prticos, disponveis
para voc se preparar para este exame. Os detalhes desses materiais esto disponveis na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-412&locale=en-us#tab3
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil completo
do pblico-alvo para este exame est disponvel na URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-412&locale=en-us#tab1
A tabela de mapeamento do exame/curso descrita acima precisa no momento da impresso, porm
est sujeita a alterao a qualquer momento e a Microsoft no tem nenhuma responsabilidade por
qualquer discrepncia entre a verso publicada aqui e a verso disponvel online, e no fornecer
nenhuma notificao de tais alteraes.
Material do curso
xxx
Manual do curso: um guia de aprendizado sucinto de sala de aula que fornece informaes tcnicas
essenciais em um formato inteligente e concentrado, que fundamental para uma experincia de
aprendizado efetiva em sala de aula.
Laboratrios: fornecem uma plataforma real e prtica para que voc aplique as tcnicas
e os conhecimentos aprendidos em cada mdulo.
Gabaritos dos laboratrios: fornecem orientao passo a passo sobre a soluo do laboratrio.
Recursos: incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
premium mais recente no TechNet, MSDN ou Microsoft, Press,
Avaliao do curso: Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.
Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para conhecer o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.
Esta seo contm as informaes de configurao do ambiente de sala de aula para oferecer suporte
ao cenrio corporativo do curso.
2.
Na caixa de dilogo Fechar, na lista O que voc deseja que a mquina virtual faa?, clique
em Desativar e excluir alteraes e clique em OK.
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso:
Mquina virtual
Funo
24412B-LON-DC1/-B
24412B-LON-CA1
24412B-LON-CL1
24412B-LON-CL2
24412B-LON-CORE
24412B-LON-SVR1/-B
24412B-LON-SVR2
24412B-LON-SVR3
24412B-LON-SVR4
24412B-MUN-CL1
24412B-MUN-DC1
24412B-LON-HOST1
xxxi
(continuao)
Mquina virtual
Funo
24412B-LON-HOST2
24412B-TOR-DC1
MSL-TMG1
Configurao de software
Os seguintes itens de software esto instalados em cada mquina virtual:
Windows 8
Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma configurao
mnima de equipamento para os computadores do instrutor e do aluno em todas as salas de aula da CPLS
(Microsoft Certified Partner for Learning Solutions) nas quais os cursos Official Microsoft Learning Product
so ensinados.
Unidade de DVD
Adaptador de rede
*Distribudo
Alm disso, o computador do instrutor deve estar conectado a um dispositivo de projeo compatvel
com SVGA de 1024 x 768 pixels e cores de 16 bits.
xxxiii
Mova o mouse para o canto inferior direito da rea de trabalho para abrir um menu com:
Windows+C: abre o mesmo menu que aberto com a movimentao do mouse no canto
inferior direito
Mdulo 1
Implementao de servios de rede avanados
Contedo:
Viso geral do mdulo
1-1
1-2
1-12
1-24
1-35
1-42
Objetivos
Depois de concluir este mdulo, voc ser capaz de:
Implemente o IPAM.
Lio 1
1-2
O DHCP tem uma importante funo na infraestrutura do sistema operacional Windows Server 2012.
Ele o principal meio de distribuio de informaes importantes sobre configurao de rede para
os clientes da rede, alm de fornecer informaes sobre configurao a outros servios habilitados
para rede, incluindo Servios de Implantao do Windows e NAP (Proteo de Acesso Rede). Para dar
suporte infraestrutura de rede baseada no Windows Server, importante entender a funo do servidor
DHCP. O Windows Server 2012 melhora a funcionalidade de DHCP fornecendo recursos de failover.
Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:
1-3
Descrio
Voc pode configurar um nico servidor DHCP com vrios escopos, mas
o servidor deve ser conectado diretamente a cada sub-rede que serve ou
ter um agente de retransmisso DHCP em vigor. Os escopos tambm so
a maneira principal para o servidor gerenciar e distribuir qualquer parmetro
de configurao relacionado (opes de DHCP) a clientes na rede.
Opes de DHCP
(continuao)
Componente
Descrio
Banco de
dados DHCP
Console DHCP
Concesses de DHCP
O DHCP aloca endereos IP em um processo dinmico. Isso conhecido como concesso. Voc pode
configurar a durao da concesso. O tempo de concesso padro para clientes com fio de oito dias.
Quando a concesso do DHCP atingir 50% do tempo de concesso, o cliente tentar renovar a
concesso. Esse processo automtico ocorre em segundo plano. Os computadores podem ter o mesmo
endereo IP por um longo perodo se operarem continuamente em uma rede sem serem desligados.
Os computadores cliente tambm tentam fazer a renovao durante o processo de inicializao.
1-4
1-5
O servidor DHCP atualiza dinamicamente os registros de recurso de host de endereo de DNS (A)
e os registros de recurso de ponteiro (PTR) s se solicitado pelos clientes DHCP. Por padro,
o cliente solicita que o servidor DHCP registre o registro de recurso de ponteiro do DNS (PTR),
enquanto o cliente registra seu prprio registro de recurso de host de DNS (A).
O servidor DHCP descarta os registros de recurso de host (A) e de ponteiro (PTR) quando
a concesso do cliente excluda.
Voc pode modificar essa opo de forma que instrua o servidor DHCP a sempre atualizar dinamicamente
os registros de recurso de host de DNS (A) e de ponteiro (PTR), independentemente das solicitaes do
cliente. Desse modo, o servidor DHCP se torna o proprietrio do registro de recurso porque o servidor
DHCP executou o registro dos registros de recurso. Quando o servidor DHCP se torna o proprietrio dos
registros de recurso de host (A) e de ponteiro (PTR) do computador cliente, s esse servidor DHCP pode
atualizar os registros de recurso de DNS para o computador cliente com base na durao e renovao
da concesso do DHCP.
Escopos do multicast
1-6
Um escopo do multicast geralmente conhecido como um escopo MADCAP (Multicast Address Dynamic
Client Allocation Protocol). Os aplicativos que solicitarem endereos desses escopos devero oferecer
suporte API (interface de programao de aplicativos) do MADCAP. Servios de Implantao
do Windows um exemplo de um aplicativo que suporta transmisses de multicast.
Os escopos do multicast permitem que os aplicativos reservem um endereo IP de multicast
para fornecimento de dados e contedo.
APNIC (Centro de Informaes de Rede da sia-Pacfico) para sia, Austrlia, Nova Zelndia
e pases vizinhos
ARIN (Registro Americano para Nmeros de Internet) para Canad, muitas ilhas do Caribe
e do Atlntico Norte e os Estados Unidos
LACNIC (Centro de Informaes de Rede da Amrica Latina e Caribe) para a Amrica Latina
e partes da regio caribenha
RIPE NCC (Centro de Coordenao de Rede Rseaux IP Europens) para Europa, Rssia,
Oriente Mdio e sia Central
1-7
Sempre que adiciona a funo de servidor DHCP a um computador Windows Server 2012, voc tambm
instala um servidor DHCPv6 automaticamente. O Windows Server 2012 suporta configuraes DHCPv6
com e sem estado:
Configurao com estado. Ocorre quando o servidor DHCPv6 atribui o endereo IPv6 ao cliente
juntamente com os dados adicionais do DHCP.
Configurao sem fio. Ocorre quando o IPv6 atribudo automaticamente pelo roteador de sub-rede
e quando o servidor DHCPv6 atribui somente outras definies de configurao do DHCP.
Uso
Nome e descrio
Prefixo
Preferncia
Excluses
Tempos de vida
vlidos e preferenciais
Opes de DHCP
No console DHCP, clique com o boto direito no n IPv6 e clique em Novo Escopo.
2.
3.
4.
5.
1-8
1-9
Acocoramento de nome o termo usado para descrever o conflito que ocorre quando um cliente registra
um nome com DNS, mas esse nome j usado por outro cliente. Esse problema faz com que a mquina
original fique inacessvel e ocorre normalmente com sistemas que tm os mesmos nomes de sistemas
operacionais Windows. A Proteo de Nome DHCP resolve isso usando um registro de recurso conhecido
como DHCID (Identificador de Configurao de Host Dinmico) para acompanhar quais mquinas
solicitaram quais nomes originalmente. O servidor DHCP fornece o registro de DHCID, que armazenado
em DNS. Quando o servidor DHCP recebe uma solicitao de uma mquina com um nome existente
para um endereo IP, o servidor DHCP pode recorrer ao DHCID em DNS verificar se a mquina que
est pedindo o nome a mquina original que usou o nome. Se no for a mesma mquina, o registro
de recurso DNS no ser atualizado.
Voc pode implementar a proteo de nome para IPv4 e IPv6. Alm disso, voc pode configurar
a Proteo de Nome DHCP no nvel do servidor e no nvel do escopo. A implementao no nvel
do servidor s se aplicar a escopos criados recentemente.
Para ativar a Proteo de Nome DHCP para um n IPv4 ou IPv6:
1.
2.
Clique com o boto direito do mouse no n IPv4 ou IPv6 e abra a pgina Propriedade.
3.
Clique em DNS, clique em Avanado e marque a caixa de seleo Habilitar Proteo de Nome.
2.
Expanda o n IPv4 ou IPv6, clique com o boto direito no escopo e abra a pgina Propriedade.
3.
Clique em DNS, clique em Avanado e marque a caixa de seleo Habilitar Proteo de Nome.
Failover de DHCP
Os clientes DHCP renovam suas concesses
nos endereos IP em intervalos regulares
configurveis. Quando o servio DHCP falha,
o tempo limite de concesses atingido e
os clientes j no tm endereos IP. No passado,
o failover de DHCP no era permitido porque os servidores DHCP eram independentes e no se
reconheciam. Portanto, configurar dois servidores DHCP separados para distribuir o mesmo pool de
endereos podia levar a endereos duplicados. Adicionalmente, fornecer servios DHCP redundantes
exigia que voc configurasse clusters e executasse uma quantidade significativa de configurao
manual e monitoramento.
O novo recurso Failover de DHCP permite que dois servidores DHCP forneam endereos IP
e configuraes opcionais s mesmas sub-redes ou escopos. Portanto, voc pode configurar
dois servidores DHCP para replicar informaes de concesso. Se um dos servidores falhar,
o outro servidor atender os clientes da sub-rede inteira.
Observao: No Windows Server 2012, voc pode configurar s dois servidores DHCP
para failover e s para escopos e sub-redes de IPv4.
Caractersticas
Espera ativa
Compartilhamento
de carga
MCLT
O administrador configura o parmetro MCLT para determinar a quantidade de tempo que um servidor
DHCP deve esperar quando um parceiro est indisponvel, antes de assumir o controle do intervalo
de endereos. Esse valor no pode ser zero e o padro uma hora.
1-11
Um estado de comunicao interrompida ocorre quando um servidor perde contato com seu parceiro.
Como o servidor no tem nenhum modo de saber o que est causando a perda de comunicao,
permanece nesse estado at o administrador alter-lo manualmente para um estado de desativao
de parceiro. O administrador tambm pode habilitar a transio automtica para o estado de desativao
de parceiro configurando o intervalo de alternncia automtica de estado. O valor padro desse intervalo
10 minutos.
Autenticao de mensagens
O Windows Server 2012 permite autenticar o trfego de mensagem de failover entre os parceiros
de replicao. O administrador pode estabelecer um segredo compartilhado, como uma senha,
no Assistente de Configurao de Failover para failover de DHCP. Isso confirma que a mensagem
de failover vem do parceiro de failover.
Consideraes de firewall
O DHCP usa a porta TCP 647 para escutar o trfego de failover. A instalao de DHCP cria as seguintes
regras de firewall de entrada e de sada:
Microsoft-Windows-DHCP-Failover-TCP-In
Microsoft-Windows-DHCP-Failover-TCP-Out
Etapas da demonstrao
Configure uma relao de failover de DHCP
1.
2.
3.
4.
5.
6.
Lio 2
Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:
Durao e eliminao
1-13
Por padro, o DNS mantm um log de servidor DNS que voc pode exibir no Visualizador de Eventos.
Esse log de eventos est localizado na pasta Logs de Aplicativos e Servios em Visualizador de Eventos.
Registra eventos comuns como:
Para obter logs mais detalhados, voc pode habilitar os logs de depurao. As opes de log
de depurao so desabilitadas por padro, mas podem ser habilitadas seletivamente. As opes
de log de depurao incluem o seguinte:
Direo de pacotes
Protocolo de transporte
Tipo de solicitao
O log de depurao pode usar muitos recursos. Pode afetar o desempenho do servidor global
e pode consumir espao em disco. Portanto, ele s dever ser ativado temporariamente, quando
forem necessrias informaes mais detalhadas sobre o desempenho do servidor. Para habilitar
as opes do log de depurao no servidor DNS, faa o seguinte:
1.
2.
Clique com o boto direito do mouse do mouse no servidor DNS aplicvel e clique em
Propriedades.
3.
4.
Selecione Pacotes de log para depurar e selecione os eventos para os quais voc deseja
que o servidor DNS registre o log de depurao.
Durao e eliminao
A durao e eliminao so desabilitadas por padro. Voc pode habilitar a durao e eliminao nas
propriedades Avanadas do servidor DNS ou pode habilitar isso para zonas selecionadas na janela
Propriedades da zona.
A durao determinada usando parmetros conhecidos como Intervalo de atualizao e Intervalo sem
atualizao. O Intervalo de atualizao a data e hora que o registro est qualificado para ser atualizado
pelo cliente. O padro sete dias. O Intervalo sem atualizao o perodo que o registro no est
qualificado para ser atualizado. Por padro, equivale a sete dias. No curso normal de eventos, um registro
do host de cliente no pode ser atualizado no banco de dados durante sete dias depois de ser registrado
ou atualizado. Porm, deve ser atualizado nos prximos sete dias depois do intervalo sem atualizao,
ou o registro ficar qualificado para ser eliminado do banco de dados. Um cliente tentar atualizar
seu registro de DNS na inicializao, e a cada 24 horas enquanto o sistema estiver em execuo.
Observao: Os registros que so adicionados dinamicamente ao banco de dados
possuem um carimbo de data/hora. Os registros estticos nos que voc entra manualmente
tm um valor de carimbo de data/hora igual a zero 0; portanto, eles no sero afetados pela
durao e no sero eliminados do banco de dados.
O modo como voc faz backup do banco de dados de DNS depende de como o DNS foi implementado
em sua organizao. Se sua zona DNS tiver sido implementada como uma zona integrada do
Active Directory, sua zona DNS ser includa no arquivo ntds.dit do banco de dados do Active Directory.
Se a zona DNS for uma zona primria e no for armazenada no AD DS, o arquivo ser armazenado
como um arquivo .dns na pasta %SystemRoot%\System32\Dns.
2.
onde <nome da zona> o nome de sua zona DNS e <nome de arquivo de zona> o arquivo que
voc deseja criar para conter as informaes de backup.
A ferramenta dnscmd exporta os dados de zona para o nome do arquivo que voc designa no comando,
para o diretrio %windir%\System32\DNS.
Voc tambm pode usar o Windows PowerShell para executar a mesma tarefa. No Windows PowerShell,
voc usa o cmdlet Export-DnsServerZone. Por exemplo, se voc desejar exportar uma zona chamada
contoso.com, digite o comando a seguir:
Export-DnsServerZone Name contoso.com Filename contoso
1-15
Fazer backup de uma zona primria que no armazenada no AD DS simplesmente uma questo de
copiar ou fazer backup do arquivo de zona individual, zonename.dns, que est localizado no diretrio
%windir%\System32\DNS. Por exemplo, se sua zona primria de DNS for chamada Adatum.com,
o arquivo de zona DNS ser chamado Adatum.com.dns.
Recurso se refere ao processo de fazer com que o prprio servidor DNS local faa uma consulta recursiva
a outro servidor DNS at encontrar a resposta autorizada e, ento, retornar essa resposta ao cliente que
fez a solicitao original. Por padro, esse servidor ser um dos servidores na Internet listados como
uma dica de raiz. Quando o servidor DNS local receber uma resposta, retornar essas informaes ao
computador cliente da solicitao original.
H vrias opes disponveis para otimizar a resoluo de nomes DNS. Elas incluem recursos como:
Encaminhamento
Encaminhamento condicional
Zonas de stub
Encaminhamento
Um encaminhador um servidor DNS de rede que voc configura para encaminhar consultas de
DNS para nomes de host que no pode resolver para outros servidores DNS para resoluo. Em um
ambiente tpico, o servidor DNS interno encaminha consultas para nomes de host DNS externos a
servidores DNS na Internet. Por exemplo, se o servidor DNS de rede local no puder resolver uma
consulta autoritariamente para www.microsoft.com, o servidor DNS local poder encaminhar a
consulta ao servidor DNS do ISP (provedor de servios de Internet) para resoluo.
Encaminhamento condicional
Voc tambm pode usar encaminhadores condicionais para encaminhar consultas de acordo com
nomes de domnios especficos. Um encaminhador condicional uma configurao que voc define
em um servidor DNS que permite o encaminhamento de consultas de DNS com base no nome de
domnio DNS da consulta. Por exemplo, voc pode configurar um servidor DNS para encaminhar todas
as consultas por ele recebidas sobre nomes que terminam com corp.adatum.com para o endereo IP
de um servidor DNS especfico ou para os endereos IP de vrios servidores DNS. Isso pode ser til
quando voc tem vrios namespaces DNS em uma floresta. Por exemplo, suponha que Contoso.com
e Adatum.com so mesclados. Em vez de cada domnio ter que hospedar uma rplica completa do
banco de dados de DNS do outro domnio, voc pode criar encaminhadores condicionais de forma
que eles apontem aos servidores DNS especficos um do outro para resoluo de nomes DNS internos.
Zonas de stub
Uma zona de stub a cpia de uma zona que contm apenas os registros de recursos necessrios
para identificar os servidores DNS autoritativos dessa zona. Uma zona de stub resolve nomes entre
namespaces DNS separados, o que pode ser necessrio quando voc deseja que um servidor DNS
que est hospedando uma zona pai continue reconhecendo todos os servidores DNS autorizados para
uma de suas zonas filho. Uma zona de stub hospedada em um servidor DNS de domnio pai receber
uma lista de todos os novos servidores DNS da zona filho, quando solicita uma atualizao do servidor
mestre da zona de stub. Usando esse mtodo, o servidor DNS que hospeda a zona pai mantm uma lista
atualizada dos servidores DNS autoritativos para a zona filho conforme eles so adicionados e removidos.
Uma zona de stub apresenta:
O endereo IP de um ou mais servidores mestres que podem ser usados para atualizar a zona
de stub.
Servidores mestre de zona de stub so um ou mais servidores DNS responsveis pela cpia inicial
das informaes da zona e geralmente so o servidor DNS que hospeda a zona primria do nome
do domnio delegado.
A ordenao de mscara de rede retorna endereos para consultas de DNS de registros de endereo tipo
A (registro A) que priorizam recursos na sub-rede local do computador cliente para o cliente. Em outras
palavras, endereos de hosts que esto na mesma sub-rede do cliente solicitante tero uma prioridade
mais alta na resposta de DNS para o computador cliente.
A localizao baseada em endereos IP. Por exemplo, se houver vrios registros A associados ao
mesmo nome DNS, e cada registro A estiver localizado em uma sub-rede de IP diferente, a ordenao
de mscara de rede retornar um registro A que est na mesma sub-rede de IP do computador cliente
que fez a solicitao.
1-17
Voc usa uma zona GlobalNames para manter uma lista de sufixos de pesquisa DNS para resolver nomes
entre vrios ambientes de domnio DNS. Por exemplo, se uma organizao suportar dois domnios DNS,
como adatum.com e contoso.com, os usurios no domnio DNS adatum.com precisaro usar um FQDN
como data.contoso.com para localizar os servidores em contoso.com. Caso contrrio, o administrador
do domnio precisa adicionar um sufixo de pesquisa DNS para contoso.com em todos os sistemas
no domnio adatum.com. Se os clientes procurarem o nome de servidor data, a pesquisa falhar.
Os nomes globais se baseiam em registros de recurso de criao de alias (CNAME) em uma zona
de pesquisa direta especial que usa nomes nicos para apontar a FQDNs. Por exemplo, as zonas
GlobalNames permitem que clientes no domnio adatum.com e no domnio contoso.com usem
um nome de rtulo nico, como data, para localizar um servidor cujo FQDN data.contoso.com
sem ter que usar o FQDN.
2.
Criar uma nova zona de pesquisa direta chamada GlobalNames (sem diferenciao de maisculas
e minsculas). No permita atualizaes dinmicas para essa zona.
3.
Criar manualmente registros CNAME que apontam a registros que j existem nas outras zonas
das que so hospedadas em seus servidores DNS.
Por exemplo, voc poderia criar um registro CNAME na zona GlobalNames chamada Data que aponta
a Data.contoso.com. Isso permite que clientes de qualquer domnio DNS na organizao localizem
esse servidor pelo nome de rtulo nico Data.
Voc tambm pode usar os cmdlets do Windows PowerShell Get-DnsServerGlobalNameZone
e Set-DnsServerGlobalNameZone para configurar zonas GlobalNames.
DNSSEC
2.
3.
1-19
O tamanho padro do pool de soquetes DNS 2.500. Quando voc configura o pool de soquetes DNS,
pode escolher um valor de tamanho de 0 a 10.000. Quanto maior o valor, maior a proteo que voc
ter contra ataques de falsificao de DNS. Se o servidor DNS estiver executando o Windows Server 2012,
voc tambm poder configurar uma lista de excluso do pool de soquetes DNS.
Voc pode configurar o tamanho do pool de soquetes DNS usando a ferramenta dnscmd
do seguinte modo:
1.
2.
3.
DNSSEC
O DNSSEC permite que uma zona DNS e todos os registros na zona sejam assinados com criptografia, de
modo que computadores cliente possam validar a resposta de DNS. O DNS submetido frequentemente
a vrios ataques, como modificao e falsificao de cache. O DNSSEC ajuda a proteger contra essas
ameaas e fornece uma infraestrutura de DNS mais segura.
Quando um servidor DNS que est hospedando uma zona assinada digitalmente recebe uma consulta,
devolve as assinaturas digitais junto com os registros solicitados. Um resolvedor ou outro servidor pode
obter a chave pblica do par de chave pblica/privada de uma ncora confivel e confirmar que as
respostas so autnticas e no foram falsificadas. Para fazer isso, o resolvedor ou servidor deve ser
configurado com uma ncora confivel para a zona assinada ou para um pai da zona assinada.
ncoras confiveis
Uma ncora confivel uma entidade autorizada que representada por uma chave pblica. A zona
TrustAnchors armazena chaves pblicas pr-configuradas que so associadas a uma zona especfica.
No DNS, a ncora confivel o registro de recurso DNSKEY ou DS. Os computadores cliente usam
esses registros para compilar cadeias de confiana. Voc deve configurar uma ncora confivel da zona
em todo servidor DNS de domnio para validar respostas da zona assinada. Se o servidor DNS for um
controlador de domnio, as zonas integradas ao Active Directory podero distribuir as ncoras confiveis.
Implantao de DNSSEC
Para implantar DNSSEC:
1.
Instale o Windows Server 2012 e atribua a funo de DNS ao servidor. Normalmente, um controlador
de domnio tambm age como o servidor DNS. Porm, isso no um requisito.
2.
Assine a zona DNS usando o Assistente de Configurao de DNSSEC, que est localizado no console
de DNS.
3.
4.
Para atribuir a funo de servidor DNS, no painel do Gerenciador do Servidor, use o Assistente de
Adio de Funes e Recursos. Voc tambm pode adicionar essa funo ao adicionar a funo do AD DS.
Ento, configure as zonas primrias no servidor DNS. Depois que uma zona assinada, qualquer novo
servidor DNS no Windows Server 2012 recebe os parmetros de DNSSEC automaticamente.
Assinando a zona
As seguintes opes de assinatura esto disponveis:
Configure os parmetros de assinatura de zona. Essa opo o guia pelas etapas e permite definir
todos os valores para a KSK (chave de assinatura principal) e a ZSK (chave de assinatura de zona).
Assine a zona com parmetros de uma zona existente. Essa opo permite manter os mesmos
valores e opes da outra zona assinada.
Use as configuraes recomendadas. Essa opo assina a zona usando os valores padro.
1-21
Se a zona for integrada ao Active Directory, e se todos os controladores de domnio estiverem executando
o Windows Server 2012, voc poder optar por distribuir as ncoras confiveis a todos os servidores na
floresta. Faa essa seleo com cuidado porque o assistente ativa a validao de DNSSEC. Se voc habilitar
ncoras confiveis de DNS sem realizar testes completos, poder causar interrupes de DNS. Se forem
necessrias ncoras confiveis em computadores que no so de um domnio, por exemplo, um servidor
DNS na rede de permetro (tambm conhecido como sub-rede filtrada), ative a sobreposio automtica
de chaves.
Observao: Sobreposio automtica de chaves o ato de substituir um par de chaves
por outro ao trmino do perodo efetivo de uma chave.
O computador cliente de DNS s a executa validao de DNSSEC em nomes de domnios onde a NRPT
configurou o computador cliente de DNS para fazer isso. Um computador cliente que est executando
o Windows 7 reconhece o DNSSEC, mas no executa a validao. Em vez disso, usa o servidor DNS
habilitado para segurana para executar a validao.
Assistente de Assinatura
de Zona DNSSEC
O Windows Server 2012 inclui um Assistente
de Assinatura de Zona DNSSEC para simplificar
o processo de configurao e assinatura e permitir
a assinatura online. O assistente permite escolher
os parmetros de assinatura de zona como indicado no tpico anterior. Se voc optar por definir as
configuraes de assinatura de zona em vez de usar parmetros de uma zona existente ou valores
padro, use o assistente para definir configuraes como:
Opes de KSK
Opes de ZSK
Objetivo
DNSKEY
DS (Signatrio da
Delegao)
RRSIG (Assinatura do
Registro de Recurso)
NSEC3
Esse registro uma verso com hash do registro de NSEC, o que impede
ataques de alfabeto enumerando a zona.
Interface de linha de comando com base em Windows PowerShell para gerenciamento e script.
Etapas da demonstrao
Configurar o DNSSEC
1.
2.
3.
4.
5.
6.
7.
Adicione a Chave de Assinatura da rea aceitando valores padro para a nova chave.
8.
9.
1-23
Lio 3
Implementao de IPAM
Com o desenvolvimento de IPv6 e mais dispositivos que precisam de endereos IP, as redes ficaram
complexas e difceis de gerenciar. Manter uma lista atualizada de endereos IP estticos que foram
emitidos frequentemente tem sido uma tarefa manual, que pode conduzir a erros. Para ajudar
as organizaes a gerenciar endereos IP, o Windows Server 2012 fornece a ferramenta IPAM.
Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:
Descrever o IPAM.
O que IPAM?
O gerenciamento de endereos IP uma tarefa
difcil em redes grandes, pois o rastreamento do
uso de endereos IP , em grande parte, uma
operao manual. O Windows Server 2012
introduz o IPAM, que uma estrutura para
descobrir, auditar, monitorar a utilizao
e gerenciar o espao do endereo IP em
uma rede. O IPAM permite a administrao
e o monitoramento de DHCP e DNS e fornece
uma viso abrangente sobre onde so usados
os endereos IP. O IPAM coleta informaes
de controladores de domnio e NPSs (Servidores
de Poltica de Rede) e armazena essas informaes no Banco de Dados Interno do Windows.
Recursos de IPAM
1-25
Planejamento
Gerenciamento
Acompanhamento
Auditoria
Caractersticas do IPAM
As caractersticas do IPAM incluem:
Um nico servidor IPAM pode suportar at 150 servidores DHCP e 500 servidores DNS.
Um nico servidor IPAM pode suportar at 6.000 escopos DHCP e 150 zonas DNS.
O IPAM armazena trs anos de dados forenses (concesses de endereo IP, endereos MAC
(controle de acesso mdia) de host, informaes de logon e logoff de usurio) para 100.000
usurios em um Banco de Dados Interno do Windows. Nenhuma poltica de depurao de banco
de dados fornecida e o administrador deve depurar os dados manualmente conforme necessrio.
O IPAM s suporta o Banco de Dados Interno do Windows. Nenhum banco de dados externo
permitido.
Benefcios do IPAM
Os benefcios do IPAM incluem:
Arquitetura IPAM
A arquitetura do IPAM consiste em
quatro mdulos principais, como listado
na tabela a seguir.
Mdulo
Descrio
Descoberta de IPAM
Gerenciamento de
espao de endereo IP
Voc pode usar este mdulo para exibir, monitorar e gerenciar o espao
de endereo IP. Voc pode emitir dinamicamente ou atribuir endereos
estaticamente. Voc tambm pode acompanhar a utilizao de endereos
e detectar a sobreposio de escopos DHCP.
Gerenciamento
e monitoramento
multisservidor
Auditoria operacional
e acompanhamento
de endereo IP
O servidor IPAM pode gerenciar s uma floresta do Active Directory. Assim, voc pode implantar o IPAM
em uma de trs topologias:
Hbrida. Voc implanta um servidor IPAM central junto com um servidor IPAM dedicado em cada site.
1-27
Servidor IPAM. O servidor IPAM executa a coleta de dados dos servidores gerenciados.
Tambm gerencia o Banco de Dados Interno do Windows e fornece RBAC.
Cliente IPAM. O cliente IPAM fornece a interface do usurio de computador cliente. Tambm interage
com o servidor IPAM e invoca o Windows PowerShell para executar tarefas de configurao de DHCP,
monitoramento de DNS e gerenciamento remoto.
Entre no servidor IPAM com uma conta de domnio, e no uma conta local.
Voc deve ser um membro do grupo de segurana local IPAM correto no servidor IPAM.
Alm dos requisitos previamente mencionados, o Windows Server 2008 e o Windows Server 2008 R2
precisam do seguinte:
Para Windows Server 2008 SP2, o Windows Management Framework Core (KB968930) tambm
necessrio.
Blocos de endereo IP
Intervalos de endereo IP
Endereos IP
Inventrio de endereos IP
Blocos de endereo IP
Os blocos de endereo IP so as entidades de mais alto nvel dentro de uma organizao de espao
de endereo IP. Conceitualmente, um bloco de IP uma sub-rede de IP marcada por um endereo
IP inicial e final e atribudo normalmente a uma organizao atravs de vrios RIRs (Registros de
Internet Regionais). Os administradores de rede usam blocos de endereo para criar e alocar intervalos
de endereo IP a DHCP. Eles podem adicionar, importar, editar e excluir blocos de endereo IP. O IPAM
mapeia intervalos de endereo IP automaticamente para o bloco de endereo IP apropriado baseado
nos limites do intervalo. Voc pode adicionar e importar blocos de endereo IP no console do IPAM.
Intervalos de endereo IP
Endereos IP
1-29
Inventrio de endereos IP
Na exibio do inventrio de endereos IP, voc pode exibir uma lista de todos os endereos IP
na empresa junto com o nome e o tipo do dispositivo. O inventrio de endereos IP um grupo
lgico definido pela opo Tipo de Dispositivo na exibio de endereos IP. Esses grupos permitem
personalizar o modo como seu espao de endereo exibido para gerenciar e acompanhar o uso de IP.
Voc pode adicionar ou importar endereos IP no console do IPAM. Por exemplo, voc pode adicionar
os endereos IP para impressoras ou roteadores, atribuir o endereo IP ao tipo de dispositivo apropriado
de impressora ou roteador e exibir seu inventrio de IP filtrado pelo tipo de dispositivo atribudo.
Gerenciando e monitorando
O IPAM permite o monitoramento de servio automatizado e peridico de servidores DHCP e DNS
em uma floresta. O monitoramento e o gerenciamento so organizados nas exibies listadas na
tabela a seguir.
Exibio
Descrio
Servidores DNS
e DHCP
Escopos DHCP
Monitoramento
da zona DNS
Grupos de
servidores
Etapas da demonstrao
Instalar o IPAM
1.
2.
Configurar o IPAM
1.
No painel Viso Geral de IPAM, provisione o servidor IPAM usando a Poltica de Grupo.
2.
Insira IPAM como o prefixo do nome de GPO (Objeto de Poltica de Grupo) e provisione o IPAM.
O provisionamento levar alguns minutos para terminar.
3.
No painel Viso Geral de IPAM, configure a descoberta de servidor para o domnio Adatum.
4.
No painel Viso Geral de IPAM, inicie o processo de descoberta de servidor. A descoberta pode levar
de 5 a 10 minutos para ser executada. A barra amarela indica quando a descoberta concluda.
5.
6.
7.
Use o Windows PowerShell para conceder ao servidor IPAM permisso para gerenciar LON-DC1
usando o seguinte comando:
Invoke-IpamGpoProvisioning Domain Adatum.com GpoPrefixName IPAM IpamServerFqdn
LON-SVR2.adatum.com DelegatedGpoUser Administrador
8.
9.
Monitoramento de utilizao
1-31
Os dados de utilizao so mantidos para intervalos de endereo IP, blocos de endereo IP e grupos
de intervalo de IP no IPAM. Voc pode configurar limites para o percentual do espao de endereo IP
que utilizado e usar esses limites para determinar subutilizao e superutilizao.
Voc pode executar a criao e os relatrios de tendncia de utilizao para intervalos de endereo
IPv4, blocos e grupos de intervalo. A janela de tendncia de utilizao permite exibir tendncias com
o passar de perodos como dirio, semanal, mensal ou anualmente, ou voc pode exibir tendncias
sobre intervalos de datas personalizados. Os dados de utilizao de escopos DHCP gerenciados so
descobertos automaticamente e voc pode exibir esses dados.
O IPAM que monitora a exibio permite exibir o status e a integridade de conjuntos selecionados de
servidores Microsoft DNS e DHCP de um nico console. A exibio de monitoramento do IPAM exibe
a integridade bsica de servidores e eventos de configurao recentes que ocorreram nesses servidores.
A exibio de monitoramento tambm permite organizar os servidores gerenciados em grupos
de servidores lgicos.
Para servidores DHCP, a exibio de servidor permite acompanhar vrias configuraes de servidor,
opes de servidor, o nmero de escopos e o nmero de concesses ativas que esto configuradas no
servidor. Para servidores DNS, essa exibio permite acompanhar todas as zonas que so configuradas
no servidor, junto com detalhes do tipo de zona. A exibio tambm permite ver o nmero total de
zonas que so configuradas no servidor e o status de integridade de zona global derivado do status
de zonas individuais no servidor.
Voc pode iniciar o console de gerenciamento de DNS para qualquer servidor DNS gerenciado, de
um console central no servidor IPAM. Quando voc inicia o console de gerenciamento de DNS, pode
recuperar dados de servidor do conjunto selecionado de servidores. A exibio Monitoramento de Zona
de DNS exibe todas as zonas de pesquisa direta e inversa em todos os servidores DNS que o IPAM est
gerenciando atualmente. Para as zonas de pesquisa direta, o IPAM tambm exibe todos os servidores que
esto hospedando a zona e a integridade agregada da zona em todos esses servidores e as propriedades
da zona.
O catlogo de eventos
O catlogo de eventos do IPAM fornece um repositrio centralizado para auditar todas as alteraes
de configurao que so executadas em servidores DHCP que so gerenciados de um nico console
de gerenciamento de IPAM. O console de eventos de configurao de IPAM coleta todos os eventos
de configurao. Esse catlogo de eventos de configurao permite exibir, consultar e gerar relatrios
das alteraes de configurao consolidadas, junto com detalhes especficos de cada registro.
1-33
O IPAM no deve ser instalado em um controlador de domnio, servidor DHCP ou servidor DNS.
O cliente do IPAM instalado automaticamente no Windows Server 2012 junto com o servidor IPAM,
mas voc pode desinstalar o cliente separadamente.
Voc pode desinstalar o IPAM usando o Gerenciador do Servidor. Sero excludos todos os grupos de
segurana locais, dependncias e tarefas agendadas. O banco de dados do IPAM ser desvinculado
do Banco de Dados Interno do Windows.
Consideraes funcionais
Considere as seguintes especificaes funcionais do IPAM:
O IPAM s pode usar o Banco de Dados Interno do Windows; no pode usar nenhum outro tipo
de banco de dados.
O servidor IPAM deve coletar informaes de concesso de DHCP para permitir o acompanhamento
de endereo. Verifique se o tamanho do arquivo de log de auditoria de DHCP est configurado
de forma que seja grande o suficiente para conter eventos de auditoria durante o dia inteiro.
Consideraes administrativas
Os administradores de domnio e empresa possuem acesso total administrao do IPAM. Voc pode
delegar obrigaes administrativas a outros usurios ou grupos usando os grupos de segurana do IPAM.
O processo de instalao cria grupos de segurana locais (que no tm nenhum membro por padro)
no servidor IPAM. Os grupos de segurana locais fornecem as permisses que so necessria para
administrar e usar os vrios servios empregados pelo IPAM.
A instalao do IPAM cria automaticamente os grupos de usurio locais listados na tabela a seguir.
Grupo
Descrio
Usurios do IPAM
Administradores
IPAM MSM
(continuao)
Grupo
Descrio
Administradores
IPAM ASM
Administradores de
auditoria IPAM IP
Administradores
do IPAM
Muitas organizaes usam as planilhas do Microsoft Office Excel para documentar a alocao de espao
de endereo IP para endereos estticos e dispositivos de rede. Como voc deve atualizar essas planilhas
manualmente, elas so propensas a erro. Voc pode migrar os dados existentes dessas planilhas no IPAM
convertendo as planilhas em arquivos .csv e importando as informaes no IPAM.
1-35
A A. Datum Corporation cresceu rapidamente durante os ltimos anos. A empresa implantou vrias novas
filiais e aumentou o nmero de usurios significativamente na organizao. Adicionalmente, expandiu
o nmero de organizaes parceiras e clientes que esto acessando sites e aplicativos da A. Datum.
Por causa dessa expanso, a complexidade da infraestrutura de rede aumentou e a organizao agora
precisa ficar muito mais atenta segurana no nvel de rede.
Como um dos administradores de rede snior da A. Datum, voc responsvel por implementar alguns
dos recursos de sistema de rede avanados do Windows Server 2012 para gerenciar a infraestrutura
de sistema de rede. Voc precisa implementar novos recursos no DHCP e DNS, com a meta primria
de fornecer nveis mais altos de disponibilidade, aumentando a segurana desses servios. Voc tambm
precisa implementar o IPAM para simplificar e centralizar o gerenciamento do uso e da configurao
de endereo IP em uma rede complexa crescente.
Objetivos
Configurao do laboratrio
Tempo previsto: 70 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CL1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Configurar um superescopo.
2.
3.
2.
Roteador: 192.168.0.1
Roteador: 192.168.1.1
3.
Crie um superescopo chamado AdatumSuper que tem Scope1 e Scope2 como membros.
4.
Alterne para o console DHCP em LON-DC1 e habilite Proteo de Nome DHCP para o n IPv4.
Em LON-SVR1, inicie o console DHCP e observe o estado atual de DHCP. Observe que o servidor
autorizado, mas que nenhum escopo configurado.
2.
3.
4.
5.
Em LON-SVR1, atualize o n IPv4. Note que o n IPv4 est ativo, e que o Escopo Adatum
est configurado.
6.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter configurado um superescopo, Proteo
de Nome DHCP, e configurado e verificado failover de DHCP.
1-37
Para aumentar o nvel de segurana para as zonas DNS na A. Datum, voc precisa definir configuraes
de segurana de DNS como DNSSEC, pool de soquetes de DNS e bloqueio de cache. A A. Datum tem
uma relao comercial com a Contoso, SA, e hospedar a zona DNS da Contoso.com. Os clientes
da A. Datum usam um aplicativo que acessa um servidor chamado App1 na zona da Contoso.com
usando seu nome NetBIOS. Voc precisa assegurar que esses aplicativos possam resolver os nomes
dos servidores necessrios corretamente. Voc empregar uma zona GlobalNames para fazer isso.
As principais tarefas deste exerccio so:
1.
Configurar o DNSSEC.
2.
3.
4.
2.
3.
4.
5.
6.
Adicione a Chave de Assinatura da rea aceitando valores padro para a nova chave.
7.
8.
9.
10. Verifique se os registros de recurso DNSKEY foram criados na zona Pontos Confiveis.
11. Minimize o console do DNS.
12. Use o Console de Gerenciamento de Poltica de Grupo, no objeto Poltica de Domnio Padro,
para configurar a Tabela Polticas de Resoluo de Nome.
13. Crie uma regra que habilite DNSSEC para o sufixo de Adatum.com e isso exige que clientes
de DNS verifiquem se os dados de nome e endereo foram validados.
2.
3.
Execute o seguinte comando para alterar o tamanho do pool de soquetes para 3.000:
dnscmd /config /socketpoolsize 3000
4.
5.
2.
Execute o seguinte comando para alterar o valor de bloqueio de cache para 75%:
Set-DnsServerCache LockingPercent 75
3.
4.
3.
1-39
Crie uma zona de pesquisa direta integrada ao Active Directory chamada Contoso.com, executando
o seguinte comando:
Add-DnsServerPrimaryZone Name Contoso.com ReplicationScope Forest
2.
Crie uma zona de pesquisa direta integrada ao Active Directory chamada GlobalNames executando
o seguinte comando:
Add-DnsServerPrimaryZone Name GlobalNames ReplicationScope Forest
4.
5.
Na zona GlobalNames, crie um novo alias chamado App1 usando o FQDN de App1.Contoso.com.
6.
Resultados: Depois de concluir este exerccio, voc ter configurado DNSSEC, o pool de soquetes
de DNS, o bloqueio de cache de DNS e a zona GlobalName.
2.
3.
4.
5.
6.
Configurar blocos de endereo IP, registrar endereos IP e criar reservas de DHCP e registros de DNS.
2.
Insira IPAM como o prefixo de nome de GPO e provisione o IPAM usando o Assistente de Proviso
de IPAM.
1.
No painel Viso Geral de IPAM, configure a descoberta de servidor para o domnio Adatum.
2.
No painel Viso Geral de IPAM, inicie o processo de descoberta de servidor. A descoberta pode levar
de 5 a 10 minutos para ser executada. A barra amarela indicar quando a descoberta for concluda.
No painel Viso Geral de IPAM, adicione os servidores que voc precisa gerenciar. Verifique
se o acesso do IPAM est bloqueado atualmente.
2.
Use o Windows PowerShell para conceder ao servidor IPAM permisso para gerenciar LON-DC1
executando o seguinte comando:
Invoke-IpamGpoProvisioning Domain Adatum.com GpoPrefixName IPAM IpamServerFqdn
LON-SVR2.adatum.com DelegatedGpoUser Administrador
3.
4.
Alterne para LON-DC1 e force a atualizao da Poltica de Grupo usando gpupdate /force.
5.
Volte a LON-SVR2 e atualize o status de acesso do servidor para LON-DC1 e a exibio do console
do Gerenciador do Servidor. Pode levar at 10 minutos para o status mudar. Se necessrio, repita
ambas as tarefas de atualizao conforme necessrio at que uma marca de seleo verde seja
exibida prximo a LON-DC1 e o Status de Acesso do IPAM seja exibido como Desbloqueado.
6.
2.
Em LON-SVR2, use o IPAM para criar um novo escopo DHCP com os seguintes parmetros:
o
2.
ID de rede: 172.16.0.0
Comprimento do prefixo: 16
Descrio: Sede
3.
4.
Use o console do IPAM para criar uma reserva de DHCP do seguinte modo:
o
Use o console do IPAM para criar o registro de host DNS do seguinte modo:
o
1-41
5.
Clique com o boto direito do mouse na entrada de IPv4 e crie a reserva de DHCP e o registro
de host DNS.
6.
Em LON-DC1, abra o console DHCP e confirme se a reserva foi criada no escopo 172.16.0.0.
7.
Em LON-DC1, abra o console do Gerenciador DNS e confirme se o registro de host DNS foi criado.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o IPAM com GPOs
relacionados ao IPAM, descoberta de servidor de gerenciamento de IP, servidores gerenciados, um
novo escopo DHCP, blocos de endereo IP, endereos IP, reservas de DHCP e registros de DNS.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.
3.
4.
Implemente o failover de DHCP para garantir que os computadores cliente possam continuar
recebendo informaes de configurao de IP no caso de uma falha de servidor.
Perguntas de reviso
Pergunta: Qual uma das desvantagens de usar o IPAM?
Ferramentas
Ferramenta
Uso
Local
Dnscmd
%systemroot%\System32\dnscmd.exe
Console DHCP
%systemroot%\System32\dhcpmgmt.msc
Console de DNS
%systemroot%\System32\dnsmgmt.msc
Console de
gerenciamento
do IPAM
Gerenciador do Servidor
Mdulo 2
Implementao de servios de arquivo avanados
Contedo:
Lio 1: Configurao do armazenamento iSCSI
2-2
2-10
2-19
2-26
2-33
2-39
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Configurar o BranchCache.
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
O que iSCSI?
ISCSI um protocolo que suporta acesso
a dispositivos de armazenamento remotos
com base em SCSI (interface de sistema
de computadores de pequeno porte)
sobre uma rede TCP/IP. iSCSI leva comandos SCSI
padro sobre redes IP para facilitar transferncias
de dados sobre intranets e gerenciar o
armazenamento sobre distncias longas. Voc
pode usar iSCSI para transmitir dados sobre LANs
(redes locais), WANs (redes de longa distncia)
ou at mesmo sobre a Internet.
2-2
2-3
O iSCSI usa a arquitetura padro de rede Ethernet. Hardware especializado como HBA (adaptadores
de barramento de host) ou comutadores de rede opcional. O iSCSI usa TCP/IP (normalmente, porta
TCP 3260). Isto significa que o iSCSI simplesmente permite que dois hosts negociem tarefas (por exemplo,
estabelecimento de sesso, controle de fluxo e tamanho de pacote), e troquem comandos SCSI usando
uma rede Ethernet existente. Fazendo isso, o iSCSI usa uma arquitetura de subsistema de barramento
de armazenamento local popular e de alto desempenho, e emula isso sobre LANs e WANs para criar
uma SAN. Ao contrrio de algumas tecnologias de SAN, o iSCSI no requer nenhum cabeamento
especializado. Voc pode execut-lo sobre a comutao e infraestrutura de IP existentes. Porm,
voc pode aumentar o desempenho de uma implantao de SAN iSCSI operando-a em uma
rede ou sub-rede dedicada, como recomendam as prticas recomendadas.
Observao: Embora voc possa usar um adaptador de rede Ethernet padro
para conectar o servidor ao dispositivo de armazenamento iSCSI, tambm pode usar
HBAs iSCSI dedicados.
Uma implantao de SAN iSCSI inclui o seguinte:
Rede TCP/IP. Voc pode usar adaptadores de interface de rede padro e comutadores de rede
do protocolo de Ethernet padro para conectar os servidores ao dispositivo de armazenamento.
Para fornecer desempenho suficiente, a rede deve fornecer velocidades de pelo menos 1 Gbps
(gigabit por segundo) e deve fornecer vrios caminhos ao destino iSCSI. Como prtica recomendada,
use uma rede fsica e lgica dedicada para obter processamento rpido e confivel.
Destinos iSCSI. Este outro mtodo de obter acesso ao armazenamento. Os destinos iSCSI
apresentam ou anunciam armazenamento, semelhante aos controladores para unidades de disco
rgido de armazenamento localmente anexado. Porm, esse armazenamento acessado em uma
rede, em vez de localmente. Muitos fornecedores de armazenamento implementam destinos iSCSI
no nvel de hardware como parte do hardware do dispositivo de armazenamento. Outros dispositivos
ou aparelho, como dispositivos Windows Storage Server 2012, implementam destinos iSCSI usando
um driver de software junto com pelo menos um adaptador de Ethernet. O Windows Server 2012
fornece o servidor de destinos iSCSI, que efetivamente um driver para o protocolo iSCSI, como
um servio de funo.
Iniciadores iSCSI. O destino iSCSI exibe o armazenamento ao iniciador iSCSI (tambm conhecido
como o cliente), que age como um controlador de disco local para os discos remotos. Todas as
verses do Windows Server a partir do Windows Server 2008 incluem o iniciador iSCSI e podem
conectar-se a destinos iSCSI.
IQN (Nome Qualificado iSCSI). IQNs so identificadores globalmente exclusivos que so usados para
enderear os iniciadores e destinos em uma rede iSCSI. Quando voc configura um destino iSCSI,
deve configurar o IQN para os iniciadores iSCSI que sero conectados ao destino. Os iniciadores
iSCSI tambm usam IQNs para conectar-se aos destinos iSCSI. Porm, se a resoluo de nomes na
rede iSCSI for um possvel problema, os pontos de extremidade iSCSI (destino e iniciador) sempre
podero ser identificados por seus endereos IP.
Pergunta: Voc pode usar a rede TCP/IP interna de sua organizao para fornecer iSCSI?
2-4
Armazenamento heterogneo. O servidor de destino iSCSI suporta iniciadores iSCSI que no esto
baseados no sistema operacional Windows, de modo que voc pode compartilhar armazenamento
em servidores Windows em ambientes mistos.
Ambientes de laboratrio. A funo do servidor de destino iSCSI permite que seus computadores
Windows Server 2012 sejam dispositivos de armazenamento de bloco acessados pela rede. Isso
til em situaes nas quais voc deseja testar aplicativos antes de implant-los no armazenamento
de SAN.
Os servidores de destino iSCSI que fornecem armazenamento de bloco utilizam sua rede Ethernet
existente; nenhum hardware adicional necessrio. Se alta disponibilidade for um critrio importante,
avalie a possibilidade de configurar um cluster de alta disponibilidade. Com um cluster de alta
disponibilidade, voc precisar de armazenamento compartilhado para o cluster, armazenamento
Fiber Channel de hardware ou uma matriz de armazenamento SAS (SCSI Anexada Serial). O servidor
de destino iSCSI integrado diretamente no recurso de cluster de failover como uma funo de cluster.
Iniciador iSCSI
O servio de iniciador iSCSI tem sido um componente padro instalado por padro desde o
Windows Server 2008 e o Windows Vista. Para conectar seu computador a um destino iSCSI,
voc simplesmente inicia o servio Iniciador Microsoft iSCSI e o configura.
Os novos recursos do Windows Server 2012 incluem:
Autenticao. Voc pode permitir que o CHAP autentique conexes de iniciador ou pode ativar
o CHAP inverso para permitir que o iniciador autentique o destino iSCSI.
Leitura adicional: Para obter mais informaes sobre a introduo de destinos iSCSI
no Windows Server 2012, consulte: http://go.microsoft.com/fwlink/?LinkId=270038.
Pergunta: Quando voc pensa em implementar a inicializao sem disco a partir
de destinos iSCSI?
Embora sejam semelhantes nos resultados obtidos, essas duas tecnologias usam abordagens diferentes
para obter alta disponibilidade para conexes de armazenamento iSCSI.
MCS um recurso do protocolo iSCSI que:
Habilita vrias conexes TCP/IP do iniciador para o destino durante a mesma sesso iSCSI.
Suporta o failover automtico. Se ocorrer uma falha, todos os comandos iSCSI sero redistribudos
para outra conexo automaticamente.
Requer suporte explcito por dispositivos SAN iSCSI, embora a funo de servidor de destino iSCSI
do Windows Server 2012 oferea suporte a isso.
2-5
2-6
Se voc tiver vrias NICs (cartes de interface de rede) em seu iniciador iSCSI e o servidor de destino
iSCSI, poder usar MPIO para fornecer redundncia de failover durante interrupes de rede.
MPIO amplamente aceito. Muitas SANs podem usar o DSM padro sem nenhum software adicional,
enquanto outras precisam de um DSM especializado do fabricante.
Segurana fsica. Se alguma pessoa sem autorizao obtiver acesso fsico a dispositivos
de armazenamento iSCSI ou um computador em sua rede, a maioria das outras medidas
de segurana no sero teis. Voc deve garantir que os dispositivos de armazenamento iSCSI,
os computadores que os gerenciam e os servidores aos quais eles so conectados sejam
fisicamente protegidos e que o acesso seja concedido somente equipe autorizada.
Permetro. As redes de permetro marcam o limite entre redes pblicas e privadas. Fornecer
firewalls e servidores proxy inversos na rede de permetro permite fornecer servios corporativos
mais seguros na rede pblica e impede possveis ataques nos dispositivos de armazenamento
iSCSI na Internet.
Redes. Assim que voc conecta dispositivos de armazenamento iSCSI a uma rede, eles ficam
suscetveis a vrias ameaas. Essas ameaas incluem interceptao, falsificao, negao de servio
e ataques de reproduo. Voc deve usar autenticao como CHAP para proteger comunicao
entre iniciadores iSCSI e destinos iSCSI. Voc tambm pode pensar em implementar o protocolo
IPsec para criptografar o trfego entre iniciadores iSCSI e destinos iSCSI. Isolar o trfego iSCSI
em sua prpria VLAN (LAN virtual) tambm fortalece a segurana no permitindo que usurios
mal-intencionados que esto conectados VLAN corporativa ataquem dispositivos de
armazenamento iSCSI que esto conectados a um VLAN diferente. Voc tambm deve
proteger equipamentos de rede (como roteadores e comutadores), que so usados
por dispositivos de armazenamento iSCSI, contra o acesso no autorizado.
Host. A prxima camada de proteo a camada de proteo para os computadores host que
so conectados a dispositivos de armazenamento iSCSI. Voc deve manter os computadores
protegidos usando as mais recentes atualizaes de segurana. Voc deve usar o recurso
Windows Update consistentemente em sistemas operacionais Windows para manter seu
sistema operacional atualizado. Voc tambm precisa configurar polticas de segurana
como complexidade de senha, configurar o firewall de host e instalar software antivrus.
Dados. Esta a camada final de segurana. Para ajudar a proteger sua rede, verifique se voc
est usando as permisses de usurio de arquivo corretamente. Faa isso usando a Criptografia
de Unidade Windows BitLocker, usando ACLs (Listas de Controle de Acesso), implementando
a criptografia de dados confidenciais com EFS (Sistema de Arquivos com Criptografia)
e executando backups regulares de dados.
Etapas da demonstrao
Adicionar o servio de funo de servidor de destino iSCSI
1.
2.
2-7
2-8
1.
2.
No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na caixa de listagem suspensa TAREFAS,
clique em Novo Disco Virtual iSCSI.
3.
Nome: iSCSIDisk1
Tamanho do disco: 5 GB
4.
Na pgina Exibir resultados, espere at a criao terminar e feche a pgina Exibir resultados.
5.
No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na lista suspensa TAREFAS, clique em
Novo Disco Virtual iSCSI.
6.
7.
Nome: iSCSIDisk2
Tamanho do disco: 5 GB
Na pgina Exibir resultados, espere at a criao terminar e feche a pgina Exibir resultados.
Etapas da demonstrao
Etapas de preparao
Antes de iniciar esta demonstrao, execute as etapas a seguir:
1.
2.
3.
2.
3.
2.
3.
Ao criar uma soluo de armazenamento iSCSI, a equipe de design tambm deve incluir
os administradores especficos do aplicativo, como administradores do Exchange Server
e administradores do SQL Server, de forma que voc possa implementar a configurao
ideal para a tecnologia ou soluo especfica.
2-9
Lio 2
Configurao de BranchCache
Filiais tm desafios de gerenciamento exclusivos. Uma filial geralmente tem conectividade lenta com a
rede da empresa e infraestrutura limitada para proteger servidores. Alm disso, voc precisa fazer backup
dos dados que mantm em suas filiais remotas, motivo pelo qual as organizaes preferem centralizar
dados onde possvel. Portanto, o desafio fornecer acesso eficiente a recursos de rede para usurios
em filiais. O BranchCache ajuda a superar esses problemas armazenando em cache os arquivos para
que eles no tenham que ser transferidos repetidamente sobre a rede.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
2-11
Quando o cliente solicita os dados, o BranchCache recupera dados de um servidor. Como o BranchCache
um cache passivo, ele no aumentar o uso de WAN. O BranchCache s armazena em cache solicitaes
lidas e no interferir na ao quando um usurio salvar um arquivo.
O BranchCache melhora a resposta de aplicativos de rede comuns que acessam servidores de intranet
em links WAN lentos. Como o BranchCache no exige infraestrutura adicional, voc pode melhorar
o desempenho de redes remotas implantando o Windows 7 ou Windows 8 em computadores cliente
e implantando o Windows Server 2008 R2 e o Windows Server 2012 em servidores e habilitando
o recurso BranchCache.
O BranchCache funciona perfeitamente com tecnologias de segurana de rede, incluindo SSL (Secure
Sockets Layer), assinatura SMB e protocolo IPsec. Voc pode usar o BranchCache para reduzir o uso
de largura de banda de rede e melhorar o desempenho do aplicativo, mesmo que o contedo esteja
criptografado.
Voc pode configurar o BranchCache para usar o modo de cache hospedado modo ou o modo de cache
distribudo:
Modo de cache hospedado. Este modo implanta um computador que est executando o
Windows Server 2008 R2 ou verses mais recentes como um servidor de cache hospedado na filial.
Os computadores cliente localizam o computador host, de forma que possam recuperar contedo
do cache hospedado quando estiver disponvel. Se o contedo no estiver disponvel no cache
hospedado, o contedo ser recuperado do servidor de contedo usando um link WAN e fornecido
para o cache hospedado, de modo que as solicitaes de cliente sucessivas possam recuper-lo de l.
Modo de cache distribudo. Para escritrios remotos menores, voc pode configurar o BranchCache
no modo de cache distribudo sem precisar de um servidor. Neste modo, computadores cliente locais
que executam o Windows 7 ou Windows 8 mantm uma cpia do contedo e o tornam disponvel
a outros clientes autorizados que solicitam os mesmos dados. Isto elimina a necessidade de ter um
servidor na filial. Porm, ao contrrio do modo de cache hospedado, essa configurao funciona
somente em uma nica sub-rede. Alm disso, os clientes que hibernam ou se desconectam da rede
no podem fornecer contedo a outros clientes que fazem a solicitao.
Um novo banco de dados subjacente usa a tecnologia de banco de dados ESE (Mecanismo de
Armazenamento Extensvel) do Exchange Server. Isso permite que um servidor de cache hospedado
armazene significativamente mais dados (at mesmo terabytes).
Uma implantao mais simples significa que voc no precisa de um GPO (Objeto de Poltica de
Grupo) para cada local. Para implantar o BranchCache, voc precisa s de um nico GPO que contm
as configuraes. Isso tambm permite aos clientes alternar entre modo de cache hospedado e modo
distribudo quando eles estiverem viajando entre locais, sem precisar usar GPOs especficos do site,
o que deve ser evitado em vrios cenrios.
2.
O servidor de contedo na matriz autentica o usurio e verifica se o usurio est autorizado a acessar
os dados.
3.
Em vez de enviar o contedo por sua conta, o servidor de contedo na matriz retorna identificadores
ou realiza hash do contedo solicitado para o computador cliente. O servidor de contedo envia
dados atravs da mesma conexo pela qual o contedo seria enviado normalmente.
4.
Se voc configurar o computador cliente para usar o cache distribudo, ele usar multicasts
na sub-rede local para localizar outros computadores cliente que j baixaram o contedo.
Se voc configurar o computador cliente para usar cache hospedado, ele procurar o contedo
no cache hospedado configurado.
5.
6.
Requisitos do BranchCache
O BranchCache otimiza o fluxo de trfego entre
matrizes e filiais. O Windows Server 2008 R2,
o Windows Server 2012 e computadores cliente
que executam o Windows 7 e o Windows 8
podem se beneficiar com o uso do BranchCache.
As verses anteriores dos sistemas operacionais
Windows no se beneficiam deste recurso. Voc
pode usar o BranchCache para armazenar em
cache s o contedo que armazenado em
servidores de arquivos ou servidores Web que
esto executando o Windows Server 2008 R2
ou o Windows Server 2012.
Se voc desejar usar o BranchCache para armazenar em cache o contedo do servidor de arquivos,
execute as seguintes tarefas:
2-13
Se voc quiser usar o BranchCache para armazenar em cache contedo do servidor Web, dever instalar
o recurso BranchCache no servidor Web. Voc no precisa de configuraes adicionais.
O BranchCache suportado na instalao completa e na instalao Server Core do Windows Server 2012.
Por padro, o BranchCache no instalado no Windows Server 2012.
No modo de cache distribudo, o BranchCache funciona sem um servidor dedicado, mas entre clientes
no mesmo site. Se os computadores cliente forem configurados para usar o modo de cache distribudo,
qualquer computador cliente poder usar um protocolo multicast chamado Descoberta WS para procurar
localmente o computador que j baixou e armazenou em cache o contedo. Voc deve configurar
o firewall do cliente para permitir trfego de entrada, HTTP e Descoberta WS.
Porm, os clientes procuraro um servidor de cache hospedado e, se descobrirem um, sero configurados
automaticamente como clientes de modo de cache hospedado. No modo de cache hospedado, os
computadores cliente se configuram automaticamente como clientes de modo de cache hospedado e
procuraro o servidor de host, de forma que possam recuperar o contedo do cache hospedado. Alm
disso, voc pode usar a Poltica de Grupo para poder usar o FQDN dos servidores de cache hospedado
ou habilitar a descoberta automtica de cache hospedado atravs de SCPs (pontos de conexo de
servio). Voc deve configurar um firewall para permitir o trfego HTTP de entrada do servidor
de cache hospedado.
Em ambos os modos de cache, o BranchCache usa o protocolo HTTP para transferncia de dados
entre computadores cliente e o computador que est hospedando os dados armazenados em cache.
Servidor
Descrio
Servidor de arquivos
Habilitar o BranchCache.
2.
3.
Habilitao do BranchCache
Voc pode habilitar o recurso BranchCache em computadores cliente usando a Poltica de Grupo,
o Windows PowerShell ou o comando netsh branchcache set service.
Para definir configuraes de BranchCache usando a Poltica de Grupo, execute as etapas a seguir
para um GPO baseado em domnio:
1.
2.
Crie um GPO que ser vinculado OU (unidade organizacional) onde os computadores cliente
esto localizados.
3.
4.
2-15
1.
2.
Crie um GPO que ser vinculado OU onde os computadores cliente esto localizados.
3.
4.
Escolha o modo de cache distribudo ou o modo de cache hospedado. Voc tambm pode habilitar o
modo de cache distribudo e a descoberta automtica de cache hospedado atravs das configuraes
de poltica Ponto de Conexo de Servio. Os computadores cliente operaro em modo de cache
distribudo a menos que localizem um servidor de cache hospedado na filial. Se eles localizarem
um servidor de cache hospedado na filial, funcionaro no modo de cache hospedado.
O cmdlet a seguir habilita o modo de cache hospedado e o ponto de conexo de servio do registrador
em AD DS (Servios de Domnio do Active Directory).
Enable-BCHostedServer RegisterSCP
Para definir configuraes de BranchCache usando o comando netsh branchcache set service, abra
uma janela de prompt de comando e execute as etapas a seguir:
1.
2.
No modo de cache hospedado, os clientes do BranchCache usam o protocolo HTTP para transferncia
de dados entre computadores cliente, mas esse modo no usa o protocolo de Descoberta WS.
No modo de cache hospedado, voc deve configurar o firewall de cliente para permitir a regra
de entrada, BranchCacheRecuperao de Contedo (usa HTTP).
Depois que voc configurar o BranchCache, os clientes podem acessar os dados armazenados em cache
em servidores de contedo habilitados por BranchCache, que esto disponveis localmente na filial.
Voc pode modificar as configuraes do BranchCache e pode executar tarefas de configurao
adicionais, como:
Limpeza do cache.
Etapas da demonstrao
Adicionar o BranchCache para o servio de funo Arquivos de Rede
2-17
1.
2.
2.
Abra uma janela do Explorador de Arquivos e, na unidade C, crie uma pasta chamada Share.
2.
Monitoramento do BranchCache
Depois da configurao inicial, voc pode
querer verificar se o BranchCache est
configurado corretamente e funcionando de
maneira adequada. Voc pode usar o comando
netsh branchcache show status all para exibir
o status de servio do BranchCache. Voc tambm
pode usar o cmdlet Get-BCStatus para fornecer
o status e informaes de configurao do
BranchCache. Os servidores cliente e servidores de
cache hospedado exibem informaes adicionais,
como o local do cache local, o tamanho do cache
local e o status das regras de firewall para HTTP e
os protocolos de Descoberta WS que o BranchCache.
Voc tambm poder usar as seguintes ferramentas para monitorar o BranchCache:
Lio 3
2-19
O Windows Server 2012 introduz muitas tecnologias que podem ajudar as organizaes a responder
aos desafios de gerenciamento, manuteno, segurana e otimizao dos dados que so armazenados
em dispositivos de armazenamento diferentes. As tecnologias incluem o Gerenciador de Recursos de
Servidor de Arquivos, a infraestrutura de classificao de arquivo e eliminao de dados duplicados,
cada um fornecendo novos recursos em comparao com o Windows Server 2008 R2.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Tarefas de gerenciamento de arquivos. Voc pode usar este recurso para aplicar uma poltica
ou ao condicional aos arquivos, baseado em sua classificao. As condies de uma tarefa de
gerenciamento de arquivo incluem o local do arquivo, as propriedades de classificao, a data em
que o arquivo foi criado, a data da ltima modificao do arquivo e a ltima vez que o arquivo foi
acessado. As aes que uma tarefa de gerenciamento de arquivo pode tomar incluem a capacidade
para expirar arquivos, criptografar arquivos e executar um comando personalizado.
Gerenciamento de cota. Voc pode usar este recurso para limitar o espao que permitido para um
volume ou pasta. Voc pode aplicar cotas automaticamente a novas pastas que so criadas em um
volume. Voc tambm pode definir modelos de cota que pode aplicar a novos volumes ou pastas.
Gerenciamento de triagem de arquivo. Voc pode usar este recurso para controlar os tipos de
arquivos que os usurios podem armazenar em um servidor de arquivos. Voc pode limitar a
extenso que pode ser armazenada em seus compartilhamentos de arquivos. Por exemplo, voc
pode criar uma triagem de arquivo que rejeita o armazenamento de arquivos com uma extenso
.mp3 em pastas compartilhadas pessoais em um servidor de arquivos.
Relatrios de armazenamento. Voc pode usar este recurso para identificar tendncias em uso
de disco e identificar como seus dados so classificados. Voc tambm pode monitorar tentativas
por usurios de salvar arquivos no autorizados.
Voc pode configurar e gerenciar o FSRM usando o snap-in MMC (Console de Gerenciamento Microsoft)
do Gerenciador de Recursos de Servidor de Arquivos, ou usando a interface de linha de comando
do Windows PowerShell.
Os seguintes recursos do FSRM so novos no Windows Server 2012:
Integrao com Controle de Acesso Dinmico. O Controle de Acesso Dinmico pode usar uma
infraestrutura de classificao de arquivo para ajudar a controlar centralmente e auditar o acesso
a arquivos em seus servidores de arquivos.
Classificao manual. A classificao manual permite aos usurios classificar arquivos e pastas
manualmente sem a necessidade de criar regras de classificao automticas.
Assistncia para acesso negado. Voc pode usar a Assistncia para Acesso Negado para personalizar
a mensagem de erro de acesso negado que exibida para os usurios na Visualizao do
Consumidor do Windows 8 quando eles no tm acesso a um arquivo ou uma pasta.
2-21
O gerenciamento de classificao foi criado para facilitar a carga e o gerenciamento de dados espalhados
pela organizao. Voc pode classificar arquivos de vrios modos. Na maioria dos cenrios, a classificao
realizada manualmente. A infraestrutura de classificao de arquivos no Windows Server 2012 permite
que as organizaes convertam esses processos manuais em polticas automatizadas. Os administradores
podem especificar polticas de gerenciamento de arquivos com base na classificao de um arquivo
e podem aplicar requisitos corporativos para gerenciar dados com base no valor comercial.
Voc pode usar a classificao de arquivo para executar as seguintes aes:
1.
Definir propriedades de classificao e valores que voc pode atribuir a arquivos executando
regras de classificao.
2.
Criar, atualizar e executar regras de classificao. Cada regra atribui uma nica propriedade
predefinida e um nico valor aos arquivos de um diretrio especificado com base em plug-ins
de classificao instalados.
3.
Ao executar uma regra de classificao, reavalie os arquivos que j foram classificados. Voc pode
optar por substituir os valores de classificao existentes ou adicionar o valor a propriedades
que suportam diversos valores. Voc tambm pode usar regras de classificao para desclassificar
arquivos que no esto mais no critrio de classificao.
Identifique qual classificao ou quais classificaes voc deseja aplicar aos documentos.
2.
Determine o mtodo que voc deseja usar para identificar os documentos para classificao.
3.
4.
Depois de ter definido as classificaes, voc poder planejar a implementao do Controle de Acesso
Dinmico definindo expresses condicionais que permitem controlar o acesso a documentos altamente
confidenciais com base em atributos de usurio especficos.
Etapas da demonstrao
Criar uma propriedade de classificao
1.
2.
3.
4.
5.
2-23
Recursos sob demanda. Os recursos sob demanda permitem economizar espao em disco,
permitindo remover arquivos de funo e recurso do sistema operacional. Se voc precisar instalar
essas funes e recursos no servidor, os arquivos de instalao sero recuperados de locais remotos,
mdia de instalao ou Windows Update. Voc pode remover arquivos de recurso de computadores
fsicos e virtuais, arquivos de imagem do Windows (.wim) e VHDs (discos rgidos virtuais offline).
Etapas da demonstrao
Adicionar o servio de funo de eliminao de duplicao de dados
1.
2.
3.
2.
No painel Volumes, clique com o boto direito na unidade E: e clique em Configurar Eliminao
da Duplicao de Dados.
3.
2.
3.
4.
5.
2-25
Objetivos
Configurao do laboratrio
Tempo previsto: 75 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
Antes de iniciar as mquinas virtuais para este laboratrio, execute as seguintes etapas s para
24412B-LON-DC1:
1.
2.
2-27
3.
4.
Observao: Voc poder executar s a etapa anterior se LON-DC1 no tiver sido iniciado.
Se LON-DC1 j tiver sido iniciado, desligue LON-DC1 e execute a etapa.
5.
6.
7.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
8.
9.
Senha: Pa$$w0rd
2.
3.
Configurao do MPIO.
4.
2.
3.
1.
2.
Local de armazenamento: C:
Tamanho: 5 GB
3.
4.
5.
6.
7.
Local de armazenamento: C:
Tamanho: 5 GB
Local de armazenamento: C:
Tamanho: 5 GB
Local de armazenamento: C:
Tamanho: 5 GB
Local de armazenamento: C:
Tamanho: 5 GB
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
IP do iniciador: 172.16.0.22
2-29
IP do iniciador: 131.107.0.2
Resultados: Depois de concluir este exerccio, voc ter configurado e se conectado aos destinos iSCSI.
A A. Datum notou que muitos usurios esto copiando a documentao corporativa para suas unidades
mapeadas nos servidores de arquivos dos usurios ou departamento. Como resultado, h muitas
verses diferentes dos mesmos documentos na rede. Para assegurar que s a verso mais recente
da documentao esteja disponvel para a maioria dos usurios, voc precisa configurar um sistema
de classificao de arquivo que excluir arquivos especficos de pastas de usurio.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
5.
2.
3.
No console Gerenciador de Recursos de Servidor de Arquivos, crie uma regra de classificao com
as seguintes configuraes:
o
Guia Geral, Nome da regra: Regra de Documentos Corporativos e verifique se a regra est
habilitada.
Guia Classificao:
2.
3.
4.
Feche o Internet Explorer, mas deixe o console Gerenciador de Recursos de Servidor de Arquivos
aberto.
2-31
Tarefa 3: Criar uma regra de classificao que se aplica a uma pasta compartilhada
1.
2.
Guia Geral, Nome da regra: Regra de Expirao e verifique se a regra est habilitada
3.
4.
5.
Feche o Internet Explorer, mas deixe o console Gerenciador de Recursos de Servidor de Arquivos
aberto.
Guia Geral, Nome da tarefa: Expired Corporate Documents e verifique se a tarefa est
habilitada
Observao: Esse valor serve apenas para fins de laboratrio. Em um cenrio real, o valor
seria 365 dias ou mais, dependendo da poltica de cada empresa.
o
1.
2.
3.
4.
Revise os eventos com nmeros 908 e 909. Note que 908 - FSRM iniciou um trabalho de
gerenciamento de arquivo e 909 - FSRM concluiu um trabalho de gerenciamento de arquivo.
Resultados: Depois de concluir este exerccio, voc ter configurado uma infraestrutura de classificao
de arquivo de forma que a verso mais recente da documentao sempre estar disponvel aos usurios.
2.
3.
Objetivos
Monitorar o BranchCache.
Configurao do laboratrio
Tempo previsto: 40 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-LON-CL2
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
2-33
Antes de voc poder configurar o recurso BranchCache para suas filiais, deve configurar os componentes
de rede.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
2.
Abra o Gerenciador de Servidor e instale o servio de funo BranchCache para arquivos de rede.
3.
4.
5.
Habilite a configurao BranchCache e selecione Permitir publicao de hash somente para pastas
compartilhadas nas quais o BranchCache estiver habilitado.
2.
Em uma janela do Explorador de Arquivos, crie uma nova pasta chamada C:\Share.
2.
3.
Permisses: padro
2.
3.
4.
5.
6.
Ao: Permitir
Ao: Permitir
Resultados: No final deste exerccio, voc ter implantado o BranchCache, configurado um link lento
e habilitado o BranchCache em um compartilhamento de arquivos.
2-35
A prxima etapa que voc deve executar configurar um servidor de arquivos para o recurso
BranchCache. Voc instalar o recurso BranchCache, solicitar um certificado e vincul-lo ao BranchCache.
As principais tarefas deste exerccio so:
1.
2.
Em LON-DC1, abra Usurios e Computadores do Active Directory e crie uma nova OU chamada
BranchCacheHost.
2.
3.
4.
5.
6.
7.
Resultados: Ao fim deste exerccio, voc ter habilitado o servidor BranchCache na filial.
2.
3.
b.
c.
d.
Digite a latncia de rede de viagem de ida e volta mxima (milissegundos) depois da qual
o armazenamento em cache comea: 0
4.
5.
No prompt de comando, digite netsh branchcache show status all e pressione Enter.
6.
7.
8.
No prompt de comando, digite netsh branchcache show status all e pressione Enter.
9.
Resultados: No final deste exerccio, voc ter configurado os computadores cliente para o BranchCache.
2.
3.
4.
2-37
1.
2.
3.
Remova os contadores existentes, altere para uma visualizao de relatrio e adicione os contadores
de objeto BranchCache ao relatrio.
2.
3.
2.
3.
2.
3.
4.
5.
6.
Leia as estatsticas de desempenho no LON-CL2. Este arquivo foi obtido do cache hospedado
(Recuperao: Bytes do Cache
7.
Resultados: Ao fim deste exerccio, voc ter verificado se o BranchCache est funcionando
como esperado.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.
3.
4.
2-39
Ao considerar uma soluo de armazenamento iSCSI para sua organizao, gaste a maioria do tempo
no processo de design. O processo de design crucial porque permite otimizar a soluo para todas
as tecnologias que usaro o armazenamento iSCSI, como servios de arquivo, Exchange Server e
SQL Server. O design tambm deve acomodar o crescimento futuro dos dados comerciais de suas
organizaes. Bons processos de design garantem uma implantao com xito da soluo que
satisfar os requisitos comerciais de sua organizao.
Perguntas de reviso
Pergunta: Como o BranchCache difere do Sistema de Arquivos Distribudos?
Pergunta: Por que voc desejaria implementar o BranchCache em modo de cache
hospedado em vez de no modo de cache distribudo?
Pergunta: Voc pode configurar Eliminao de duplicao de dados em um volume
de inicializao?
Pergunta: Por que voc implementaria uma infraestrutura de classificao de arquivo?
Ferramentas
Ferramenta
Uso
Onde encontrar
Em Gerenciador do Servidor,
em Servidores de Arquivo
e Armazenamento
Iniciador iSCSI
Em Gerenciador do Servidor,
na caixa de listagem suspensa
Ferramentas
Ferramenta Avaliao de
Eliminao de Duplicao
(DDPEval.exe)
C:\windows\system32
Gerenciador de Recursos
de Servidor de Arquivos
Gerenciador do Servidor
Mdulo 3
Implementao do Controle de Acesso Dinmico
Contedo:
Viso geral do mdulo
3-1
3-2
3-9
3-14
3-25
3-35
O sistema operacional Windows Server 2012 apresenta um novo recurso para aprimorar o controle
de acesso para recursos baseados em arquivos e em pastas. Esse recurso, chamado Controle de Acesso
Dinmico, estende o controle de acesso baseado no sistema de arquivos NTFS normal, permitindo que
os administradores usem declaraes, propriedades de recursos, polticas e expresses condicionais para
gerenciar o acesso. Neste mdulo, voc aprender sobre o Controle de Acesso Dinmico, como planej-lo
e como implement-lo.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
3-2
O Controle de Acesso Dinmico um novo recurso do Windows Server 2012 que pode ser usado para
o gerenciamento de acesso. O Controle de Acesso Dinmico oferece uma nova maneira de proteger e
controlar o acesso a recursos. Antes de implementar esse recurso, voc deve entender como ele funciona
e quais componentes ele usa. Esta lio apresenta uma viso geral do Controle de Acesso Dinmico.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Definir identidade.
3-3
Classificao de dados. Voc pode usar a classificao automtica e manual de arquivos para marcar
dados em servidores de arquivos em toda a organizao.
Controla de acesso a arquivos. As polticas de acesso central permitem que as organizaes definam,
por exemplo, quem pode acessar informaes de integridade do sistema em uma organizao.
Auditoria de acesso a arquivos. Voc pode usar polticas de auditoria centrais para obter relatrios
de conformidade e anlise forense. Por exemplo, possvel identificar quem acessou informaes
altamente confidenciais.
Integrao de proteo RMS opcional. Voc pode usar a criptografia RMS para documentos
confidenciais do Microsoft Office. Por exemplo, voc pode configurar o RMS para criptografar
todos os documentos que contm informaes sobre a HIPAA (Health Insurance Portability
and Accountability Act).
Polcia de acesso central para acesso a arquivos. Permite que as organizaes definam polticas
globais de segurana que refletem a conformidade de negcios e regulatria.
Correo de acesso negado. Melhora a experincia de acesso negado para reduzir a carga sobre
a assistncia tcnica e o tempo para soluo de problemas de incidentes.
Vrios componentes e tecnologias foram atualizados no Windows Server 2012 para dar suporte
ao Controle de Acesso Dinmico. As atualizaes mais importantes so:
Suporte opcional extensibilidade de RMS para que parceiros possam fornecer solues
de criptografia de arquivos que no so do Microsoft Office.
3-4
O que identidade?
Em geral, a identidade definida como um
conjunto de dados que descrevem de maneira
exclusiva uma pessoa ou uma coisa (s vezes
chamada de assunto ou entidade) e contm
informaes sobre as relaes do assunto com
outras entidades. A identidade normalmente
verificada usando uma fonte de informaes
confivel.
3-5
Para continuar com a analogia da viagem para o exterior, voc o usurio e o token de autenticao
o passaporte. Cada informao exclusiva no token de autenticao uma declarao feita sobre sua
conta de usurio. Os controladores de domnio publicam e assinam essas declaraes. Os computadores
que pertencem a domnios e os usurios de domnios confiam nas informaes de autorizao fornecidas
por controladores de domnio.
Podemos dizer ento que a identidade, em relao autenticao e autorizao, consiste em
informaes fornecidas sobre uma entidade por uma fonte confivel. Alm disso, as informaes
so consideradas autorizadas porque sua origem confivel.
Verses anteriores do Windows Server usavam as SIDs e os grupos de segurana para representar a
identidade de um usurio ou computador. Os usurios so autenticados no domnio com um nome
de usurio e uma senha especficos. O nome de logon exclusivo convertido na SID. O controlador
de domnio valida a senha e fornece um token com a SID da entidade de segurana e as SIDs de todos
os grupos dos quais a entidade membro. O controlador de domnio declara que a SID do usurio
vlida e que deve ser usada como identidade do usurio. Todos os membros do domnio confiam
em seu controlador de domnio; portanto, a resposta tratada como uma autorizao.
A identidade no limitada SID do usurio. Os aplicativos podem usar qualquer informao sobre o
usurio como forma de identidade, se o aplicativo confiar que a origem das informaes autorizada.
Por exemplo, muitos aplicativos implementam o RBAC (controle de acesso baseado em funo).
O RBAC limita o acesso a recursos dependendo do usurio ser membro de uma funo especfica.
O Microsoft SharePoint Server um bom exemplo de software que implementa a segurana baseada
em funes. O Windows Server 2012 tambm pode tirar proveito dessas opes para estender
e aprimorar o modo como a identidade determinada para uma entidade de segurana.
3-6
Declaraes de usurios
Uma declarao de usurio consiste em informaes sobre um usurio fornecidas por um controlador
de domnio do Windows Server 2012. Os controladores de domnio do Windows Server 2012 podem
usar a maioria dos atributos de usurio do AD DS como informaes de declarao. Isto d aos
administradores uma ampla variedade de possibilidades para configurar e usar declaraes
para o controle de acesso.
Declaraes de dispositivos
Uma declarao de dispositivo que muitas vezes chamada de declarao de computador
consiste em informaes fornecidas por um controlador de domnio do Windows Server 2012 sobre
um dispositivo que representado por uma conta de computador no AD DS. Da mesma forma
que as declaraes de usurios, as declaraes de dispositivos podem usar a maioria dos atributos
do AD DS que se aplicam a objetos de computador.
Nome. Para cada regra de acesso central, voc deve configurar um nome descritivo.
Recurso de destino. Essa uma condio que define a quais dados a poltica se aplica. Voc define
uma condio especificando um atributo e seu valor. Por exemplo, uma regra de poltica central
especfica pode se aplicar a todos os dados que voc classificar como confidenciais.
Permisses. Esta uma lista de uma ou mais ACEs (entradas de controle de acesso) que definem
quem pode acessar os dados. Por exemplo, voc pode especificar o acesso Controle Total a
um usurio com o atributo EmployeeType definido como FTE (funcionrio de tempo integral).
Esse o principal componente de cada regra de acesso central. Voc pode combinar e agrupar
as condies que coloca na regra de acesso central. possvel definir as permisses como
propostas (para fins de preparao) ou atuais.
3-7
Voc pode pensar na regra de acesso central como representante de um requisito de negcios que
descreve quem pode acessar um conjunto especfico de informaes; por exemplo, informaes
confidenciais.
Depois que voc configurar uma ou mais regras de acesso central, adicione-as poltica de acesso
central, que ento aplicada aos recursos.
3-8
A poltica de acesso central aprimora, mas no substitui as polticas de acesso locais ou as DACLs (listas
de controle de acesso discricionrio) que so aplicadas a arquivos e pastas em um servidor especfico.
Por exemplo, se uma DACL em um arquivo permite o acesso de um usurio especfico, mas uma poltica
de acesso central que se aplica ao arquivo restringe o acesso do mesmo usurio, ele no poder ter
acesso ao arquivo. Da mesma forma, se a poltica de acesso central permitir, mas a DACL no permitir
o acesso, o usurio no poder acessar o arquivo.
Antes de implementar a poltica de acesso central, execute estas etapas:
1.
2.
3.
4.
5.
Use a Poltica de Grupo para implantar a poltica em servidores de arquivos. Ao fazer isso, voc
informa os servidores de arquivos sobre a existncia de uma poltica de acesso central no AD DS.
6.
Voc tambm pode usar o Kit de Ferramentas de Classificao de Dados para aplicar automaticamente
polticas de acesso central em vrios servidores de arquivos e relatar quais polticas so aplicadas em
quais compartilhamentos.
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
3-9
1.
Identifique os recursos que voc deseja proteger. Se todos esses recursos estiverem em um servidor
de arquivos ou em apenas uma pasta, talvez no seja necessrio implementar uma poltica de acesso
central. Em vez disso, voc pode configurar o acesso condicional na ACL da pasta. Porm, se os
recursos estiverem distribudos em vrios servidores ou vrias pastas, voc poder se beneficiar com
a implantao de uma poltica de acesso central. Os dados que poderiam exigir proteo adicional
podem incluir registros de folha de pagamento, dados de histrico mdico, informaes pessoais
de funcionrios e listas de clientes da empresa. Voc tambm pode usar o direcionamento nas
regras de acesso central para identificar recursos aos quais deseja aplicar a poltica de acesso central.
2.
Defina as polticas de autorizao. Em geral, essas polticas so definidas a partir de seus requisitos
comerciais. Veja alguns exemplos:
o
Os documentos de marketing de cada pas devem ser gravveis somente para o pessoal
de marketing do mesmo pas.
3.
4.
Em seguida, voc deve dividir as expresses que criou e determinar quais tipos de declarao,
grupos de segurana, propriedades de recursos e declaraes de dispositivos voc deve criar
para implantar suas polticas. Em outras palavras, voc deve identificar os atributos para
a filtragem de acesso.
3-11
A infraestrutura de classificao de arquivos usa a classificao baseada em local como Para esta
estrutura de pastas a Confidencialidade Alta e regras de classificao automtica para verificar
arquivos automaticamente e ento classific-los de acordo com seu contedo. As propriedades de
Classificao e Recurso so definidas centralmente no AD DS de forma que essas definies possam
ser compartilhadas entre servidores de arquivos na organizao. Voc pode criar regras de classificao
que verificam nos arquivos uma cadeia de caracteres padro ou que corresponda a um padro
(expresso regular). Quando um padro de classificao configurado localizado em um arquivo,
esse arquivo classificado como configurado na regra de classificao.
Ao planejar classificaes de arquivos, faa o seguinte:
Identifique qual classificao ou quais classificaes voc deseja se aplicar aos documentos.
Determine o mtodo que voc usar para identificar os documentos para classificao.
Depois de ter definido as classificaes, voc poder planejar a implementao do Controle de Acesso
Dinmico definindo expresses condicionais que permitiro controlar o acesso a documentos altamente
confidenciais com base em atributos de usurio especficos.
Por exemplo, voc pode desejar auditar tentativas de abrir pastas compartilhadas por usurios em pases
diferentes do pas onde a pasta compartilhada est localizada. Isso obtido por meio da implementao
de permisses propostas nas regras de acesso central.
Com a Auditoria de Acesso a Objetos Globais, os administradores podem definir SACLs (listas de
controle de acesso do sistema) do computador de acordo com o tipo de objeto do sistema de arquivos
ou do Registro. O SACL especificado ento aplicado automaticamente a cada objeto desse tipo. Voc
pode usar uma poltica de Auditoria de Acesso a Objetos Globais para impor a poltica de Auditoria
de Acesso a Objetos para um computador, um compartilhamento de arquivos ou o Registro, sem
configurar e propagar SACLs convencionais. Configurar e propagar uma SACL fazem parte de uma
tarefa administrativa complexa que difcil verificar, especialmente se voc precisa confirmar para
um auditor que uma poltica de segurana est sendo imposta.
Observao: Os auditores podem verificar se cada recurso no sistema est protegido
por uma poltica de auditoria exibindo o contedo da configurao da poltica de Auditoria
de Acesso a Objetos Globais.
As SACLs de recursos tambm so teis para cenrios de diagnstico. Por exemplo, a definio de uma
poltica de Auditoria de Acesso a Objetos Globais para registrar em log toda a atividade de um usurio
especfico e a habilitao das polticas de auditoria de Falhas de Acesso em um recurso como um sistema
de arquivos ou Registro podem ajudar os administradores a identificar rapidamente qual objeto em um
sistema est negando o acesso de um usurio.
Antes de implementar a auditoria, voc deve preparar um plano de auditoria. No plano de auditoria,
voc deveria identificar os recursos, os usurios e as atividades que deseja acompanhar. Voc pode
implementar a auditoria para vrios cenrios, como:
Obteno de mais informaes de eventos de logon do usurio. No Windows Server 2012, um evento
de logon de usurio (evento 4624) contm informaes sobre o usurio que entrou no computador.
Voc pode exibir essas informaes adicionais usando as ferramentas de gerenciamento do log de
auditoria para correlacionar eventos de logon do usurio e eventos de acesso a objetos, e habilitando
a filtragem de eventos com base em atributos do arquivo e do usurio.
Fornecendo mais informaes de auditoria de acesso a objetos. No Windows Server 2012, agora os
eventos de acesso a arquivos 4656 e 4663 contm informaes sobre os atributos do arquivo que
foi acessado. As ferramentas de filtragem do log de eventos podem usar essas informaes adicionais
para ajudar a identificar os eventos de auditoria mais relevantes.
3-13
Defina as mensagens que os usurios recebero ao tentar acessar recursos para os quais no tm
direitos de acesso. A mensagem deve ser informal e fcil de entender.
Determine se os usurios devem poder enviar uma solicitao de acesso por email e, nesse caso,
configure opcionalmente o texto que ser adicionado a suas mensagens de email.
Determine os destinatrios das mensagens de email de solicitao de acesso. Voc pode escolher
enviar o email para proprietrios de pastas, administradores do servidor de arquivos ou qualquer
outro destinatrio especificado. As mensagens sempre devem ser direcionadas pessoa apropriada.
Se voc tiver uma ferramenta de suporte tcnico ou uma soluo de monitoramento que permita
mensagens de email, tambm poder direcionar essas mensagens para gerar solicitaes de usurio
automaticamente em sua soluo de suporte tcnico.
Decida sobre os sistemas operacionais de destino. A Assistncia para Acesso Negado funciona
somente com o Windows 8 ou o Windows Server 2012.
Lio 3
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
3-15
O novo mecanismo de autorizao e auditoria exige extenses para o AD DS. Essas extenses compilam
o dicionrio de declaraes do Windows, que onde os sistemas operacionais Windows armazenam
declaraes para uma floresta do Active Directory. A autorizao de declaraes tambm depende
do KDC (Centro de Distribuio de Chaves Kerberos). O KDC do Windows Server 2012 contm os
aprimoramentos do Kerberos necessrios para transportar declaraes em um tquete Kerberos e a
identidade composta. O KDC do Windows Server 2012 tambm inclui um aprimoramento para dar
suporte poltica de proteo Kerberos. A poltica de proteo Kerberos uma implementao do Tnel
Seguro de Autenticao Flexvel, que fornece um canal protegido entre o cliente de Kerberos e o KDC.
Os pr-requisitos para usar declaraes so:
Se voc estiver usando declaraes em uma relao de confiana de floresta, dever ter controladores
de domnio do Windows Server 2012 em cada domnio.
Se voc estiver usando declaraes de dispositivos, dever ter um cliente Windows 8. Sistemas
operacionais Windows mais antigos no do suporte a declaraes de dispositivos.
Embora um controlador de domnio do Windows Server 2012 seja exigido ao usar declaraes de
usurios, no necessrio ter nvel funcional de floresta e um domnio Windows Server 2012, a menos
que voc deseje usar declaraes em uma relao de confiana de floresta. Isto significa que voc
tambm pode ter controladores de domnio no Windows Server 2008 e no Windows Server 2008 R2
com o nvel funcional de floresta localizado no Windows Server 2008.
Observao: A implementao do Controle de Acesso Dinmico em um ambiente
com vrias florestas tem requisitos de instalao adicionais.
Voc deve usar primeiro a Poltica de Grupo para habilitar o AD DS para o Controle de Acesso Dinmico.
Como essa configurao especfica de controladores de domnio, voc pode criar um novo GPO (Objeto
de Poltica de Grupo) e depois vincular a configurao UO (unidade organizacional) Controladores
de Domnio ou editando o GPO Controladores de Domnio Padro que j est vinculado a essa UO.
Independentemente do mtodo que voc escolher, abra o Editor de Objeto de Poltica de Grupo,
expanda Configurao do Computador, expanda Polticas, expanda Modelos Administrativos,
expanda Sistema e expanda KDC. Nesse n, abra uma configurao chamada Suporte ao Controle
de Acesso Dinmico e poltica de proteo Kerberos.
O suporte a declaraes e poltica de proteo Kerberos est desabilitado por padro, o que
equivalente a no configurar essa poltica ou a sua configurao como No dar suporte ao Controle
de Acesso Dinmico e poltica de proteo Kerberos.
3-17
Para criar declaraes baseadas em atributo na Central Administrativa do Active Directory, navegue at
o n Controle de Acesso Dinmico e abra o continer Tipos de Declarao. Por padro, nenhum tipo de
declarao est definido aqui. No painel Aes, voc pode clicar em Criar Tipo de Declarao para exibir
a lista de atributos. Esses atributos so usados como origem de valores para declaraes. Quando voc
criar uma declarao, a associa com o atributo especfico. O valor desse atributo preenchido como um
valor de declarao. Portanto, essencial que as informaes dos atributos do Active Directory que so
usadas nos tipos de declarao de origem contenham informaes precisas ou permaneam em branco,
pois sero usadas para o controle de acesso de segurana.
Ao selecionar o atributo que deseja usar para criar uma declarao, voc tambm deve fornecer
um nome para a declarao. O nome sugerido para a declarao sempre igual ao nome do atributo
selecionado. Porm, voc tambm pode fornecer um nome alternativo ou mais significativo para
a declarao. Opcionalmente, voc pode fornecer valores sugeridos para uma declarao. Isso
no obrigatrio, mas recomendvel porque pode reduzir a possibilidade de cometer erros.
Voc tambm pode especificar a ID da declarao. Esse valor gerado automaticamente, mas voc
poder especificar a ID da declarao, se estiver definindo a mesma declarao para vrias florestas
e desejar usar a mesma ID.
Observao: Os tipos de declarao so originados de atributos do AD DS. Por isso,
voc deve configurar os atributos do computador e das contas de usurio no AD DS com
informaes corretas do respectivo usurio ou computador. Os controladores de domnio do
Windows Server 2012 no emitem uma declarao para um tipo de declarao baseado em
atributo quando o atributo da entidade de segurana da autenticao est vazio. Dependendo
da configurao dos atributos do objeto de propriedade do recurso do arquivo de dados,
um valor nulo em uma declarao pode resultar na negao de acesso do usurio ao
Controle de Acesso Dinmico dados protegidos.
Quando voc usa declaraes ou grupos de segurana para controlar o acesso a arquivos e pastas,
tambm deve fornecer informaes adicionais para esses recursos. Isso feito configurando os objetos
de propriedade de recursos. Voc gerencia as propriedades de recursos no continer Propriedades do
Recurso, localizado no n Controle de Acesso Dinmico, na Central Administrativa do Active Directory.
Voc pode criar suas prprias propriedades de recursos ou pode usar uma das propriedades
pr-configuradas, como Projeto, Departamento e Uso de Pastas. Todos os objetos de propriedade
de recursos predefinidos esto desabilitados por padro. Se desejar usar algum deles, deve primeiro
habilit-lo. Se desejar criar seu prprio objeto de propriedade do recurso, voc poder especificar
o tipo de propriedade e os valores permitidos ou sugeridos.
Ao criar objetos de propriedade de recursos, voc pode selecionar propriedades para incluir nos arquivos
e nas pastas. Ao avaliar a autorizao e a auditoria de arquivos, o sistema operacional Windows usa
os valores dessas propriedades juntamente com os valores das declaraes de usurios e dispositivos.
Depois de configurar as declaraes de usurios e dispositivos e as propriedades de recursos, voc deve
proteger os arquivos e as pastas usando expresses condicionais que avaliam as declaraes de usurios
e dispositivos em relao a valores constantes ou os valores das propriedades de recursos. Voc pode
fazer isso de uma destas trs maneiras:
Se desejar incluir apenas pastas especficas, voc poder usar o Editor de Configuraes de Segurana
Avanadas para criar expresses condicionais diretamente no descritor de segurana.
Para incluir vrios servidores de arquivos (ou todos), voc pode criar regras de poltica de acesso
central e vincular essas regras a objetos da Poltica Central. Voc pode ento usar a Poltica
de Grupo para implantar os objetos da Poltica Central a servidores de arquivos e configurar
o compartilhamento para usar o objeto da Poltica Central. Porm, o uso de polticas de acesso
central o mtodo mais eficiente e preferido para proteger arquivos e pastas. Isso abordado
melhor no prximo tpico.
Voc pode usar classificaes de arquivos para incluir determinados arquivos com um conjunto
comum de propriedades em vrias pastas ou vrios arquivos.
Voc pode usar declaraes e objetos de propriedades de recursos juntos em expresses condicionais.
O Windows Server 2012 e o Windows 8 do suporte a uma ou mais expresses condicionais em uma
entrada de permisso. As expresses condicionais simplesmente adicionam outra camada aplicvel
entrada de permisso. Os resultados de todas as expresses condicionais devem ser avaliados como
Verdadeiro para que o Windows conceda a entrada de permisso para a autorizao. Por exemplo,
suponha que voc defina uma declarao chamada Departamento para um usurio (com um atributo
de origem departamento) e um objeto de propriedade do recurso chamado Depart. Agora voc pode
definir uma expresso condicional que informa que o usurio poder acessar uma pasta (com os objetos
de propriedade de recursos aplicados) somente se o valor do atributo Departamento do usurio for igual
ao valor da propriedade Depart na pasta. Observe que, se o objeto de propriedade de recurso Depart
no tiver sido aplicado aos arquivos em questo ou se Depart tiver um valor nulo, o usurio ter acesso
aos dados.
Observao: O acesso no controlado pela declarao, mas pelo objeto de propriedade
do recurso. A declarao deve fornecer o valor correto correspondente aos requisitos definidos
pelo objeto de propriedade do recurso. Se o objeto de propriedade do recurso no envolver
um atributo especfico, atributos de declarao adicionais ou extras associados ao usurio
ou ao dispositivo sero ignorados.
3-19
Uma regra de acesso central contm vrios critrios que o sistema operacional Windows usa ao avaliar
o acesso. Por exemplo, uma regra de acesso central pode usar expresses condicionais para segmentar
arquivos e pastas especficos. Cada regra de acesso central tem uma condio que determina quais
informaes a regra segmenta, alm de vrias listas de entradas de permisso que voc usa para
gerenciar as entradas de permisso atuais ou propostas da regra. Voc tambm pode retornar a lista
de entradas de permisso atual da regra para sua ltima lista conhecida de entradas de permisso.
Cada regra de acesso central pode ser membro de um ou mais objetos da Poltica de Acesso Central.
Fornea um nome e uma descrio para a regra. Voc tambm deve optar por proteger a regra
contra excluso acidental.
2.
Configure os recursos de destino. Na Central Administrativa do Active Directory, use a seo Recursos
de Destino para criar um escopo para a regra de acesso. Voc cria o escopo usando propriedades
de recursos em uma ou mais expresses condicionais. Voc deseja criar uma condio de destino
baseada no requisito de negcios que orienta essa regra. Por exemplo, Resource.Compliancy=HIPAA.
Para simplificar o processo, voc pode manter o valor padro (Todos os recursos), mas em geral voc
aplica alguma filtragem de recursos. Voc pode unir as expresses condicionais usando operadores
lgicos, como AND e OR. Alm disso, possvel agrupar expresses condicionais para combinar
os resultados de duas ou mais expresses condicionais unidas. A seo Recursos de Destino
exibe a expresso condicional configurada no momento que est sendo usada para controlar
a aplicabilidade da regra.
3.
Usar as seguintes permisses como propostas. Selecione essa opo para adicionar as
entradas de permisses da lista de permisses lista de entradas de permisses propostas
para a regra de acesso central recm-criada. Voc pode combinar as lista de permisses
propostas com a auditoria do sistema de arquivos para modelar o acesso efetivo que
os usurios tm ao recurso, sem precisar alterar as entradas de permisses na lista de
permisses atual. As permisses propostas geram um evento de auditoria especial
para o log de eventos que descreve o acesso efetivo proposto para os usurios.
Usar as seguintes permisses como atuais. Selecione essa opo para adicionar as entradas
de permisses da lista de permisses lista de entradas de permisses atuais para a regra de
acesso central recm-criada. A lista de permisses atuais representa as permisses adicionais
que o sistema operacional Windows considera quando voc implanta a regra de acesso central
a um servidor de arquivos. As regras de acesso central no substituem a segurana existente.
Ao tomar decises de autorizao, o Windows avalia as entradas de permisso da lista de
permisses atuais da regra de acesso central, NTFS e listas de permisses de compartilhamento.
Quando estiver satisfeito com as permisses propostas, voc poder convert-las em permisses atuais.
Alternativamente, voc pode usar as permisses atuais em um ambiente de teste e o acesso efetivo como
especificado na guia Segurana Avanada para modelar como a poltica se aplica a usurios diferentes.
3-21
O Controle de Acesso Dinmico permite criar polticas de auditoria direcionadas usando propriedades
de recursos e expresses com base em declaraes de usurios e computadores. Por exemplo, voc
pode criar uma poltica de auditoria para acompanhar todas as operaes de Leitura e Gravao em
arquivos altamente confidenciais executadas por funcionrios que no tm um atributo de Liberao
de Segurana Alta preenchido com o valor apropriado. Voc pode criar polticas de auditoria baseadas
em expresso diretamente em um arquivo ou uma pasta, ou centralmente por meio da Poltica de Grupo
usando a Auditoria de Acesso a Objetos Globais. Usando essa abordagem, voc no impede o acesso
no autorizado; em vez disso, registra as tentativas de acesso ao contedo por pessoas no autorizadas.
Voc configura a Auditoria de Acesso a Objetos Globais ao habilitar a auditoria de acesso a objetos
e a auditoria de acesso a objetos globais. A habilitao desse recurso ativa a auditoria do computador
que aplica a configurao de poltica. Porm, habilitar somente a auditoria nem sempre gera eventos
de auditoria. O recurso nesta instncia, arquivos e pastas deve conter entradas de auditoria
em sua ACL.
Voc deve configurar a Auditoria de Acesso a Objetos Globais para sua empresa usando a poltica de
segurana de um GPO baseado em domnio. As duas configuraes de poltica de segurana que so
exigidas para habilitar a auditoria de acesso a objetos globais esto localizadas nos seguintes locais:
A Auditoria de Acesso a Objetos Globais inclui uma subcategoria para o sistema de arquivos e o Registro.
Todos os eventos de auditoria de acesso a arquivos tambm incluem os valores de propriedade de
recursos nos eventos de auditoria, de forma que voc possa usar esses valores para relatrios avanados,
como quem acessou todos os dados financeiros. Faa isto usando ferramentas como o Microsoft System
Center para coletar todos os eventos em um banco de dados SQL central e gerar relatrios baseado
nesses eventos.
Observao: Se uma SACL de arquivo ou pasta e uma poltica de Auditoria de Acesso a
Objetos Globais (ou uma nica SACL de configurao do Registro e uma poltica de Auditoria de
Acesso a Objetos Globais) esto configuradas em um computador, a SACL efetiva derivada da
combinao da SACL de arquivo ou pasta e da poltica de Auditoria de Acesso a Objetos Globais.
Isso significa que um evento de auditoria ser gerado se uma atividade corresponder SACL de
arquivo ou pasta ou poltica de Auditoria de Acesso a Objetos Globais. Se forem configuradas
vrias polticas de auditoria globais para o mesmo servidor, as polticas de auditoria sero
combinadas em uma poltica de auditoria global para esse servidor.
Quando os usurios recebem esse erro, normalmente eles tentam entrar em contato com o administrador
para obter acesso. Porm, em geral, os administradores no aprovam o acesso aos recursos, ento eles
redirecionam os usurios para a aprovao por outra pessoa.
No Windows Server 2012, h um novo recurso para ajudar usurios e administradores nessas situaes.
Esse recurso chamado de Assistncia para Acesso Negado. A Assistncia para Acesso Negado ajuda os
usurios na resposta a problemas de acesso negado sem envolver a equipe de TI. Isso feito fornecendo
informaes sobre o problema e direcionando os usurios pessoa adequada.
Correo pelo proprietrio dos dados. Os administradores podem definir proprietrios para as
pastas compartilhadas. Assim, os usurios podem enviar mensagens de email para os proprietrios
dos dados para solicitar acesso. Por exemplo, se um usurio for acidentalmente excludo de uma
associao de grupo de segurana ou se o atributo de departamento do usurio for digitado
incorretamente, o proprietrio dos dados pode adicionar o usurio ao grupo. Se o proprietrio dos
dados no souber como conceder acesso ao usurio, ele poder encaminhar essas informaes para
o administrador de TI apropriado. Isso til porque o nmero de solicitaes de suporte de usurios
que so escaladas para o suporte tcnico deve limitar-se a casos especializados ou difceis de resolver.
3-23
Voc usa a Poltica de Grupo para habilitar o recurso Assistncia para Acesso Negado. Abra o Editor
de Objeto de Poltica de Grupo e navegue at Configurao do Computador\Polticas\Modelos
Administrativos\Sistema\Assistncia para Acesso Negado. No n Assistncia para Acesso
Negado, voc pode habilitar a Assistncia para Acesso Negado e tambm pode fornecer mensagens
personalizadas para os usurios. Alternativamente, voc tambm pode usar o console do FSRM
para habilitar a Assistncia para Acesso Negado. Porm, se a Assistncia para Acesso Negado estiver
habilitada na Poltica de Grupo, as configuraes apropriadas no console do FSRM sero desabilitadas
para configurao.
Voc tambm pode usar a pgina Propriedades de Gerenciamento do FSRM para configurar uma
mensagem personalizada de Assistncia para Acesso Negado para uma rvore de pastas especfica
no servidor, por exemplo, uma mensagem por compartilhamento.
O gerenciamento de classificao foi criado para facilitar a carga e o gerenciamento de dados espalhados
pela organizao. Voc pode classificar arquivos de vrios modos. Na maioria dos cenrios, voc classifica
arquivos manualmente. A infraestrutura de classificao de arquivos no Windows Server 2008 R2 permite
que as organizaes convertam esses processos manuais em polticas automatizadas. Os administradores
podem especificar polticas de gerenciamento de arquivos com base na classificao de um arquivo
e ento aplicar requisitos corporativos para gerenciar dados com base em um valor comercial.
Definir propriedades de classificao e valores que voc pode ento atribuir a arquivos executando
regras de classificao.
Classificar uma pasta de forma que todos os arquivos dentro da estrutura de pastas herdem
a classificao.
Criar, atualizar e executar regras de classificao. Cada regra atribui uma nica propriedade
predefinida e um nico valor aos arquivos de um diretrio especificado com base em plug-ins
de classificao instalados.
Ao executar uma regra de classificao, reavalie os arquivos que j foram classificados. Voc pode
optar por substituir os valores de classificao existentes ou adicionar o valor a propriedades que
suportam diversos valores. Voc tambm pode desclassificar os arquivos que atendem mais aos
critrios de classificao.
Objetivos
Configurao do laboratrio
Tempo previsto: 90 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-LON-CL2
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
3-25
4.
Senha: Pa$$w0rd
5.
6.
O departamento de segurana tambm est preocupado com o fato dos gerentes estarem acessando
os arquivos usando seus computadores residenciais, que podem no ser muito seguros. Portanto, voc
deve criar um plano para proteger os documentos independentemente de onde eles estejam localizados,
alm de assegurar que os documentos possam ser acessados somente de computadores autorizados.
Os computadores autorizados dos gerentes so membros do grupo de segurana ManagersWks.
O departamento de suporte relata que um grande nmero de chamadas gerado por usurios
que no conseguem acessar recursos. Voc deve implementar um recurso que ajude os usurios a
entender melhor as mensagens de erro, o que permitir que eles solicitem acesso automaticamente.
As principais tarefas deste exerccio so:
1.
2.
Com base no cenrio, descreva como voc criar o Controle de Acesso Dinmico para atender
aos requisitos de controle de acesso.
2.
3.
4.
5.
Remova a configurao Bloquear Herana que se aplica UO Managers. Isso para remover
a configurao de bloquear herana usada em um mdulo posterior do curso.
6.
7.
8.
9.
3-27
Resultados: Depois de concluir este exerccio, voc ter planejado a implantao do Controle de Acesso
Dinmico e preparado o AD DS para a implementao do Controle de Acesso Dinmico.
2.
3.
2.
3.
Abra o continer Claim Types e certifique-se de que no haja nenhuma declarao padro definida.
4.
Abra o continer Resource Properties e observe que todas as propriedades esto desabilitadas
por padro.
5.
6.
2.
Abra o continer Claim Types e crie um novo tipo de declarao para usurios e computadores
usando as seguintes configuraes:
o
2.
Resultados: Depois de concluir este exerccio, voc ter examinado os tipos de declarao padro,
configurado declaraes para usurios e para dispositivos.
2.
Classificar arquivos.
3.
2.
3.
4.
5.
Abra a Global Resource Property List, verifique se Department e Confidentiality esto includas na
lista e clique em Cancelar.
6.
2.
3.
Escopo: C:\Docs
Propriedade: Confidentiality
Valor: High
4.
5.
Abra uma janela do Explorador de Arquivos, navegue at a pasta C:\Docs e abra a janela
Propriedades dos arquivos Doc1.txt, Doc2.txt e Doc3.txt.
6.
2.
3.
Resultados: Depois de concluir este exerccio, voc ter configurado as propriedades de recursos
para arquivos, arquivos classificados e propriedades atribudas a uma pasta.
1.
2.
3.
4.
3-29
2.
3.
4.
Permisses atuais:
Remover Administradores
Permisses atuais:
Remover Administradores
2.
3.
Em LON-DC1, no Centro Administrativo do Active Directory, crie uma nova Central Access Policies
com os seguintes valores:
o
2.
Crie um novo GPO chamado Poltica DAC e, no domnio Adatum.com, vincule-o UO Teste.
3.
3-31
4.
5.
6.
2.
3.
4.
5.
2.
3.
4.
No painel direito, clique duas vezes em Personalizar Mensagem para erros de Acesso Negado.
5.
6.
Na caixa de texto Exiba a seguinte mensagem aos usurios que tiveram acesso negado,
digite Seu acesso foi negado devido poltica de permisses. Solicite o acesso.
7.
Marque a caixa de seleo Permitir que os usurios solicitem assistncia e clique em OK.
8.
Clique duas vezes em Habilitar a assistncia de acesso negado no cliente para todos os tipos
de arquivo, habilite-a e clique em OK.
9.
Resultados: Depois de concluir este exerccio, voc ter configurado regras e polticas de acesso central
para o Controle de Acesso Dinmico.
2.
3.
4.
5.
Saia de LON-CL1.
6.
7.
Abra o Explorador de Arquivos e tente acessar \\LON-SVR1\Research. Voc deve ter acesso
e conseguir abrir os arquivos da pasta.
8.
Saia de LON-CL1.
9.
10. Abra o Explorador de Arquivos e tente acessar \\LON-SVR1\Docs. Voc deve poder abrir todos
os arquivos nessa pasta.
11. Saia de LON-CL1.
12. Inicie e entre em LON-CL2 como Adatum\Aidan com a senha Pa$$w0rd.
13. Abra o Windows Explorer e tente acessar \\LON-SVR1\Docs. Voc no deve poder ver Doc1
e Doc2, porque LON-CL2 no tem permisso para exibir documentos secretos.
Resultados: Depois de concluir este exerccio, voc ter validado a funcionalidade do Controle de
Acesso Dinmico.
2.
3.
Verificar a preparao.
4.
2.
3.
3-33
4.
Clique duas vezes em Preparo de Poltica de Acesso Central de Auditoria, marque as trs caixas
de seleo e clique em OK.
5.
Clique duas vezes em Auditoria de Sistema de Arquivos, marque as trs caixas de seleo e clique
em OK.
6.
2.
Na seo Permisses propostas, configure a condio de Usurios Autenticados como UsurioDepartmento da Empresa-Igual-Valor-Marketing.
3.
2.
3.
4.
2.
3.
4.
5.
6.
7.
8.
9.
10. Clique em Exibir acesso efetivo. Agora o usurio deve ter acesso.
11. Feche todas as janelas abertas.
Resultados: Depois de concluir este exerccio, voc ter implementado novas polticas de recursos.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.
3.
4.
Sempre teste as alteraes feitas a regras e polticas de acesso central antes de implement-las.
As declaraes no so preenchidas
com os valores apropriados.
Perguntas de reviso
Pergunta: O que uma declarao?
Pergunta: Qual a finalidade das polticas de acesso central?
Pergunta: O que a Assistncia para acesso negado?
Ferramentas
Ferramenta
Uso
Local
Centro Administrativo
do Active Directory
Administrao e criao de
declaraes, propriedades
de recursos, regras e polticas
Ferramentas administrativas
Console de Gerenciamento
de Poltica de Grupo (GPMC)
Gerenciamento da poltica
de grupo
Ferramentas administrativas
Editor de Gerenciamento
de Poltica de Grupo
GPMC
3-35
Mdulo 4
Implementao de implantaes distribudas dos Servios
de Domnio do Active Directory
Contedo:
Viso geral do mdulo
4-1
4-2
4-8
4-17
4-23
4-27
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
4-2
4-3
Limites de domnio do AD DS
O domnio do AD DS fornece os seguintes limites:
Limite de administrao. Por padro, um domnio AD DS inclui vrios grupos, como o grupo
Administradores de Domnio que tem controle administrativo total sobre o domnio. Voc tambm
pode atribuir permisses administrativas a contas de usurio e grupos dentro de domnios. Com
exceo do grupo Administradores de Empresa no domnio raiz da floresta, as contas administrativas
no tm nenhum direito administrativo em outros domnios na floresta ou em outras florestas.
Limite de aplicao de Poltica de Grupo. As Polticas de Grupo podem ser vinculadas nos seguintes
nveis: local, site, domnio e UO (unidade organizacional). Alm das Polticas de Grupo do nvel
de site, o escopo das Polticas de Grupo o domnio AD DS. No h nenhuma herana de Polticas
de Grupo de um domnio AD DS para outro, mesmo que um domnio AD DS seja inferior a outro
em uma rvore de domnio.
Limite de auditoria. A auditoria gerenciada centralmente com o uso de GPOs (Objetos de Poltica
de Grupo). O escopo mximo dessas configuraes o domnio AD DS. possvel ter as mesmas
configuraes de auditoria em domnios AD DS diferentes, mas eles devem ser gerenciados
separadamente em cada domnio.
Limites de poltica de senha e conta. Por padro, as polticas de senha e conta so definidas no
nvel de domnio e aplicadas a todas as contas de domnio. Embora seja possvel configurar polticas
de senha definidas para configurar polticas diferentes para usurios especficos em um domnio,
no possvel aplicar as polticas de conta e senha alm do escopo de um nico domnio.
Limite de replicao para zonas DNS de domnio. Uma das opes durante a configurao de zonas
DNS em um ambiente do AD DS configurar zonas integradas ao Active Directory. Isso significa
que, em vez dos registros de DNS serem armazenados localmente em cada Servidor DNS em
arquivos de texto, eles so armazenados e replicados no banco de dados do AD DS. Em seguida,
o administrador pode decidir se deseja replicar as informaes de DNS para todos os controladores
de domnio no domnio (quer eles sejam servidores DNS ou no), para todos os controladores de
domnio que forem servidores DNS no domnio ou para todos os controladores de domnio que
no sejam servidores DNS na floresta. Por padro, quando voc implanta o primeiro controlador
de domnio em um domnio AD DS e configura esse servidor como um servidor DNS, duas
parties de replicao separadas chamadas domainDnsZones e forestDnsZones so criadas.
A partio domainDnsZones contm os registros DNS especficos de domnio e replicada apenas
para outros servidores DNS que tambm so controladores de domnio do AD DS no domnio.
Limites de floresta do AD DS
A floresta do AD DS fornece os seguintes limites:
4-4
Limite de segurana. O limite de floresta um limite de segurana porque, por padro, nenhuma
conta fora da floresta tem qualquer permisso administrativa dentro da floresta.
Limite de replicao para a partio de esquema. A partio de esquema contm as regras e a sintaxe
para o banco de dados do AD DS. Ela replicada para todos os controladores de domnio na floresta
do AD DS.
Limite de replicao para o catlogo global. O catlogo global a lista somente leitura que contm
todos os objetos na floresta inteira do AD DS. Para mant-la em um tamanho gerencivel, o catlogo
global contm apenas alguns atributos para cada objeto. O catlogo global replicado para todos
os controladores de domnio que tambm so servidores de catlogo global em toda a floresta.
Limite de replicao para zonas DNS de floresta. A partio forestDnsZones replicada para todos
os controladores de domnio que tambm so servidores DNS em toda a floresta. Essa zona contm
registros que so importantes para habilitar a resoluo de nomes DNS em toda a floresta.
4-5
Esquemas incompatveis. Algumas organizaes talvez exijam vrias florestas, pois requerem
esquemas incompatveis ou processos de alterao de esquema incompatveis. O esquema
compartilhado entre todos os domnios em uma floresta.
4-6
Requisitos de fuso ou alienao de negcio. Um das razes mais comuns pelas quais as organizaes
tm vrias florestas do AD DS se deve s fuses comerciais. Quando as organizaes se fundem
ou uma organizao compra outra, elas precisam avaliar o requisito para mesclar as florestas
que o AD DS implantou em ambas as organizaes. A mesclagem das florestas do AD DS oferece
benefcios relacionados colaborao e administrao simplificadas. Porm, se os dois grupos
diferentes na organizao continuarem sendo gerenciados separadamente e se houver pouca
necessidade de colaborao, talvez a despesa de mesclar as duas florestas no valha a pena.
Em particular, se houver qualquer plano para vender uma parte da empresa, ser prefervel
reter as duas organizaes como florestas separadas.
Prtica recomendada: Como uma prtica recomendada, escolha o design mais simples
que atinja a meta exigida, pois ser menos caro de implementar e mais simples de administrar.
4-7
Otimizar a resoluo de nomes DNS entre vrios namespaces. Quando as organizaes implantam
vrias rvores em uma floresta do AD DS, ou quando implantam vrias florestas, a resoluo de
nomes mais complicada porque voc precisa gerenciar vrios namespaces de domnio. Use recursos
de DNS como encaminhamento condicional, zonas de stub e delegao para otimizar o processo
de resolver nomes de computadores nos namespaces.
Usar zonas DNS integradas ao AD DS. Quando voc configura uma zona DNS como integrada ao
AD DS, as informaes de DNS so armazenadas no AD DS e replicadas pelo processo de replicao
normal do AD DS. Isso otimiza o processo de replicar alteraes em toda a floresta. Voc tambm
pode configurar o escopo de replicao para as zonas DNS. Por padro, registros de DNS especficos
de domnio sero replicados para outros controladores de domnio que tambm so servidores DNS
no domnio. Os registros DNS que habilitam pesquisas entre domnios so armazenados na zona
_msdcs.forestrootdomainname e so replicados para controladores de domnio que tambm
so servidores DNS em toda a floresta. Essa configurao padro no deve ser alterada.
Lio 2
4-8
Algumas organizaes precisam implantar vrios domnios ou at mesmo vrias florestas. A implantao
de controladores de domnio do AD DS nesse cenrio no muito mais complicada do que a implantao
de controladores de domnio em um nico ambiente de domnio, mas h alguns fatores especiais que
voc precisa considerar.
Nesta lio, voc saber como implantar um ambiente de complexo do AD DS e voc ver como atualizar
de uma verso anterior do AD DS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como atualizar uma verso anterior do AD DS para uma verso do Windows Server 2012.
Explicar como migrar para o AD DS do Windows Server 2012 de uma verso anterior.
Etapas da demonstrao
Configure LON-SVR1 como um controlador de domnio do AD DS
em atl.adatum.com
1.
2.
3.
Selecione opes para instalar o DNS e o catlogo global e defina a senha para a conta
de administrador do Modo de Restaurao dos Servios de Diretrio.
2.
Recursos
Grupos universais
Aninhamento de grupo
Histrico de SID (Identificador de segurana)
4-9
(continuao)
Nvel funcional do domnio
Windows Server 2003
Recursos
O atributo LastLogonTimestamp se lembra da hora do ltimo
logon de domnio para os usurios e replica essa informao para
outros controladores de domnio do AD DS no domnio AD DS.
A Delegao Restrita permite que os aplicativos aproveitem
a delegao segura de credenciais de usurio utilizando
a autenticao baseada em Kerberos.
A autenticao seletiva permite a voc especificar os usurios
e os grupos que podem ser autenticados para servidores
de recurso especficos em uma floresta de confiana.
(continuao)
Nvel funcional do domnio
Windows Server 2008 R2
Recursos
4-11
Replicao de valores vinculados. Esse recurso melhorou a replicao do Windows 2000 Server
e aprimorou o modo como a associao de grupo era tratada.
Suporte para RODCs. H suporte para RODCs no nvel funcional da floresta do Windows Server 2003.
O RODC deve estar executando o Windows Server 2008 ou mais recente.
Converso de objetos inetOrgPerson em objetos de usurio. Voc pode converter uma instncia
de um objeto inetOrgPerson, usado para compatibilidade com certos servios de diretrio no
Microsoft, em uma instncia de usurio de classe. Voc tambm pode converter um objeto de
usurio em um objeto inetOrgPerson.
O nvel funcional da floresta do Windows Server 2008 no adiciona novos recursos em toda a floresta.
O nvel funcional da floresta do Windows Server 2008 R2 adiciona o recurso Lixeira do Active Directory.
Esse recurso permite a capacidade de restaurar objetos excludos do Active Directory.
Embora o nvel funcional de floresta do AD DS do Windows Server 2008 R2 tenha introduzido a Lixeira
do AD DS, ela tinha que ser gerenciada com o Windows PowerShell. No entanto, a verso de Ferramentas
de Administrao de Servidor Remoto (RSAT) fornecida com o Windows Server 2012 tem a capacidade
de gerenciar a Lixeira do AD DS usando ferramentas de GUI (interface grfica de usurio).
O nvel funcional da floresta do Windows Server 2012 no fornece nenhum recurso novo em toda
a floresta. Quando voc eleva o nvel funcional da floresta, limita possveis nveis funcionais do
domnio a domnios que adiciona floresta. Por exemplo, se voc elevar o nvel funcional de floresta
para Windows Server 2012, no poder adicionar um novo domnio executando o nvel funcional
de domnio do Windows Server 2008 R2.
4-13
O processo de atualizao
Para atualizar o sistema operacional de um controlador de domnio do Windows Server 2008
para o Windows Server 2012:
1.
2.
3.
Implante e configure uma nova instalao do Windows Server 2012 e inclua-a no domnio.
2.
Eleve o novo servidor para ser um controlador de domnio no domnio domnio usando
o Gerenciador do Servidor.
A Microsoft fornece a Ferramenta de Migrao do Active Directory (ADMT) para mover as contas de
usurio, grupo e computador de um domnio para outro e migrar os recursos de servidor. Se gerenciada
atentamente, a migrao pode ser concluda sem interromper o acesso do usurio aos recursos de que
ele precisa para fazer seu trabalho. A ADMT fornece uma GUI e uma interface de script e oferece suporte
s seguintes tarefas para concluir a migrao de domnio:
Migrao de confiana
Etapas de pr-migrao
Antes de executar a migrao, voc deve executar vrias tarefas para preparar os domnios de origem
e destino. Essas tarefas incluem:
Para computadores membros de domnio antes do Windows Vista Service Pack 1 (SP1)
ou Windows Server 2008 R2, configure um registro no controlador de domnio do AD DS
de destino para permitir algoritmos de criptografia que sejam compatveis com o sistema
operacional Microsoft Windows NT Server 4.0.
2.
b.
c.
d.
e.
Prepare domnios de origem e destino. Voc deve preparar os domnios de origem e destino
para o processo de reestruturao executando as seguintes tarefas:
4-15
a.
b.
Estabelea as relaes de confiana necessrias. Voc deve configurar pelo menos uma relao
de confiana unidirecional entre os domnios de origem e destino.
c.
Estabelea contas de migrao. A ADMT usa contas de migrao para migrar objetos entre
domnios de origem e destino. Verifique se essas contas tm permisses para mover e modificar
objetos nos domnios de origem e destino.
3.
4.
5.
d.
e.
f.
g.
h.
b.
c.
b.
c.
Finalize a migrao. Finalize a migrao e execute a limpeza por meio das seguintes etapas:
a.
b.
Assegure que pelo menos dois controladores de domnio operveis existam no domnio
de destino. Faa backup desses controladores de domnio.
c.
Lio 3
4-17
Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:
Transitividade
Direo
Descrio
Pai e filho
Transitiva
Bidirecional
Raiz da rvore
Transitiva
Bidirecional
(continuao)
Tipo de relao
de confiana
Transitividade
Direo
Descrio
Externo
No transitiva
Unidirecional
ou bidirecional
Realm
Transitiva ou
no transitiva
Unidirecional
ou bidirecional
Floresta
(Completa
ou Seletiva)
Transitiva
Unidirecional
ou bidirecional
Atalho
No transitiva
Unidirecional
ou bidirecional
4-19
Quando o usurio no domnio confivel tenta acessar um recurso compartilhado em outro domnio
na floresta, seu computador primeiro contata o controlador de domnio em seu domnio para solicitar
um tquete de sesso para o recurso. Como o recurso no est no domnio do usurio, o controlador
de domnio precisa determinar se uma confiana existe com o domnio de destino. O controlador
de domnio pode usar o objeto de domnio de confiana para verificar se a confiana existe. Porm,
para acessar o recurso, o computador cliente deve se comunicar com um controlador de domnio
em cada domnio ao longo do caminho de confiana. O controlador de domnio no domnio domnio
do computador cliente encaminhar o computador cliente para um controlador de domnio no domnio
prximo domnio ao longo do caminho de confiana. Se esse no for o domnio no qual o recurso
est localizado, esse controlador de domnio encaminhar o computador cliente para um controlador
de domnio no domnio prximo domnio. Consequentemente, o computador cliente ser encaminhado
para um controlador de domnio no domnio domnio onde o recurso est localizado e um tquete
de sesso ser emitido para o cliente acessar o recurso.
O caminho da relao de confiana o caminho mais curto na hierarquia da relao de confiana.
Em uma floresta com apenas as relaes de confiana padro configuradas, o caminho de confiana
subir a rvore de domnio para o domnio raiz da floresta e depois descer essa rvore para o domnio
de destino. Se relaes de confiana de atalho forem configuradas, o caminho de confiana poder
ser um nico salto do domnio de computador cliente para o domnio que contm o recurso.
Gerenciamento simplificado de recursos em duas florestas do Windows Server 2008 (ou verses mais
novas) reduzindo o nmero de relaes de confiana externas necessrio para compartilhar recursos.
Uso do protocolo Kerberos V5 para melhorar a confiabilidade dos dados de autorizao transferidos
entre florestas.
Voc s pode criar uma confiana de floresta entre duas florestas do AD DS e no pode estender
a confiana implicitamente para uma terceira floresta. Isso significa que, se voc criar uma relao
de confiana de floresta entre a Floresta 1 e a Floresta 2, e criar uma relao de confiana entre a
Floresta 2 e a Floresta 3, a Floresta 1 no ter uma relao de confiana implcita com a Floresta 3.
As relaes de confiana no so transitivas entre vrias florestas.
Voc deve abordar vrios requisitos antes de poder implementar uma relao de confiana, inclusive
o nvel funcional da floresta deve ser Windows Server 2003 ou mais novo e voc deve ter a resoluo
de nomes DNS entre as florestas.
Filtragem de SID
Por padro, quando voc estabelece uma relao de confiana de floresta ou domnio, habilita uma
quarentena de domnio que tambm conhecida como filtragem de SID. Quando um usurio se
autentica em um domnio confivel, o usurio apresenta dados de autorizao que incluem os SIDs
de todos os grupos aos quais o usurio pertence. Alm disso, os dados de autorizao do usurio
incluem SIDs de outros atributos do usurio e dos grupos do usurio.
4-21
O AD DS define a filtragem de SID por padro para impedir que os usurios que tm acesso ao nvel
do domnio ou de administrador da empresa em uma floresta ou domnio confivel concedam (a eles
mesmos ou a outras contas de usurio na floresta ou domnio) direitos de usurio elevados para uma
floresta ou domnio de confiana. A filtragem de SID impede o uso incorreto dos atributos que contm
SIDs em entidades de segurana na floresta ou domnio confivel.
Um exemplo comum de um atributo que contm um SID o atributo Histrico SID (SIDHistory) em
um objeto de conta de usurio. Os administradores de domnio geralmente usam o atributo Histrico
SID para migrar as contas de usurio e grupo que so mantidas por uma entidade de segurana de
um domnio para outro.
Autenticao seletiva
Quando voc cria uma relao de confiana externa ou de floresta, pode gerenciar o escopo
de autenticao de entidades de segurana confiveis. H dois modos de autenticao para
uma relao de confiana externa ou de floresta:
Autenticao seletiva
Se voc escolher a autenticao em todo o domnio ou em toda a floresta, isso permitir que todos
os usurios confiveis se autentiquem nos servios e acesso em todos os computadores no domnio
de confiana. Assim, usurios confiveis podem receber permisso para acessar recursos em qualquer
lugar no domnio de confiana. Se voc usar esse modo de autenticao, todos os usurios de um
domnio ou floresta confivel sero considerados Usurios Autenticados no domnio de confiana. Assim,
se voc escolher autenticao em todo o domnio ou floresta, qualquer recurso que tenha permisses
concedidas a Usurios Autenticados ficar imediatamente acessvel aos usurios de domnio confivel.
Porm, se voc escolher autenticao seletiva, todos os usurios no domnio confivel sero identidades
confiveis. No entanto, eles s podem se autenticar para servios em computadores especificados por
voc. Por exemplo, imagine que voc tem uma relao de confiana externa com o domnio de uma
organizao de parceiro. Voc deseja assegurar que apenas os usurios da organizao de parceiro
do grupo de marketing possam acessar pastas compartilhadas em somente um de seu muitos servidores
de arquivos. Voc pode configurar a autenticao seletiva para a relao de confiana e depois atribuir
aos usurios confiveis o direito de autenticao apenas para esse servidor de arquivos.
O AD DS roteia todos os nomes subordinados a sufixos de nome exclusivo implicitamente. Por exemplo,
se sua floresta usa fabrikam.com como um sufixo de nome exclusivo, as solicitaes de autenticao para
todos os domnios filho de fabrikam.com (childdomain.fabrikam.com) so roteadas, pois os domnios filho
fazem parte do sufixo de nome fabrikam.com. Nomes filho aparecem no snap-in Domnios e Relaes
de Confiana do Active Directory. Se voc quiser excluir os membros de um domnio filho da autenticao
na floresta especificada, poder desabilitar o roteamento de sufixo de nome para esse nome. Voc
tambm pode desabilitar roteamento para o prprio nome da floresta.
Etapas da demonstrao
Configurar a resoluo de nomes DNS usando um encaminhador condicional
4-23
Objetivos
Configurao do laboratrio
Tempo previsto: 45 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-TOR-DC1
24412B-LON-SVR1
24412B-MUN-DC1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
Senha: Pa$$w0rd
5.
6.
2.
3.
2.
Aps a instalao dos binrios do AD DS, use o Adicionar recursos que so necessrios
para servios de Domnio Active Directory? para instalar e configurar TOR-DC1 como um
controlador de domnio do AD DS para um novo domnio filho chamado na.adatum.com.
3.
Quando solicitado, use Pa$$w0rd como senha do Modo de Restaurao dos Servios
de Diretrio (DSRM).
1.
2.
Quando o Gerenciador do Servidor for aberto, clique em Servidor Local. Verifique se Firewall
do Windows mostra Domnio: Ativado. Se no mostrar, ao lado de Conexo Local, clique em
172.16.0.25, IPv6 habilitado. Clique com o boto direito do mouse do mouse em Conexo Local
e clique em Desativar. Clique com o boto direito do mouse do mouse em Conexo Local e clique
em Ativer. Agora, a Conexo Local deve mostrar Adatum.com.
3.
Observao: Se voc receber uma mensagem informando que a relao de confiana no pode ser
validada ou que a verificao de canal de segurana (SC) falhou, assegure que voc concluiu a etapa 2
e aguarde pelo menos 10 a 15 minutos. Voc pode continuar com o laboratrio e voltar depois para
verificar essa etapa.
Resultados: Aps a concluso deste exerccio, voc ter implementado domnios filho no AD DS.
4-25
A A. Datum est trabalhando em vrios projetos de alta prioridade com uma organizao de parceiro
chamada Trey Research. Para simplificar o processo de habilitar o acesso aos recursos localizado nas
duas organizaes, eles implantaram uma WAN dedicada entre Londres e Munique, onde a Trey Research
est localizada. Voc precisa implementar e validar uma relao de confiana de floresta entre as
duas florestas agora e configurar essa relao de confiana para permitir acesso apenas a servidores
selecionados em Londres.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
Usando o console de gerenciamento do DNS, configure uma zona de stub DNS para treyresearch.net.
3.
4.
5.
6.
Usando o console de gerenciamento do DNS, configure uma zona de stub DNS para adatum.com.
7.
8.
2.
3.
2.
3.
Em LON-SVR1, crie uma pasta compartilhada chamada IT-Data, e conceda acesso de Leitura
e gravao aos membros do grupo treyresearch\it. Se suas credenciais forem solicitadas, digite
Treyresearch\administrador com a senha Pa$$w0rd.
4.
Saia de MUN-DC1.
5.
Entre em MUN-DC1 como treyresearch\alice com a senha Pa$$w0rd e verifique se voc tem
acesso pasta compartilhada em LON-SVR1.
Resultados: Depois de concluir este exerccio, voc ter implementado relaes de confiana de floresta.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.
3.
4.
4-27
Mdulo 5
Implementao de sites e da replicao dos Servios
de Domnio do Active Directory
Contedo:
Viso geral do mdulo
5-1
5-2
5-11
5-20
5-28
5-33
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
5-2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
5-3
Para ajudar a fornecer eficincia e escalabilidade de replicao entre controladores de domnio, os dados
do Active Directory so separados logicamente em vrias parties. Cada partio uma unidade de
replicao, e cada uma delas tem sua prpria topologia de replicao. As parties padro incluem as
seguintes:
Partio de esquema. Contm definies de todos os objetos e atributos que voc pode criar no
repositrio de dados, alm das regras para cri-los e manipul-los. As informaes de esquema
so replicadas em todos os controladores de domnio da floresta. Portanto, todos os objetos devem
estar em conformidade com as regras de definio de atributos e objetos de esquema. O AD DS
contm um conjunto padro de classes e atributos que voc no pode modificar. Porm, se voc
tiver credenciais de Administradores de Esquema, poder estender o esquema adicionando novos
atributos e classes para representar classes especficas ao aplicativo. Muitos aplicativos, como o
Microsoft Exchange Server e o Microsoft System Center Configuration Manager, podem estender
o esquema para oferecer aprimoramentos de configurao especficos ao aplicativo. Essas alteraes
se destinam ao controlador de domnio que contm a funo de mestre de esquema da floresta.
Somente o mestre de esquema est autorizado a fazer acrscimos a classes e atributos.
Partio de domnio. Quando voc cria um novo domnio, o AD DS automaticamente cria e replica
uma instncia da partio de domnio em todos os controladores no domnio. A partio de domnio
contm informaes sobre todos os objetos especficos ao domnio, incluindo usurios, grupos,
computadores, UOs (unidades organizacionais) e configuraes do sistema relacionadas ao domnio.
Todos os objetos em cada partio de domnio em uma floresta so armazenados no catlogo global,
com apenas um subconjunto de seus valores de atributo.
Observao: Voc pode usar o Editor do Active Directory Service Interfaces (Editor ADSI)
para se conectar e exibir as parties.
Caractersticas da replicao do AD DS
5-4
Replicao de vrios mestres. Qualquer controlador de domnio, exceto RODCs, pode iniciar
e confirmar uma alterao no AD DS. Isso oferece tolerncia a falhas e elimina a dependncia
em um nico controlador de domnio para manter as operaes do repositrio do diretrio.
Replicao pulls. Um controlador de domnio solicita alteraes (ou efetua pulls) de outros
controladores de domnio. Embora um controlador de domnio possa notificar seus parceiros
de replicao de que ele tem alteraes no diretrio, ou sondar seus parceiros para ver se eles
tm alteraes no diretrio, no final, o controlador de domnio de destino solicita e efetua pull
das prprias alteraes.
Replicao do tipo armazenar e encaminhar. Um controlador de domnio pode efetuar pull das
alteraes de um parceiro e, em seguida, tornar essas alteraes disponveis para outro parceiro.
Por exemplo, o controlador de domnio B pode efetuar pull das alteraes iniciadas pelo controlador
de domnio A. Em seguida, o controlador de domnio C pode efetuar pull das alteraes do
controlador de domnio B. Isso ajuda a equilibrar a carga de replicao para domnios que
contm vrios controladores de domnio.
5-5
Replicao em nvel de atributo. Quando um atributo de um objeto alterado, somente esse atributo
e metadados mnimos que descrevem o atributo so replicados. No replicado o objeto inteiro,
exceto na ocasio de sua criao inicial.
Controle distinto da replicao intra-site e da replicao entre sites. Voc pode controlar a replicao
dentro de um nico site e entre sites.
Deteco de coliso e gerenciamento. Em raras ocasies, voc pode modificar um atributo em dois
controladores de domnio diferentes durante uma nica janela de replicao. Se isso ocorrer, voc
dever reconciliar as duas alteraes. O AD DS tem algoritmos de resoluo que satisfazem quase
todos os cenrios.
Objetos de conexo
Notificao
Sondagem
Objetos de conexo
Um controlador de domnio que replica alteraes de outro controlador de domnio chamado de
parceiro de replicao. Os parceiros de replicao so vinculados por objetos de conexo. Um objeto
de conexo representa um caminho de replicao de um controlador de domnio para outro.
Os objetos de conexo so unidirecionais, representando a replicao pulls somente de entrada.
Para exibir e configurar objetos de conexo, abra Servios e Sites do Active Directory e selecione o
continer Configuraes de NTDS do objeto de servidor de um controlador de domnio. Voc pode
forar a replicao entre dois controladores de domnio clicando com o boto direito do mouse no
objeto de conexo e selecionando Replicar Agora. Observe que a replicao somente de entrada,
portanto, se voc desejar replicar ambos os controladores de domnio, precisar replicar o objeto
de conexo de entrada de cada controlador de domnio.
5-6
Voc pode criar objetos de conexo manualmente para especificar os caminhos de replicao que devem
persistir. Porm, em geral, criar um objeto de conexo manualmente no necessrio nem recomendado,
pois o KCC no verifica nem usa o objeto de conexo manual para failover. O KCC tambm no remover
objetos de conexo manuais, o que significa que voc deve se lembrar de excluir os objetos de conexo
que criar manualmente.
Notificao
Quando feita uma alterao em uma partio do Active Directory em um controlador de domnio,
este coloca a alterao na fila para replicao em seus parceiros. Por padro, o servidor de origem
espera 15 segundos para notificar seu primeiro parceiro de replicao da alterao. Notificao o
processo pelo qual um parceiro upstream informa seus parceiros downstream de que uma alterao est
disponvel. Por padro, o controlador de domnio de origem aguarda trs segundos entre as notificaes
a parceiros adicionais. Esses atrasos, chamados de atraso de notificao inicial e atraso de notificao
subsequente, foram projetados para coordenar o trfego de rede que a replicao intra-site pode gerar.
Ao receber a notificao, o parceiro downstream solicita as alteraes do controlador de domnio de
origem, e o agente de replicao de diretrio efetua pull das alteraes do controlador de domnio de
origem. Por exemplo, suponha que o controlador de domnio DC01 inicialize uma alterao no AD DS.
Quando o DC02 receber a alterao do DC01, ele far a alterao em seu diretrio. O DC02 colocar
ento a alterao na fila para replicao em seus prprios parceiros downstream.
Em seguida, suponha que o DC03 seja um parceiro de replicao downstream do DC02. Depois de
15 segundos, o DC02 notifica o DC03 de que tem uma alterao. O DC03 faz a alterao replicada em
seu diretrio e, em seguida, notifica seus parceiros downstream. A alterao faz dois saltos, de DC01
para DC02 e de DC02 para DC03. A topologia de replicao assegura que no ocorram mais de trs
saltos antes de todos os controladores de domnio do site receberem a alterao. Em aproximadamente
15 segundos por salto, a alterao replicada completamente no site dentro de um minuto.
Sondagem
s vezes, um controlador de domnio pode no fazer nenhuma alterao em suas rplicas durante
um tempo prolongado, particularmente durante as horas de menor movimento. Suponha que seja
esse o caso com o DC01. Isso significa que o DC02, seu parceiro de replicao downstream, no
receber notificaes do DC01. O DC01 tambm pode estar offline, o que o impediria de enviar
notificaes ao DC02.
5-7
importante o DC02 saber que seu parceiro upstream est online e simplesmente no tem nenhuma
alterao. Isso obtido por um processo chamado de sondagem. Durante a sondagem, o parceiro de
replicao downstream entra em contato com o parceiro de replicao upstream com consultas quanto
ao enfileiramento de alteraes para replicao. Por padro, o intervalo de sondagem para a replicao
intra-site uma vez por hora. Voc pode configurar a frequncia de sondagem nas propriedades de
um objeto de conexo clicando em Alterar Agendamento, embora isso no seja recomendado. Se um
parceiro upstream no responder a repetidas consultas de sondagem, o parceiro downstream iniciar
o KCC para verificar a topologia de replicao. Se o servidor upstream realmente estiver offline, o KCC
reorganizar a topologia de replicao do site para acomodar a alterao.
Para ajudar a minimizar conflitos, todos os controladores de domnio na floresta registram e replicam
alteraes de objetos no nvel de atributo em vez de no nvel de objeto. Portanto, as alteraes em dois
atributos diferentes de um objeto, como a senha e o CEP do usurio, no causar um conflito mesmo
que voc os altere ao mesmo tempo de locais diferentes.
Quando uma atualizao de origem aplicada a um controlador de domnio, criado um carimbo que
viaja com a atualizao enquanto replicado em outros controladores de domnio. O carimbo contm
os seguintes componentes:
Nmero de verso. O nmero de verso inicia em um para cada atributo de objeto e aumenta em
um para cada atualizao. Ao executar uma atualizao de origem, a verso do atributo atualizado
um nmero mais alto que a verso do atributo que est sendo substitudo.
Soluo
Valor do atributo
Adicionar ou mover em
um objeto continer
excludo, ou a excluso
de um objeto continer
Adicionar objetos
com o mesmo nome
diferenciado relativo
5-8
5-9
A replicao das parties de esquema e configurao segue o mesmo processo que todas as outras
parties de diretrio. Entretanto, como essas parties so em nvel de floresta em vez de em nvel de
domnio, os objetos de conexo dessas parties podem existir entre quaisquer dois controladores de
domnio, independentemente do domnio do controlador. Alm disso, a topologia de replicao dessas
parties inclui todos os controladores de domnio da floresta.
A partio de configurao contm informaes sobre a topologia do site e outros dados globais de
todos os domnios que so os membros da floresta. O AD DS replica a partio de configurao em todos
os controladores de domnio por meio da replicao em toda a floresta. Cada servidor de catlogo global
obtm informaes do domnio procurando o controlador desse domnio e obtendo as informaes
sobre a rplica parcial. A partio de configurao tambm oferece aos controladores de domnio uma
lista dos servidores de catlogo global da floresta.
Os servidores de catlogo global armazenam registros do servio DNS na zona DNS que corresponde ao
domnio raiz da floresta. Esses registros, que so armazenados somente na zona DNS da raiz da floresta,
ajudam os clientes e os servidores a localizar servidores de catlogo global em toda a floresta para
oferecer servios de logon de clientes.
Quando voc implementa um RODC, o KCC detecta que o controlador de domnio configurado com
uma rplica somente leitura de todas as parties de domnio aplicveis. Por isso, o KCC cria apenas
objetos de conexo unidirecionais de um ou mais controladores de domnio do Windows Server 2008
ou um sistema operacional Windows Server mais recente de origem para o RODC.
Para algumas tarefas, um RODC executa a replicao de entrada usando uma operao RSO (replicar
objeto nico). Isso iniciado sob solicitao fora da agenda de replicao padro. Essas tarefas incluem:
Alteraes de senha.
Atualizaes de DNS quando o RODC indica um cliente a um servidor DNS gravvel. O RODC tenta
efetuar pull das alteraes usando uma operao RSO. Isso ocorre apenas para zonas DNS integradas
ao Active Directory.
Atualizaes de vrios atributos de cliente que incluem nome do cliente, DnsHostName, OsName,
OsVersionInfo, tipos de criptografia com suporte e o atributo LastLogontimeStamp.
No Windows Server 2008 e em domnios mais recentes, voc pode usar a Replicao do DFS para replicar
o contedo de SYSVOL. A Replicao do DFS d suporte a agendamento de replicao e limitao da
largura de banda, e usa um algoritmo de compactao conhecido como RDC (Compactao Diferencial
Remota). Usando RDC, a Replicao do DFS replica somente as diferenas (ou alteraes dentro de
arquivos) entre os dois servidores, resultando em menor uso de largura de banda durante a replicao.
Observao: Voc pode usar a ferramenta dfsrmig.exe para migrar a replicao SYSVOL
do FRS para a Replicao do DFS. Para que a migrao seja bem-sucedida, o nvel funcional
do domnio deve ser pelo menos o Windows Server 2008.
Lio 2
Configurao de sites do AD DS
5-11
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever como os registros de recursos de servio (SRV) so usados para localizar controladores
de domnio.
O AD DS representa a infraestrutura de rede fsica com objetos chamados sites. Os objetos de site do
AD DS so armazenados no continer Configurao (CN=Sites, CN=Configurao, DC =domnio raiz
da floresta) e so usados para a realizao de duas tarefas de gerenciamento de servio principais:
Gerenciar o trfego de replicao. Normalmente, h dois tipos de conexes de rede LAN dentro de
um ambiente corporativo: altamente conectada e menos altamente conectada. Conceitualmente,
uma alterao feita no AD DS deveria ser replicada imediatamente em outros controladores de
domnio dentro da rede altamente conectada na qual a alterao foi feita. Entretanto, voc poder
no querer que a alterao seja replicada imediatamente em outro site se tiver um link mais lento,
mais caro ou menos confivel. Em vez disso, voc pode desejar otimizar o desempenho, reduzir os
custos e gerenciar a largura de banda gerenciando a replicao por segmentos menos altamente
conectados de sua empresa. Um site do Active Directory representa uma parte altamente conectada
de sua empresa. Quando voc define um site, os controladores de domnio dentro do site replicam
as alteraes quase que instantaneamente. Entretanto, voc pode gerenciar e agendar a replicao
entre sites conforme necessrio.
Fornecer a localizao do servio. Os sites do Active Directory ajudam voc a localizar servios,
inclusive aqueles fornecidos por controladores de domnio. Durante o logon, os clientes Windows
so automaticamente direcionados para controladores de domnio em seus sites. Se os controladores
de domnio no estiverem disponveis em seus sites, eles sero direcionados para controladores de
domnio do site mais prximo que puder autenticar o cliente com eficincia. Muitos outros servios,
como os recursos do DFS replicados, tambm possuem reconhecimento de site para assegurar que
os usurios sejam direcionados para uma cpia local do recurso.
Os objetos de sub-rede identificam os endereos de rede que mapeiam computadores para sites do
AD DS. Uma sub-rede um segmento de uma rede TCP/IP qual um conjunto de endereos IP lgicos
est atribudo. Como todos os objetos de sub-rede so mapeados para a rede fsica, os sites tambm so.
Um site consiste em uma ou mais sub-redes. Por exemplo, se sua rede tiver trs sub-redes em Nova York
e duas em Londres, voc poder criar um site em Nova York e um em Londres, e adicionar as sub-redes
aos respectivos sites.
Observao: Ao criar sua configurao de site do AD DS, fundamental que voc mapeie
sub-redes IP para os sites corretamente. Da mesma forma, se a configurao de rede subjacente
mudar, voc dever assegurar que essas alteraes sejam atualizadas para refletir a sub-rede IP
atual no mapeamento de site. Os controladores de domnio usam as informaes de sub-rede IP
no AD DS para mapear computadores cliente e servidores para o site do AD DS correto. Se esse
mapeamento no for preciso, talvez as operaes do AD DS, como trfego de logon e aplicao
de Polticas de Grupo, ocorram por links WAN, e eles podem ser interrompidos.
O AD DS cria um site padro quando voc instala o primeiro controlador de domnio de uma floresta.
Por padro, esse site chamado Default-First-Site-Name. Voc pode renomear esse site com um nome
mais descritivo. Quando voc instala o primeiro controlador de domnio da floresta, o AD DS o coloca
automaticamente no site padro. Se voc tiver um nico site, no ser necessrio configurar sub-redes
ou sites adicionais, pois todos os computadores sero cobertos pelo site padro Default-First-Site-Name.
Porm, os sites mltiplos precisam ter sub-redes associadas a eles conforme necessrio.
5-13
Uma parte da rede tiver usurios suficientes para justificar a hospedagem de controladores de
domnio ou outros servios nesse local. As concentraes de usurios tambm podem influenciar
no design do seu site. Se um local de rede tiver um nmero suficiente de usurios, para os quais
a impossibilidade de autenticao seria problemtica, coloque um controlador de domnio no
domnio local para dar suporte autenticao dentro do local. Depois de colocar um controlador
de domnio ou outro servio distribudo em um local que dar suporte a esses usurios, voc
poder desejar gerenciar replicao do Active Directory no local ou localizar o uso do servio
configurando um site do Active Directory para representar o local.
Voc desejar controlar a localizao de servios. Estabelecendo sites do AD DS, voc pode assegurar
que os clientes usem os controladores de domnio que estiverem mais prximos para a autenticao,
o que reduz a latncia de autenticao e o trfego em conexes WAN. Na maioria dos cenrios,
cada site conter um controlador de domnio. Porm, voc poder configurar os sites para localizar
servios que no sejam de autenticao, como os servios do DFS, Windows BranchCache
e Exchange Server. Nesse caso, alguns sites poderiam ser configurados sem um controlador
de domnio presente no site.
Voc desejar controlar a replicao entre controladores de domnio. Poder haver cenrios em
que dois controladores de domnio bem-conectados estejam autorizados a se comunicar apenas
em determinadas horas do dia. A criao de sites permite que voc controle como e quando
a replicao ocorre entre os controladores de domnio.
Etapas da demonstrao
1.
2.
3.
Clique com o boto direito do mouse do mouse no n Sites e clique em Novo Site. Especifique
o nome Toronto e associe o novo site ao link de site padro.
4.
5.
6.
7.
5-15
Os links de rede entre os sites tm largura de banda disponvel limitada, podem ter um custo
mais alto e talvez no sejam confiveis.
O trfego de replicao entre sites pode ser projetado para otimizar a largura de banda
compactando todo o trfego de replicao. Ele compactado em 10 a 15% de seu tamanho
original antes de ser transmitido. Apesar de a compactao otimizar a largura de banda de
rede, ela impe uma carga de processamento adicional nos controladores de domnio quando
compacta e descompacta os dados da replicao.
A replicao entre sites acontece automaticamente depois que voc define valores configurveis,
como uma agenda ou um intervalo de replicao. Voc pode agendar a replicao para horrios
mais baratos ou fora do pico. Por padro, as alteraes so replicadas entre os sites conforme uma
agenda definida, e no quando as alteraes ocorrem. A agenda determina quando a replicao
pode ocorrer. O intervalo especifica como os controladores de domnio verificam as alteraes
durante o tempo que a replicao pode ocorrer.
5-17
Dentro da zona de domnio, uma pasta chamada name_tcp contm os registros SRV de todos os
controladores do domnio. Alm disso, dentro da zona de domnio est uma pasta chamada name_sites,
que contm subpastas para cada site configurado no domnio. Cada pasta especfica ao site contm
registros SRV que representam servios disponveis no site. Por exemplo, se um controlador de domnio
estiver localizado em um site, um registro SRV estar localizado no caminho _sites\sitename\_tcp, onde
sitename o nome do site.
Um registro SRV tpico contm as seguintes informaes:
O nome do servio e a porta. Essa parte do registro SRV indica um servio com uma porta fixa.
No precisa ser uma porta conhecida. Os registros SRV no Windows Server 2012 incluem LDAP
(porta 389), Kerberos (porta 88), senha do protocolo Kerberos (KPASSWD, porta 464) e servios
de catlogo global (porta 3268).
Nome do host. Corresponde ao registro do host A para o servidor que hospeda o servio.
Quando um cliente faz a consulta de um servio, o servidor DNS retorna o registro SRV e os
registros associados do host A, portanto o cliente no precisa enviar uma consulta separada
para resolver o endereo IP de um servio.
O nome do servio em um registro SRV segue a hierarquia DNS padro com componentes separados
por pontos. Por exemplo, o servio Kerberos de um controlador de domnio registrado como:
kerberos._tcp.sitename._sites.domainname, em que:
kerberos um KDC (Centro de Distribuio de Chaves) Kerberos que usa o TCP como seu protocolo
de transporte.
1.
2.
O cliente tenta um ping LDAP em todos os controladores de domnio em sequncia. O DNS retorna
uma lista de todos os controladores de domnio correspondentes, e o cliente tenta entrar em contato
com todos eles em sua primeira inicializao.
3.
4.
O cliente consulta todos os controladores de domnio do site. O DNS retorna uma lista de todos
os controladores de domnio do site.
5.
6.
O cliente forma uma afinidade. O cliente forma uma afinidade com o controlador de domnio que
respondeu primeiro, e ento tenta autenticar com o mesmo controlador de domnio no domnio
futuro. Se o controlador de domnio no estiver disponvel, o cliente consultar a pasta _tcp do
site novamente e, mais uma vez, tentar a associao ao primeiro controlador de domnio que
responder no site.
Se o cliente mudar para outro site, como no caso de um computador mvel, o cliente tentar se
autenticar em seu controlador de domnio preferencial. O controlador de domnio percebe que o
endereo IP do cliente est associado a um site diferente e indica o cliente ao novo site. Em seguida,
o cliente consulta o DNS quanto aos controladores de domnio do site local.
5-19
Lio 3
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Para entender melhor esse conceito, considere o exemplo a seguir. Quando voc cria uma floresta,
um objeto de link de site criado: DEFAULTIPSITELINK. Por padro, cada novo site que voc adiciona
associado ao DEFAULTIPSITELINK. Considere uma organizao com um data center na matriz e trs
filiais. Cada uma das trs filiais conectada ao data center com um link dedicado. Voc cria sites
para cada filial: Seattle (SEA), Amsterd (AMS) e Beijing (PEK). Cada um dos sites, inclusive a matriz,
associado ao objeto de link de site DEFAULTIPSITELINK.
5-21
Como todos os quatro sites esto no mesmo link de site, voc est informando ao AD DS que todos os
quatro sites podem se replicar entre si. Isso significa que Seattle pode replicar alteraes de Amsterd;
Amsterd pode replicar alteraes de Beijing; e Beijing pode replicar alteraes da matriz, que, por sua
vez, replica alteraes de Seattle. Em vrios desses caminhos de replicao, o trfego de replicao na
rede flui de uma filial para a outra, passando pela matriz. Com um nico link de site, voc no cria
uma topologia de replicao hub e spoke, embora sua topologia de rede seja hub e spoke.
Para alinhar sua topologia de rede replicao do Active Directory, voc deve criar links de sites
especficos. Ou seja, voc pode criar manualmente links de sites que reflitam sua topologia
de replicao pretendida. Continuando o exemplo anterior, voc criaria trs links de sites
como os seguintes:
Depois que voc criar links de sites, o ISTG usar a topologia para criar uma topologia de replicao
entre sites que conecte cada site e, em seguida, criar automaticamente objetos de conexo para
configurar os caminhos de replicao. Como uma prtica recomendada, voc deve configurar
corretamente sua topologia de site e evitar criar objetos de conexo manualmente.
Por padro, todos os links de sites tm pontes. Por exemplo, se os sites Amsterd e Matriz estiverem
vinculados, bem como os sites Matriz e Seattle, Amsterd e Seattle estaro vinculados com um custo mais
alto. Teoricamente, isso significa que o ISTG poderia criar um objeto de conexo diretamente entre um
controlador de domnio em Seattle e um controlador de domnio em Amsterd, se um controlador de
domnio no estivesse disponvel na matriz para replicao. Isso realizado com a topologia de rede hub
e spoke.
Voc pode desabilitar a ponte de link de site automtica abrindo as propriedades do transporte IP
no continer Transportes Entre Sites e, em seguida, desmarcando a caixa de seleo Ponte entre
Links de Sites. Antes de fazer isso em um ambiente de produo, leia os recursos tcnicos sobre
replicao nas bibliotecas tcnicas do Windows Server no site do Microsoft TechNet.
Uma ponte de link de site conecta dois ou mais links de sites de modo a criar um link transitivo. As pontes
de links de sites so necessrias apenas depois que voc desmarca a caixa de seleo Ponte entre Links
de Sites para o protocolo de transporte. Lembre-se de que a ponte de link de site automtica habilitada
por padro e, nesse caso, no so necessrias pontes de links de sites.
A figura no slide ilustra o uso de uma ponte de link de site em uma floresta na qual a ponte de link de
site automtica foi desabilitada. Criando a ponte de link de site AMS-HQ-SEA, que inclui os links de sites
HQ-AMS e HQ-SEA, esses dois links de sites se tornam transitivos. Portanto, uma conexo de replicao
pode ser feita entre um controlador de domnio em Amsterd e um controlador de domnio em Seattle.
5-23
Um controlador de domnio em um site que tem o cache de associao de grupo universal habilitado
armazena as informaes de grupo universal localmente, depois que um usurio tenta entrar pela
primeira vez. O controlador de domnio obtm as informaes de associao de grupo universal de
um servidor de catlogo global em outro site. Em seguida, ele armazena as informaes indefinidamente
no cache, e as atualiza periodicamente. Na prxima vez que o usurio tentar entrar, o controlador de
domnio obter as informaes de associao de grupo universal de seu cache local sem contatar um
servidor de catlogo global.
Por padro, as informaes de associao de grupo universal contidas no cache de cada controlador de
domnio so atualizadas a cada oito horas. Para atualizar o cache, os controladores de domnio enviam
uma solicitao de confirmao de associao de grupo universal a um servidor catlogo global
designado.
Voc pode configurar o cache de associao de grupo universal nas propriedades do n Configuraes
do Site NTDS.
Frequncia de replicao. A replicao entre sites se baseia apenas em sondagem. Por padro, a cada
trs horas, um parceiro de replicao sonda seus parceiros de replicao upstream para determinar
se h alteraes disponveis. Esse intervalo de replicao poder ser muito longo para as organizaes
que desejam que as alteraes no diretrio sejam replicadas mais rapidamente. Voc pode alterar o
intervalo de sondagem acessando as propriedades do objeto de link de site. O intervalo de sondagem
mnimo 15 minutos.
Agendamentos de replicao. Por padro, a replicao ocorre 24 horas por dia. Entretanto, voc pode
restringir a replicao entre sites a horrios especficos alterando os atributos de agendamento de um
link de site.
Etapas da demonstrao
1.
2.
3.
Clique com o boto direito do mouse do mouse no link de site e clique em Propriedades.
4.
5.
5-25
Para facilitar o gerenciamento da poltica de replicao de senha, dois grupos de segurana locais
do domnio so criados no continer Usurios do AD DS. O primeiro grupo de segurana, o Grupo
de Replicao de Senha RODC Permitido, adicionado Lista Permitida para cada novo RODC. Por
padro, esse grupo no tem membros. Portanto, por padro, um novo RODC no armazenar em
cache as credenciais de nenhum usurio. Se houver usurios cujas credenciais que deseja que sejam
armazenadas em cache por todos os RODCs do domnio, adicione esses usurios ao Grupo de Replicao
de Senha RODC Permitido. Como uma prtica recomendada, voc pode criar uma Lista de Permisses
para cada site e configurar apenas os usurios atribudos ao site na Lista de Permisses.
O segundo grupo, o Grupo de Replicao de Senha RODC Negado, adicionado Lista Negada para
cada novo RODC. Se voc desejar assegurar que os RODCs do domnio nunca armazenem em cache as
credenciais de determinados usurios, poder adicionar esses usurios ao Grupo de Replicao de Senha
RODC Negado. Por padro, esse grupo contm contas sensveis segurana que so membros de grupos,
inclusive Admins. do Domnio, Administradores de Empresa, Administradores de Esquema, Editores
de Certificados e Proprietrios Criadores de Poltica de Grupo.
Etapas da demonstrao
1.
2.
3.
4.
5.
6.
7.
Clique duas vezes em Grupo de Replicao de Senha RODC Permitido, clique na guia Membros
e examine a associao padro de Grupo de Replicao de Senha RODC Permitido. Por padro,
no deve haver nenhum membro.
8.
Clique em OK.
9.
Clique duas vezes em Grupo de Replicao de Senha RODC Negado e clique na guia Membros.
10. Clique em Cancelar para fechar a caixa de dilogo Propriedades de Grupo de Replicao
de Senha RODC Negado.
A ferramenta Diagnsticos
da Replicao
Exibir metadados sobre um objeto, seus atributos e replicao. Voc pode aprender muito sobre a
replicao examinando um objeto em dois controladores de domnio diferentes para descobrir quais
atributos foram ou no replicados. Digite repadmin /showobjmeta DC_LIST Object, onde DC_LIST
indica o controlador de domnio a ser consultado. (Voc pode usar um asterisco [*] para indicar todos
os controladores de domnio.) Object um identificador exclusivo do objeto, seu nome diferenciado
ou GUID, por exemplo.
5-27
Voc tambm pode fazer alteraes em sua infraestrutura de replicao usando a ferramenta Repadmin.
Algumas das tarefas de gerenciamento que voc pode executar so:
Iniciar o KCC. Digite repadmin /kcc para forar o KCC a recalcular a topologia de replicao
de entrada para o servidor.
Forar a replicao entre dois parceiros. Voc pode usar Repadmin para forar a replicao de uma
partio entre um controlador de domnio de origem e de destino. Digite repadmin /replicate
DC_LIST_Destino Nome_DC_Origem Contexto_Nomenclatura.
A ferramenta Diagnstico do Servidor de Diretrio, Dcdiag.exe, executa vrios testes e relata a integridade
geral de replicao e segurana do AD DS. Executada sozinha, dcdiag.exe executa testes resumidos e
relata os resultados. No outro extremo, dcdiag.exe /c executa praticamente todos os testes. A sada
dos testes pode ser redirecionada para arquivos de vrios tipos, inclusive XML. Digite dcdiag /? para
obter informaes completas de uso.
Voc tambm pode especificar um ou mais testes a serem executados usando o parmetro /test:Nome
do Teste. Os testes que esto diretamente relacionados replicao incluem:
Intersite. Procura falhas que podem impedir ou atrasar a replicao entre sites.
VerifyReplicas. Verifica se foram totalmente criadas instncias das parties do diretrio de aplicativos
em todos os controladores de domnio que hospedam rplicas.
Objetivos
Configurao do laboratrio
Tempo previsto: 30 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-TOR-DC1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
a.
b.
Senha: Pa$$w0rd
5-29
A Datum Corporation decidiu implementar sites adicionais do AD DS para otimizar a utilizao da rede
para o trfego de rede do AD DS. A primeira etapa na implementao do novo ambiente instalar um
novo controlador de domnio para o site Toronto. Voc reconfigurar ento o site padro e atribuir
sub-redes de endereo IP apropriadas ao site.
Finalmente, voc foi solicitado a alterar o nome do site padro para LondonHQ e associ-lo sub-rede
IP 172.16.0.0/24, que o intervalo de sub-rede usado para o escritrio matriz de Londres.
As principais tarefas deste exerccio so:
1.
2.
3.
Em TOR-DC1, use o Gerenciador do Servidor para instalar os Servios de Domnio Active Directory.
2.
3.
2.
3.
2.
Prefixo: 172.16.0.0/24
Resultados: Depois de concluir este exerccio, voc ter reconfigurado o site padro e atribudo
sub-redes de endereo IP ao site.
2.
2.
3.
Nome: Toronto
Nome: TestSite
2.
3.
4.
Prefixo: 172.16.1.0/24
Prefixo: 172.16.100.0/24
Resultados: Aps este exerccio, voc ter criado dois sites adicionais que representam os endereos
de sub-rede IP localizados em Toronto.
5-31
Agora que os sites do AD DS foram configurados para Toronto, a prxima etapa configurar os links de
sites para gerenciar a replicao entre os sites e, em seguida, mover o controlador de domnio TOR-DC1
para o site Toronto. Atualmente todos os sites pertencem a DEFAULTIPSITELINK.
Voc precisa modificar a vinculao de sites de forma que LondonHQ e Toronto pertenam a um link
de site comum chamado LON-TOR. Voc deve configurar esse link para replicar a cada hora. Alm disso,
voc deve vincular o site TestSite apenas ao site Toronto usando um link de site denominado TOR-TEST.
A replicao no dever estar disponvel do site Toronto para o TestSite durante o horrio de trabalho
das 9 s 15 h.
Em seguida, voc usar ferramentas para monitorar a replicao entre os sites.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
Nome: TOR-TEST
Nome: LON-TOR
2.
3.
2.
Esse comando exibe um resumo de tarefas de replicao. Verifique se no aparece nenhum erro.
DCDiag /test:replications
Alterne para TOR-DC1 e repita os comandos para exibir informaes da perspectiva de TOR-DC1.
Resultados: Aps este exerccio, voc ter configurado links de sites e monitorado a replicao.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.
3.
4.
Sempre fornea pelo menos um ou mais servidores de catlogo global por site.
Perguntas de reviso
Pergunta: Por que importante que todas as sub-redes sejam identificadas e associadas
a um site em uma empresa multissite?
Pergunta: Quais so as vantagens e desvantagens de reduzir o intervalo de replicao
entre sites?
Pergunta: Qual a finalidade de um servidor bridgehead?
5-33
Mdulo 6
Implementao dos Servios de Certificados
do Active Directory
Contedo:
Viso geral do mdulo
6-1
6-2
6-12
6-19
6-23
6-29
6-39
6-44
6-51
A PKI (infraestrutura de chave pblica) consiste em vrios componentes que ajudam a proteger as
comunicaes e as transaes corporativas. Um desses componentes a AC (autoridade de certificao).
Voc pode usar as ACs para gerenciar, distribuir e validar certificados digitais que so usados para
proteger informaes. Voc pode instalar o AD CS (Servios de Certificados do Active Directory)
como uma AC raiz ou uma AC subordinada em sua organizao. Neste mdulo, voc vai aprender
a implementar a funo de servidor e os certificados do AD CS.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Descrever o PKI.
Implantar as ACs.
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o PKI.
Descrever as ACs.
O que PKI?
PKI uma combinao de software,
tecnologias de criptografia, processos e
servios que ajudam uma organizao na
proteo de suas comunicaes e transaes
de negcios. um sistema de certificados
digitais, ACs e outras autoridades de registro.
Quando ocorre uma transao eletrnica,
a PKI verifica e autentica a validade de cada
parte envolvida. Os padres de PKI ainda
esto em evoluo, mas eles so amplamente
implementados como um componente
essencial do comrcio eletrnico.
6-2
Uma AC
Um repositrio de certificados
6-3
A maioria desses componentes ser discutida em tpicos e lies subsequentes neste mdulo.
Os algoritmos que usam criptografia simtrica so rpidos e eficientes para uma quantidade grande
de dados. No entanto, como eles usam uma chave simtrica, no so considerados seguros o bastante,
j que se deve sempre transportar a chave outra parte. Alternativamente, os algoritmos que usam
criptografia assimtrica so seguros, mas muito lentos. Por isso, comum o uso da abordagem hbrida,
que significa que os dados so criptografados usando criptografia simtrica, enquanto a chave
de criptografia simtrica protegida com criptografia assimtrica.
Quando implementar uma soluo PKI, todo o seu sistema, e principalmente o aspecto de segurana,
pode se beneficiar. Os benefcios do uso da PKI incluem:
6-4
Confidencialidade. Uma soluo PKI permite a criptografia dos dados armazenados e dos dados
transmitidos.
Integridade. Voc pode usar a PKI para assinar dados digitalmente. Uma assinatura digital identifica
se foram modificados dados enquanto as informaes estavam em trnsito.
Abordagem baseada em padres. A PKI baseada em padres, o que significa que vrios
fornecedores de tecnologia so obrigados a dar suporte s infraestruturas de segurana baseadas
na PKI. Ela baseada em padres da indstria definidos no RFC 2527, Estrutura de prticas
de certificao e de poltica de certificao da infraestrutura de chave pblica Internet X.509.
6-5
Servios e aplicativos baseados em chave pblica. Diz respeito a aplicativos ou servios que do
suporte criptografia de chave pblica. Em outras palavras, o aplicativo ou os servios devem
dar suporte a implementaes de chave pblica para receber os benefcios.
Configurar ACs
O que so CAs?
Uma AC um servio bem projetado e
altamente confivel em uma empresa, o qual
fornece certificados a usurios e computadores,
mantm as CRLs e responde opcionalmente a
solicitaes de OCSP. Voc pode instalar uma
AC em seu ambiente implantando a funo
AD CS no Windows Server 2012. Quando a
primeira AC instalada, ela estabelece a PKI
na rede e fornece o ponto mais alto em toda a
estrutura. Voc pode ter uma ou mais autoridades
de certificao em uma rede, mas apenas uma
AC pode estar no ponto mais alto da hierarquia
AC (essa AC chamada de AC raiz, que ser discutida posteriormente neste mdulo).
As finalidades principais da AC so emitir certificados, revogar certificados e publicar informaes sobre
AIA e CRL. Fazendo isso, a AC garante a emisso de certificados que podem ser validados para usurios,
servios e computadores.
Uma AC executa vrias funes em uma PKI. Em uma PKI grande, comum a separao de funes
da AC entre vrios servidores. Uma AC fornece vrias tarefas de gerenciamento, inclusive:
6-6
Quando voc implantar a primeira AC (AC raiz) na rede, ela emitir um certificado prprio. Depois disso,
outras ACs recebem certificados da primeira AC. Tambm possvel optar por emitir um certificado para
a AC usando uma das ACs pblicas.
6-7
AC. Este componente emite certificados para usurios, computadores e servios. Tambm gerencia a
validade do certificado. Vrias ACs podem ser encadeadas para formar uma hierarquia de PKI.
Registro via Web na AC. Este componente fornece um mtodo para emitir e renovar certificados
para usurios, computadores e dispositivos que no esto unidos ao domnio, que no esto
conectados diretamente rede ou que so para usurios de sistemas operacionais no Windows.
Respondente Online. Use este componente para configurar e gerenciar a validao de OCSP e a
verificao de revogao. O Respondente Online decodifica o status de revogao de certificados
especficos, avalia o status desses certificados e retorna uma resposta assinada que contm as
informaes de status de certificado solicitadas. Diferentemente do Windows Server 2008 R2,
voc pode instalar o Respondente Online em qualquer verso do Windows Server 2012. Os dados
de revogao de certificado podem vir de uma CA em um computador que est executando
o Windows Server 2003, o Windows Server 2008, ou podem vir de uma CA no Microsoft.
Recuperar CRLs.
Registrar-se pela Internet ou entre florestas (novo no Windows Server 2008 R2).
Servio Web de Poltica de Registro de Certificado. Este componente novo no Windows Server 2008
R2 e no Windows Server 2012. Ele permite que os usurios obtenham informaes sobre a poltica
de registro de certificado. Combinado com o Servio Web de Registro de Certificado, ele habilita
o registro de certificado baseado em poltica quando o computador cliente no membro
de um domnio ou quando um membro de domnio no est conectado ao domnio.
No Windows Server 2008 R2, alguns dos servios de funo do AD CS exigem uma verso
especfica do Windows Server. Por exemplo, o Servio de Registro de Dispositivo de Rede no funciona
na Windows Server 2008 Standard Edition, somente no Windows Server 2008 Enterprise Edition.
No Windows Server 2012, todos os servios de funo esto disponveis em todas as verses
do Windows Server.
A funo de servidor do AD CS, alm de todos os servios de funo mencionados, pode ser executada
no Windows Server 2012 com a GUI cheia, com a interface de servidor mnima ou em uma instalao
Server Core. Voc pode implantar os servios de funo do AD CS no Windows Server 2012 usando
o Gerenciador do Servidor ou os cmdlets do Windows PowerShell. Alm disso, possvel implantar
os servios de funo trabalhando localmente no computador ou remotamente pela rede.
Da perspectiva do gerenciamento, o AD CS, os seus eventos e a ferramenta Analisador de Prticas
Recomendadas esto agora totalmente integrados ao console do Gerenciador do Servidor, o que
significa que voc pode acessar todas as opes diretamente do Gerenciador do Servidor. O AD CS
tambm totalmente gerencivel usando a interface de linha de comando do Windows PowerShell.
6-8
A verso do Windows Server 2012 do AD CS tambm introduz uma nova verso do modelo de certificado
a verso (v4) que fornece novas funcionalidades. Isso ser discutido separadamente na Lio 3.
O Servio Web de Registro de Certificado tambm foi aprimorado no Windows Server 2012. Esse recurso,
apresentado no Windows 7 e no Windows Server 2008 R2, permite que solicitaes de certificado online
venham de domnios no confiveis do AD DS (Servios de Domnio do Active Directory) ou at mesmo
de computadores ou dispositivos que no faam parte de um domnio. No Windows Server 2012,
o AD CS adiciona a capacidade de renovar certificados automaticamente para computadores
que faam parte de domnios no confiveis do AD DS ou que no faam parte de um domnio.
Os cartes inteligentes tm sido usados como uma opo para a autenticao multifator desde o sistema
operacional Microsoft Windows 2000 Server. Os cartes inteligentes fornecem segurana aprimorada
em comparao com as senhas, j que muito mais difcil para um usurio no autorizado acessar e
manter o acesso a um sistema. Alm disso, o acesso a um sistema protegido por carto inteligente
requer que um usurio tenha um carto vlido e conhea o PIN que d acesso ao carto. Por padro,
existe somente uma cpia do carto inteligente, portanto, apenas um indivduo pode usar as credenciais
de logon de cada vez. Alm disso, um usurio notar rapidamente se o carto foi perdido ou roubado,
principalmente se o carto estiver combinado com acesso fsico a portas ou outras funes. Isso reduz
significativamente o risco de roubo de credenciais em comparao a senhas.
No entanto, a implementao da infraestrutura de carto inteligente tem sido, historicamente, mais
cara. Para implementar cartes inteligentes, as empresas tiveram que comprar hardware, como os
leitores de cartes inteligentes e os cartes inteligentes. O custo disso, em alguns casos, impediu
a implantao da autenticao multifator.
6-9
Para resolver esses problemas, o AD CS do Windows Server 2012 apresenta uma tecnologia que
fornece a segurana dos cartes inteligentes ao mesmo tempo em que reduz os custos com materiais
e com suporte. Isso feito com o fornecimento de fornecendo Cartes Inteligentes Virtuais. Os Cartes
Inteligentes Virtuais emulam a funcionalidade dos cartes inteligentes tradicionais, mas em vez de
exigirem a compra de hardware adicional, eles utilizam uma tecnologia que os usurios j possuem
e qual provavelmente tm acesso todo o tempo.
Os Cartes Inteligentes Virtuais no Windows Server 2012 utilizam as funcionalidades do chip TPM que
est presente na maioria das placas-me dos computadores produzidos nos ltimos dois anos. Como o
chip j est no computador, no h nenhum custo na compra de cartes inteligentes e leitores de carto
inteligente. Contudo, diferentemente dos cartes inteligentes tradicionais, nos quais o usurio tinha a
posse fsica do carto, com o Carto Inteligente Virtual, um computador (ou para ser mais especfico,
o chip TPM em sua placa-me) age como um carto inteligente. Usando essa abordagem, obtm-se
a autenticao de dois fatores semelhante dos cartes inteligentes tradicionais. Um usurio deve ter
o seu prprio computador (configurado com o Carto Inteligente Virtual) e tambm deve saber o PIN
necessrio para usar o Carto Inteligente Virtual.
importante entender como os Cartes Inteligentes Virtuais protegem as chaves privadas. Os cartes
inteligentes tradicionais tm o um armazenamento e um mecanismo criptogrfico prprios para proteger
as chaves privadas. No cenrio do Carto Inteligente Virtual, as chaves privadas no so protegidas por
isolamento da memria fsica, mas pelas funcionalidades criptogrficas do TPM: todas as informaes
confidenciais armazenadas em um carto inteligente so criptografadas usando o TPM e, em seguida,
armazenadas no disco rgido em formato criptografado. Embora as chaves privadas sejam armazenadas
em um disco rgido (em forma criptografada), todas as operaes criptogrficas ocorrem no ambiente
seguro e isolado do TPM. As chaves privadas nunca deixam esse ambiente na forma no criptografada.
Se o disco rgido do computador for comprometido de qualquer forma, as chaves privadas no podero
ser acessadas, j que elas so protegidas e criptografadas pelo TPM. Para fornecer mais segurana,
voc tambm pode criptografar a unidade com a Criptografia de Unidade BitLocker do Windows.
Para implantar os Cartes Inteligentes Virtuais, voc precisa do AD CS do Windows Server 2012
e um computador de cliente do Windows 8 com um chip TPM na placa-me.
Vantagens
Desvantagens
AC privada interna
Modelos personalizados
Registro automtico
Algumas organizaes comearam a usar uma abordagem hbrida da arquitetura de PKI. Uma abordagem
hbrida usa uma AC pblica externa como AC raiz e uma hierarquia de ACs internas para a distribuio
de certificados. Isso d s organizaes a vantagem de que seus certificados emitidos internamente
sejam confiveis para clientes externos e, ao mesmo tempo, oferece as vantagens de uma AC interna.
A nica desvantagem desse mtodo o custo. Uma abordagem hbrida normalmente a mais cara,
j que os certificados pblicos das ACs so muito caros.
Voc tambm pode implantar uma PKI interna para fins internos, como o EFS (Encrypting File System),
e assinaturas digitais. Para fins externos, como a proteo dos servidores Web e de email com SSL
(Secure Socket Layer), voc deve comprar um certificado pblico. Essa abordagem no muito
cara e, provavelmente, a soluo mais econmica.
As empresas geralmente implantam certificaes cruzadas para estabelecer uma confiana mtua
no nvel da PKI e tambm para implementar outros aplicativos que confiam na PKI, como o AD RMS
(Active Directory Rights Management Services).
Pergunta: Sua empresa est adquirindo outra empresa. As duas empresas executam PKIs
prprias. O que voc poderia fazer para minimizar a interrupo e continuar fornecendo
servios de PKI de modo integrado?
6-11
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Hierarquia de duas camadas. Em uma hierarquia de duas camadas, h uma AC raiz e pelo menos
uma AC subordinada. Neste cenrio, a AC subordinada responsvel pelas polticas e pela emisso
de certificados a solicitantes.
AC autnoma
AC corporativa
6-13
Uso tpico
Dependncias do
Active Directory
Mtodos de
solicitao de
certificados
Mtodos de
emisso de
certificados
Registro manual
Registro automtico
Agente de registro
Geralmente, a AC raiz (que a primeira AC implantada) implantada como uma AC autnoma e fica
offline depois de emitir um certificado para ela mesma e para uma AC subordinada. Opcionalmente,
uma AC subordinada geralmente implantada como uma AC corporativa e configurada em um dos
cenrios descritos no tpico anterior.
Descrio
O CSP padro o Microsoft Strong Cryptographic
Provider.
Qualquer provedor cujo nome comece com uma
cerquilha (#) um provedor de CNG (Cryptography
Next Generation).
Especificamente, se voc decidir implantar uma AC raiz autnoma offline, h algumas consideraes
especficas s quais deve prestar ateno:
6-15
Antes de emitir um certificado subordinado da AC raiz, certifique-se de fornecer pelo menos um local
de CDP e AIA que vai estar disponvel para todos os clientes. Isso deve ser feito porque, geralmente,
o CDP e o AIA esto localizados na prpria AC raiz autnoma. Portanto, quando voc retirar a AC raiz
da rede, a verificao de revogao vai falhar, j que os locais CDP e AIA estaro inacessveis. Quando
voc definir esses locais, copie as informaes de CRL e AIA manualmente para esse local.
Defina um perodo de validade para as CRLs publicadas pela AC raiz para um perodo longo (por
exemplo, um ano). Isso significa que voc ter que ativar a AC raiz uma vez por ano para publicar
uma nova CRL e, depois, copi-la para um local que esteja disponvel para os clientes. Caso no faa
isso, depois que a CRL na AC raiz expirar, a verificao de revogao de todos os certificados falhar.
Etapas da demonstrao
Implantar uma AC raiz
1.
2.
3.
Depois que a instalao for concluda com sucesso, clique no texto Configurar os Servios
de Certificados do Active Directory no servidor de destino.
4.
5.
6.
D AC o nome AdatumRootCA.
Uso. Voc pode emitir certificados com diversas finalidades, como S/MIME (Secure Multipurpose
Internet Mail Extensions), EFS (Encrypting File System) ou RAS (Servio de Acesso Remoto). A poltica
de emisso para esses usos pode ser diferente e a separao fornece uma base para administrar
essas polticas.
Divises organizacionais. Voc pode ter polticas diferentes para a emisso de certificados,
dependendo da funo de uma entidade na organizao. possvel criar ACs subordinadas
para separar e administrar essas polticas.
Balanceamento de carga. Se voc vai usar a PKI para emitir e gerenciar um grande nmero de
certificados, a existncia de apenas uma AC pode resultar em uma carga de rede considervel
para essa nica AC. O uso de vrias ACs subordinadas para emitir o mesmo tipo de certificado
divide a carga de rede entre as ACs.
Backup e tolerncia a falhas. Vrias ACs aumentam a possibilidade de que a rede sempre tenha
as ACs operacionais disponveis para responder a solicitaes do usurio.
6-17
Uma seo uma rea no arquivo .inf que contm um grupo lgico de chaves. Uma seo sempre
aparece entre colchetes no arquivo .inf.
Por exemplo, se voc deseja especificar um ponto de Acesso s Informaes da Autoridade no arquivo
CAPolicy.inf, dever usar esta sintaxe:
[AuthorityInformationAccess]
URL=http://pki.adatum.com/CertData/adatumCA.crt
Voc tambm pode usar o arquivo CAPolicy.inf durante a instalao do AD CS para definir o seguinte:
Declarao de prtica de certificao: descreve as prticas que a AC usa para emitir certificados.
Isso inclui os tipos de certificados emitidos, as informaes necessrias emisso, renovao
e recuperao de certificados e outros detalhes sobre a configurao da AC.
Caminhos CDP e AIA: fornecem o caminho usado para as instalaes e renovaes da AC raiz.
Depois de criado o arquivo CAPolicy.inf, voc deve copi-lo na pasta %systemroot% do servidor
(por exemplo, C:\Windows) antes de instalar a funo AD CS ou antes de renovar o certificado de AC.
Observao: O arquivo CAPolicy.inf processado para as instalaes e renovaes da AC
raiz e da AC subordinada.
6-19
Objetivos
Configurao do laboratrio
Tempo previsto: 50 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CA1
24412B-LON-CL1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
A A. Datum deseja comear a usar certificados para diversas finalidades. Voc precisa instalar a
infraestrutura de AC apropriada. Como eles esto usando o Windows Server 2012 AD DS, voc decidiu
implementar a funo AD CS. Quando voc estava revisando os designs disponveis, decidiu implementar
uma AC raiz autnoma. Essa AC fica offline depois de emitir um certificado para a AC subordinada.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
Use o Assistente de Adio de Funes e Recursos para instalar a funo Servios de Certificados
do Active Directory.
3.
Depois que a instalao for concluda com sucesso, clique no texto Configurar os Servios
de Certificados do Active Directory no servidor de destino.
4.
5.
Defina o comprimento da chave como 4096 e aceite todos os outros valores como padro.
2.
3.
4.
5.
7.
8.
9.
6-21
1.
2.
Crie um registro de host para o computador LON-CA1 na zona de pesquisa direta de Adatum.com.
3.
4.
Resultados: Depois de concluir este exerccio, voc ter implantado uma AC raiz autnoma.
2.
3.
2.
3.
Depois que a instalao tiver sido concluda com sucesso, clique em Configurar os Servios
de Certificados do Active Directory no servidor de destino.
4.
5.
6.
7.
8.
2.
3.
4.
5.
6.
Emita o certificado e exporte-o para o formato p7b com cadeia completa. Salve o arquivo em
\\lon-svr1\C$\SubCA.p7b.
7.
8.
9.
Inicie o servio.
2.
3.
Resultados: Depois de concluir este exerccio, voc ter implantado e configurado uma AC subordinada
corporativa.
Mantenha todas as mquinas virtuais ligadas para o prximo laboratrio. No reverta nenhuma
das mquinas virtuais.
Lio 3
6-23
Os modelos de certificados definem como um certificado pode ser solicitado e como ele pode ser usado.
Os modelos so configurados na AC e so armazenados no banco de dados do Active Directory. H
diferentes verses de modelos: a AC corporativa do Windows 2000 Server d suporte aos modelos de
certificado verso 1, o Windows Server 2003 Enterprise Edition d suporte aos modelos verses 1 e 2,
e o Windows Server 2008 Enterprise Edition d suporte s verses 1, 2 e 3 dos modelos de certificados.
O Windows Server 2012 apresenta os modelos verso 4, mas ele ainda d suporte s trs verses
de modelos anteriores.
Os dois tipos de categorias dos modelos de certificados so usurios e computadores, e cada uma pode
ser usada para vrias finalidades. Voc pode atribuir permisses de Controle Total, Leitura, Gravao,
Registro e Registro Automtico aos modelos de certificados. Tambm possvel atualizar os modelos
de certificados modificando o modelo de certificado original, copiando um modelo ou substituindo os
modelos de certificados existentes. Nesta lio, voc vai aprender como gerenciar e implantar modelos
de certificados.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
O sistema operacional Windows 2000 Advanced Server d suporte verso 1 dos modelos de
certificados. A nica modificao permitida nos modelos da verso 1 a alterao das permisses
para permitir ou desaprovar o registro do modelo de certificado. Quando voc instala uma AC
corporativa, os modelos de certificados verso 1 so criados por padro. Desde 13 de julho de 2010,
a Microsoft no d mais suporte ao Windows 2000 Server.
Os sistemas operacionais Windows Server 2003 do suporte aos modelos verso 1 e 2. Voc pode
personalizar vrias configuraes nos modelos verso 2. A instalao padro fornece vrios modelos
pr-configurados para a verso 2. Voc pode adicionar modelos da verso 2 com base nos requisitos
da sua organizao. Alm disso, possvel duplicar um modelo de certificado verso 1 para criar uma
nova verso 2 do modelo. Voc pode modificar e proteger o modelo de certificado verso 2 recmcriado. Quando so acrescentados novos modelos a uma AC corporativa do Windows Server 2003,
eles so, por padro, da verso 2.
6-25
Os sistemas operacionais Windows Server 2008 Enterprise do suporte verso 3 dos novos modelos
de certificados. Alm disso, h suporte s verses 1 e 2. Os modelos de certificados verso 3 do
suporte a vrios recursos de uma AC corporativa do Windows Server 2008, como CNG. A CNG
d suporte aos algoritmos de criptografia Suite B, como a ECC (criptografia de curva elptica).
No Windows Server 2008 Enterprise, voc pode duplicar os modelos padro verses 1 e 2
para atualiz-los de acordo com a verso 3.
O Windows Server 2008 fornece dois novos modelos de certificado por padro: Autenticao
Kerberos e Assinatura de Resposta OCSP. A verso do sistema operacional Windows Server 2008 R2
tambm dava suporte aos modelos de certificados. Quando voc usa os modelos de certificado
verso 3, pode usar a criptografia CNG e os algoritmos de hash para solicitaes de certificado,
certificados emitidos e proteo das chaves privadas nos cenrios de troca e de arquivamento
de chave.
Os sistemas operacionais Windows Server 2012 do suporte aos modelos de certificado verso 4
e a todas as outras verses de edies anteriores do Windows Server. Esses modelos de certificados
esto disponveis apenas no Windows Server 2012 e no Windows 8. Para ajudar os administradores
a diferenciar quais recursos tm suporte em qual verso do sistema operacional, a guia
Compatibilidade foi adicionada guia Propriedades do modelo de certificado. Ela marca as
opes como no disponveis nas propriedades do modelo de certificado dependendo das verses
do sistema operacional da AC e do certificado do cliente. Os modelos de certificados verso 4
tambm do suporte a CSPs e a KSPs. Eles tambm podem ser configurados para exigir renovao
com a mesma chave.
A atualizao dos modelos de certificados um processo que se aplica somente a situaes nas quais
a AC tenha sido atualizada do Windows Server 2008 ou 2008 R2 para o Windows Server 2012. Aps
a atualizao, possvel atualizar os modelos de certificados iniciando o console do Gerenciador
de AC e clicando em Sim no aviso de atualizao.
Como prtica recomendada, voc deve atribuir permisses de modelos de certificados somente a grupos
globais ou universais. Isso acontece porque os objetos dos modelos de certificados so armazenados no
contexto de nomenclatura de configurao no AD DS. Voc no pode atribuir permisses usando os
grupos locais encontrados em um domnio do Active Directory. Voc nunca deve atribuir permisses de
modelos de certificados a um usurio individual ou a contas de computadores.
Como prtica recomendada, mantenha a permisso Leitura alocada ao grupo Usurios Autenticados. Essa
alocao de permisso permite que todos os usurios e computadores exibam os modelos de certificados
no AD DS. Essa atribuio de permisso tambm permite que a AC em execuo no contexto do sistema
de uma conta de computador exiba os modelos de certificados durante a atribuio de certificados.
Suporte a CSP
Comprimento da chave
Perodo de validade
Voc tambm pode definir a finalidade do certificado nas configuraes do certificado. Os modelos
de certificados podem ter as seguintes finalidades:
6-27
nica finalidade. Um certificado de nica finalidade tem apenas um objetivo, como permitir
que os usurios faam logon com um carto inteligente. As organizaes utilizam certificados
de finalidade nica quando a configurao do certificado difere dos outros certificados que esto
sendo implantados. Por exemplo, se todos os usurios vo receber um certificado para o logon
com carto inteligente, mas apenas dois grupos vo receber um certificado do EFS, as organizaes
geralmente mantm esses certificados e modelos separados para assegurar que os usurios recebam
apenas os certificados exigidos.
Vrias finalidades. Um certificado de vrias finalidades tem mais de uma finalidade (geralmente
no relacionadas) ao mesmo tempo. Enquanto alguns modelos (como o modelo Usurio) tm
vrias finalidades por padro, as organizaes geralmente modificam os modelos para que tenham
finalidades adicionais. Por exemplo, se uma empresa pretende emitir certificados para trs finalidades,
essas finalidades podero ser combinadas em um nico modelo de certificado para diminuir
o esforo de administrao e manuteno.
Substituir modelos de certificados existentes. A hierarquia de AC de uma organizao pode ter vrios
modelos de certificados que fornecem a mesma finalidade ou uma similar. Nesse cenrio, voc pode
substituir os vrios modelos de certificados usando um nico modelo de certificado. Essa substituio
pode ser feita no console Modelos de Certificados designando que um novo modelo de certificado
substitua os modelos de certificados existentes.
Etapas da demonstrao
Modificar e habilitar um modelo de certificado
1.
2.
3.
4.
5.
6.
Lio 4
6-29
Uma das etapas da implantao da PKI na sua organizao ser definir os mtodos de distribuio
e registro de certificados. Alm disso, durante o processo de gerenciamento de certificado, haver
momentos em que talvez seja necessrio revogar certificados. Alguns motivos para revogar certificados
podem incluir o comprometimento de uma chave ou quando algum deixa a organizao. Voc precisa
verificar se os clientes de rede podem determinar quais certificados foram revogados antes de aceitar
as solicitaes de autenticao. Para garantir escalabilidade e alta disponibilidade, voc pode implantar
o Respondente Online do AD CS para fornecer o status de revogao do certificado. Nesta lio, voc
aprender sobre mtodos para a distribuio e revogao de certificados.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Registro manual. Usando esse mtodo, a chave privada e uma solicitao de certificado so geradas
em um dispositivo, como um servio Web ou um computador. A solicitao de certificado , ento,
transportada para a AC para gerar o certificado solicitado. O certificado transportado de volta
ao dispositivo para a instalao. Use esse mtodo quando o solicitante no puder se comunicar
diretamente com a AC ou se o dispositivo no der suporte ao registro automtico.
Registro via Web na AC. Usando esse mtodo, voc pode habilitar uma AC de site de modo que
os usurios possam obter certificados. Para usar um registro via Web na AC, voc deve instalar
o IIS (Internet Information Server) e a funo de registro via Web na AC do AD CS. Para obter um
certificado, o solicitante faz logon no site, seleciona o modelo de certificado apropriado e envia uma
solicitao. O certificado ser emitido automaticamente se o usurio tiver as permisses apropriadas
para se registrar no certificado. O mtodo de registro via Web na AC dever ser usado para emitir
certificados quando o registro automtico no puder ser usado. Isso pode acontecer no caso
de uma solicitao avanada de certificado. No entanto, h casos em que o registro automtico
pode ser usado para alguns certificados, mas no para todos.
Voc pode usar autoenrollment para implantar key.based pblico automaticamente certifica aos usurios
e computadores em uma organizao. O administrador dos Servios de certificado duplica um modelo de
certificado e configura as permisses para permitir as permisses Registro e Registro Automtico dos
usurios que recebero os certificados. Polticas de Grupo baseadas em domnio, como polticas baseadas
em computadores e usurios, podem ativar e gerenciar o registro automtico.
6-31
Por padro, a Poltica de Grupo aplicada quando se reinicia os computadores ou no logon de usurios.
Tambm por padro, a Poltica de Grupo atualizada a cada 90 minutos em membros do domnio. A essa
configurao da Poltica de Grupo dado o nome de Cliente dos Servios de Certificado - Registro
Automtico.
Um temporizador interno dispara o registro automtico a cada oito horas depois da ltima ativao do
registro automtico. O modelo de certificado pode especificar a interao de usurios de cada solicitao.
Para tal atualizao, uma janela pop-up aparece aproximadamente 60 segundos depois que o usurio
fizer logon.
Muitos certificados podem ser distribudos sem o cliente sequer perceber que o registro est sendo
executado. Eles incluem a maioria dos tipos de certificados que so emitidos para computadores
e servios, alm de muitos dos certificados emitidos para usurios.
Para registrar os clientes automaticamente em certificados de um ambiente de domnio, voc deve:
Ser membro dos Administradores do domnio ou da empresa (ou equivalente), esse o mnimo
exigido para concluir esse procedimento.
A mobilidade de credenciais disparada sempre que uma chave privada ou um certificado no repositrio
local do usurio for alterado, quando o usurio bloquear ou desbloquear o computador e quando
a Poltica de Grupo for alterada.
Todas as comunicaes relacionadas aos certificados entre os componentes do computador local e entre
o computador local e o AD DS so assinadas e criptografadas. A mobilidade de credenciais tem suporte
no Windows 7 e nos sistemas operacionais mais recentes do Windows.
O agente de registro restrito uma funcionalidade que foi apresentada no sistema operacional do
Windows Server 2008 Enterprise. Essa funcionalidade permite que voc limite as permisses para usurios
designados como agentes de registro se registrem em certificados de carto inteligente em nome de
outros usurios.
Normalmente, um ou mais indivduos autorizados dentro de uma organizao so designados como
agentes de registro. O agente de registro precisa receber um certificado de agente de registro que
permite que ele se registre em certificados de carto inteligente em nome de usurios. Os agentes de
registro normalmente so membros de segurana corporativa, segurana de TI ou equipes de suporte
tcnico, j que a eles j foi confiada a proteo de recursos valiosos. Em algumas organizaes, como os
bancos que tm muitas ramificaes, os funcionrios do suporte tcnico e de segurana podem no estar
bem localizados para executar essa tarefa. Nesse caso, necessrio designar um gerente de filial ou outro
funcionrio de confiana para agir como um agente de registro para habilitar as credenciais de carto
inteligente a serem emitidas de vrios locais.
Em uma AC do Windows Server 2012, os recursos do agente de registro restrito permitem que um agente
de registro seja usado para um ou mais modelos de certificados. Para cada modelo de certificado, voc
pode escolher em nome dos usurios ou grupos de segurana que o agente d registro pode registrar.
Voc no pode restringir um agente de registro com base em uma determinada OU (unidade
organizacional) ou continer do Active Directory, em vez disso, voc deve usar grupos de segurana.
Observao: O uso dos agentes de registros afetar o desempenho da AC. Para otimizar
o desempenho, voc deve minimizar o nmero de contas que so listadas como agentes de
registro. Voc minimiza o nmero de contas na lista de permisses do agente de registro.
Como prtica recomendada, use contas de grupo nas duas listas em vez de contas de usurio
individuais.
Etapas da demonstrao
Configurar o Agente de Registro Restrito
1.
2.
Configure Allie Bellew com permisses para se registrar em um certificado de agente de registro.
3.
4.
5.
6.
7.
8.
Configure o agente de registro restrito de modo que Allie somente possa emitir certificados baseados
no modelo do Usurio e somente para o grupo de segurana de Marketing.
6-33
Esse recurso se aplica a organizaes que tm PKIs com um ou mais ACs baseadas no
Windows Server 2012 e que desejam aprimorar a segurana dos seus dispositivos de rede. A segurana
de porta, baseada em 802.1x, requer que os certificados sejam instalados nos comutadores e nos pontos
de acesso. SSH (Secure Shell), em vez de Telnet, requer um certificado no roteador, no comutador ou
no ponto de acesso. NDES o servio que permite que os administradores instalem certificados em
dispositivos que usam SCEP.
Se voc vai configurar uma conta de usurio dedicada para o servio ou se vai usar uma conta
do servio de rede.
O nome da autoridade de registro do NDES e que pas/regio usar. Essa informao est includa
em qualquer certificado SCEP emitido.
O CSP que deve ser usado para a chave de assinatura que usada para criptografar a comunicao
entre a AC e a autoridade de registro.
O CSP que deve ser usado para a chave de criptografia que usada para criptografar a comunicao
entre a autoridade de registro e o dispositivo de rede.
Alm disso, voc precisa criar e configurar os modelos de certificados para os certificados que so usados
junto com o NDES.
Instalar o NDES em um computador cria uma nova autoridade de registro e exclui quaisquer certificados
de autoridade de registro preexistentes no computador. Portanto, se voc planeja instalar o NDES em
um computador onde outra autoridade de registro j foi configurada, qualquer solicitao de certificado
pendente deve ser processada e qualquer certificado no solicitado deve ser solicitado antes de instalar
o NDES.
O CRL publicado usando o snap-in do MMC da AC (ou a lista de certificados revogados agendada
publicada automaticamente baseada no valor configurado). Os CRLs podem ser publicado no AD DS,
em algum local de pasta compartilhada ou em um site.
Quando os computadores clientes do Windows recebem um certificado, eles usam um processo para
verificar o status de revogao consultando a AC emissora. Esse processo determina se o certificado
revogado, e apresenta, ento, as informaes ao aplicativo que solicita a verificao. O computador
cliente do Windows usa um dos locais da CRL especificados no certificado para a verificar sua
validade.
O que AIA?
Endereos de AIA so as URLs nos certificados
que uma AC emite. Esses endereos dizem ao
verificador de um certificado onde recuperar o certificado da AC. As URLs de acesso AIA podem ser
o HTTP, protocolo FTP, protocolo LDAP ou endereos de ARQUIVO.
O que CDP?
6-35
CDP uma extenso de certificado que indica onde a lista de certificados revogados de uma AC pode
ser recuperada. Pode no conter nenhum, um ou muitos HTTP, ARQUIVO ou URLs LDAP.
Se voc usar apenas uma AC online, esses valores sero configurados localmente na AC por padro. No
entanto, se voc deseja implantar uma AC raiz offline ou se voc quiser publicar AIA e CDP em um local
voltado para a internet, voc deve configurar novamente esse valores de modo que eles se apliquem a
todos os certificados emitidos pela AC raiz. As extenses AIA e CDP definem onde os aplicativos clientes
podem localizar as informaes AIA e CDP da AC raiz. A formao e publicao de URLs de extenso AIA
e CDP , geralmente, a mesma para ACs raiz e subordinadas. Voc pode publicar o certificado da AC raiz
e a CRL nos seguintes locais:
AD DS
Servidores Web
Servidores de FTP
Servidores de arquivos
Pontos de publicao
Para assegurar a acessibilidade a todos os computadores na floresta, publique o certificado da AC raiz
offline e a CRL da AC raiz offline do AD DS usando o comando Certutil. Isso coloca o certificado da AC
raiz e a CRL no contexto de nomenclatura de configurao, que o Active Directory reproduz em todos
os controladores de domnio na floresta.
Windows Vista
Windows 7
Windows 8
6-37
Para a escalabilidade e a alta disponibilidade, voc pode implantar o respondente online em uma matriz
com carga equilibrada que usa NLB (Balanceamento de Carga de Rede) que processe solicitaes de
status de certificado. Voc pode monitorar e gerenciar cada membro da matriz independentemente.
Para configurar o respondente online, voc deve usar o console de gerenciamento do respondente
online.
Voc deve configurar as ACs para incluir a URL do respondente online na extenso de AIA dos certificados
emitidos. O cliente de OCSP usa essa URL para validar o status de certificado. Voc tambm tem que
emitir o modelo de certificado da Assinatura de Resposta OCSP de modo que o respondente online
tambm possa registrar nesse certificado.
O IIS deve ser instalado no computador durante a instalao do respondente online. Quando voc
instalar um respondente online, a configurao correta do IIS do respondente online instalada
automaticamente.
A URL do respondente online deve ser includa na extenso de AIA dos certificados emitidos pela
AC. Essa URL usada pelo cliente do respondente online para validar o status do certificado.
Depois que um respondente online tiver sido instalado, voc precisa criar uma configurao
de revogao para cada AC e certificado de AC que servida por um respondente online. Uma
configurao de revogao inclui todas as configuraes que devem responder a solicitaes
de status relativas a certificados que foram emitidos usando uma AC chave especfica. Incluem:
Etapas da demonstrao
Configurar um respondente online
1.
2.
3.
4.
5.
6.
7.
Lio 5
6-39
Durante o ciclo de vida do certificado, a recuperao do certificado ou da chave uma das tarefas de
gerenciamento mais importantes. Se voc perder as chaves pblicas e privadas, usar um arquivamento
de chave e um agente de recuperao para a recuperao de dados. Voc tambm pode usar o
arquivamento de chave automtico ou manual e mtodos de recuperao de chave para garantir
o acesso aos dados em caso de perda das chaves. Nesta lio, voc aprender como gerenciar
o arquivamento de chave e recuperao no AD CS do Windows Server 2012.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
O disco est danificado. Se o disco rgido for danificado e o perfil do usurio no estiver disponvel,
o material da chave privada perdido automaticamente.
Voc usa o arquivamento de chave e Chave Agentes de recuperao (KRA) para recuperao de dados.
Voc pode garantir que os administradores da AC possam recuperar as chave privadas arquivando-as.
So designados usurios aos KRAs que podem recuperar o certificado original, a chave privada e a
chave pblica que foram usados para criptografar os dados do banco de dados de AC. Um modelo
de certificado especfico aplicado a um KRA. Quando voc habilitar o arquivamento de chave em um
modelo de certificado verso 2, a AC criptografa e armazena essa chave privada em seu banco de dados.
Em situaes onde a AC armazenou a chave privada da entidade no banco de dados de AC, voc pode
usar a recuperao de chave para recuperar uma chave corrompida ou perdida.
Durante o processo de recuperao da chave, o gerenciador do certificado recupera o arquivo
criptografado que contm o certificado e a chave privada do banco de dados de AC. Em seguida,
um KRA descriptografa a chave privada do arquivo criptografado e devolve o certificado e a chave
privada para o usurio.
Quando voc tiver configurado uma AC para emitir um certificado KRA, qualquer usurio com permisso
Leitura e Registro no modelo de certificado KRA pode se registrar e se tornar um KRA. Como resultado,
os administradores do domnio e os administradores corporativos recebem permisso por padro.
No entanto, voc deve garantir o seguinte:
A recuperao de chave implica que a parte privada de um par de chaves pblico-privado pode ser
arquivada e recuperada. A recuperao da chave privada no recupera quaisquer dados ou mensagens.
Ela permite que um usurio recupere chaves perdidas ou danificadas ou que um administrador assuma
a funo de usurio para acessar os dados ou finalidades de recuperao de dados. Em muitos aplicativos,
a recuperao de dados no pode acontecer sem a execuo da recuperao da chave.
O procedimento de recuperao da chave o seguinte:
1.
O usurio solicita um certificado de uma AC e fornece uma cpia da chave privada como parte da
solicitao. A AC que est processando a solicitao arquiva a chave privada criptografada no banco
de dados de AC e emite um certificado para o usurio solicitante.
2.
O certificado emitido pode ser usado por um aplicativo como EFS para criptografar arquivos
confidenciais.
3.
Se em algum momento a chave privada for perdida ou danificada, o usurio pode entrar em contato
com o Gerenciador de Certificados da empresa para recuperar a chave privada. O Gerenciador de
Certificados, com a ajuda do KRA, recupera a chave privada, armazena-a em um formato de arquivo
protegido e a manda de volta para o usurio.
4.
Depois que o usurio armazenar a chave privada recuperada no repositrio de chaves local do
usurio, ela pode ser usada de novo por um aplicativo como o EFS para descriptografar arquivos
previamente criptografados ou criptografar novos arquivos.
2.
3.
6-41
a.
b.
c.
Habilitar o KRA.
a.
b.
c.
Por padro, a AC usa um KRA. No entanto, voc deve selecionar primeiro o certificado KRA
para que a AC comece o arquivamento clicando em Adicionar.
4.
d.
O sistema localiza o certificado KRA vlido e exibe os certificados KRA disponveis. Esses
geralmente so publicados no AD DS por uma AC corporativa durante o registro. Os certificados
KRA so armazenados no continer de KRA na ramificao dos Servios de chave pblica da
partio de configurao no AD DS. Como a AC emite vrios certificados KRA, cada um desses
certificados ser adicionado ao atributo de usurio de mltiplos valores do objeto CA.
e.
f.
Depois que voc tiver adicionado um ou mais certificados KRA, clique em OK. Os certificados
KRA so processados somente no incio do servio.
No MMC dos Modelos de Certificados, clique com o boto direito do mouse no modelo
de arquivamento da chave e clique em Propriedades.
b.
Etapas da demonstrao
Configurar o arquivamento de chave automtico
1.
2.
3.
Configure adatumRootCA para usar o certificado registrado na etapa 2 como agente de recuperao
de chave.
4.
Configure o modelo de certificado Trocar usurio Teste 1 modelo de certificado para permitir
arquivamento de chave.
5.
6-43
1.
2.
Recupere o blob PKCS #7 do banco de dados. Essa a primeira metade da etapa de recuperao de
chave. Um Gerenciador de Certificados ou um administrador de AC recupera o blob correto do banco
de dados de AC. O certificado e a chave privada criptografada a serem recuperados esto presentes
no blob PKCS #7. A chave privada criptografada junto com a chave pblica de um ou mais KRAs.
3.
Recupere o material da chave e salve no PKCS #12 (.pfx). Essa a segunda metade da etapa de
recuperao de chave. O proprietrio de um das chave privadas de KRA descriptografa a chave
privada a ser recuperada. O proprietrio tambm gera um arquivo .pfx protegido por senha que
contm o certificado e a chave privada.
Importar as chaves recuperadas. O arquivo .pfx protegido por senha entregue ao usurio final. Esse
usurio importa o arquivo .pfx para o repositrio de certificados do usurio local. Como alternativa,
o KRA ou um administrador podem executar essa parte do procedimento em nome do usurio.
Etapas da demonstrao
Recuperar uma chave privada perdida
1.
2.
3.
Use o comando Certutil -getkey <nmerodesrie> outputblob para gerar o arquivo blob.
Use o comando Certutil -recoverkey outputblob recover.pfx para recuperar a chave
privada.
4.
Objetivos
Configurao do laboratrio
Tempo previsto: 75 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CA1
24412B-LON-CL1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Todas as mquinas virtuais
necessrias para esse laboratrio devem estar funcionando desde o laboratrio anterior.
Depois de implantar a infraestrutura de AC, a prxima etapa implantar os modelos de certificados que
so necessrios na organizao. Primeiro, A. Datum deseja implementar um novo certificado de servidor
Web e implementar certificados de carto inteligente para usurios. Eles tambm desejam implementar
novos certificados no servidor Web de LON-SVR2.
As principais tarefas deste exerccio so:
1.
2.
Criao de um novo modelo para usurios que inclui o logon do carto inteligente.
3.
4.
2.
3.
4.
5.
Tarefa 2: Criao de um novo modelo para usurios que inclui o logon do carto
inteligente
6-45
1.
2.
3.
Na guia Nome da entidade, desmarque as caixas de seleo Incluir nome de email no nome
da entidade e Nome de email.
4.
Adicione o Logon do carto inteligente nas Polticas de aplicativo do novo modelo de certificado.
5.
6.
7.
Configure LON-SVR1 para emitir certificados com base nos modelos Usurio de Carto Inteligente
Adatum e Servidor Web Adatum.
2.
3.
4.
5.
Organizao: Adatum
Unidade Organizacional: IT
Cidade/localidade: Seattle
Estado/provncia: WA
Pas/regio: US
Crie a associao HTTP para o site padro e associe-o com o novo certificado.
Resultados: Depois de concluir esse exerccio, voc ter criado e publicado novos modelos
de certificados.
2.
3.
1.
2.
3.
4.
Habilite a opo Cliente dos Servios de Certificado - Registro Automtico e habilite Renovar
certificados expirados, atualizar certificados pendentes e remover certificados revogados
e Atualizar certificados que usam modelos de certificados.
5.
6.
Em LON-SVR1, abra o Windows PowerShell e use gpupdate /force para atualizar a Poltica
de Grupo.
2.
3.
Verifique se foi emitido para voc um certificado baseado no modelo Usurio de Carto
Inteligente Adatum.
2.
3.
4.
5.
Resultados: Depois de concluir este exerccio, voc ter configurado e verificado o registro automtico
de usurios e configurado um agente de registro para cartes inteligentes.
6-47
2.
2.
3.
2.
Quando a instalao for concluda com sucesso, clique em Configurar os Servios de Certificados
do Active Directory no servidor de destino.
3.
4.
5.
6.
7.
8.
9.
Resultados: Depois de concluir esse exerccio, voc ter configurado a revogao de certificado.
2.
3.
4.
5.
1.
Em LON-SVR1, no console Autoridade de Certificao, clique com o boto direito do mouse na pasta
Modelos de Certificados e clique em Gerenciar.
2.
3.
4.
5.
Clique com o boto direito do mouse do mouse na pasta Modelos de Certificados e habilite
o modelo Agente de recuperao de chave.
Crie uma janela de console de MMC que inclui o snap-in dos certificados do usurio atual carregado.
2.
Use o Assistente de registro de certificado para solicitar um novo certificado e para registrar
o certificado KRA.
3.
2.
3.
6-49
1.
2.
3.
4.
Clique na guia Nome de Entidade e desmarque as caixas de seleo Nome de email e Incluir nome
de email no nome de entidade.
5.
Adicione Arquivar Modelo do Usurio como um novo modelo de certificado a ser emitido.
2.
3.
4.
5.
6.
7.
8.
No console Autoridade de Certificao, observe o nmero de srie do certificado que foi emitido
para Aidan Delaney.
9.
Observao: Substitua <nmero de srie> pelo nmero de srie que voc anotou.
10. Verifique se o arquivo Outputblob exibido na pasta C:\Users\Administrador.
11. Para converter o arquivo Outputblob em um arquivo .pfx importvel, no prompt de comando,
digite o comando seguinte:
Certutilrecoverkey outputblob aidan.pfx.
16. Retorne para LON-SVR1, copie e cole o arquivo aidan.pfx na raiz da unidade C em LON-CL1.
17. Alterne para LON-CL1 e importe o certificado aidan.pfx.
18. Verifique se o novo certificado aparece no repositrio pessoal.
Resultados: Depois de concluir este exerccio, voc ter implementado um arquivamento de chave
e ter testado a recuperao de chave privada.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.
3.
4.
Prtica recomendada:
6-51
Ao implantar a infraestrutura de AC, implante uma AC raiz autnoma (servidor associado que no
pertence ao domnio) e uma AC corporativa subordinada (AC emissora). Depois que a AC corporativa
subordinada receber um certificado da AC raiz, coloque a AC raiz offline.
Emita um certificado para a AC raiz por um longo perodo de tempo, como 15 ou 20 anos.
Contoso, Ltd. deseja implantar a PKI para dar suporte e proteger vrios servios. Eles decidiram usar os
Servios de Certificados do Windows Server 2012 como uma plataforma para a PKI. Os certificados sero
usados principalmente para EFS, assinatura digital, e para servidores Web. Como os documentos que
sero criptografados so importantes, essencial ter uma estratgia de recuperao de desastres no
caso de perda da chave. Alm disso, os clientes que tero acesso s partes seguras do site da empresa
no devem receber nenhum aviso nos seus navegadores.
1.
2.
Que tipo de certificados a Contoso deve usar para EFS e assinatura digital?
3.
4.
Como a Contoso assegurar que dados com criptografia EFS no sero perdidos se um usurio
perder um certificado?
Ferramentas
Console de certificados
Certutil.exe
Mdulo 7
Implementao do Active Directory
Rights Management Services
Contedo:
Viso geral do mdulo
7-1
7-2
7-8
7-15
7-22
7-27
7-35
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:
Descrever o AD RMS.
O que AD RMS?
AD RMS uma tecnologia de proteo
de informaes criada para minimizar a
possibilidade de vazamento de dados.
Vazamento de dados a transmisso de
informaes sem autorizao para pessoas
dentro ou fora da organizao para quem
no deve ter acesso a essas informaes.
O AD RMS integra-se a produtos e sistemas
operacionais existentes Microsoft, incluindo
Windows Server, Microsoft Exchange Server,
Microsoft SharePoint Server e
Microsoft Office Suite.
7-2
O AD RMS pode proteger dados em trnsito e em repouso. Por exemplo, o AD RMS pode proteger
documentos que so enviados como mensagens de email garantindo que uma mensagem no possa ser
aberta nem mesmo quando endereada acidentalmente ao destinatrio errado. Voc tambm pode usar
o AD RMS para proteger dados armazenados em dispositivos como unidades USB removveis. Uma
desvantagem das permisses de arquivos e pastas que, uma vez que o arquivo copiado em outro
local, as permisses originais no se aplicam mais. Um arquivo copiado em uma unidade USB herdar as
permisses do dispositivo de destino. Uma vez copiado, um arquivo que era somente leitura pode se
tornar editvel alterando as permisses de arquivos e pastas. Com o AD RMS, o arquivo pode ser
protegido em qualquer local, independentemente das permisses de arquivos e pastas que concedem
o acesso. Com o AD RMS, somente os usurios autorizados a abrir o arquivo podero ver o contedo
desse arquivo.
Cenrio 1
O CEO copia um arquivo de planilha que contm os pacotes de compensao dos executivos de
uma organizao de uma pasta protegida em um servidor de arquivos na unidade USB pessoal do
CEO. Durante o trajeto para casa, o CEO esquece a unidade USB no trem, onde algum sem conexo
com a organizao o encontra. Sem o AD RMS, quem encontrar a unidade USB pode abrir o arquivo.
Com o AD RMS, possvel garantir que o arquivo no pode ser aberto por usurios no autorizados.
Cenrio 2
Um documento interno deve ser visvel por um grupo de pessoas autorizadas na organizao. Essas
pessoas no devem poder editar ou imprimir o documento. Embora seja possvel usar a funcionalidade
nativa do Microsoft Office Word para restringir esses recursos, fazer isso exige que cada pessoa tenha
uma conta Windows Live. Com o AD RMS, voc pode configurar essas permisses com base em
contas existentes nos Servios de Domnio do Active Directory (AD DS).
Cenrio 3
Pessoas na organizao no devem poder encaminhar mensagens de email confidenciais atribudas
a uma classificao especfica. Com o AD RMS, voc pode permitir que um remetente atribua uma
classificao especfica a uma nova mensagem de email, e essa classificao ir garantir que o
destinatrio no possa encaminhar a mensagem.
7-3
Servidor AD RMS
Os servidores AD RMS devem ser membros de um domnio do AD DS. Quando voc instala o AD RMS,
as informaes sobre o local do cluster so publicadas no AD DS em um local conhecido como ponto
de conexo de servio. Os computadores que so membros do domnio consultam o ponto de conexo
de servio para determinar o local de servios do AD RMS.
Cliente AD RMS
O cliente AD RMS integrado aos sistemas operacionais Windows Vista, Windows 7 e Windows 8.
O cliente AD RMS permite que aplicativos habilitados para o AD RMS imponham a funcionalidade
ditada pelo modelo do AD RMS. Sem o cliente AD RMS, os aplicativos habilitados para o AD RMS
no poderiam interagir com o contedo protegido pelo AD RMS.
7-4
Os aplicativos habilitados para o AD RMS permitem que usurios criem e consumam contedo protegido
pelo AD RMS. Por exemplo, o Microsoft Outlook permite que os usurios vejam e criem mensagens de
email protegidas. O Office Word permite que os usurios vejam e criem documentos de processamento
de texto protegidos. A Microsoft fornece um kit de desenvolvimento de software (SDK) do AD RMS para
permitir que os desenvolvedores habilitem seus aplicativos para oferecer suporte proteo de contedo
do AD RMS.
SLC
O SLC gerado quando voc cria o cluster
do AD RMS. Ele tem uma validade de 250 anos.
O SLC permite que o cluster do AD RMS emita:
Licenas de publicao.
Licenas de uso.
A chave pblica do SLC criptografa a chave de contedo em uma licena de publicao. Isso permite
que o servidor AD RMS extraia a chave de contedo e emita licenas de usurio final pela chave
de publicao.
7-5
O Certificado de Conta de Direitos (RAC) identifica um usurio especfico. O tempo de validade padro
para um RAC de 365 dias. Os RACs podem ser emitidos somente para usurios do AD DS cujas contas
de usurio tm endereos de email sejam associadas a eles. Um RAC emitido na primeira vez que
um usurio tenta acessar o contedo protegido pelo AD RMS. Voc pode ajustar o tempo de validade
padro usando o n Polticas de Certificados de Contas de Direitos do console do Active Directory
Rights Management Services.
Um RAC temporrio tem um tempo de validade de 15 minutos. RACs temporrios so emitidos quando
um usurio estiver acessando contedo protegido pelo AD RMS em um computador que no um
membro da mesma floresta ou de uma floresta confivel do cluster do AD RMS. Voc pode ajustar
o tempo de validade padro usando o n Polticas de Certificados de Contas de Direitos do console
do Active Directory Rights Management Services.
Os RACs dos Servios de Federao do Active Directory (AD FS) so emitidos para usurios
federados. Eles tm uma validade de sete dias.
Dois tipos de RACs do Windows Live ID tm suporte. RACs do Windows Live ID usados em
computadores privados tm uma validade de seis meses; RACs do Windows Live ID usados
em computadores pblicos so vlidos at o usurio fazer logoff.
7-6
Licena de Publicao
Uma licena de publicao (PL) determina os direitos que se aplicam ao contedo protegido
pelo AD RMS. Por exemplo, a licena de publicao determina se o usurio pode editar, imprimir
ou salvar um documento. A licena de publicao contm a chave de contedo, que criptografada
usando a chave pblica do servio de licenciamento. Tambm contm a URL e a assinatura digital
do servidor AD RMS.
2.
3.
4.
5.
Essa chave simtrica criptografada na chave pblica do servidor AD RMS que usada pelo autor.
7-7
6.
7.
8.
O servidor AD RMS descriptografa a chave simtrica que foi criptografada na etapa 3 usando
sua chave privada.
9.
O servidor AD RMS criptografa novamente a chave simtrica usando a chave pblica do destinatrio
e adiciona a chave de sesso criptografada Licena de Uso.
Lio 2
7-8
Antes de implantar o AD RMS, importante ter um plano de implantao que seja apropriado para o
ambiente de sua organizao. A implantao do AD RMS em uma floresta de nico domnio diferente
da implantao do AD RMS em cenrios onde voc precisa oferecer suporte a publicao e o consumo
de contedo por vrias florestas, para organizaes parceiras confiveis ou pela Internet pblica. Antes
de implantar o AD RMS, voc tambm precisa saber os requisitos de cliente e uma estratgia apropriada
de backup e recuperao do AD RMS.
Esta lio fornece uma viso geral da implantao do AD RMS e as etapas que voc precisa executar
para fazer backup, recuperar e encerrar uma infraestrutura do AD RMS.
Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:
Voc pode implantar o AD RMS com o AD FS ou o Microsoft Federation Gateway. Nesse cenrio, os
usurios utilizam a identidade federada para publicar e consumir contedo protegido por direitos.
7-9
Como prtica recomendada, voc no deve implantar o AD RMS em um controlador de domnio. Voc
pode implantar o AD RMS somente em um controlador de domnio se a conta de servio for membro
do grupo Admins. do Domnio.
2.
3.
Conta de servio. A Microsoft recomenda usar uma conta de usurio de domnio padro com
permisses adicionais. Voc pode usar uma conta de servio gerenciada como a conta de servio
do AD RMS.
4.
5.
Armazenamento de chave do cluster. Escolha onde a chave do cluster ser armazenada. Voc pode
armazen-la no AD RMS ou usar um provedor de servio criptogrfico especial (CSP). Se voc optar
por usar um CSP e quiser adicionar mais servidores, dever distribuir a chave manualmente.
6.
Senha da chave de cluster. Essa senha criptografa a chave do cluster e necessria para ingressar
em outros servidores AD RMS do cluster, ou se quiser restaurar o cluster a partir do backup.
7.
Site do cluster. Escolha qual site do servidor local hospedar o site do cluster do AD RMS.
8.
Endereo do cluster. Especifique o nome de domnio totalmente qualificado (FQDN) a ser usado com
o cluster. Voc tem a opo de escolher entre um site criptografado pelo SSL e um no criptografado
pelo SSL. Se voc escolher um site no criptografado pelo SSL, no poder adicionar suporte para
federao de identidade. Quando voc definir o endereo e a porta do cluster, no poder alter-los
sem remover o AD RMS completamente.
9.
Certificado de licenciante. Escolha o nome amigvel que o SLC usar. Ele deve representar a funo
do certificado.
10. Registro de pronto de conexo de servio. Escolha se o ponto de conexo de servio ser registrado
no AD DS quando o cluster do AD RMS for criado. O ponto de conexo de servio permite que
os computadores que so membros do domnio localizem o cluster do AD RMS automaticamente.
Somente os membros do grupo Administradores de Empresa podem registrar o ponto de conexo
de servio. Voc pode executar esta etapa aps a criao do cluster do AD RMS; voc no ter
de execut-la durante o processo de configurao.
Etapas da demonstrao
Configurar conta de servio
1.
Use a Central Administrativa do Active Directory para criar uma unidade organizacional chamada
Contas de Servio no domnio adatum.com.
2.
Crie uma nova conta de usurio na unidade organizacional Contas de Servio com as seguintes
propriedades:
o
Nome: ADRMSSVC
Senha: Pa$$w0rd
Preparar o DNS
Use o console do Gerenciador DNS para criar um registro de recurso de host (A) na zona adatum.com
com as seguintes propriedades:
o
Nome: adrms
2.
Use o Assistente de Adio de Funes e Recursos para adicionar a funo AD RMS a LON-SVR1
usando a seguinte opo:
o
Configurar o AD RMS
1.
2.
3.
Porta: 80
Saia de LON-SVR1.
Observao: Voc deve sair antes de poder gerenciar o AD RMS.
7-11
O software cliente AD RMS est disponvel para download para computadores que executam os sistemas
operacionais Microsoft Windows XP e Mac OS X. Esse software cliente deve ser instalado para que os
usurios desses sistemas operacionais possam consumir e publicar o contedo protegido pelo AD RMS.
O AD RMS requer aplicativos compatveis. Os aplicativos de servidor que oferecem suporte ao AD RMS
incluem o seguinte:
Os aplicativos cliente, como os includos no Microsoft Office 2003, Office 2007, Office 2010 e Office 2013,
podem publicar e consumir contedo protegido pelo AD RMS. Voc pode usar o SDK do AD RMS para
criar aplicativos que podem publicar e consumir contedo protegido pelo AD RMS. O Visualizador XPS
e o Windows Internet Explorer tambm podem exibir contedo protegido pelo AD RMS.
Observao: A Microsoft liberou a nova verso do software cliente AD RMS AD RMS
Client 2.0. possvel baix-lo do Centro de Download da Microsoft. Entre outras coisas, a
nova verso fornece um novo SDK que voc tambm pode baixar do Centro de Download
da Microsoft. O novo SDK do AD RMS fornece um mecanismo simples para desenvolvedores
criarem aplicativos e solues que protegem e consomem contedo importante. Com o novo
SDK, agora possvel habilitar com direitos aplicativos e solues com muito mais rapidez
e facilidade do que nunca.
Se voc precisar compartilhar seu contedo protegido pelo RMS fora de sua organizao, dever adquirir
uma Licena de Conector Externo do RMS. Essa licena concede s organizaes o direito de permitir
um nmero ilimitado de usurios externos a acessar ou usar uma cpia individual licenciada do software
servidor RMS sem precisar adquirir CALs para cada usurio externo.
7-13
Quando voc estiver executando a recuperao da funo AD RMS, talvez seja necessrio excluir o objeto
ServiceConnectionPoint do AD DS. Voc precisar fazer isso se estiver recuperando um servidor
de configurao raiz do AD RMS e o servidor tentar se autoprovisionar como servidor somente
de licenciamento.
1.
Entre no servidor que est hospedando o AD RMS e que voc deseja encerrar.
2.
3.
4.
5.
Clique em Encerrar.
6.
Quando for solicitada a confirmao de que deseja encerrar o servidor, clique em Sim.
Depois que o processo de encerramento do AD RMS estiver concludo, voc deve exportar o certificado
de licenciante de servidor antes de desinstalar a funo AD RMS.
Lio 3
7-15
O AD RMS usa modelos de poltica de direitos para impor um conjunto consistente de polticas para
proteger o contedo. Ao configurar o AD RMS, voc precisa desenvolver estratgias para garantir que
os usurios ainda possam acessar o contedo protegido de um computador que no esteja conectado
ao cluster do AD RMS. Voc tambm precisa desenvolver estratgias para impedir que alguns usurios
acessem contedo protegido pelo AD RMS, e estratgias para garantir que o contedo protegido possa
ser recuperado caso tenha expirado, o modelo tenha sido excludo ou se o autor do contedo no estiver
mais disponvel.
Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:
Explicar como implementar estratgias para garantir que modelos de poltica de direitos estejam
disponveis para uso offline.
O autor de um documento pode optar por proteger o contedo aplicando um modelo existente. Isso
feito usando um aplicativo que reconhece o AD RMS. Por exemplo, no Office Word, voc aplica um
modelo usando a funo Proteger Documento. Quando voc faz isso, Office Word consulta o AD DS
para determinar o local do servidor AD RMS. Quando o local do servidor AD RMS adquirido, os modelos
disponveis ao autor do contedo podem ser usados.
Os modelos do AD RMS oferecem suporte aos seguintes direitos:
Controle Total. Fornece ao usurio controle total sobre um documento protegido pelo AD RMS.
Salvar. Permite que o usurio use a funo Salvar com um documento protegido pelo AD RMS.
Exportar (Salvar como). Permite que o usurio use a funo Salvar como com um documento
protegido pelo AD RMS.
Encaminhar. Usado com o Exchange Server. Permite que o destinatrio de uma mensagem protegida
pelo AD RMS encaminhe essa mensagem.
Responder. Usado com o Exchange Server. Permite que o destinatrio de uma mensagem protegida
pelo AD RMS responda a essa mensagem.
Responder a Todos. Usado com o Exchange Server. Permite que o destinatrio de uma mensagem
protegida pelo AD RMS use a funo Responder a Todos para responder a essa mensagem.
Extrair. Permite que o usurio copie dados do arquivo. Se esse direito no for concedido, o usurio
no poder copiar dados do arquivo.
Direitos podem ser apenas concedidos e no podem ser negados explicitamente. Por exemplo, para
garantir que um usurio no possa imprimir um documento, o modelo associado ao documento no
deve incluir o direito Imprimir.
Os administradores tambm podem criar direitos personalizados que possam ser usados com aplicativos
personalizados que reconheam o AD RMS.
Os modelos do AD RMS tambm podem ser usados para configurar documentos com as seguintes
propriedades:
Expirao da licena de uso. Determina o perodo em que a licena de uso ir expirar e uma
nova dever ser adquirida.
Solicitar uma nova licena de uso sempre que o contedo for consumido. Quando voc
habilita essa opo, o cache do cliente desabilitado. Isso significa que o documento no pode
ser consumido quando o computador estiver offline.
Polticas de revogao. Permite o uso de uma lista de revogao. Isso permite que um autor
revogue a permisso para consumir o contedo. Voc pode especificar com que frequncia
a lista de revogao verificada, com o padro sendo uma vez a cada 24 horas.
7-17
Nesta demonstrao, voc ver como criar um modelo de poltica de direitos que permita que os usurios
vejam um documento, mas no executem outras aes.
Etapas da demonstrao
No console do Active Directory Rights Management Services, use o n Modelo de Poltica de Direitos
para criar um modelo de poltica de direitos distribudos com as seguintes propriedades:
o
Nome: ReadOnly
Solicitar uma nova licena de uso sempre que o contedo for consumido (desabilitar cache
no lado do cliente): Habilitado
Windows 7
Windows 8
7-19
Quando os computadores que executam esses sistemas operacionais estiverem conectados ao domnio, o
cliente AD RMS busca no cluster do AD RMS por novos modelos ou atualizaes para modelos existentes.
Como alternativa para a distribuio de modelos, voc tambm pode usar pastas compartilhadas como
armazenamento para modelos. Voc pode configurar uma pasta compartilhada para modelos executando
as seguintes etapas:
1.
No console do Active Directory Rights Management Services, clique com o boto direito do mouse
no n Modelos de Poltica de Direitos e clique em Propriedades.
2.
Excluso de Usurio
A poltica Excluso de Usurio permite configurar
o AD RMS para que contas de usurio especficas
que so identificadas com base nos endereos
de email no possam obter licenas de uso.
Voc faz isso adicionando o RAC de cada usurio
lista de excluso. A Excluso de Usurio
desabilitada por padro. Uma vez habilitada
a Excluso de Usurio, pode excluir RACs
especficos.
Voc pode usar a Excluso de Usurio caso precise impedir o acesso de um usurio especfico ao
contedo protegido pelo AD RMS. Por exemplo, quando os usurios saem da organizao, voc pode
excluir seus RACs para garantir que eles no possam acessar o contedo protegido. Voc pode bloquear
os RACs atribudos a usurios internos e externos.
Execuo de Aplicativo
A poltica Excluso de Aplicativo permite impedir que aplicativos especficos como Office PowerPoint
criem ou consumam o contedo protegido pelo AD RMS. Voc especifica aplicativos com base em
nomes executveis. Voc tambm especifica uma verso mnima e mxima do aplicativo. A Excluso
de Aplicativo desabilitada por padro.
Observao: possvel burlar a Excluso de Aplicativo renomeando um arquivo executvel.
Excluso de Lockbox
A poltica Excluso de Lockbox permite excluir clientes AD RMS, como aqueles usados com sistemas
operacionais especficos, como Windows XP e Windows Vista. A Excluso de Verso de Lockbox
desabilitada por padro. Uma vez habilitada a Excluso de Verso de Lockbox, voc deve especificar
a verso de lockbox mnima que pode ser usada com o cluster do AD RMS.
Leitura adicional: Para saber mais sobre como habilitar polticas de excluso, consulte
Habilitando polticas de excluso em http://go.microsoft.com/fwlink/?LinkId=270031.
Etapas da demonstrao
1.
2.
7-21
Os membros do grupo de superusurios recebem licenas de uso de proprietrio para todo o contedo
protegido pelo cluster do AD RMS no qual esse grupo de superusurios especfico est habilitado.
Os membros do grupo de superusurios pode redefinir a senha de chave privada do servidor AD RMS.
Como os membros do grupo de superusurios podem acessar qualquer contedo protegido pelo
AD RMS, voc deve ter cuidado principalmente quando estiver gerenciando a associao desse grupo.
Se voc optar por usar o grupo de superusurios do AD RMS, dever considerar a implementao
da poltica de grupos restritos e da auditoria para limitar a associao ao grupo, e auditar qualquer
alterao realizada. A atividade dos superusurios gravada no log de eventos do aplicativo.
O grupo de superusurios desabilitado por padro. Voc habilita o grupo de superusurios executando
as seguintes etapas:
1.
2.
3.
2.
Lio 4
Voc pode considerar necessrio fornecer aos usurios que no fazem parte da organizao o acesso
ao contedo protegido pelo AD RMS. Essa poderia ser uma situao onde um usurio externo um
prestador de servios que precisa de acesso a materiais confidenciais, ou uma organizao parceira
onde seus usurios precisam acessar o contedo protegido publicado pelo servidor AD RMS. O AD RMS
prov vrias opes diferentes para conceder acesso ao contedo protegido para usurios externos.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever as opes disponveis para tornar o contedo protegido pelo AD RMS acessvel
para usurios externos.
Descrever as etapas necessrias para configurar o AD RMS para compartilhar contedo protegido
com usurios que tenham Windows Live IDs.
Determinar a soluo apropriada para compartilhar contedo protegido pelo AD RMS com usurios
externos.
Confiana de Federao
A Confiana de Federao fornece logon nico (SSO) para tecnologias de parceiros. Os parceiros
federados podem consumir o contedo protegido pelo AD RMS sem implantar sua prpria
infraestrutura do AD RMS. A Confiabilidade de Federao a implantao do AD FS.
7-23
Voc pode usar o Windows Live ID para permitir que usurios autnomos com contas Windows Live ID
consumam o contedo protegido pelo AD RMS gerado por usurios em sua organizao. No entanto,
usurios do Windows Live ID no podem criar contedo protegido pelo cluster do AD RMS.
O Microsoft Federation Gateway permite que um cluster do AD RMS processe solicitaes para publicar
e consumir o contedo protegido pelo AD RMS de organizaes externas, aceitando tokens de
autenticao baseados em declaraes do Microsoft Federation Gateway. Em vez de configurar uma
Confiana de Federao, cada organizao tem uma relao com o Microsoft Federation Gateway.
O Microsoft Federation Gateway atua como um agente de confiana.
Leitura adicional: Para saber mais sobre as polticas de confiana do AD RMS,
consulte http://go.microsoft.com/fwlink/?LinkId=270032.
Implementao de TUD
O TUD permite que o AD RMS atenda
solicitaes de usurios que tm RACs
emitidas por diferentes implantaes
do AD RMS. Voc pode usar excluses
com cada TUD para bloquear o acesso
a usurios e grupos especficos.
Para configurar o AD RMS para oferecer suporte
s solicitaes de servios de usurios com RACs
emitidas por diferentes implantaes do AD RMS,
adicione a organizao lista de TUDs. Os TUDs
podem ser unidirecionais, onde a organizao
A um TUD da organizao B, ou bidirecionais,
onde a organizao A e a organizao B so TUDs uma da outra. Em implantaes unidirecionais,
possvel que os usurios do TUD consumam o contedo da implantao local do AD RMS, mas
eles no podem publicar contedo protegido pelo AD RMS usando o cluster local do AD RMS.
Voc precisa habilitar o acesso annimo ao servio de licenciamento do AD RMS nos Servios
de Informaes da Internet (IIS) ao usar TUD. Isso porque, por padro, acessar o servio requer
a autenticao usando a Autenticao Integrada do Windows.
O TUD da implantao do AD RMS em que voc deseja confiar j deve ter sido exportado
e o arquivo deve estar disponvel. (Os arquivos TUD usam a extenso .bin.)
2.
3.
4.
Na caixa de dilogo Domnio de Usurio Confivel, digite o caminho para o arquivo TUD
exportado com a extenso .bin.
5.
Fornea um nome para identificar esse TUD. Se voc configurou a federao, tambm poder
optar por estender a confiana a usurios federados do servidor importado.
Voc tambm pode usar o cmdlet Import-RmsTUD do Windows PowerShell, que faz parte do
mdulo ADRMSADMIN do Windows PowerShell, para adicionar um TUD.
Para exportar um TUD, execute as seguintes etapas:
1.
2.
3.
Voc tambm pode usar o cmdlet Export-RmsTUD do Windows PowerShell para exportar um TUD
do servidor AD RMS.
Implementao de TPD
Voc pode usar TPD para configurar uma
relao de confiana entre duas implantaes
do AD RMS. Um TDP do AD RMS, que uma
implantao local do AD RMS pode conceder
licenas de usurio final para contedo publicado
usando a implantao do AD RMS do domnio de
publicao confivel. Por exemplo, a Contoso,
Ltd e a A. Datum Corporation so definidas
como parceiras de TPD. O TPD permite que
os usurios da implantao do AD RMS da
Contoso consumam o contedo publicado usando
a implantao do AD RMS da A. Datum, usando
licenas de usurio final concedidas pela implantao do AD RMS da Contoso.
Voc pode remover um TPD a qualquer momento. Quando voc fizer isso, os clientes da implantao
remota do AD RMS no podero emitir licenas de usurio final para acessar o contedo protegido
por seu cluster do AD RMS.
Durante a configurao de um TPD, voc importa o SLC de outro cluster do AD RMS. TPDs
so armazenados no formato .xml e protegidos por senhas.
2.
No painel Resultados, clique no certificado do domnio do AD RMS que voc deseja exportar
e, no painel Aes, clique em Exportar Domnio de Publicao Confivel.
3.
7-25
Durante a exportao de um TPD, voc poder salv-lo como um arquivo TPD compatvel com V1. Isso
permite que o TPD seja importado para organizaes que estejam usando clusters do AD RMS em verses
anteriores do sistema operacional Windows Server, como a verso disponvel no Windows Server 2003.
Voc tambm pode usar o cmdlet Export-RmsTPD do Windows PowerShell para exportar um TPD.
Para importar um TPD, execute as seguintes etapas:
1.
2.
3.
Especifique o caminho do arquivo do Domnio de Publicao Confivel que voc deseja importar.
4.
Digite a senha para abrir o arquivo do Domnio de Publicao Confivel e digite um nome para
exibio que identifique o TPD.
Voc tambm pode usar o cmdlet Import-RmsTPD do Windows PowerShell para importar um TPD.
Leitura adicional: Para saber mais sobre como importar TPDs, consulte Adicionar
um domnio de publicao confivel em http://go.microsoft.com/fwlink/?LinkId=270033.
2.
Para excluir domnios de email especficos do Windows Live ID, clique com o boto direito do mouse no
certificado do Windows Live ID, clique em Propriedades e clique na guia Windows Live IDs Excludos.
Voc pode digitar as contas Windows Live ID que deseja excluir da capacidade de obter RACs.
Para permitir que os usurios com contas Windows Live ID obtenham RACs de seu cluster do AD RMS,
voc precisa configurar o IIS para oferecer suporte ao acesso annimo. Para isso, execute estas etapas:
1.
2.
3.
4.
5.
Leitura adicional: Para saber mais sobre como usar o Windows Live ID para estabelecer
RACs para usurios, consulte http://go.microsoft.com/fwlink/?LinkId=270034.
A organizao do usurio externo estabeleceu uma relao com o Microsoft Federation Gateway?
O usurio externo precisa publicar contedo protegido pelo AD RMS que acessvel a titulares
de RAC internos?
possvel que as organizaes possam usar uma soluo antes de recorrer a outra. Por exemplo,
durante as fases iniciais, apenas um nmero pequeno de usurios externos pode exigir acesso ao
contedo protegido pelo AD RMS. Nesse caso, usar contas Windows Live ID para RACs pode ser
apropriado. Quando nmeros maiores de usurios externos de uma nica organizao exigem
acesso, uma soluo diferente pode ser apropriada. O benefcio financeiro que uma soluo
traz a uma organizao deve exceder o custo da implementao dessa soluo.
7-27
Objetivos
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-MUN-DC1
24412B-MUN-CL1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
2.
3.
2.
Use a Central Administrativa do Active Directory para criar uma UO chamada Contas de Servio
no domnio adatum.com.
3.
Crie uma nova conta de usurio na unidade organizacional Contas de Servio com as seguintes
propriedades:
o
Nome: ADRMSSVC
Senha: Pa$$w0rd
4.
5.
Crie um novo grupo de segurana global no continer Usurios chamado Executivos. Defina
o endereo de email desse grupo como executivos@adatum.com.
6.
7.
Use o console do Gerenciador DNS para criar um registro de recurso de host (A) na zona adatum.com
com as seguintes propriedades:
o
Nome: adrms
1.
2.
Use o Assistente de Adio de Funes e Recursos para adicionar a funo Active Directory Rights
Management Services a LON-SVR1 usando a seguinte opo:
o
3.
4.
Porta: 80
5.
6.
Saia de LON-SVR1.
Observao: Voc deve sair antes de poder gerenciar o AD RMS. Este laboratrio usa a
porta 80 por convenincia. Em ambientes de produo, voc protegeria o AD RMS usando
uma conexo criptografada.
2.
3.
4.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o AD RMS.
7-29
2.
3.
Nome: ReadOnly
Solicitar uma nova licena de uso: sempre que o contedo for consumido (desabilitar cache
no lado do cliente)
2.
No console do Active Directory Rights Management Services, defina o local do arquivo Modelos
de Poltica de Direitos como \\LON-SVR1\RMSTEMPLATES.
3.
2.
Resultados: Depois de concluir este exerccio, voc ter configurado modelos do AD RMS.
2.
3.
4.
7-31
2.
Use o console do Active Directory Rights Management Services para exportar a poltica TUD
para o compartilhamento \\LON-SVR1\export como ADATUM-TUD.bin.
3.
4.
5.
6.
2.
Use o console do Active Directory Rights Management Services para exportar a poltica TPD para
o compartilhamento \\LON-SVR1\export como ADATUM-TPD.xml. Proteja esse arquivo usando
a senha Pa$$w0rd.
3.
4.
Use o console do Active Directory Rights Management Services para exportar a poltica TPD para
o compartilhamento \\LON-SVR1\export como TREYRESEARCH-TPD.xml. Proteja esse arquivo
usando a senha Pa$$w0rd.
2.
3.
4.
1.
2.
3.
4.
Resultados: Depois de concluir este exerccio, voc ter implementado as polticas de confiana
do AD RMS.
2.
3.
4.
Abrir e editar o documento protegido por direitos como usurio autorizado na Trey Research.
2.
3.
4.
5.
6.
7.
Saia de LON-CL1.
2.
3.
4.
5.
6.
Clique com o boto direito do mouse do mouse na linha de texto. Verifique que voc no
pode modificar esse texto.
7.
8.
Saia de LON-CL1.
2.
3.
4.
Saia de LON-CL1.
7-33
Tarefa 4: Abrir e editar o documento protegido por direitos como usurio autorizado
na Trey Research
1.
2.
3.
4.
5.
6.
7.
8.
9.
Tente abrir o documento. Quando solicitado, digite as credenciais a seguir, marque a caixa
de seleo Lembrar minhas credenciais e clique em OK:
o
Senha: Pa$$w0rd
10. Verifique que voc pode abrir o documento, mas no pode fazer modificaes nele.
11. Veja as permisses que a conta april@treyresearch.com tem para o documento.
Resultados: Depois de concluir este exerccio, voc ter verificado que a implantao do AD RMS
foi bem-sucedida.
2.
3.
4.
Prtica recomendada:
7-35
Antes de implantar o AD RMS, voc deve analisar os requisitos comerciais de sua organizao e criar
os modelos necessrios. Voc deve se reunir com os usurios para inform-los da funcionalidade
do AD RMS e tambm solicitar comentrios sobre os tipos de modelos que eles gostariam de ter
disposio.
Controle estritamente a associao do grupo Superusurios. Os usurios desse grupo podem acessar
todo o contedo protegido. Conceder a associao desse grupo ao usurio d a ele completo acesso
a todo o contedo protegido pelo AD RMS.
Mdulo 8
Implementao dos Servios de Federao
do Active Directory
Contedo:
Viso geral do mdulo
8-1
8-2
Lio 2: Implantao do AD FS
8-12
8-20
8-27
8-34
8-44
Os Servios de Federao do Active Directory (AD FS) no Windows Server 2012 oferecem flexibilidade
para as organizaes que desejam permitir que seus usurios faam logon em aplicativos que podem
estar localizados na rede local, em uma empresa parceira ou em um servio online. Com o AD FS, uma
organizao pode gerenciar suas prprias contas de usurio e os usurios precisam lembrar apenas
de um conjunto de credenciais. Porm, essas credenciais podem ser usadas para fornecer acesso
a uma variedade de aplicativos que podem estar localizados em diversos locais.
Este mdulo apresenta uma viso geral do AD FS e detalha como configurar o AD FS em um cenrio
de organizao nica e em um cenrio de organizao do parceiro.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Descrever o AD FS.
Lio 1
Viso geral do AD FS
8-2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o AD FS.
Explicar como o AD FS permite logon nico (SSO) dentro de uma organizao nica.
8-3
Como parte da relao de confiana federada, cada parceiro define quais recursos esto acessveis
outra organizao e como o acesso aos recursos habilitado. Por exemplo, para atualizar uma previso
de vendas, um representante de vendas talvez precise coletar informaes do banco de dados de um
fornecedor hospedado na rede do fornecedor. O administrador do domnio para o representante de
vendas responsvel por assegurar que os representantes de vendas apropriados sejam membros do
grupo que requer acesso ao banco de dados do fornecedor. O administrador da organizao onde o
banco de dados est localizado responsvel por assegurar que os funcionrios do parceiro tenham
acesso apenas aos dados de que necessitam.
Em uma soluo de federao de identidade, as identidades de usurio e suas credenciais associadas
so armazenadas, pertencentes e gerenciadas pela organizao onde o usurio est localizado. Como
parte da relao de confiana de federao de identidade, cada organizao define tambm como as
identidades de usurio so compartilhadas com segurana para restringir o acesso aos recursos. Cada
parceiro deve definir os servios que torna disponveis para parceiros e clientes confiveis e em quais
outras organizaes e usurios confia. Cada parceiro tambm deve definir que tipos de credenciais e
solicitaes aceita e suas polticas de privacidade para assegurar que informaes privadas no fiquem
acessveis na relao de confiana.
Voc tambm pode usar a federao de identidade dentro de uma organizao nica. Por exemplo,
uma organizao pode planejar implantar vrios aplicativos baseados na Web que requerem
autenticao. Usando o AD FS, a organizao pode implementar uma soluo de autenticao para
todos os aplicativos, facilitando o acesso ao aplicativo para os usurios em vrios domnios internos ou
florestas. Voc tambm pode estender a soluo a parceiros externos no futuro, sem alterar o aplicativo.
O problema com esse tipo de autenticao que ela no se estende facilmente para fora dos limites da
floresta do AD DS. Embora seja possvel implementar a autenticao Kerberos ou relaes de confiana
baseadas em NTLM entre duas florestas do AD DS, os computadores cliente e os controladores de
domnio em ambos os lados da relao de confiana devem se comunicar com os controladores de
domnio na outra floresta para tomar decises sobre autenticao e autorizao. Essa comunicao
requer trfego de rede que enviado em vrias portas, portanto, essas portas devem estar abertas
em todos os firewalls entre os controladores de domnio e outros computadores. O problema fica
ainda mais complicado quando os usurios tm acesso a recursos hospedados em sistemas baseados
na nuvem, como o Windows Azure ou o Microsoft Office 365.
8-4
A declarao usada na autenticao baseada em declaraes uma instruo sobre um usurio definido
em uma organizao ou tecnologia e na qual outra organizao ou tecnologia confia. A declarao
pode incluir vrias informaes. Por exemplo, a declarao pode definir o endereo de email do usurio,
o nome UPN e informaes sobre grupos especficos aos quais o usurio pertence. Essas informaes
so coletadas do mecanismo de autenticao quando o usurio autenticado com xito.
A organizao que gerencia o aplicativo define quais tipos de declaraes sero aceitados pelo aplicativo.
Por exemplo, o aplicativo pode exigir o endereo de email do usurio para verificar a identidade
do usurio e, em seguida, pode usar a associao de grupo apresentada dentro da declarao
para determinar qual nvel de acesso o usurio deve ter dentro do aplicativo.
A maioria dos servios Web usa o XML para transmitir dados por HTTP(S). Com o XML, os
desenvolvedores podem criar suas prprias marcas personalizadas, facilitando a definio,
a transmisso, a validao e a interpretao de dados entre aplicativos e entre organizaes.
Os servios Web expem funcionalidade til a usurios da Web por meio de um protocolo da
Web padro. Na maioria dos casos, o protocolo usado o SOAP, que o protocolo de comunicao
para servios Web XML. O SOAP uma especificao que define o formato XML para mensagens
e, basicamente, descreve a aparncia de um documento XML vlido.
Os servios Web so registrados de forma que usurios potenciais possam localiz-los facilmente.
Isso feito com UDDI. Uma entrada de diretrio UDDI um arquivo XML que descreve uma
empresa e os servios que ela oferece.
8-5
WS-Trust. O WS-Trust define as extenses criadas com base no WS-Security para solicitar e emitir
tokens de segurana e gerenciar relaes de confiana.
WS-Federation. O WS-Federation define mecanismos que o WS-Security pode usar para habilitar
a identidade baseada em atributo, a autenticao e a federao de autorizao em realms
de confiana diferentes.
Perfil de solicitante passivo de WS-Federation. Essa extenso do WS-Security descreve como clientes
passivos, como navegadores da Web, podem adquirir tokens de um servidor de Federao e como
os clientes podem enviar tokens a um servidor de Federao. Os solicitantes passivos desse perfil
so limitados ao protocolo HTTP ou HTTPS.
O SAML (Security Assertion Markup Language) um padro baseado em XML para a troca de declaraes
entre um provedor de identidade e um provedor de servio ou aplicativo. O SAML pressupe que um
usurio foi autenticado por um provedor de identidade e que o provedor de identidade preencheu
as informaes de declarao apropriadas no token de segurana. Quando o usurio autenticado,
o provedor de identidade transmite uma assero de SAML ao provedor de servios. Com base nesta
assero, o provedor de servios pode tomar decises de autorizao e personalizao dentro de
um aplicativo. A comunicao entre servidores de federao se baseia em um documento XML
que armazena o certificado X.509 para assinatura de token e o token SAML 1.1 ou SAML 2.0.
O que o AD FS?
AD FS a implementao da Microsoft de uma
soluo de federao de identidade que usa
autenticao baseada em declaraes. O AD FS
fornece os mecanismos para implementar tanto os
componentes do provedor de identidade quanto
do provedor de servios em uma implantao de
federao de identidade.
O AD FS oferece os seguintes recursos:
8-6
Provedor de Servio de Federao para federao de identidade entre domnios. Esse servio oferece
SSO da Web federado entre domnios, aprimorando a segurana e reduzindo a sobrecarga para
administradores e TI.
Recursos do AD FS
Alguns dos recursos chave do AD FS so mostrados a seguir:
SSO da Web. Muitas organizaes implantaram o AD FS. Aps a autenticao para o AD DS por
meio da autenticao Integrada do Windows, os usurios podem acessar todos os outros recursos
que tm permisso para acessar dentro dos limites da floresta do AD DS. O AD FS estende esse
recurso para aplicativos voltados para intranet ou Internet, permitindo que os clientes, os parceiros
e os fornecedores tenham uma experincia de usurio semelhante e simplificada quando acessam
os aplicativos Web de uma organizao.
8-7
Suporte a cliente passivo e inteligente. Como o AD FS se baseia na arquitetura WS-*, ele oferece
suporte a comunicaes federadas entre qualquer ponto de extremidade habilitado para WS,
incluindo comunicaes entre servidores e clientes passivos, como navegadores. O AD FS no
Windows Server 2012 tambm permite o acesso para clientes inteligentes baseados no SOAP,
como servidores, celulares, PDAs (assistentes pessoais digitais) e aplicativos de rea de trabalho.
O AD FS implementa o Perfil de Solicitante Passivo de WS-Federation e alguns dos padres
do Perfil de Solicitante Ativo de WS-Federation para suporte ao cliente.
Arquitetura extensvel. O AD FS fornece uma arquitetura extensvel que oferece suporte a vrios
tipos de token de segurana, inclusive tokens SAML e autenticao Kerberos pela autenticao
Integrada do Windows e a capacidade para executar transformaes de declaraes personalizadas.
Por exemplo, o AD FS pode converter de um tipo de token em outro ou adicionar lgica corporativa
personalizada como uma varivel em uma solicitao de acesso. As organizaes podem usar esta
extensibilidade para modificar o AD FS para coexistir com a infraestrutura de segurana atual
e polticas comerciais.
Integrao com o sistema operacional Windows Server 2012. No Windows Server 2012, o AD FS
foi includo como uma funo de servidor que voc pode instalar usando o Gerenciador do Servidor.
Quando voc instalar a funo de servidor, todos os componentes necessrios do sistema operacional
sero instalados automaticamente.
Integrao com Controle de Acesso Dinmico. Quando voc implantar o Controle de Acesso
Dinmico, poder configurar as declaraes de usurio e dispositivo emitidas por meio de
controladores de domnio AD FS. O AD FS pode consumir declaraes do AD DS emitidas pelos
controladores de domnio. Isso significa que o AD FS pode tomar decises de autorizao com
base nas contas de usurio e contas de computador.
Cmdlets do Windows PowerShell para administrao do AD FS. O Windows Server 2012 fornece
vrios novos cmdlets do Windows PowerShell que voc pode usar para instalar e configurar
a funo de servidor AD FS.
8-8
Organizaes grandes frequentemente tm vrios domnios e florestas que podem ser os resultados
de fuses e aquisies ou podem se dever a requisitos de segurana. Os usurios em vrias florestas
podem requerer acesso aos mesmos aplicativos.
Os usurios de fora do escritrio talvez precisem de acesso a aplicativos que esto sendo executados
em servidores internos. Os usurios externos talvez estejam fazendo logon nos aplicativos de
computadores que no fazem parte do domnio interno.
1.
O computador cliente, localizado fora da rede, deve acessar um aplicativo baseado na Web
no servidor Web. O computador cliente envia uma solicitao de HTTPS ao servidor Web.
2.
O servidor Web recebe a solicitao e identifica se o computador cliente no tem uma declarao.
O servidor Web redireciona o computador cliente ao Proxy do Servio de Federao.
3.
4.
5.
6.
7.
8.
Em seguida, o cliente apresenta o token ao servidor Web. O recurso da Web recebe a solicitao,
valida os tokens assinados e usa as declaraes no token do usurio para fornecer acesso
ao aplicativo.
8-9
Um usurio na Trey Research usa um navegador da Web para estabelecer uma conexo HTTPS
com o servidor Web na A. Datum Corporation.
2.
O aplicativo Web recebe a solicitao e verifica se o usurio no tem um token vlido armazenado
em um cookie pelo navegador Web. Como o usurio no foi autenticado, o aplicativo Web
redireciona o cliente ao servidor de federao na A. Datum (usando uma mensagem de
redirecionamento HTTP 302).
3.
4.
5.
O computador cliente envia uma solicitao de HTTPS ao servidor de federao de Trey Research.
6.
Se o usurio j for feito logon no domnio, o servidor de federao poder usar o tquete de
autenticao Kerberos do usurio para solicitar autenticao do AD DS em nome do usurio,
usando a autenticao Integrada do Windows. Se o usurio no tiver feito logon no domnio,
ele receber uma solicitao para informar suas credenciais.
7.
8.
O servidor de federao cria a declarao para o usurio com base nas regras definidas para o
parceiro de federao. Os dados de declaraes so colocados em um token de segurana assinado
digitalmente e enviados ao computador cliente que os publica novamente no servidor de federao
da A. Datum Corporation.
9.
10. O servidor de federao da A. Datum Corporation cria e assina um novo token que, em seguida,
envia ao computador cliente e que por sua vez manda de volta o token URL original solicitada.
11. O aplicativo no servidor Web recebe a solicitao e valida os tokens assinados. O servidor Web emite
para o cliente um cookie de sesso que indica que foi autenticado com xito e um cookie persistente
baseado em arquivo emitido pelo servidor de federao (bom durante 30 dias por padro) para
eliminar a etapa de descoberta de realm inicial durante a vida til do cookie. Em seguida, o servidor
fornece acesso ento ao aplicativo, com base nas declaraes fornecidas pelo usurio.
8-11
O AD FS tambm pode fornecer SSO para provedores de nuvem no Microsoft. Como o AD FS se baseia
em padres abertos, ele pode interoperar com qualquer sistema baseado em declaraes compatvel.
O processo para acessar um aplicativo baseado na nuvem bastante semelhante ao cenrio de B2B.
Um exemplo de um servio baseado na nuvem que usa o AD FS para autenticao uma implantao
do Exchange Online hbrida. Nesse tipo de implantao, uma organizao implanta algumas ou todas
as caixas de correio em um ambiente do Microsoft Office 365 e Exchange Online. Porm, a organizao
gerencia todas as contas de usurio no ambiente do AD DS no local. A implantao usa a Ferramenta
de Sincronizao de Diretrios do Microsoft Online Services para sincronizar informaes de conta
do usurio da implantao no local para a implantao do Exchange Online.
Quando os usurios tentam fazer logon na caixa de correio do Exchange Online, eles precisam ser
autenticados com o uso de suas credenciais do AD DS internas. Se os usurios tentarem fazer logon
diretamente no ambiente do Exchange Online, eles sero redirecionados novamente para a implantao
interna do AD FS para autenticao antes de receberem acesso.
As etapas a seguir descrevem o que acontece quando um usurio tenta acessar a caixa de correio
online usando um navegador da Web:
1.
2.
O servidor do Outlook Web App recebe a solicitao e verifica se o usurio faz parte de
uma implantao do Exchange Server hbrida. Se esse for o caso, o servidor redirecionar
o computador cliente ao servidor de federao do Microsoft Online Services.
3.
4.
5.
6.
Se o usurio j for feito logon no domnio, o servidor de federao no local poder usar o tquete
de autenticao Kerberos do usurio e solicitar autenticao do AD DS em nome do usurio, usando
a autenticao Integrada do Windows. Se o usurio estiver fazendo logon de fora da rede ou de um
computador que no seja um membro do domnio interno, o usurio receber uma solicitao para
informar as credenciais.
7.
8.
O servidor de federao cria a declarao para o usurio com base nas regras definidas durante
a configurao do servidor do AD FS. Os dados de declaraes so colocados em um token de
segurana assinado digitalmente e enviados ao computador cliente que os publica novamente
no servidor de federao do Microsoft Online Services.
9.
10. O servidor de federao do Microsoft Online Services cria e assina um novo token que, em
seguida, envia ao computador cliente e que por sua vez manda de volta o token ao servidor
do Outlook Web App.
11. O servidor do Outlook Web App recebe a solicitao e valida os tokens assinados. O servidor emite
para o cliente um cookie de sesso que indica que foi autenticado com xito. Em seguida, o usurio
recebe acesso caixa de correio do Exchange Server.
Lio 2
Implantao do AD FS
Depois que voc entender como o AD FS funciona, a prxima etapa ser a implantao do servio. Antes
de implantar o AD FS, voc deve entender os componentes que precisar implantar e os pr-requisitos
que dever cumprir, particularmente com certificados. Esta lio apresenta uma viso geral da
implantao da funo de servidor do AD FS no Windows Server 2012.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Componentes do AD FS
O AD FS instalado como uma funo de servidor
no Windows Server 2012. No entanto, h muitos
componentes diferentes que voc pode instalar
e configurar em uma implantao do AD FS.
A tabela a seguir lista os componentes do AD FS.
Componente
Servidor de federao
Proxy do servidor
de federao
Declaraes
Uma declarao uma instruo feita por uma entidade confivel sobre
um objeto como um usurio. A declarao pode incluir o nome do usurio,
o cargo ou qualquer outro fator que possa ser usado em um cenrio de
autenticao. Com o Windows Server 2012, o objeto tambm pode ser um
dispositivo usado em uma implantao de Controle de Acesso Dinmico.
(continuao)
Componente
8-13
Regras de declarao
Repositrio
de atributos
Provedor de
declaraes
Terceira parte
confivel
Relao de confiana
do provedor de
declaraes
Relao de confiana
de terceira parte
confivel
Certificados
Pontos de
extremidade
Pr-requisitos do AD FS
Antes de implantar o AD FS, voc deve
assegurar que sua rede interna atenda a
alguns pr-requisitos bsicos. A configurao
dos servios de rede seguintes essencial para
uma implantao bem-sucedida do AD FS:
Active Directory Lightweight Directory Services (AD LDS) no Windows Server 2008,
Windows Server 2008 R2 e Windows Server 2012
8-15
Pr-requisitos do sistema operacional. Voc pode implantar apenas a verso do Windows Server 2012
do AD FS como uma funo de servidor em um servidor do Windows Server 2012.
Certificado SSL
Voc usa um Certificado SSL para proteger as comunicaes com sites que esto sendo executados nos
servidores de federao e nos proxies do servidor de federao. Esse certificado est associado ao site
padro nos servidores de federao. O certificado SSL deve ser gerenciado com o uso do Gerenciador
do IIS (Servidor de Informaes da Internet).
O certificado de assinatura de token usado para assinar todos os tokens emitidos por um servidor de
federao. Esse certificado essencial em uma implantao do AD FS, pois a assinatura do token indica
qual servidor de federao emitiu o token. Esse certificado usado pelo provedor de declaraes para
se identificar e usado pela terceira parte confivel para verificar se o token est vindo de um parceiro
de federao confivel.
A terceira parte confivel tambm exige um certificado da assinatura de token para assinar os tokens
que prepara para outros componentes do AD FS, como aplicativos e clientes da Web. Esses tokens
devem ser assinados pelo certificado de assinatura de token da terceira parte confivel a ser validado
pelos aplicativos de destino.
8-17
Terceira Parte Confivel. Uma terceira parte confivel um servidor de federao que recebe tokens
de segurana de um provedor de declaraes confivel. Os servidores de federao da terceira parte
confivel so implantados nas organizaes que fornecem acesso de aplicativo a organizaes de
provedor de declaraes. A terceira parte confivel aceita e valida a declarao e emite novos tokens
de segurana que o servidor Web pode usar para fornecer o acesso apropriado ao aplicativo.
Etapas da demonstrao
Instalar a funo de servidor do AD FS
2.
8-19
Lio 3
O cenrio de implantao mais simples para AD FS est dentro de uma organizao nica. Neste cenrio,
um nico servidor do AD FS pode operar tanto como o provedor de declaraes quanto como a
terceira parte confivel. Todos os Usurios neste cenrio so internos organizao, assim como
o aplicativo que os usurios esto acessando.
Esta lio fornece detalhes sobre os componentes necessrios para configurar o AD FS em uma
implantao de organizao nica. Esses componentes incluem declaraes de configurao,
regras de declarao, provedor de declaraes e relaes de confiana de terceira parte confivel.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Tipos de declaraes
8-21
Cada declarao do AD FS tem um tipo, como endereo de email, UPN ou sobrenome. possvel emitir
declaraes baseadas em qualquer tipo de declarao definido para os usurios. Portanto, um usurio
receber uma declarao com um tipo de Sobrenome e, por exemplo, um valor de Weber. O AD FS
fornece vrios tipos de declarao internos. Opcionalmente, voc pode criar novos tipos com base
nos requisitos da organizao.
Observao: No AD FS 1.0, voc pode configurar declaraes como declaraes de
identidade, declaraes de grupo ou declaraes personalizadas. Esses tipos de declarao
no se aplicam ao AD FS 2.0 ou verses mais novas. Basicamente, todas as declaraes so
consideradas personalizadas agora.
Cada tipo de declarao do AD FS identificado por um URI que identifica exclusivamente o tipo
de declarao. Essas informaes so fornecidas como parte dos metadados do servidor do AD FS.
Por exemplo, se a organizao do provedor de declaraes e a organizao da terceira parte confivel
decidirem usar um tipo de declarao de AccountNumber, ambas as organizaes devero configurar
um tipo de declarao com esse nome. O tipo de declarao publicado e o URI do tipo de declarao
deve ser idntico em ambos os servidores do AD FS.
As declaraes emitidas por um provedor de declaraes contm as informaes necessrias pela terceira
parte confivel para habilitar acesso de aplicativo apropriado. Um das primeiras etapas no planejamento
de uma implantao do AD FS definir exatamente quais informaes os aplicativos devem ter sobre
cada usurio para fornecer acesso ao aplicativo a esse usurio. Quando essas informaes so definidas,
as declaraes so definidas ento no servidor de federao do provedor de declaraes. As informaes
necessrias para popular a declarao podem ser obtidas de vrios modos:
A declarao pode ser calculada com base nas informaes coletadas. Os servidores de federao
do provedor de declaraes tambm podem calcular as informaes com base nas informaes
obtidas de um repositrio de atributos. Por exemplo, talvez voc queira fornecer informaes
sobre o salrio de uma pessoa dentro de uma declarao. Essas informaes provavelmente so
armazenadas em um banco de dados de Recursos Humanos, mas o valor real pode ser considerado
confidencial. Voc pode definir uma declarao que categoriza salrios dentro de uma organizao
e fazer com que o servidor do AD FS calcule a qual categoria um usurio especfico pertence.
Dessa forma, a declarao inclui apenas as informaes de categoria de salrio, no o salrio
de usurio real.
Aplicar regras de autorizao para habilitar o acesso a uma terceira parte confivel especfica
para um ou mais usurios ou grupos de usurios.
Regras de declarao para uma relao de confiana de provedor de declaraes. Uma relao
de confiana de provedor de declaraes relao de confiana do AD FS que configurada
entre um servidor do AD FS e um provedor de declaraes. Voc pode configurar regras
de declarao para definir como o provedor de declaraes processa e emite declaraes.
Regras de declarao para uma relao de confiana de terceira parte confivel. Uma relao
de confiana de terceira parte confivel a relao de confiana do AD FS que configurada
entre um servidor do AD FS e uma terceira parte confivel. Voc pode configurar regras
de declarao que definem como a terceira parte confivel aceita declaraes do provedor
de declaraes.
8-23
Regras de autorizao de emisso. Essas regras definem quais usurios tm acesso permitido
ou negado terceira parte confivel que foi definida na relao de confiana da terceira parte
confivel. Esse conjunto de regras pode incluir regras que permitem explicitamente o acesso a
uma terceira parte confivel e/ou regras que negam explicitamente o acesso a uma terceira parte
confivel.
Regras de autorizao de delegao. Essas regras definem as declaraes que especificam quais
usurios podem agir em nome de outros usurios ao acessar a terceira parte confivel. Esse conjunto
de regras pode incluir regras que permitem delegados explicitamente para uma terceira parte
confivel ou regras que negam explicitamente delegados para uma terceira parte confivel.
Observao: Uma regra de declarao nica s pode ser associada a uma relao de
confiana federada nica. Isso significa que voc no pode criar um conjunto de regras para
uma relao de confiana e reutilizar essas regras para outras relaes de confiana que voc
configura em seu servidor de federao.
Os servidores do AD FS so pr-configurados com um conjunto de regras padro e vrios modelos
padro que voc pode usar para criar as regras de declarao mais comuns. Voc tambm pode
criar regras de declarao personalizadas usando o idioma da regra de declarao do AD FS.
Importar dados sobre o provedor de declaraes por meio dos metadados de federao. Se o
servidor de federao do AD FS ou o servidor proxy de federao estiver acessvel pela rede do
seu servidor de federao do AD FS, voc poder inserir o nome de host ou URL para o servidor
de federao do parceiro. Seu servidor de federao do AD FS se conecta ao servidor de parceiro
e baixa os metadados de federao do servidor. Os metadados de federao incluem todas as
informaes necessrias para configurar a relao de confiana do provedor de declaraes.
Como parte do download de metadados da federao, seu servidor de federao tambm
baixa o certificado SSL que usado pelo servidor de federao de parceiro.
Importar dados sobre o provedor de declaraes de um arquivo. Use essa opo se o servidor
de federao do parceiro no estiver diretamente acessvel de seu servidor de federao, mas
a organizao de parceiro tiver exportado sua configurao e fornecido as informaes em
um arquivo. O arquivo de configurao deve incluir as informaes de configurao para a
organizao de parceiro e o certificado SSL usado pelo servidor de federao de parceiro.
8-25
Em um cenrio de organizao nica, a relao de confiana de terceira parte confivel define como
o servidor do AD FS interage com os aplicativos implantados no aplicativo. Quando voc configura
a relao de confiana de terceira parte confivel em uma organizao nica, fornece a URL para
o aplicativo interno e define configuraes, por exemplo, se o aplicativo oferece suporte a SAML 2.0
ou se requer tokens do AD FS 1.0, a URL usada pelo servidor Web e as regras de autorizao de emisso
para o aplicativo.
O processo para configurar a relao de confiana de terceira parte confivel semelhante ao da relao
de confiana do provedor de declaraes. Quando voc expandir a implantao do AD FS para incluir
outras organizaes, dever criar relaes de confiana de terceiras partes confiveis adicionais para
cada organizao federada. Ao configurar uma relao de confiana de terceira parte confivel,
voc tem trs opes:
Importar dados sobre a terceira parte confivel por meio dos metadados de federao. Se o servidor
de federao do AD FS ou o servidor proxy de federao estiver acessvel pela rede do seu servidor
de federao do AD FS, voc poder inserir o nome de host ou URL para o servidor de federao
do parceiro. Seu servidor de federao do AD FS se conecta ao servidor de parceiro e baixa os
metadados de federao do servidor. Os metadados de federao incluem todas as informaes
necessrias para configurar a relao de confiana da terceira parte confivel. Como parte do
download de metadados da federao, seu servidor de federao tambm baixa o certificado
SSL que usado pelo servidor de federao de parceiro.
Importar dados sobre a terceira parte confivel de um arquivo. Use essa opo se o servidor de
federao do parceiro no estiver acessvel de seu servidor de federao diretamente. Nesse caso,
a organizao do parceiro pode exportar suas informaes de configurao para um arquivo e
fornec-las a voc. O arquivo de configurao deve incluir as informaes de configurao para
a organizao de parceiro e o certificado SSL usado pelo servidor de federao de parceiro.
Etapas da demonstrao
Configurar uma relao de confiana de provedor de declaraes
1.
2.
Na caixa de dilogo Editar Regras de Declarao para Active Directory, na guia Regras de
Transformao de Aceitao, inicie o assistente para Adicionar Regra de Declarao
de Transformao.
3.
User-Principal-Name = UPN
2.
1.
No console do AD FS, no painel intermedirio, clique em Necessrio: Adicionar uma terceira parte
confivel.
2.
Preencha o Assistente para Adicionar uma Terceira Parte Confivel com as seguintes configuraes:
o
Selecione a opo Importar dados sobre a terceira parte confivel publicados online
ou em uma rede local e digite https://lon-svr1.adatum.com/adatumtestapp.
Selecione a opo Permitir que todos os usurios acessem esta terceira parte confivel.
Verifique se a caixa de seleo Editar Regras de Declarao para ADatum Test App
est selecionada.
Lio 4
8-27
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
1.
Implementar a topologia fsica para a implantao de parceiro de conta. Essa etapa pode incluir
a deciso sobre o nmero de servidores de federao e proxies de servio de federao a serem
implantados e a configurao dos registros e certificados de DNS necessrios.
2.
3.
4.
Adicionar uma descrio de declarao. A descrio de declarao lista as declaraes que sua
organizao fornece ao parceiro confivel. Essas informaes podem incluir nomes de usurios,
endereos de email, informaes de associao a grupos ou outras informaes de identificao
de um usurio.
5.
Preparar computadores cliente para federao. Isso pode envolver duas etapas:
a.
b.
Configurar relaes de confiana de certificados. Essa ser uma etapa opcional que s ser
necessria se um ou mais dos servidores que os clientes acessam no tiver certificados confiveis.
O computador cliente talvez tenha que se conectar aos servidores de federao de conta,
servidores de federao de recurso ou servidores proxy de federao e servidores Web de
destino. Se um desses certificados no for de uma CA pblica confivel, voc poder ter que
adicionar o certificado apropriado ou certificado raiz ao repositrio de certificados nos clientes.
Faa isso usando GPOs.
Os servidores Web devem ter os servios de funo Windows Identity Foundation ou Agente da Web
com Reconhecimento de Declaraes do AD FS 1.x instalados para externar a lgica de identidade
e aceitar declaraes.
Observao: O Windows Identity Foundation fornece um conjunto de ferramentas de
desenvolvimento consistente que permite que os desenvolvedores integrem a autenticao
baseada em declaraes e autorizao em seus aplicativos. O Windows Identity Foundation
tambm inclui um SDK (Software Development Kit) e aplicativos de exemplo. Use um aplicativo
de exemplo do Windows Identity Foundation no laboratrio deste mdulo.
Configurar a organizao de parceiro de recurso semelhante a configurar a organizao de parceiro
de conta e consiste nas etapas seguintes:
8-29
1.
2.
3.
Conecte-se a uma organizao de parceiro de conta criando uma relao de confiana de provedor
de declaraes.
4.
Modelo de regra de Envio de Atributos LDAP como Declaraes. Use este modelo quando voc
selecionar atributos especficos em um repositrio de atributos LDAP para popular declaraes.
Voc pode configurar vrios atributos LDAP como declaraes individuais em uma nica regra de
declarao que cria com base nesse modelo. Por exemplo, voc pode criar uma regra que extraia
os atributos do AD DS sn (sobrenome) e givenName de todos os usurios autenticados e enviar
esses valores como declaraes de sada a serem enviadas a uma terceira parte confivel.
Modelo de regra de Envio de Associao de Grupo como uma Declarao. Use este modelo para
enviar um tipo de declarao especfico e valor de declarao associado baseados na associao
ao grupo de segurana do AD DS do usurio. Por exemplo, voc poder usar esse modelo para criar
uma regra que envia um tipo de declarao de grupo com um valor de SalesAdmin, se o usurio for
membro do grupo de segurana Gerente de Vendas no domnio do AD DS. Essa regra emite apenas
uma nica declarao, com base no grupo do AD DS que voc seleciona como parte do modelo.
Modelo de regra de Passagem ou Filtragem de uma Declarao de Entrada. Use este modelo
para definir restries adicionais nas quais so enviadas declaraes a terceiras partes confiveis.
Por exemplo, talvez voc queira usar um endereo de email de usurio como uma declarao, mas
s encaminhar o endereo de email se o sufixo de domnio no endereo de email for adatum.com.
Ao usar esse modelo, voc passar qualquer declarao extrada do repositrio de atributos ou
pode configurar regras que filtram se a declarao for passada com base em vrios critrios.
8-31
Modelo de regra de Transformao de uma Declarao de Entrada. Use esse modelo para mapear o
valor de um atributo no repositrio de atributos do provedor de declaraes para um valor diferente
no repositrio de atributo da terceira parte confivel. Por exemplo, talvez voc queira fornecer a
todos os membros do departamento de Marketing da A. Datum Corporation acesso limitado a um
aplicativo de compra na Trey Research. Na Trey Research, o atributo usado para definir o nvel de
acesso limitado pode ter um atributo de LimitedPurchaser. Para abordar este cenrio, voc pode
configurar uma regra de declaraes que transforma uma declarao de sada na qual o valor de
Departamento Marketing em uma declarao de entrada na qual o atributo ApplicationAccess
LimitedPurchaser. As regras criadas com base nesse modelo devem ter uma relao um para
um entre a declarao no provedor de declaraes e a declarao no parceiro confivel.
Modelo de regra de Permitir ou Negar Usurios com Base em uma Declarao de Entrada. Esse
modelo s est disponvel quando voc est configurando Regras de Autorizao de Emisso ou
Delegao em uma relao de confiana de terceira parte confivel. Use esse modelo para criar
regras que permitem ou negam acesso pelos usurios para uma terceira parte confivel, com base
no tipo e no valor de uma declarao de entrada. Esse modelo de regra de declarao permite
a voc executar uma verificao de autorizao no provedor de declaraes antes do envio de
declaraes a uma terceira parte confivel. Por exemplo, voc pode usar esse modelo de regra para
criar uma regra que permita apenas que os usurios do grupo Vendas acessem uma terceira parte
confivel, enquanto as solicitaes de autenticao de membros de outros grupos no so enviadas
terceira parte confivel.
Se nenhum dos modelos de regra de declarao internos fornecer a funcionalidade necessria, voc
poder criar regras mais complexas usando o idioma da regra de declarao do AD FS. Ao criar uma
regra personalizada, voc pode extrair informaes de vrios repositrios de atributos e tambm
combinar tipos de declarao em uma nica regra de declarao.
A descoberta de realm inicial ocorre depois que o cliente se conecta ao site da terceira parte confivel
e redirecionado para o servidor de federao da terceira parte confivel. Nesse ponto, o servidor de
federao da terceira parte confivel deve redirecionar o cliente ao servidor de federao no realm
inicial do cliente para que o usurio possa ser autenticado. Se houver vrios provedores de declaraes
configurados no servidor de federao de terceira parte confivel, ela dever saber para qual servidor
de federao redirecionar o cliente.
Em um nvel alto, h trs modos nos quais implementar a descoberta de realm inicial:
1.
Pea aos usurios que selecionem seu realm inicial. Com essa opo, quando o usurio
redirecionado ao servidor de federao da terceira parte confivel, o servidor de federao
pode exibir uma pgina da Web solicitando que o usurio identifique para qual empresa eles
trabalha. Quando o usurio seleciona a empresa apropriada, o servidor de federao pode usar
essas informaes para redirecionar o computador cliente ao servidor de federao de incio
apropriado para autenticao.
2.
Modifique o link para o aplicativo Web incluir uma cadeia de caracteres WHR que especifica o
realm inicial do usurio. O servidor de federao da terceira parte confivel usa essa cadeia de
caracteres para redirecionar o usurio automaticamente ao realm inicial apropriado. Isso significa
que o usurio no tem que receber uma solicitao para selecionar o realm inicial, pois a cadeia
de caracteres WHR na URL em que o usurio clica retransmite as informaes necessrias ao
servidor de federao da terceira parte confivel. O link modificado talvez se parea com
o seguinte: https://www.adatum.com/OrderApp/?whr=urn:federation:TreyResearch
Observao: Um das opes disponveis para descoberta de realm inicial com aplicativos
compatveis com SAML 2.0 um perfil de SAML chamado IdPInitiated SSO. Esse perfil de SAML
configura os usurios para acessar o provedor de declaraes local primeiro, que pode preparar
o token do usurio com as declaraes necessrias para acessar o aplicativo Web do parceiro.
A verso do Windows Server 2012 do AD FS no implementa completamente o perfil
IdPInitiated SSO, mas fornece algumas das mesmas funcionalidades implementando
um recurso denominado RelayState.
Leitura adicional: Para obter mais informaes sobre RelayState, consulte
o site de suporte ao RelayState iniciado pelo provedor de identidade localizado
em http://go.microsoft.com/fwlink/?LinkId=270036.
Observao: O processo de descoberta de realm inicial ocorre na primeira vez que o
usurio tenta acessar um aplicativo Web. Depois que o usurio se autenticar com xito, um
cookie de descoberta de realm inicial ser emitido para o cliente para que o usurio no tenha
que passar pelo processo na prxima vez. Esse cookie de descoberta de realm inicial expira
depois de um ms, a menos que o cache de cookie seja desmarcado antes da expirao.
8-33
Nesta demonstrao, voc ver como configurar regras de declaraes em uma relao de confiana
de terceira parte confivel que encaminha um nome de grupo como parte da declarao. Voc tambm
ver como configurar uma regra de declaraes que limita o acesso ao aplicativo apenas a membros
de um determinado grupo.
Etapas da demonstrao
Configurar regras de declaraes
1.
Em LON-DC1, edite a relao de confiana da terceira parte confivel Adatum Test App criando
uma nova Regra de Transformao de Emisso que passa ou filtra uma declarao de entrada.
o
2.
3.
Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio
com base na declarao de entrada Configurar a regra com o seguinte:
4.
5.
Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio com
base na declarao de entrada. Configure a regra com o seguinte e clique em Concluir:
o
A A. Datum Corporation configurou vrias relaes de confiana com outras empresas e clientes.
Algumas dessas empresas de parceiro e clientes devem acessar aplicativos de negcios que esto sendo
executados na rede da A. Datum. Os grupos comerciais na A. Datum desejam fornecer um nvel mximo
de funcionalidade e acesso a essas empresas. Os departamentos de Segurana e Operaes desejam
assegurar que os parceiros e clientes possam acessar apenas os recursos para os quais requerem acesso,
e que a implementao da soluo no aumenta a carga de trabalho significativamente para a equipe
de Operaes. A A. Datum tambm est trabalhando na migrao de algumas partes da infraestrutura
de para servios online, inclusive o Windows Azure e Office 365.
Para satisfazer esses requisitos comerciais, a A. Datum planeja implementar o AD FS. Na implantao
inicial, a empresa planeja usar o AD FS para implementar SSO para usurios internos que acessam
um aplicativo em um servidor Web. A A. Datum tambm entrou em uma parceria com outra empresa,
a Trey Research. Os usurios da Trey Research devem poder acessar o mesmo aplicativo.
Como um dos administradores de rede snior da A. Datum, sua responsabilidade implementar
a soluo AD FS. Como uma prova de conceito, voc planeja implantar um aplicativo de exemplo
com reconhecimento de declaraes e configurar o AD FS para permitir que usurios internos
e da Trey Research acessem o mesmo aplicativo.
Objetivos
Configurao do laboratrio
Tempo previsto: 90 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-MUN-DC1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
b.
c.
2.
3.
4.
2.
8-35
2.
3.
4.
5.
Crie um novo MMC e adicione o snap-in Certificados com foco no Computador Local.
6.
Importe o certificado raiz copiado para a pasta Autoridades de Certificao Raiz Confiveis.
2.
3.
Organizao: A. Datum
Unidade organizacional: TI
Cidade/localidade: Londres
Estado/provncia: Inglaterra
Pas/regio: GB
1.
Em LON-SVR1, no IIS, crie uma nova associao de site HTTPS e selecione o certificado recm-criado.
2.
3.
Verifique se voc consegue se conectar ao site, mas recebe um erro de acesso negado 401.
Isso esperado, pois voc ainda no tem o AD FS configurado para autenticao.
4.
Resultados: Depois de concluir este exerccio, voc ter configurado o encaminhamento de DNS para
permitir a resoluo de nomes entre a A. Datum e a Trey Research e dever ter trocado certificados raiz
entre as duas organizaes. Voc tambm dever ter instalado e configurado um certificado da Web
no servidor de aplicativos.
2.
3.
8-37
2.
3.
4.
Conecte-se a https://lon-dc1.adatum.com/federationmetadata/2007-06/
federationmetadata.xml.
5.
Verifique se o arquivo xml aberto com xito e role por seu contedo.
6.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado a funo de servidor
AD FS e verificado uma instalao bem-sucedida exibindo o contedo de FederationMetaData.xml.
2.
3.
4.
Configurar uma relao de confiana de terceira parte confivel para o aplicativo com
reconhecimento de declaraes.
5.
6.
2.
3.
2.
Na caixa de dilogo Editar Regras de Declarao para Active Directory, na guia Regras
de Transformao de Aceitao, inicie o Assistente para Adicionar Regra de Declarao
de Transformao e preencha as seguintes configuraes:
3.
User-Principal-Name = UPN
Display-Name = Nome
2.
8-39
1.
2.
Preencha o Assistente para Adicionar uma Terceira Parte Confivel com as seguintes configuraes:
o
Selecione a opo Importar dados sobre a terceira parte confivel publicados online
ou em uma rede local e digite https://lon-svr1.adatum.com/adatumtestapp.
Selecione a opo Permitir que todos os usurios acessem esta terceira parte confivel.
Quando o assistente for concludo, aceite a opo para abrir Editar Regras de Declaraes
para ADatum Test App.
Na caixa de dilogo Editar Regras de Declarao para Adatum Test App, na guia Regras
de Transformao de Emisso, escolha adicionar uma regra.
2.
3.
Na lista suspensa Modelo de regra de declarao, clique em Passar ou Filtrar uma Declarao
de Entrada.
Crie mais trs regras para passar o Endereo de Email, o UPN e a Declarao de tipo de nome.
2.
Resultados: Depois de concluir esse exerccio, voc ter configurado o AD FS para uma organizao
nica. Para fazer isso, voc deve ter configurado um certificado de assinatura de token e uma relao de
confiana de provedor de declaraes para Adatum.com. Voc tambm deve ter configurado o aplicativo
de exemplo para confiar em declaraes de entrada e configurado uma relao de confiana de terceira
parte confivel e regras de declarao associadas. Voc tambm deve ter testado o acesso ao aplicativo
de exemplo do Windows Identity Foundation em um cenrio de organizao nica.
O segundo cenrio de implantao permitir que os usurios da Trey Research acessem o aplicativo Web.
Voc planeja configurar a integrao do AD FS na Trey Research com o AD FS na A. Datum Corporation
e, em seguida, verificar se os usurios da Trey Research podem acessar o aplicativo. Voc tambm deseja
confirmar que pode configurar o acesso com base em grupos de usurios. Voc deve assegurar que todos
os usurios da A. Datum e apenas os usurios no grupo Produo na Trey Research possam acessar
o aplicativo.
As principais tarefas deste exerccio so:
1.
2.
Configurar uma relao de confiana de terceira parte confivel em MUN-DC1 para o aplicativo
com reconhecimento de declaraes da A. Datum.
3.
4.
5.
2.
3.
4.
Clique em Passar ou Filtrar uma Declarao de Entrada na lista Modelo de regra de entrada.
Use a regra Passar nome de conta do Windows como o nome da regra de declarao.
Conclua a regra.
2.
Selecione a opo Importar dados sobre a terceira parte confivel publicada online
ou em uma rede local e digite https:// lon-dc1.adatum.com.
Selecione a opo Permitir que todos os usurios acessem essa terceira parte confivel.
Aceite a opo para abrir Editar Regras de Declarao para Adatum TestApp quando o
assistente for concludo.
8-41
2.
3.
4.
Feche o Internet Explorer e conecte-se ao mesmo site. Verifique se dessa vez voc no recebe
uma solicitao para um realm inicial.
Observao: Voc no recebe uma solicitao para informar novamente um realm inicial.
Depois que os usurios selecionarem um realm inicial e forem autenticados por uma autoridade
de realm, eles recebero um cookie _LSRealm emitido pelo servidor de federao de terceira
parte confivel. O tempo de vida padro do cookie 30 dias. Portanto, para fazer logon
vrias vezes, voc deve excluir esse cookie depois de cada tentativa de logon para voltar
a um estado limpo.
1.
Em MUN-DC1, abra o console do AD FS, acesse a relao de confiana de terceira parte confivel
de Adatum TestApp.
2.
Adicione uma nova Regra de Transformao de Emisso que envia a associao de grupo como uma
declarao. Nomeie a regra como Regra de Permisso de Grupo de Produo, configure o Grupo
de Usurios como Production, configure o tipo de declarao de Sada como Grupo e o valor de
declarao de sada como Production.
3.
4.
Edite a relao de confiana da terceira parte confivel Adatum Test App criando uma nova Regra
de Transformao de Emisso que passa ou filtra uma declarao de entrada. Nomeie a regra como
Regra de Envio de Nome de Grupo de TreyResearch e configure a regra para usar um tipo
de declarao de entrada de Grupo.
5.
6.
Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio com base na
declarao de entrada. Configure a regra com o nome Regra de Permisso de Grupo de Produo
de TreyResearch, um Tipo de Declarao de Entrada de Grupo, um Valor de declarao de
entrada de Production e selecione a opo para Permitir o acesso aos usurios com esta
declarao de entrada.
7.
Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio com base
na declarao de entrada. Configure a regra com o nome Temp, um Tipo de declarao de entrada
de UPN, um Valor de declarao de entrada de @adatum.com, selecione a opo para Permitir
o acesso aos usurios com esta declarao de entrada e clique em Concluir.
8.
9.
10. Crie uma nova regra que envia declaraes usando uma regra personalizada chamada Regra
de Acesso do Usurio da ADatum.
11. Clique na caixa Regra personalizada e pressione Crtl + V para colar o contedo da rea de
transferncia na caixa. Edite a primeira URL para corresponder ao texto a seguir e clique em Concluir.
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", Value =~
"^(?i).+@adatum\.com$"]=> issue(Type =
http://schemas.microsoft.com/authorization/claims/permit, Value =
PermitUsersWithClaim);
8-43
1.
2.
3.
4.
Conecte-se a https://lon-svr1.adatum.com/adatumtestapp/.
5.
Verifique se TreyResearch\Morgan tem acesso a A. Datum test app. Morgan membro do grupo
Produo.
Resultados: Depois de concluir este exerccio, voc ter configurado uma relao de confiana do
provedor de declaraes para TreyResearch na Adatum.com e uma relao de confiana de terceira parte
confivel para Adatum em TreyResearch.net. Voc verificou acesso ao aplicativo com reconhecimento
de declaraes da A. Datum. Em seguida, voc configurou o aplicativo para restringir o acesso de
TreyResearch para grupos especficos e verificou o acesso apropriado.
2.
3.
4.
Mdulo 9
Implementao do Balanceamento de Carga de Rede
Contedo:
Viso geral do mdulo
9-1
9-2
9-6
9-13
9-19
9-24
O Balanceamento de Carga de Rede (NLB) um componente de rede do Windows Server. O NLB usa
um algoritmo distribudo para balancear a carga do trfego IP por vrios hosts. Ele ajuda a melhorar
a escalabilidade e a disponibilidade dos servios de negcios crticos baseados em IP. O NLB tambm
fornece alta disponibilidade, porque detecta falhas de host e redistribui automaticamente o trfego
para os hosts sobreviventes.
Para implantar o NLB com eficincia, voc deve compreender sua funcionalidade e os cenrios em que
a implantao apropriada. A atualizao principal para o NLB no Windows Server 2012 a incluso de
um conjunto abrangente dos cmdlets do Windows PowerShell. Esses cmdlets aprimoram a capacidade
de automatizar o gerenciamento dos clusters NLB do Windows Server 2012. O console do Balanceamento
de Carga de Rede, que tambm est disponvel no Windows Server 2008 e no Windows Server 2008 R2,
tambm est presente no Windows Server 2012
Este mdulo apresenta o NLB e mostra como implantar essa tecnologia. Ele aborda tambm as situaes
nas quais o NLB apropriado, como configurar e gerenciar clusters NLB, e como executar as tarefas
de manuteno nos clusters NLB.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Descrever o NLB.
Lio 1
9-2
Antes de implantar o NLB, necessrio compreender os tipos de cargas de trabalho de servidor nos quais
essa tecnologia de alta disponibilidade apropriada. Se voc no compreender a funcionalidade do NLB,
possivelmente voc a implantar de uma maneira que no atenda aos seus objetivos gerais. Por exemplo,
voc precisa compreender por que o NLB apropriado para aplicativos Web, mas no para os bancos
de dados do Microsoft SQL Server.
Esta lio fornece uma viso geral do NLB e dos recursos novos do NLB no Windows Server 2012. Ela
descreve tambm como o NLB trabalha normalmente, e como ele funciona durante a falha do servidor
e a recuperao do servidor.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
O que o NLB?
O NLB um recurso escalonvel e de alta
disponibilidade que voc pode instalar em
todas as edies do Windows Server 2012.
Uma tecnologia escalonvel na qual voc
pode adicionar outros componentes (nesse
caso, os ns de cluster adicionais) para atender
crescente demanda. Um n em um cluster
NLB do Windows Server 2012 um computador,
fsico ou virtual, que est executando o sistema
operacional Windows Server 2012.
O NLB reconhece falhas. Isso significa que, se um dos ns no cluster NLB ficar offline, as solicitaes no
sero mais encaminhadas para esse n, mas os outros ns no cluster continuaro aceitando solicitaes.
Quando o n com falha voltar a atender, as solicitaes de entrada sero redirecionadas at que o trfego
seja balanceado entre todos os ns do cluster.
9-3
O n do cluster NLB que aceitar o trfego ser determinado pela configurao das regras de portas e
pelas configuraes de afinidade. Atravs dessas configuraes, voc poder determinar se o trfego que
usa uma porta e um protocolo especficos ser aceito por um n especfico ou se qualquer n do cluster
poder aceitar e responder.
O NLB tambm envia trfego aos ns baseados na utilizao do n atual. O novo trfego direcionado
para os ns que esto sendo menos utilizados. Por exemplo, se voc tiver um cluster de quatro n em
que trs deles estejam respondendo s solicitaes de 10 clientes e um esteja respondendo s solicitaes
de 5 clientes, o n que tem menos clientes receber mais trfego de entrada at que a utilizao seja
mais uniformemente balanceada pelos ns.
9-4
O NLB s pode detectar a falha do servidor; ele no pode detectar a falha do aplicativo. Isso significa que,
se um aplicativo Web apresentar falha, mas o servidor continuar funcionando, o cluster NLB continuar
encaminhando o trfego para o n de cluster que hospeda o aplicativo com falha. Um mtodo para
gerenciar esse problema a implementao de uma soluo de monitoramento como o Microsoft System
Center 2012 - Operations Manager. Com o Operations Manager, voc pode monitorar a funcionalidade
dos aplicativos. Voc tambm pode configurar o Operations Manager para gerenciar um alerta caso
um aplicativo em um n de cluster apresente falha. Um alerta, por sua vez, pode configurar uma ao
corretiva, como reiniciar servios, reiniciar o servidor ou retirar o n do cluster NLB de modo que ele
no receba mais trfego de entrada.
NlbClusterPortRule. Use para gerenciar regras de porta. Inclui os verbos Adicionar, Desabilitar,
Habilitar, Obter, Remover e Definir.
NlbClusterVip. Use para gerenciar o IP virtual do cluster NLB. Inclui os verbos Adicionar, Obter,
Remover e Definir.
NlbCluster. Use para gerenciar o cluster NLB. Inclui os termos Obter, Novo, Remover, Retomar,
Definir, Iniciar, Parar e Suspender.
NlbClusterDriverInfo. Fornece informaes sobre o driver de cluster NLB. Inclui o verbo Obter.
9-5
NlbClusterIpv6Address. Use para configurar o endereo IPv6 do cluster. Inclui o termo Novo.
NlbClusterPortRuleNodeWeight. Use para definir o peso do n com base em uma regra de porta.
Suporta o verbo Definir.
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
9-6
Todos os adaptadores de rede de um cluster NLB devem ser configurados como unicast ou multicast.
Voc no pode configurar um cluster NLB no qual haja uma mistura de adaptadores unicast e multicast.
Ao usar o modo unicast, o adaptador de rede deve oferecer suporte alterao do seu endereo MAC.
Voc s pode usar protocolo TCP/IP com adaptadores de rede que participam de clusters NLB. O NLB
oferece suporte a IPv4 e IPv6. Os endereos IP de servidores que participam de um cluster NLB devem
ser esttico e no devem ser alocados dinamicamente. Quando voc instala o NLB, o protocolo DHCP
desabilitado em cada interface configurada para participar do cluster.
Todas as edies do Windows Server 2012 oferecem suporte ao NLB. A Microsoft oferece suporte a
clusters NLB com ns que esto sendo executados em edies diferentes do Windows Server 2012.
No entanto, como prtica recomendada, os ns de cluster NLB devem ser computadores com
especificaes de hardware semelhantes e que estejam executando a mesma edio do sistema
operacional Windows Server 2012.
Etapas da demonstrao
Criao de um cluster NLB do Windows Server 2012
1.
2.
3.
4.
9-7
Regras de porta
Para especificar como deseja distribuir as solicitaes entre os ns no cluster, configure um modo
de filtragem ao criar uma regra de porta. Voc pode fazer isso na caixa de dilogo Adicionar/editar
regra de porta, que voc pode usar para configurar um dos seguintes modos de filtragem:
Vrios hosts. Quando voc configurar este modo, todos os ns NLB respondero de acordo com o
peso atribudo a cada n. O peso do n calculado automaticamente, com base nas caractersticas
de desempenho do host. Se um n falhar, outros ns do cluster continuaro respondendo s
solicitaes de entrada. A filtragem de vrios hosts aumenta a disponibilidade e a escalabilidade,
j que voc pode aumentar capacidade adicionando ns, e o cluster continua funcionando caso
ocorra alguma falha no n.
Host nico. Quando voc configurar este modo, o cluster NLB direcionar o trfego para o n que
tem a prioridade mais alta. Caso o n com a prioridade mais alta no esteja disponvel, o host que
recebeu a prxima prioridade mais alta gerenciar o trfego de entrada. As regras de host nico
aumentam a disponibilidade, mas no aumentam a escalabilidade.
Observao: A prioridade mais alta o nmero mais baixo, sendo a prioridade 1 mais alta
que a prioridade 10.
Desabilitar este intervalo de porta. Quando voc configurar esta opo, todos os pacotes deste
intervalo de porta so removido, sem serem encaminhados para nenhum outro n de cluster.
Se voc no desabilitar um intervalo de porta e no houver nenhuma regra de porta existente,
o trfego ser encaminhado para o host com o nmero de prioridade mais baixo.
Voc pode usar os seguintes cmdlets do Windows PowerShell para gerenciar as regras de porta:
Add-NlbClusterPortRule. Use este cmdlet para adicionar uma nova regra de porta.
Disable-NlbClusterPortRule. Use este cmdlet para desabilitar uma regra de porta existente.
Enable-NlbClusterPortRule. Use este cmdlet para habilitar uma regra de porta desabilitada.
Remove-NlbClusterPortRule. Use este cmdlet para remover uma regra de porta existente.
Observao: Cada n em um cluster deve ter regras de porta idnticas. A exceo o peso
da carga (no modo vrios hosts e a prioridade de tratamento (no modo de filtro host nico).
Caso contrrio, se as regras de porta no forem idnticas, o cluster no convergir.
9-8
Afinidade
A afinidade determina como o cluster NLB distribuir as solicitaes de um cliente especfico.
As configuraes de afinidade s entraro em vigor quando voc estiver usando o modo
de filtragem vrios hosts. Voc pode selecionar entre os seguintes modos de afinidade:
nica. Quando voc usar esse modo de afinidade, um nico n de cluster tratar todas as
solicitaes em um nico cliente. Por exemplo, se o terceiro n em um cluster tratar a primeira
solicitao de um cliente, todas as solicitaes subsequentes tambm sero tratadas por esse n.
Esse modo de afinidade til para aplicativos sem monitorao de estado.
Classe C. Quando voc definir esse modo, um nico n responder a todas as solicitaes de uma
rede de classe C (que usa a mscara de sub-rede 255.255.255.0). Esse modo til para aplicativos
com monitorao de estado em que o cliente est acessando o cluster NLB atravs de servidores
proxy com carga balanceada. Esses servidores proxy tero endereos IP diferentes, mas estaro
no mesmo bloco de sub-rede de classe C (24 bits).
Parmetro de host
Voc configura os parmetros de um host clicando no host no console do Gerenciador de
Balanceamento de Carga de Rede e, em seguida, no menu Host, clicando em Propriedades.
Voc pode definir as seguintes configuraes de host para cada n NLB:
Prioridade. Cada n NLB recebe um valor de prioridade exclusivo. Se nenhuma regra de porta
existente corresponder ao trfego endereado ao cluster, o trfego ser atribudo ao n NLB
que recebeu o valor de prioridade mais baixo.
Endereo IP dedicado. Voc pode usar este parmetro para especificar o endereo que o host
usa para tarefas de gerenciamento remotas. Quando voc configurar um endereo IP dedicado,
o NLB configurar as regras de porta de forma que elas no afetem trfego para esse endereo.
Mscara de sub-rede. Quando voc estiver selecionando uma mscara de sub-rede, verifique
se h bits de host suficientes para oferecer suporte ao nmero de servidores do cluster NLB e a
qualquer roteador que conecta o cluster NLB ao restante da rede organizacional. Por exemplo,
se voc pretende ter um cluster com 32 ns e oferece suporte a duas rotas para o cluster NLB,
ser necessrio definir uma mscara de sub-rede que oferea suporte a 34 bits de host ou mais
por exemplo, 255.255.255.192.
Estado inicial do host. Voc pode usar este parmetro para especificar as aes o host executar
aps uma reinicializao. O estado padro Iniciado far com que o host reingresse o cluster NLB
automaticamente. O estado Suspenso pausa o host, permitindo que voc execute operaes
que requerem vrias reinicializaes sem disparar a convergncia do cluster. O estado Parado
interrompe o n.
9-9
Etapas da demonstrao
Configurar a afinidade dos ns de cluster NLB
1.
2.
No Windows PowerShell, digite cada um dos seguintes comandos, pressionando Enter depois de cada
um deles:
Cmd.exe
Mkdir c:\porttest
Xcopy /s c:\inetpub\wwwroot c:\porttest
Exit
New-Website Name PortTest PhysicalPath C:\porttest Port 5678
New-NetFirewallRule DisplayName PortTest Protocol TCP LocalPort 5678
4.
5.
6.
7.
Intervalo de portas: 80 A 80
Protocolos: Ambos
Afinidade: Nenhuma
Protocolos: Ambos
8.
9.
Modo unicast
9-11
Quando voc usar o modo unicast com dois ou mais adaptadores de rede, um adaptador ser usado
para comunicao dedicada do cluster e o(s) outro(s) adaptador(es) poder(o) ser usado(s) para tarefas
de gerenciamento. Quando voc usar o modo unicast com vrios adaptadores de rede, poder executar
tarefas de gerenciamento de cluster, como estabelecer uma conexo usando o PowerShell Remoto para
adicionar ou remover funes e recursos.
O modo unicast tambm pode minimizar os problemas que ocorrem quando os ns de cluster tambm
hospedam outras funes ou servios no relacionados ao NLB. Por exemplo, o uso do modo unicast
significa que um servidor que participa de um cluster de servidores Web na porta 80 tambm pode
hospedar outro servio, como DNS ou DHCP. Embora isso seja possvel, recomendamos que todos
os ns de cluster tenham a mesma configurao.
Modo multicast
Quando voc configurar um cluster NLB para usar o modo multicast, cada host de cluster mantm seu
endereo MAC original, mas tambm recebe um endereo MAC multicast adicional. Cada n no cluster
recebe o mesmo endereo multicast MAC adicional. O modo multicast requer comutadores de rede
e roteadores que ofeream suporte a endereos MAC multicast.
Multicast IGMP
O modo multicast IGMP uma forma especial de modo multicast que impede que o comutador de
rede seja inundado com o trfego. Quando voc implantar o modo multicast IGMP, o trfego ser
encaminhado apenas atravs das portas de comutador que participam do cluster NLB. O modo
multicast IGMP requer um hardware de comutador que oferea suporte a essa funcionalidade.
Voc pode melhorar o desempenho do cluster NLB n o modo unicast usando redes local virtuais (VLANs)
separadas para trfego de cluster e trfego de gerenciamento. O uso das VLANs segmenta o trfego,
impedindo que o trfego de gerenciamento afete o trfego de cluster. Quando voc hospedar ns NLB
em mquinas virtuais que usam o Windows Server 2012, tambm poder usar a virtualizao de rede
para segmentar o trfego de gerenciamento do trfego de cluster.
Lio 3
9-13
Quando voc estiver planejando uma implementao do NLB, dever assegurar que os aplicativos que
voc implanta so apropriados para o NLB. Nem todos os aplicativos so adequados para a implantao
em clusters NLB, e importante voc ser capaz de identificar quais deles podem se beneficiar com essa
tecnologia. Tambm necessrio saber quais etapas voc pode executar para proteger o NLB, e estar
familiarizado com as opes que permitem dimensionar o NLB, se o aplicativo hospedado no cluster
NLB precisar de maior capacidade.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever as consideraes especiais para a implantao de clusters NLB nas mquinas virtuais.
Descrever o mtodo que voc pode usar para atualizar um cluster NLB para o Windows Server 2012.
Voc tambm pode usar tecnologias, como compartilhamentos de arquivos hospedados nos
Volumes Compartilhados do Cluster (CSVs) para hospedar informaes de configurao de aplicativo.
Os compartilhamentos de arquivos hospedados nos CSVs permitem que vrios hosts tenham acesso
a dados de aplicativos e informaes de configurao. Os compartilhamentos de arquivos hospedados
nos CSVs so um recurso do Windows Server 2012.
Quando voc estiver usando o modo unicast, verifique se habilitou a falsificao de endereo MAC
para o adaptador de rede virtual no host do Hyper-V. Faa isso editando as configuraes do adaptador
de rede virtual na caixa de dilogo Configuraes da Mquina Virtual, que est disponvel no
Gerenciador Hyper-V. A habilitao da falsificao do endereo MAC permite que o modo unicast
configure a atribuio do endereo MAC no adaptador de rede virtual.
9-15
Voc tambm deve assegurar que o Firewall do Windows com Segurana Avanada esteja configurado
em cada n de cluster NLB. Quando voc habilitar o NLB em um n de cluster, as seguintes regras de
firewall que permitem que o NLB funcione e se comunique com outros ns do cluster sero criadas
e habilitadas automaticamente:
Quando criadas, essas regras de firewall no incluem configuraes de escopo. Em ambientes de alta
segurana, voc configurar um endereo IP local ou intervalo de endereos IP apropriados e um
endereo IP remoto para cada uma dessas regras. O endereo IP remoto ou intervalo de endereos
IP remotos deve incluir os endereos usados pelos outros hosts do cluster.
Quando voc estiver configurando regras de firewall adicionais, lembre-se do seguinte:
Quando estiver usando vrios adaptadores de rede no modo unicast, configure regras de firewall
diferentes para cada interface de rede. Para a interface usada nas tarefas de gerenciamento, voc
deve configurar as regras de firewall para permitir somente o trfego de gerenciamento de entrada,
habilitando, por exemplo, o uso do Windows PowerShell remoto, do Gerenciamento Remoto
do Windows (WinRM) e da rea de Trabalho Remota para tarefas de gerenciamento. Voc
deve configurar as regras de firewall na interface de rede usada pelo n de cluster para fornecer
um aplicativo ao cluster e permitir o acesso a esse aplicativo. Por exemplo, permita o trfego
de entrada nas portas TCP 80 e 443 em um aplicativo que usa os protocolos HTTP e HTTPS.
Quando voc estiver usando vrios adaptadores de rede no modo multicast, configure regras
de firewall que permitam o acesso aos aplicativos hospedados no cluster, mas que bloqueiem
o acesso s outras portas.
Voc deve configurar aplicativos em cada n para que respondam somente ao trfego endereado ao
cluster e para que ignorem o trfego de aplicativo endereado ao n individual. Por exemplo, se voc
implantar um aplicativo Web criado para responder ao trfego endereado a www.adatum.com, haver
um site em cada n que aceitar o trfego na porta 80. Dependendo da configurao de cluster NLB,
possvel que o trfego endereado ao n na porta 80 gere uma resposta direta. Por exemplo, talvez os
usurios possam acessar o aplicativo Web A. Datum digitando o endereo http://nlb-node-3.adatum.com
em um navegador, em vez de digitar o endereo http://www.adatum.com. Voc pode proteger
aplicativos desse tipo de trfego direto configurando-os para responderem somente ao trfego que
usa o endereo de cluster NLB. Para aplicativos Web, voc pode fazer isso configurando o site para
usar um cabealho de host. Cada aplicativo executado em um cluster NLB ter seu prprio mtodo
exclusivo para permitir que voc configure o aplicativo para responder somente ao trfego
direcionado no cluster, e no no n de cluster individual.
9-17
Assegure que os usurios recebero apenas permisses para tarefas que eles precisam executar no n
NLB. Os membros do grupo Administradores local em um n nico podem adicionar e remover ns
de cluster, at mesmo se no forem membros do grupo Administradores local nesses ns. Os aplicativos
executados nos clusters NLB devem ser configurados de modo que no exijam que os administradores
de aplicativo tenham privilgios de Administrador local nos servidores que hospedam o aplicativo.
Somente os usurios cujo cargo de trabalho exija que eles consigam estabelecer conexes de
gerenciamento remotas com ns de cluster NLB devem ser capazes de estabelecer essas conexes.
Uma alternativa para compilar clusters NLB nicos compilando vrios clusters NLB e usando o recurso
round robin de DNS em seguida para compartilhar o trfego entre eles. O recurso round robin de DNS
uma tecnologia que permite a um servidor DNS fornecer aos clientes solicitantes endereos IP diferentes
para o mesmo nome de host, em ordem sequencial. Por exemplo, se houver trs endereos associados
a um nome de host, o primeiro host solicitante receber o primeiro endereo, o segundo receber o
segundo endereo, o terceiro receber o terceiro endereo e assim sucessivamente. Quando voc usa
o recurso round robin de DNS com o NLB, associa os endereos IP de cada cluster ao nome de host
usado pelo aplicativo.
A distribuio do trfego entre clusters NLB que usam o recurso round robin de DNS tambm permite
implantar clusters NLB entre vrios sites. O round robin de DNS oferece suporte classificao de
mscaras de rede. Essa tecnologia assegurar que os clientes em uma sub-rede recebero um endereo
IP de um host na mesma rede, caso algum esteja disponvel. Por exemplo, voc poderia implantar trs
clusters NLB de quatro ns nas cidades de Sydney, Melbourne e Canberra, e usar o recurso round robin
de DNS para distribuir o trfego entre eles. Com a classificao de mscaras de rede, um cliente que est
acessando o aplicativo em Sydney ser direcionado para o cluster NLB hospedado em Sydney. Um cliente
que no est na mesma sub-rede dos ns de cluster NLB, como um cliente na cidade de Brisbane, ser
direcionado pelo recurso round robin de DNS para o cluster NLB de Sydney, Melbourne ou Canberra.
Atualizao por etapas. Durante este tipo de atualizao, voc adiciona novos ns
Windows Server 2012 a um cluster existente e remove os ns que esto executando verses
anteriores do sistema operacional Windows Server. Este tipo de atualizao apropriado
quando o hardware e o sistema operacional originais no oferecem suporte a uma atualizao
direta para o Windows Server 2012.
Atualizao sem interrupo. Durante este tipo de atualizao, voc atualiza um n do cluster
de cada vez. Voc faz isso colocando o n offline, executando a atualizao e reingressando
o n no cluster.
Links de referncia: Obtenha mais informaes sobre como atualizar clusters NLB
em http://go.microsoft.com/fwlink/?LinkId=270037.
9-19
Objetivos
Configurao do laboratrio
Tempo previsto: 45 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
Nome de Usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
2.
3.
4.
5.
1.
2.
Abra iis-8 no Microsoft Paint, use a ferramenta Paint Brush e aplique a cor vermelha para marcar
o logotipo do IIS.
3.
4.
5.
Navegue at http://LON-SVR1 e verifique se a pgina da Web est marcada com a cor vermelha.
6.
Navegue at http://LON-SVR2 e verifique se o site no est marcado para diferenci-lo dos demais.
7.
2.
2.
2.
H uma nica regra de porta chamada Tudo que inicia na porta 0 e termina na porta 65535
para os protocolos TCP e UDP, e que usa a afinidade nica.
Resultados: Aps concluir este exerccio, voc ter implementado com xito um cluster NLB.
2.
3.
2.
No Windows PowerShell, digite os seguintes comandos, pressionando Enter aps cada um deles:
Cmd.exe
Mkdir c:\porttest
Xcopy /s c:\inetpub\wwwroot c:\porttest
Exit
New-Website -Name PortTest -PhysicalPath "C:\porttest" -Port 5678
New-NetFirewallRule -DisplayName PortTest -Protocol TCP -LocalPort 5678
3.
4.
5.
9-21
6.
7.
8.
9.
Intervalo de portas: 80 A 80
Protocolos: Ambos
Afinidade: Nenhuma
Protocolos: Ambos
2.
3.
2.
3.
4.
5.
Resultados: Aps concluir este exerccio, voc ter configurado e gerenciado com xito um cluster NLB.
9-23
Como parte da preparao da implantao do NLB no ambiente da sua organizao, voc deseja
assegurar que possvel executar tarefas de manuteno (como operaes de reinicializao) sem afetar
a disponibilidade dos sites hospedados no cluster. Tendo isso em mente, voc verificar a disponibilidade
reinicializando um dos hosts enquanto tenta acessar o site clusterizado. Voc tambm explorar
a funcionalidade Interrupo de descarga.
As principais tarefas deste exerccio so:
1.
2.
Reinicie LON-SVR1.
2.
3.
4.
Atualize o site 20 vezes. Verifique se o site est disponvel, mas no exibe a marca vermelha
no logotipo do IIS at LON-SVR1 ser reiniciada.
2.
Resultados: Aps concluir este exerccio, voc ter validado com xito a alta disponibilidade
do cluster NLB.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.
3.
4.
Mdulo 10
Implementao do cluster de failover
Contedo:
Viso geral do mdulo
10-1
10-2
10-15
10-22
10-28
10-35
10-41
10-47
Fornecer alta disponibilidade importante para qualquer organizao que deseja fornecer servios
contnuos aos seus usurios. Disponibilidade alta um termo que denota a capacidade de um
sistema ou dispositivo ser usado quando necessrio. Voc pode expressar a alta disponibilidade como
porcentagem, que calculada pela diviso do tempo de servio real pelo tempo de servio necessrio.
Disponibilidade alta no significa que o sistema estar livre do tempo de inatividade. No entanto, uma
rede que tem um tempo de atividade de 99,999% geralmente considerada altamente disponvel.
O cluster de failover uma das principais tecnologias do Windows Server 2012 que pode fornecer
alta disponibilidade para vrios aplicativos e servios. Neste mdulo, voc aprender sobre o cluster
de failover, seus componentes e tcnicas de implementao.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever um quorum.
Para melhorar a disponibilidade, voc deve implementar mecanismos de tolerncia a falhas que
mascaram ou minimizam a forma como as falhas e as dependncias dos componentes do servio
afetam o sistema. possvel obter a tolerncia a falhas implementando a redundncia em pontos
de falha isolados.
A falta de comunicao sobre as expectativas do nvel de servio entre o cliente e a organizao
de TI pode resultar em decises comerciais insatisfatrias, como nveis de investimento inadequados
e insatisfao do cliente. Certifique-se de expressar claramente os requisitos de disponibilidade para
que no haja enganos sobre as implicaes.
10-3
Maior escalabilidade. No
Windows Server 2012, um cluster de failover pode ter 64 ns fsicos e pode executar 4.000 mquinas
virtuais em cada cluster. Essa uma melhoria significante em relao ao Windows Server 2008 R2,
que suporta apenas 16 ns fsicos e 1.000 mquinas virtuais por cluster. Cada cluster que voc cria
est agora disponvel do console do Gerenciador do Servidor. No Windows Server 2012, o
Gerenciador do Servidor pode descobrir e gerenciar todos os clusters que so criados em um
domnio dos Servios de Domnio do Active Directory (AD DS). Se voc implantar o cluster em um
cenrio de multissite, o administrador poder controlar quais ns em um cluster tero votos para
estabelecer o quorum. A escalabilidade do cluster de failover tambm melhorou para mquinas
virtuais que esto em execuo em clusters. Isso ser abordado posteriormente em mais detalhes
neste curso.
CSVs melhorados. Essa tecnologia foi introduzida no Windows Server 2008 R2 e tornou-se muito
popular por fornecer armazenamento em mquina virtual. No Windows Server 2012, os CSVs
aparecem como sistemas de arquivos CSV e suportam o armazenamento SMB verso 3.0 para
Hyper-V e outros aplicativos. Alm disso, o CSV pode usar os recursos SMB Multichannel e
SMB Direct para permitir que o trfego flua por vrias redes em um cluster. Tambm possvel
implementar servidor de arquivos em CSVs, em modo escalvel. Para maior segurana, voc
pode usar a Criptografia de Unidade do Windows BitLocker para discos CSV, e voc pode
tornar o armazenamento CSV visvel apenas para um subconjunto de ns em um cluster.
Para confiabilidade, voc pode verificar e reparar volumes CSV sem perodo offline.
Melhorias de integrao com o Active Directory. No Windows Server 2008, o cluster de failover
integrado ao AD DS. O Windows Server 2012 melhora essa integrao. Agora os administradores
podem criar um cluster de objetos de computador em unidades organizacionais de destino (UOs)
ou, por padro, nas mesmas UOs dos ns de cluster. Isso alinha as dependncias do cluster de
failover no AD DS com o modelo de administrao de domnio delegado que muitas organizaes
de TI usam. Alm disso, agora voc pode implantar clusters de failover com acesso apenas para
controladores de domnio somente leitura.
Melhorias de gerenciamento. Embora o cluster de failover do Windows Server 2012 ainda use quase
o mesmo console de gerenciamento e as mesmas tcnicas administrativas, o Windows Server 2012
traz algumas melhorias de gerenciamento importantes. A velocidade de validao para clusters de
failover grandes melhorou no Assistente de Validao, e novos testes para CSVs, a funo Hyper-V
e mquinas virtuais foram adicionados. Alm disso, novos cmdlets do Windows PowerShell esto
disponveis para gerenciar clusters, monitorar aplicativos de mquina virtual clusterizados e criar
destinos iSCSI altamente disponveis.
A ferramenta de linha de comando Cluster.exe foi removida. No entanto, voc ainda pode instal-la
opcionalmente com as ferramentas de cluster de failover. Os cmdlets do Windows PowerShell
do cluster de failover fornecem uma funcionalidade que geralmente a mesma dos comandos
Cluster.exe.
A interface COM do servidor MSClus foi removida, mas voc pode instal-la opcionalmente com
as ferramentas de cluster de failover.
O suporte para DLLs de recursos de cluster de 32 bits foi preterido, mas voc pode instalar DLLs
de 32 bits opcionalmente. As DLLs de recursos de cluster devem ser atualizadas para 64 bits.
10-5
Rede. Essa uma rede pela qual os ns de cluster podem se comunicar entre si e com clientes.
H trs tipos de redes que podem ser usadas em um cluster: pblica, privada, pblica e privada.
Essas redes so abordadas em mais detalhes no tpico Redes do cluster de failover.
Recurso. Essa uma entidade hospedada por um n. Ela gerenciada pelo servio de cluster
e pode ser iniciada, interrompida e movida para outro n.
Servio ou aplicativo. entidade de software que apresentada aos clientes e usada pelos clientes.
Sabe quando outro n entra ou sai do cluster. Alm disso, cada n sabe quando um n
ou recurso est falhando e tem capacidade para assumir esses servios.
conectado a uma rede pela qual computadores cliente podem acessar o cluster.
Sabe os servios ou aplicativos que esto em execuo localmente e os recursos que esto
em execuo em todos os outros ns do cluster.
Um cluster de failover normalmente define pelo menos duas redes de comunicaes de dados: uma rede
permite que o cluster se comunique com clientes e a outra rede isolada permite que os membros dos
ns do cluster se comuniquem diretamente uns com os outros. Se um armazenamento compartilhado
diretamente conectado no estiver em uso, um terceiro segmento de rede (para iSCSI ou Fiber Channel)
pode existir entre os ns do cluster e uma rede de armazenamento de dados.
A maioria dos aplicativos clusterizados e seus recursos associados atribuda a um n do cluster por
vez. O n que fornece acesso a esses recursos de cluster o n ativo. Se os ns detectarem a falha
do n ativo de um aplicativo clusterizado, ou se o n ativo for colocado offline para manuteno,
o aplicativo clusterizado ser iniciado em outro n do cluster. Para minimizar o impacto da falha,
as solicitaes de clientes so imediata e transparentemente redirecionadas ao novo n do cluster.
O que so CSVs?
Em uma implantao de cluster de failover
clssica, apenas um n por vez controla
um LUN no armazenamento compartilhado.
Isso significa que outro n no pode ver o
armazenamento compartilhado at que se
torne um n ativo. CSV uma tecnologia
introduzida no Windows Server 2008 R2 que
permite que vrios ns compartilhem um nico
LUN simultaneamente. Cada n obtm acesso
exclusivo a arquivos individuais no LUN em vez
de ao LUN inteiro. Em outras palavras, o CSV
fornece uma soluo de forma que vrios ns
do cluster possam acessar o mesmo sistema de arquivos NTFS simultaneamente.
Na primeira verso no Windows Server 2008 R2, a nica finalidade do CSV era hospedar mquinas virtuais
em execuo em um servidor Hyper-V em um cluster de failover. Isso permitia que os administradores
tivessem um nico LUN hospedando vrias mquinas virtuais em um cluster de failover. Vrios ns de
cluster tinham acesso ao LUN, mas cada mquina virtual era executada somente em um n por vez. Se
o n em que uma mquina virtual estava em execuo falhasse, o CSV permitia que a mquina virtual
reiniciasse em um n diferente no cluster de failover. Alm disso, isso permitia o gerenciamento de
disco simplificado para hospedar mquinas virtuais, em comparao a cada mquina virtual que exige
um LUN separado.
No Windows Server 2012, o CSV tem melhorias adicionais. Agora possvel usar o CSV para outras
funes, e no apenas para o Hyper-V. Por exemplo, agora voc pode configurar a funo de
servidor de arquivos em cluster de failover no cenrio de Servidor de Arquivos Escalvel. O Servidor
de Arquivos Escalvel foi desenvolvido para fornecer compartilhamentos de arquivos escalveis
disponveis continuamente para o armazenamento de aplicativos de servidor baseados em arquivos.
Os compartilhamentos de arquivos escalveis podem compartilhar a mesma pasta de vrios ns no
mesmo cluster. Nesse contexto, o CSV do Windows Server 2012 introduz o suporte para um cache
de leitura, o que pode melhorar o desempenho em certos cenrios. Alm disso, um CSVFS (sistema
de arquivos proxy CSV) pode executar Chkdsk sem afetar os aplicativos com manipulaes abertas
no sistema de arquivos.
10-7
CSVFS. No console Gerenciamento de Disco, agora os volumes CSV aparecem como CSVFS. No
entanto, esse no um novo sistema de arquivos. A tecnologia subjacente ainda o sistema de
arquivos NTFS e os volumes CSVFS ainda so formatados com NTFS. No entanto, como os volumes
aparecem como CSVFS, os aplicativos podem descobrir que eles so executados em CSVs, o que
ajuda a melhorar a compatibilidade. Alm disso, devido ao namespace de arquivo nico, todos
os arquivos tm o mesmo nome e caminho em qualquer n em um cluster.
Vrias sub-redes tm suporte para CSVs. Os CSVs foram aprimorados para se integrar com
o SMB Multichannel para ajudar a obter uma transferncia mais rpida para volumes CSV.
Suporte para criptografia de volume BitLocker. O Windows Server 2012 tem suporte para a
criptografia de volume BitLocker para discos clusterizados tradicionais e CSVs. Cada n executa
a descriptografia usando a conta do computador do prprio cluster.
Suporte para armazenamento SMB 3.0. O armazenamento SMB 3.0 tem suporte para o Hyper-V
e aplicativos como o Microsoft SQL Server. Isso significa que, por exemplo, voc pode hospedar
arquivos de mquinas virtuais Hyper-V em uma pasta compartilhada.
Integrao com o SMB Multichannel e o SMB Direct. Essa integrao permite que o trfego CSV
flua por vrias redes do cluster e use os adaptadores de redes que oferecem suporte ao RDMA
(Acesso Remoto Direto Memria).
Integrao com o recurso Espaos de Armazenamento no Windows Server 2012. Essa integrao
pode fornecer armazenamento virtualizado em clusters de discos baratos.
Tempo de inatividade reduzido. O CSV no Windows Server 2012 permite verificar e reparar volumes
sem perodo offline.
Implementao do CSV
Voc pode configurar o CSV somente quando criar um cluster de failover. Depois de criar o cluster
de failover, voc poder habilitar o CSV para o cluster e adicionar armazenamento ao CSV.
No entanto, antes de adicionar armazenamento ao CSV, voc deve tornar o LUN disponvel como
armazenamento compartilhado para o cluster. Quando voc cria um cluster de failover, todos os
discos compartilhados configurados no Gerenciador do Servidor so adicionados ao cluster, e depois
voc pode adicion-los a um CSV. Se voc adicionar mais LUNs ao armazenamento compartilhado,
crie primeiramente volumes no LUN, adicione o armazenamento ao cluster e depois adicione o
armazenamento ao CSV.
Como prtica recomendada, voc deve configurar o CSV antes de tornar qualquer servio altamente
disponvel. Entretanto, voc pode converter o acesso de disco normal em CSV aps a implantao.
As seguintes consideraes se aplicam:
Quando voc converter o acesso de disco normal em CSV, isso remover o ponto de montagem
ou a letra de unidade do LUN. Isso significa que voc deve recriar todos os recursos que esto
armazenados no armazenamento compartilhado. Voc no poder adicionar armazenamento
compartilhado ao CSV se estiver em uso. Se voc tiver um servio de mquina em execuo
que est usando um disco de cluster, encerre-o e adicione o disco ao CSV.
1.
2.
Depois que todos os recursos estiverem offline, o servio de cluster tentar transferir a instncia
para o prximo n da lista da instncia de proprietrios preferenciais.
3.
Se o servio de cluster mover a instncia com xito para outro n, ele tentar colocar todos os
recursos online novamente. Nesse momento, ele inicia a parte inferior da hierarquia de dependncia.
O failover concludo quando todos os recursos ficam online no novo n.
Depois que o n offline voltar atividade, o servio de cluster poder executar o failback das instncias
que estavam originalmente hospedadas no n offline. Quando o servio de cluster fizer failback de uma
instncia, ele usar os mesmos procedimentos executados durante o failover. O servio de cluster coloca
todos os recursos da instncia offline, move a instncia e coloca todos os recursos da instncia online
novamente.
O que um quorum?
Quorum o nmero de elementos que devem
estar online para que o cluster continue a ser
executado. Cada n de cluster um elemento
e, efetivamente, cada elemento pode dar um
voto para determinar se o cluster continua em
execuo. Se houver um nmero par de ns,
um elemento adicional conhecido como
testemunha atribudo ao cluster.
O elemento testemunha pode ser um disco
ou um compartilhamento de arquivos. Cada
elemento de votao contm uma cpia da
configurao do cluster e o servio de cluster
trabalha para manter sempre todas as cpias sincronizadas.
10-9
O cluster deixar de fornecer proteo de failover se a maioria dos ns falhar, ou se houver um problema
de comunicao entre os ns do cluster. Sem um mecanismo de quorum, cada conjunto de ns pode
continuar funcionando como um cluster de failover. Isso resulta em uma partio dentro do cluster.
O quorum impede que dois ou mais ns usem um recurso de cluster de failover simultaneamente.
Se uma maioria clara no for obtida entre os membros de n, o voto da testemunha ser crucial para
manter a validade do cluster.
Como determinado cluster tem um conjunto especfico de ns e uma configurao de quorum especfica,
o cluster pode calcular o nmero de votos necessrios para ele continuar fornecendo proteo de failover.
Se o nmero de votos estiver abaixo da maioria, a execuo do cluster ser interrompida, o que significa
que ele no fornecer proteo de failover se um n falhar. Os ns ainda escutaro a presena de outros
ns, caso outro n aparea novamente na rede. Porm, os ns no funcionaro como um cluster at que
se obtenha o consenso da maioria ou o quorum.
Um cluster totalmente funcional no depende apenas do quorum, mas tambm da capacidade de
cada n de oferecer suporte aos servios e aplicativos que falham naquele n. Por exemplo, um cluster
que tem cinco ns ainda poderia ter quorum aps a falha dois ns, mas cada n restante do cluster
continuaria a atender os clientes somente se tivesse capacidade suficiente (como espao em disco, poder
de processamento, RAM ou largura de banda de rede) para oferecer suporte aos servios e aplicativos
que passaram por failover. Uma parte importante do processo de criao planejar a capacidade de
failover de cada n. Um n de failover deve ter capacidade para executar sua prpria carga e a carga
de recursos adicionais que possam passar por failover.
H vrias fases que um cluster deve concluir para obter um quorum. Quando determinado n fica online,
isso determina se h outros membros do cluster com quem ele pode se comunicar. Esse processo pode
estar em andamento em vrios ns ao mesmo tempo. Depois de estabelecer comunicao com outros
membros, os membros comparam suas exibies de associao do cluster at concordarem com uma
exibio (baseado em carimbos de data/hora e outras informaes). determinado se essa coleo de
membros tem um quorum ou membros suficientes cujo total cria votos o bastante para no haver um
cenrio de diviso.
Um cenrio de diviso significa que outro conjunto de ns que esto nesse cluster est executando
em uma parte da rede que inacessvel a esses ns. Portanto, mais de um n poderia estar tentando
ativamente fornecer acesso ao mesmo recurso clusterizado. Se no houver votos suficientes para obter
o quorum, os eleitores (os membros atualmente reconhecidos do cluster) aguardaro at que mais
membros apaream. Depois de obter ao menos o total mnimo de votos, o servio de cluster comea
a colocar os recursos e aplicativos do cluster em servio. Com o quorum obtido, o cluster torna-se
completamente funcional.
10-10
O modo de quorum do cluster de failover do Windows Server 2012 flexvel. Voc pode escolher o modo
mais adequado para seu cluster. Esteja ciente de que, na maioria dos casos, melhor usar o modo de
quorum que o software de cluster seleciona. Se voc executar o Assistente de Configurao de Quorum,
o modo de quorum que o assistente lista como recomendado o modo de quorum que o software de
cluster escolher. Voc deve alterar a configurao de quorum somente se determinar que a alterao
apropriada para seu cluster.
O cluster de failover do Windows Server 2012 tem quatro modos de quorum:
Maioria dos Ns. Cada n que est disponvel e em comunicao com outros ns pode
votar. O cluster funciona apenas com uma maioria (mais da metade) dos votos. Esse modelo
preferencial quando o cluster consiste em um nmero mpar de ns de servidor, e nenhuma
testemunha necessria para manter ou obter o quorum.
Maioria dos Ns e Discos. Cada n, mais a testemunha de disco, que um disco designado no
armazenamento de cluster, pode votar quando estiver disponvel e em comunicao. O cluster
funciona apenas com uma maioria (mais da metade) dos votos. Esse modelo baseado em
nmero par de ns de servidor que so capazes de se comunicar entre si no cluster, alm
da testemunha de disco.
Sem Maioria: Somente Disco. O cluster ter quorum se um n estiver disponvel e em comunicao
com um disco especfico no armazenamento de cluster. Somente os ns que tambm estiverem
em comunicao com esse disco podem se associar ao cluster.
10-11
Exceto pelo modo Sem Maioria: Somente Disco, todos os modos de quorum em clusters de failover
do Windows Server 2012 so baseados em um modelo de voto de maioria simples. Enquanto a maioria
dos votos estiver disponvel, o cluster continuar funcionando. Por exemplo, se houver cinco votos no
cluster, o cluster continuar funcionando contanto que haja no mnimo trs votos disponveis. A origem
dos votos no relevante o voto pode ser um n, uma testemunha de disco ou uma testemunha
de compartilhamento de arquivos. O cluster deixar de funcionar se a maioria de votos no estiver
disponvel.
No modo Sem Maioria: Somente Disco, o disco compartilhado por quorum pode vetar todos os outros
votos possveis. Nesse modo, o cluster continuar funcionando contanto que o disco compartilhado
por quorum e pelo menos um n esteja disponvel. Esse tipo de quorum tambm impede que mais
de um n assuma a funo primria.
Observao: Se o disco compartilhado por quorum no estiver disponvel, o cluster deixar
de funcionar, mesmo se todos os ns ainda estiverem disponveis. No modo Sem Maioria:
Somente Disco, o disco compartilhado por quorum um nico ponto de falha. Portanto,
esse modo no recomendado.
Quando voc configura um cluster de failover no Windows Server 2012, o Assistente de Instalao
seleciona automaticamente uma das duas configuraes padro. Por padro, o cluster de failover
seleciona:
Observao: Voc deve modificar essa configurao somente se determinar que uma
alterao apropriada para seu cluster, e somente quando voc entender as implicaes
de fazer a alterao.
Alm de planejar seu modo de quorum, voc deve considerar tambm a capacidade dos ns em seu
cluster, bem como capacidade deles de oferecer suporte aos servios e aplicativos que podem passar
por failover nesse n. Por exemplo, um cluster que tem quatro ns e uma testemunha de disco ainda
ter quorum depois que dois ns falharem. No entanto, se voc tiver vrios aplicativos ou servios
implantados no cluster, cada n restante do cluster talvez no tenha a capacidade de fornecer servios.
10-12
Rede pblica. Uma rede pblica proporciona aos clientes sistemas com acesso a servios de
aplicativos de cluster. Recursos de endereo IP so criados em redes que proporcionam aos
clientes o acesso ao servio de cluster.
Rede pblica e privada. Uma rede pblica e privada (tambm conhecida rede mista) conduz
a comunicao interna de clusters e conecta clientes a servios de aplicativos de cluster.
Na configurao de redes em clusters de failover, voc tambm deve determinar qual rede deve se
conectar ao armazenamento compartilhado. Se voc usar iSCSI para a conexo de armazenamento
compartilhada, a rede usar uma rede de comunicao Ethernet baseada em IP. No entanto, voc
no deve usar essa rede para comunicao de ns ou clientes. Compartilhar a rede iSCSI dessa maneira
pode resultar em problemas de conteno e latncia para os usurios e para o recurso que est sendo
fornecido pelo cluster.
Embora no seja uma prtica recomendada, voc pode usar as redes privadas e pblicas para
comunicaes de clientes e ns. Preferivelmente, voc deve dedicar uma rede isolada comunicao
privada de ns. O raciocnio para isso semelhante ao uso de uma rede Ethernet separada para iSCSI,
que evitar problemas de gargalo e conteno de recursos. A rede pblica configurada para habilitar
conexes de cliente com o cluster de failover. Embora a rede pblica possa fornecer backup para a rede
privada, uma prtica de design melhor definir redes alternativas para redes privadas e pblicas
primrias, ou pelo menos agrupar as interfaces de rede usadas nessas redes.
Os recursos de rede dos clusters baseados no Windows Server 2012 incluem o seguinte:
Os ns transmitem e recebem pulsaes usando unicast UDP, em vez da difuso UDP (que era usada
em clusters anteriores). As mensagens so enviadas pela porta 3343.
Voc pode incluir servidores clusterizados em sub-redes IP diferentes, o que reduz a complexidade
da configurao de clusters multissite.
10-13
Voc pode usar o protocolo DHCP para atribuir endereos IP, ou voc pode atribuir endereos IP
estticos a todos os ns no cluster. No entanto, se alguns ns tiverem endereos IP estticos e voc
configurar outros para usar o DHCP, o Assistente para Validar uma Configurao responder com
um erro. Os recursos de endereo IP do cluster so obtidos com base na configurao da interface
de rede que est oferecendo suporte rede desse cluster.
iSCSI. iSCSI um tipo de SAN (rede de rea de armazenamento) que transmite comandos da
interface SCSI por redes IP. O desempenho aceitvel na maioria dos cenrios em que o meio fsico
para transmisso de dados tem Ethernet entre 1 Gbps e 10 Gbps. A implantao desse tipo de SAN
bem barata, pois no requer hardware de rede especializado. No Windows Server 2012, voc pode
implementar o software de destino iSCSI em qualquer servidor e apresentar o armazenamento local
pela interface iSCSI aos clientes.
Fiber Channel. As redes SAN Fiber Channel normalmente tm um desempenho melhor que as
redes SAN iSCSI, mas so mais caras. Conhecimento e hardware especializados so necessrios
para implementar uma rede SAN Fiber Channel.
Requisitos de armazenamento
Antes de escolher uma soluo de armazenamento, voc deve estar ciente dos seguintes requisitos
de armazenamento:
10-14
Para usar o suporte para disco nativo includo no cluster de failover, use discos bsicos e no discos
dinmicos.
Voc deve formatar as parties com NTFS. Para a testemunha de disco, a partio deve ser NTFS,
porque no h suporte para FAT.
Para o estilo de partio do disco, voc pode usar o MBR (registro mestre de inicializao)
ou a tabela GPT (tabela de partio de identificador exclusivo global).
O driver de miniporta usado para o armazenamento deve funcionar com o driver de armazenamento
Storport. O Storport oferece uma arquitetura de maior desempenho e melhor compatibilidade com
Fiber Channel em sistemas operacionais Windows.
Voc deve isolar os dispositivos de armazenamento (um cluster por dispositivo). Voc no deve
permitir que servidores pertencentes a clusters diferentes acessem os mesmos dispositivos de
armazenamento. Voc pode fazer isso usando o mascaramento ou o zoneamento de LUN. Isso
impede que LUNs usadas em um cluster sejam vistas em outro cluster. Considere usar o software
MPIO (Entrada/sada de vrios caminhos). Os ns de cluster usam vrios adaptadores de barramento
de host comumente para acessar armazenamento, e isso permite obter alta disponibilidade adicional.
Para poder usar vrios adaptadores de barramento de host, voc deve usar o software MPIO. Para
o Windows Server 2012, sua soluo de vrios caminhos deve ser baseada no MPIO (Microsoft
Multipath I/O). Seu fornecedor de hardware normalmente fornece um DSM (mdulo especfico
de dispositivo) MPIO para seu hardware, embora o Windows Server 2012 inclua um ou mais
DSMs como parte do sistema operacional.
Lio 2
10-15
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
10-16
O cluster de failover mais adequado para aplicativos com monitorao de estado que so restritos a um
nico conjunto de dados. Um exemplo desse aplicativo um banco de dados. Os dados so armazenados
em um nico local e podem ser usados apenas por uma instncia de banco de dados. Voc tambm pode
usar o cluster de failover para mquinas virtuais do Hyper-V. Os melhores resultados do cluster de failover
ocorrem quando o cliente pode se reconectar automaticamente ao aplicativo aps o failover. Se o cliente
no se reconectar automaticamente, o usurio dever reiniciar o aplicativo cliente.
O cluster de failover usa apenas protocolos baseados em IP e, portanto, adequado somente a aplicativos
baseados em IP. Agora o cluster de failover oferece suporte apenas a IPv4 e IPv6.
Considere as seguintes diretrizes para planejar a capacidade de ns em um cluster de failover:
Garanta que cada n tenha capacidade livre suficiente para atender os servios ou aplicativos
altamente disponveis que so alocados a ele quando outro n falhar. Essa capacidade livre deve
ser um buffer suficiente para evitar que os ns executem prximo da capacidade mxima aps
um evento de falha. A falta de planejamento adequado da utilizao de recursos pode resultar
na reduo de desempenho seguida da falha de ns.
Use hardware com capacidade similar para todos os ns de um cluster. Isso simplifica o processo
de planejamento para failover, porque a carga de failover ser distribuda uniformemente entre
os ns sobreviventes.
Voc tambm deve examinar todos os componentes de configurao do cluster para identificar
pontos de falha isolados. Voc pode reparar muitos pontos de falha isolados com solues simples,
como adicionar controladores de armazenamento para separar e dividir discos ou agrupar adaptadores
de rede e usar software de mltiplos caminhos. Essas solues reduzem a probabilidade de que a falha
de um nico dispositivo causar uma falha no cluster. Normalmente, o hardware de computador da classe
de servidor tem opes para vrias fontes de alimentao para redundncia de energia e para criar uma
matriz redundante de conjuntos de discos independentes (RAID) para redundncia de dados em disco.
10-17
Voc deve instalar o mesmo hardware ou similar em cada n do cluster de failover. Por exemplo,
se voc escolher um modelo especfico de adaptador de rede, dever instalar esse adaptador em
cada n do cluster.
Se voc estiver usando conexes de armazenamento iSCSI, cada servidor clusterizado dever ter um
ou mais adaptadores de rede ou adaptadores de barramento de host dedicados ao armazenamento
de cluster. A rede que voc usa para conexes de armazenamento iSCSI no deve ser usada para
comunicao de rede. Em todos os servidores clusterizados, os adaptadores de rede que voc usa
para conectar-se ao destino de armazenamento iSCSI e recomendamos o uso de Ethernet de 1 Gbps
ou mais.
Os adaptadores de rede em uma rede de cluster devem ter o mesmo mtodo de atribuio de
endereo IP, o que significa que todos eles usam endereos IP estticos, ou que todos eles usam
o DHCP.
10-18
10-19
Configuraes de rede e endereos IP. Quando voc usa adaptadores de rede idnticos para uma
rede, usa tambm configuraes de comunicao idnticas, como velocidade, modo duplex, controle
de fluxo e tipo de mdia, nesses adaptadores. Compare tambm as configuraes entre o adaptador
de rede e o comutador ao qual se conecta e verifique se no h conflito entre as configuraes.
Caso contrrio, poder ocorrer congestionamento de rede ou perda de quadros, o que afetaria
negativamente a forma como os ns do cluster se comunicam entre si, com clientes ou com
sistemas de armazenamento.
Sub-redes exclusivas. Se voc tiver redes privadas no roteadas para o restante da infraestrutura
de rede, certifique-se de que cada uma dessas redes privadas use uma sub-rede exclusiva. Isso
necessrio mesmo que voc atribua a cada adaptador de rede um endereo IP exclusivo. Alm disso,
esses endereos de rede privados no devem ser registrados no DNS. Por exemplo, se voc tiver um
n de cluster em uma matriz que usa uma rede fsica e outro n em uma filial que usa uma rede fsica
separada, no especifique 10.0.0.0/24 para ambas as redes, mesmo se voc atribuir a cada adaptador
um endereo IP exclusivo. Isso evitar loops de roteamento e outros problemas de comunicaes
de rede se, por exemplo, os segmentos forem configurados acidentalmente no mesmo domnio
de coliso devido a atribuies incorretas de rede local virtual (VLAN).
DNS. Os servidores no cluster usam normalmente o DNS para resoluo de nomes. O protocolo
de atualizao dinmica DNS uma configurao com suporte.
Conta para administrar o cluster. Para administrar o cluster, voc deve ter uma conta com as
permisses apropriadas. Voc deve ter direitos de administrador local em todos os ns que
participam do cluster. Alm disso, quando voc criar o cluster, dever ter o direito de criar novos
objetos em domnios. Voc pode fazer isso com a conta de Admin do Domnio, ou pode delegar
esses direitos a outra conta de domnio.
No Windows Server 2012, no h uma conta de servio de cluster. Em vez disso, o servio de cluster
executado automaticamente em um contexto especial que fornece as permisses e credenciais especficas
que so necessrias para o servio (similar ao contexto de sistema local, mas com menos credenciais).
Quando um cluster de failover criado e um objeto de computador correspondente criado no AD DS,
esse objeto configurado para impedir a excluso acidental. Alm disso, o recurso Nome da Rede do
cluster tem uma lgica de verificao de integridade adicional, que verifica periodicamente a integridade
e as propriedades do objeto de computador que representa o recurso Nome da Rede.
10-20
Cada n deve executar a mesma arquitetura de processador. Isso significa que cada n deve ter a
mesma famlia de processadores, que poderia ser, por exemplo, a famlia de processadores Intel Xeon
com tecnologia Extended Memory 64, a famlia de processadores AMD Opteron AMD64 ou Intel Itanium.
Etapas da demonstrao
Validar e configurar um cluster
1.
2.
3.
Revise o relatrio.
4.
5.
6.
10-21
Executar uma migrao in-loco em um cluster de dois ns. Esse cenrio mais complexo, onde
voc deseja migrar um cluster para uma verso mais recente do sistema operacional Windows.
Nesse cenrio, voc no tem computadores adicionais para novos ns de cluster. Por exemplo,
voc pode querer atualizar um cluster atualmente em execuo no Windows Server 2008 R2 para
um cluster que execute o Windows Server 2012. Para conseguir isso, voc deve remover recursos
de um n primeiro e depois excluir esse n de um cluster. Em seguida, voc executa uma instalao
limpa do Windows Server 2012 nesse servidor. Depois que o Windows Server 2012 instalado, voc
cria um cluster de failover de um n, migra os servios e aplicativos clusterizados do n de cluster
antigo para esse cluster de failover e depois remove o n antigo do cluster. A ltima etapa instalar
o Windows Server 2012 em outro n de cluster, juntamente com o recurso de cluster de failover,
adiciona o servidor ao cluster de failover e executa testes de validao para confirmar se a
configurao global funciona corretamente.
O Assistente de Migrao de Cluster uma ferramenta que permite migrar funes clusterizadas.
Como o Assistente de Migrao de Cluster no copiar dados de um local de armazenamento para
outro, voc deve copiar ou mover dados ou pastas (inclusive configuraes de pasta compartilhada)
durante a migrao. Alm disso, o Assistente de Migrao de Cluster no migra informaes de ponto
de montagem (informaes sobre unidades de disco rgido que no usam letras de unidades e
so montadas em uma pasta em outra unidade de disco rgido). No entanto, possvel migrar
configuraes de recursos de discos fsicos de e para discos que usam pontos de montagem.
Lio 3
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
10-22
10-23
Para gerenciar recursos, o servio de cluster se comunica com uma DLL de recursos por meio de um
monitor de recursos. Quando o servio de cluster faz uma solicitao de recurso, o monitor de recursos
chama a funo de ponto de entrada apropriada na DLL de recursos para verificar e controlar o estado
do recurso.
Recursos dependentes
Um recurso dependente um recurso que exige outro recurso para funcionar. Por exemplo, como
um nome de rede deve ser associado a um endereo IP, um nome de rede considerado um recurso
dependente. Devido a esse requisito, um recurso de nome de rede depende de um recurso de endereo
IP. Os recursos dependentes so colocados offline antes de os recursos dos quais dependem serem
colocados offline. Da mesma forma, eles so colocados online depois que os recursos dos quais
dependem serem colocados online. Um recurso pode especificar um ou mais recursos dos quais
dependente. As dependncias de recurso tambm determinam as associaes. Por exemplo, os
clientes sero associados ao endereo IP especfico do qual um recurso de nome de rede depende.
Quando voc for criar dependncias de recurso, considere o fato que, embora algumas dependncias
sejam estritamente exigidas, outras no so necessrias, mas so recomendadas. Por exemplo, um
compartilhamento de arquivos que no raiz de um DFS (Sistema de Arquivos Distribudo) no tem
dependncias exigidas. No entanto, se o recurso de disco que contm o compartilhamento de arquivos
falhar, o compartilhamento de arquivos ficar inacessvel aos usurios. Portanto, lgico tornar
o compartilhamento de arquivos dependente do recurso de disco.
Um recurso tambm pode especificar uma lista de ns em que pode ser executado. Os ns e
as dependncias possveis so consideraes importantes quando os administradores organizam
recursos em grupos.
10-24
1.
2.
3.
4.
5.
Configure o aplicativo. Configure as opes no aplicativo que est sendo usado no cluster.
6.
Teste o failover. Use o snap-in Gerenciamento de Cluster de Failover para testar o failover movendo
intencionalmente o servio de um n para outro.
Depois de criar o cluster, voc pode monitorar seu status usando o console Gerenciamento de Cluster
de Failover e gerenciar as opes disponveis.
Etapas da demonstrao
Clusterizar uma funo de servidor de arquivos
1.
2.
3.
4.
Para o nome do Ponto de Acesso do Cliente, digite Adatum-FS com o endereo 172.16.0.55.
5.
10-25
Gerenciar ns de cluster. Para cada n em um cluster, voc pode interromper o servio de cluster
temporariamente, pausar o servio, iniciar a rea de trabalho remota para o n ou pode excluir
o n do cluster.
Gerenciar redes de clusters. Voc pode adicionar ou remover redes de clusters e configurar as redes
que sero dedicadas comunicao entre clusters.
Gerenciar permisses. Gerenciando permisses, voc pode delegar direitos para administrar
um cluster.
Migrar servios e aplicativos para um cluster. Voc pode implementar servios existentes no cluster
e torn-los altamente disponveis.
Configurar novos servios e aplicativos para funcionar em um cluster. Voc pode implementar novos
servios no cluster.
Remover um cluster. Voc pode remover um cluster se decidir parar de us-lo ou se quiser mover
o cluster para outro conjunto de ns.
Voc pode executar a maioria dessas tarefas administrativas usando o console Gerenciamento de Cluster
de Failover ou o Windows PowerShell. No entanto, o Cluster.exe, que era usado em algumas dessas
tarefas em verses anteriores do sistema operacional Windows Server, no tem mais suporte no
Windows Server 2012 e no faz parte da instalao padro.
Gerenciamento de ns de cluster
Os ns de cluster so obrigatrios em cada
cluster. Depois de criar um cluster e coloc-lo
em produo, talvez seja preciso gerenciar
ocasionalmente os ns do cluster. Voc pode
gerenciar os ns do cluster usando o console
Gerenciamento de Cluster de Failover ou
o Windows PowerShell. H trs partes
para gerenciar os ns do cluster:
10-26
Voc pode pausar um n para impedir que recursos passem por failover ou sejam movidos para o
n. Normalmente, voc pausa um n quando ele passa por manuteno ou soluo de problemas.
Durante a pausa de um n, voc pode optar por drenar funes desse n.
Voc pode excluir um n, que um processo irreversvel para um n de cluster. Depois de excluir
o n, ele dever ser readicionado ao cluster. Voc exclui ns quando um n danificado alm do
reparo ou no mais necessrio no cluster. Se voc excluir um n danificado, poder repar-lo
ou substitu-lo e depois readicion-lo ao cluster usando o Assistente para Adicionar Ns.
10-27
Result
Exemplo 1:
Guia Geral, Proprietrio preferencial: N1
Guia Failover, Configurao de failback:
Permitir failback (Imediatamente)
Exemplo 2:
Guia Failover, Mximo de falhas
no perodo especificado: 2
Guia Failover, Perodo (horas): 6
Lio 4
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
10-28
Visualizador de Eventos
10-29
Quando problemas ocorrerem no cluster, voc usa o Visualizador de Eventos para ver os eventos com
nvel de gravidade Crtico, Erro ou Advertncia. Alm disso, eventos de nvel informativo so registrados
no log de Operaes de cluster de failover, que pode ser localizado no Visualizador de Eventos e na
pasta Applications and Services Logs\Microsoft\Windows. Os eventos de nvel informativo so geralmente
operaes comuns do cluster, como ns que saem do ou entram no cluster, ou recursos que esto offline
ou online.
Em verses anteriores do Windows Server, os logs de eventos eram replicados em cada n do cluster.
Isso simplificava a soluo de problemas de cluster, porque voc podia revisar todos os logs de eventos
em um nico n de cluster. O Windows Server 2012 no replica os logs de eventos entre ns. No entanto,
o snap-in Gerenciamento de Cluster de Failover tem a opo Eventos de Cluster que permite ver e filtrar
eventos de todos os ns de cluster. Esse recurso til para correlacionar eventos entre ns de cluster.
O snap-in Gerenciamento de Cluster de Failover tambm fornece a opo Eventos de Cluster Recentes,
que consultar todos os eventos de Erro e Advertncia de todos os ns de cluster nas ltimas 24 horas.
Voc pode acessar logs adicionais, como os logs Analticos e de Depurao, no Visualizador de Eventos.
Para exibir esses logs, modifique a exibio no menu superior selecionando a opo Mostrar Logs
Analticos e de Depurao.
O log de rastreamento de eventos contm uma contabilidade abrangente das aes de cluster de failover.
Dependendo de como voc deseja exibir os dados, use o Windows PowerShell ou Tracerpt.exe para
acessar as informaes no log de rastreamento de eventos.
Tracerpt.exe apenas analisa os logs de rastreamento de eventos no n em que executado. Todos os logs
individuais so coletados em um local central. Para transformar o arquivo XML em um arquivo de texto
ou HTML que possa ser aberto no Windows Internet Explorer, voc pode analisar o arquivo baseado em
XML usando o prompt de comando de anlise msxsl.exe tool do Microsoft XSL e uma folha de estilos XSL.
Traar a tendncia de desempenho do aplicativo em cada n. Para saber como um aplicativo est se
saindo, voc pode ver e traar a tendncia de informaes especficas sobre os recursos do sistema
que esto sendo usados em cada n.
Traar a tendncia de falhas e a estabilidade do aplicativo em cada n. Voc pode definir quando
as falhas do aplicativo ocorrem, e corresponder as falhas do aplicativo a outros eventos do n.
Modificar as configuraes do log de rastreamento. Voc pode iniciar, interromper e ajustar os logs
de rastreamento, inclusive o tamanho e o local.
10-30
Voc deve adicionar o recurso Backup do Windows Server primeiro, se voc decidir us-lo. Voc pode
fazer isso usando o Gerenciador do Servidor, usando dism.exe, ou usando o Windows PowerShell.
Backup do Windows Server o recurso de backup e recuperao interno do Windows Server 2012.
Para concluir um backup com xito, considere o seguinte:
Para um backup ser bem-sucedido em um cluster de failover, o cluster deve estar em execuo
e deve ter quorum. Em outras palavras, ns suficientes devem estar em execuo e comunicar
(talvez com um disco testemunha ou compartilhamento de arquivos de testemunha dependendo
da configurao de quorum) que o cluster obteve o quorum.
Voc deve fazer backup de todos os aplicativos clusterizados. Se voc clusterizar um banco de
dados do SQL Server, dever ter um plano de backup para os bancos de dados e configuraes
fora da configurao do cluster.
Se for necessrio fazer backup dos dados de aplicativos, os discos nos quais voc armazena os dados
devem estar disponveis para o software de backup. Voc pode conseguir isso executando o software
de backup no n de cluster que possui o recurso de disco, ou executando um backup no recurso
clusterizado atravs da rede. Se voc estiver usando CSVs, poder executar o backup em qualquer
n conectado ao volume CSV.
O servio de cluster rastreia a configurao de cluster mais recente e replica essa configurao
e, todos os ns de cluster. Se o cluster tiver um disco testemunha, o servio de cluster tambm
replicar a configurao no disco testemunha.
Restaurao de um cluster
H duas formas de restaurar um cluster:
10-31
Restaurao autoritativa. Use uma restaurao autorizada quando a configurao do cluster tiver de
ser revertida para um ponto anterior. Por exemplo, use a restaurao autorizada se um administrador
remover recursos clusterizados acidentalmente ou modificar outras configuraes do cluster.
Execute a restaurao autorizada interrompendo o recurso de cluster em cada n e executando uma
recuperao do sistema (estado do sistema) em um nico n usando o Backup do Windows Server.
Depois que o n restaurado reiniciar o servio de cluster, os ns de cluster restantes tambm podero
iniciar o servio de cluster.
Revisar eventos de hardware e logs para ajudar a definir componentes de hardware especficos
que poderiam causar a instabilidade do cluster.
Identifique o escopo do problema de forma que voc possa entender o que est sendo afetado
pelo problema e o impacto desse efeito no aplicativo e nos clientes.
Colete informaes de forma que voc possa entender e definir o possvel problema com preciso.
Depois de identificar uma lista de possveis problemas, voc pode prioriz-los por probabilidade
ou pelo impacto de um reparo. Se voc no conseguir definir o problema, tentar recri-lo.
Crie uma agenda para reparar o problema. Por exemplo, se o problema afetar apenas um pequeno
subconjunto de usurios, voc poder adiar o reparo para um perodo fora do horrio de pico para
poder agendar o tempo de inatividade.
Conclua e teste cada reparo individualmente de forma que voc possa identificar a correo.
Para solucionar problemas de rede SAN, comece verificando as conexes fsicas e os logs de cada
componente de hardware. Alm disso, execute o Assistente para Validar uma Configurao para
verificar se a configurao atual do cluster ainda tem suporte.
Observao: Quando voc executar o Assistente para Validar uma Configurao, verifique
se os testes de armazenamento selecionados podem ser executados em um cluster de failover
online. Vrios testes de armazenamento causam perda de servio no disco clusterizado durante
a execuo.
10-32
10-33
A CAU (Atualizao com suporte a cluster) um recurso do Windows Server 2012 que permite que
os administradores atualizem ns de cluster automaticamente, com pouca ou nenhuma perda de
disponibilidade durante o processo de atualizao. Durante um procedimento de atualizao, a CAU
coloca cada n de cluster offline de forma transparente, instala as atualizaes e qualquer atualizao
dependente, executa uma reinicializao quando necessrio, coloca o n online novamente e passa
para a atualizao do prximo n em um cluster.
Para muitas funes clusterizadas, esse processo de atualizao automtica dispara um failover planejado
e pode causar uma interrupo de servio transiente para clientes conectados. No entanto, para cargas
de trabalho continuamente no Windows Server 2012 como Hyper-V com migrao ao vivo ou servidor
de arquivos com Failover Transparente SMB a CAU pode orquestrar atualizaes de cluster sem afetar
a disponibilidade do servio.
Modo de autoatualizao. Nesse modo, a funo clusterizada CAU configurada como carga de
trabalho no cluster de failover que deve ser atualizado, e uma agenda de atualizao associada
definida. Nesse cenrio, a CAU no tem um computador orquestrador dedicado. O cluster se atualiza
nos perodos agendados usando um perfil de Execuo da Atualizao padro ou personalizado.
Durante a Execuo da Atualizao, o processo orquestrador da CAU inicia no n que atualmente
possui a funo clusterizada CAU, e o processo executa atualizaes em sequncia em cada n de
cluster. No modo de autoatualizao, a CAU pode atualizar o cluster de failover usando um processo
de atualizao completamente automatizado de ponta a ponta. Um administrador tambm pode
disparar atualizaes sob demanda nesse modo ou usar a abordagem de atualizao remota, se
desejado. No modo de autoatualizao, o administrador pode acessar informaes resumidas uma
Execuo da Atualizao em andamento conectando ao cluster e executando o cmdlet Get-CauRun
do Windows PowerShell.
Para usar a CAU, voc deve instalar o recurso de cluster de failover no Windows Server 2012 e criar
um cluster de failover. Os componentes que oferecem suporte funcionalidade CAU so instalados
automaticamente em cada n de cluster.
Voc tambm deve instalar as ferramentas CAU, que so includas nas ferramentas do cluster de failover
(que tambm fazem parte do RSAT (Ferramentas de Administrao de Servidor Remoto)). As ferramentas
CAU consistem na interface de usurio da CAU e nos cmdlets de CAU do Windows PowerShell.
As ferramentas do cluster de failover so instaladas por padro em cada n de cluster quando
voc instala o recurso de cluster de failover. Voc tambm pode instalar essas ferramentas em
um computador local ou remoto que esteja executando o Windows Server 2012 ou o Windows 8,
e que tenha conectividade de rede com o cluster de failover.
Etapas da demonstrao
Configurar a CAU
1.
2.
3.
4.
5.
6.
10-34
Lio 5
10-35
Em alguns cenrios, voc pode ter de implantar ns de cluster em locais diferentes. Normalmente,
voc faz isso ao criar solues de recuperao de desastres. Nesta lio, voc aprender sobre clusters
de failover multissite e os pr-requisitos para implement-los. Voc tambm aprender sobre a replicao
sncrona e assncrona e o processo de escolha do modo de quorum para clusters multissite.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Um cluster de failover multissite tem trs vantagens principais em um local de failover, em comparao
a um servidor remoto:
Quando um local falha, um cluster multissite faz automaticamente o failover do servio ou aplicativo
clusterizado em outro local.
Devido ao aumento de custo e complexidade de um cluster de failover multissite, ele pode no ser uma
soluo ideal para todo aplicativo ou negcio. Quando voc estiver considerando se deve implantar ou
no um cluster multissite, avalie a importncia dos aplicativos para o negcio, o tipo dos aplicativos e
das solues alternativas. Alguns aplicativos podem proporcionar redundncia multissite facilmente
com o envio de logs ou outros processos, e ainda podem obter disponibilidade suficiente com apenas
um aumento modesto de custo e complexidade. Exemplos disso so o envio de logs do SQL Server,
a replicao contnua do Exchange Server e a replicao DFS.
10-36
Voc deve fornecer ao menos uma conexo de rede confivel de baixa latncia entre os locais.
Isso importante para pulsaes de cluster. Por padro, independentemente da configurao
de sub-rede, a frequncia de pulsao (tambm conhecida como atraso de sub-rede) uma
vez por segundo (1.000 milissegundos). O intervalo da frequncia de pulsao uma vez a cada
250-2000 milissegundos em uma sub-rede comum e 250-4.000 milissegundos entre sub-redes.
Por padro, quando um n perde uma srie de 5 pulsaes, outro n inicia o failover. O intervalo
desse valor (tambm conhecido como limite de sub-rede) de 3 a 10 pulsaes.
Voc deve garantir que todos os outros servios necessrios para o cluster, como AD DS e DNS,
tambm estejam disponveis em um segundo local.
Voc deve garantir que as conexes de cliente possam ser redirecionadas para um novo n
de cluster quando o failover acontecer.
10-37
Quando voc usa a replicao assncrona, o n recebe uma resposta de gravao concluda
do armazenamento depois que os dados so gravados com xito no armazenamento primrio.
Os dados so gravados no armazenamento secundrio em uma programao diferente, dependendo
da implementao do fornecedor de hardware ou software. A replicao assncrona pode ser
baseada em armazenamento, baseada em host ou at mesmo baseada em aplicativo. No entanto,
nem todas as formas de replicao assncrona so suficientes para um cluster multissite. Por exemplo,
a Replicao DFS fornece replicao assncrona no nvel de arquivo. No entanto, ela no oferece
suporte replicao de cluster de failover multissite. Isso porque a Replicao DFS replica
documentos menores que no so mantidos abertos continuamente e no foi criada para
replicao de arquivo aberto de alta velocidade.
Use a replicao sncrona quando a perda de dados no for aceitvel. As solues de replicao sncrona
requerem baixa latncia de gravao em disco, pois o aplicativo aguarda at que ambas as solues de
armazenamento reconheam as gravaes de dados. O requisito de gravaes em disco de baixa latncia
tambm limita a distncia entre os sistemas de armazenamento, pois o aumento da distncia pode causar
maior latncia. Se a latncia de disco for alta, o desempenho e at mesmo a estabilidade do aplicativo
podem ser afetados.
A replicao assncrona supera as limitaes de latncia e distncia reconhecendo apenas gravaes
em disco local, e reproduzindo a gravao em disco no sistema de armazenamento remoto em uma
transao separada. Como a replicao assncrona grava no sistema de armazenamento remoto depois
de gravar no sistema de armazenamento local, a possibilidade de perda de dados durante uma falha
aumenta.
Voc preserva a semntica dos comandos SCSI entre os locais, at mesmo se ocorrer uma falha
de comunicao completa entre os locais.
Voc replica o disco testemunha no modo sncrono em tempo real por todos os locais.
Como os clusters multissite podem ter falhas de rede WAN alm das falhas de rede local e de n,
Maioria dos Ns e Maioria dos Ns e Compartilhamentos de Arquivos so as melhores solues para
clusters multissite. Se houver uma falha de rede WAN que cause a perda de comunicao entre locais
primrios e secundrios, a maioria ainda dever estar disponvel para continuar as operaes.
Se houver um nmero mpar de ns, use o quorum Maioria dos Ns. Se houver um nmero par de ns,
o que normal em um cluster geograficamente disperso, voc poder usar o quorum Maioria dos Ns
com Compartilhamento de Arquivo.
10-38
Se estiver usando Maioria dos Ns e os locais perderem a comunicao, voc precisar de um mecanismo
para determinar quais ns permanecero no cluster e quais ns sairo do cluster. O segundo local requer
outro voto para obter quorum aps uma falha. Para obter outro voto para quorum, voc deve unir outro
n ao cluster ou criar uma testemunha de compartilhamento de arquivos.
O modo Maioria dos Ns e Compartilhamentos de Arquivos pode ajudar a manter o quorum sem
adicionar outro n ao cluster. Para fornecer um nico ponto de falha e habilitar o failover automtico,
talvez seja necessrio ter a testemunha de compartilhamento de arquivos em um terceiro local. Em um
cluster multissite, um nico servidor pode hospedar a testemunha de compartilhamento de arquivos.
No entanto, voc deve criar um compartilhamento de arquivos separado para cada cluster.
10-39
Voc deve usar trs locais para habilitar o failover automtico de um servio ou aplicativo altamente
disponvel. Localize um n no local primrio que executa o servio ou aplicativo altamente disponvel.
Localize um segundo n em um local de recuperao de desastres e localize o terceiro n para a
testemunha de compartilhamento de arquivos em um local diferente.
Deve haver conectividade de rede direta entre os trs locais. Dessa maneira, se um local no estiver
disponvel, os dois locais restantes ainda podero se comunicar e ter ns suficientes para um quorum.
Observao: No Windows Server 2008 R2, administradores podem configurar o quorum
para incluir ns. No entanto, se a configurao do quorum incluir ns, todos os ns foram
tratados igualmente de acordo com seus votos. No Windows Server 2012, voc pode ajustar as
configuraes de quorum do cluster de forma que, quando o cluster determinar se tem quorum,
alguns ns tenham um voto e outros no. Esse ajuste pode ser til quando voc implementar
solues em vrios locais.
1.
2.
Certifique-se de que a rede entre os locais esteja funcionando e que a latncia de rede seja aceitvel
para configurar o cluster. (Voc pode validar isso usando o Assistente para Validar Configurao
no Gerenciador de Cluster de Failover.)
3.
4.
Certifique-se de que os servios de infraestrutura de chave, como AD DS, DNS e DHCP, estejam
presentes em cada local.
5.
Execute o Assistente para Validar uma Configurao em todos os ns de cluster para determinar
se sua configurao aceitvel para criar um cluster.
6.
7.
8.
9.
10-40
O Windows Server 2012 permite que ns de cluster existam em diferentes sub-redes IP, o que permite
que um aplicativo ou servio clusterizado altere seu endereo IP com base nessa sub-rede IP. O DNS
atualiza o registro DNS do aplicativo clusterizado de forma que os clientes possam localizar a alterao
de endereo IP. Como os clientes recorrem ao DNS para localizar um servio ou aplicativo aps um
failover, talvez seja necessrio ajustar a configurao de Vida til dos registros DNS e a velocidade com
que os dados DNS so replicados. Alm disso, quando ns de cluster esto em vrios locais, a latncia de
rede pode exigir a modificao dos limites de atraso de comunicao (pulsao) entre ns e tempo limite.
10-41
Conforme os negcios da A. Datum Corporation se expandem, cada vez mais importante que muitos
dos aplicativos e servios da rede estejam disponveis o tempo todo. A A. Datum tem muitos servios
e aplicativos que precisam estar disponveis para seus usurios internos e externos que trabalham
em fusos horrios diferentes ao redor do mundo. Como muitos desses aplicativos no podem ser
transformados em altamente disponveis usando NBL (Balanceamento de Carga de Rede), voc
precisar usar uma tecnologia diferente.
Como um dos administradores de rede seniores da A. Datum Corporation, voc responsvel por
implementar o cluster de failover nos servidores Windows Server 2012, para fornecer alta disponibilidade
para servios e aplicativos de rede. Voc ser responsvel por planejar a configurao do cluster
de failover e implantar aplicativos e servios no cluster de failover.
Objetivos
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR3
24412B-LON-SVR4
MSL-TMG1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
Senha: Pa$$w0rd
5.
6.
Conectar ns do cluster aos destinos iSCSI (Internet Small Computer System Interface) .
2.
3.
4.
5.
10-42
1.
Em LON-SVR3, inicie o Iniciador iSCSIe configure Descobrir Portal com o endereo IP 172.16.0.21.
2.
3.
4.
5.
6.
7.
2.
2.
3.
4.
5.
Na pgina Resumo, desmarque a caixa de seleo ao lado de Criar o cluster agora usando
os ns validados e clique em Concluir.
10-43
1.
2.
3.
4.
2.
Localize o disco atribudo a Armazenamento Disponvel. (Se possvel, use Disco de Cluster 2).
3.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o recurso de cluster
de failover.
Na A. Datum Corporation, Servios de Arquivo um dos servios importantes que deve estar altamente
disponvel, pois hospeda dados importantes que so usados o tempo todo. Depois de criar uma
infraestrutura de cluster, voc decide configurar um servidor de arquivos altamente disponvel
e implementa configuraes para failover e failback.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
2.
3.
4.
Escolha implementar Expandir Servidor de Arquivos para dados de aplicativos (segunda opo).
5.
Observao: Se voc obtiver uma mensagem de erro dizendo que o cluster ainda no est
disponvel, aguarde um minuto e reinicie o Gerenciador de Cluster de Failover em outro n.
2.
3.
4.
2.
3.
4.
Resultados: Depois de concluir este exerccio, voc ter implantado e configurado um servidor
de arquivos altamente disponvel.
10-44
No processo de implementao de um cluster de failover, voc quer executar testes de failover e failback
para verificar se o cluster est funcionando corretamente.
As principais tarefas deste exerccio so:
1.
2.
2.
3.
4.
10-45
1.
2.
3.
Verifique se AdatumFS foi movido para outro n e se o local \\AdatumFS\ ainda est disponvel
no computador LON-DC1.
4.
5.
6.
7.
Resultados: Depois de concluir este exerccio, voc ter testado cenrios de failover e failback.
2.
2.
3.
Conecte a CLUSTER1.
4.
Observao: Uma conexo com a Internet necessria para esta etapa ser concluda
com xito. Certifique-se de que o servidor MSL-TMG1 esteja em execuo e de que voc
possa acessar a Internet em LON-DC1.
Observao: Em um ambiente de produo, ns no recomendamos implantar
ferramentas CAU em um controlador de domnio. Isso serve apenas para fins de laboratrio.
2.
3.
Em LON-SVR3, abra CAU e configure a autoatualizao para Cluster1 para ser executada
semanalmente, aos domingos s 4:00AM.
Resultados: Depois de concluir este exerccio, voc ter configurado a CAU no cluster de failover.
2.
3.
4.
10-46
Ferramentas
As ferramentas para implementao do cluster de failover incluem:
Windows PowerShell
Gerenciador do Servidor
Iniciador iSCSI
Gerenciamento de Disco
10-47
Mdulo 11
Implementao do cluster de failover com o Hyper-V
Contedo:
Viso geral do mdulo
11-1
11-2
11-9
11-19
11-26
11-38
11-43
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
O cluster de failover um recurso do Windows Server 2012 que permite tornar aplicativos ou servios
altamente disponveis. Para tornar mquinas virtuais altamente disponveis em um ambiente do Hyper-V,
voc deve implementar o cluster de failover nos computadores host do Hyper-V.
Esta lio fornece um resumo das opes de alta disponibilidade das mquinas virtuais baseadas no
Hyper-V e enfatiza o modo como o cluster de failover funciona, e como criar e implementar o cluster
de failover para o Hyper-V.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever os novos recursos de cluster de failover para o Hyper-V no Windows Server 2012.
Clustering de host
O clustering de host permite configurar um cluster de failover usando os servidores host do Hyper-V.
Quando voc configurar o clustering de host para o Hyper-V, configure a mquina virtual como um
recurso altamente disponvel. A proteo de failover implementada no nvel do servidor host. Isso
significa que o sistema operacional convidado e os aplicativos em execuo na mquina virtual no
precisam oferecer suporte a cluster. No entanto, a mquina virtual ainda est altamente disponvel.
Alguns exemplos de aplicativos que no oferecem suporte a cluster so servidores de impresso
ou aplicativos baseados em rede patenteada, como um aplicativo de contabilidade. Se o n de
host que controla a mquina virtual ficar indisponvel inesperadamente, o n de host secundrio
assumir controle e reiniciar a mquina virtual o mais rpido possvel.
11-3
Voc tambm pode mover a mquina virtual de um n do cluster para outro de maneira controlada. Por
exemplo, voc poderia mover a mquina virtual de um n para outro enquanto aplica o patch ao sistema
operacional host. Os aplicativos ou servios em execuo na mquina virtual no precisam ser compatveis
com o cluster de failover nem estar cientes de que a mquina virtual est clusterizada. Como o failover
est no nvel da mquina virtual, no h nenhuma dependncia no software instalado na mquina virtual.
O cluster de failover convidado configurado quase da mesma maneira que o cluster de failover
de servidor fsico; a nica diferena que os ns de cluster so vrias mquinas virtuais. Nesse cenrio,
voc cria duas ou mais mquinas virtuais e habilita o cluster de failover no sistema operacional convidado.
O aplicativo ou servio habilitado para alta disponibilidade entre as mquinas virtuais usando o cluster
de failover em cada mquina virtual. Como voc implementa o cluster de failover no sistema operacional
convidado de cada n de mquina virtual, pode localizar as mquinas virtuais em um nico host.
Essa pode ser uma configurao rpida e econmica em um ambiente de teste ou de preparo.
Em ambientes de produo, no entanto, voc poder proteger o aplicativo ou servio mais robustamente
se implantar as mquinas virtuais em computadores host do Hyper-V habilitados para cluster de failover
separado. Com o cluster de failover implementado nos nveis de host e de mquina virtual, voc pode
reiniciar o recurso independentemente de o n com falha ser uma mquina virtual ou um host. Essa
configurao tambm conhecida como um Cluster Convidado Por Hosts. Ela considerada uma
configurao de alta disponibilidade ideal para mquinas virtuais que esto executando aplicativos
crticos em um ambiente de produo.
Voc deve considerar vrios fatores ao implementar o clustering convidado:
O aplicativo ou servio deve oferecer suporte a cluster de failover. Isso inclui qualquer
servio do Windows Server 2012 que oferea suporte a cluster e qualquer aplicativo,
como o Microsoft SQL Server e Microsoft Exchange Server clusterizado.
As mquinas virtuais do Hyper-V podem usar conexes baseadas em Fiber Channel com o
armazenamento compartilhado (isso especfico somente do Microsoft Hyper-V Server 2012)
ou voc pode implementar conexes iSCSI (Internet Small Computer System Interface)
das mquinas virtuais para o armazenamento compartilhado.
Voc deve implantar vrios adaptadores de rede nos computadores host e nas mquinas virtuais.
O ideal que, ao usar uma conexo iSCSI, voc dedique uma conexo de rede conexo iSCSI,
rede privada entre os hosts e conexo de rede usada pelos computadores cliente.
O Balanceamento de Carga de Rede (NLB) funciona nas mquinas virtuais do mesmo modo que nos
hosts fsicos. Ele distribui o trfego IP para vrias instncias de um servio TCP/IP, como um servidor
Web em execuo em um host do cluster NLB. O NLB distribui as solicitaes do cliente entre os hosts
de forma transparente e permite que os clientes acessem o cluster usando um nome de host virtual ou
um endereo IP virtual. Do ponto de vista do computador cliente, o cluster parece ser um servidor nico
que responde a essas solicitaes do cliente. medida que o trfego da empresa aumenta, voc pode
adicionar outro servidor ao cluster.
Portanto, o NLB uma soluo apropriada para recursos que no precisam acomodar leitura exclusiva
ou solicitaes de gravao. Exemplos de aplicativos apropriados para NLB so os front-ends baseados
na Web para aplicativos de banco de dados ou servidores de acesso do cliente do Exchange Server.
Quando voc configurar um cluster NLB, dever instalar e configurar o aplicativo em todas as mquinas
virtuais. Depois que voc configurar o aplicativo, instale o recurso NLB do Windows Server 2012 no
sistema operacional convidado de cada mquina virtual (e no nos hosts Hyper-V) e configure um
cluster NLB para o aplicativo. As verses anteriores do Windows Server tambm oferecem suporte ao NLB,
o que significa que o sistema operacional convidado no se limita apenas ao Windows Server 2012.
Semelhante a um Cluster de Convidado Por Host, o recurso NLB geralmente tira proveito do melhor
desempenho geral de entrada/sada (E/S) quando os ns de mquina virtual esto localizados em
hosts Hyper-V diferentes.
Observao: Assim como nas verses anteriores do Windows Server, voc no
deve implementar o NLB e o cluster de failover no mesmo sistema operacional convidado,
pois as duas tecnologias esto em conflito entre si.
11-5
1.
O n em que a mquina virtual est sendo executada possui a instncia clusterizada da mquina
virtual, controla o acesso ao barramento compartilhado ou conexo iSCSI com o armazenamento
de cluster e tem a propriedade de todos os discos ou LUNs (nmeros de unidade lgica) atribudos
mquina virtual. Todos os ns do cluster usam uma rede privada para enviar sinais regulares,
conhecidos como sinais de pulsao, para o outro n. Os sinais de pulsao indica que um n est
funcionando e se comunicando com a rede. A configurao de pulsao padro especifica que cada
n envia uma pulsao sobre porta TCP/UDP 3343 a cada segundo (ou a cada 1.000 milissegundos).
2.
O failover iniciado quando o n que hospeda a mquina virtual no envia sinais de pulsao
regulares pela rede para os outros ns. Por padro, isso corresponde a cinco pulsaes
consecutivamente perdidas (ou 5.000 milissegundos). O failover pode ocorrer devido falha
em um n ou na rede.
3.
Quando os sinais de pulsao no so mais enviados pelo n com falha, um dos ns do cluster
comea a assumir o controle dos recursos utilizados pelas mquinas virtuais. Voc define os ns
que poderiam assumir o controle configurando as propriedades Proprietrios Preferenciais
e Possveis Proprietrios. O proprietrio preferencial especifica a hierarquia da propriedade,
se houver mais de um possvel n de failover para um recurso. Por padro, todos os ns
so possveis proprietrios. Portanto, a remoo de um n como um possvel proprietrio
o impossibilita de assumir o controle do recurso em uma situao de falha.
Por exemplo, suponhamos que voc implemente um cluster de failover usando trs ns. Porm,
somente dois ns so configurados como proprietrios preferenciais. Durante um evento de failover,
o recurso ainda poder ser assumido pelo terceiro n se nenhum dos proprietrios preferenciais
estiverem online. Embora o terceiro n no esteja configurado como um proprietrio preferencial,
contanto que seja um possvel proprietrio, o cluster de failover poder usar isso se necessrio
para restaurar o acesso ao recurso.
Os recursos so colocados online em ordem de dependncia. Por exemplo, se a mquina virtual fizer
referncia a um LUN iSCSI, o acesso aos adaptadores de barramento do host (HBAs), s redes e aos
LUNs apropriados ser armazenado nessa ordem. O failover concludo quando todos os recursos
ficam online no novo n. Para clientes que interagem com o recurso, h uma breve interrupo
do servio, que a maioria dos usurios no perceber.
4.
Voc tambm pode configurar o servio de cluster para fazer failback no n offline depois
que ele for ativado novamente. Quando o servio de cluster fizer failback, ele usar os mesmos
procedimentos executados durante o failover. Isso significa que o servio de cluster coloca
todos os recursos associados a essa instncia offline, move a instncia e coloca todos os
recursos da instncia online novamente.
Monitoramento do aplicativo da mquina virtual. Agora, voc pode monitorar os servios que esto
em execuo nas mquinas virtuais clusterizadas. Nos clusters que executam o Windows Server 2012,
os administradores podem configurar o monitoramento dos servios nas mquinas virtuais
clusterizadas que tambm esto executando o Windows Server 2012. Essa funcionalidade
estende o monitoramento de alto nvel de mquinas virtuais implementado nos clusters
de failover do Windows Server 2008 R2.
11-7
Planeje cenrios de failover. Ao elaborar os requisitos de hardware dos hosts do Hyper-V, verifique
se incluiu a capacidade de hardware necessria quando os hosts apresentarem falha. Por exemplo,
se voc implantar um cluster de seis ns, dever determinar o nmero de falhas de host que deseja
acomodar. Se voc decidir que o cluster deve sustentar a falha de dois ns, os quatro ns restantes
devero ter capacidade para executar todas as mquinas virtuais do cluster.
Planeje o design de rede do cluster de failover. Para otimizar o desempenho do cluster de failover
e o failover, dedique uma conexo de rede rpida para a comunicao entre ns. Como acontece
com as verses anteriores, essa rede deve estar lgica e fisicamente separada dos segmentos
de rede usados pelos clientes para se comunicarem com o cluster. Voc tambm pode usar essa
conexo de rede para transferir a memria da mquina virtual durante uma migrao ao vivo.
Se voc estiver usando o iSCSI para qualquer mquina virtual, dedique tambm uma conexo
de rede conexo iSCSI.
Desenvolva prticas de gerenciamento padro. Quando voc implanta vrias mquinas virtuais
em um cluster de failover, h um risco maior de um nico erro desligar uma grande parte da
implantao do servidor. Por exemplo, se um administrador configurar incorretamente o cluster
de failover e o cluster falhar, todas as mquinas virtuais do cluster ficaro offline. Para evitar isso,
desenvolva e teste completamente as instrues padronizadas para todas as tarefas administrativas.
Lio 2
11-9
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Configurar CSVs.
11-10
Adaptadores de rede. Assim como acontece com os outros recursos na soluo de cluster
de failover, o hardware de rede deve ser marcado como Certificado para Windows Server.
Para fornecer redundncia de rede, voc pode conectar ns de cluster a vrias redes distintas
ou conectar os ns a uma rede que usa adaptadores de rede emparelhados, comutadores
redundantes, roteadores redundantes ou hardware semelhante para remover pontos de falha
nicos. Como prtica recomendada, voc deve configurar vrios adaptadores de rede no
computador host configurado como n de cluster. Voc deve conectar um adaptador
rede privada usada pelas comunicaes entre hosts.
11-11
Use discos bsicos, e no discos dinmicos. Formate os discos com o sistema de arquivos NTFS.
Se voc estiver usando uma rede de rea de armazenamento (SAN), o driver de miniporta
que o armazenamento usa dever funcionar com o driver de armazenamento do Storport.
Considere o uso do software Multipath I/O: Se sua rede SAN usar um design de rede altamente
disponvel com componentes redundantes, voc poder implantar clusters de failover com vrios
adaptadores de barramento de host usando o software Multipath I/O. Isso fornecer o nvel mais
alto de redundncia e disponibilidade. Para o Windows Server 2008 R2 e o Windows Server 2012,
sua soluo de caminhos mltiplos deve se basear no Multipath I/O (MPIO).
Todos os servidores em um cluster de failover devem executar a verso x64 do Windows Server 2012
Standard ou Windows Server 2012 Datacenter. Os ns de um nico cluster de failover no podem
executar verses diferentes.
Todos os servidores devem ter as mesmas atualizaes de software e os mesmos service packs.
Todos os servidores devem ser instalados como uma instalao Server Core ou uma instalao
completa.
Se voc usar redes privadas no roteadas para toda a infraestrutura de rede a fim de estabelecer a
comunicao entre os ns de cluster, verifique se cada uma dessas redes privadas usa uma sub-rede
exclusiva.
DNS. Os servidores do cluster devem usar o Sistema de Nomes de Domnio (DNS) para resoluo
de nomes. Voc deve usar o protocolo de atualizao dinmica de DNS.
11-12
Funo de domnio. Todos os servidores do cluster devem estar no mesmo domnio dos Servios
de Domnio Active Directory (AD DS). Como prtica recomendada, todos os servidores clusterizados
devem ter a mesma funo de domnio: servidor membro ou controlador de domnio. A funo
recomendada servidor membro. Voc deve evitar a instalao de ns de cluster em controladores
de domnio, pois o AD DS tem seu prprio mecanismo de alta disponibilidade.
Conta para administrar o cluster. Ao criar um cluster pela primeira vez ou adicionar servidores a ele,
voc deve entrar no domnio com a conta de um administrador em todos os servidores do cluster.
Alm disso, se a conta no for uma conta Admins. do Domnio, ela dever ter a permisso Criar
Objetos de Computador no domnio.
2.
3.
Instale os recursos do Hyper-V e do cluster de failover nos servidores host. Use o Gerenciador do
Servidor no Console de Gerenciamento Microsoft (MMC) ou no Windows PowerShell para fazer isso.
4.
Valide a configurao do cluster. O Assistente para Validar Cluster verifica todos os componentes
de pr-requisito necessrios para criar um cluster e fornece avisos ou erros se algum componente
no estiver de acordo com os requisitos de cluster. Antes de continuar, resolva qualquer problema
identificado por esse assistente.
5.
Crie o cluster. Depois que os componentes passarem nas etapas do Assistente para Validar Cluster,
voc poder criar um cluster. Quando voc configurar o cluster, atribua um nome de cluster
e um endereo IP. Uma conta de computador para o nome de cluster criada no domnio
do Active Directory e o endereo IP registrado no DNS.
11-13
6.
Crie uma mquina virtual em um dos ns do cluster. Ao criar a mquina virtual, verifique se todos os
arquivos associados mquina virtual, incluindo os arquivos de configurao do disco rgido virtual
e da mquina virtual, esto no armazenamento compartilhado. Voc pode criar e gerenciar mquinas
virtuais no Gerenciador Hyper-V ou no Gerenciador de Cluster de Failover. Quando voc cria uma
mquina virtual usando o Gerenciador de Cluster de Failover, ela se torna altamente disponvel
automaticamente.
7.
Torne a mquina virtual altamente disponvel. Para tornar a mquina virtual altamente disponvel,
no Gerenciador de Cluster de Failover, selecione a opo que tornar um novo servio ou aplicativo
altamente disponvel. O Gerenciador de Cluster de Failover exibir uma lista dos servios e aplicativos
que podem se tornar altamente disponveis. Quando voc selecionar a opo para tornar as
mquinas virtuais altamente disponveis, poder selecionar a mquina virtual criada no
armazenamento compartilhado.
Observao: Quando voc optar por tornar uma mquina virtual altamente disponvel,
ver uma lista de todas as mquinas virtuais hospedadas em todos os ns de cluster, incluindo
as mquinas virtuais que no esto no armazenamento compartilhado. Se voc tornar altamente
disponvel uma mquina virtual que no est localizada no armazenamento compartilhado,
receber um aviso, mas o Hyper-V adicionar a mquina virtual lista de servios e aplicativos.
Entretanto, quando voc tentar migrar a mquina virtual para um host diferente, a migrao
falhar.
8.
Teste o failover de mquina virtual. Depois que voc tornar a mquina virtual altamente
disponvel, poder migrar o computador para outro n no cluster. Se voc estiver executando
o Windows Server 2008 R2 ou Windows Server 2012, poder optar por executar uma migrao
rpida ou uma migrao ao vivo.
Configurao de CSVs
No necessrio configurar e usar o CSV
ao implementar a alta disponibilidade para
mquinas virtuais no Hyper-V. Na verdade,
voc pode configurar um cluster do Hyper-V
sem usar o CSV. No entanto, como prtica
recomendada, voc usa o CSV para perceber
as seguintes vantagens:
Melhor uso do espao em disco. Em vez de colocar cada arquivo de disco rgido virtual (.vhdx) em um
disco separado com espao vazio para que o arquivo .vhdx possa se expandir, voc poder subscrever
em excesso o espao em disco armazenando vrios arquivos .vhdx no mesmo LUN.
11-14
Armazene os arquivos de mquina virtual em um nico local lgico. Voc pode rastrear os caminhos
dos arquivos .vhdx e de outros arquivos utilizados pelas mquinas virtuais. Em vez de usar letras de
unidade ou GUIDs para identificar discos, voc pode especificar os nomes de caminho. Quando
voc implementa o CSV, todos os armazenamentos adicionados aparecem na pasta \ClusterStorage.
A pasta \ClusterStorage criada na pasta do sistema do n do cluster e no pode ser movida. Isso
significa que todos os hosts do Hyper-V membros do cluster devem usar a mesma letra da unidade
do sistema; do contrrio, failovers de mquina virtual apresentaro falha.
Maior resilincia. O CSV aumenta a resilincia porque o cluster poder responder corretamente
mesmo se a conectividade entre um n e a rede SAN for interrompida ou parte de uma rede estiver
inoperante. O cluster roteia novamente o trfego para o CSV atravs de uma parte intacta da SAN
ou da rede.
Implementao do CSV
Depois de criar o cluster de failover, voc poder habilitar o CSV para o cluster e adicionar
armazenamento ao CSV.
Para que voc possa adicionar o armazenamento ao CSV, o LUN dever estar disponvel como
armazenamento compartilhado para o cluster. Quando voc cria um cluster de failover, todos
os discos compartilhados configurados no Gerenciador do Servidor so adicionados ao cluster e
voc pode adicion-los a um CSV. Se voc adicionar mais LUNs ao armazenamento compartilhado,
crie primeiramente volumes no LUN, adicione o armazenamento ao cluster e depois adicione
o armazenamento ao CSV.
Como prtica recomendada, voc deve configurar o CSV antes de tornar qualquer mquina virtual
altamente disponvel. Entretanto, voc pode converter o acesso de disco normal em CSV aps
a implantao. Ao implementar o CSV, considere o seguinte:
A letra de unidade ou o ponto de montagem do LUN removido quando voc converte o acesso
normal do disco em CSV. Isso significa que voc deve recriar todas as mquinas virtuais localizadas
no armazenamento compartilhado. Se voc precisar manter as mesmas configuraes de mquina
virtual, recomendvel exportar as mquinas virtuais, alternando para CSV e importando-as para
o Hyper-V. Alm disso, recomendvel usar a opo de migrao de armazenamento disponvel
na funo do Hyper-V no Windows Server 2012.
Voc no pode converter armazenamento compartilhado em CSV. Se houver uma nica mquina
virtual em execuo usando um disco de cluster, desligue a mquina virtual e adicione o disco
ao CSV.
11-15
Um ou mais computadores executando o Windows Server 2012 com a funo Hyper-V instalada.
Um ou mais computadores executando o Windows Server 2012 com a funo Servios de Arquivo
e Armazenamento instalada.
11-16
Etapas da demonstrao
Movimentao do armazenamento da mquina virtual para o destino iSCSI
2.
3.
N de cluster: LON-HOST2
11-17
Considere as seguintes recomendaes para assegurar que a estratgia de cluster de failover atender aos
requisitos da organizao:
Identifique os componentes ou servios que exigem alta disponibilidade. A menos que voc tenha
a opo de tornar todas as mquinas virtuais altamente disponveis, desenvolva prioridades para
os aplicativos que voc tornar altamente disponveis.
Identifique os componentes que devem estar altamente disponveis para tornar os aplicativos
altamente disponveis. Em alguns casos, o aplicativo pode ser executado em um nico servidor, e
tornar esse servidor altamente disponvel tudo o que voc precisa fazer. Outros aplicativos podem
exigir que vrios servidores e componentes (como o armazenamento ou a rede) se tornem altamente
disponveis. Alm disso, assegure que os controladores de domnio esto altamente disponveis e
que voc tem pelo menos um controlador de domnio na infraestrutura de hardware ou virtualizao
separada.
Identifique as caractersticas do aplicativo. Voc deve compreender vrios aspectos sobre o aplicativo.
o
A virtualizao do servidor que est executando o aplicativo uma opo? Alguns aplicativos
no tm suporte ou no so recomendados em um ambiente virtual.
Quais so as opes disponveis para tornar o aplicativo altamente disponvel? Voc pode tornar
alguns aplicativos altamente disponveis atravs de opes que no sejam o clustering de host.
Se outras opes estiverem disponveis, avalie os benefcios e as desvantagens de cada opo.
A migrao ao vivo um dos aspectos mais importantes do clustering do Hyper-V. Voc usa o recurso
Migrao ao Vivo no Windows Server 2012 para executar migraes ao vivo de mquinas virtuais.
Ao implementar a migrao ao vivo, considere o seguinte:
Verifique os requisitos bsicos. A migrao ao vivo requer que todos os hosts faam parte de um
cluster de failover do Windows Server 2012 e que os processadores do host devem tenham a mesma
arquitetura. Todos os hosts do cluster devem ter acesso a armazenamento compartilhado, que atende
aos requisitos do CSV.
Configure um adaptador de rede dedicado para a rede virtual privada. Quando voc implementar
o cluster de failover, dever configurar uma rede privada para o trfego de pulsao de cluster.
Voc usar essa rede para transferir a memria da mquina virtual durante um failover. Para otimizar
essa configurao, configure um adaptador para essa rede que tenha a capacidade de 1 gigabit
por segundo (Gbps) ou mais.
Use um hardware de host similar. Como prtica recomendada, todos os ns de cluster de failover
devem usar o mesmo hardware para se conectar ao armazenamento compartilhado, e todos os
ns do cluster devem ter processadores com a mesma arquitetura. Embora voc possa habilitar
o failover para mquinas virtuais em um host com verses de processador diferentes definindo
configuraes de compatibilidade de processador, o desempenho e a experincia do failover
sero mais consistentes se todos os servidores tiverem um hardware similar.
Gerencie as migraes ao vivo. No Windows Server 2008 R2, cada n no cluster de failover pode
executar somente uma migrao ao vivo por vez. Se, no Windows Server 2008 R2, voc tentar
iniciar uma segunda migrao ao vivo antes do trmino da primeira, a migrao falhar. Agora,
no Windows Server 2012, voc pode executar vrias migraes ao vivo simultaneamente.
11-18
11-19
Lio 3
A movimentao de mquinas virtuais de um local para outro um procedimento comum nos ambientes
do Hyper-V. Enquanto a movimentao de mquinas virtuais nas verses anteriores do Windows Server
exigia um tempo de inatividade, o Windows Server 2012 introduz novas tecnologias para permitir
a movimentao de mquinas virtuais sem interrupes. Nesta lio, voc obter informaes sobre
as opes de movimentao e migrao de mquinas virtuais.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Migrao de mquina virtual e de armazenamento. Com esse mtodo, voc move uma mquina
virtual ligada de um local para outro (ou de um host para outro) usando um assistente no
Gerenciador Hyper-V. A migrao de mquina virtual e de armazenamento no requerem cluster
de failover ou qualquer outra tecnologia de alta disponibilidade. Alm disso, voc no precisa
de armazenamento compartilhado quando move apenas a mquina virtual.
Migrao rpida. Este mtodo tambm est disponvel no Windows Server 2008. Ele requer que voc
tenha um cluster de failover instalado e configurado. O processo de migrao rpida salva o estado
da mquina virtual antes do failover e reinicia a mquina virtual depois que failover concludo.
11-20
Migrao ao vivo. Este recurso uma melhoria sobre a migrao rpida. Ele tambm est disponvel
no Windows Server 2008 R2. O recurso Migrao ao Vivo permite migrar uma mquina virtual de um
host para outro sem tempo de inatividade. Diferente do processo de migrao rpida, a migrao ao
vivo no salva o estado da mquina virtual; em vez disso, ele sincroniza o estado durante o failover.
Rplica do Hyper-V. Este novo recurso do Windows Server 2012 permite replicar uma mquina
virtual, em vez de mov-la para outro host, e sincronizar todas as alteraes da mquina virtual
do host primrio para o host que contm a rplica.
Exportao e importao de mquinas virtuais. Este um mtodo estabelecido para mover mquinas
virtuais sem usar um cluster. Voc exporta uma mquina virtual em um host e, em seguida, move
fisicamente os arquivos exportados para outro host executando uma operao de importao.
Historicamente, essa operao demorada exige que voc desative as mquinas virtuais durante
a exportao e a importao. No Windows Server 2012, este mtodo de migrao melhorado.
Voc pode importar uma mquina virtual para um host do Hyper-V sem export-la antes da
importao. Agora, a funo Hyper-V no Windows Server 2012 capaz de definir todas as
configuraes necessrias durante a operao de importao.
Para copiar um disco rgido virtual, inicie a migrao de armazenamento ao vivo usando o console
do Hyper-V. Se desejar, voc pode usar os cmdlets do Windows PowerShell.
2.
O processo de migrao cria um novo VHD no local de destino e inicia o processo de cpia.
3.
4.
Assim que o processo de cpia de disco concludo, o Hyper-V alterna as mquinas virtuais
para serem executadas no disco rgido virtual de destino. Alm disso, se voc estiver movendo
a mquina virtual para outro host, a configurao do computador ser copiada e a mquina
virtual ser associada ao host. Se ocorrer uma falha no lado do destino, sempre haver uma
opo de failback que poder ser executada no diretrio de origem.
5.
Depois que a mquina virtual concluir a migrao, o processo excluir os discos rgidos virtuais
de origem.
O momento em que ser necessrio mover uma mquina virtual depende dos locais de origem e de
destino, a velocidade dos discos rgidos, o armazenamento ou a rede, e o tamanho dos discos rgidos
virtuais. O processo de movimentao ser mais rpido se os locais de origem e de destino estiverem
no armazenamento, e se o armazenamento oferecer suporte a arquivos .odx. Em vez de usar as
operaes de leitura e gravao armazenadas em buffer, o arquivo .odx inicia a operao de cpia
com um comando de leitura de descarregamento e recupera um token que representa os dados do
dispositivo de armazenamento. Ele usa um comando de gravao de descarregamento com o token
para solicitar a movimentao dos dados do disco de origem para o disco de destino.
Quando voc mover os discos rgidos virtuais de uma mquina virtual para outro local, o Assistente
para Movimentao de Mquina Virtual apresenta trs opes disponveis:
Mova todos os dados da mquina virtual para um nico local. Especifique um nico local
de destino, como arquivo de disco, configurao, instantneo e paginao inteligente.
Mova os dados da mquina virtual para um local diferente. Especifique locais individuais
para cada item de mquina virtual.
Mova somente o disco rgido virtual da mquina virtual. Mova apenas o arquivo de disco
rgido virtual.
11-21
Voc pode iniciar uma migrao ao vivo por meio de um destes mtodos:
O Console do Administrador do Virtual Machine Manager, se voc usar o VMM para gerenciar
os hosts fsicos.
11-22
1.
Configurao da migrao. Quando voc inicia o failover da mquina virtual, o n de origem cria
uma conexo TCP com o host fsico de destino. Essa conexo usada para transferir os dados de
configurao de mquina virtual para o host fsico de destino. A migrao ao vivo cria uma mquina
virtual temporria no host fsico de destino e aloca memria para a mquina virtual de destino.
A preparao da migrao tambm verifica se a mquina virtual pode ser migrada.
2.
3.
Transferncia de estado. Para migrar a mquina virtual para o host de destino, o Hyper-V interrompe
a partio de origem, transfere o estado da mquina virtual (incluindo as pginas de memria sujas
restantes) para o host de destino e restaura a mquina virtual no host de destino. A mquina virtual
pausada durante a transferncia de estado final.
4.
Limpeza. A fase de limpeza conclui a migrao destruindo a mquina virtual no host de origem,
finalizando os threads de trabalho e sinalizando a concluso da migrao.
11-23
Para resolver esse problema e permitir que os administradores tenham uma cpia atualizada
de uma nica mquina virtual, a Microsoft implementou a Rplica do Hyper-V, um recurso do
Windows Server 2012. Esse recurso permite que as mquinas virtuais em execuo em um local ou host
de site primrio sejam replicadas em um local ou host de site secundrio em um link WAN ou LAN.
A rplica do Hyper-V permite que voc tenha duas instncias de uma nica mquina virtual em hosts
diferentes: uma como cpia principal (viva) e outra como rplica (offline). Essas cpias so sincronizadas,
e voc pode executar o failover a qualquer momento. Caso ocorra uma falha em um site primrio, voc
poder usar a Rplica do Hyper-V para executar um failover das cargas de trabalho de produo nos
servidores de rplica em um local secundrio dentro de alguns minutos, incorrendo em um tempo de
inatividade mnimo. As rplicas do Hyper-V so atualizadas a cada 5 minutos atravs de um processo
de sincronizao. Voc no pode modificar essa agenda de replicao.
As configuraes de site no precisam usar o mesmo servidor ou hardware de armazenamento.
A Rplica do Hyper-V permite que um administrador restaure as cargas de trabalho virtualizadas para
um momento determinado, dependendo das selees de Histrico de Recuperao da mquina virtual.
A Rplica do Hyper-V consiste em vrios componentes:
11-24
Mdulo de rede: o mdulo de rede fornece um modo seguro e eficiente de transferir rplicas
de mquina virtual entre hosts primrios e hosts de rplica. Ele usa a compactao de dados,
que habilitada por padro. A operao de transferncia segura porque se baseia na autenticao
HTTPS e baseada em certificao.
Funo de servidor Agente de Rplica do Hyper-V: uma nova funo de servidor implementada
no Windows Server 2012 e configurada durante o cluster de failover. Ela permite que voc tenha a
funcionalidade Rplica do Hyper-V at mesmo quando a mquina virtual que est sendo replicada
estiver altamente disponvel e puder ser movida de um n de cluster para outro. O servidor do
Agente de Rplica do Hyper-V redireciona todos os eventos especficos de mquina virtual para o
n apropriado no cluster de rplica. O Agente consulta o banco de dados de cluster para determinar
qual n deve tratar quais eventos. Isso assegura que todos os eventos sejam redirecionados para
o n correto no cluster caso um processo de migrao rpida, migrao ao vivo ou migrao
de armazenamento seja executado.
H conectividade de rede entre os locais que esto hospedando os servidores primrio e de rplica.
A conectividade pode ser feita atravs de um link WAN ou de rede local (LAN).
As regras de firewall so configuradas corretamente para habilitar a replicao entre os sites primrio
e de rplica. Por padro, o trfego usa a porta TCP 80 ou a porta 443.
11-25
Para habilitar a Rplica do Hyper-V, primeiro defina as configuraes do servidor Hyper-V. No grupo
de opes Configurao de Replicao, habilite o servidor Hyper-V como um servidor de rplica, e
selecione as opes de autenticao e de porta. Voc tambm deve configurar as opes de autorizao.
Voc pode optar por habilitar a replicao em qualquer servidor que execute a autenticao com xito,
o que conveniente em cenrios em que todos os servidores fazem parte do mesmo domnio. Se desejar,
voc pode digitar os nomes de domnio totalmente qualificados (FQDNs) dos servidores que voc aceita
como rplicas. Alm disso, voc deve configurar o local dos arquivos de rplica. Voc deve definir essas
configuraes em cada servidor que servir como servidor de rplica.
Depois que configurar as opes no nvel do servidor, habilite a replicao em uma mquina virtual.
Durante essa configurao, voc deve especificar o nome do servidor de rplica e as opes da conexo.
Se a mquina virtual tiver mais de um VHD, voc poder selecionar quais unidades de VHD deseja
replicar. Voc tambm pode configurar o histrico de recuperao e o mtodo de replicao inicial.
Inicie o processo de replicao aps configurar essas opes.
Etapas da demonstrao
Configurao de uma rplica
1.
2.
Em LON-HOST1 e LON-HOST2, configure cada servidor para ser um servidor de Rplica do Hyper-V.
o
Crie e use a pasta E:\VMReplica como local padro para armazenamento de arquivos de rplica.
Habilite a regra de firewall Ouvinte de HTTP da Rplica do Hyper-V (TCP-In) em ambos os hosts.
Configurao da replicao
1.
2.
Aguarde a replicao inicial ser concluda e assegure que a mquina virtual 24412B-LON-CORE
ser exibida no Gerenciador Hyper-V em LON-HOST2.
Lio 4
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o VMM.
11-26
11-27
Banco de dados do Virtual Machine Manager. O VMM usa um banco de dados do SQL Server
para armazenar as informaes exibidas no console de gerenciamento do VMM, como as mquinas
virtuais gerenciadas, os hosts de mquina virtual, as bibliotecas de mquina virtual, os trabalhos
e outros dados relacionados a mquinas virtuais.
Biblioteca do Virtual Machine Manager. Uma biblioteca um catlogo de recursos, como discos
rgidos virtuais, modelos e perfis, que so usados para implantar mquinas virtuais e servios. Um
servidor de biblioteca tambm hospeda pastas compartilhadas que armazenam recursos baseados
em arquivo. O servidor do Virtual Machine Management sempre o servidor de biblioteca padro,
mas voc pode adicionar outros servidores de biblioteca posteriormente.
Shell de comando. O Windows PowerShell a interface de linha de comando usada para executar
cmdlets que executam todas as funes disponveis do VMM. Voc pode usar esses cmdlets
especficos do VMM para gerenciar todas as aes em um ambiente do VMM.
11-28
Alm de ter o Windows Server 2008 R2 ou o Windows Server 2012 instalado, o software a seguir deve ser
instalado no servidor que executar o Virtual Machine Manager :
Windows PowerShell 2.0, se o console de gerenciamento do VMM for executado no mesmo servidor
Gerenciamento Remoto do Windows 2.0. Observe que, por padro, o Windows Server 2008 R2 j
vem com tudo isso instalado; portanto, voc deve apenas verificar se o servio est em execuo.
SQL Server 2008 Service Pack 2 (SP2) (Standard ou Enterprise) ou SQL Server 2008 R2 SP1 Standard,
Enterprise ou Datacenter. Ser necessrio somente quando voc instalar o servidor de gerenciamento
do VMM e o SQL Server no mesmo computador.
CPU: CPU de ncleo nico, 2 gigahertz (GHz); CPU de ncleo duplo, 2,8 GHz
Espao em disco: 40 a 150 GB, depende se voc instalar um banco de dados do SQL Server
no mesmo servidor ou no. Alm disso, se a biblioteca estiver no mesmo servidor, o espao
em disco tambm depender do contedo da biblioteca.
A biblioteca do Virtual Machine Manager o servidor que hospeda recursos para compilar mquinas
virtuais, servios e nuvens privadas. Em ambientes menores, voc normalmente instala a biblioteca
do Virtual Machine Manager no servidor de gerenciamento do VMM. Se esse for o caso, os requisitos
de hardware e software sero iguais aos do servidor de gerenciamento do VMM. Em ambientes maiores
e mais complexos, recomendvel que voc mantenha a biblioteca do Virtual Machine Manager em um
servidor separado em uma configurao altamente disponvel. Se voc deseja implantar outro servidor
de biblioteca do Virtual Machine Manager, o servidor dever atender aos seguintes requisitos:
Sistema operacional com suporte: Windows Server 2008 ou Windows Server 2008 R2
Espao em disco: varia de acordo com o nmero e o tamanho dos arquivos armazenados
11-29
Voc pode configurar os seguintes recursos no espao de trabalho Fabric do console de gerenciamento
do VMM:
Servidores. No n Servidores, voc pode configurar e gerenciar vrios tipos de servidores. Os grupos
de hosts contm hosts de virtualizao, que so os destinos que voc pode usar para implantar
mquinas virtuais. Os servidores de biblioteca so os repositrios dos blocos de construo,
como imagens, arquivos .iso e modelos, para a criao de mquinas virtuais.
Sistema de rede. O n Sistema de Rede o local onde voc pode definir redes lgicas, atribuir pools
de IP estticos e endereos de controle de acesso mdia (MAC), e integrar balanceadores de carga.
As redes lgicas so agrupamentos de sub-redes IP e VLANs definidos pelo usurio que organizam
e simplificam atribuies de rede. As redes lgicas fornecem uma abstrao da infraestrutura fsica
subjacente, e permitem que voc provisione e isole o trfego de rede com base nos critrios
selecionados, como propriedades de conectividade e contratos de nvel de servio (SLAs).
11-30
O VMM fornece dois novos recursos que ajudam a otimizar o consumo de energia e de recursos nos hosts
gerenciados pelo VMM: otimizao dinmica e otimizao de energia. A otimizao dinmica balanceia
a carga da mquina virtual em um cluster de host, enquanto a otimizao de energia permite ao VMM
evacuar hosts de cluster balanceados e deslig-los para economizar energia.
A maneira recomendada de organizar hosts no VMM criando grupos de hosts. Isso simplifica as tarefas
de gerenciamento. Um grupo de hosts permite aplicar configuraes a vrios hosts ou clusters de host
com uma nica ao. Por padro, h um nico grupo de hosts no VMM chamado Todos os Hosts.
No entanto, se necessrio, voc pode criar grupos adicionais para o seu ambiente.
Os grupos de hosts so hierrquicos. Quando voc cria um novo grupo de hosts filho, ele herda as
configuraes do grupo de hosts pai. Quando um grupo de hosts filho for movido para um novo grupo
de hosts pai, o grupo de hosts filho manter suas configuraes originais, com exceo das configuraes
do Performance and Resource Optimization (PRO), que so gerenciadas separadamente. Quando
as configuraes em um grupo de hosts pai forem alteradas, voc poder aplic-las aos grupos
de hosts filho.
Voc usa os grupos de hosts nos seguintes cenrios:
Para fornecer uma organizao bsica quando estiver gerenciando vrios hosts e mquinas virtuais.
Voc pode criar modos de exibio personalizados na exibies Hosts e Mquinas Virtuais para
oferecer monitoramento e acesso fceis ao host. Por exemplo, voc pode criar um grupo de hosts
para cada escritrio da organizao.
Para reservar recursos que sero usados pelos hosts. As reservas de host so teis quando as
mquinas virtuais so colocadas em um host. As reservas de host determinam a CPU, a memria,
o espao em disco, a capacidade de E/S do disco e a capacidade de rede continuamente disponveis
no sistema operacional host.
Para usar a ao de propriedades Grupo de Hosts para o grupo de hosts raiz Todos os Hosts, a fim de
definir reservas de host padro para todos os hosts gerenciados pelo VMM. Se voc deseja usar mais
os recursos em alguns hosts do que em outros, poder definir reservas de host de forma diferente
para cada grupo de hosts.
Para designar hosts nos quais um usurio pode criar e operar suas prprias mquinas virtuais.
Quando um administrador do VMM adiciona funes de usurio de autoatendimento, uma parte
da criao da funo identificar os hosts nos quais os usurios ou grupos de autoatendimento dessa
funo podem criar, operar e gerenciar suas prprias mquinas virtuais. Como prtica recomendada,
voc deve designar um grupo de hosts especfico para essa finalidade.
Voc pode criar novas mquinas virtuais convertendo um computador fsico existente ou clonando
uma mquina virtual existente.
11-31
Voc tambm poder usar um VHD em branco quando quiser usar um sistema operacional com um
ambiente Pre-Boot Execution Environment (PXE). Se desejar, voc pode colocar uma imagem .iso em
um DVD-ROM virtual e instalar um sistema operacional. Esta uma maneira eficaz de criar a imagem
de origem de uma mquina virtual, que voc poder usar como um futuro modelo. Para instalar o
sistema operacional nessa mquina virtual, use um arquivo de imagem .iso da biblioteca ou de um
disco local, mapeie uma unidade fsica no computador host ou inicie a instalao do sistema operacional
convidado por meio de uma inicializao de servio de rede.
Se voc tiver uma biblioteca de VHDs que queira usar no ambiente do VMM, crie uma mquina virtual
a partir de um VHD existente. Voc tambm pode selecionar VHDs existentes ao implantar qualquer
sistema operacional a partir do qual o VMM no possa criar um modelo, como um sistema operacional
que no seja baseado no Windows.
11-32
Ao criar uma nova mquina virtual usando um VHD existente, voc basicamente est criando uma nova
configurao de mquina virtual associada ao arquivo VHD. O VMM criar uma cpia do VHD de origem
de forma que voc no tenha que mover nem modificar o VHD original. Nesse cenrio, o VHD de origem
deve atender aos seguintes requisitos:
Deixe a senha do Administrador em branco no VHD original como parte do processo da Ferramenta
de Preparao do Sistema (SysPrep).
Observao: Quando o VMM 2012 SP1 for liberado, o VMM 2012 oferecer suporte
ao formato de disco rgido virtual .vhdx.
Voc pode criar uma nova mquina virtual com base em um modelo da biblioteca do Virtual Machine
Manager. O modelo um recurso de biblioteca, que se vincula a uma unidade VHD com um sistema
operacional generalizado, configuraes de hardware e configuraes de sistema operacional convidado.
Voc usa as configuraes de sistema operacional convidado para definir as configuraes de sistema
operacional como nome de computador, senha do administrador local e associao de domnio.
O processo de implantao no modifica o modelo, que voc pode reutilizar vrias vezes. Se voc
estiver criando mquinas virtuais no Portal de Autoatendimento, use um modelo.
Os requisitos a seguir se aplicaro se voc quiser implantar uma nova mquina virtual a partir
de um modelo:
Voc deve deixar a senha do Administrador em branco no VHD como parte do processo da SysPrep.
No entanto, voc no precisa deixar a senha do Administrador em branco no perfil do sistema
operacional convidado.
Para modelos personalizados, voc deve preparar o sistema operacional no VHD removendo
as informaes de identidade do computador. Para sistemas operacionais Windows, voc pode
preparar o VHD usando a ferramenta Sysprep.
O host para implantao. O modelo usado por voc oferece uma lista de hosts possveis
e suas classificaes.
As redes virtuais usadas para a mquina virtual. Ser exibida uma lista de redes virtuais existentes
no host.
11-33
Um servio frequentemente inclui vrios computadores que devem funcionar em conjunto para fornecer
um servio aos usurios finais. Por exemplo, um servio baseado na Web normalmente um aplicativo
implantado em um servidor Web que se conecta a um servidor de banco de dados, que pode ser
hospedado em outro computador, e executa a autenticao em um controlador de domnio do
Active Directory. A habilitao desse aplicativo requer trs funes, e possivelmente trs computadores:
um servidor Web, um servidor de banco de dados e um controlador de domnio. A implantao de um
ambiente de teste para um servio como esse pode ser demorado e consumir muitos recursos. O ideal
que os desenvolvedores trabalham com os administradores de TI para criar um ambiente onde eles
possam implantar e testar o aplicativo Web.
No VMM, um servio um conjunto de uma ou mais mquinas virtuais que voc implanta e gerencia
como uma nica entidade. Voc configura essas mquinas para serem executadas em conjunto e, assim,
fornecer um servio. No Windows Server 2008, os usurios podem implantar novas mquinas virtuais
usando o Portal de Autoatendimento. No VMM, os usurios finais podem implantar novos servios.
Ao implantar um servio, os usurios esto, na verdade, implantando toda a infraestrutura, incluindo
as mquinas virtuais, as conexes de rede e os aplicativos necessrios para que o servio funcione.
11-34
No entanto, voc tambm pode usar os servios para implantar apenas uma mquina virtual sem
nenhuma finalidade especfica. Em vez de implantar mquinas virtuais do modo histrico, agora voc
pode criar um servio que implantar uma mquina virtual, por exemplo, com o Windows Server 2008 R2
e com vrias funes e recursos pr-instalados e associados ao domnio. Isso simplifica o processo
de criao e posterior atualizao de novas mquinas virtuais.
A implantao de um novo servio requer um alto nvel alto de automao e componentes predefinidos,
e suporte ao software de gerenciamento. Isso acontece porque o VMM fornece modelos de servio.
Um modelo de servio um modelo que encapsula tudo o que necessrio para implantar e executar
uma nova instncia de um aplicativo. Da mesma maneira que um usurio de nuvem privada pode criar
novas mquinas virtuais sob demanda, o usurio tambm pode usar os modelos de servio para instalar
e iniciar novos aplicativos sob demanda.
2.
O proprietrio do aplicativo do usurio final, por exemplo, um desenvolvedor que precise implantar
o ambiente do aplicativo, abre o App Controller e solicita uma nova implantao de servio com
base nos modelos de servio disponveis que o desenvolvedor pode acessar. O desenvolvedor
pode implantar o servio em uma nuvem privada no qual um usurio tenha acesso. Como alternativa
para o App Controller, o usurio tambm pode usar o console do VMM.
3.
O servidor Virtual Machine Manager avalia a solicitao enviada. O VMM procura os recursos
disponveis na nuvem privada, calcula a cota de usurio e verifica se a nuvem privada tem recursos
suficientes para a implantao de servio solicitada.
4.
5.
6.
Se voc precisar de aprovao manual para a criao de recursos, use o System Center 2012 Service Manager para criar fluxos de trabalho para essa finalidade.
O modelo de servio inclui informaes sobre as mquinas virtuais implantadas como parte do servio,
quais aplicativos sero instalados nas mquinas virtuais e a configurao de sistema de rede necessria
ao servio (incluindo o uso de um NLB). O modelo de servio pode usar os modelos de mquina virtual
existentes. Embora seja possvel definir o servio sem usar qualquer modelo de mquina virtual existente,
ser mais fcil compilar um modelo se voc j tiver criado modelos. Depois que voc criar um modelo
de servio, configure-o para implantao usando a opo Configurar Implantao.
11-35
O VMM permite a converso das mquinas virtuais do VMware existentes em mquinas virtuais para
a plataforma do Hyper-V. Esse processo conhecido como uma converso VV (V2V - Virtual to Virtual).
Com a converso VV (V2V - Virtual to Virtual), os administradores podem consolidar um ambiente virtual
que esteja com vrias plataformas virtuais em execuo sem mover dados ou recriar mquinas virtuais
do zero.
11-36
O VMM permite copiar as mquinas virtuais do VMware existentes e criar mquinas virtuais do Hyper-V.
Voc pode copiar as mquinas virtuais do VMware localizadas nos hosts de servidor ESX, nas bibliotecas
do Virtual Machine Manager ou nos compartilhamentos do Windows. Embora VV seja chamado de
converso, trata-se de uma operao somente leitura que no exclui nem afeta a mquina virtual original.
Alm disso, o termo converso dedicado somente ao processo de converso das mquinas virtuais
do VMware. O termo migrao usado para mquinas de servidor virtuais.
Durante o processo de converso, o VMM converte os arquivos .vmdk do VMware em arquivos .vhd
e torna o sistema operacional da mquina virtual compatvel com as tecnologias de virtualizao da
Microsoft. A mquina virtual criada pelo assistente corresponde s propriedades da mquina virtual
do VMware, incluindo nome, descrio, memria e atribuies de disco para barramento.
Todos os computadores nos quais voc instala o servidor do Virtual Machine Manager altamente
disponvel esto em conformidade com os requisitos de hardware mnimos e o software de
pr-requisito est instalado em todos os computadores.
Voc criou uma conta de domnio a ser usada pelo servio VMM. Voc deve usar uma conta
de usurio de domnio para um servidor do Virtual Machine Manager altamente disponvel.
Voc est preparado para usar o gerenciamento distribudo de chaves para armazenar as chaves
de criptografia no AD DS. Voc deve usar um gerenciamento distribudo de chaves para um
servidor do Virtual Machine Manager altamente disponvel.
Voc tem um computador com uma verso do SQL Server com suporte instalada e em execuo.
Diferente do VMM 2008 R2, o VMM no instalar um SQL Server Express Edition automaticamente.
11-37
Voc no pode executar um failover planejado, por exemplo, para instalar uma atualizao de segurana
ou executar manuteno em um n de cluster, usando o Console do Administrador do Virtual Machine
Manager. Em vez disso, para executar um failover planejado, use o Gerenciador de Cluster de Failover.
Objetivos
Configurao do laboratrio
Tempo previsto: 75 minutos
Mquinas virtuais
24412B-LON-DC1-B
24412B-LON-SVR1-B
24412B-LON-HOST1
24412B-LON-HOST2
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
11-38
Voc deve executar este laboratrio com um parceiro. Para executar este laboratrio, inicialize os
computadores host no Windows Server 2012. Assegura que voc e seu parceiro inicializaram hosts
diferentes (um deve inicializar a mquina virtual 24412B-LON-HOST1 e o outro deve inicializar a mquina
virtual 24412B-LON-HOST2) e entrar como Adatum\Administrador com a senha Pa$$w0rd. Quando
voc tiver inicializado o ambiente do Windows Server 2012, execute as seguintes tarefas de instalao:
1.
2.
No Gerenciador Hyper-V, inicie as seguintes mquinas virtuais como base no seu host:
o
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
b.
Senha: Pa$$w0rd
2.
3.
4.
5.
2.
3.
4.
2.
11-39
1.
Em LON-HOST1 e LON-HOST2, configure cada servidor para ser um servidor de Rplica do Hyper-V
usando as seguintes configuraes:
o
Crie e use a pasta E:\VMReplica como local padro para armazenamento de arquivos de rplica.
Habilite a regra de firewall Ouvinte de HTTP da Rplica do Hyper-V (TCP-In) em ambos os hosts.
2.
2.
3.
4.
Resultados: Aps concluir este exerccio, voc ter configurado uma Rplica do Hyper-V.
2.
3.
2.
Use 172.16.0.21 como endereo que ser usado para descobrir o destino iSCSI e conectar-se a ele.
3.
4.
Use 172.16.0.21 como endereo que ser usado para descobrir o destino iSCSI e conectar-se a ele.
11-40
5.
6.
2.
11-41
1.
2.
3.
4.
Resultados: Aps concluir este exerccio, voc ter configurado um cluster de failover para o Hyper-V.
2.
3.
4.
2.
3.
2.
3.
N de cluster: LON-HOST1
2.
Conecte-se a TestClusterVM e assegure que voc poder operar a mquina virtual enquanto
estiver migrando para outro host.
2.
3.
4.
Resultados: Aps concluir este exerccio, voc ter configurado uma mquina virtual altamente
disponvel.
Reinicie LON-HOST1.
2.
3.
4.
11-42
11-43
Perguntas de reviso
Pergunta: No Windows Server 2008 R2, voc precisa implementar o CSV para fornecer
alta disponibilidade para mquinas virtuais no VMM?
Mdulo 12
Implementao da recuperao de desastres
Contedo:
Viso geral do mdulo
12-1
12-2
12-8
12-19
12-24
12-29
Avaliao do curso
12-30
Organizaes sempre so vulnerveis a perder alguns ou todos os seus dados, por razes como excluso
no intencional, sistema de arquivos corrompido, falhas de hardware, usurios mal-intencionados
e desastres naturais. Por isso, as organizaes devem ter estratgias de recuperao bem definidas
e testadas que ajudaro a colocar seus servidores e dados em um estado ntegro e operacional
novamente e o mais rpido possvel.
Neste mdulo, voc saber como identificar riscos de segurana para sua organizao. Voc tambm
conhecer a recuperao de desastres e os requisitos de recuperao de desastres. Voc tambm
aprender a planejar o backup na sua organizao e quais etapas poder executar para recuperar dados.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
A recuperao de desastres uma metodologia que descreve as etapas que voc precisa executar aps
a ocorrncia de um desastre, colocar dados, servios e servidores novamente em um estado operacional.
Um plano de recuperao de desastres efetivo aborda as necessidades da organizao sem fornecer um
nvel desnecessrio de cobertura. Embora a proteo absoluta possa parecer desejvel, improvvel
que seja economicamente vivel. Ao criar um plano de recuperao de desastres, voc precisa equilibrar
o custo para a organizao de um desastre especfico com o custo para a organizao da proteo contra
esse desastre.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
2.
Identifique os riscos associados a esses recursos crticos. Por exemplo, os dados podem
ser acidentalmente ou intencionalmente excludos e um disco rgido ou controlador de
armazenamento no qual esto armazenados pode falhar. Alm disso, os servios que usam
dados crticos podem falhar por muitas razes (como problemas de rede) e os servidores
podem falhar por causa de problemas de hardware. Interrupes de energia importantes
tambm podem causar o desligamento de sites inteiros.
3.
Identifique a hora necessria para executar a recuperao. Com base em seus requisitos
comerciais, as organizaes devem decidir quanto tempo aceitvel para recuperar
recursos crticos. Os cenrios podem variar de minutos a horas ou at mesmo um dia.
4.
Desenvolva uma estratgia de recuperao. Com base nas etapas anteriores, as organizaes
definiro um contrato de nvel de servio que incluir informaes como nveis de servio e horas
de atendimento. As organizaes devem desenvolver uma estratgia de recuperao de desastres
que as ajudar a minimizar os riscos e, ao mesmo tempo, recuperar seus recursos crticos dentro
do tempo mnimo aceitvel para seus requisitos comerciais.
12-3
Horas de operao. As Horas de operao definem por quanto tempo os dados e os servios esto
disponveis para os usurios e quanto tempo de inatividade planejado haver devido manuteno
do sistema.
Voc pode configurar o software de backup para fazer backups a cada hora, oferecendo um RPO
terico de 60 minutos. Ao calcular o RPO, tambm importante levar em conta o tempo necessrio
para executar o backup. Por exemplo, suponha que so necessrios 15 minutos para executar
um backup e voc faz backup a cada hora. Se uma falha ocorrer durante o processo de backup,
seu melhor RPO possvel ser 1 hora e 15 minutos. Um RPO realista sempre tem que equilibrar
o tempo de recuperao desejado com as realidades da infraestrutura de rede. Voc no deveria
desejar um RPO de duas horas quando um backup na verdade leva trs horas para ser concludo.
O RPO tambm depende da tecnologia de software de backup. Por exemplo, quando voc usar
o recurso de instantneo no Backup do Windows Server ou se usar outro software de backup
que utiliza o Servio de Cpias de Sombra de Volume (VSS), estar fazendo backup do ponto
no tempo em que o backup foi iniciado.
Objetivos de reteno. Reteno uma medida do perodo necessrio para armazenar dados
de backup. Por exemplo, talvez seja necessrio recuperar dados rapidamente de um ms atrs,
mas armazenar alguns dados durante vrios anos. A velocidade com a qual voc concorda
em recuperar dados em seu SLA depender da idade dos dados, com alguns dados sendo
rapidamente recuperveis e outros que precisam ser recuperados de arquivos mortos.
12-5
A funcionalidade da rede depende da disponibilidade de certos servios de rede crticos. Embora redes
bem projetadas criem redundncia em servios essenciais, como Sistema de Nomes de Domnio (DAS)
e Servios de Domnio do Active Directory (AD DS), at mesmo esses servios podem ter problemas,
por exemplo, quando uma falha grande replicada e requer uma restaurao de backup. Alm disso,
uma soluo de backup empresarial deve assegurar que servios como o Protocolo DHCP e Servios
de Certificados do Active Directory (AD CS) e recursos importantes como compartilhamentos
de arquivos podem ser restaurados de uma maneira oportuna e atualizada.
Muitas organizaes que no armazenam backups fora do local no se recuperam de um desastre de site
primrio. Se o site da matriz de sua organizao sofrer um incndio, estiver sujeito a uma inundao rara,
um terremoto ou um tornado, no importar quais estratgias de backups existem no local se todos esses
backups estiverem armazenados no local que foi destrudo pelo desastre.
Uma estratgia de proteo de dados empresarial abrangente envolve mover os dados de backup para
um local fora do site seguro de forma que voc possa recuper-lo, no importa que tipo de desastre
ocorra. Isso no precisa acontecer diariamente. O RPO para recuperao no local externocom
frequncia denominado local de recuperao de desastresgeralmente diferente do RPO no
local primrio.
Estratgia de atenuao
A infraestrutura de virtualizao na
qual os servidores comerciais esto
localizados est indisponvel.
12-7
Documente com detalhes todas as etapas que devem ser executadas em um cenrio de desastre.
Avalie seu plano de recuperao de desastres regularmente e atualize-o com base na sua avaliao.
Lio 2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever dados e informaes de servio que precisam ser includos no backup em um ambiente
do Windows Server.
Resumir os recursos disponveis com o Microsoft System Center 2012 Data Protection Manager.
Recursos crticos
Verificao de backup
Segurana de backup
12-9
Em um cenrio ideal, voc far backup de tudo e restaurar dados instantaneamente da maneira como
existiam em um determinado ponto no tempo de qualquer ponto nos ltimos anos. Na realidade, tal uma
estratgia de backup geraria um custo caro de propriedade. Portanto, a primeira etapa no planejamento
de backup na empresa determinar o que exatamente precisa ser includo no backup.
Por exemplo, voc deve fazer backup de todos os controladores de domnio no domnio, considerando
que as informaes do Active Directory sero replicadas novamente em um controlador de domnio
substituto assim que for promovido? Ser necessrio fazer backup de todo servidor de arquivos em todos
os compartilhamentos de arquivos se todos os arquivos forem replicados para vrios servidores por meio
de um sistema de arquivos distribudo?
Voc tambm precisa distinguir entre razes tcnicas e razes regulatrias para fazer backup dos dados.
Devido a requisitos legais, talvez seja necessrio fornecer sua empresa dados crticos de negcio dos
ltimos dez anos ou at mais tempo.
Para determinar o que incluir no backup, considere o seguinte:
Se os dados forem replicados, talvez no seja necessrio fazer backup de cada rplica. Porm, voc
deve fazer backup em pelo menos um local para assegurar que o backup possa ser restaurado.
Se esse servidor ou disco falharem ou se esses dados forem corrompidos, quais etapas precisariam
ser executadas para recuper-lo?
Executar um backup e assegurar que o backup contenha tudo de que voc precisa so duas tarefas
diferentes. Voc precisa ter um mtodo para verificar se cada backup foi concludo com xito. Voc
tambm precisa saber quando os backups falharam. No mnimo, isso significar inspecionar os logs
em cada servidor para determinar se uma falha ocorreu. Se voc configurou os backups para ocorrer
em cada servidor a cada seis horas, com que frequncia deve verificar os logs? Uma soluo melhor
empregar um mecanismo de alerta para avis-lo caso um backup falhe, como o que est disponvel no
System Center 2012 - Operations Manager. O ponto evitar descobrir que seus backups para um servidor
especfico falharam apenas quando voc precisar desses backups para executar uma recuperao.
Um modo de verificar backups executar testes regulares dos procedimentos de recuperao nos quais
voc simula uma falha especfica. Isso lhe permite verificar a integridade dos dados que voc est usando
para executar uma recuperao e se os procedimentos de recuperao em vigor efetivamente resolvem a
falha. melhor descobrir que voc precisa adicionar etapas a seu procedimento de recuperao durante
um teste, do que durante uma falha real.
12-10
Por definio, um conjunto bom de backups contm todos os dados crticos de sua organizao.
Esses dados precisam ser protegidos contra o acesso no autorizado. Embora os dados possam ser
protegidos por permisses e controles de acesso enquanto esto hospedados em servidores em um
ambiente de produo, qualquer um que tenha acesso mdia que hospeda esses dados de backup pode
restaur-los. Por exemplo, alguns produtos, como o Backup do Windows Server, no permitem que os
administradores criptografem dados de backup. Isso significa que a segurana fsica o nico modo pelo
qual voc pode assegurar que dados crticos no terminem nas mos de usurios no autorizados.
Ao desenvolver uma estratgia de backup empresarial, assegure que os dados de backup sejam
armazenados em um local seguro.
Voc tambm pode considerar o uso de software de backup que lhe permite dividir as funes de backup
e restaurao de forma que os usurios que tm permisses para fazer backup de dados no tenham
permisses para restaurar esses dados e usurios que tm permisses para restaurar dados no tenham
permisses a para fazer seu backup.
Tipos de backup
No Windows Server 2012, voc pode executar
os tipos seguintes de backups:
Tecnologias de backup
A maioria dos produtos de backup em uso hoje
utiliza a infraestrutura de VSS que est presente
no Windows Server 2012. Alguns aplicativos
mais antigos, porm, usam backup de streaming.
Talvez seja necessrio oferecer suporte a esses
aplicativos mais antigos em ambientes
heterogneos e complexos.
12-11
VSS
O VSSuma tecnologia que a Microsoft incluiu no Windows Server 2003 R2 e que est presente em
todos os sistemas operacionais de servidor mais novosresolve o problema de consistncia no nvel
do bloco de disco criando o que conhecido como uma cpia de sombra. Uma cpia de sombra uma
coleo de blocos em um volume que congelado em um ponto especfico no tempo. Ainda podem ser
feitas alteraes no disco, mas quando um backup ocorre, a coleo de blocos congelados includa no
backup, o que significa que qualquer alterao que possa ter ocorrido desde o congelamento no entra
no backup.
A criao de uma cpia de sombra diz ao sistema operacional para primeiro colocar todos os arquivos,
como bancos de dados DHCP e arquivos de banco de dados do Active Directory, em um estado
consistente por um momento. Em seguida, o estado atual do sistema de arquivos registrado nesse
ponto especfico no tempo. Depois que o VSS cria a cpia de sombra, todos os acessos de gravao
que substituiriam dados armazenam os blocos de dados anteriores primeiro. Portanto, uma cpia de
sombra pequena no incio e cresce com o tempo, medida que os dados so alterados. Por padro,
o sistema operacional configurado para reservar 12% do volume para dados de VSS e o VSS exclui
automaticamente instantneos mais antigos quando esse limite alcanado. Voc pode alterar esse valor
padro e pode alterar o local padro dos dados de VSS. Isso assegura que o backup tem um instantneo
do sistema em um estado consistente, no importa quanto tempo na verdade leva para gravar os dados
de backup no dispositivo de armazenamento de backup.
Backup de streaming
O backup de streaming usado frequentemente por aplicativos mais antigos que no usam o VSS. Voc
faz backup de aplicativos sem reconhecimento de VSS usando um mtodo conhecido como backup de
streaming. Em comparao com o VSS onde o sistema operacional assegura que os dados sejam mantidos
em um estado consistente em um ponto no tempo atual, quando voc usa o backup de streaming, o
aplicativo ou o aplicativo de proteo de dados responsvel por assegurar que os dados permaneam
em um estado consistente. Alm disso, aps a concluso do backup de streaming, alguns arquivos tm
o estado que tinham no incio do backup, enquanto outros arquivos tm o estado de trmino da janela
de backup.
A frequncia de backup
A reteno de backup
12-12
Com produtos que executam backups baseados em imagem, como o Backup do Windows Server,
esses dados no so compactados. Em alguns tipos de servidores, especialmente servidores de arquivos,
a quantidade de espao necessria para um backup completo cresce com o passar do tempo. Voc pode
reduzir essa tendncia usando polticas de expirao de arquivo como as localizadas no Gerenciador
de Recursos de Servidor de Arquivos (FSRM).
Frequncia de backup
A Frequncia de backup uma medida da frequncia de com que os backups so realizados. Com
backups de nvel de bloco incrementais, nenhuma diferena significativa existir entre a quantidade de
dados gravada durante a soma de quatro sesses de 30 minutos e uma sesso incremental de 2 horas no
mesmo servidor. Isso ocorre porque durante as duas horas, o mesmo nmero de blocos ter sido alterado
no servidor que nas quatro sesses de 30 minutos. Porm, as quatro sesses de 30 minutos o dividiram
em partes menores. Quando backups ocorrem com maior frequncia, eles reduzem o tempo necessrio
para executar o backup dividindo-o em partes menores. O total geral ser o mesmo.
Reteno de backup
12-13
Ao tentar determinar a capacidade de com que necessria, voc deve determinar precisamente quanto
tempo precisa reter os dados de backup. Por exemplo, se voc precisar ser capaz de recuperar a qualquer
ponto de backup nos ltimos 28 dias e se tiver pontos de recuperao gerados a cada hora, precisar de
mais espao que se tiver pontos de recuperao gerados uma vez por dia e somente ter que restaurar
dados dos ltimos 14 dias.
O acesso mdia de backup significa acesso a todos os dados. Se vivel, use uma separao de
funo administrativa para assegurar que os usurios que fazem backup dos dados no sejam os
usurios que podem restaur-los. Em ambientes de alta segurana, assegure que as operaes de
backup e restaurao sejam devidamente auditadas para que voc possa acompanhar os backups
e a atividade de funo de restaurao.
Mantenha a mdia de backup em um local seguro. No mnimo, os backups devem ser mantidos
bloqueados em um local seguro. Se sua organizao estiver fazendo backup de unidades de disco
que so anexadas a servidores atravs de cabo USB, assegure que essas unidades de disco estejam
bloqueadas no local, at mesmo se estiverem localizadas em uma sala de servidor segura e at
mesmo se a sala de servidor da sua organizao tiver uma cmera de segurana.
Volumes selecionados.
Selecione itens especficos para backup, como pastas especficas ou o estado do sistema.
12-14
Executar uma restaurao bare-metal. Um backup bare-metal contm pelo menos os volumes crticos
e permite restaurar sem instalar um sistema operacional primeiro. Voc faz isso usando a mdia do
produto em um DVD ou a chave USB e o Ambiente de Recuperao do Windows (Windows RE).
Voc pode usar esse tipo de backup junto com o Windows RE para se recuperar de uma falha de
disco rgido ou se tiver que recuperar a imagem de computador inteira em um novo hardware.
Usar o estado do sistema. O backup contm todas as informaes para reverter um servidor a
um ponto especfico no tempo. Porm, voc precisa de um sistema operacional instalado antes
de recuperar o estado do sistema.
Recuperar arquivos e pastas individuais ou volumes. A opo Arquivos e pastas individuais permite
a voc optar por fazer backup de e restaurar arquivos especficos, pastas ou volumes ou voc pode
adicionar arquivos especficos, pastas ou volumes ao backup quando usar uma opo como volume
crtico ou estado do sistema.
Excluir os arquivos ou tipos de arquivos selecionados. Por exemplo, voc pode excluir arquivos
temporrios do backup.
Usar o Windows Azure Online Backup. O Windows Azure Backup Online uma soluo de backup
baseada na nuvem para Windows Server 2012 que permite que arquivos e pastas sejam includos
no backup e recuperados da nuvem pblica ou privada para fornecer backup fora do local.
Se houver desastres, como falhas de disco rgido, voc poder executar a recuperao do sistema
usando um backup completo de servidor e Windows RE; isso restaurar seu sistema completo no
novo disco rgido.
Etapas da demonstrao
1.
2.
Senha: Pa$$w0rd
3.
4.
12-15
O Windows Azure Backup Online foi criado com base na plataforma Windows Azure e usa o
blob storage do Windows Azure para armazenar dados de cliente. O Windows Server 2012 usa
o Windows Azure Online Backup Agent baixvel para transferir dados de arquivo e pasta com segurana
para o Windows Azure Online Backup. Depois que voc instalar o Windows Azure Online Backup Agent,
o agente integrar sua funcionalidade por meio da interface de Backup do Windows Server. Voc
pode baixar o Windows Azure Online Backup Agent do site da Microsoft.
Recursos-chave
Os principais recursos que o Windows Server 2012 fornece por meio do Windows Azure Backup Online
incluem:
Recuperao de dados fcil para obter dados que foram includos no backup em qualquer
servidor de sua escolha.
Recurso de script que fornecido pela interface de linha de comando do Windows PowerShell.
12-16
Backups incrementais no nvel de bloco. O Windows Azure Online Backup Agent executa backups
incrementais acompanhando as alteraes de arquivo e no nvel de bloco e transferindo apenas os
blocos alterados, o que reduz o uso do armazenamento e da largura de banda. Verses pontuais
diferentes dos backups usam o armazenamento de modo eficiente armazenando apenas os blocos
alterados entre essas verses.
Compactao de dados, criptografia e limitao. O Windows Azure Online Backup Agent assegura
que os dados sejam compactados e criptografados no servidor antes de serem enviados ao
Windows Azure Backup Online na rede. Portanto, o Windows Azure Backup Online s armazena
dados criptografados no armazenamento na nuvem. A senha de criptografia no est disponvel
para o Windows Azure Backup Online e, portanto, os dados nunca so descriptografados na nuvem.
Alm disso, os usurios podem definir uma limitao e configurar o modo como o Windows Azure
Online usa a largura de banda da rede ao fazer backup de informaes ou restaur-las.
Verificao da integridade de dados na nuvem. Alm dos backups seguros, os dados de backup
tambm so verificados automaticamente quanto integridade aps a concluso do backup.
Portanto, qualquer corrupo que possa ocorrer por causa da transferncia de dados pode ser
identificado facilmente. Essas corrupes so corrigidas automaticamente no prximo backup.
12-17
O quo rpida a recuperao de RTO? Quanto tempo necessrio para passar da falha para a
funcionalidade restaurada? Ser capaz de restaurar a ltima transao do SQL Server a soluo ideal,
mas se levar dois dias para recuperar esse ponto, a soluo no ser to til quanto pode parecer.
A soluo fornece backup centralizado? O produto permite a voc centralizar sua soluo de backup
em um servidor ou os backups devem ser executados diretamente em cada servidor na organizao?
A soluo de backup compatvel com seus aplicativos? Por exemplo, uma nova atualizao para um
produto pode tornar sua soluo de backup incompatvel com o aplicativo. Consulte o fornecedor
do aplicativo para determinar se h suporte para a soluo de backup empresarial.
12-18
RPO de 15 minutos. O DPM permite instantneos de 15 minutos de produtos com suporte. Isso
inclui a maioria dos conjuntos de produtos empresariais da Microsoft, incluindo Windows Server
com suas funes e servios, Exchange Server, Hyper-V e Microsoft SQL Server.
Oferece suporte para cargas de trabalho da Microsoft. O DPM foi criado especificamente pela
Microsoft para oferecer suporte a aplicativos Microsoft como o Exchange Server, o SQL Server
e o Hyper-V. Porm, o DPM no foi criado especificamente para oferecer suporte a aplicativos
de servidor no Microsoft que no tm estados consistentes em disco ou sem suporte para VSS.
Backup baseado em disco. O DPM pode executar backups agendados em matrizes de disco e redes
de rea de armazenamento (SANs). Voc tambm pode configurar o DPM para exportar dados de
backup especficos em fita para reteno e tarefas relacionadas conformidade.
Backup de local remoto. O DPM usa uma arquitetura que permite a realizao de backup de clientes
localizados em locais remotos. Isso significa que um servidor DPM localizado em uma matriz pode
executar backups de servidores e clientes localizados em links de rede de longa distncia (WAN).
Oferece suporte para estratgias de backup na nuvem. O DPM oferece suporte ao backup de
servidores DPM em uma plataforma de nuvem. Isso significa que um servidor DPM em uma
instalao de hospedagem baseada na nuvem pode ser usado para fazer backup do contedo
de um servidor DPM da matriz. Para redundncia de desastre, voc tambm pode configurar
servidores DPM para fazer backup um do outro.
Lio 3
12-19
Esta lio descreve como restaurar dados e servidores usando o recurso de Backup do Windows Server
no Windows Server 2012 e o Windows Azure Online Backup no Windows Server 2012.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Volumes. A restaurao de um volume sempre restaura todo o contedo do volume. Quando voc
opta por restaurar um volume, no pode restaurar arquivos ou pastas individuais.
Sistema operacional. Voc pode recuperar o sistema operacional por meio de Windows RE, o DVD
do produto ou uma unidade flash USB.
Servidor completo. Voc pode recuperar o servidor completo por meio de Windows RE.
Estado do sistema. O estado do sistema cria um backup pontual que voc pode usar para restaurar
um servidor a um estado operacional anterior.
O Assistente de Recuperao no Backup do Windows Server fornece vrias opes para gerenciar
a recuperao de arquivos e pastas. So elas:
Destino de Recuperao. Em Destino de Recuperao, voc pode selecionar uma das seguintes
opes:
o
Local original. O local original restaura os dados ao local para o qual o backup foi criado
originalmente.
Configuraes de segurana. Use esta opo para restaurar permisses aos dados que esto
sendo recuperados.
12-20
Unidades de disco iguais ou maiores. O hardware de servidor para o qual voc est restaurando
deve ter unidades de disco do mesmo tamanho ou maiores que as unidades do servidor host original.
Se esse no for o caso, a restaurao falhar. possvel, embora no aconselhvel, restaurar com xito
em hosts que tm processadores mais lentos e menos memria RAM.
Importao para o Hyper-V. Como os dados de backup do servidor so gravados no formato VHD
(que tambm o formato usado para os discos rgidos da mquina virtual), se voc for cuidadoso,
ser possvel usar dados de backup de servidor completo como a base para a criao de uma
mquina virtual. Isso assegura a continuidade comercial durante a transferncia do o hardware
de substituio apropriado.
12-21
De uma perspectiva de planejamento, voc deve considerar o aumento da frequncia na qual so gerados
instantneos para verses anteriores de arquivos. Isso d aos usurios mais opes quando eles tentam
recuperar seus arquivos.
12-22
Durante alguns tipos de falhas, como corrupo de dados ou excluso, voc ter que restaurar dados para
o local original. Esse o caso quando aplicativos ou usurios que acessam os dados so pr-configurados
com informaes sobre o local onde os dados esto.
Recuperar um volume
Se um disco falhar, o modo mais rpido de recuperar os dados pode ser executar uma recuperao
de volume, em vez de uma recuperao seletiva de arquivos e pastas. Quando voc executar uma
recuperao de volume, dever verificar se alguma pasta compartilhada est configurada para os discos
e se as cotas e as polticas de gerenciamento de FSRM ainda esto em vigor.
Observao: Durante o processo de restaurao, voc deve copiar logs de eventos antes
de iniciar esse processo. Se voc substituir os arquivos de log de eventospor exemplo, com
uma recuperao de sistemano poder ler informaes do log de eventos que ocorreram
antes da restaurao iniciada. Esses dados do log de eventos podem lev-lo a informaes
sobre o que causou o problema.
Etapas da demonstrao
1.
2.
3.
No Explorador de Arquivos, v para a unidade C e assegure que a pasta HR Data foi restaurada.
2.
Procure os arquivos que tm que ser restaurados ou voc pode procur-los no Windows Azure
Online Backup.
3.
Depois que voc localizar os arquivos, selecione-os para recuperao e selecione um local onde
os arquivos sero restaurados.
4.
Crie cpias de forma que voc tenha o arquivo restaurado e arquivo original no
mesmo local. O arquivo restaurado tem seu nome no formato seguinte: Data de
Recuperao+Cpia de+Nome do arquivo original.
Depois que voc concluir o procedimento de restaurao, os arquivos sero restaurados no servidor
do Windows Server 2012 no seu local.
12-23
Objetivos
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
MSL-TMG1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
Senha: Pa$$w0rd
5.
6.
12-24
12-25
O servidor de LON-SVR1 contm dados financeiros que devem ser includos no backup regularmente.
Esses dados so crticos para a organizao. Voc decidiu usar o Backup do Windows Server para
fazer backup de dados crticos. Voc instalar esse recurso e configurar backups agendados.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
2.
Senha: Pa$$w0rd
2.
Execute o Assistente de Backup nico para fazer backup da pasta C:\Financial Data para a pasta
remota \\LON-DC1\Backup.
Resultados: Depois de concluir este exerccio, voc ter configurado o recurso de Backup do
Windows Server, agendado uma tarefa de backup e concludo um backup sob demanda.
12-26
2.
2.
Resultados: Depois de concluir este exerccio, voc ter testado e validado o procedimento para restaurar
um arquivo do backup.
A A. Datum tem que proteger dados crticos em filiais pequenas. Esses escritrios no tm hardware de
backup e infraestruturas de data center completas. Portanto, a A. Datum decidiu fazer backup dos dados
crticos em filiais em um servio baseado na nuvem usando o Windows Azure Online Backup no Windows
Server 2012.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
5.
12-27
2.
Comece a instalar oWindows Azure Online Backup Agent clicando duas vezes no arquivo
de instalao.
3.
4.
Verifique a instalao e assegure que voc receba a mensagem seguinte: Windows Azure
Online Backup Agent installation has completed succesfully.
5.
2.
Para registrar o servidor no Windows Azure Online Backup, execute as seguintes etapas:
1.
Configuraes de Criptografia:
Credenciais da Conta:
Senha: Pa$$w0rd
Observao: Em uma situao real, voc digitaria o nome de usurio e a senha da sua
conta de assinatura do Windows Azure Online Backup.
2.
Verifique se voc recebe a mensagem seguinte: Agora, o Windows Azure Online Backup
est disponvel para este servidor
2.
3.
4.
2.
3.
4.
Selecionar Volume e Data: C:\, e use a data e a hora em que voc executou o ltimo backup.
Especificar opes de recuperao: Original location e Create copies so that you have
both versions.
12-28
No Explorador de Arquivos, expanda a unidade C, e verifique se a pasta Financial Data foi restaurada
na unidade C.
2.
Cancele o registro do servidor do Windows Azure Online Backup usando as credenciais seguintes:
o
Senha: Pa$$w0rd
Resultados: Depois de concluir este exerccio, voc ter instalado o Windows Azure Online Backup Agent,
registrado o servidor com o Windows Azure Online Backup, configurado um backup agendado e
executado uma restaurao usando o Windows Azure Online Backup.
2.
3.
4.
Analise seus recursos de infraestrutura importantes e dados de misso crtica e essenciais para
os negcios. Com base nessa anlise, crie uma estratgia de backup que proteger os recursos
de infraestrutura crticos da empresa e os dados comerciais.
Perguntas de reviso
Pergunta: Voc deseja criar uma estratgia que inclua como fazer backup de tecnologias
diferentes usadas na organizao, como DHCP, DNS, AD DS e SQL Server. O que fazer?
Pergunta: Com que frequncia voc deve executar backups em dados crticos?
12-29
Sua organizao precisa de informaes sobre quais dados incluir no backup, com que frequncia fazer
backup de tipos diferentes de dados e tecnologias, onde armazenar seus dados de backup (no local ou
na nuvem) e com que rapidez pode restaurar os dados de backup. Como voc melhoraria a capacidade
da sua organizao para restaurar dados com eficincia quando necessrio?
Ferramentas
Ferramenta
Uso
Onde encontrar
Backup do
Windows Server
Gerenciador do
Servidor - Ferramentas
Windows Azure
Online Backup
Gerenciador do
Servidor - Ferramentas
Avaliao do curso
12-30
2.
3.
4.
5.
6.
7.
8.
9.
Na pgina Configurar opes de escopo, selecione Sim, desejo configurar essas opes agora
e clique em Avanar.
10. Na pgina Roteador (gateway padro), na caixa Endereo IP, digite 192.168.0.1, clique em
Adicionar e clique em Avanar.
11. Na pgina Servidor de nomes de domnio e DNS, verifique se o domnio pai Adatum.com,
e clique em Avanar.
12. Na pgina Servidores WINS, clique em Avanar.
13. Na pgina Ativar escopo, clique em No, eu ativarei este escopo mais tarde e clique em Avanar.
14. Na pgina Concluindo o Assistente para Novos Escopos, clique em Concluir.
15. Clique com o boto direito do mouse do mouse em IPv4 e clique em Novo escopo.
16. No Assistente para Novos Escopos, clique em Avanar.
17. Na pgina Nome do escopo, na caixa Nome, digite Scope2 e clique em Avanar.
18. Na pgina Intervalo de endereos IP, na caixa Endereo IP inicial, digite 192.168.1.50,
e, na caixa Endereo IP final, digite 192.168.1.100.
19. Na caixa Mscara de sub-rede, verifique se 255.255.255.0 foi inserido e clique em Avanar.
20. Na pgina Adicionar Excluses e Atraso, clique em Avanar.
21. Na pgina Durao da concesso, clique em Avanar.
22. Na pgina Configurar opes de escopo, selecione Sim, desejo configurar essas opes
agora e clique em Avanar.
23. Na pgina Roteador (gateway padro), na caixa Endereo IP, digite 192.168.1.1,
clique em Adicionar e clique em Avanar.
24. Na pgina Servidor de nomes de domnio e DNS, verifique se o domnio pai Adatum.com,
e clique em Avanar.
25. Na pgina Servidores WINS, clique em Avanar.
26. Na pgina Ativar escopo, clique em No, eu ativarei este escopo mais tade e clique em Avanar.
27. Na pgina Concluindo o Assistente para Novos Escopos, clique em Concluir.
28. Clique com o boto direito do mouse do mouse no n IPv4 e clique em Novo superescopo.
29. No Assistente para Novos Superescopos, clique em Avanar.
30. Na pgina Nome do superescopo, na caixa Nome, digite AdatumSuper e clique em Avanar.
31. Na pgina Escopos selecionados, selecione Scope1, mantenha pressionada a tecla Ctrl, selecione
Scope2 e clique em Avanar.
32. Na pgina Concluindo o Assistente para Novos Superescopos, clique em Concluir.
33. No console DHCP, em IPv4, selecione e clique com o boto direito em Superescopo Adatum Super
e clique em Ativar.
2.
3.
4.
5.
6.
Clique em OK novamente.
2.
3.
4.
Na pgina Especificar o servidor parceiro a ser usado para failover, na caixa Servidor Parceiro,
digite 172.16.0.21 e clique em Avanar.
5.
Na pgina Criar uma nova relao de failover, na caixa Nome da relao, digite Adatum.
6.
No campo Prazo de Entrega Mximo do Cliente, defina as horas como 0 e defina os minutos
como 15.
7.
8.
Marque a caixa de seleo Intervalo de Alternncia de Estado. Deixe o valor padro de 60 minutos.
9.
12. Expanda o n IPv4, expanda Escopo [172.16.0.0] Adatum, clique no n Pool de endereos
e observe se o pool de endereos est configurado.
13. Clique no n Opes de escopo e observe que as opes de escopo esto configuradas.
14. Inicie 24412B-LON-CL1 e entre como Adatum\Administrador com uma senha Pa$$w0rd.
15. Na tela Iniciar, digite Painel de Controle.
16. Na caixa Resultados de Aplicativos, clique em Painel de Controle.
17. Em Painel de Controle, clique em Rede e Internet, clique em Central de Rede
e Compartilhamento, clique em Alterar as configuraes do adaptador, clique
com o boto direito em Conexo Local e clique em Propriedades.
18. Na caixa de dilogo Propriedades de Conexo Local, clique em Protocolo TCP/IP Verso 4
(TCP/IPv4) e clique em Propriedades.
L1-3
19. Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), selecione o boto
Obter um endereo IP automaticamente, clique em Obter o endereo dos servidores DNS
automaticamente e clique em OK.
20. Na caixa de dilogo Propriedades da Conexo Local, clique em Fechar.
21. Passe o mouse sobre o canto direito inferior para expor o menu suspenso e clique no charm
Pesquisar.
22. Na caixa de pesquisa Apps, digite Cmd e pressione Enter.
23. Na janela do prompt de comando, digite ipconfig e pressione Enter. Registre seu endereo IP.
24. Em LON-DC1, na barra de tarefas, clique no cone Gerenciador do Servidor.
25. No Gerenciador do Servidor, clique em Ferramentas e clique em Servios.
26. Na janela Servios, clique com o boto direito no servio Servidor DHCP e clique em Parar
para parar o servio.
27. Feche a janela Servios e feche o console DHCP.
28. Em LON-CL1, na janela de prompt de comando, digite ipconfig /release e pressione Enter.
29. Digite ipconfig /renew e pressione Enter.
30. Digite ipconfig e pressione Enter. Qual o seu endereo IP? As respostas podem variar.
31. Desligue o servidor LON-SVR1.
32. Em LON-DC1, no console Servios, inicie o servio do servidor DHCP.
33. Feche o console Servios.
Resultados: Depois de concluir este exerccio, voc ter configurado um superescopo, Proteo de Nome
DHCP, e configurado e verificado failover de DHCP.
1.
2.
3.
4.
5.
6.
Na pgina Mestre de Chave, verifique se o servidor DNS (Sistema de Nomes de Domnio) LON-DC1
est selecionado como o Mestre de Chave e clique em Avanar.
7.
8.
9.
24. No painel direito, em Criar Regras, na caixa Sufixo, digite Adatum.com para aplicar a regra
ao sufixo do namespace.
25. Marque as caixas de seleo Habilitar DNSSEC nesta regra e Exigir que os clientes DNS
verifiquem se os dados de nome e endereo foram validados pelo servidor DNS e clique
em Criar.
26. Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de Gerenciamento de Poltica
de Grupo.
2.
Este comando exibe o tamanho atual do pool de soquetes de DNS (na quarta linha na seo
ServerSetting). Observe que o tamanho atual 2.500.
3.
5.
6.
Digite o seguinte comando e pressione Enter para confirmar o novo tamanho do pool de soquetes.
Get-DnsServer
Isso exibe o valor de porcentagem atual do bloqueio de cache DNS. Observe que o valor atual
100%. O valor exibido na seo ServerCache.
2.
4.
L1-5
Digite o seguinte comando e pressione Enter para alterar o tamanho do pool de soquetes para 3.000:
dnscmd /config /socketpoolsize 3000
4.
5.
Este comando exibe o valor de porcentagem atual do bloqueio de cache DNS. Observe que o novo
valor 75%.
6.
Crie uma zona de pesquisa direta integrada ao Active Directory chamada Contoso.com executando
o seguinte cmdlet no Windows PowerShell:
Add-DnsServerPrimaryZone Name Contoso.com ReplicationScope Forest
2.
Na janela do Windows PowerShell, digite o comando a seguir e pressione Enter para habilitar
o suporte a zonas GlobalName:
Set-DnsServerGlobalNameZone AlwaysQueryServer $true
3.
Crie uma zona de pesquisa direta integrada ao Active Directory chamada GlobalNames executando
o seguinte comando:
Add-DnsServerPrimaryZone Name GlobalNames ReplicationScope Forest
4.
5.
6.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter configurado DNSSEC, o pool de soquetes
de DNS, o bloqueio de cache de DNS e a zona GlobalName.
2.
3.
4.
5.
6.
7.
8.
9.
L1-7
1.
2.
3.
4.
5.
6.
7.
2.
3.
No painel Viso Geral de IPAM, clique em Iniciar descoberta de servidor. A descoberta pode levar
de 5 a 10 minutos para ser executada. A barra amarela indicar quando a descoberta for concluda.
No painel Viso Geral de IPAM, clique em Selecionar ou adicionar servidores para gerenciar
e verificar o acesso do IPAM. Observe se o Status de Acesso do IPAM est bloqueado.
2.
Role at a exibio Detalhes e observe o relatrio de status, que mostra que o servidor IPAM
ainda no teve nenhuma permisso concedida para gerenciar LON-DC1 por Poltica de Grupo.
3.
Na barra de tarefas, clique com o boto direito no cone Windows PowerShell, clique com
o boto direito em Windows PowerShell e clique em Executar como Administrador.
4.
5.
Quando voc precisar confirmar a ao, digite S e pressione Enter. O comando levar alguns minutos
para terminar.
6.
7.
8.
9.
2.
3.
Na caixa de dilogo Criar o Escopo DHCP, na caixa Nome do escopo, digite TestScope.
4.
5.
6.
7.
8.
No painel Configurar opes, clique na seta suspensa Opo e selecione 003 Roteador.
9.
Em Valores, na caixa Endereo IP, digite 10.0.0.1, clique em Adicionar lista e clique em OK.
2.
3.
Na caixa de dilogo Adicionar ou Editar Bloco de Endereo IPv4, fornea os seguintes valores
e clique em OK:
o
ID de rede: 172.16.0.0
Comprimento do prefixo: 16
Descrio: Sede
4.
5.
No painel direito, clique na seta suspensa TAREFAS e clique em Adicionar Endereo IP.
6.
L1-9
7.
8.
Na caixa de dilogo Adicionar Endereo IP, em Configurao Bsica, fornea os seguintes valores:
9.
No painel Adicionar Endereo IPv4, clique em Reserva de DHCP e insira os seguintes valores:
o
10. No painel Adicionar Endereo IPv4, clique em Registro DNS, insira os seguintes valores e clique
em OK:
o
14. Em LON-DC1, abra o console DHCP, expanda IPv4, expanda Escopo (172.16.0.0) Adatum
e clique em Reservas. Verifique se a reserva de servidor Web para 172.16.0.10 exibida.
15. Abra o console de DNS, expanda Zonas de pesquisa direta e clique em Adatum.com. Verifique
se um registro de host exibido para Webserver.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o IPAM com GPOs
relacionados ao IPAM, descoberta de servidor de gerenciamento de IP, servidores gerenciados, um
novo escopo DHCP, blocos de endereo IP, endereos IP, reservas de DHCP e registros de DNS.
2.
3.
4.
L1-10
L2-11
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na caixa de listagem suspensa TAREFAS,
clique em Novo Disco Virtual iSCSI.
4.
No Assistente de Novo Disco Virtual iSCSI, na pgina Selecionar localizao do disco virtual iSCSI,
em Localizao do armazenamento, clique em na unidade C e clique em Prximo.
5.
Na pgina Especificar nome do disco virtual iSCSI, na caixa de texto Nome, digite iSCSIDisk1
e clique em Prximo.
6.
Na pgina Especificar tamanho do disco virtual iSCSI, na caixa de texto Tamanho, digite 5,
na caixa de listagem suspensa, verifique se GB est selecionado e clique em Prximo.
7.
Na pgina Atribuir destino iSCSI, clique em Novo destino iSCSI e clique em Prximo
8.
Na pgina Especificar nome do destino, na caixa Nome, digite LON-DC1 e clique em Prximo.
9.
10. Na caixa de dilogo Selecionar um mtodo para identificar o iniciador, clique em Inserir
um valor para o tipo selecionado, na caixa de listagem suspensa Tipo, clique em Endereo IP,
na caixa de texto Valor, digite 172.16.0.22 e clique em OK.
L2-12
18. No Assistente de Novo Disco Virtual iSCSI, na pgina Selecionar localizao do disco virtual iSCSI,
em Localizao do armazenamento, clique em na unidade C e clique em Prximo.
19. Na pgina Especificar nome do disco virtual iSCSI, na caixa Nome, digite iSCSIDisk2 e clique
em Prximo.
20. Na pgina Especificar tamanho do disco virtual iSCSI, na caixa Tamanho, digite 5, na caixa
de listagem suspensa, verifique se GB est selecionado e clique em Prximo.
21. Na pgina Atribuir destino iSCSI, clique em lon-dc1 e clique em Prximo.
22. Na pgina Confirmar seleo, clique em Criar.
23. Na pgina Exibir resultados, espere at a criao terminar e clique em Fechar.
24. No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na caixa de listagem suspensa TAREFAS,
clique em Novo Disco Virtual iSCSI.
25. No Assistente de Novo Disco Virtual iSCSI, na pgina Selecionar localizao do disco virtual iSCSI,
em Localizao do armazenamento, clique em na unidade C e clique em Prximo.
26. Na pgina Especificar nome do disco virtual iSCSI, na caixa de texto Nome, digite iSCSIDisk3
e clique em Prximo.
27. Na pgina Especificar tamanho do disco virtual iSCSI, na caixa de texto Tamanho, digite 5,
na caixa de listagem suspensa, verifique se GB est selecionado e clique em Prximo.
28. Na pgina Atribuir destino iSCSI, clique em lon-dc1 e clique em Prximo.
29. Na pgina Confirmar seleo, clique em Criar.
30. Na pgina Exibir resultados, espere at a criao terminar e clique em Fechar.
31. No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na caixa de listagem suspensa TAREFAS,
clique em Novo Disco Virtual iSCSI.
32. No Assistente de Novo Disco Virtual iSCSI, na pgina Selecionar localizao do disco virtual iSCSI,
em Localizao do armazenamento, clique em na unidade C e clique em Prximo.
33. Na pgina Especificar nome do disco virtual iSCSI, na caixa de texto Nome, digite iSCSIDisk4
e clique em Prximo.
34. Na pgina Especificar tamanho do disco virtual iSCSI, na caixa de texto Tamanho, digite 5,
na caixa de listagem suspensa, verifique se GB est selecionado e clique em Prximo.
35. Na pgina Atribuir destino iSCSI, clique em lon-dc1 e clique em Prximo.
L2-13
38. No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na caixa de listagem suspensa TAREFAS,
clique em Novo Disco Virtual iSCSI.
39. No Assistente de Novo Disco Virtual iSCSI, na pgina Selecionar localizao do disco virtual iSCSI,
em Localizao do armazenamento, clique em na unidade C e clique em Prximo.
40. Na pgina Especificar nome do disco virtual iSCSI, na caixa de texto Nome, digite iSCSIDisk5
e clique em Prximo.
41. Na pgina Especificar tamanho do disco virtual iSCSI, na caixa de texto Tamanho, digite 5,
na caixa de listagem suspensa, verifique se GB est selecionado e clique em Prximo.
42. Na pgina Atribuir destino iSCSI, clique em lon-dc1 e clique em Prximo.
43. Na pgina Confirmar seleo, clique em Criar.
44. Na pgina Exibir resultados, espere at a criao terminar e clique em Fechar.
2.
3.
4.
5.
7.
8.
9.
16. Na caixa de dilogo Propriedades do Iniciador iSCSI, na guia Destinos, na caixa Destino,
digite LON-DC1 e clique em Conexo Rpida.
17. Na caixa Conexo Rpida, clique em Concludo.
18. Clique em OK para fechar a caixa de dilogo Propriedades do Iniciador iSCSI.
19. Em Gerenciador do Servidor, na barra de menus, clique em Ferramentas e, na lista suspensa
Ferramentas, clique em MPIO.
20. Na caixa de dilogo Propriedades de MPIO, clique na guia Descobrir Vrios Caminhos.
21. Na guia Descobrir Vrios Caminhos, marque a caixa de seleo Adicionar suporte para
dispositivos iSCSI e clique em Adicionar. Quando for solicitado a reiniciar o computador,
clique em Sim.
22. Depois que o computador reiniciar, entre em LON-SVR2 com o nome de usurio
Adatum\Administrador e a senha Pa$$w0rd.
23. Em Gerenciador do Servidor, na barra de menus, clique em Ferramentas e, na lista suspensa
Ferramentas, clique em MPIO.
24. Na caixa de dilogo Propriedades de MPIO, na guia Dispositivos com MPIO, observe se
o ID de Hardware de Dispositivo MSFT2005iSCSIBusType_0x9 foi adicionado lista.
25. Clique em OK para fechar a caixa de dilogo Propriedades de MPIO.
L2-14
1.
2.
3.
4.
5.
6.
Na caixa de dilogo Configuraes avanadas, na guia Geral, altere o Adaptador Local de Padro
para Iniciador Microsoft. iSCSI Na lista suspensa IP do iniciador, clique em 172.16.0.22 e, na lista
suspensa IP do Portal de Destino, clique em 172.16.0.10 / 3260.
7.
8.
9.
10. Na janela Conectar ao Destino, clique em Habilitar mltiplos caminhos, verifique se a caixa de
seleo Adicione a conexo lista de Destinos Favoritos est selecionada e clique no boto
Avanado.
11. Na caixa de dilogo Configuraes avanadas, na guia Geral, altere o Adaptador Local de Padro
para Iniciador Microsoft. iSCSI Na lista suspensa IP do iniciador, selecione 131.107.0.2 e, na lista
suspensa IP do Portal de Destino, selecione 131.107.0.1 / 3260.
12. Na caixa de dilogo Configuraes avanadas, clique em OK.
13. Na janela Conectar ao Destino, clique em OK.
14. Na caixa de dilogo Propriedades de Iniciador iSCSI, clique na guia Volumes e Dispositivos.
15. Na caixa de dilogo Propriedades de Iniciador iSCSI, na guia Volumes e Dispositivos,
clique em Configurao Automtica.
16. Na caixa de dilogo Propriedades de Iniciador iSCSI, clique na guia Destinos.
17. Na lista Destinos, selecione iqn.1991-05.com.microsoft:lon-dc1-lon-dc1-target e clique
em Dispositivos.
18. Na caixa de dilogo Dispositivos, clique no boto MPIO.
19. Verifique se, em Poltica de balanceamento de carga, Rodizio est selecionado.
Em Este dispositivo tem os seguintes caminhos, observe se so listados dois caminhos.
Selecione o primeiro caminho e clique em Detalhes.
20. Observe o endereo IP dos portais Origem e Destino e clique em OK.
21. Selecione o segundo caminho e clique em Detalhes.
22. Verifique que o endereo IP de origem do segundo adaptador de rede e clique em OK.
23. Clique em OK para fechar a caixa de dilogo Detalhes do Dispositivo.
24. Para fechar a caixa de dilogo Dispositivos, clique em OK.
25. Clique em OK para fechar a caixa de dilogo Propriedades de Iniciador iSCSI.
L2-15
Resultados: Depois de concluir este exerccio, voc ter configurado e se conectado aos destinos iSCSI.
2.
3.
Na janela Criar Propriedade de Classificao Local, na caixa de texto Nome, digite Corporate
Documentation, na caixa de listagem suspensa Tipo de Propriedade, verifique se Sim/No
est selecionado e clique em OK.
4.
2.
Na janela Criar Regra de Classificao, na guia Geral, na caixa de texto Nome da regra, digite
Regra de Documentos Corporativos e verifique se a caixa de seleo Habilitado est marcada.
3.
4.
Na janela Procurar Pasta, expanda Allfiles (E:), Labfiles, clique em Corporate Documentation
e clique em OK.
L2-16
5.
Na janela Criar Regra de Classificao na guia Classificao, na caixa de listagem suspensa Mtodo
de Classificao, clique em Classificador de Pasta, na caixa de listagem suspensa Propriedade Escolher uma propriedade a ser atribuda a arquivos:, clique em Corporate Documentation
e, na caixa de listagem suspensa Propriedade - Especifique um valor, clique em Sim.
6.
7.
8.
9.
10. Feche o Internet Explorer, mas deixe o console Gerenciador de Recursos de Servidor
de Arquivos aberto.
Tarefa 3: Criar uma regra de classificao que se aplica a uma pasta compartilhada
1.
2.
Na janela Criar Propriedade de Classificao Local, na caixa de texto Nome, digite Expiration Date,
na caixa de listagem suspensa Tipo de Propriedade, verifique se Data e Hora est selecionado
e clique em OK.
3.
4.
Na janela Criar Regra de Classificao, na guia Geral, na caixa de texto Nome da regra, digite
Regra de Expirao e verifique se a caixa de seleo Habilitado est marcada.
5.
6.
Na janela Procurar Pasta, expanda Allfiles (E:), expanda Labfiles, clique em Corporate
Documentation e clique em OK.
7.
8.
9.
10. Na janela Executar classificao, selecione o boto de opo Esperar a concluso da classificao
e clique em OK.
11. Revise o Relatrio de classificao automtica que exibido no Internet Explorer e verifique se o
relatrio lista o mesmo nmero de arquivos classificados como na pasta Documentao Corporativa.
12. Feche o Internet Explorer, mas deixe o console Gerenciador de Recursos de Servidor
de Arquivos aberto.
L2-17
2.
Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Geral, na caixa de texto Nome
da regra, digite Expired Corporate Documents e verifique se a caixa de seleo Habilitar
est marcada.
3.
4.
5.
Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Ao, na caixa de listagem suspensa
Tipo, verifique se Expirao do arquivo est selecionado e, na caixa Diretrio de vencimento:,
digite E:\Labfiles\Expired.
6.
7.
Na janela Adicionar Notificao, na guia Log de Eventos, marque a caixa de seleo Enviar aviso
para log de eventos e clique em OK.
8.
Clique na guia Condio, marque a caixa de seleo Dias passados desde a ltima modificao
do arquivo e, na mesma linha, substitua o valor padro de 0 por 1.
Observao: Esse valor serve apenas para fins de laboratrio. Em um cenrio real, o valor
seria 365 dias ou mais, dependendo da poltica de cada empresa.
9.
Clique na guia Agenda, verifique se o boto de opo Semanal est selecionado, marque a caixa
de seleo domingo e clique em OK.
2.
Na janela Executar Tarefa de Gerenciamento de Arquivo, clique em Esperar a tarefa ser concluda
e clique em OK.
3.
4.
5.
6.
Revise os eventos com nmeros 908 e 909. Note que 908 - FSRM iniciou um trabalho de
gerenciamento de arquivo e 909 - FSRM concluiu um trabalho de gerenciamento de arquivo.
Resultados: Depois de concluir este exerccio, voc ter configurado uma infraestrutura de classificao
de arquivo de forma que a verso mais recente da documentao sempre estar disponvel aos usurios.
2.
3.
L2-18
Laboratrio B: Implementao
do BranchCache
Exerccio 1: Configurao dos servidores da matriz para o BranchCache
Tarefa 1: Configurar o LON-DC1 para usar o Windows BranchCache
L2-19
1.
2.
3.
4.
5.
6.
7.
8.
9.
10. Aponte ao canto inferior direito da tela, clique em Pesquisar, na caixa de texto Pesquisar,
digite gpedit.msc e pressione Enter.
11. No console do Editor de Poltica de Grupo Local, no painel de navegao, em Configurao
do Computador, expanda Modelos Administrativos e Rede e clique Servidor Lanman.
12. No painel de resultados Servidor Lanman, na lista Configurao, clique com o boto direito
em Publicao de Hash para BranchCache e clique em Editar.
13. Na caixa de dilogo Publicao de Hash para BranchCache, clique em Habilitado, na lista Aes
da publicao de hash, marque a caixa de seleo Permitir a publicao de hash somente
em pastas compartilhadas nas quais o BranchCache est habilitado e clique em OK.
2.
Na pgina Criar uma poltica de QoS do Assistente de QoS baseada em poltica, na caixa de texto
Nome da poltica, digite Limitar a 100 KBps e marque a caixa de seleo Especifique a Taxa
de Acelerao de Sada. Na caixa de texto Especificar Taxa de Acelerao de Sada, digite 100
e clique em Avanar.
3.
4.
5.
6.
2.
3.
Na janela Disco Local (C:), no menu, clique na guia Incio e clique em Nova Pasta.
4.
5.
6.
7.
8.
9.
L2-20
1.
2.
3.
4.
5.
6.
7.
No Assistente para Nova Regra de Entrada, na pgina Tipo de Regra, clique em Predefinida,
clique em BranchCache Recuperao de Contedo (Usa HTTP) e clique em Avanar.
8.
9.
L2-21
Resultados: No final deste exerccio, voc ter implantado o BranchCache, configurado um link lento
e habilitado o BranchCache em um compartilhamento de arquivos.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Clique em Fechar.
2.
3.
4.
5.
6.
7.
8.
9.
Resultados: Ao fim deste exerccio, voc ter habilitado o servidor BranchCache na filial.
2.
3.
4.
5.
6.
7.
8.
9.
10. Na caixa de dilogo Configurar o BranchCache para arquivos de rede, clique em Habilitado,
na caixa de texto Digitar a latncia mxima de ida e volta da rede (milissegundos) para iniciar
processo de cache, digite 0 e clique em OK. Esta configurao necessria para simular o acesso
de uma filial e no necessria normalmente.
11. Feche o Editor de Gerenciamento da Poltica de Grupo.
12. Feche o GPMC.
L2-22
L2-23
17. Verifique se o BranchCache est Habilitado com o status Em execuo e se foram aplicadas
as opes de Poltica de Grupo. Se o status for Parado, repita as etapas 15 e 16.
18. Inicie 24412B-LON-CL2 e entre como Adatum\Administrador com a senha Pa$$w0rd.
19. Na tela inicial, no canto inferior direito da tela, clique em Pesquisar, na caixa de texto Pesquisar,
digite power e pressione Enter.
20. Na janela do Windows PowerShell, digite o comando a seguir e pressione Enter:
gpupdate /force
22. Verifique se o BranchCache est Habilitado com o status Em execuo e se foram aplicadas
as opes de Poltica de Grupo. Se o status for Parado, repita as etapas 20 e 21.
Resultados: No final deste exerccio, voc ter configurado os computadores cliente para o BranchCache.
2.
3.
4.
5.
6.
7.
L2-24
1.
2.
Aponte ao canto inferior direito da tela, clique em Pesquisar, na caixa de texto Pesquisar,
digite perfmon e pressione Enter.
3.
4.
5.
6.
7.
Altere o tipo de grfico para Relatar. Observe que o valor de todas as estatsticas
de desempenho zero.
2.
Aponte ao canto inferior direito da tela, clique em Pesquisar, na caixa de texto Pesquisar,
digite perfmon e pressione Enter.
3.
4.
5.
6.
7.
Altere o tipo de grfico para Relatar. Observe que o valor para todas as estatsticas
de desempenho zero.
2.
3.
4.
Na janela Share, na lista Nome, clique com o boto direito em mspaint.exe e clique em Copiar.
5.
6.
Na rea de trabalho, clique com o boto direito em qualquer lugar e clique em Colar.
7.
8.
9.
11. Na janela Share, na lista Nome, clique com o boto direito em mspaint.exe e clique em Copiar.
12. Na janela Share, clique em Minimizar.
13. Na rea de trabalho, clique com o boto direito em qualquer lugar e clique em Colar.
14. Leia as estatsticas de desempenho no LON-CL2. Este arquivo foi obtido do cache hospedado
(Recuperao: Bytes do Cache
15. Leia as estatsticas de desempenho no LON-SVR1. Este servidor ofereceu dados armazenados
em cache a clientes (Cache Hospedado: ofertas de segmento de arquivo de cliente feitas).
Resultados: Ao fim deste exerccio, voc ter verificado se o BranchCache est funcionando como
esperado.
2.
3.
4.
L2-25
L3-27
As pastas que pertencem equipe de pesquisa devem ser acessadas e modificadas apenas
por funcionrios que pertencem equipe de pesquisa.
2.
Arquivos com a classificao Alto devem ser acessados somente por gerentes.
3.
Os gerentes devem acessar arquivos confidenciais somente de estaes de trabalho que pertencem
ao grupo de segurana ManagersWKS.
2.
3.
Configure regras e polticas de acesso central para proteger os recursos. Ao mesmo tempo,
voc deve configurar a classificao de arquivos para documentos confidenciais.
4.
Aplique uma poltica de acesso central a pastas nas quais esto localizados os arquivos dos gerentes
e departamentos de pesquisa.
5.
Como uma soluo para os usurios que recebem mensagens de erro, voc deve implementar
a Assistncia para Acesso Negado.
2.
No console Usurios e Computadores do Active Directory, clique com o boto direito do mouse
em Adatum.com, clique em Novo e clique em Unidade Organizacional.
3.
Na caixa de dilogo Novo Objeto Unidade Organizacional, no campo Nome, digite Teste
e clique em OK.
4.
5.
Pressione e segure a tecla Ctrl, clique nos computadores LON-SVR1, LON-CL1 e LON-CL2,
clique com o boto direito do mouse e clique em Mover.
6.
7.
8.
9.
10. Clique com o boto direito do mouse do mouse na UO Managers e clique em Bloquear Herana.
Isso para remover a configurao de bloquear herana usada em um mdulo posterior do curso.
11. Clique no continer Objetos de Poltica de Grupo.
12. No painel de resultados, clique com o boto direito do mouse em Default Domain Controllers
Policy e clique em Editar.
13. No Editor de Gerenciamento de Poltica de Grupo, em Configurao do Computador, expanda
Polticas, expanda Modelos Administrativos, expanda Sistema e clique em KDC.
14. No painel direito, clique duas vezes em Suporte do KDC a declaraes, autenticao composta
e proteo Kerberos.
15. Na janela Suporte KDC para declaraes, autenticao composta e poltica de proteo Kerberos,
selecione Habilitado, na seo Opes, clique na lista suspensa, selecione Suportado e clique
em OK.
16. Feche o console Editor de Gerenciamento de Poltica de Grupo e o Console de Gerenciamento
de Poltica de Grupo.
17. Na barra de tarefas, clique no cone do Windows PowerShell.
18. No prompt do Windows PowerShell, digite gpupdate/force e pressione Enter. Depois
que a Poltica de Grupo for atualizada, feche a janela do Windows PowerShell.
19. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e clique em Usurios
e Computadores do Active Directory.
20. Expanda Adatum.com, clique com o boto direito do mouse em Users, clique em Novo
e clique em Grupo.
21. No campo Nome do grupo, digite ManagersWKS e clique em OK.
22. Clique na UO Teste.
23. Clique com o boto direito do mouse do mouse em LON-CL1 e clique em Propriedades.
24. Clique na guia Membro de e clique em Adicionar.
25. Na janela Selecionar Grupos, digite ManagersWKS, clique em Verificar Nomes, em OK e clique
em OK novamente.
26. Clique na UO Managers.
27. Clique com o boto direito do mouse do mouse em Aidan Delaney e clique em Propriedades.
28. Na caixa de dilogo Propriedades, clique na guia Organizao. Verifique se o campo
Departamento est preenchido com o valor Managers e clique em Cancelar.
29. Clique na UO Research.
L3-28
30. Clique com o boto direito do mouse do mouse em Allie Bellew e clique em Propriedades.
31. Na caixa de dilogo Propriedades, clique na guia Organizao. Verifique se o campo
Departamento est preenchido com o valor Research e clique em Cancelar.
32. Feche o console Usurios e Computadores do Active Directory.
L3-29
Resultados: Depois de concluir este exerccio, voc ter planejado a implantao do Controle de Acesso
Dinmico e preparado o AD DS para a implementao do Controle de Acesso Dinmico.
2.
3.
4.
5.
No painel de navegao, clique em Controle de Acesso Dinmico e clique duas vezes em Resource
Properties.
6.
Examine as propriedades de recursos padro. Observe que todas as propriedades esto desabilitadas
por padro.
7.
No painel de navegao, clique em Dynamic Access Control e clique duas vezes em Resource
Property Lists.
8.
No painel central, clique com o boto direito do mouse em Global Resource Property List
e clique em Propriedades.
9.
2.
3.
4.
5.
2.
3.
Desmarque a caixa de seleo Usurio, marque a caixa de seleo Computador e clique em OK.
Resultados: Depois de concluir este exerccio, voc ter examinado os tipos de declarao padro,
configurado declaraes para usurios e para dispositivos.
2.
3.
4.
5.
6.
7.
8.
Na janela Adicionar um valor sugerido, nas caixas de texto Valor e Nome de exibio,
digite Research e clique em OK duas vezes.
9.
Clique em Controle de Acesso Dinmico e clique duas vezes em Resource Property Lists.
L3-30
10. No painel central, clique duas vezes em Global Resource Property List, verifique se Department
e Confidentiality so exibidas e clique em Cancelar. Se no estiverem exibidas, clique em Adicionar,
adicione essas duas propriedades e clique em OK.
11. Feche o Central Administrativo do Active Directory.
2.
3.
4.
5.
6.
L3-31
7.
Na janela Criar Regra de Classificao, para o Nome da regra, digite Definir Confidencialidade.
8.
9.
Na caixa de dilogo Procurar Pasta, expanda Disco local (C:), clique na pasta Docs e clique em OK.
Propriedade: Confidentiality
Valor: High
12. Na caixa de dilogo Parmetros de Classificao, clique na lista suspensa Expresso regular
e clique em Cadeia de Caracteres.
13. No campo Expresso (ao lado do termo Cadeia de Caracteres), digite secreto e clique em OK.
14. Clique na guia Tipo de Avaliao, selecione Reavaliar os valores de propriedade existentes,
clique em Substituir o valor existente e clique em OK.
15. No Gerenciador de Recursos de Servidor de Arquivos, no painel Aes, clique em Executar
a Classificao com Todas as Regras Agora.
16. Clique em Esperar a concluso da classificao e clique em OK.
17. Depois que a classificao for concluda, ser apresentado um relatrio. Verifique se foram
classificados dois arquivos. Voc pode confirmar isso na seo Totais do Relatrio.
18. Feche o relatrio.
19. Na barra de tarefas, clique no cone do Windows Explorer.
20. Na janela do Explorador de Arquivos, expanda a unidade C e expanda a pasta Docs.
21. Na pasta Docs, clique com o boto direito do mouse em doc1.txt, clique em Propriedades
e clique na guia Classificao. Verifique se Confidentiality foi definida como High.
22. Repita a etapa 21 nos arquivos doc2.txt e doc3.txt. Doc2.txt deve ter a mesma Confidencialidade
de Doc1.txt, enquanto Doc3.txt no deve ter nenhum valor. Isso porque apenas Doc1 e Doc2 tm
a palavra segredo em seu contedo.
2.
Na unidade C, clique com o boto direito do mouse na pasta Research e clique em Propriedades.
3.
Resultados: Depois de concluir este exerccio, voc ter configurado as propriedades de recursos para
arquivos, arquivos classificados e propriedades atribudas a uma pasta.
2.
3.
4.
Na caixa de dilogo Criar Regra de Acesso Central, no campo Nome, digite Correspondncia
de Departamento.
5.
6.
7.
8.
9.
L3-32
14. Na seo Permisses bsicas, marque as caixas de seleo Modificar, Ler e executar, Ler e Gravar.
15. Clique em Adicionar uma condio.
16. Clique na lista suspensa Grupo e clique em Departamento da Empresa.
17. Clique na lista suspensa Valor e clique em Recurso.
18. Na ltima lista suspensa, clique em Department.
Observao: Voc deve ter esta expresso como resultado: Usurio-Departmento
da Empresa-Igual-Recurso-Department.
19. Clique em OK trs vezes.
20. No painel Tarefas, clique em Novo e clique em Regra de Acesso Central.
21. Para o nome da regra, digite Access Confidential Docs.
22. Na seo Recursos de Destino, clique em Editar.
23. Na janela Regra de Acesso Central, clique em Adicionar uma condio.
24. Na ltima lista suspensa, clique em High.
Observao: Voc deve ter esta expresso como resultado: Recurso-ConfidentialityIgual-Valor-High.
L3-33
32. Na seo Permisses bsicas, marque as caixas de seleo Modificar, Ler e executar, Ler e Gravar.
33. Clique em Adicionar uma condio.
34. Defina a primeira condio como: Usuario-Grupo-Membro de cada-Valor-Managers e clique
em Adicionar uma condio.
Observao: Se no puder localizar Gerentes na ltima lista suspensa, clique em Adicionar
itens. Em seguida, na janela Selecionar Usurio, Computador, Conta de Servio ou Grupo, digite
Managers, clique em Verificar nomes e clique em OK duas vezes.
35. Definir a segunda condio como: Dispositivo-Grupo-Membro de cada-Valor-ManagersWKS.
Observao: Se no puder localizar ManagersWKS na ltima lista suspensa, clique
em Adicionar itens. Em seguida, na janela Selecionar Usurio, Computador, Conta de Servio
ou Grupo, digite ManagersWKS, clique em Verificar nomes e clique em OK.
36. Clique em OK trs vezes.
2.
3.
4.
Clique na regra Acessar Documentos Confidenciais, clique em >> e clique em OK duas vezes.
5.
6.
7.
8.
2.
L3-34
3.
4.
Clique com o boto direito do mouse do mouse em Poltica DAC e clique em Editar.
5.
6.
7.
8.
2.
3.
4.
5.
6.
7.
8.
9.
Clique com o boto direito do mouse do mouse na pasta Research e clique em Propriedades.
2.
3.
Clique com o boto direito do mouse do mouse em Poltica DAC e clique em Editar.
4.
5.
No painel direito, clique duas vezes em Personalizar mensagem para erros de Acesso Negado.
6.
7.
Na caixa de texto Exiba a seguinte mensagem aos usurios que tiveram acesso negado,
digite Seu acesso foi negado devido poltica de permisses. Solicite o acesso.
8.
9.
L3-35
10. No painel direito do Editor de Gerenciamento de Poltica de Grupo, clique duas vezes em Habilitar
a assistncia de acesso negado no cliente para todos os tipos de arquivo.
11. Clique em Habilitado e clique em OK.
12. Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de Gerenciamento de Poltica
de Grupo.
13. Alterne para LON-SVR1 e, barra de tarefas, clique no cone do Windows PowerShell.
14. Na interface de linha de comando do Windows PowerShell, digite gpupdate/force e pressione Enter.
Resultados: Depois de concluir este exerccio, voc ter configurado regras e polticas de acesso central
para o Controle de Acesso Dinmico.
2.
3.
4.
Na pasta Docs, tente abrir doc3. Voc deve conseguir abrir esse documento. Feche o Bloco de Notas.
5.
6.
7.
Saia de LON-CL1.
8.
9.
11. Verifique se voc pode acessar essa pasta e abrir seus documentos, porque Allie membro da equipe
de pesquisa.
12. Saia de LON-CL1.
13. Entre em LON-CL1 como Adatum\Aidan com a senha Pa$$w0rd.
14. Clique no bloco rea de Trabalho e, na barra de tarefas, clique no cone do Explorador
de Arquivos.
15. Na barra de endereos do Explorador de Arquivos, digite \\LON-SVR1\Docs.
16. Verifique se voc pode acessar essa pasta e abrir todos seus arquivos.
17. Saia de LON-CL1.
18. Inicie e entre em LON-CL2 como Adatum\Aidan com a senha Pa$$w0rd.
19. Clique no bloco rea de Trabalho e, na barra de tarefas, clique no cone do Explorador
de Arquivos.
L3-36
20. Na barra de endereos do Explorador de Arquivos, digite \\LON-SVR1\Docs. Voc no deve poder
exibir Doc1 ou Doc2, porque LON-CL2 no tem permisso para exibir documentos secretos.
Resultados: Depois de concluir este exerccio, voc ter validado a funcionalidade do Controle de Acesso
Dinmico.
2.
3.
Clique com o boto direito do mouse do mouse em Poltica DAC e clique em Editar.
4.
5.
Clique duas vezes em Preparo de Poltica de Acesso Central de Auditoria, marque as trs caixas
de seleo e clique em OK.
6.
Clique duas vezes em Auditoria de Sistema de Arquivos, marque as trs caixas de seleo
e clique em OK.
7.
2.
3.
4.
5.
6.
7.
8.
9.
L3-37
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
Na janela Selecionar Usurio, Computador, Conta de Servio ou Grupo, digite April, clique
em Verificar nomes e clique em OK.
6.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter implementado novas polticas de recursos.
2.
3.
4.
L3-38
L4-39
Laboratrio: Implementao de
implantaes do AD DS distribudas
Exerccio 1: Implementao de domnios filho no AD DS
2.
No Gerenciador DNS, expanda LON-DC1, expanda Zonas de pesquisa direta, clique em clique
com o boto direito do mouse em Adatum.com e clique em Nova delegao.
3.
4.
5.
6.
7.
2.
3.
4.
5.
6.
Na pgina Adicionar recursos que so necessrios para Servios de Domnio Active Directory?,
clique em Adicionar Recursos.
7.
8.
9.
10. Na pgina Confirmar selees de instalao, clique em Instalar. (Isso poder levar alguns minutos
para ser concludo.)
11. Aps a instalao dos binrios dos Servios de Domnio do Active Directory (AD DS), clique no link
azul Promover este servidor a um controlador de domnio.
12. Na janela Configurao de Implantao, clique em Adicionar um novo domnio a uma floresta
existente.
13. Verifique se a opo Selecionar tipo de domnio est definida como Domnio Filho e se Nome
do domnio pai est definida como Adatum.com. Na caixa de texto Novo nome de domnio,
digite na.
14. Verifique se Fornea as credenciais para executar esta operao est definida como
Adatum\Administrador (Usurio atual) e clique em Prximo.
Observao: Se esse no for o caso, use o boto Alterar para inserir as credenciais
Adatum\Administrador e a senha Pa$$w0rd.
15. Na janela Opes do Controlador de Domnio, verifique se a opo Nvel funcional do domnio
est definida como Windows Server 2012.
16. Verifique se as caixas de seleo Servidor do sistema de nomes de domnio (DNS)
e Catlogo Global (GC) esto selecionadas.
17. Verifique se Nome do site: est definido como Default-First-Site-Name.
18. Em Digite a senha do Modo de Restaurao dos Servios de Diretrio (DSRM), digite
Pa$$w0rd em ambas as caixas de texto e clique em Prximo.
19. Na pgina Opes de DNS, clique em Prximo.
20. Na pgina Opes Adicionais, clique em Prximo.
21. Na pgina Caminhos, clique em Prximo.
22. Na pgina Examinar Opes, clique em Prximo.
23. Na pgina Verificao de Pr-requisitos, confirme se no h nenhum problema e clique
em Instalar.
L4-40
1.
2.
3.
4.
5.
6.
7.
8.
9.
Quando a mensagem A confiana foi validada. Est correta e ativa for exibida, clique em OK.
Resultados: Aps a concluso deste exerccio, voc ter implementado domnios filho no AD DS.
L4-41
1.
2.
No painel de rvore DNS, expanda LON-DC1, selecione e clique com o boto direito do mouse
em Zonas de pesquisa direta e clique em Nova Zona.
3.
4.
5.
6.
7.
Na pgina Servidores DNS principais, clique em <Clique aqui para adicionar um endereo IP
ou nome DNS>, digite 172.16.10.10, clique no espao livre e clique em Avanar.
8.
9.
Selecione e clique com o boto direito do mouse na nova zona de stub treyresearch.net,
e clique em Transferir do Principal.
10. Clique com o boto direito do mouse do mouse em treyresearch.net, e clique em Atualizar.
11. Verifique se a zona de stub treyresearch.net contm registros.
12. Alterne para MUN-DC1.
13. No Gerenciador do Servidor, clique no menu Ferramentas e, no meu suspenso, clique em DNS.
14. No painel de rvore, expanda MUN-DC1 se necessrio, selecione e clique com o boto direito
do mouse em Zonas de pesquisa direta e clique em Nova Zona.
15. No Assistente de Nova Zona, clique em Avanar.
16. Na pgina Tipo de zona, clique em Zona de stub e clique em Avanar.
17. Na pgina Escopo de Replicao de Zona do Active Directory, clique em Para todos
os servidores DNS sendo executados em controladores de domnio nesta floresta:
TreyResearch.net e clique em Avanar.
L4-42
2.
3.
4.
5.
6.
7.
8.
9.
Na pgina Nome de usurio e senha, digite Administrador como nome do usurio e Pa$$w0rd
como senha nas caixas apropriadas e clique em Avanar.
L4-43
2.
3.
4.
5.
6.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter implementado relaes de confiana de floresta.
2.
3.
4.
L4-44
L5-45
2.
3.
4.
5.
6.
Na pgina Adicionar recursos que so necessrios para Servios de Domnio Active Directory?,
clique em Adicionar Recursos e clique em Prximo.
7.
8.
9.
Na pgina Confirmar selees de instalao, clique em Instalar. (Isso poder levar alguns minutos
para ser concludo.)
10. Quando os binrios do AD DS estiverem instalados, clique no link Promover este servidor
a um controlador de domnio azul.
11. Na janela Configurao de Implantao, clique em Adicionar um controlador de domnio
a um domnio existente e clique em Prximo.
12. Na janela Opes do Controlador de Domnio, verifique se ambas as caixas de seleo Servidor
do sistema de nomes de domnio (DNS) e Catlogo Global (GC) esto selecionadas.
13. Verifique se Nome do site: est definido como Default-First-Site-Name e, em Digite a senha
do Modo de Restaurao dos Servios de Diretrio (DSRM), digite Pa$$w0rd nas caixas
Senha e Confirmar senha. Clique em Prximo.
14. Na pgina Opes de DNS, clique em Prximo.
15. Na pgina Opes Adicionais, clique em Prximo.
16. Na janela Caminhos, clique em Prximo.
17. Na janela Examinar Opes, clique em Prximo.
2.
3.
4.
5.
6.
2.
3.
Clique com o boto direito do mouse do mouse em Subnets e clique em Nova Sub-rede.
4.
5.
Em Selecione um objeto de site para este prefixo, clique em LondonHQ e clique em OK.
Resultados: Depois de concluir este exerccio, voc ter reconfigurado o site padro e atribudo
sub-redes de endereo IP ao site.
L5-46
1.
2.
No console Servios e Sites do Active Directory, no painel de navegao, clique com o boto direito
do mouse em Sites e clique em Novo Site.
3.
4.
Em Selecione um objeto de link de site para este site, selecione DEFAULTIPSITELINK e clique
em OK.
5.
Na caixa de dilogo Servios de Domnio Active Directory, clique em OK. O site Toronto exibido
no painel de navegao.
6.
No console Servios e Sites do Active Directory, no painel de navegao, clique com o boto direito
do mouse em Sites e clique em Novo Site.
7.
8.
Em Selecione um objeto de link de site para este site, selecione DEFAULTIPSITELINK e clique
em OK. O site TestSite exibido no painel de navegao.
L5-47
1.
2.
No console Servios e Sites do Active Directory, no painel de navegao, expanda Sites e clique
na pasta Subnets.
3.
Clique com o boto direito do mouse do mouse em Subnets e clique em Nova Sub-rede.
4.
5.
Em Selecione um objeto de site para este prefixo, clique em Toronto e clique em OK.
6.
Clique com o boto direito do mouse do mouse em Subnets e clique em Nova Sub-rede.
7.
8.
Em Selecione um objeto de site para este prefixo, clique em TestSite e clique em OK.
9.
Resultados: Aps este exerccio, voc ter criado dois sites adicionais que representam os endereos
de sub-rede IP localizados em Toronto.
2.
No console Servios e Sites do Active Directory, no painel de navegao, expanda Sites, expanda
Inter-Site Transports e clique na pasta IP.
3.
Clique com o boto direito do mouse do mouse em IP e clique em Novo Link de Site.
4.
Na caixa de dilogo Novo Objeto Link de Site, ao lado de Nome, digite TOR-TEST.
5.
Em Sites no presentes neste link de site, pressione CTRL no teclado, clique em Toronto,
em TestSite, em Adicionar e clique em OK.
6.
7.
8.
9.
11. Clique com o boto direito do mouse do mouse em DEFAULTIPSITELINK e clique em Renomear.
12. Digite LON-TOR e pressione Enter.
13. Clique com o boto direito do mouse do mouse em LON-TOR e clique em Propriedades.
14. Em Sites presentes neste link de site, clique em TestSite e clique em Remover.
15. Ao lado de Replicar a cada, altere o valor para 60 minutos e clique em OK.
2.
3.
4.
5.
2.
4.
5.
Esse comando exibe um resumo de tarefas de replicao. Verifique se no aparece nenhum erro.
7.
8.
9.
Resultados: Aps este exerccio, voc ter configurado links de sites e monitorado a replicao.
L5-48
2.
3.
4.
L5-49
L6-51
2.
3.
4.
5.
6.
7.
8.
9.
2.
No console certsrv - [Autoridade de certificao (Local)], clique com o boto direito do mouse
em AdatumRootCA e clique em Propriedades.
3.
4.
5.
6.
7.
8.
Na caixa de texto Local, posicione o cursor no final da URL, digite .crl e clique em OK.
9.
L6-52
18. No console de Autoridade de Certificao (Local), expanda AdatumRootCA, clique com o boto
direito do mouse em Certificados revogados, aponte para Todas as tarefas e clique em Publicar.
19. Na janela Publicar Lista de Certificados Revogados, clique em OK.
20. Clique com o boto direito do mouse do mouse em AdatumRootCA e clique em Propriedades.
21. Na caixa de dilogo Propriedades de AdatumRootCA, clique em Exibir Certificado.
22. Na caixa de dilogo Certificado, clique na guia Detalhes.
23. Na guia Detalhes, clique em Copiar para Arquivo.
2.
3.
4.
5.
6.
Clique em Concludo.
7.
8.
9.
L6-53
12. Em Convidado ou Pblico (perfil atual), selecione a opo Ativar compartilhamento de arquivo
e impressora.
13. Clique em Salvar alteraes.
Resultados: Depois de concluir este exerccio, voc ter implantado uma AC raiz autnoma.
L6-54
1.
2.
3.
4.
5.
6.
7.
8.
9.
20. Na pgina Nome da Autoridade de Certificao, na caixa de texto Nome comum da autoridade
de certificao, digite Adatum-IssuingCA e clique em Prximo.
21. Na pgina Solicitao de Certificado, verifique se Salvar uma solicitao de certificado
em un arquivo no computador de destino est selecionado e clique em Prximo.
22. Na pgina Banco de Dados de AC, clique em Prximo.
23. Na pgina Confirmao, clique em Configurar.
24. Na pgina Resultados, clique em Fechar.
25. Na pgina Progresso da instalao, clique em Fechar.
L6-55
Em LON-SVR1, abra uma janela do Explorador de Arquivos e navegue at Disco Local (C:).
2.
Clique com o boto direito do mouse do mouse em ACRaiz e clique em Instalar Certificado.
3.
4.
5.
6.
7.
8.
9.
18. No console Autoridade de Certificao, clique com o boto direito do mouse em AdatumRootCA,
aponte para Todas as tarefas e clique em Enviar nova solicitao.
19. Na janela Abrir arquivo de solicitao, navegue at Disco Local (C:), clique no arquivo
LON-SVR1.Adatum.com_Adatum-lssuingCA.req e clique em Abrir.
20. No console da Autoridade de Certificao, clique no continer Solicitaes pendentes. Clique
com o boto direito do mouse do mouse em Solicitaes pendentes e clique em Atualizar.
21. No painel direito, clique com o boto direito do mouse na solicitao (com ID 2), aponte para
Todas as tarefas e clique em Emitir.
22. Clique no continer Certificados Emitidos.
23. No painel direito, clique duas vezes no certificado e clique na guia Detalhes.
24. Clique em Copiar para Arquivo.
25. No Assistente para Exportao de Certificados, na pgina Bem-vindo ao Assistente para
Exportao de Certificados, clique em Avanar.
26. Na pgina Formato do Arquivo de Exportao, clique em Padro de Sintaxe de Mensagens
Criptografada - Certificados PKCS n 7 (.p7b), Incluir todos os certificados no caminho
de certificao, se possvel e Avanar.
2.
3.
4.
5.
Clique em Avanar.
6.
7.
8.
9.
10. Quando a janela Assistente para Importao de Certificados aparecer, clique em OK.
11. Fechar o Editor de Gerenciamento da Poltica de Grupo.
12. Fechar o GPMC.
L6-56
Resultados: Depois de concluir este exerccio, voc ter implantado e configurado uma AC subordinada
corporativa.
Mantenha todas as mquinas virtuais ligadas para o prximo laboratrio. No reverta nenhuma
das mquinas virtuais.
Laboratrio B: Implantao
e gerenciamento de certificados
Exerccio 1: Configurao de modelos de certificados
Tarefa 1: Criar um novo modelo baseado no modelo do servidor Web
1.
2.
No console Modelos de Certificados, localize o modelo no Servidor Web na lista, clique nele
com o boto direito do mouse e clique em Modelo Duplicado.
3.
4.
No campo Nome de exibio do modelo, digite Servidor Web Adatum e defina o Perodo
de validade como 3 anos
5.
Na guia Tratamento de Solicitao, selecione Permitir que a chave privada seja exportada
e clique em OK.
Tarefa 2: Criao de um novo modelo para usurios que inclui o logon do carto
inteligente
L6-57
1.
No console Modelos de Certificados, clique com o boto direito do mouse no modelo de certificado
Usurio e clique em Modelo Duplicado.
2.
Na caixa de dilogo Propriedades do novo modelo, clique na guia Geral e na caixa de texto
Nome de exibio do modelo, digite Usurio de Carto Inteligente Adatum.
3.
Na guia Nome do Requerente, desmarque as caixas de seleo Incluir nome de email no nome
de requerente e Nome de email.
4.
5.
6.
7.
8.
9.
2.
Na janela Modelo de Certificado a Ser Emitido, selecione Usurio de Carto Inteligente Adatum
e Servidor Web Adatum e clique em OK.
L6-58
1.
2.
3.
4.
Se solicitado, reinicie o servidor e faa logon como Adatum\Administrador com a senha Pa$$w0rd.
5.
6.
7.
8.
9.
Organizao: Adatum
Unidade Organizacional: IT
Cidade/localidade: Seattle
Estado/provncia: WA
Pas/regio: US
Resultados: Depois de concluir esse exerccio, voc ter criado e publicado novos modelos
de certificados.
L6-59
2.
Expanda Floresta: Adatum.com, expanda Domnios e Adatum.com, clique com o boto direito
do mouse em Default Domain Policy e clique em Editar.
3.
4.
No painel direito, clique duas vezes em Cliente Servios Certificado - Registro Autom.
5.
6.
7.
8.
9.
No painel direito, clique duas vezes no objeto Cliente dos Servios de Certificado - Politica
de Registro no Certificado.
10. Na guia Poltica de Registro, configure o Modelo de Configurao como Habilitado, e verifique
se a lista de certificados de poltica de registro mostra a Poltica de Registro do Active Directory
(ela deve possuir uma marca de seleo ao lado e exibir o status Habilitado).
11. Clique em OK para fechar a janela.
12. Feche o Editor de Gerenciamento de Poltica de Grupo e o GPMC.
2.
3.
4.
5.
6.
7.
8.
9.
2.
No console certsrv, expanda Adatum-IssuingCA, clique com o boto direito do mouse em Modelos
de Certificados e clique em Gerenciar.
3.
4.
5.
Na janela Selecionar Usurios, Computadores, Contas de Servios ou Grupos, digite Allie, clique
em Verificar nomes e clique em OK.
6.
Na guia Segurana, clique em Allie Bellew, selecione as permisses Permitir a Ler e Registrar
e clique em OK.
7.
8.
No console certsrv clique com o boto direito do mouse em Modelos de Certificados, aponte
para Novo, clique em Modelo de Certificado a Ser Emitido.
9.
10. Alterne para LON-CL1 e faa logon como Adatum\Allie com a senha Pa$$w0rd.
11. Abra uma janela do prompt de comando, no prompt de comando, digite mmc.exe, e pressione
Enter.
12. No Console1, clique em Arquivo e clique em Adicionar/remover snap-in.
13. Clique em Certificados, em Adicionar e clique em OK.
14. Expanda Certificados Usurio Atual, expanda Pessoal, clique em Certificados, clique com
o boto direito do mouse em Certificados, aponte para Todas as tarefas e clique em Solicitar
novo certificado.
15. No Assistente de Registro de Certificado, na pgina Antes de Comear, clique em Avanar.
16. Na pgina Selecionar Poltica de Registro de Certificado, clique em Avanar.
17. Na pgina Solicitar certificados, selecione Agente de Registro e clique em Registrar.
18. Clique em Concluir.
19. Alterne para LON-SVR1.
20. No console Autoridade de certificao (Local), clique com o boto direito do mouse
em Adatum-IssuingCA e clique em Propriedades.
21. Clique na guia Agentes de Inscrio.
22. Clique em Restringir agentes de inscrio.
23. Na janela pop-up que aparece, clique em OK.
24. Na seo Agentes de registro, clique em Adicionar.
25. No campo Selecionar Usurio, Computador ou Grupo, digite Allie, clique em Verificar nomes,
e clique em OK.
26. Clique em Todos e clique em Remover.
27. Na seo Modelos de Certificado: clique em Adicionar.
28. Na lista de modelos, selecione Usurio de Carto Inteligente Adatum e clique em OK.
29. Na seo Modelos de Certificados, clique em <Todos> e clique em Remover.
30. Na seo Permisses:, clique em Adicionar.
L6-60
31. No campo Selecionar Usurio, Computador ou Grupo, digite Marketing, clique em Verificar
nomes, e clique em OK.
32. Na seo Permisso, clique em Todos e clique em Remover.
33. Clique em OK.
L6-61
Resultados: Depois de concluir este exerccio, voc ter configurado e verificado o registro automtico
de usurios e configurado um agente de registro para cartes inteligentes.
2.
3.
4.
5.
Clique em Cancelar.
2.
3.
4.
5.
6.
7.
Quando a instalao for concluda com sucesso, clique em Configurar os Servios de Certificados
do Active Directory no servidor de destino.
8.
9.
12. No console Autoridade de Certificao, clique com o boto direito do mouse em Adatum-IssuingCA
e clique em Propriedades.
13. Na caixa de dilogo Propriedades de Adatum-IssuingCA, na guia Extenses, na lista Selecionar
a extenso, clique em Acesso a Informaes da Autoridade (AIA) e clique em Adicionar.
14. Na caixa de dilogo Adicionar Local, digite http://LON-SVR1/ocsp e clique em OK.
15. Marque a caixa de seleo Incluir na extenso AIA de certificados emitidos.
16. Marque a caixa de seleo Incluir na extenso do protocolo de status de certificados online
(OCSP) e clique em OK.
17. Na caixa de dilogo certification authority reinicie o AD CS clicando em Sim.
18. No console certsrv, expanda Adatum-IssuingCA, clique com o boto direito do mouse na pasta
Modelos de Certificados e clique em Gerenciar.
L6-62
19. No console Modelos de Certificados, clique duas vezes no modelo Assinatura de Resposta OCSP.
20. Na caixa de dilogo Propriedades de Assinatura de Resposta OCSP, clique na guia Segurana
em Permisses para Usurios autenticados, marque a caixa de seleo Permitir o Registrar
e clique em OK.
21. Feche o console Modelos de Certificados.
22. No console Autoridade de Certificao, clique com o boto direito do mouse na pasta Modelos
de Certificado, aponte para Novo e clique em Modelo de Certificado a Ser Emitido.
23. Na caixa de dilogo Ativar Modelos de Certificado, selecione o modelo Assinatura
de Resposta OCSP e clique em OK.
24. Em LON-SVR1, no Gerenciador do Servidor, clique em Ferramentas e clique em ocspresponder.
25. No console Gerenciamento do OCSP, clique com o boto direito do mouse em Configurao
de Revogao e clique em Adicionar Configurao de Revogao.
26. No assistente Adicionar Configurao de Revogao, clique em Avanar.
27. Na pgina Nomear a Configurao de Revogao, na caixa Nome, digite Respondente Online
de AdatumCA e clique em Avanar.
28. Na pgina Selecionar a Localizao do Certificado CA, clique em Avanar.
29. Na pgina Escolher o Certificado de CA, clique em Procurar, clique no certificado
Adatum-IssuingCA, clique em OK e clique em Avanar.
Resultados: Depois de concluir esse exerccio, voc ter configurado a revogao de certificado.
2.
3.
No painel Detalhes, clique com o boto direito do mouse no certificado Agente de recuperao
de chave e clique em Propriedades.
L6-63
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
Na caixa de dilogo Snap-in de certificados, selecione Minha conta de usurio, clique em Concluir
e clique em OK.
6.
Expanda o n Certificados - Usurio Atual, clique com o boto direito do mouse em Pessoal,
aponte para Todas as tarefas e clique em Solicitar novo certificado.
7.
8.
9.
10. Atualize o console e exiba o KRA no repositrio pessoal; isto , percorra as propriedades
de certificado e verifique se o Agente de Recuperao de Chave do Modelo de Certificado
est presente.
11. Feche o Console1 sem salvar as alteraes.
2.
3.
4.
5.
L6-64
1.
Em LON-SVR1, no console Autoridade de Certificao, clique com o boto direito do mouse na pasta
Modelos de Certificados e clique em Gerenciar.
2.
No console Modelos de Certificados, clique com o boto direito do mouse no certificado de Usurio
e clique em Modelo Duplicado.
3.
Na caixa de dilogo Propriedades do novo modelo, na guia Geral, na caixa Nome de exibio
do modelo, digite Usurio do Arquivo.
4.
5.
6.
7.
8.
No console Autoridade de Certificao, clique na pasta Modelos de Certificados aponte para Novo
e clique em Modelo de Certificado a Ser Emitido.
9.
2.
3.
4.
5.
Expanda o n Certificados - Usurio Atual, clique com o boto direito do mouse em Pessoal,
clique em Todas as tarefas e clique em Solicitar novo certificado.
6.
7.
Clique em Avanar.
8.
9.
Atualize o console e veja se um certificado emitido para Aidan, baseado no modelo de certificado
Usurio do Arquivo.
10. Simule a perda de uma chave privada excluindo o certificado. No painel central, clique com o boto
direito do mouse no certificado em que voc se registrou, selecione Excluir e clique em Sim para
confirmar.
11. Alterne para LON-SVR1.
12. Abra o console da Autoridade de Certificao, expanda Adatum-IssuingCA e clique no repositrio
Certificados Emitidos.
13. No painel de detalhes, clique duas vezes em um certificado com o Nome do solicitante
Adatum\Aidan e o modelo de certificado de nome Usurio do Arquivo.
14. Clique na guia Detalhes, copie o Nmero de Srie e clique em OK. Voc pode copiar o nmero
no Bloco de Notas (selecione-o e pressione CTRL+C) ou escrev-lo em um papel.
15. Na barra de tarefas, clique no cone do Windows PowerShell.
16. No prompt do Windows PowerShell, digite o comando a seguir, (onde <nmero de srie>
o nmero de srie que voc copiou) e pressione Enter:
Certutil getkey <nmero de srie> outputblob
Observao: Se voc colar o nmero de srie do Bloco de Notas, remova os espaos entre
os nmeros.
17. Verifique se o arquivo outputblob aparece na pasta C:\Users\Administrador.Adatum.
L6-65
18. Para converter o arquivo outputblob em um arquivo .pfx file, no prompt do Windows PowerShell,
digite o comando a seguir e pressione Enter:
Certutil recoverkey outputblob aidan.pfx
19. Quando a nova senha for solicitada, digite Pa$$w0rd e confirme a senha.
20. Depois que o comando for executado, feche o Windows PowerShell.
26. Em Convidado ou Pblico (perfil atual), selecione a opo Ativar compartilhamento de arquivo
e impressora.
27. Clique em Salvar alteraes.
28. Quando a credencial for solicitada, use Adatum\Administrador como nome de usurio e Pa$$w0rd
como senha.
29. Retorne para o computador LON-SVR1.
30. Copie o arquivo aidan.pfx para \\lon-cl1\C $.
31. Alterne para LON-CL1e verifique se voc ainda est registrado como Aidan.
32. Navegue at a unidade C e clique duas vezes no arquivo aidan.pfx.
33. Na pgina Bem-vindo ao Assistente para Importao de Certificados, clique em Avanar.
34. Na pgina Arquivo a Ser Importado, clique em Avanar.
35. Na pgina Senha, insira Pa$$w0rd como a senha e clique em Avanar.
36. Na pgina Repositrio de certificados, clique em Avanar, em Concluir e clique em OK.
L6-66
Resultados: Depois de concluir este exerccio, voc ter implementado um arquivamento de chave e ter
testado a recuperao de chave privada.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.
3.
4.
L7-67
2.
3.
Selecione e clique com o boto direito do mouse em Adatum (local), clique em Novo e clique
em Unidade Organizacional.
4.
Na caixa de dilogo Criar Unidade Organizacional, no campo Nome, digite Contas de Servio
e clique em Ok.
5.
Clique com o boto direito do mouse do mouse na unidade organizacional Contas de Servio,
clique em Novo e clique em Usurio.
6.
Na caixa de dilogo Criar Usurio, digite os seguintes detalhes (talvez seja preciso selecionar
Outras opes de senha) e clique em OK:
o
Senha: Pa$$w0rd
7.
Clique com o boto direito do mouse do mouse no continer Users, clique em Novo e clique
em Grupo.
8.
9.
Email: ADRMS_SuperUsers@adatum.com
Clique com o boto direito do mouse do mouse no continer Users, clique em Novo e clique
em Grupo.
10. Na caixa de dilogo Criar Grupo, digite os seguintes detalhes e clique em OK.
o
Email: executivos@adatum.com
Aidan Delaney
Bill Malone
Nome: adrms
L7-68
1.
2.
3.
4.
5.
6.
7.
8.
9.
Senha: Pa$$w0rd
L7-69
Porta: 80
2.
3.
4.
5.
6.
7.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o AD RMS.
2.
3.
4.
5.
Nome: ReadOnly
6.
Clique em Avanar.
7.
8.
9.
L7-70
10. Na pgina Especificar Poltica de Expirao, escolha as configuraes a seguir e clique em Avanar:
o
11. Na pgina Especificar Poltica Estendida, clique em Solicitar uma nova licena de uso sempre
que o contedo for consumido (desabilitar cache no lado do cliente), clique em Avanar
e clique em Concluir.
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
Resultados: Depois de concluir este exerccio, voc ter configurado modelos do AD RMS.
2.
3.
L7-71
4.
5.
6.
7.
8.
9.
10. No console do Active Directory Rights Management Services, expanda mun-dc1 (Local),
expanda o n Polticas de Confiana e clique no n Domnios de Usurio Confiveis.
11. No painel Aes, clique em Exportar Domnio de Usurio Confivel.
L7-72
2.
3.
4.
5.
6.
7.
8.
9.
10. Na caixa de dilogo Exportar Domnio de Publicao Confivel, clique em Salvar como.
11. Na caixa de dilogo Exportar Arquivo de Domnio de Publicao Confivel como,
navegue at \\LON-SVR1\export, defina o nome do arquivo como TREYRESEARCH-TPD.xml
e clique em Salvar.
12. Na caixa de dilogo Exportar Domnio de Publicao Confivel, digite a senha Pa$$w0rd
duas vezes e clique em Concluir.
2.
3.
4.
L7-73
Na caixa de dilogo Importar Domnio de Usurio Confivel, insira os detalhes a seguir e clique
em Concluir:
o
5.
6.
7.
8.
2.
3.
4.
Senha: Pa$$w0rd
5.
6.
7.
8.
Senha: Pa$$w0rd
Resultados: Depois de concluir este exerccio, voc ter implementado as polticas de confiana
do AD RMS.
2.
Na tela Iniciar, digite Word. Na rea Resultados, clique em Microsoft Word 2010.
3.
4.
5.
6.
7.
Senha: Pa$$w0rd
8.
9.
2.
3.
4.
5.
6.
7.
8.
9.
Senha: Pa$$w0rd
L7-74
L7-75
2.
3.
4.
5.
6.
7.
8.
Na janela Segurana do Windows, no campo Nome de Usurio, digite Carol, no campo senha,
digite Pa$$w0rd e clique em OK.
9.
Tarefa 4: Abrir e editar o documento protegido por direitos como usurio autorizado
na Trey Research
1.
2.
Na tela Iniciar, digite Word. Na rea Resultados, clique em Microsoft Word 2010.
3.
4.
5.
6.
7.
8.
9.
Senha: Pa$$w0rd
L7-76
19. Na caixa de dilogo Segurana do Windows, digite as credenciais a seguir, marque a caixa Lembrar
minhas credenciais e clique em OK:
o
Senha: Pa$$w0rd
Resultados: Depois de concluir este exerccio, voc ter verificado que a implantao do AD RMS
foi bem-sucedida.
2.
3.
4.
L7-77
L8-79
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
6.
7.
8.
9.
11. Clique duas vezes em Default Domain Policy. Na rvore de console, expanda Configurao
do Computador, expanda Polticas, Configuraes do Windows, Configuraes de segurana,
Polticas de chave pblica e clique em Autoridades de Certificao Raiz Confiveis.
12. Clique com o boto direito do mouse do mouse em Autoridades de Certificao Raiz Confiveis
e clique em Importar.
13. Na pgina Bem-vindo ao Assistente para Importao de Certificados, clique em Avanar.
14. Na pgina Arquivo a Ser Importado, clique em Procurar.
L8-80
29. Clique com o boto direito do mouse do mouse em Autoridades de Certificao Raiz Confiveis,
aponte para Todas as tarefas e clique em Importar.
30. Na pgina Bem-vindo ao Assistente para Importao de Certificados, clique em Avanar.
31. Na pgina Arquivo a Ser Importado, clique em Procurar.
32. Na janela Abrir, clique em LON-DC1.Adatum.com_Adatum-LON-DC1-CA.crt,
em Abrir e clique em Avanar.
33. Na pgina Repositrio de Certificados, verifique se a opo Colocar todos os certificados
no repositrio a seguir est selecionada, verifique se o repositrio Autoridades de Certificao
Raiz Confiveis est na lista e clique em Avanar.
34. Na pgina Concluindo o Assistente para Importao de Certificados, clique em Concluir e OK.
35. Feche o Console1 sem salvar as alteraes.
2.
3.
4.
5.
Organizao: A. Datum
Unidade organizacional: TI
Cidade/localidade: Londres
Estado/provncia: Inglaterra
Pas/regio: GB
L8-81
6.
7.
8.
2.
3.
Na caixa de dilogo Adicionar Associao do Site, em Tipo, selecione https e em Porta, verifique
se 443 est selecionado. Na lista suspensa Certificado SSL, clique em LON-SVR1.adatum.com
e clique em OK.
4.
5.
6.
7.
Verifique se voc consegue se conectar ao site, mas recebe um erro de acesso negado 401.
Isso esperado, pois voc ainda no tem o AD FS configurado para autenticao.
8.
Resultados: Depois de concluir este exerccio, voc ter configurado o encaminhamento de DNS para
permitir a resoluo de nomes entre a A. Datum e a Trey Research e dever ter trocado certificados raiz
entre as duas organizaes. Voc tambm dever ter instalado e configurado um certificado da Web
no servidor de aplicativos.
2.
3.
4.
5.
6.
7.
8.
9.
L8-82
1.
2.
3.
Na pgina Bem-vindo, verifique se a opo Criar um novo Servio de Federao est selecionada
e clique em Avanar.
4.
5.
6.
Na pgina Pronto para Aplicar Configuraes, verifique se as configuraes corretas esto listadas
e clique em Avanar.
7.
Faa logon na mquina virtual LON-CL1 como Adatum\Brad usando a senha Pa$$w0rd.
2.
3.
4.
5.
6.
7.
8.
9.
Conecte-se a https://lon-dc1.adatum.com/federationmetadata/2007-06/
federationmetadata.xml.
10. Verifique se o arquivo xml aberto com xito e role por seu contedo.
11. Feche o Internet Explorer.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado a funo de servidor
AD FS e verificado uma instalao bem-sucedida exibindo o contedo de FederationMetaData.xml.
L8-83
1.
2.
3.
4.
5.
6.
Clique com o boto direito do mouse do mouse em Certificados e clique em Adicionar Certificado
de Autenticao de Token.
7.
8.
9.
2.
No painel intermedirio, clique com o boto direito do mouse em Active Directory e clique
em Editar Regras de Declarao.
3.
Na caixa de dilogo Editar Regras de Declarao para Active Directory, na guia Regras
de Transformao de Aceitao, clique em Adicionar Regra.
4.
5.
6.
7.
8.
User-Principal-Name = UPN
Display-Name = Nome
L8-84
1.
Em LON-SVR1, clique na tela Iniciar e clique em Windows Identity Foundation Federation Utility.
2.
3.
4.
Na pgina Security Token Service, selecione a opo Use an existing STS, digite
https://lon-dc1.adatum.com/federationmetadata/2007-06/federationmetadata.xml
para o local de documento de metadados do STS WS-Federation e clique em Next para continuar.
5.
6.
Na pgina Offered Claims, examine as declaraes que sero oferecidas pelo servidor de federao
e clique em Next.
7.
Na pgina Summary, examine as alteraes que sero feitas no aplicativo de exemplo pelo Assistente
de Utilitrio de Federao, percorra os itens para entender o que cada item est fazendo e clique
em Finish.
8.
Clique em OK.
L8-85
2.
3.
No Assistente para Adicionar Terceira Parte Confivel, na pgina Bem-vindo, clique em Iniciar.
4.
5.
Para continuar, clique em Avanar. Esta ao solicita que o assistente procure Metadados
do aplicativo que a funo de servidor Web hospeda.
6.
Na pgina Especificar Nome para Exibio, na caixa Nome para exibio, digite
ADatum Test App e clique em Avanar.
7.
8.
9.
Na caixa de dilogo Editar Regras de Declarao para Adatum Test App, na guia Regras
de Transformao de Emisso, clique em Adicionar Regra.
2.
3.
Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Passagem
de Nome de Conta do Windows. Na lista suspensa Tipo de declarao de entrada, selecione
Nome de conta do Windows e clique em Concluir.
4.
5.
6.
Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Passagem
de Endereo de Email, na lista suspensa Tipo de declarao de entrada, selecione Endereo
de Email e clique em Concluir.
7.
8.
9.
Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Passagem
de UPN, na lista suspensa Tipo de declarao de entrada, selecione UPN e clique em Concluir.
11. Na pgina Selecionar Modelo de Regra, em Modelo de regra de declarao, clique em Passar
ou Filtrar uma Declarao de Entrada e clique em Avanar.
L8-86
12. Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Passagem
de Nome, na lista suspensa Tipo de declarao de entrada, selecione Nome e clique em Concluir.
13. Clique em Aplicar e clique em OK.
2.
Conecte-se a https://lon-svr1.adatum.com/AdatumTestApp/
Observao: No se esquea de digitar a barra inicial (/) no fim do endereo.
3.
Se as credenciais forem solicitadas, digite Adatum\Brad com a senha Pa$$w0rd e pressione Enter.
A pgina renderizada e voc visualiza as declaraes que foram processadas para permitir acesso
ao site.
Resultados: Depois de concluir esse exerccio, voc ter configurado o AD FS para uma organizao
nica. Para fazer isso, voc deve ter configurado um certificado de assinatura de token e uma relao de
confiana de provedor de declaraes para Adatum.com. Voc tambm deve ter configurado o aplicativo
de exemplo para confiar em declaraes de entrada e configurado uma relao de confiana de terceira
parte confivel e regras de declarao associadas. Voc tambm deve ter testado o acesso ao aplicativo
de exemplo do Windows Identity Foundation em um cenrio de organizao nica.
2.
3.
4.
5.
6.
7.
8.
9.
L8-87
10. Na lista Modelo de regra de declarao, clique em Passar ou Filtrar uma Declarao de Entrada
e clique em Avanar.
11. Na caixa de texto Nome da regra de declarao, digite Regra de Passagem de nome de conta
do Windows.
12. Na lista suspensa Tipo de declarao de entrada, selecione Nome de conta do Windows.
13. Selecione Passar todos os valores de declarao e clique em Concluir. Clique em Sim.
14. Clique em OK e feche o console do AD FS.
15. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e clique
em Windows PowerShell.
16. No prompt do Windows PowerShell, digite o comando a seguir e pressione Enter:
Set-ADFSClaimsProviderTrust TargetName mun-dc1.treyresearch.net
SigningCertificateRevocationCheck None
2.
No console do AD FS, na pgina Viso Geral, clique em Necessrio: Adicionar uma terceira parte
confivel.
3.
4.
Na pgina Selecionar Fonte de Dados, selecione a opo Importar dados sobre a terceira
parte confivel publicados online ou em uma rede local e digite https://lon-dc1.adatum.com
e clique em Avanar.
5.
Na pgina Especificar Nome para Exibio, na caixa de texto Nome para exibio,
digite Adatum TestApp e clique em Avanar.
6.
Na pgina Escolher Regras de Autorizao de Emisso, selecione a opo Permitir que todos
os usurios acessem esta terceira parte confivel e clique em Avanar.
7.
8.
Na pgina Concluir, clique em Fechar. A caixa de dilogo Editar Regras de Declarao para Adatum
TestApp aberta.
9.
Na caixa de dilogo Editar Regras de Declarao para Adatum TestApp, na guia Regras
de Transformao de Emisso, clique em Adicionar Regra.
10. Na lista Modelo de regra de declarao, clique em Passar ou Filtrar uma Declarao
de Entrada e clique em Avanar.
11. Na caixa Nome da regra de declarao, digite Regra de Passagem de nome de conta
do Windows, na lista suspensa Tipo de Declarao de Entrada, selecione Windows account name.
12. Selecione Passar todos os valores de declarao e clique em Concluir.
13. Clique em OK e feche o console do AD FS.
Observao: O processo de logon foi alterado e voc deve selecionar uma autoridade
que possa autorizar e validar a solicitao de acesso agora. A pgina Descoberta de Realm Inicial
(a pgina Entrar) exibida e voc deve selecionar uma autoridade.
L8-88
2.
3.
4.
5.
6.
7.
Observao: Voc no recebe uma solicitao para informar novamente um realm inicial. Depois
que os usurios selecionarem um realm inicial e forem autenticados por uma autoridade de realm, eles
recebero um cookie _LSRealm emitido pelo servidor de federao de terceira parte confivel. O tempo
de vida padro do cookie 30 dias. Portanto, para fazer logon vrias vezes, voc deve excluir esse cookie
depois de cada tentativa de logon para voltar a um estado limpo.
8.
2.
3.
Na caixa de dilogo Editar Regras de Declarao para Adatum TestApp, na guia Regras de
Transformao de Emisso, clique em Adicionar Regra.
4.
Na pgina Selecionar Modelo de Regra, digite Modelo de regra de declarao, selecione Enviar
Associao de Grupo como uma Declarao e clique em Avanar.
5.
Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Permisso
de Grupo de Produtos.
6.
7.
8.
9.
L8-89
13. Na pgina Selecionar Modelo de Regra, em Modelo de regra de declarao, clique em Passar
ou Filtrar uma Declarao de Entrada e clique em Avanar.
14. Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Envio
de Grupo de Produtos.
15. Na lista suspensa Tipo de declarao de entrada, clique em Grupo e clique em Concluir. Clique
em Sim e clique em OK.
16. No console do AD FS, em Relaes de Confiana, clique em Confianas da Terceira Parte
Confivel.
17. Selecione Adatum Test App e, no painel Aes, clique em Editar Regras de Declarao.
18. Na guia Regras de Transformao de Emisso, clique em Adicionar Regra.
19. Em Modelo de regra de declarao, clique em Passar ou Filtrar uma Declarao de Entrada
e clique em Avanar.
20. Na caixa Nome da regra de declarao, digite Regra de Envio de Nome de Grupo
do TreyResearch.
21. Na lista suspensa Tipo de declarao de entrada, clique em Grupo e clique em Concluir.
22. Na caixa de dilogo Editar Regras de Declarao para Adatum Test App, na guia Regras
de Autorizao de Emisso, selecione a regra chamada Permitir Acesso a Todos os Usurios
e clique em Remover Regra. Clique em Sim para confirmar. Sem regras, nenhum usurio ter
o acesso permitido.
23. Na guia Regras de Autorizao de Emisso, clique em Adicionar Regra.
24. Na pgina Selecionar Modelo de Regra, em Modelo de regra de declarao, selecione
Permitir ou Negar Usurios com Base em uma Declarao de Entrada e clique em Avanar.
25. Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Permisso
de Grupo de Produo do TreyResearch, na lista suspensa Tipo de declarao de entrada,
selecione Grupo, em Valor de declarao de entrada, digite Production, selecione a opo
para Permitir o acesso aos usurios com esta declarao de entrada e clique em Concluir.
26. Na guia Regras de Autorizao de Emisso, clique em Adicionar Regra.
27. Na pgina Selecionar Modelo de Regra, em Modelo de regra de declarao, selecione
Permitir ou Negar Usurios com Base em uma Declarao de Entrada e clique em Avanar.
28. Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Temp, na lista
suspensa Tipo de declarao de entrada, selecione UPN, no campo Valor de declarao
de entrada, digite @adatum.com, selecione a opo para Permitir o acesso aos usurios
com esta declarao de entrada e clique em Concluir.
L8-90
37. Clique na caixa Regra personalizada e pressione Crtl + V para colar o contedo da rea de
transferncia na caixa. Edite a primeira URL para corresponder ao texto a seguir e clique em Concluir.
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", Value =~
"^(?i).+@adatum\.com$"]=> issue(Type =
http://schemas.microsoft.com/authorization/claims/permit, Value =
PermitUsersWithClaim);
Observao: Essa regra permite o acesso a todos que apresentam uma declarao que
inclui o nome UPN de@adatum.com. A linha Value na primeira URL define o atributo que deve
ser correspondido na declarao. Nessa linha, ^ indica o incio da cadeia de caracteres para
correspondncia, (?i) significa que o texto no diferencia maisculas e minsculas, .+ significa
que um ou mais caracteres sero adicionados e $ significa o fim da cadeia de caracteres.
38. Clique em OK para fechar a pgina de propriedades e salvar as alteraes para a relao
de confiana de terceira parte confivel.
2.
3.
4.
Reabra o Internet Explorer, clique no cone Ferramentas no canto superior direito e clique
em Opes da Internet.
5.
6.
Conecte-se a https://lon-svr1.adatum.com/adatumtestapp/.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter configurado uma relao de confiana
do provedor de declaraes para TreyResearch na Adatum.com e uma relao de confiana de
terceira parte confivel para Adatum em TreyResearch.net. Voc verificou acesso ao aplicativo
com reconhecimento de declaraes da A. Datum. Em seguida, voc configurou o aplicativo
para restringir o acesso de TreyResearch para grupos especficos e verificou o acesso apropriado.
2.
3.
4.
L8-91
L9-93
Laboratrio: Implementao do
Balanceamento de Carga de Rede
Exerccio 1: Implementao de um cluster de Balanceamento de Carga
de Rede
Tarefa 1: Verifique a funcionalidade de site para servidores autnomos
1.
2.
3.
Clique duas vezes no arquivo iis-8. O arquivo ser aberto no Microsoft Paint.
4.
Verifique se a ferramenta Paint Brush est selecionada e, na paleta, clique na cor Vermelho.
5.
6.
7.
8.
9.
11. Na barra de endereos do Internet Explorer, digite o endereo http://LON-SVR1, e pressione Enter.
Verifique se a pgina da Web exibe o logotipo do IIS com a marca vermelha que voc adicionou.
12. Na barra de endereos do Internet Explorer, digite o endereo http://LON-SVR2, e pressione Enter.
Verifique se a pgina da Web no exibe o logotipo do IIS marcado.
13. Feche o Internet Explorer.
2.
3.
4.
Em LON-SVR1, na janela do ISE do Windows PowerShell, digite o comando a seguir e pressione Enter:
New-NlbCluster -InterfaceName "Conexo Local" -OperationMode Multicast ClusterPrimaryIP 172.16.0.42 -ClusterName LON-NLB
2.
L9-94
Em LON-SVR1, na janela do ISE do Windows PowerShell, digite o comando a seguir e pressione Enter:
Add-NlbClusterNode -InterfaceName "Conexo Local" -NewNodeName "LON-SVR2" NewNodeInterface "Conexo Local"
2.
3.
Clique com o boto direito do mouse do mouse no cluster LON-NLB e clique em Propriedades
do cluster.
4.
5.
Na guia Regras de porta, verifique se h uma nica regra de porta chamada Tudo que inicia
na porta 0 e termina na porta 65535 para os protocolos TCP e UDP, e que usa a afinidade nica.
6.
Resultados: Aps concluir este exerccio, voc ter implementado com xito um cluster NLB.
2.
No prompt do Windows PowerShell, digite cada um dos comandos a seguir, pressionando Enter
aps cada um deles:
Cmd.exe
Mkdir c:\porttest
Xcopy /s c:\inetpub\wwwroot c:\porttest
Exit
New-Website Name PortTest PhysicalPath C:\porttest Port 5678
New-NetFirewallRule DisplayName PortTest Protocol TCP LocalPort 5678
3.
4.
Clique na unidade C, clique duas vezes na pasta porttest e clique duas vezes em iis-8.png.
O arquivo ser aberto no Microsoft Paint.
5.
Selecione a cor azul na paleta e use o pincel Azul para marcar o logotipo do IIS.
6.
7.
8.
9.
L9-95
17. Na caixa de dilogo Adicionar/editar regra de porta, digite as informaes a seguir e clique em OK:
o
Intervalo de portas: 80 A 80
Protocolos: Ambos
Afinidade: Nenhuma
19. Na caixa de dilogo Adicionar/editar regra de porta, digite as informaes a seguir e clique em OK:
o
Protocolos: Ambos
2.
3.
4.
5.
Clique no cone Atualizar 20 vezes. Verifique se voc consegue ver as pginas da Web
com e sem a marcao vermelha.
6.
7.
8.
Na barra de endereos, clique no cone Atualizar 20 vezes. Verifique se voc pode consegue exibir
apenas a pgina da Web com a marcao azul.
L9-96
1.
2.
3.
Clique com o boto direito do mouse do mouse em LON-SVR1, clique em Controlar host
e clique em Suspender.
4.
5.
Clique com o boto direito do mouse do mouse em LON-SVR1, clique em Controlar host
e clique em Continuar.
6.
Clique com o boto direito do mouse do mouse em LON-SVR1, clique em Controlar host
e clique em Iniciar.
7.
Resultados: Aps concluir este exerccio, voc ter configurado e gerenciado com xito um cluster NLB.
2.
3.
4.
5.
6.
Atualize o site 20 vezes. Verifique se o site est disponvel enquanto LON-SVR1 reinicializada, mas
no exibe a marca vermelha no logotipo do IIS at LON-SVR1 ter concludo o ciclo de reinicializao.
2.
3.
4.
5.
6.
7.
L9-97
Resultados: Aps concluir este exerccio, voc ter validado com xito a alta disponibilidade do cluster
NLB.
2.
3.
4.
L10-99
Tarefa 1: Conectar ns do cluster aos destinos iSCSI (Internet Small Computer System
Interface)
1.
2.
3.
4.
5.
6.
7.
Clique em Atualizar.
8.
9.
33. Clique com o boto direito do mouse do mouse em Gerenciamento de disco e clique em Atualizar.
34. Clique com o boto direito do mouse do mouse em Disco 1 e clique em Online.
35. Clique com o boto direito do mouse do mouse em Disco 2 e clique em Online.
36. Clique com o boto direito do mouse do mouse em Disco 3 e clique em Online.
37. Feche a janela Gerenciamento do computador.
2.
3.
4.
5.
6.
7.
Na janela Adicionar recursos que so necessrios para Cluster de Failover, clique em Adicionar
Recursos e clique em Prximo.
8.
9.
L10-101
2.
3.
4.
5.
6.
7.
8.
Aguarde a concluso dos testes de validao (pode demorar at 5 minutos) e, na pgina Resumo,
clique em Exibir Relatrio.
9.
Verifique se todos os testes foram concludos sem erros. Alguns avisos so esperados.
2.
No Assistente para Criao de Clusters, na pgina Antes de comear, leia as informaes e clique
em Prximo.
3.
Na caixa Inserir nome do servidor, digite LON-SVR3 e clique em Adicionar. Na caixa Inserir nome
do servidor, digite LON-SVR4 e clique em Adicionar.
4.
5.
Na pgina Ponto de Acesso para Administrar o Cluster, digite Cluster1 como Nome do Cluster.
Em Endereo, digite 172.16.0.125 e clique em Prximo.
6.
7.
2.
No painel direito, localize um disco atribudo a Armazenamento Disponvel (voc pode ver isso
na coluna Atribudo a). Clique com o boto direito do mouse nesse disco e clique em Adicionar
aos Volumes Compartilhados de Cluster. (Se possvel, use Disco de Cluster 2).
3.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o recurso de cluster
de failover.
2.
3.
4.
5.
6.
7.
8.
9.
Observao: Se voc obtiver uma mensagem de erro dizendo que o cluster ainda no est
disponvel, aguarde um minuto e reinicie o Gerenciador de Cluster de Failover em outro n.
2.
3.
4.
L10-103
5.
6.
7.
8.
Em LON-SVR3, no Gerenciador de Cluster de Failover, clique em Funes, clique com o boto direito
do mouse em AdatumFS e clique em Propriedades.
2.
3.
4.
5.
2.
Resultados: Depois de concluir este exerccio, voc ter implantado e configurado um servidor
de arquivos altamente disponvel.
2.
3.
Verifique se voc pode acessar o local e abrir a pasta Dados. Crie um documento de texto
de teste dentro dessa pasta.
4.
5.
7.
8.
9.
2.
4.
Clique com o boto direito do mouse do mouse no n, clique em Mais Aes e clique em Parar
Servio de Cluster.
5.
6.
Verifique se AdatumFS foi movido para outro n. Para fazer isso, clique no outro n e verifique
se AdatumFS est em execuo.
7.
8.
9.
10. No Gerenciador de Cluster de Failover, clique com o boto direito do mouse no n parado,
clique em Mais Aes e clique em Iniciar Servio de Cluster.
11. No Gerenciador de Cluster de Failover, expanda Armazenamento e clique em Discos. No painel
central, clique com o boto direito do mouse no disco atribudo a Testemunha de Disco
em Quorum.
Observao: Voc pode ver isso na coluna Atribudo a.
12. Clique em Colocar Offline e clique em Sim.
13. Alterne para LON-DC1.
14. Verifique se voc ainda pode acessar o local \\AdatumFS\. Fazendo isso, voc verifica
que o cluster ainda est em execuo, mesmo se o disco de testemunha estiver offline.
15. Alterne para LON-SVR3.
16. No console Gerenciador de Cluster de Failover, clique em Armazenamento, clique em Discos, clique
com o boto direito do mouse no disco que est com status Offline e clique em Colocar Online.
Resultados: Depois de concluir este exerccio, voc ter testado cenrios de failover e failback.
L10-105
2.
3.
4.
5.
6.
7.
8.
9.
10. Na janela Atualizao com Suporte a Cluster, na lista suspensa Conectar ao cluster de failover,
clique em CLUSTER1 e clique em Conectar-se.
11. No painel Aes de Cluster, clique em Cluster1 - Visualizar Atualizaes.
12. Na janela Cluster1 - Visualizar Atualizaes, clique em Gerar Lista de Visualizao da
Atualizao. Aps vrios minutos, as atualizaes sero exibidas na lista. Revise as atualizaes
e clique em Fechar.
Observao: Uma conexo com a Internet necessria para esta etapa ser concluda
com xito. Certifique-se de que o servidor MSL-TMG1 esteja em execuo e de que voc
possa acessar a Internet em LON-DC1.
Em um ambiente de produo, ns no recomendamos implantar ferramentas CAU
em um controlador de domnio. Isso serve apenas para fins de laboratrio.
2.
3.
4.
5.
6.
7.
9.
10. Na caixa de dilogo Atualizao com Suporte a Cluster, na lista suspensa Conectar ao cluster
de failover, selecione CLUSTER1 e clique em Conectar.
11. No painel Aes de Cluster, clique em Configurar opes de autoatualizao de cluster.
12. Na pgina Guia de Introduo, clique em Prximo.
13. Na pgina Adicionar Funo Clusterizada CAU com Autoatualizao Habilitada, clique em
Adicionar a funo clusterizada CAU, com o modo de autoatualizao habilitado, a este
cluster e clique em Prximo.
14. Na pgina Especificar agenda de autoatualizao, clique em Semanalmente, na caixa Hora
do dia, clique em 4:00 AM e, na caixa Dia da semana, clique em Domingo e clique em Prximo.
15. Na pgina Opes Avanadas, clique em Prximo.
16. Na pgina Opes Adicionais de Atualizao, clique em Prximo.
17. Na pgina Confirmao, clique em Aplicar.
18. Depois de adicionar a funo clusterizada com xito, clique em Fechar.
Resultados: Depois de concluir este exerccio, voc ter configurado a CAU no cluster de failover.
2.
3.
4.
L11-107
2.
3.
4.
5.
2.
3.
Na pgina Antes de Comear do Assistente para Importar Mquina Virtual, clique em Avanar.
4.
5.
7.
8.
9.
2.
3.
4.
5.
6.
7.
Clique em Computador, clique duas vezes em Disco Local (E), clique em Nova pasta, na caixa
de texto Nome, digite VMReplica e pressione Enter.
8.
9.
1.
Em LON-HOST1, abra o Gerenciador Hyper-V, clique em LON-HOST1, clique com o boto direito
em 24412B-LON-CORE e clique em Habilitar Replicao.
2.
3.
4.
5.
6.
7.
8.
Na pgina Escolher Mtodo de Replicao Inicial, clique em Enviar cpia inicial pela rede,
selecione Iniciar replicao imediatamente e clique em Avanar.
9.
L11-109
10. Aguarde de 10 a 15 minutos. No console do Gerenciador Hyper-V, voc pode monitorar o progresso
da replicao inicial na coluna Status.
11. Quando a replicao for concluda, assegure que 24412B-LON-CORE aparece em LON-HOST2
no Gerenciador Hyper-V.
2.
Na janela exibida, revise o contedo. Assegure que no h nenhum erro e clique em Fechar.
3.
4.
5.
Na janela Failover Planejado, assegure que a opo Iniciar a mquina virtual de rplica aps
o failover esteja selecionada e clique em Failover.
6.
7.
8.
9.
10. Em LON-HOST2, clique com o boto direito do mouse em 24412B-LON-CORE e clique em Desligar.
11. Na caixa de dilogo Desligar Mquina, clique em Desligar.
Resultados: Aps concluir este exerccio, voc ter configurado uma Rplica do Hyper-V.
2.
3.
4.
5.
6.
7.
8.
9.
30. Clique com o boto direito do mouse do mouse em Gerenciamento de Disco e clique em Atualizar.
31. Clique com o boto direito do mouse do mouse em Disco 2 e clique em Online.
32. Clique com o boto direito do mouse do mouse em Disco 3 e clique em Online.
33. Clique com o boto direito do mouse do mouse em Disco 4 e clique em Online.
2.
3.
4.
L11-111
5.
6.
7.
8.
9.
14. No Assistente para Criao de Clusters, na pgina Antes de Comear, leia as informaes e clique
em Prximo.
15. Na pgina Selecionar Servidores, na caixa Insira o nome do servidor, digite LON-HOST1 e clique
em Adicionar.
16. Na caixa Inserir o nome do servidor, digite LON-HOST2 e clique em Adicionar.
17. Verifique as entradas e clique em Prximo.
18. Na pgina Aviso de Validao, clique em No. Eu no preciso de suporte da Microsoft para
este cluster e clique em Prximo.
19. Na pgina Ponto de Acesso para Administrar o Cluster, na caixa Nome do Cluster,
digite VMCluster.
20. Na caixa Nome do endereo IP, em Endereo, digite 172.16.0.126 e clique em Prximo.
21. Na caixa de dilogo Confirmao, verifique as informaes, desmarque a caixa de seleo
Adicione todo o armazenamento qualificado ao cluster e clique em Prximo.
22. Na pgina Resumo, clique em Concluir.
2.
Na caixa de dilogo Adicionar Discos a um Cluster, verifique se todos os discos esto selecionados
e clique em OK.
3.
4.
Selecione e clique com o boto direito do mouse no disco ClusterVMs e selecione Adicionar
a Volumes Compartilhados de Cluster.
5.
Clique com o boto direito do mouse do mouse em VMCluster.adatum.com, selecione Mais Aes,
clique em Configurar Quorum do Cluster e clique em Prximo.
6.
7.
8.
Resultados: Aps concluir este exerccio, voc ter configurado um cluster de failover para o Hyper-V.
2.
3.
4.
2.
3.
4.
5.
6.
7.
8.
9.
Na pgina Conectar Disco Rgido Virtual, clique em Usar um disco rgido virtual existente
e clique em Procurar.
L11-113
2.
Clique com o boto direito do mouse do mouse em TestClusterVM, clique em Mover, clique
em Migrao ao Vivo e clique em Selecionar N.
3.
4.
5.
Assegure que voc poder acessar e operar a mquina virtual enquanto estiver migrando para
outro host.
6.
2.
3.
4.
5.
6.
Na pgina Escolher Opes para Mover Armazenamento, clique em Mover todos os dados
da mquina virtual para um nico local e clique em Avanar.
7.
8.
Navegue at C:\, crie uma nova pasta chamada LON-SVR1, clique em Selecionar Pasta e clique
em Avanar.
9.
10. Enquanto a mquina virtual est migrando, conecte-se a ela e verifique se est completamente
operacional.
11. Depois que o processo de movimentao for concludo, clique em Fechar.
12. Desligue todas as mquinas virtuais em execuo.
Resultados: Aps concluir este exerccio, voc ter configurado uma mquina virtual altamente
disponvel.
Reinicie LON-HOST1.
2.
3.
4.
L12-115
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
6.
Na pgina Especificar horrio do backup, ao lado de Selecione a hora do dia, selecione 1:00
e clique em Avanar.
7.
Na pgina Especificar Tipo de Destino, clique em Fazer backup em uma pasta de rede
compartilhada, e clique em Avanar. Examine o aviso e clique em OK.
8.
9.
2.
3.
4.
5.
6.
Expanda Disco local (C:), marque a caixa de seleo Financial Data, clique em OK e clique
em Avanar.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter configurado o recurso de Backup do Windows
Server, agendado uma tarefa de backup e concludo um backup sob demanda.
2.
No Bibliotecas, clique em Disco Local (C:), clique com o boto direito do mouse em Financial Data
e clique em Excluir.
2.
3.
Na pgina Especificar Tipo de Local, clique em Pasta compartilhada remota e clique em Avanar.
4.
5.
6.
7.
Na pgina Selecionar itens que sero recuperados, expanda LON-SVR1, clique na unidade
Disco Local (C:) e, no painel direito, selecione Financial Data, e clique em Avanar.
8.
Na pgina Especificar opes de recuperao, em Outro local, digite C:\ e clique em Avanar.
9.
L12-117
Resultados: Depois de concluir este exerccio, voc ter testado e validado o procedimento para restaurar
um arquivo do backup.
2.
3.
Na caixa de dilogo Windows Azure Online Backup, selecione I accept the terms
of the Supplemental Notice e clique em OK.
4.
5.
Na pgina Installation Settings, especifique as seguintes configuraes (se no for usar o padro)
e clique em Next:
o
6.
Na pgina Microsoft Update Opt-In, selecione I do not want to use Microsoft Update, e clique
em Install.
7.
8.
9.
2.
3.
4.
Em uma janela que exibe a mensagem dizendo que voc deve reiniciar o computador,
clique em Reiniciar Agora.
5.
Para registrar o servidor no Windows Azure Online Backup, execute as seguintes etapas:
1.
2.
3.
Na pgina Encryption Setting, nas caixas Enter Passphrase e Confirm Passphrase, digite
Pa$$w0rdPa$$w0rd, e v para Enter a location to save the passphrase, clique em Browse.
4.
Em uma caixa de dilogo Procurar, expanda Computador, clique em AllFiles (E:), em OK, e clique
em Next.
5.
6.
Na pgina Server Registration, verifique se o Windows Azure Online Backup is now available
for this server e clique em Close.
Observao: Em uma situao real, voc digitaria o nome de usurio e a senha da sua
conta de assinatura do Windows Azure Online Backup.
Alterne para o console do Windows Azure Online Backup e, no painel Aes, clique em
Schedule Backup.
2.
3.
4.
Na caixa de dilogo Select Items, expanda a unidade C, selecione Financial Data, clique em OK
e clique em Next.
5.
Na pgina Specify Backup Time, selecione Saturday, clique em 1:00, em Add e clique em Next.
6.
7.
8.
9.
No console do Windows Azure Online Backup, no painel Aes, clique em Back Up Now.
10. No Assistente para Fazer Backup Agora, na pgina Confirmation, clique em Back Up.
11. Na pgina Backup progress, aguarde at a mensagem Backup is successfully completed
ser exibida e clique em Close.
2.
Na janela Disco Local (C:), clique com o boto direito do mouse em Financial Data e clique
em Excluir.
3.
Alterne para o console do Windows Azure Online Backup e, no painel Aes, clique em
Recover Data.
4.
No Assistente para Recuperar Dados, na pgina Getting started, selecione This server e clique
em Next.
L12-119
5.
Na pgina Create copies so that you have both versions, selecione Browse for files, e clique
em Next.
6.
Na pgina Select Volume and Date, na caixa de listagem suspensa Select the volume, selecione C:\.
No calendrio, clique na data em que voc executou o backup, na lista suspensa Time, clique na hora
em que voc executou o backup e clique em Next.
7.
Na pgina Select Items to Recover, expanda C:\, clique na pasta Financial Data e clique em Next.
8.
Na pgina Specify Recovery Options, selecione Original location e Create copies so that you
have both versions e clique em Next.
9.
10. Na pgina Recovery Progress, verifique se a mensagem de status File(s) recovery job succeeded
exibida e clique em Close.
11. No Explorador de Arquivos, expanda a unidade C:\, e verifique se a pasta Financial Data
foi restaurada na unidade C.
Alterne para o console do Windows Azure Online Backup e clique em Unregister Server.
2.
3.
Senha: Pa$$w0rd
4.
Clique em Unregister.
5.
Resultados: Depois de concluir este exerccio, voc ter instalado o Windows Azure Online Backup Agent,
registrado o servidor com o Windows Azure Online Backup, configurado um backup agendado
e executado uma restaurao usando o Windows Azure Online Backup.
2.
3.
4.